Je AI is zo veilig als je slechtste toeleverancier - en ISO 42001 alleen lost dat niet op

Laatst zat ik bij een grote zorginstelling die net een AI-systeem voor triage had ingekocht. De CISO vertelde trots: “De leverancier is ISO 42001 gecertificeerd, dus wij zijn safe.” Het klonk als een eindstation. Maar toen ik vroeg hoe die certificering zich vertaalde naar hun BIO2-verplichtingen, naar de DPIA die nog openstond, en naar de vraag of het model überhaupt getest was op adversarial inputs in hun eigen netwerkcontext, bleef het stil. Het certificaat was een fort, maar de poort stond wagenwijd open.

Die ervaring is geen uitzondering. In de publieke sector zien we een hardnekkig patroon: we behandelen AI-compliance als een checklist, en we vertrouwen erop dat als de leverancier zijn zaakjes op orde heeft, wij ook gedekt zijn. Dat is transitive trust: ik vertrouw jou, dus vertrouw ik alles wat jij vertrouwt. In cybersecurity heet dat al jaren een anti-pattern. Voor AI-systemen is het ronduit gevaarlijk.

Een recent paper op arXiv, Fortress and Gatekeeper: Transitive Trust in Third-Party Cybersecurity Risk Governance [1], legt de vinger precies op deze zere plek. De auteurs stellen dat ISO/IEC 42001:2023, de norm voor AI-managementsystemen, onvoldoende is om de risico’s van AI in de toeleveringsketen te beheersen. Niet omdat de norm slecht is, maar omdat organisaties hem als een geïsoleerd fort beschouwen: “de leverancier is gecertificeerd, dus het AI-systeem is veilig.” In werkelijkheid moet je per laag van de architectuur kunnen beoordelen of de beheersing volwassen genoeg is, en of die beheersing standhoudt in jouw specifieke context.

Het paper introduceert CEDAR-42001, een framework dat ISO 42001-conformiteit koppelt aan architectuurlagen, maturity assessment en concrete actie-adviezen. CEDAR staat voor Compliance-Enabled Defense and Architecture Review. Het is geen vervanging van ISO 42001, maar een operationele vertaling die je dwingt om verder te kijken dan het certificaat.

Bij klassieke IT-dienstverlening kun je nog enigszins vertrouwen op certificeringen: een ISO 27001-certificaat bij een hostingpartij zegt iets over hun fysieke beveiliging en toegangscontroles. Maar AI-systemen zijn fundamenteel anders. Een AI-model is geen statische component; het gedrag verandert op basis van data, prompts, en integraties. Een leverancier kan ISO 42001 hebben, maar als jij het model fine-tunet met gevoelige patiëntdata, of als jouw API-gateway geen rate limiting afdwingt, dan ben jij de zwakste schakel, niet de leverancier.

Het paper stelt: “Transitive trust in AI supply chains creates systemic risk blind spots, particularly when architectural layers are not independently assessed.” Oftewel: jij moet per architectuurlaag kunnen aantonen dat de beheersing volwassen genoeg is, ongeacht wat de leverancier belooft.

CEDAR-42001 deelt het AI-systeem op in vier architectuurlagen:

1. Data-laag, dataverzameling, preprocessing, opslag, datakwaliteit, bias-detectie.
2. Model-laag, modelarchitectuur, training, validatie, uitlegbaarheid, adversarial robustness.
3. Applicatie- en integratielaag, API’s, invoervalidatie, outputfiltering, logging, rate limiting.
4. Governance- en organisatielaag, beleid, rollen, incident response, leveranciersmanagement, DPIA.

Voor elke laag definieert CEDAR-42001 een maturity level op een schaal van 1 tot 5, vergelijkbaar met CMMI:

• Level 1 (Initial): ad-hoc, geen gestandaardiseerde processen.
• Level 2 (Managed): processen zijn gedocumenteerd en worden gevolgd, maar niet systematisch gemeten.
• Level 3 (Defined): processen zijn gestandaardiseerd en geïntegreerd in de organisatie.
• Level 4 (Quantitatively Managed): processen worden gemeten en op basis van data bijgestuurd.
• Level 5 (Optimizing): continue verbetering op basis van feedback en innovatie.