ISO 42001 Certificering

Bedrijven introduceren steeds vaker AI-tools en -technologie in hun bedrijfsprocessen. Naarmate klanten in zowel de B2C- als de B2B-sector zich ervan bewust worden dat AI mogelijk informatie over hen verwerkt, nemen de zorgen toe. Dit heeft gevolgen voor Britse bedrijven, werknemers en consumenten. Daarom kiest de Britse economie steeds vaker voor ISO 42001-certificering als de geprefereerde manier om aan de regelgeving te voldoen. De evolutie van kunstmatige intelligentie (AI) leidt tot hogere eisen aan de governance voor commercieel gebruik van AI. Het ontwikkelen en gebruiken van AI-technologie brengt risico’s met zich mee voor de samenleving. Daarom eisen de samenleving en overheden regulering van AI. Steeds meer organisaties implementeren een Artificial Intelligence Management System (AIMS). Certificeringsinstanties kunnen hiervoor een geaccrediteerde ISO 42001-certificering verstrekken. U kunt een audit van uw AIMS aanvragen volgens de huidige norm ISO 42001:2023.

Stratlane verzorgt certificeringsaudits voor organisaties in het Verenigd Koninkrijk, Ierland en continentaal Europa. Dankzij onze internationale activiteiten hebben we ons dienstenaanbod uitgebreid naar regio’s zoals de VS/Canada, het Midden-Oosten, Afrika en Azië.

Bent u een start-up of klein bedrijf? Informeer dan naar ons mkb-programma en kom in aanmerking voor onze speciale regeling.

Wie heeft een ISO 42001-certificaat nodig?

Als uw organisatie kunstmatige intelligentie gebruikt of zelfs AI-gebaseerde technologie ontwikkelt, vereisen steeds meer rechtsgebieden (VK, EU-zone, VS) een bewijs van naleving van AI-gerelateerde wetgeving (bijv. de Europese AI-wet). Op basis van nationale interpretaties van de AI-wet kan het gebruik van AI in bedrijven zonder een gecertificeerd AI-managementsysteem (AIMS) leiden tot juridische problemen. De AI-wet vereist dat bedrijven (ook in Groot-Brittannië) een van de beschikbare risicocategorieën toewijzen aan hun AI-activiteiten. Als AI niet goed gereguleerd is binnen de organisatie (zelfs bij kleine bedrijven), kan dit leiden tot de onvermijdelijke stopzetting van alle AI-activiteiten. De situatie is nog erger voor bedrijven die bedrijfsoplossingen of consumentenproducten ontwikkelen waarin AI is ingebouwd. Als hun AI-modellen in een verboden categorie vallen, moet het product binnen 6 maanden van de markt worden gehaald, anders volgt er een rechtszaak. Ook voor innovatieve bedrijven in minder problematische sectoren is het implementeren van een geloofwaardig managementsysteem noodzakelijk. Het is niet voldoende om een ​​sjabloon van internet te gebruiken en de bedrijfsnaam in elk document te plakken. Het managementsysteem moet aansluiten bij het bedrijfsmodel en de activiteiten en producten die verband houden met AI-technologie. Alleen dan heeft een AIMS een realistische kans om een ​​geaccrediteerde certificeringsaudit te doorstaan ​​door te voldoen aan ISO 42001.

Secure your Certification slot by requesting a quote

Certificeringsgebieden volgens ISO 42001

Binnen de ISO 42000-norm is ISO 42001 de belangrijkste norm die richting geeft aan de naleving van het AIMS-systeem. Als uw organisatie nog nooit een audit heeft ondergaan en u onlangs een AIMS-systeem hebt geïntroduceerd, richt u zich dan eerst op het gedetailleerder maken van uw standaardwerkprocedures (SOP’s). Zodra uw AIMS-systeem een ​​acceptabel niveau van volwassenheid heeft bereikt, kunt u streven naar het behalen van uw ISO 42001-certificaat.

AI-gebruikers
Geel netwerkkabels aangesloten op een switch, illustrerend de infrastructuur voor cloudbeveiliging en informatiebeveiliging, relevant voor ISO 27018 certificering.
Veilig gebruik van AI

DOELSTELLING: Een beheersysteem implementeren om te reguleren hoe medewerkers binnen de organisatie AI gebruiken.

Learn more about AI Usage
AI-ontwikkelaars
Abstract digitale netwerkvisualisatie met bollen en verbindingslijnen, symboliserend informatiebeveiliging en cloudtechnologie, relevant voor ISO 27001 en ISO 27018 certificering.
Ethische modellen en sets

DOELSTELLING: AI-modellen ontwikkelen met een ethische benadering gericht op duurzaamheid en het vermijden van discriminatie.

Learn more about AI Dev
AI in producten
Man in een pak die een creditcard boven een betaalterminal houdt, met het scherm dat instructies toont voor het inbrengen of swipen van de kaart, relevant voor informatiebeveiliging in financiële transacties.
Betrouwbare AI-producten

DOELSTELLINGEN: De gegevens van uw klanten beschermen tegen misbruik binnen AI-producten en een betrouwbare naleving van de regelgeving garanderen.

Learn more about AI in SaaS
Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat is ISO 42001?

De Internationale Organisatie voor Standaardisatie (afgekort: ISO) introduceerde de ISO 42001-norm om organisaties te helpen de samenleving te beschermen tegen schadelijke activiteiten met AI-technologie. Auditors willen er zeker van zijn dat een AI-managementsysteem (AIMS) daadwerkelijk is opgezet en op een congruente manier functioneert. Een AIMS helpt leidinggevenden de samenleving te beschermen tegen misbruik, illegale en discriminerende toepassingen van kunstmatige intelligentie (AI). Daarom stimuleert de Britse overheid Britse bedrijven en grote ondernemingen om een ​​meer conforme aanpak te hanteren bij de implementatie van AI-technologie. ISO 42001-certificering maakt het voor bedrijven veel gemakkelijker om ervoor te zorgen dat hun toeleveringsketen kunstmatige intelligentie gebruikt op een manier die geen risico’s met zich meebrengt op het gebied van informatiebeveiliging en gegevensbescherming.

De ISO 42001:2023-norm heeft de volgende structuur:

  1. Inleiding – de norm beschrijft een proces voor het systematisch beheren van informatierisico’s.
  2. Toepassingsgebied – het specificeert algemene AIMS-vereisten die geschikt zijn voor organisaties van elk type, elke omvang en elke aard.
  3. Normatieve referenties – alleen ISO/IEC 22989:2022 wordt beschouwd als absoluut essentiële lectuur voor gebruikers.
  4. Termen en definities – zie ISO/IEC 22989:2022.
  5. Context van de organisatie – inzicht in de organisatorische context, de behoeften en verwachtingen van ‘belanghebbenden’ en het definiëren van de reikwijdte van het AIMS. Paragraaf 4.4 stelt zeer duidelijk dat “de organisatie het AIMS moet opzetten, implementeren, onderhouden en continu verbeteren”, wat betekent dat het operationeel moet zijn, niet slechts ontworpen en gedocumenteerd.
  6. Leiderschap – het topmanagement moet leiderschap en betrokkenheid tonen ten aanzien van het AIMS, beleid vaststellen en passende rollen, verantwoordelijkheden en bevoegdheden toewijzen.
  7. Planning – beschrijft het proces voor het identificeren, analyseren en plannen van de behandeling van AI-gerelateerde risico’s (6.1.2), voor het verduidelijken van de doelstellingen van AI binnen de organisatie (6.2) en voor het beheren van AIMS-wijzigingen.
  8. Ondersteuning – er moeten voldoende en bekwame resources worden toegewezen, bewustwording worden gecreëerd, documentatie worden opgesteld en beheerd. Operationeel – meer details over het beoordelen en behandelen van AI-risico’s, het beheren van veranderingen en het documenteren van zaken (deels zodat ze kunnen worden gecontroleerd door de certificeringsauditors).
  9. Prestatie-evaluatie – het monitoren, meten, analyseren en evalueren/auditeren/beoordelen van de AI-controles, -processen en het managementsysteem, en het systematisch verbeteren van zaken waar nodig.
  10. Verbetering – het aanpakken van de bevindingen van audits en beoordelingen (bijv. non-conformiteiten en corrigerende maatregelen), en het systematisch verfijnen van het AIMS.
Reserveer uw plek voor de certificering door een offerte aan te vragen.
Persoon die op een laptop typt, met notitieboek en koffie, illustratief voor leerlinggerichte aanpak in onderwijs en ISO 21001-certificering.

Waarom kan een ISO 42001-certificering voor u voordelig zijn?

Wanneer een organisatie besluit ISO 42001-gecertificeerd te worden, begint ze aan een traject om haar AIMS-documentatie op te bouwen. Het is essentieel dat elke medewerker en sleutelpersoon voorbereid is op de toepassing van de nieuwe AI-beveiligingsmaatregelen. Je kunt niet verwachten dat iedereen zich aan de regels houdt als ze het vastgestelde kader voor het gebruik van AI niet begrijpen. Organisatieprocessen worden volwassener als alle medewerkers tijdig en goed geïnformeerd zijn. Na een succesvolle certificeringsaudit zal het ISO 42001-certificaat de volgende positieve aspecten aan klanten tonen:

  • Meer AI-veiligheid
  • Regelmatige AI-verbeteringen
  • Meer vertrouwen
  • Meer betrouwbaarheid
  • Minder risico voor klantactiva en intellectueel eigendom

Daarnaast ervaart een organisatie ook de volgende interne verbeteringen:

  • De informatiestroom binnen het bedrijf is veilig en efficiënt
  • Informatie is altijd beschikbaar en betrouwbaar
  • Verlies, diefstal, misbruik en manipulatie van gegevens met betrekking tot AI-activiteiten is minder waarschijnlijk
  • Alleen bevoegde personen hebben toegang tot vertrouwelijke gegevens en de kerntechnologie van AI
  • Betere naleving van wet- en regelgeving en contractuele verplichtingen
Reserveer uw plek voor de certificering door een offerte aan te vragen.

What is required for ISO 42001:2023 certification?

De ISO 42001:2023-norm vereist dat de AIMS-documentatie aan de volgende 14 punten voldoet om een ​​certificaat te kunnen afgeven:

  1. AIMS-scope (conform clausule 4.3)
  2. AI-beleid (clausule 5.2)
  3. AI-risicobeoordelingsproces (clausule 6.1.2)
  4. AI-risicobehandelingsproces en de Verklaring van Toepasselijkheid (clausule 6.1.3)
  5. AI-doelstellingen (clausule 6.2)
  6. Bewijs van de competentie van de mensen die met AI-technologie werken (clausule 7.2)
  7. Andere AIMS-gerelateerde documenten die door de organisatie noodzakelijk worden geacht (clausule 7.5.1b)
  8. Documenten voor operationele planning en controle (clausule 8.1)
  9. De resultaten van de AI-risicobeoordeling, d.w.z. de beoordeelde risico’s (clausule 8.2)
  10. De Beslissingen over de behandeling van AI-risico’s (clausule 8.3)
  11. Bewijs van de monitoring en meting van AI (clausule 9.1)
  12. Het interne auditprogramma van AIMS en de resultaten van uitgevoerde audits (clausule 9.2).
  13. Bewijs van managementbeoordelingen van AIMS (clausule 9.3)
  14. Bewijs van geconstateerde afwijkingen en daaruit voortvloeiende corrigerende maatregelen (clausule 10.2)

Op welke manier zal de verklaring van toepasselijkheid het auditplan beïnvloeden?

Onze auditteams volgen een op maat gemaakt auditplan, dat rekening houdt met de specifieke sector en het bedrijfsmodel van uw organisatie. De naleving van uw AIMS wordt beoordeeld aan de hand van de verschillende hoofdstukken en onderdelen van Bijlage A. Om een ​​goede audit te kunnen uitvoeren, is het noodzakelijk dat de auditcliënt medewerkers aanwijst die vragen kunnen beantwoorden met betrekking tot onderdelen van het auditplan. Een voorbeeld hiervan is de HPC-beheerder voor de beveiligingsmaatregelen met betrekking tot toegangscontrole. Tijdens de audit zal de hoofdauditor de AI-functionaris van de organisatie vragen om ervoor te zorgen dat de HPC-beheerder beschikbaar is voor de sessie over toegangscontrole.

Een organisatie moet haar verklaring van toepasbaarheid (Statement of Applicability, SoA) regelmatig herzien om te bepalen welke beheersmaatregelen nodig zijn. Auditors zullen de SoA beoordelen en met name controles die als niet van toepassing zijn aangemerkt, bevragen. De controles die als van toepassing zijn gemarkeerd, zullen ook worden gecontroleerd, maar op een andere manier.

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Wat zijn de kosten van de audit en de ISO 42001:2023-certificering?

De kosten van een ISO 42001:2023-certificeringsproces zijn afhankelijk van de omvang en het risicoprofiel van de organisatie. De ISO 27006-norm geeft een gemiddeld aantal auditdagen aan voor een organisatie met een gemiddeld risico en een bepaald aantal medewerkers. Onze auditcalculatoren beoordelen de verwachte audittijd in relatie tot bedrijfsspecifieke parameters. Sommige factoren maken een verkorting van de auditduur mogelijk en daarmee een positieve verlaging van de auditkosten.

Wanneer risico’s een diepere audit vereisen, moet hiervoor extra tijd in het auditplan worden ingepland. Dit verhoogt de audittijd en de bijbehorende kosten. Daarnaast brengt reizen naar de operationele locaties van de klant extra reiskosten met zich mee voor de klantorganisatie. De ISO-norm staat toe dat tot 30% van de audit op afstand wordt uitgevoerd. Indien de bedrijfsstructuur (thuiswerken) of de situatie (bijv. een pandemie) een volledig audit op afstand vereist, dient de certificeringsinstantie toestemming te verkrijgen van de betreffende accreditatie-instantie. Audits op afstand besparen reiskosten en zijn doorgaans ideaal voor “virtuele organisaties” (bijvoorbeeld teams die volledig vanuit huis werken).

Aantal personen dat werkzaamheden verricht onder de controle van de organisatie. AIMS-auditduur voor de eerste audit (auditordagen)
1~10 0.5
11~15 1
16~25 1.5
26~45 2,0
46~65 2.5

Bovenstaande tabel is gebaseerd op het ISO 27006-standaarddocument (tabel B1) en toont de extra tijd voor een AIMS-audit tijdens een gecombineerde ISO 42001-audit.

De audittijd die is toegewezen voor de AIMS-inspectie bedraagt ​​minimaal:

  • 30% van de audittijd als AI-controller
  • 30% van de audittijd als AI-processor
  • 50% van de audittijd, indien de organisatie zowel AI-controller als AI-processor is

De ISO 42001-audit (fase 1 + fase 2) moet dan minimaal 2,5 dagen duren voor AI-controllers en 3 dagen voor AI-processors. Indien een organisatie zowel de controller- als de processorrol vervult, mag de auditduur niet korter zijn dan de aanbevolen 3,5 dagen.

Deze eis is gebaseerd op het feit dat een ISO 42001-audit overeenkomsten vertoont met een ISO 27001-audit.

Indien de organisatie reeds een ISO 27001-certificaat heeft en haar naleving wil upgraden, kan een aparte audit voor de AIMS-documentatie worden uitgevoerd. In dat geval moet minimaal 0,5 dag worden toegevoegd aan de auditduur.

Reserveer uw plek voor de certificering door een offerte aan te vragen.

Veelgestelde vragen over ISO 42001-certificering

De kosten van uw ISO 42001-certificering worden berekend op basis van de omvang en het risicoprofiel van uw organisatie. De offerte bevat een vast tarief en een schatting van het aantal auditdagen. Dit stelt u in staat uw certificeringsproject beter te budgetteren.

De kosten van de certificering zijn afhankelijk van:

de totale omvang van uw organisatie
de sector waarin u actief bent
het aantal vestigingen en de specifieke activiteiten die daar plaatsvinden
het risicoprofiel van uw organisatie

U krijgt een accountmanager toegewezen die de eerste fase van uw traject naar het ISO 42001-certificaat coördineert. Deze persoon stelt een vaste prijsopgave voor u op en verzamelt de belangrijkste details van de gewenste certificeringsomvang.

De hoofdauditor plant vervolgens een telefonisch gesprek van 1-2 uur met u in om te controleren of alle aspecten van uw SIK-profiel in overweging zijn genomen en of de structuur van het auditplan aansluit op de beschikbaarheid van de belangrijkste personen binnen uw organisatie.

Nadat u de audit heeft afgerond, houdt de accountmanager u op de hoogte terwijl de auditdocumentatie wordt verwerkt door het compliance-team van de certificeringsinstantie. Na een positieve beoordeling wordt het ISO 42001-certificaat aan u uitgereikt.

We helpen u ook te begrijpen hoe u het certificaat en de bijbehorende logo's het beste kunt gebruiken om conflicten met de ISO-regels te voorkomen.

De accreditatie van Stratlane is een belangrijk onderdeel van de zekerheid die we kunnen bieden aan degenen die op u vertrouwen door op uw certificaat te vertrouwen.

Onze geaccrediteerde ISO 42001-certificaten bevatten niet alleen uw logo, maar ook het logo van de accreditatie-instantie en de betreffende accreditatieverenigingen.

Let's Get Your Company Certified!

Make use of our certification services so that your businesss gains the competitive advantage of having accredited ISO certifications.