TP is sinds enige tijd ISO 42001-gecertificeerd. Daarmee behoort het bedrijf tot de eerste groep organisaties wereldwijd die dit certificaat in huis heeft. De ISO-norm 42001 helpt organisaties om op een beheerste en verantwoorde manier AI-toepassingen te ontwikkelen en te gebruiken.
TP is ISO 42001 gecertificeerd. Onderdeel van het proces was het van A tot Z doorlopen en uitgebreid documenteren van alle processen waar AI in wordt toegepast en hoe dat gebeurt. Met als slotakkoord een audit door BSI in februari 2026, elf maanden na de start van het traject.
ISO 42001 past in DNA van TP
“We liepen eigenlijk al vooruit op dit certificeringsproces”, blikt Herman Stuiver, IT Director Benelux, Nordics en Suriname, terug.
“Onze TP.ai FAB-propositie ofwel Foundational AI Backbone – dat is ons aanbod gericht op specifieke verticals waarbij we strikt sturen op resultaat – voldeed al grotendeels aan de hoge eisen van ISO 42001. Dat we nu deze extra stap hebben gezet, is een logisch gevolg van hoe TP nieuwe diensten ontwikkelt. Standaardisatie en betrouwbaarheid zijn bij ons een fundamenteel uitgangspunt.”
Stuiver legt uit dat ISO 42001 veel meer is dan een vinkje. “Het is een volwaardig AI-managementsysteem dat garandeert dat je AI controleerbaar, ethisch en transparant ontwikkelt en beheert. Je moet exact kunnen verantwoorden welke Large Language Models (LLM’s) je gebruikt, hoe je risico’s monitort en hoe de guardrails zijn ingericht. Ook moet je kunnen aantonen welke API-calls er per case worden gedaan, zodat elk resultaat 100 procent reproduceerbaar is. Bovendien eist de norm duidelijkheid over de rol van de mens: wanneer is er sprake van een human in the loop? Je dwingt jezelf om al je AI-activiteiten volledig auditeerbaar te organiseren. In gereguleerde sectoren is dat vandaag de dag een absolute must.”
ISO/IEC 42001 is bedoeld voor organisaties die AI-producten of -diensten aanbieden of gebruiken, en borgt verantwoorde ontwikkeling en inzet van AI-systemen. Het certificaat kan alleen worden verkregen nadat een geaccrediteerde derde partij een audit heeft uitgevoerd. De certificering is drie jaar geldig; jaarlijkse toezichtsaudits zijn vereist. DNV en BSI zijn sinds januari 2025 geaccrediteerd door de Raad voor Accreditatie voor ISO 42001-certificering in Nederland. Het certificaat is nog niet door heel veel organisaties verkregen. De afgelopen tijd behaalden onder meer CRM-gigant Pega, messagingbedrijf CM.com, CRM-speler Salesforce, WFM-speler Calabrio en CCaaS-aanbieders Talkdesk, Zendesk en Genesys het certificaat. Ook hyperscalers zoals AWS, Google en Microsoft hebben voor hun AI-activiteiten het certificaat behaald.
Geen papieren tijger
ISO 42001 is dus geen certificaat dat na de audit in een bureaulade belandt, zegt Stuiver. “Integendeel. Onze oplossingen moeten ‘by design’ veilig en transparant zijn opgebouwd. Daarbij gaat het natuurlijk niet alleen om het simpelweg loggen van acties, maar om continue kwaliteitscontrole en het proactief sturen op betrouwbaarheid. ISO 42001 is dus letterlijk verankerd in de architectuur van al onze AI-tools en alle processen eromheen. Zodra we met een opdrachtgever om tafel zitten, vormen de principes van deze norm het vertrekpunt voor de samenwerking.”
Hij benadrukt dat AI een gelaagde technologie is. “De grote leveranciers, zoals OpenAI, Gemini, Anthropic of het Europese Mistral, bouwen de fundamentele basismodellen. Daarbovenop heb je technologiepartners die gespecialiseerde applicaties ontwikkelen. TP voegt daar de last mile aan toe; denk aan de orkestratie van al deze technologieën. Wij verbinden de modellen en applicaties met de complexe, bedrijfskritische processen van de klant. Iedereen heeft inmiddels toegang tot AI-technologie, maar juist in die last mile willen wij de grootste toegevoegde waarde bieden.”
Complexiteit wegnemen
Compliant zijn aan ISO 42001 klinkt als een arbeidsintensief proces. Gaat het niet ten koste van je innovatiesnelheid?
“Je snelheid zal juist toenemen,” zegt Stuiver. “Wie nu volgens ISO 42001 werkt, is direct voorbereid op de EU AI Act. Je bouwt een strategische voorsprong op. Bedrijven die zaken als privacy, security en transparantie pas achteraf inbouwen, nemen onverantwoorde risico’s. Denk aan de gevaren van AI die gaat hallucineren, verkeerde beslissingen neemt of ongewenste bias in de uitkomsten vertoont. Door volgens deze norm te werken, nemen wij voor onze klanten een enorme berg complexiteit weg. Zij kunnen toekomstbestendig en zonder koudwatervrees innoveren.”
Dit is met name cruciaal voor organisaties die de transitie maken van een traditionele, op regels gebaseerde chatbot naar geavanceerde generatieve AI, zegt Stuiver. “Bedrijven besteden end-to-end processen aan ons uit. Wij handelen in hun naam en dragen de verantwoordelijkheid voor kwaliteit. ISO 42001 is daarbij ons kwaliteitsstempel.”
Nieuwe rollen
Zoals gezegd is TP van nature gericht op het standaardiseren van werkprocessen. Daarom heeft het verkrijgen van het certificaat op zich niet tot grote veranderingen geleid binnen de organisatie, zegt Stuiver. “De orkestratiefunctie, het continu finetunen van modellen en het integreren van specifieke domeinkennis nemen wel een steeds prominentere plek in. Daardoor zien we onze rollen evolueren en groeit het aandeel gespecialiseerde AI-functies binnen TP snel.”
Op de vraag hoe TP toezicht houdt op de naleving, schetst Stuiver een helder beeld: “Onze wereldwijde Global Privacy, Risk & Compliance Office houdt stevig toezicht en we voeren strakke interne audits uit. Maar compliance ligt absoluut niet alleen bij hen. Het zit verweven in onze dagelijkse way of working en in al onze processen. Het is een organisatiebrede verantwoordelijkheid, waarbij onze AI-teams de ISO-norm gebruiken als standaard ontwerpprincipe.”
Goede voorbereiding op EU AI Act
ISO 42001 is een goede aanloop op weg naar de EU AI Act, die gefaseerd in werking reedt (zie kader verderop). “De overlap is groot,” legt Stuiver uit. “Denk aan de verplichting tot transparantie, de inzet van menselijk toezicht en het actief mitigeren van vooringenomenheid. ISO 42001 dwingt je om dit strak in je klantcontactprocessen te borgen.”
Stuiver ziet de normering ook als de ontbrekende schakel in de zogeheten ‘golden triangle’. “Samen met ISO 27001 voor informatiebeveiliging en ISO 27701 gericht op privacy vormt het een ijzersterk fundament. Beveiliging en privacy waren al onze USP’s, maar in het AI-tijdperk is die drieslag absoluut onmisbaar.”
EU AI Act – ISO/IEC 42001 sluit goed aan op de EU AI Act, die sinds augustus 2024 gefaseerd in werking treedt. Een van de eerste verplichtingen (ingegaan op 2 februari 2025) is de AI-geletterdheid van medewerkers die werken in organisaties die AI inzetten of ontwikkelen. Twee andere belangrijke momenten zijn augustus 2026 en augustus 2027; dit jaar treden de handhavingsmogelijkheden in werking en volgend jaar moeten alle toepassingen – inclusief de LLM’s, die aangeduid worden als general-purpose AI-modellen (GPAI), compliant zijn. Dit jaar moeten ook de high risk AI-toepassingen voldoen aan de wet: dat zijn toepassingen die selectieve beslissingen nemen over de toekomst van mensen (opleidingen, banen, uitkeringen et cetera).
Positief effect
Verwacht Stuiver dat naast technologiepartners, ook opdrachtgevers van TP zelf ook met deze ISO-norm aan de slag gaan? Je zou verwachten dat samenwerken met partners daarmee gemakkelijker wordt. Stuiver reageert: “De meeste technologieleveranciers waarmee we werken, hebben het certificaat inmiddels in huis. Maar als wij AI-oplossingen implementeren bij klanten, blijven wij de verantwoordelijke partij voor die dienstverlening. Voor de klant zelf is het behalen van de norm daardoor minder urgent.”
“Maar ik verwacht wél een ander groot effect,” besluit Stuiver. “Met dit certificaat elimineren we de risico’s en de laatste restjes koudwatervrees bij onze klanten, zodat we samen de innovatie veilig en verantwoord kunnen versnellen. Als ik aan de klantzijde zat, zou ik ISO 42001 vanaf nu standaard als harde eis opnemen in elke RFP. AI is geen toekomstmuziek meer, we zitten er middenin. ISO 42001 moet – net als ISO 27001 – de nieuwe, onbetwiste hygiënefactor worden.”
(Ziptone/Erik Bouwer)
Ook interessant
-
Met de certificering wil CM.com zich als Europees koploper in AI-governance positioneren; veel aanbieders van AI-diensten hebben nog geen certificering.
-
Calabrio heeft zijn AI-beheer gecertificeerd volgens ISO 42001, een wereldwijde norm voor het beheer van kunstmatige intelligentie.
-
ISO 42001 is een internationale norm voor het opzetten, implementeren, onderhouden en verbeteren van een Artificial Intelligence Management System.