BLOG – KPMG en CM.com haalden onlangs het keurmerk voor ISO 42001. Daarmee sluiten zij zich aan bij zo’n driehonderd organisaties wereldwijd die deze nieuwe internationale norm voor verantwoord ai-gebruik invoerden. Hoewel het nog om beperkte aantallen gaat, is het patroon herkenbaar. ISO 27001, de norm voor informatiebeveiliging, was eerst ook een strategische keuze. Nu is het vanzelfsprekend en in aanbestedingen niet zelden een harde eis.
Toch wachten veel organisaties nog af. En precies daar zit de spanning: wie pas in beweging komt wanneer de norm breed wordt geëist, loopt het risico achter te raken. Vier organisaties, Milgro, Ictivity, Ilionx en Thinkwise, maakten die afweging nu al. In dit artikel leggen ze uit waarom zij niet wachten op de norm, maar ISO 42001 overwegen of omarmen als strategische investering en wat dat intern oplevert.
Niet wachten op de vraag
De norm is in opkomst, maar deze organisaties handelen er nu al naar. Ze wachten niet tot klanten, de markt of de overheid erom vragen, maar verwerken de ontwikkeling proactief in hun beleid en processen. Mariët Scholten, cfo bij Thinkwise, trekt een parallel met cybersecurity: ‘Vragen over cybersecurity zijn al leidend in klantgesprekken. Ai volgt dezelfde route: eerst bewustwording, dan verwachting, dan eis. De organisaties die dan al gecertificeerd zijn, hoeven niet meer te reageren, die kunnen het gewoon laten zien.’
Ook bij Milgro houden ze de ontwikkeling nauw in de gaten. Waar nu bestaande AVG- en geheimhoudclausules nog volstaan, verwacht directeur Gijs Derks dat dit snel verandert: ‘Ai-specifieke eisen vinden hun weg naar tenders en contracten. ISO 42001 wordt voor ons een aankomende license to operate. Iets wat je gewoon moet hebben om serieus mee te doen.’
Diezelfde urgentie klinkt ook door bij it-dienstverlener Ilionx. ‘Nu ai een grotere rol speelt in interne processen en klantoplossingen, wordt het ook belangrijker om de inzet ervan op een gestructureerde en aantoonbare manier te organiseren’, zegt Rik Opdam, managing consultant ai bij Ilionx. Michael Schmitt, portfolio manager bij Ictivity kijkt naar sectoren waar de druk snel toeneemt. ‘Het is een kwestie van tijd, zeker in zorg, lokale overheid en woningcorporaties. Wie dan al gecertificeerd is, staat sterk, niet alleen in aanbestedingen, maar ook in de dagelijkse klantrelatie.’
Het is geen kostenpost, het is een investering
Als certificering onvermijdelijk wordt, verschuift de vraag van of naar wanneer. Of scherper gesteld: wat kost het om te wachten? De certificering kost grofweg tienduizend tot honderdduizend euro, afhankelijk van de omvang van de organisatie. Dat bedrag kan doen twijfelen. Maar genoemde vier organisaties draaien de vraag bewust om: wat kost het om het níet te doen?
Voor Milgro is die afweging al gemaakt. ISO 42001 is daarbij geen losstaand project, maar de volgende stap na ISO 27001 en NIS2. ‘Je kunt zeggen dat je het goed doet, maar een keurmerk onderbouwt dat’, vertelt Gijs Derks. Ictivity deelt die redenering, maar benadert het ook vanuit een zakelijke invalshoek. ‘De kosten zijn reëel, maar de strategische waarde staat voor ons buiten kijf. ISO 42001 wordt uiteindelijk een onderscheidende bouwsteen voor organisaties. Het keurmerk is een signaal dat je als organisatie verantwoordelijkheid neemt’, zegt Michael Schmitt.
Bij Ilionx ligt de nadruk ook op de klantrelatie. Marco Marti, kwaliteitsmanager GRC bij Ilionx, vult aan: ‘ISO 42001 is voor ons relevant om aan te tonen dat we klanten verantwoord adviseren over het gebruik en de implementatie van ai-toepassingen. Niet als verplichting, maar als bewijs van wat de organisatie al doet.’ Thinkwise koppelt de overweging rechtstreeks aan bedrijfsrisico. De organisatie zet ai in voor het efficiënter maken van interne processen en ze zijn volop bezig met het implementeren van ai-functionaliteiten in haar modelgedreven ontwikkelplatform. Het bedrijf weet daardoor uit ervaring wat er op het spel staat als ai-systemen niet goed worden beheerd. ‘Het gaat om het beheersen van risico’s, het bewaken van de kwaliteit van output en het versterken van vertrouwen richting klanten. Dat is geen abstract streven, maar iets wat dagelijks in de operatie terugkomt’, zegt Mariët Scholten van Thinkwise.
Intern vertrouwen is minstens zo waardevol
De investering wordt vaak gerechtvaardigd door externe factoren: klantverwachtingen, concurrentiepositie en risicobeheersing. Maar intern blijkt de impact minstens zo groot.
Dat wordt bij Milgro misschien wel het meest concreet zichtbaar. De organisatie investeert niet alleen in processen, maar bewust in mensen. Er komt een dedicated ai-compliance-medewerker en een ai agent officer: iemand die in de eerste maanden volledige vrijheid kreeg om tools en toepassingen te verkennen en nu agents bouwt samen met het operations excellence team. ‘Ai-vragen komen bij de juiste mensen, omdat die er zijn en de processen kloppen. Dat klinkt vanzelfsprekend, maar vraagt om echte investering. We winnen er vertrouwen mee: we weten dat vragen over ai in goede handen zijn’, licht Gijs Derks toe.
Bij Ilionx is de certificering een richtinggevend kader voor de hele organisatie, niet als een project met een einddatum. Rik Opdam: ‘We scholen onze medewerkers, werken onze algemene voorwaarden bij en verantwoord AI nemen we mee bij de beoordeling van nieuwe en bestaande producten en diensten.’
Vooroplopen of inhalen
Het beeld is duidelijk: ISO 42001 is nog geen harde eis, maar beweegt die kant op. De klantvraag komt, de investering is te onderbouwen en interne opbrengst is groter dan gedacht. Daarmee verandert ook de kernvraag voor organisaties. Niet langer: moeten we hier al iets mee? Maar: willen we vooroplopen of straks inhalen?
Marianne Snapper, contentspecialist Marcommit
