AI-governanceframework: 6 onderdelen voor Nederlandse organisaties

Snelle samenvatting

Een AI-governance framework is een gestructureerd stelsel van beleid, processen en beheersmaatregelen waarmee een organisatie AI-systemen verantwoord ontwikkelt, inzet en beheert. Voor Nederlandse organisaties is dit geen optioneel kwaliteitskeurmerk meer: ISO/IEC 42001:2023 legt de lat internationaal vast, en de EU AI Act verplicht hoog-risico toepassingen per 2 augustus 2026 tot aantoonbare compliance.

• AI-gebruik onder Nederlandse bedrijven steeg in 2024 naar doorgaans ruim een vijfde van alle bedrijven met 10 of meer werkzame personen, aldus CBS.
• ISO/IEC 42001 bevat 39 beheersmaatregelen in Annex A op het gebied van data-governance, transparantie en menselijk toezicht.
• De EU AI Act kent boetes tot 35 miljoen euro of 7% van de wereldwijde jaaromzet bij verboden AI-toepassingen.
• Een governance-rollout omvat minimaal zes onderdelen: use-case prioritering, data-classificatie, modelkeuze, audit logging, hallucinatie-monitoring en een escalatieplan.
• Twentynext begeleidt klanten op alle zes onderdelen, inclusief de ISO-conforme beheerprocessen die nodig zijn om modellen ook na go-live betrouwbaar te houden.

Waarom governance nu urgenter is dan ooit (Projecten)

Stel je een operations manager voor bij een middelgroot productiebedrijf met zo'n 300 medewerkers. Het team heeft afgelopen jaar een generatief AI-systeem uitgerold voor kwaliteitsrapportages. Het systeem werkt vlot, maar niemand heeft vastgelegd welke data er precies doorheen gaat, wie de uitkomsten mag vertrouwen en wat er moet gebeuren als het model een fout maakt. Wanneer een auditor vraagt om documentatie, is er niets.

Dit is geen randgeval. Volgens CBS gebruikte in 2024 doorgaans 22,7 procent van de bedrijven met 10 of meer werkzame personen één of meer AI-technologieën, een toename van bijna 9 procentpunt ten opzichte van 2023. De adoptie versnelt, maar de governance-infrastructuur loopt bij veel organisaties achter.

Tegelijk verscherpt het juridisch kader. De EU AI Act is op 1 augustus 2024 in werking getreden en wordt gefaseerd afdwingbaar: verboden toepassingen zijn verboden per 2 februari 2025, GPAI-modellen moeten voldoen per 2 augustus 2025, en hoog-risico AI-systemen per 2 augustus 2026. Non-compliance bij hoog-risico systemen kan leiden tot boetes tot 15 miljoen euro of 3% van de wereldwijde omzet.

Twentynext ziet bij klanten, zowel zorginstellingen als maakindustrie, dat het ontbreken van een gestructureerd governance-kader de grootste rem op verdere AI-adoptie is. Niet de techniek, maar de besturing. Dat maakt een goed uitgewerkt AI-governance framework het fundament van elke verdere AI-investering. Lees ook het artikel over wanneer je organisatie écht klaar is voor een AI-usecase voor een bredere kijk op AI-gereedheid.

Wat is ISO/IEC 42001 en waarom is het relevant voor Nederland? (Services)

ISO/IEC 42001:2023 is 's werelds eerste internationale norm voor een AI-managementsysteem (AIMS). De norm specificeert eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van AI-governance binnen organisaties, gebaseerd op de Plan-Do-Check-Act-methodologie.

De structuur van de norm

Annex A van ISO/IEC 42001 bevat 39 AI-beheersmaatregelen op het gebied van data-governance, transparantie, menselijk toezicht en verantwoording. De norm sluit via de gedeelde High Level Structure aan op ISO/IEC 27001 en ISO 9001, wat integratie in bestaande managementsystemen mogelijk maakt. Voor organisaties die al ISO 27001-gecertificeerd zijn, is de overstap naar 42001 daardoor aanzienlijk minder zwaar dan een volledig nieuwe implementatie.

De Nederlandse normalisatiecontext

In Nederland is het Nederlands Normalisatie-instituut (NEN) verantwoordelijk voor de geharmoniseerde Europese normen rondom AI. NEN publiceert ook de nationale versie als NEN-ISO/IEC 42001. Tegelijk koos Nederland voor een hybride toezichtmodel met tien markttoezichthouders, waarbij de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) een coördinerende rol spelen. Het wetsvoorstel voor de Nederlandse AI-uitvoeringswet werd op 20 april 2026 voor internetconsultatie gepubliceerd.

Relatie tot de EU AI Act

ISO/IEC 42001 is geen officieel geharmoniseerde norm onder de EU AI Act, maar biedt wel de operationele invulling van wat de wet vereist. Waar de wet aangeeft wát een organisatie moet doen, beschrijft ISO/IEC 42001 hóe. Organisaties die de norm implementeren, hebben bij een audit een aanzienlijk sterkere positie dan organisaties die enkel verwijzen naar intern beleid zonder gestructureerd managementsysteem.

Zelf aan de slag:

• Controleer of je organisatie al ISO 27001 of ISO 9001 gecertificeerd is. Zo ja, kan de High Level Structure de invoering van ISO/IEC 42001 sterk vereenvoudigen.
• Vraag NEN of je sector al geharmoniseerde conceptnormen heeft gepubliceerd in het kader van de AI Act.
• Doe een eerste risico-inventarisatie: welke AI-systemen zet je organisatie in en vallen die onder Bijlage III van de AI Act (hoog risico)?
• Stel vast wie intern verantwoordelijk is voor AI-governance voordat je de normeisen verder uitwerkt.

De zes onderdelen van een ISO-conform AI-governance framework

Twentynext hanteert bij generatieve AI-implementaties een governance-framework met zes onderdelen. Die indeling sluit aan op de structuur van ISO/IEC 42001 en dekt tegelijk de aandachtspunten die de EU AI Act als verplicht stelt voor hoog-risico toepassingen.

Onderdeel 1: Use-case prioritering

Niet elke AI-toepassing verdient dezelfde aandacht. Een spamfilter vraagt een andere risicobehandeling dan een model dat medische diagnoses ondersteunt of een algoritme dat sollicitanten rangschikt. Het governance-framework begint daarom altijd met een gestructureerde prioritering van use-cases op twee assen: de potentiële businesswaarde en het bijbehorende risiconiveau.

In de praktijk werkt Twentynext hiervoor met een scoringsmatrix die use-cases categoriseert naar risicoclassificatie onder de EU AI Act (verboden, hoog risico, beperkt risico, minimaal risico) en naar strategisch belang. Use-cases in het hoog-risico segment krijgen een uitgebreider governance-traject, inclusief een grondrechten-impactbeoordeling.

Onderdeel 2: Data-classificatie

Een AI-model is zo betrouwbaar als de data waarop het traint en opereert. Data-classificatie bepaalt welke gegevens in welk AI-systeem mogen worden verwerkt, op welk beveiligingsniveau, en met welke retentieregels. Dit is geen eenmalige exercitie: data-classificatie moet worden herhaald wanneer modellen nieuwe databronnen integreren of wanneer de use-case wijzigt.

ISO/IEC 42001 legt in Annex A expliciet nadruk op data-governance als fundament voor verantwoorde AI. Zonder gedocumenteerde data-classificatie is het niet mogelijk om bij een audit aan te tonen welke data een model heeft gezien en op welke grondslag dat is toegestaan.

Onderdeel 3: Modelkeuze en architectuurdocumentatie

Welk model kies je voor welke toepassing, en waarom? Die keuze moet aantoonbaar zijn. Dat geldt zowel voor de initiële selectie (open source versus gesloten API, on-premise versus cloudhosting) als voor eventuele wijzigingen in de modellering later in de levenscyclus. Twentynext documenteert modelkeuzes als onderdeel van de CRISP-DM-projectaanpak: elke keuze is herleidbaar naar de businessvraag en de bijbehorende risicobeoordeling. Zie ook het artikel over wat CRISP-DM toevoegt aan moderne data-scienceprojecten voor een dieper inzicht in die aanpak.

Onderdeel 4: Audit logging

Elk besluit dat een AI-systeem neemt of ondersteunt, moet traceerbaar zijn. Audit logging legt vast welk model welke input heeft verwerkt, welke output is gegenereerd en welke menselijke handeling daarop is gevolgd. Dit is zowel een ISO/IEC 42001-eis als een verplichting onder de EU AI Act voor hoog-risico toepassingen.

In de praktijk betekent dit dat logging niet mag worden beschouwd als een technisch detail dat later wordt toegevoegd. Logging-architectuur moet worden ontworpen vóór go-live, inclusief afspraken over opslagduur, toegangsbeheer en incident-respons.

Onderdeel 5: Hallucinatie-monitoring en modelperformance

Generatieve AI-systemen kunnen plausibel klinkende maar feitelijk onjuiste uitkomsten produceren. Zonder actieve monitoring is drift in modelgedrag pas zichtbaar als er al schade is aangericht. Twentynext integreert hallucinatie-monitoring en prestatiedrift-detectie als standaard beheercomponent in productie-omgevingen.

De beheerprocessen van Twentynext zijn ISO-gecertificeerd, wat betekent dat monitoring, periodieke retraining en incident-respons zijn vastgelegd in gedocumenteerde procedures. Voor klanten in de zorg of financiële dienstverlening is dit een vereiste; voor andere sectoren is het een concurrentievoordeel dat aantoont dat AI-systemen ook na go-live betrouwbaar blijven.

Onderdeel 6: Menselijke escalatie

Volledig autonome AI-besluitvorming is in hoog-risico toepassingen juridisch en ethisch problematisch. Het governance-framework definieert op welk punt een AI-uitkomst verplicht ter beoordeling aan een menselijke expert wordt voorgelegd, en wie die expert is. Dit geldt zowel voor reguliere uitzonderingsgevallen als voor situaties waarin het model een lage betrouwbaarheidsscore meldt.

Martijn van Grieken, Director AI Development bij Twentynext, omschrijft de filosofie achter deze aanpak als volgt: "Wij zijn niet uniek in wat we doen, wel in hoe we het doen, we geven data-professionals de ruimte om te experimenteren en te leren van mislukkingen." Dat experimenteerruimte heeft ook een keerzijde: wie experimenteert zonder governance-kader, ontdekt fouten pas als ze al klantimpact hebben gehad.

Zelf aan de slag:

• Loop de zes onderdelen langs en noteer voor elk onderdeel of je organisatie aantoonbare documentatie heeft.
• Ontbreken er meer dan drie onderdelen? Beschouw het als een compliance-risico voor de EU AI Act-deadline van augustus 2026.
• Controleer of je audit-logging-architectuur al beschikbaar is vóór go-live van een AI-systeem; dit achteraf toevoegen kost doorgaans meervoudig meer tijd.
• Leg escalatieprotocollen vast in een procedure die ook bij personeelswisselingen aantoonbaar overdraagbaar is.

Hoe ziet een governance-rollout er in de praktijk uit?

Stel je een middelgrote zorginstelling voor met drie lopende AI-projecten: een triage-ondersteunend systeem, een planningsalgoritme en een generatieve tool voor patiëntcommunicatie. Elk project is afzonderlijk gestart en heeft eigen technische documentatie, maar een overkoepelend governance-kader ontbreekt.

Een aanpak vergelijkbaar met die van Twentynext begint met een AI-inventarisatie over alle drie systemen, gevolgd door risicoclassificatie per toepassing. Het triage-systeem valt waarschijnlijk onder Bijlage III van de AI Act (hoog risico); het planningsalgoritme mogelijk ook. De generatieve tool voor communicatie valt onder het regime van beperkt risico met transparantieverplichting.

Na de classificatie volgt per systeem een gefaseerde governance-implementatie: data-classificatie en audit-logging voor het triage-systeem als eerste prioriteit, hallucinatie-monitoring voor de communicatietool als tweede. Het escalatieprotocol wordt organisatiebreed vastgesteld, zodat het niet per project opnieuw hoeft te worden uitgevonden.

Een governance-rollout bij complexe organisaties neemt in de praktijk doorgaans drie tot twaalf maanden in beslag, afhankelijk van het aantal systemen en de volwassenheid van de bestaande processen. Twentynext combineert daarbij strategisch advies, technische implementatie en ISO-gecertificeerd beheer in één traject. Dat maakt handover-overhead tussen meerdere leveranciers overbodig en zorgt voor continuïteit ook na de livegang.

Voor organisaties in Eindhoven en de bredere Brainport-regio is het voordeel van samenwerken met een lokale partner als Twentynext ook praktisch: korte lijnen tussen kennisinstellingen, industrie en gespecialiseerde data- en AI-bureaus maken proof-of-concepts en governance-trajecten financierbaar via regionale en nationale instrumenten. Bekijk de AI-oplossingen van Twentynext voor een overzicht van hoe die geïntegreerde aanpak er in de praktijk uitziet.

Vergelijking: governance aanpak zonder en met ISO/IEC 42001-kader

Wat betekent dit voor IT-managers en data-beslissers?

Voor een IT-manager of data-manager bij een middelgrote tot grote organisatie is AI-governance geen intern advies meer dat in de la verdwijnt. Het is een aantoonbare bedrijfsverplichting met een harde datum.

De meest gemaakte fout bij governance-implementaties

In de praktijk zien teams bij Twentynext één patroon terugkeren: organisaties beginnen met de technische laag (model, API, interface) en voegen governance achteraf toe als een compliance-checklist. Dat is de duurste volgorde. Audit-logging die achteraf wordt ingebouwd, vraagt doorgaans twee tot drie keer zoveel tijd als wanneer het bij aanvang van het project is gearchitecteerd. Hetzelfde geldt voor data-classificatie: als een model eenmaal in productie draait op ongedocumenteerde data, is het terugvinden en labelen van die data een aanzienlijke inspanning.

De rol van bestaande ISO-certificeringen

Organisaties die al werken met ISO 27001 of ISO 9001 hebben een structureel voordeel. De gedeelde High Level Structure maakt het mogelijk om AI-beheersmaatregelen te integreren in bestaande managementsystemen zonder een parallelle bureaucratie te bouwen. ISO/IEC 42001 is expliciet zo ontworpen dat het als extensie op bestaande normen werkt, niet als vervanging.

Wanneer heb je een externe partner nodig?

Niet elk onderdeel van het governance-framework vraagt om externe begeleiding. Use-case prioritering en data-classificatie kunnen interne teams doorgaans zelf uitvoeren met de juiste sjablonen. Hallucinatie-monitoring, drift-detectie en ISO-conforme beheerprocessen vereisen doorgaans technische diepgang die bij veel organisaties intern niet aanwezig is. Dat is precies het snijpunt waar een gespecialiseerd bureau als Twentynext waarde toevoegt: niet als vervanger van het interne team, maar als structurele partner die de technische beheerlaag levert en ISO-conform documenteert. Lees ook hoe Twentynext AI-architectuur keuzes begeleidt als basis voor verantwoorde implementatie.

Zelf aan de slag:

• Maak een inventarislijst van alle AI-systemen in je organisatie, inclusief tools die teams zelf hebben aangeschaft (shadow AI).
• Toets elk systeem aan de vier risicocategorieën van de EU AI Act. Systemen voor werving, kredietscoring of medische besluitvorming zijn vrijwel altijd hoog risico.
• Controleer of je huidige ISO-certificeringen de High Level Structure volgen. Zo ja, plan een gap-analyse voor ISO/IEC 42001.
• Bepaal intern welke governance-onderdelen je zelf implementeert en voor welke je een partner nodig hebt met ISO-conforme beheerprocessen.

Veelgestelde vragen

Wat is een AI-governance framework en waarom heb ik het nodig?

Een AI-governance framework is een geheel van beleid, processen en technische beheersmaatregelen dat bepaalt hoe een organisatie AI-systemen ontwikkelt, inzet en bewaakt. Het is nodig omdat de EU AI Act per 2 augustus 2026 hoog-risico toepassingen verplicht tot aantoonbare compliance, met boetes die kunnen oplopen tot 15 miljoen euro of 3% van de wereldwijde jaaromzet bij overtredingen. Organisaties zonder gedocumenteerd governance-kader lopen bij een audit een hoog non-compliance risico, ongeacht hoe goed het AI-systeem technisch functioneert.

Wat is ISO/IEC 42001 en is het verplicht voor Nederlandse organisaties?

ISO/IEC 42001:2023 is de eerste internationale norm voor AI-managementsystemen, gepubliceerd door ISO en IEC in december 2023. De norm is niet direct verplicht gesteld door de EU AI Act, maar biedt de operationele invulling van de vereisten die de wet stelt: het beschrijft hóe je verantwoord AI beheert, terwijl de wet aangeeft wát er moet gebeuren. In Nederland publiceert NEN de nationale versie als NEN-ISO/IEC 42001. Organisaties met hoog-risico toepassingen die de norm implementeren, staan aanzienlijk sterker bij een toezichtscontrole door de Autoriteit Persoonsgegevens of de Rijksinspectie Digitale Infrastructuur.

Welke zes onderdelen horen er minimaal in een AI-governance framework?

Een volledig governance-framework bestaat minimaal uit: use-case prioritering op basis van risiconiveau, data-classificatie per AI-toepassing, gedocumenteerde modelkeuze en architectuur, audit logging van alle AI-beslissingen, proactieve hallucinatie-monitoring en prestatiedrift-detectie, en een escalatieprotocol dat bepaalt wanneer een AI-uitkomst verplicht aan een menselijke expert wordt voorgelegd. Elk van deze zes onderdelen correspondeert met beheersmaatregelen in Annex A van ISO/IEC 42001 en sluit aan op de transparantie- en toezichtseisen van de EU AI Act. Ontbreekt één onderdeel, dan is het framework bij een audit doorgaans niet aantoonbaar compleet.

Hoe helpt Twentynext bij het opzetten van een AI-governance framework?

Twentynext begeleidt organisaties op alle zes onderdelen van het governance-framework, van strategisch advies tot technische implementatie en ISO-gecertificeerd beheer na go-live. De aanpak start altijd bij de businessuitdaging: welke AI-toepassingen zijn er, wat is het risiconiveau en welke governance-laag is daarvoor noodzakelijk? Twentynext combineert data-engineering, Data Science en beheer in één geïntegreerde dienstverlening, waardoor klanten niet afhankelijk zijn van meerdere leveranciers voor strategie, implementatie en monitoring. Voor klanten in sectoren als zorg of financiële dienstverlening, waar continuïteitseisen hoog zijn, is de ISO-gecertificeerde beheerlaag een onderscheidende factor.

Wat kost het als mijn organisatie de EU AI Act-deadline mist?

Non-compliance bij hoog-risico AI-systemen kan leiden tot boetes van maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Bij gebruik van verboden AI-toepassingen lopen de maximumboetes op tot 35 miljoen euro of 7% van de wereldwijde jaaromzet. Naast de financiële consequenties speelt reputatierisico: toezichthouders publiceren in toenemende mate handhavingsbesluiten. Organisaties die nu beginnen met een gestructureerde governance-implementatie, hebben bij de deadline van 2 augustus 2026 een aanzienlijk sterkere positie dan organisaties die compliance als administratieve nabehandeling beschouwen.

Conclusie

AI zonder governance is een beheersbaar experiment dat vroeg of laat onbeheersbaar wordt. De combinatie van versnellende AI-adoptie onder Nederlandse bedrijven en de gefaseerde inwerkingtreding van de EU AI Act maakt een gestructureerd governance-framework niet langer een nice-to-have, maar een operationele vereiste.

ISO/IEC 42001 biedt het internationale referentiekader. De zes onderdelen van een compleet framework, van use-case prioritering tot escalatieprotocol, geven organisaties een concreet pad van inventarisatie naar aantoonbare compliance. Hoe eerder dat pad wordt bewandeld, hoe minder duur de uitvoering.

Twentynext ondersteunt organisaties in Eindhoven en heel Nederland bij dit traject: van de eerste gap-analyse tot ISO-gecertificeerde beheerprocessen die modellen betrouwbaar houden lang na de go-live. Neem contact op via de Twentynext-contactpagina voor een eerste gesprek over de governance-gereedheid van jouw organisatie.