Geplaatst 16-09-24
De nieuwe ISO 42001 helpt bedrijven om AI veilig en verantwoord in te zetten. Wil je aan de slag met de ISO 42001? Dat kan al met TrustBound GRC; neem even contact met ons op.
Maar eerst een paar stapjes terug: want wat houdt de norm precies in en wie kan deze toepassen? We vroegen het aan Kim van Lavieren, Managing Consultant, CISO en Security Acrhitect bij SimplifyNow. Hij legt uit waarom de norm belangrijk is, en hoe organisaties hiermee artificial intelligence op een gestructureerde en ethische manier kunnen gebruiken.
Welke organisaties moeten voldoen aan deze norm?
“De ISO 42001 is geen verplichting volgens huidige wet- en regelgeving. Maar de standaard is bij uitstek geschikt voor bedrijven die AI ontwikkelen en gebruiken in de bedrijfsvoering. De ISO 42001 biedt handvatten om het ontwikkelen en gebruiken van AI veilig, ethisch en risicogebaseerd plaats te laten vinden. Daarmee kunnen organisaties die gereguleerd zijn onder de EU AI Act de standaard heel goed toepassen om aan deze wet te voldoen. Ook als je organisatie niet hoeft te voldoen aan deze wet, stelt het je wel in staat om goede keuzes te maken over wanneer, waarom en hoe je AI wilt toepassen in je bedrijfsvoering.”
Het AI management Systeem uit de ISO 42001 is daarnaast nu als Integrated Management System te koppelen met o.a. de ISO 27001 (security) en de ISO 27701 (privacy). Hierdoor kun je gebruikmaken van een deel van dezelfde processen en daarmee een besturingsstructuur neerzetten die over al deze componenten goed te beheren en beter toe te passen is.
Wat wil je bereiken met deze norm?
“Het doel van een AI Management Systeem is een organisatie helpen risicogebaseerd maatregelen te nemen om AI veilig, ethisch en effectief toe te passen. Het systeem is gestoeld op de Plan, Do, Check, Act (PDCA) cyclus die aan de basis staat van alle ISO-management systemen. Dit houdt in, dat het systeem organisaties helpt om te gaan met veranderingen in de markt, technologie en de organisatie zelf. Dit kan doordat het systeem helpt een continue verbetercyclus op te zetten en vast te houden.
Door als organisatie aan de slag te gaan met de ISO 42001 stel je je organisatie in staat AI op een verantwoorde en effectieve manier in je organisatie te verankeren. Daarmee kan je organisatie het beste uit AI halen, zonder disproportionele risico’s te nemen!”
Waar moet je beginnen?
“De impact van een management systeem is zeer afhankelijk van de organisatie en de huidige staat. Doordat AI voor veel bedrijven een nieuwere technologie is, hebben veel organisaties nog maar een beperkte AI-footprint. Dit betekent dat bedrijven nu een perfecte kans hebben om het direct goed te doen. Door een AIMS op te bouwen in samenspraak met huidige AI-initiatieven verhoog je de kans van slagen van de initiatieven en bouw je pragmatisch een systeem op. Gebruik bijvoorbeeld bestaande Data Protection Impact Assessments om deze uit te bouwen naar AI-assessments i.p.v. iets geheel nieuws te verzinnen.
Door gebruik te maken van GRC-tooling, kun je dit process sneller en makkelijker uitvoeren. Hierbij is het essentieel om een management systeem te bouwen dat proportioneel is voor jouw organisatie. Kijk dus vooral naar je huidige situatie en bouw het systeem op met realistisch verwachtingen. Bijvoorbeeld, als je organisatie geen data governance uitvoert, is het moeilijker om goed AI-management te doen. Dit houdt in dat je in het AIMS aandacht moet besteden aan het opzetten van deze fundamentele functies die werken met AI mogelijk maken. Denk aan zaken als dataclassificatie, datakwaliteit, datalevenscycli, etc.”
Kies voor een insteek die niet te ver afstaat van de werkelijkheid. Begin bijvoorbeeld met het bouwen van data flow diagrammen voor de nieuwe initiatieven waar je AI wilt toepassen i.p.v. direct te eisen dat alle systemen in de organisatie een DFD hebben. Een AIMS gaat over continue verbetering en niet over direct de perfecte situatie neerzetten.
Wie in de organisatie moet je betrekken?
“Net als bij alle management systemen is het essentieel om “executive sponsorship” te hebben. Zoek naar een bestuurder in je organisatie die enthousiast is over AI. Gebruik deze mensen om als sponsor voor het programma te fungeren. Hiermee kun je zorgen dat je de belangrijke bestuurders in de organisatie aan tafel krijgt en daarmee werken aan het bouwen van draagvlak en commitment in de organisatie.
Aan de andere kant is het belangrijk om met verschillende stakeholders zoals de business en IT te spreken. Zo kan je samen met de business bepalen welke toepassingen van AI opportuun zijn voor de organisatie en hier het management systeem op aanpassen. Tegelijkertijd kan je samen met IT kijken welke maatregelen al beschikbaar zijn om de veilige inrichting van AI te faciliteren.
Uiteindelijk is het belangrijk om alle medewerkers te betrekken in AIMS. Dit kan je doen door medewerkers te voorzien van bewustzijn en te trainen op specifieke taken die zij uitvoeren met AI. Denk bijvoorbeeld aan het trainen van personeel over het gebruik van Microsoft Copilot en het geven van bewustzijnstrainingen over hallucinaties, bias, en ethische implicaties van AI.”
Wil je aan de slag met de ISO 42001? Dat kan al met TrustBound GRC! Neem even contact met ons op.
Over Kim van Lavieren
Kim van Lavieren is Security Architect en Managing Consultant bij SimplifyNow, en heeft uitgebreide ervaring op het gebied van informatiebeveiliging. Hij voltooide programma's aan Salem University, Cornell University en Bellevue University. Daarnaast is hij auteur van de "ISC2 Certified Cloud Security Professional (CCSP) Exam Guide" en geeft hij les als cybersecurity-instructeur voor diverse (ISC)²-certificeringen. Kim combineert zijn technische expertise met een pragmatische benadering van beveiliging, waarbij hij bedrijven helpt hun risico's effectief te beheersen en hun zakelijke doelstellingen veilig te realiseren.
Wil je een effectief ISMS?
Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor informatiebeveiliging (en privacy).