Het dichten van de kloof in AI-governance met ISO 42001

Door Phil Muncaster • 20 januari 2026

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stukjes werden uitgevoerd. Maar de bedrijven van vandaag omarmen de technologie met steeds meer enthousiasme. Volgens de BSIBijna twee derde (62%) van de bedrijfsleiders in het VK en daarbuiten is van plan om het komende jaar meer te investeren in AI om de productiviteit, efficiëntie en kosten te verlagen. Meer dan de helft (59%) beschouwt dit als cruciaal voor hun groeiplannen.

Toch stevenen diezelfde organisaties af op een crisis rondom AI-governance, waarschuwt de normeringsinstantie. Volgens de instantie heeft slechts een kwart (24%) een AI-governanceprogramma, waaronder slechts een derde (34%) van de grote ondernemingen. In dit geval zou ISO 42001 een voor de hand liggende oplossing moeten zijn.

Wat de BSI zegt

Het onderzoek van het BSI is gebaseerd op interviews met 850 senior bedrijfsleiders in acht landen en een door AI ondersteunde kernanalyse van meer dan 100 bedrijfsrapporten van multinationals. Het onderzoek wees uit dat slechts een kwart (24%) van de bedrijven het gebruik van AI-tools door werknemers monitort en dat slechts 30% processen heeft om AI-risico's te beoordelen en maatregelen te nemen om deze te beperken. Slechts een vijfde (22%) voorkomt dat werknemers ongeautoriseerde AI-tools gebruiken.

De lacunes in de governance gaan verder dan de risico's van schaduw-IT. Slechts 28% van de respondenten zegt te weten welke databronnen ze gebruiken om AI te trainen en te implementeren. Dat percentage is zelfs gedaald van 35% aan het begin van het jaar. Slechts 40% heeft processen om het gebruik van gevoelige/vertrouwelijke data voor AI-training te reguleren.

Organisaties zijn eveneens slecht voorbereid op situaties waarin iets misgaat. Slechts een derde meldt problemen of onnauwkeurigheden en 29% heeft processen voor het beheren van en reageren op AI-incidenten. Slechts 30% heeft een formeel risicobeoordelingsproces om te onderzoeken of AI mogelijk nieuwe kwetsbaarheden introduceert. Dit verhoogt het risico op een ernstige storing of incident. Toch geeft een vijfde van de respondenten toe dat generatieve AI (GenAI) zo bedrijfskritisch is geworden dat ze denken dat de organisatie er niet lang zonder zou kunnen functioneren.

Zelfgenoegzaamheid is mogelijk een deel van het probleem. Meer dan de helft van de wereldwijde bedrijfsleiders (56%) zegt er vertrouwen in te hebben dat hun medewerkers op instapniveau over de benodigde vaardigheden beschikken om AI te gebruiken, en een vergelijkbaar percentage zegt hetzelfde over de hele organisatie. Meer dan de helft (55%) heeft er vertrouwen in dat ze medewerkers kunnen trainen om GenAI "kritisch, strategisch en analytisch" te gebruiken. Toch heeft slechts een derde een specifiek leer- en ontwikkelingsprogramma. En training alleen brengt je maar tot een bepaald punt.

Maakt het uit?

De naleving van regelgeving lijkt juist af te nemen als het om AI gaat. Momenteel neemt de helft (49%) van de wereldwijde organisaties AI-gerelateerde risico's op in hun bredere complianceprogramma's, tegenover 60% zes maanden geleden. Deze daling wordt echter niet verklaard door het aantal organisaties dat specifieke programma's implementeert om de technologie te beheren.

Waarom is dit belangrijk? Omdat de risico's van AI al doordringen in het bedrijfslandschap. Voorbeelden hiervan zijn:

Onbedoelde lekken van gevoelige informatie via commerciële chatbots
Vooringenomen trainingsdata/modellen die leiden tot resultaten die de merkreputatie kunnen schaden.
Schaduw-AI, wat kan leiden tot datalekken of het creëren van foutieve code.
Gegevens van slechte kwaliteit of vervalste gegevens, wat leidt tot achterdeuren en onnauwkeurige resultaten.
Niet-naleving van wet- en regelgeving inzake gegevensbescherming, cyberbeveiliging en inbreuk op intellectuele eigendomsrechten.
Kwetsbaarheden in de gehele AI-toeleveringsketen die niet worden aangepakt, stellen de organisatie bloot aan datalekken.

Deze risico's zullen alleen maar toenemen naarmate AI-agenten steeds meer terrein winnen, met mogelijk aanzienlijke gevolgen voor de winstgevendheid en de reputatie van bedrijven. Volgens een recente EY-studieBijna alle (98%) Britse respondenten meldden verliezen in het afgelopen jaar als gevolg van risico's gerelateerd aan AI. Ruim de helft (55%) gaf aan dat dit hen meer dan $1 miljoen (£750,000) had gekost, terwijl het gemiddelde verlies per organisatie werd geschat op $3.9 miljoen (£2.9 miljoen). De meest voorkomende risico's waren het niet naleven van regelgeving, onnauwkeurige of kwalitatief slechte trainingsgegevens en een hoog energieverbruik dat de duurzaamheidsdoelstellingen in gevaar bracht.

Mind the Gap

Er waren enkele lichtpuntjes in het BSI-rapport. Analyse van de trefwoorden toonde aan dat 'governance' en 'regelgeving' centraler stonden in rapporten van in het VK gevestigde bedrijven. Ze kwamen 80% vaker voor dan in rapporten van bedrijven uit India en 73% vaker dan in rapporten van bedrijven uit China. Desondanks werken risico- en compliancefuncties in het VK nog steeds met een beperkt, steeds veranderend draaiboek, stelt Chris Newton-Smith, CEO van IO (voorheen ISMS.online).

"Het grootste probleem dat we zien, is niet een gebrek aan intentie, maar een gebrek aan structuur. Bedrijven beschikken simpelweg nog niet over de kaders, het beleid of de gedeelde verantwoordelijkheid die nodig zijn om AI op dezelfde manier te beheren als informatiebeveiliging of privacy," vertelt hij aan IO.

"Ik denk dat de grootste belemmering op dit moment is dat veel managementteams de risico's nog steeds onderschatten, omdat AI vooral wordt gezien als een innovatietool in plaats van een technologie die het dreigingsoppervlak van een organisatie fundamenteel kan veranderen, en dat ook daadwerkelijk doet."

Zonder een formeel bestuursmodel zullen zorgen van beveiligingsteams in afzonderlijke compartimenten verdwijnen of worden afgedaan als een belemmering voor groei. Pas wanneer AI-risico's als een kwestie op bestuursniveau worden behandeld, zal de kloof tussen implementatie en toezicht kleiner worden, voegt Newton-Smith eraan toe.

Het goede nieuws is dat ISO 42001 precies voor dit doel is ontwikkeld, betoogt Mark Thirlwell, wereldwijd digitaal directeur bij BSI.

"Het biedt een praktisch kader voor het opzetten van een formeel AI-managementsysteem, waardoor organisaties verder gaan dan vage principes en overgaan tot concrete actie. De standaard vereist dat leiders AI-specifieke risico's formeel beoordelen en aanpakken, duidelijke verantwoordelijkheden vaststellen en ervoor zorgen dat er veilige processen zijn voor de gehele AI-levenscyclus", vertelt hij aan IO.

“Het hanteren van deze gestructureerde aanpak betekent niet dat innovatie wordt afgeremd, maar juist dat deze op een verantwoorde en veilige manier mogelijk wordt gemaakt. Het geeft leiderschap de instrumenten om van een reactieve houding over te stappen naar een strategische aanpak, waardoor AI een veilige en betrouwbare motor voor groei op de lange termijn wordt.”

IO's Newton-Smith is het hiermee eens en legt uit dat de standaard duidelijkheid schept over rollen, risicobeoordeling, beheer van de levenscyclus van modellen, toezicht op leveranciers en monitoring.

"Het sluit ook naadloos aan op bestaande raamwerken zoals ISO 27001 en ISO 27701, wat betekent dat bedrijven de governance- en risicostructuren die ze waarschijnlijk al gebruiken voor beveiliging en privacy, kunnen uitbreiden", voegt hij eraan toe.

Aan de slag

Hoe moeten organisaties hun traject naar ISO 42001-conformiteit dan beginnen? Integreer AI-governance in een bestaand ISMS in plaats van het als een losstaand project te beschouwen, adviseert Newton-Smith.

"In essentie betekent dat: AI-toepassingen koppelen aan risico's; duidelijke verantwoordelijkheidsstructuren creëren binnen leiderschap, engineering, juridische zaken en compliance; herhaalbare processen opzetten voor modelbewaking en incidentbeheer; en ervoor zorgen dat de hele toeleveringsketen aan dezelfde normen voldoet," zegt hij.

"Door op deze manier met een gecentraliseerd controlesysteem te beginnen, wordt het programma vanaf dag één gemakkelijker te meten, op te schalen en te controleren. ISO 42001 is geen naleving omwille van de naleving zelf, maar vormt de basis voor een betrouwbare en commercieel haalbare implementatie van AI."

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 3 februari 2026

WeF-rapportagefraude is momenteel de grootste cyberzorg van CEO's, maar het is niet de enige.

WEF-rapport: Fraude is nu de grootste cyberzorg van CEO's, maar het is niet de enige.

Vijf jaar is een lange tijd in de cybersecuritywereld. Toch peilt het World Economic Forum (WEF) al zo lang CEO's voor zijn Global Cybersecurity Organization...

Phil Muncaster

Cyber security 27 januari 2026

Privacykwesties: Wat compliance-teams in 2026 kunnen verwachten

28 januari is Internationale Dag van de Privacy – een gelegenheid om het recht op gegevensprivacy en -bescherming te vieren, iets wat velen van ons tegenwoordig als vanzelfsprekend beschouwen. Het was...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster