Aron Lange van GRC Lab schreef onlangs een scherp stuk met de titel: Is ISO 42001 Really about AI "Governance"?. Zijn punt is helder: ISO 42001 is in de kern een managementsysteem. De norm helpt organisaties om AI gestructureerd te organiseren, maar regelt niet vanzelf de bestuurlijke keuzes die daarboven liggen. In clausule 5 zitten wel aanknopingspunten voor leiderschap, AI-beleid en rolverdeling. Toch blijft de laag waarin het bestuur kaders stelt en verantwoordelijkheid neemt buiten beeld.
Daarmee roept zijn analyse meteen een vervolgvraag op. Als ISO 42001 de governance niet volledig regelt, hoe regel je die dan wel? En hoe ziet dat er concreet uit voor een gemeente, een zorginstelling of een universiteit? Daarover gaat dit artikel.
Eerst even terug naar het 'probleem': wat is het verschil tussen governance en management?
Kortgezegd: Governance stelt de kaders. Management werkt erin.
Dat onderscheid is meer dan een definitiekwestie. AI raakt aan strategie, risico, reputatie, klantvertrouwen en aansprakelijkheid. De kernvraag is dus bestuurlijk: wie bepaalt waarvoor AI wordt ingezet, welke risico's acceptabel zijn en hoe toezicht wordt gehouden?
Neem dit voorbeeld: een college van B&W besluit dat een AI-toepassing nooit zelfstandig besluiten mag nemen over toegang tot gemeentelijke voorzieningen, en dat medewerkers altijd de laatste beslissing houden. Dat is governance. Het bestuur bepaalt hier welke grens de organisatie trekt in het gebruik van AI en welke verantwoordelijkheid mensen zelf moeten blijven dragen. De uitwerking daarvan ligt vervolgens bij het management. Denk aan het inrichten van processen, het vastleggen van rollen, het toepassen van beheersmaatregelen en het organiseren van monitoring.
Een managementsysteem, of dat nu ISO 42001 is of een ander normenkader, krijgt pas echt betekenis als zulke bestuurlijke keuzes vooraf zijn gemaakt. Zonder die keuzes blijft onduidelijk waar de organisatie AI wel of niet voor mag inzetten, wie daarover beslist en hoe daar toezicht op wordt gehouden.
Voordat een managementsysteem echt betekenis krijgt, moet het bestuur drie vragen hebben beantwoord. Expliciet, vastgelegd en met duidelijk eigenaarschap.
1. Welke AI-risico's accepteren we als organisatie?
Dit gaat over risicobereidheid. Een concrete grens. Welke toepassingen vinden we acceptabel? In welke situaties is menselijk toezicht verplicht? Welke AI-toepassingen mogen adviseren, en in welke gevallen blijft het besluit expliciet bij de mens?
Die grens hoeft niet voor elke toepassing hetzelfde te zijn. Een interne AI-assistent die vergaderverslagen samenvat, vraagt andere beheersmaatregelen dan een systeem dat zorgprocessen, kredietbeslissingen of personeelsselectie ondersteunt. Risicobereidheid vastleggen betekent dus ook: differentiëren per type toepassing. Als het bestuur die keuzes niet maakt, ontstaan ze alsnog in de uitvoering.
2. Wie is eindverantwoordelijk als het misgaat?
Accountability is iets anders dan systeemeigenaarschap. De vraag is wie verantwoording aflegt aan raad van toezicht, gemeenteraad of inspectie als een AI-toepassing schade veroorzaakt of in strijd blijkt met wet- en regelgeving. Voor ieder relevant AI-systeem moet die verantwoordelijkheid bestuurlijk belegd zijn. Dat hoort niet verstopt te zitten in een taakomschrijving van de CISO.
Die bestuurlijke accountability werkt in de praktijk pas als daaronder het eigenaarschap goed is geregeld: per AI-toepassing een eigenaar voor de use-case én een eigenaar voor het risico, met duidelijke afspraken over monitoring, goedkeuring en escalatie. Zonder die afspraken blijft AI hangen tussen IT, legal, compliance, security en de business, en voelt niemand zich echt verantwoordelijk.
3. Hoe toetsen we of ons systeem doet wat het moet doen?
Bij governance hoort toezicht. Het bestuur moet periodiek kunnen vaststellen dat beheersmaatregelen werken, risico's tijdig worden gesignaleerd en de organisatie compliant blijft. Daarvoor is een onafhankelijke lijn van controle en verificatie nodig, los van de mensen die het systeem dagelijks beheren.
Bij veel organisaties is AI begonnen als een verzameling losse experimenten binnen teams, zonder duidelijke eigenaar of centrale registratie. Niemand had volledig zicht op de tools, data, leveranciers en modellen die in gebruik waren. Inmiddels zetten organisaties de eerste stappen op het vlak van AI-'beheersing': er komt een AI-register, een beleidsdocument en soms ook een managementsysteem. Toch blijft de bestuurlijke invulling vaak achter. De risicobereidheid is niet expliciet vastgesteld, de eindverantwoordelijkheid is niet scherp belegd en het toezicht is onvoldoende ingericht. Logisch, want het traject begon bij de tools in plaats van bij use-cases, risico's en verantwoordelijkheden.
Dat zien we terug in allerlei sectoren:
Een gemeente rolt ChatGPT uit zonder dat het college van B&W vooraf heeft vastgesteld wat wel en niet acceptabel is.
Een zorginstelling gebruikt AI voor triagesupport, terwijl de raad van bestuur niet scherp heeft dat patiëntentriage met naam in Annex III van de EU AI Act als hoog-risicotoepassing geldt en de organisatie daardoor juridisch als deployer van een hoog-risicosysteem kan worden gezien.
Een universiteit heeft een AI-policy, maar heeft nooit vastgesteld welke risico's per toepassing acceptabel zijn.
Experimenteren is op zichzelf prima. Het wordt een bedrijfsrisico zodra medewerkers gevoelige data invoeren, AI-output gebruiken in besluitvorming of tools inzetten zonder toetsing van security, privacy en juridische voorwaarden. Dan is het geen vrijblijvende innovatie meer, maar een operationeel risico zonder eigenaar.
Het gevolg is dat mensen in de uitvoering (de CISO, de FG, de ISO) besluiten moeten nemen die eigenlijk bij het bestuur horen. Niet omdat ze dat zo graag willen, maar omdat er geen duidelijke kaders zijn om op terug te vallen.
Die governance-laag hoeft geen extra bestuurslaag of apart traject te worden. Het gaat om een aantal concrete bestuurlijke handelingen die de basis leggen voor alles wat daarna volgt.
Beleid dat richting geeft
Het bestuur stelt een kader vast voor het gebruik van AI binnen de organisatie. Daarin staat waarvoor AI wel en niet mag worden ingezet, welke waarden leidend zijn en hoe met risico's wordt omgegaan. Zo'n kader krijgt pas betekenis als het bestuurlijk is vastgesteld en actief wordt gebruikt.
Goed beleid remt de organisatie bovendien niet af; het versnelt. Teams weten wat wél mag, onder welke voorwaarden en met welke waarborgen. Ze hoeven niet telkens opnieuw toestemming te zoeken, en succesvolle experimenten kunnen sneller en veilig worden opgeschaald.
Risicobereidheid die is uitgewerkt
De uitspraak dat AI verantwoord moet worden ingezet, is pas bruikbaar als die wordt vertaald naar grenzen en keuzes. Welk risiconiveau accepteren we per type toepassing? Wanneer is een DPIA of FRIA nodig? Welke classificatie onder de EU AI Act vraagt om welke beheersmaatregelen? Dat zijn keuzes die richting geven aan de uitvoering. Die vertaalslag is bovendien niet vrijblijvend: de EU AI Act wordt nu al gefaseerd van toepassing en de verplichtingen voor hoog‑risicosystemen gelden vanaf 2027.
Toezicht dat aantoonbaar is ingericht
Het bestuur moet periodiek inzicht krijgen in het AI-landschap van de organisatie, de risico's en de werking van de beheersmaatregelen. Maak dat toezicht meetbaar. Denk aan vragen als: hoeveel AI-use-cases zijn geregistreerd, en voor welk deel daarvan is een risicoclassificatie gedaan? Hoeveel hoog-risicotoepassingen zijn er, en hoeveel incidenten of afwijkingen? Zijn leveranciers beoordeeld en medewerkers getraind? Worden beheersmaatregelen periodiek getest? Interne auditors spelen daarbij een steeds bredere rol: zij beoordelen niet alleen processen, maar ook datakwaliteit, modelgebruik, logging en de werking van menselijke controle.
Dat toezicht past het best in bestaande governance-cycli, zoals planning & control of de jaarverantwoording. Dan voorkom je dat AI een los onderwerp blijft, en maak je het onderdeel van regulier bestuur en toezicht.
Een managementsysteem werkt pas goed wanneer de bestuurlijke laag erboven duidelijk is ingevuld. Governance en uitvoering horen daarom in elkaars verlengde te liggen, niet naast elkaar.
Daar komt bij: AI introduceert geen volledig nieuw type organisatierisico. Het vergroot vooral bestaande risico's rond privacy, security, continuïteit, ethiek, leveranciers en compliance. Door AI te integreren in bestaande GRC-processen voorkom je dubbele structuren en wordt AI bestuurbaar binnen de control-cyclus die er al is.
AI governance heeft dan ook geen eigen eiland nodig in de organisatie. Integendeel. Een apart AI-register dat los naast het bestaande GRC-landschap staat, maakt de afstand tussen bestuur en uitvoering groter. Besluiten over risicobereidheid, accountability en toezicht moeten zichtbaar zijn in hetzelfde systeem als de operationele controls. Dan is voor iedereen duidelijk welke bestuurlijke keuzes zijn gemaakt, hoe die zijn vertaald naar beheersmaatregelen en hoe daarop wordt gerapporteerd.
Vanuit die gedachte is het TrustBound AI Governance Framework opgebouwd: 56 beheersmaatregelen over 10 domeinen, gekoppeld aan de EU AI Act en ISO 42001, en ingebed in bestaande GRC-processen. Het framework sluit aan op wat er al is, zodat bestuur, risk, compliance en audit op dezelfde basis naar AI-risico's kijken en dezelfde informatie gebruiken.
Om te bepalen of de AI governance-laag in jouw organisatie goed is ingevuld, hoef je geen uitgebreide analyse te doen. Eén vraag maakt veel duidelijk:
"Hebben wij als organisatie expliciet bepaald welke AI-risico's we accepteren, wie daarvoor eindverantwoordelijk is, en hoe we toetsen of dat werkt?"
Als het antwoord nee is, of als daar twijfel over bestaat, dan ligt daar het echte startpunt: een bestuurlijk gesprek over grenzen, verantwoordelijkheid en toezicht. Dat gesprek hoeft niet uit te monden in een dik beleidsdocument. Begin met een inventarisatie: welke AI gebruiken we, waarvoor, met welke data, door wie en met welk risico? Wijs per toepassing eigenaarschap toe. Pas daarna kun je zinvol prioriteren, risico's beoordelen en bepalen welke toepassingen veilig opgeschaald kunnen worden.
Zonder die duidelijkheid blijft de uitvoering afhankelijk van aannames. En dat is voor AI een wankele basis.
ISO 42001 is een managementsysteem, geen complete AI governance. AI governance begint bij een bestuur dat duidelijke kaders stelt: waarvoor zetten we AI in, welke risico's accepteren we en hoe houden we toezicht? Een managementsysteem zoals ISO 42001 voert die kaders vervolgens uit. Het TrustBound AI Governance Framework sluit beide lagen op elkaar aan, zodat bestuurlijke keuzes direct doorwerken in de dagelijkse beheersing.
Wat is het verschil tussen AI governance en AI management?
AI governance is de bestuurlijke laag: het bestuur bepaalt waarvoor AI wordt ingezet, welke risico's acceptabel zijn en hoe toezicht is georganiseerd. AI management is de uitvoerende laag: processen inrichten, rollen vastleggen, beheersmaatregelen toepassen en monitoring organiseren. Een norm als ISO 42001 ondersteunt vooral die tweede laag. Het TrustBound AI Governance Framework brengt de twee lagen bij elkaar.
Waarom is uitlegbaarheid van AI belangrijk voor bestuurders?
Bestuurders hoeven niet elk model technisch te begrijpen. Ze moeten wel kunnen uitleggen waarom AI wordt ingezet, welke risico's zijn afgewogen en hoe menselijk toezicht is georganiseerd. Zonder die uitlegbaarheid ontbreekt bestuurlijke controle en wordt het vertrouwen van klanten, toezichthouders en medewerkers kwetsbaar.
Wat betekent NIS2 voor de verantwoordelijkheid van bestuurders?
NIS2 maakt cybersecurity nadrukkelijk een bestuurlijke verantwoordelijkheid. Bestuurders moeten risicobeheersmaatregelen goedkeuren, toezicht houden op de implementatie en aantoonbaar verantwoordelijkheid nemen voor digitale weerbaarheid. De richtlijn geldt voor een brede groep kritieke en belangrijke sectoren in de EU en versterkt daarmee de bestuurlijke kant van AI governance.
Waar begin je als organisatie met AI governance?
Begin met een inventarisatie: welke AI gebruik je, waarvoor, met welke data, door wie en met welk risico? Wijs vervolgens per toepassing eigenaarschap toe. Pas daarna kun je zinvol prioriteren, risico's beoordelen en beleid maken dat aansluit op de praktijk.