AI Act organisatie: AI governance organiseren met ISO 42001

‍

AI is in veel organisaties al onderdeel van het dagelijkse werk. In HR-processen, klantcontact, analyses, softwareontwikkeling of besluitvorming. Vaak ontstaan deze toepassingen bottom-up of via leveranciers. Handig, efficiënt, maar zelden centraal georganiseerd.

‍

En precies daar wringt het. Niet omdat AI per definitie risicovol is, maar omdat overzicht, eigenaarschap en structuur ontbreken.

‍

Waarom worstelen organisaties met AI governance?

‍

Veel MT’s en bestuurders voelen dat “er iets moet” met AI. Tegelijk wil niemand innovatie afremmen of verzanden in regels en memo’s.

‍

Wat je vaak ziet:

• AI-tools verspreid over teams en afdelingen
• Geen totaaloverzicht van waar AI wordt gebruikt
• Onduidelijke verantwoordelijkheid
• Onrust over nieuwe wetgeving, zonder handelingsperspectief

De vraag is zelden of AI wordt gebruikt, maar hoe bestuurbaar dat gebeurt.

‍

Wat vraagt de AI Act in essentie van een organisatie?

‍

De AI Act is geen technisch kader, maar een bestuurlijk signaal: AI vraagt volwassen governance. De wetgeving werkt risicogebaseerd en geldt niet alleen voor bouwers van AI, maar ook voor organisaties die AI toepassen.

Belangrijke uitgangspunten:

• Niet alle AI is problematisch
• Sommige toepassingen vragen aantoonbare beheersing
• Verantwoordelijkheid blijft altijd bij mensen

De AI Act wordt gefaseerd van kracht richting 2026. Dat lijkt ver weg, maar vraagt nu al om structuur.

‍

“Wij bouwen geen AI”, waarom dat vaak niet klopt

‍

Een hardnekkig misverstand is dat de AI Act alleen geldt voor organisaties die zelf AI ontwikkelen. In de praktijk hebben ook gebruikers (deployers) verplichtingen.

Zeker wanneer AI:

• invloed heeft op mensen
• beslissingen ondersteunt of automatiseert
• toegang bepaalt tot werk, diensten of voorzieningen

De relevante vraag is dus niet bouw je AI?
Maar: wat doet AI binnen jouw organisatie?

‍

Hoe werkt de risicobenadering van de AI Act?

‍

Zonder risicoclassificatie geen grip. De AI Act onderscheidt grofweg vier categorieën:

• Verboden AI
  Manipulatie, ongeoorloofde monitoring, misbruik van kwetsbare groepen.
• High-risk AI
  Toepassingen met grote impact op mensen, veiligheid of rechten.
• Beperkt risico
  Transparantieverplichtingen, bijvoorbeeld bij chatbots.
• Minimaal risico
  Licht beheer en registratie.

Deze indeling helpt om focus aan te brengen, zonder alles zwaar te maken.

‍

Wat vraagt de AI Act concreet (zonder juridisch jargon)?

‍

Los van details vraagt de AI Act vooral om organisatiekracht:

• Risicomanagement rondom AI
• Inzicht in data en werking
• Human oversight: mensen blijven eindverantwoordelijk
• Logging en monitoring
• Duidelijke rollen en verantwoordelijkheden
• Continu verbeteren

Dit is geen eenmalige check, maar een structurele manier van werken.

‍

Waarom een puur juridisch project tekortschiet

‍

AI ontwikkelt zich continu. Tools veranderen, toepassingen verschuiven en nieuwe risico’s ontstaan. Een set beleidsdocumenten of juridische memo’s lost dat niet op.

Zonder:

• vast eigenaarschap
• herhaalbare processen
• bewijslast
• verbetercyclus

ontstaat opnieuw versnippering. AI-governance is daarmee geen compliance-dossier, maar een bestuursvraagstuk.

‍

ISO 42001: AI bestuurbaar organiseren in de praktijk

‍

ISO/IEC 42001 biedt een praktisch raamwerk om AI structureel te organiseren, zonder innovatie te blokkeren.

Het helpt organisaties om:

• AI-gebruik te inventariseren
• risico’s systematisch te beoordelen
• eigenaarschap vast te leggen
• beleid te koppelen aan uitvoering
• bewijs te organiseren
• verbetering structureel te maken

Niet voorschrijvend, wel richtinggevend.
Niet remmend, maar ordenend.

‍

AI-governance volgens Aymigo: van losse tools naar besturing

‍

Bij Aymigo zien we AI niet als probleem, maar als iets dat bestuurbaar moet zijn.

Onze benadering:

• AI-inventaris
• Risicoclassificatie
• Governance en rollen
• Processen en minimale bewijslast
• Verbetercyclus

Zo ontstaat rust, overzicht en ruimte om verantwoord te blijven innoveren.

‍

Wat levert dit organisaties concreet op?

‍

• Rust bij bestuur en MT
• Duidelijkheid voor teams
• Verantwoorde innovatie
• Minder stress bij toezicht en klantvragen
• Logische aansluiting op bestaande managementsystemen

AI-compliance wordt geen extra laag, maar een logisch gevolg van hoe je werkt.

‍

Tot slot

‍

De AI Act verdwijnt niet. Maar organisaties die nu structuur aanbrengen, merken straks dat compliance geen project is, maar het resultaat van goed bestuur.