De EU AI Act en ISO 42001 veranderen wat "compliant" betekent. Waar het vroeger ging om een map vol beleidsstukken die je eens per jaar opdiept, draait het nu om real-time, controleerbaar bewijs dat een audit doorstaat. Wie dat nu inricht, loopt straks niet achter de feiten aan. Dit is wat de nieuwe kaders echt vragen en hoe je je organisatie er stap voor stap op voorbereidt.
AI zit inmiddels overal in de organisatie: in de klantenservice, in analyses, in code, in tools die teams zelf hebben aangezet. De vraag is niet meer óf je AI gebruikt, maar of je kunt aantonen hóe je het gebruikt, en of dat verantwoord gebeurt. Precies daar draait de nieuwe regelgeving om. De EU AI Act en de internationale standaard ISO 42001 verschuiven het zwaartepunt van goede bedoelingen op papier naar aantoonbaar gedrag in de praktijk.
Het goede nieuws: voorbereiden is geen kwestie van een dik rapport schrijven. Het is een kwestie van zicht en grip op orde brengen, zodat het bewijs vanzelf ontstaat terwijl je werkt.
Twee regelingen zetten de toon, en ze versterken elkaar.
De EU AI Act is de eerste brede AI-wet ter wereld en werkt risicogestuurd. Toepassingen worden ingedeeld naar risico: van onaanvaardbaar (verboden) en hoog risico (zwaarste eisen, denk aan kritieke infrastructuur, onderwijs en handhaving) tot beperkt en minimaal risico. Hoe hoger het risico, hoe meer de wetgever vraagt, tot op het niveau van logging per transactie en herleidbare systeemgegevens.
ISO/IEC 42001 is de internationale standaard voor AI-management. Die geeft je een gestructureerd raamwerk om AI over de hele levenscyclus te besturen: risicobeheer, transparantie, monitoring en continue verbetering. Formeel vrijwillig, maar in de praktijk duikt het steeds vaker op als eis in aanbestedingen en inkoopvoorwaarden. En de standaarden overlappen sterk: wie ISO 42001 op orde heeft, dekt daarmee een groot deel van de eisen uit de EU AI Act al af.
ISO 42001 levert de structuur, de EU AI Act levert de wettelijke verplichting. Door je governance op de ISO-systematiek te bouwen, werk je in één beweging aan beide. Je hoeft niet voor elke regeling een apart traject op te tuigen.
De grootste denkfout is dat compliance een document is. Dat was het, in het oude model: schrijf beleid, doe eens per jaar een audit, archiveer. De nieuwe kaders werken anders. Ze vragen real-time, controleerbaar bewijs dat een kritische audit doorstaat. Niet wat je van plan was, maar wat er feitelijk gebeurde, op het moment dat het gebeurde.
Dat klinkt zwaar, maar het sluit aan bij hoe AI zich gedraagt. Modellen veranderen, gegevens schuiven, en wat gisteren goed werkte kan vandaag afwijken. Statische documentatie zegt niets over dat gedrag. Daarom verschuift de lat naar wat in de markt "AI observability" heet: doorlopend kunnen zien en aantonen wat je AI doet.
Compliance is geen rapport dat je schrijft. Het is het spoor dat je nalaat, en de vraag is of dat spoor er al is wanneer de toezichthouder belt.
De eisen vallen uiteen in drie praktische capaciteiten. Wie deze drie inricht, dekt het overgrote deel van beide kaders.
1. Logging en herleidbaarheid. Je moet kunnen reconstrueren wat een AI-systeem deed en waarom. Dat betekent gebeurtenissen vastleggen op het moment zelf, in- en uitvoer van modellen volgen, en een beslissing kunnen terugleiden naar de gegevens en het model die eraan ten grondslag lagen. Niet achteraf reconstrueren, maar gewoon: het staat er.
2. Continue risicomonitoring. Omdat modellen veranderen en prestaties kunnen wegzakken, is eenmalig toetsen niet genoeg. Je wilt drift, bias en kwaliteitsverlies zien aankomen, niet pas merken als een klant of toezichthouder erover begint. Monitoring die meeloopt met de toepassing, niet een momentopname.
3. Audit-klaar bewijs. Logs, tijdgestempelde beslisregistraties en een sluitende audit trail over alle systemen heen. Het verschil tussen "we denken dat het goed zat" en "hier is het bewijs, regel voor regel". Dat laatste is wat een audit wil zien, en wat klanten en partners steeds vaker vóór ondertekening vragen.
Voorbereiden hoeft niet als een groot project te voelen. Het is een opbouw in logische stappen, waarbij elke stap op zichzelf al waarde levert.
De deadlines van de EU AI Act lopen door tot 2027, en dat verleidt tot uitstel. Maar wie nu investeert in zicht en bewijs, plukt daar meteen de vruchten van: kortere doorlooptijd naar compliance, minder auditrisico, en vertrouwen bij toezichthouders én klanten. Dat vertrouwen wordt een verkoopargument. Inkopers vragen er al naar.
De parallel met informatiebeveiliging is treffend. ISO 27001 begon ook als vrijwillig en is nu een basisvoorwaarde om zaken te doen met serieuze partners. ISO 42001 volgt datzelfde pad. De organisaties die er vroeg bij zijn, hoeven straks niet in te halen, maar kunnen laten zien dat ze het al hebben.
Het probleem met wachten is dat bewijs niet met terugwerkende kracht ontstaat. Een audit trail die je vandaag niet aanlegt, kun je over een jaar niet alsnog over de afgelopen periode produceren. Hoe langer je wacht, hoe groter het gat dat je nooit meer dicht krijgt.
Vigil maakt deze voorbereiding operationeel in plaats van papieren. Eén register met automatische risicoclassificatie, logging en monitoring die meelopen met je toepassingen, en een audit trail die continu meegroeit. De bewijsstukken voor de EU AI Act en ISO 42001 ontstaan al werkend, in je eigen EU- of NL-omgeving. Zo ben je niet bezig met voorbereiden op een audit, maar er klaar voor.
In een strategiegesprek laten we zien hoe je met één register, continue monitoring en automatisch bewijs vandaag begint, en straks niets hoeft in te halen. Soeverein, in je eigen omgeving.
