De wereld van AI evolueert snel. Daarmee groeit de behoefte aan een gestandaardiseerde werkwijze om AI-systemen te ontwikkelen, in te zetten en te onderhouden. Vertrouwen, transparantie en accountability spelen daarbij een sleutelrol. Als reactie op deze groeiende behoefte heeft de International Organization for Standardization (ISO) onlangs ISO 42001 uitgebracht, een standaard die richtlijnen biedt voor het opzetten en beheren van AI-systemen binnen organisaties. Wat betekent ISO 42001 en hoe kan deze norm organisaties helpen om te voldoen aan de AI Act?
ISO 42001, officieel getiteld “Artificial Intelligence Management System (AIMS),” werd gepubliceerd als reactie op de toenemende prominente rol van AI in verschillende sectoren en de noodzaak van een gestandaardiseerde benadering van AI-beheer. Het is belangrijk op te merken dat deze ISO-standaard gericht is op organisaties van alle groottes en typen die producten of diensten leveren of gebruiken die AI-systemen bevatten. De standaard legt eisen en richtlijnen vast voor de ontwikkeling, implementatie, onderhoud en continue verbetering van AI-managementsystemen binnen een organisatie.
Highlights van ISO 42001
ISO 42001 brengt verschillende belangrijke elementen naar voren in het beheer van AI:
- Managementsysteem voor AI: de norm kent dezelfde opbouw als andere ISO-normen zoals ISO 27001 (informatiebeveiliging) en ISO 9001 (kwaliteit), en is opgebouwd op de High Level Structure (HLS). Dit komt neer op een werkwijze die is gebaseerd op plan-do-check-act.
- Beheersmaatregelen: vergelijkbaar met andere ISO-normen zoals ISO 27001 zijn in Annex A beheersmaatregelen opgenomen, die organisaties helpen om belangrijke aspecten van AI te beheren. In totaal zijn 38 beheersmaatregelen opgenomen, verdeeld over 9 domeinen. Deze maatregelen zijn een aanvulling op het managementsysteem.
- AI System Impact Assessment (ASIA): ISO 42001 schrijft voor dat organisaties een AI Impact Assessment (ASIA) uitvoeren om de gevolgen van het gebruik van AI binnen voor individuen of andere groepen te beoordelen. Je kunt dit vergelijken met de Data Protection Impact Assesment (DPIA) uit de AVG.
- Accreditatie en Certificering: op het moment van publicatie van de standaard zijn er nog geen accreditatieregels voor certificeringsinstanties voor ISO 42001. Dit proces kan enkele maanden in beslag nemen, gedurende welke certificaten die worden uitgegeven meningen van de certificeringsinstantie zijn en niet zijn geaccrediteerd.
Norm voor risicobeheer: ISO/IEC 23894
Naast ISO 42001 werd eerder dit jaar ISO/IEC 23894 uitgebracht. Deze standaard biedt een gestructureerde benadering van risicobeheer voor AI-systemen, waarmee organisaties risico's proactief en effectief kunnen identificeren, beoordelen en aanpakken. Het benadrukt het belang van ervoor zorgen dat AI-systemen veilig en rechtvaardig werken en mogelijke risico's en negatieve gevolgen vermijden.
Raakvlak met AI Act
De publicatie van ISO 42001 valt samen met het politiek akkoord op de AI Act. Aangezien 2024 zich ontwikkelt tot een cruciaal jaar voor het opbouwen van vertrouwen in AI. Met de ISO 42001 en diens nadruk op AI-beheer en risicobeoordeling, kunnen organisaties een stevig fundament leggen voor het verantwoord vormgeven van hun AI-systemen. Hierdoor worden goede stappen gezet: zowel het op orde krijgen van de interne AI-huishouding, als voor de voorbereiding op het voldoen aan de AI Act en aanverwante wet- en regelgeving.
Onze CAICO-opleiding: de opleiding bereid je voor op de uitdagingen van AI en leert je ethiek, wetgeving en compliance om te zetten naar de praktijk. Als AI een centrale rol speelt in jouw professionele leven en je wilt de brug slaan tussen technologie, ethiek en recht, dan biedt de opleiding tot Certified AI Compliance Officer (CAICO®) diepgaande kennis op het gebied van AI-compliance en -governance. Dit biedt een handvat bij het vertalen en implementeren van de ISO 42001 & ISO/IEC 23894 in relatie tot de nieuwe AI Act.
