Kan ISO 42001 de feitelijke AI-regulator van Groot-Brittannië worden?

Door Rebecca Harper • 21 oktober 2025

Toen de Europese Unie eind 2024 de AI-wet goedkeurde, schreef deze geschiedenis als 's werelds eerste poging om de ontwikkeling, inzet en het beheer van kunstmatige intelligentie (AI) uitgebreid te reguleren. De gevolgen van deze wetgeving zijn enorm. Van generatieve modellen tot biometrische identificatie, de EU heeft bindende verplichtingen vastgesteld die voor alle sectoren gelden en die gepaard gaan met de dreiging van forse boetes bij niet-naleving.

Het Verenigd Koninkrijk daarentegen is een heel andere weg ingeslagen. Ministers hebben zich verzet tegen oproepen voor nieuwe, AI-specifieke regelgeving en in plaats daarvan heeft de regering gekozen voor een "pro-innovatie"-strategie die het toezicht overlaat aan bestaande toezichthouders, waaronder de Information Commissioner, de Competition and Markets Authority en de Financial Conduct Authority, en die tegelijkertijd aangeeft dat zij te zijner tijd wetgeving kan opstellen voor AI met een hoger risico. De logica is duidelijk genoeg: ze willen innovatie niet onderdrukken en zo flexibel blijven met als uiteindelijk doel Groot-Brittannië in staat te stellen AI-investeringen aan te trekken zonder de bureaucratie van Brussel.

Momentum tonen

Die aanpak werd op het wereldtoneel gedemonstreerd tijdens het staatsbezoek van president Trump in september 2025, toen premier Keir Starmer een overeenkomst aankondigde voor technologische welvaart tussen de VS en het VK. Het pakket omvatte aanzienlijke investeringen in AI, met name NVIDIA's plan om ongeveer 120,000 GPU's in het VK te implementeren. De boodschap was duidelijk: Groot-Brittannië wil gezien worden als een wereldwijd knooppunt voor AI-groei en -innovatie.

Maar die keuze laat een vacuüm achter. Zonder bindende regels worden bedrijven overgelaten aan wat je een grijze zone zou kunnen noemen: wat betekent "verantwoorde AI" eigenlijk in het Verenigd Koninkrijk? Wat verwachten toezichthouders als er iets misgaat? En hoe kunnen organisaties aan klanten, investeerders en handelspartners aantonen dat hun AI-systemen betrouwbaar zijn?

De opkomende rol van ISO 42001

In deze onzekerheid komt ISO 42001 naar voren. Deze norm, die voor het eerst werd gepubliceerd in december 2023, schetst een managementsysteemstandaard voor AI, die organisaties helpt bij het opzetten van governance-, risicomanagement- en verantwoordingsstructuren. Net zoals ISO 27001 zich snel ontwikkelde tot de wereldwijde benchmark voor informatiebeveiliging, biedt het praktische handvatten. 'hoe' om de brede 'wat' Aangezien ISO 42001 al verplicht was gesteld door de vroege wetgeving inzake gegevensbescherming, lang voordat toezichthouders dergelijke benaderingen formeel vastlegden, zou het zomaar kunnen dat dit het feitelijke handboek voor AI in Groot-Brittannië wordt.

De reikwijdte van ISO 42001 is breedDe norm vereist dat organisaties AI-risico's beoordelen en beheren, besluitvormingsprocessen documenteren, menselijk toezicht waarborgen en transparantie in AI-activiteiten inbouwen. De norm erkent in essentie dat AI-governance niet met één technische oplossing kan worden opgelost en verweven moet zijn met de cultuur, strategie en het leiderschap van een organisatie om echt effectief te zijn.

In principe biedt ISO 42001 iets wat het Verenigd Koninkrijk op dit moment nog mist: duidelijke, controleerbare eisen. Certificering op basis hiervan zou niet alleen aantonen dat aan een erkend kader wordt voldaan, maar zou belanghebbenden ook de zekerheid bieden dat AI-systemen zorgvuldig worden geïmplementeerd.

Een feitelijke toezichthouder?

Normen vullen vaak lacunes in de regelgeving op. ISO 27001, voor het eerst gepubliceerd in 2005, werd al snel de erkende maatstaf voor het aantonen van verantwoorde informatiebeveiliging. Waar de eerste wetten alleen spraken over het nemen van 'passende maatregelen', gaf certificering verzekeraars, auditors en toezichthouders een duidelijk beeld van hoe goede praktijken eruit zagen. Tegenwoordig ISO 27001 blijft een fundamenteel raamwerk waarmee organisaties kunnen aantonen dat ze voldoen aan moderne vereisten, zoals de AVG en de NIS-verordening.

Daarom is het logisch dat dezelfde dynamiek rond AI zou kunnen ontstaan. Nu de overheid er momenteel voor kiest om geen expliciete wetgeving te maken, moet de markt elders zekerheid zoeken. Verzekeraars die AI-gerelateerde risico's dekken, inkoopteams die contracten onderhandelen, investeerders die kapitaal toewijzen; wat ze allemaal gemeen hebben, is dat ze manieren nodig hebben om onderscheid te maken tussen geloofwaardige en mogelijk roekeloze AI-praktijken. ISO 42001 kan die maatstaf bieden.

En hoewel certificering vrijwillig is, zoals bij alle raamwerken van dit type, kan de druk om het te implementeren moeilijk te weerstaan zijn als grote afnemers, zoals financiële instellingen of verzekeraars, dit gaan eisen.

Voorbereiding op de EU AI-wet

Er is hier nog een andere dimensie. Zelfs als Westminster afziet van bindende wetgeving, zijn Britse bedrijven niet immuun voor Brussel. Elke organisatie die aan de EU verkoopt of daarbinnen opereert, valt waarschijnlijk onder de reikwijdte van de AI-wet, ongeacht waar ze hun hoofdkantoor hebben.

Hier wordt de waarde van ISO 42001 nog duidelijker. Veel van de eisen komen overeen met die in de EU-wetgeving, waaronder zaken als risicoclassificatie, transparantiemaatregelen, verantwoordingsstructuren en toezichtmechanismen. Het garandeert echter niet op zichzelf de naleving van productspecifieke verplichtingen. Voor Britse bedrijven gaat de invoering van de norm nu niet alleen over het beheersen van binnenlandse onzekerheid; het gaat erom zich toekomstbestendig te maken tegen de onvermijdelijke Europese nalevingseisen.

Meer dan alleen naleving: vertrouwen opbouwen

Het is een uitspraak die we vaak horen: standaarden zijn een 'vink-oefening', maar daarmee missen we de kern van de zaak. De ontwikkeling van AI hangt evenzeer af van publiek vertrouwen als van technische innovatie. Volgens de Edelman Trustbarometer 2025Slechts 42% van de respondenten wereldwijd voelt zich momenteel op hun gemak bij het gebruik van AI door bedrijven. Dit wordt aangewakkerd door groeiende zorgen over cyberbeveiliging, ethiek en desinformatie, en niet geholpen door nieuwsberichten over bevooroordeelde algoritmes, ondoorzichtige besluitvorming en uitbuitende datapraktijken, die dit diepe scepticisme alleen maar versterken.

Voor bedrijven is het commerciële risico evident. Klanten wijzen mogelijk AI-gestuurde diensten af die ze niet begrijpen of vertrouwen. Investeerders zien de ongereguleerde AI-implementatie mogelijk als een last. Beleidsmakers zullen mogelijk agressiever ingrijpen als de sector er niet in slaagt zichzelf effectief te reguleren.

ISO 42001 biedt een manier om dit om te keren. Door governance, transparantie en verantwoording te verankeren, kunnen bedrijven aantonen dat AI met verantwoordelijkheid in plaats van roekeloosheid wordt ontwikkeld. En zoals Edelmen zelf opmerkt, zijn organisaties die "prioriteit geven aan transparantie, eerlijkheid en duidelijke use cases het beste gepositioneerd om vertrouwen op lange termijn op te bouwen, zinvolle adoptie te stimuleren en concurrentievoordeel te behalen." ISO 42001 maakt van ISO 42001 veel meer dan een compliance-oefening, maar een reputatiestrategie, een signaal naar de markt dat AI met ernst en integriteit wordt beheerd.

De stille regulatoren

Zoals we hebben vastgesteld, gaat regelgeving niet altijd over wetten. Soms gaat het over de kaders en normen die markten, verzekeraars en goede bedrijfspraktijken afdwingen. In het huidige soepele regelgevingslandschap in het Verenigd Koninkrijk is ISO 42001 goed gepositioneerd om zo'n "stille toezichthouder" te worden.

We zien al vroege tekenen van die dynamiek in de markt. In onze Rapport over de staat van informatiebeveiliging 2025Het aandeel organisaties dat ISO 42001-certificering van leveranciers eist, steeg van slechts 1% vorig jaar naar 28% vandaag. Dat is een opvallend signaal van hoe snel een vrijwillige norm een de facto vereiste kan worden.

De vraag is of Britse bedrijven deze kans zullen grijpen. Wie vroeg handelt, zal zeker verwachtingen scheppen, veerkracht opbouwen en tegelijkertijd de weg vrijmaken voor de Europese markt, mochten ze dat willen. Wie wacht, loopt het risico achterop te raken en later alsnog aan de regelgeving te moeten voldoen, onder druk van klanten, partners of toezichthouders, met weinig tijd om zich voor te bereiden en mogelijk kostbare technische productterugdraaiingen tot gevolg.

AI ontwikkelt zich wellicht sneller dan wetgeving, maar dat betekent niet dat organisaties afwachtend zijn in een sector die steeds meer de bedrijfsgroei domineert. ISO 42001 is er nu en bij gebrek aan een AI-wet zou het wel eens de norm kunnen worden waaraan Britse bedrijven zich moeten houden.

Rebecca Harper

Rebecca is het hoofd contentmarketing van ISMS.online. Met meer dan 12 jaar ervaring in de informatie- en cyberbeveiligingsindustrie, is Rebecca toegewijd aan het opleiden, vergroten van bewustzijn en het empoweren van bedrijven om doelstellingen op het gebied van compliance, informatie en cyberbeveiligingsbeheer te bereiken.