Welkom bij Protify.

We plaatsen conform cookiewetgeving ℹ️ en onze privacy policy alleen strikt-noodzakelijke functionele cookies. 😊

Voor bezoekersanalyse gebruiken we Google Analytics (ook cookieless). Mogen we voor een beter begrip ook enkele Google Analytics analytische cookies plaatsen?

Waar AI -regulering en ISO 27001 elkaar raken 

Geschreven door Protify

De Europese AI Act moet ervoor zorgen dat er betere regulatie gaat plaatsvinden ten aanzien van hoe organisaties omgaan met kunstmatige intelligentie. Voor security officers en IT-specialisten is dit geen losstaand compliance-dossier maar een uitbreiding van de informatiebeveiligingskaders zoals de ISO 27001. 

De praktijk is eerdere papieren regelgeving al geruime tijd voorbij. Dagelijks verwerken AI-systemen data en nemen beslissingen. Dit brengt nieuwe risico’s met zich mee die direct van invloed zijn op vertrouwelijkheid, integriteit en beschikbaarheid van informatie. 


De EU AI Act vs ISO 27001

De ISO 27001 is opgesteld vanuit risicomanagement. Een aanpak die begint bij risico’s vaststellen en beoordelen. Vervolgens wordt er per risico een relevante beheersmaatregel geïmplementeerd. De AI-act is gebouwd vanuit een vergelijkbare logica maar dan met specifieke focus op AI. De AI Act gaat uit van verschillende risiconiveaus: 

  • Onacceptabel risico > verboden toe te passen 
  • Hoog risico > Strenge compliance-eisen 
  • Beperkt risico > transparantieverplichtingen 
  • Minimaal risico > beperkte regulering  

Organisaties die ISO 27001 op een hoog volwassenheidsniveau geïmplementeerd hebben, hebben ook een volwassen risicomanagement proces. Dat vormt een goede basis voor compliance met de AI Act.

Een concreet voorbeeld 

Een grote Europese bank heeft ISO 27001 niet alleen geïmplementeerd als certificering, maar geïntegreerd in de volledige governance structuur. Binnen de organisatie is risicomanagement continu en data gedreven ingericht:

  • Alle informatiesystemen zijn opgenomen in een centraal risico register.
  • Risico’s worden periodiek opnieuw beoordeeld op basis van dreigingsinformatie en business impact.
  • Het bestuur heeft een duidelijke grens van risico geformuleerd die aangeeft wat je als organisatie oké vindt voordat je extra maatregelen stelt. Deze formulering wordt ook wel ‘risk appetite’ genoemd. Zo is het aannemelijk dat een organisatie een low ‘risk appetite’ heeft tav risico’s die betrekking hebben op klantgegevens maar een high ‘risk appetite’ voor gecontroleerde innovatie in niet-productieomgevingen zoals bijvoorbeeld test- en ontwikkelomgevingen.
  • AI use cases ondergaan voor de start een DPIA als interne standaard. Dit is in lijn met de GDPR-verplichting, die een DPIA voorschrijft wanneer een verwerking waarschijnlijk een hoog privacy risico oplevert voor betrokkenen. Dit is bij AI-toepassingen regelmatig het geval maar niet automatisch aan de orde.
  • AI use cases ondergaan vooraf een model risk assessment. Een model risk assessment kijkt niet alleen naar data of IT-security, maar specifiek naar het gedrag, de betrouwbaarheid en de impact van het model zelf. Denk aan vragen zoals: Doet het model wat we denken dat het doet? Kan het model verkeerde of bevooroordeelde uitkomsten geven? Wat is de impact als het model fout zit? Kunnen we het model uitleggen en controleren?

Door deze volwassen aanpak ontstaat direct aansluiting op de AI Act:

  • Risicoclassificatie van AI systemen sluit aan op bestaande risk frameworks
  • Documentatievereisten van de AI Act worden ingevuld via bestaande audit trails
  • Monitoring en logging van AI systemen valt binnen bestaande security monitoring processen
  • Governance rollen zoals risicoeigenaar en compliance verantwoordelijken zoals een CISO/Security officer bestaan al en hoeven niet opnieuw ingericht te worden

Kort samengevat: ISO 27001 volwassenheid zorgt ervoor dat AI governance geen nieuw systeem hoeft te zijn, maar een uitbreiding van bestaande processen.

Data en datakwaliteit

Bij ISO 27001 gaat het vooral om het goed beveiligen van data. De EU AI act kijkt niet alleen naar beveiliging maar ook naar de kwaliteit van data.

Dat betekent dat je moet letten op:

  • De data waarnee een AI is getraind
  • Of de data eerlijk en zonder vooroordelen is (bias)
  • Waar de data vandaan komt en of je dat kunt aantonen

Voor securityteams zorgt dat voor een verbreding in focus van “is de data goed beveiligd?” naar “Is de data goed genoeg om AI mee te laten werken?”

Dit is belangrijk omdat AI alleen goede beslissingen kan nemen als de data klopt. Daarom moet je als organisatie niet alleen je data beschermen maar ook bijhouden waar data vandaan komt. Vastleggen wat ermee gebeurt en kunnen volgen hoe data door systemen gaat. Dit bestond vaak al deels binnen securityprocessen maar wordt nu strenger en duidelijker verplicht.

Een volwassen implementatie van ISO 27001 biedt dus niet alleen zekerheid op het gebied van informatiebeveiliging, maar vormt ook een strategische basis om snel en aantoonbaar te voldoen aan nieuwe regelgeving zoals de AI Act.

Wil je weten waar jouw organisatie staat en hoe je dit praktisch vertaalt naar jouw situatie? Neem contact op met een een van onze consultants en krijg direct inzicht in de stappen die nodig zijn om zowel je risicomanagement als AI compliance naar een hoger niveau te brengen. Wil je concreet inzicht in hoe jouw organisatie deze stap efficiënt kan maken en waar mogelijke gaps zitten? Neem contact op voor een vrijblijvend kennismakingsgesprek met één van onze ISO 27001 consultants

Avatar foto

Protify

Volg ons voor meer informatie over grip op compliance ook via LinkedIn

Aragorn: praktijkcase ISO 27001 in het MKB