Standaarden & Normen voor AI Act Compliance

Wat zijn standaarden?

Standaarden (of normen) zijn technische specificaties die beschrijven hoe je aan bepaalde eisen kunt voldoen. Voor de AI Act worden standaarden ontwikkeld die de wettelijke eisen vertalen naar concrete, meetbare criteria.

Types standaarden

Vermoeden van conformiteit

Als je voldoet aan een geharmoniseerde standaard, dan wordt aangenomen dat je voldoet aan de corresponderende AI Act-eisen. Dit heet het vermoeden van conformiteit (presumption of conformity).

Dit betekent:

• Minder bewijslast bij conformiteitsbeoordeling
• Snellere certificering
• Juridische zekerheid

Standaardisatie organisaties

CEN/CENELEC

CEN (European Committee for Standardization) en CENELEC (European Committee for Electrotechnical Standardization) ontwikkelen de geharmoniseerde standaarden voor de AI Act.

• Joint Technical Committee 21 (JTC 21) is verantwoordelijk voor AI-standaarden
• Werkt samen met ISO/IEC voor internationale afstemming

ISO/IEC

De internationale standaardisatie-organisaties hebben al relevante AI-standaarden gepubliceerd:

• ISO/IEC JTC 1/SC 42 - Subcommittee voor AI-standaarden

NEN

Het Nederlands Normalisatie-instituut vertaalt internationale standaarden naar Nederlandse context en vertegenwoordigt Nederland in CEN/CENELEC en ISO.

Relevante standaarden

AI Management System

ISO/IEC 42001:2023 - Artificial Intelligence Management System

Deze standaard specificeert eisen voor een AI-managementsysteem (AIMS):

• Governance en leiderschap
• Planning en risicobeheersing
• Ondersteuning en middelen
• Operationele processen
• Evaluatie en verbetering

Relevantie voor AI Act: Biedt framework voor de organisatorische eisen rond hoog-risico AI.

Risk Management

ISO/IEC 23894:2023 - AI Risk Management

Guidance voor risicomanagement specifiek voor AI-systemen:

• Risico-identificatie
• Risico-analyse
• Risico-evaluatie
• Risicobehandeling
• Monitoring en review

Relevantie voor AI Act: Direct toepasbaar voor Artikel 9 (Risicobeheer systeem).

AI Governance

ISO/IEC 38507:2022 - Governance of IT - Governance implications of AI

Framework voor AI governance op bestuursniveau:

• Verantwoordelijkheden bestuur
• Strategische afstemming
• Value creation
• Risico-optimalisatie
• Resource management

Relevantie voor AI Act: Helpt bij governance-vereisten en menselijk toezicht.

Data Quality

ISO/IEC 5259 series - Data Quality for AI

Multi-part standaard voor datakwaliteit:

• Part 1: Overview
• Part 2: Data quality measures
• Part 3: Data quality management requirements
• Part 4: Data quality process framework

Relevantie voor AI Act: Direct toepasbaar voor Artikel 10 (Data governance).

Transparency & Explainability

ISO/IEC TR 24028:2020 - Overview of trustworthiness in AI

Technical report over betrouwbaarheid:

• Transparantie
• Verklaarbaarheid
• Controleeerbaarheid
• Robuustheid
• Privacy

Relevantie voor AI Act: Basis voor Artikel 13 (Transparantie) en Artikel 14 (Menselijk toezicht).

Verwachte geharmoniseerde standaarden

CEN/CENELEC JTC 21 werkt aan geharmoniseerde standaarden voor:

Praktijkvoorbeeld

Een medtech startup ontwikkelt een AI-systeem voor radiologie (hoog-risico). Ze implementeren ISO/IEC 42001 als managementsysteem en gebruiken ISO/IEC 23894 voor hun risicobeheerproces. Voor de conformiteitsbeoordeling passen ze de ontwerpversie van de CEN/CENELEC standaard toe. Dit geeft hen een solide basis voor compliance, en zodra de geharmoniseerde standaarden definitief zijn, krijgen ze automatisch het vermoeden van conformiteit.

Template: Standaarden mapping

## AI Act Standaarden Mapping

**AI-systeem:** [Naam]
**Classificatie:** [Hoog-risico/GPAI/etc.]

### Vereiste vs. Standaard

| AI Act Artikel | Vereiste | Standaard | Status |
|----------------|----------|-----------|--------|
| Art. 9 | Risicobeheer | ISO/IEC 23894 | ⬜ |
| Art. 10 | Data governance | ISO/IEC 5259 | ⬜ |
| Art. 11 | Documentatie | ISO/IEC 42001 | ⬜ |
| Art. 13 | Transparantie | ISO/IEC TR 24028 | ⬜ |
| Art. 14 | Menselijk toezicht | ISO/IEC 38507 | ⬜ |
| Art. 15 | Robuustheid | [In ontwikkeling] | ⬜ |

### Implementatiestatus
- [ ] Standaard aangeschaft/toegankelijk
- [ ] Gap-analyse uitgevoerd
- [ ] Implementatieplan opgesteld
- [ ] Implementatie gestart
- [ ] Interne audit uitgevoerd
- [ ] Certificering (indien gewenst)

### Notities
[Specifieke opmerkingen over toepassing]

Hoe standaarden toepassen

Stap 1: Inventariseer vereisten

Bepaal welke AI Act-artikelen van toepassing zijn op jouw systeem:

• Hoog-risico? → Artikelen 9-15
• GPAI? → Artikelen 53-55
• Transparantie? → Artikelen 50, 52

Stap 2: Match met standaarden

Zoek de standaarden die corresponderen met je vereisten:

• Check de CEN/CENELEC werkprogramma's
• Raadpleeg ISO/IEC SC 42 publicaties
• Vraag advies aan NEN of consultants

Stap 3: Gap-analyse

Vergelijk je huidige praktijk met de standaard:

• Wat doe je al?
• Wat ontbreekt?
• Wat moet worden aangepast?

Stap 4: Implementeer

Pas je processen en systemen aan:

• Documenteer wijzigingen
• Train medewerkers
• Test implementatie

Stap 5: Verifieer

Controleer of je aan de standaard voldoet:

• Interne audits
• Externe certificering (optioneel)
• Periodieke review

Certificering

ISO/IEC 42001 certificering

Je kunt je laten certificeren voor ISO/IEC 42001 door een geaccrediteerde certificatie-instelling. Dit is:

• Vrijwillig - niet verplicht onder de AI Act
• Nuttig - toont aan stakeholders dat je AI-governance serieus neemt
• Voorbereidend - goede voorbereiding op conformiteitsbeoordeling

Notified bodies

Voor bepaalde hoog-risico AI-systemen is beoordeling door een notified body verplicht. Deze instanties worden door lidstaten aangewezen en genotificeerd bij de Europese Commissie.

Bronnen

• CEN/CENELEC JTC 21
• ISO/IEC JTC 1/SC 42
• NEN - AI standaarden
• AI Act Artikel 40 - Geharmoniseerde normen

Changelog:

• 12 januari 2026 - Eerste publicatie