Grip op uw algoritmes: welk AI-governance framework past bij uw organisatie?
De EU AI Act verplicht deployers van hoog-risico AI-systemen tot aantoonbare governance — maar de wet schrijft niet voor hoe u die governance organiseert. Dat is een bewuste keuze van de Europese wetgever: ruimte voor internationale normen en bestaande beheerkaders. In de praktijk leidt die ruimte tot een terugkerende vraag: welk framework kiest u als basis?
Dit artikel vergelijkt de drie meest gebruikte internationale AI-governance frameworks — NIST AI RMF, ISO 42001 en de OECD AI Principles — en legt uit hoe elk zich verhoudt tot de concrete verplichtingen van de EU AI Act. Geen abstracte principes, maar een praktische analyse voor de compliance professional die vandaag een keuze moet maken.
Waarom frameworks überhaupt nodig zijn
De EU AI Act is wetgeving: ze definieert verplichtingen, verboden en sancties. Wat ze niet biedt, is een werkwijze. Hoe inventariseert u AI-systemen? Hoe weegt u risico's? Hoe borgt u toezicht in de praktijk van uw organisatie? Dat is precies wat governance frameworks bieden — een gestructureerde methode om van wettelijke verplichting naar aantoonbare praktijk te komen.
Een tweede reden is robuustheid. Organisaties die governance uitsluitend inrichten op basis van wettekst, bouwen een compliance-structuur die kwetsbaar is voor interpretatieverandering, rechtspraak en wetswijzigingen. Frameworks zijn breder, dieper en — in het geval van ISO 42001 — internationaal geauditeerd en gecertificeerd. Ze bieden een fundament dat méér is dan het minimale wettelijke vereiste.
Framework 1: NIST AI Risk Management Framework (AI RMF)
Het NIST AI RMF, gepubliceerd door het Amerikaanse National Institute of Standards and Technology, is opgebouwd rond vier functies die een cyclisch proces vormen: Govern, Map, Measure en Manage. Het framework is niet normatief — het schrijft niet voor welke specifieke maatregelen u moet nemen, maar biedt een gestructureerde taal en methode om AI-risico's te identificeren, te kwantificeren en te beheersen.
De vier functies in de praktijk
- Govern — Stel de organisatorische context vast: wie is verantwoordelijk voor AI-risicobeheer, welke waarden en risicobereidheid hanteert uw organisatie, hoe is oversight belegd?
- Map — Identificeer en categoriseer AI-systemen en hun risico's. Welke systemen zet uw organisatie in, voor welk doel, en welke risico's brengen ze mee voor betrokkenen?
- Measure — Kwantificeer en prioriteer geïdentificeerde risico's. Dit omvat het uitvoeren van impact assessments, bias-analyses en betrouwbaarheidstests.
- Manage — Implementeer maatregelen, monitor werking en documenteer beslissingen. Dit is het operationele domein: incident response, toezichtsprocessen, periodieke reviews.
Aansluiting op de EU AI Act
NIST AI RMF sluit goed aan op de systematiek van Art. 9 EU AI Act (risicobeheersysteem) en Art. 26 (deployer-verplichtingen). De 'Map'-functie correspondeert met de vereiste inventarisatie en classificatie; 'Manage' dekt de monitoring- en toezichtsverplichtingen van Art. 26.5. Het framework biedt echter geen certificeringspad — het is een methodiek, geen norm waarop geauditeerd wordt.
Voor wie geschikt
NIST AI RMF is bijzonder geschikt voor organisaties die vanuit een IT- of security-achtergrond governance willen structureren, voor organisaties die al werken met NIST Cybersecurity Framework (de aanpak is verwant), en voor teams die een pragmatische, stapsgewijze methode zoeken zonder certificeringsambitie.
Framework 2: ISO/IEC 42001 — AI Management System
ISO 42001 is de internationale beheernorm voor kunstmatige intelligentie, gepubliceerd in december 2023. Het is de AI-equivalent van ISO 27001 (informatiebeveiliging) en ISO 9001 (kwaliteitsmanagement) — en net als die normen leidt het tot een certifieerbaar AI Management System (AIMS). De structuur volgt de High Level Structure (HLS) die alle ISO-managementsystemen delen, wat integratie met bestaande ISO-certificeringen vereenvoudigt.
Kernvereisten
ISO 42001 eist dat organisaties een gedocumenteerd AIMS opzetten, implementeren, onderhouden en voortdurend verbeteren. Dat omvat:
- Een AI-beleid vastgesteld door de directie;
- Een systeem voor het identificeren en beoordelen van AI-gerelateerde risico's en kansen;
- Gedocumenteerde doelstellingen en meetbare indicatoren;
- Interne audits en managementreviews;
- Correctieve maatregelen bij afwijkingen.
Aansluiting op de EU AI Act
ISO 42001 is het framework met de sterkste directe aansluiting op de EU AI Act. Art. 17 van de AI Act — dat een kwaliteitsmanagementsysteem verplicht stelt voor aanbieders van hoog-risico AI — sluit inhoudelijk nauw aan op de AIMS-vereisten van ISO 42001. Voor deployers biedt een ISO 42001-certificering een krachtig bewijsmiddel voor de toezichthouder: het aantoont niet alleen dat u een systeem heeft, maar dat een onafhankelijke auditor dat systeem heeft beoordeeld en goedgekeurd.
Voor wie geschikt
ISO 42001 is geschikt voor organisaties met een serieuze certificeringsambitie, voor organisaties die al ISO 27001 of ISO 9001 hebben geïmplementeerd (HLS-integratie verlaagt de implementatielast aanzienlijk), en voor organisaties waarbij klanten of aanbestedende diensten om een aantoonbaar beheerkader vragen. De implementatielast is substantieel — plan minimaal zes tot twaalf maanden voor een volwaardige implementatie inclusief gap-analyse, documentatie en interne auditcyclus.
Framework 3: OECD Principles on Artificial Intelligence
De OECD AI Principles, voor het eerst vastgesteld in 2019 en sindsdien bijgewerkt, zijn vijf beginselen op beleidsniveau: inclusieve groei en welzijn, mensgerichte waarden en eerlijkheid, transparantie en uitlegbaarheid, robuustheid en veiligheid, en verantwoordingsplicht. De OECD Principles vormen geen implementatiekader — ze bieden geen processen, controlepunten of documentatievereisten.
Aansluiting op de EU AI Act
De EU AI Act is inhoudelijk sterk beïnvloed door de OECD Principles: de beginselen zijn in de considerans van de wet terug te vinden. Voor compliance-doeleinden zijn de OECD Principles echter een vertrekpunt, geen eindpunt. Ze helpen bij het formuleren van AI-beleid op bestuursniveau en bij het articuleren van uw organisatiewaarden rond AI — maar ze leveren op zichzelf geen aantoonbare naleving van concrete wettelijke verplichtingen op.
Voor wie geschikt
De OECD Principles zijn geschikt als beleidsmatig kompas voor directies en besturen, als basis voor een organisatie-breed AI-ethiekbeleid, en als aanvulling op een van de andere frameworks — niet als zelfstandige compliance-aanpak. Wie uitsluitend op de OECD Principles vertrouwt voor EU AI Act-naleving, heeft een lacune in de praktische implementatie.
Vergelijkingsmatrix: drie frameworks naast elkaar
| Criterium | NIST AI RMF | ISO 42001 | OECD Principles |
|---|---|---|---|
| Type | Methodiek | Beheernorm (certifieerbaar) | Beleidsprincipes |
| Certificering | Nee | Ja (onafhankelijke audit) | Nee |
| EU AI Act-aansluiting | Goed (Art. 9, Art. 26) | Sterk (Art. 17, Art. 26) | Indirect (considerans) |
| Implementatielast | Gemiddeld | Hoog | Laag |
| Geschikt voor mkb | Ja | Beperkt (tenzij al ISO-gecertificeerd) | Ja (als aanvulling) |
| Auditbewijs voor ACM | Indirect | Sterk (derde-partijcertificaat) | Zwak |
Hoe verhoudt dit zich tot uw EU AI Act-verplichtingen?
Een veelgehoord misverstand is dat één framework de EU AI Act vervangt. Dat doet het niet. De AI Act is wetgeving met juridisch afdwingbare verplichtingen; frameworks zijn methodieken die helpen die verplichtingen in de praktijk te vervullen. De relatie is complementair, niet substitueerbaar.
Concreet: Art. 9 AI Act verplicht deployers van hoog-risico systemen tot een risicobeheersysteem. NIST AI RMF en ISO 42001 bieden beide een methodiek om dat systeem in te richten — maar u moet nog steeds de specifieke risicoklasse per systeem bepalen (Art. 6), de juiste documenten bewaren (Art. 26.6), en incidenten melden (Art. 73). Geen framework vervangt die specifieke verplichtingen.
De slimste aanpak voor de meeste Nederlandse deployers is een combinatie: ISO 42001 als beheerkader voor de governance-structuur, aangevuld met de NIST AI RMF-methodiek voor operationele risicoanalyse per systeem, en de EU AI Act als juridisch toetsingskader dat bepaalt welke verplichtingen concreet van toepassing zijn.
Eigen framework: wanneer zinvol?
Sommige organisaties kiezen voor een eigen, op maat gesneden governance-framework — een combinatie van elementen uit bestaande normen, aangevuld met sectorspecifieke vereisten. Dit is een legitieme aanpak, maar vereist meer interne expertise en is moeilijker te communiceren naar externe toezichthouders. Een eigen framework biedt geen certificeringspad en vereist dat u bij een audit zelf kunt aantonen dat uw aanpak gelijkwaardig is aan de wettelijke vereisten.
Voor organisaties in sterk gereguleerde sectoren — financiële dienstverlening, zorg, overheid — verdient een gestandaardiseerd framework de voorkeur vanwege de herkenbaarheid bij sectorale toezichthouders (DNB, NZa, ACM).
Praktische aanbevelingen per organisatietype
Startende compliance-teams (0-6 maanden)
Begin met de NIST AI RMF als methodisch kompas. De vier functies (Govern, Map, Measure, Manage) geven structuur zonder certificeringdruk. Gebruik de 'Map'-fase om een volledig AI-register op te bouwen; gebruik 'Govern' om ownership en verantwoordelijkheden te beleggen. Documenteer alles — elke beslissing, elke review.
Organisaties met ISO-certificering (bijv. 27001 of 9001)
Voeg ISO 42001 toe als extensie op uw bestaande AIMS. De High Level Structure maakt integratie relatief eenvoudig. Plan een gap-analyse als eerste stap: welke elementen van ISO 42001 dekt uw huidige management system al, en waar zitten de lacunes?
Organisaties met certificeringsambitie
Kies ISO 42001 als primaire norm en plan de implementatie in twee fasen: interne implementatie en eerste interne audit (fase 1), gevolgd door certificeringsaudit door een geaccrediteerde instantie (fase 2). Reserveer voldoende budget en tijd — een volwaardige ISO 42001-implementatie vergt typisch zes tot twaalf maanden.
Besturen en directies
De OECD Principles bieden een toegankelijk kader om AI-governance op bestuursniveau te agenderen. Combineer ze met een concrete implementatieaanpak (NIST of ISO 42001) en zorg voor een helder mandaat voor de interne AI Officer of Governance Professional.
Conclusie: kies bewust, documenteer uw keuze
Er is geen universeel 'beste' framework — de juiste keuze hangt af van de omvang van uw organisatie, uw bestaande governance-structuren, uw sectorregulatoire context en uw certificeringsambities. Wat wel universeel geldt: maak een bewuste keuze en documenteer waarom u voor dat framework heeft gekozen. Een toezichthouder die uw dossier beoordeelt, wil niet alleen zien wat u heeft gedaan, maar ook waarom u die aanpak heeft gekozen en hoe die aanpak aantoonbaar werkt in de praktijk van uw organisatie.
De EU AI Act biedt ruimte voor internationale normen en eigen beheerkaders. Gebruik die ruimte — maar vul hem in met de gedisciplineerde structuur die alleen een bewust gekozen framework kan bieden.