Normalisatie en AI: waarom normen straks cruciaal worden voor compliance met de AI Act

    - - / 3 February 2026

    De AI Act is al een tijd geleden aangenomen, maar de praktische compliancepraktijk begint nu pas echt vorm te krijgen. Eind 2025 is namelijk de eerste ontwerp-norm (prEN) onder de AI Act in publieke consultatie gegaan. Daarmee is een belangrijk kantelpunt bereikt: de vertaalslag van wetgeving naar concrete technische eisen wordt nu écht een realiteit.

    Dit blog is het eerste deel in een reeks waarin wij in 2026 stilstaan bij de belangrijkste ontwikkelingen rondom de AI Act en één van de meest onderschatte onderdelen daarbij, namelijk normalisatie.

    De Europese Commissie heeft namelijk al in mei 2023 een formeel standaardisatieverzoek gedaan om Europese normen te ontwikkelen ter ondersteuning van de verplichtingen voor hoogrisico-AI-systemen. De resultaten daarvan gaan we dit jaar steeds zichtbaarder terugzien. Normalisatie is daarmee niet langer een abstract toekomsttraject. De verwachting is dat meerdere normen in de loop van 2026 in publieke consultatie zullen worden gebracht via de werkgroepen van de Europese normalisatiecommissie.

    Daarom neem ik je in dit blog mee langs drie niveaus van normalisatie: internationaal, Europees en uiteindelijk de geharmoniseerde normen die straks direct aansluiten op de AI Act.

    1. Internationale standaarden: de wereldwijde basis

    Normalisatie begint op internationaal niveau. Organisaties zoals de ISO (International Organization for Standardization) en de IEC (International Electrotechnical Commission) ontwikkelen technische standaarden die wereldwijd toepasbaar zijn.

    Binnen AI-domein is met name het comité ISO/IEC JTC 1/SC 42 relevant. Hier worden standaarden ontwikkeld over onderwerpen als:

    • terminologie en kernbegrippen rondom AI;

    • risicomanagement en governance;

    • transparantie en uitlegbaarheid;

    • datakwaliteit en bias-mitigatie;

    • lifecycle management van AI-systemen.

    Internationale standaarden bieden organisaties een gemeenschappelijke basis. Ze zorgen er wereldwijd voor dat AI niet per land of sector fundamenteel verschillend wordt benaderd en vormen vaak het vertrekpunt voor verdere Europese normontwikkeling. Voor bedrijven met internationale activiteiten zijn deze standaarden bovendien van belang om consistent beleid te voeren over meerdere rechtsgebieden heen.

    2. Europese normen: verdere uitwerking binnen het EU-kader

    Hoewel internationale standaarden richtinggevend zijn, kent Europa een eigen normalisatie-ecosysteem. Binnen de EU worden normen opgesteld door:

    • CEN (European Committee for Standardization)

    • CENELEC (elektrotechnische normen)

    • ETSI (telecom en digitale infrastructuur)

    Deze Europese normen bouwen vaak voort op ISO-standaarden, maar leggen extra nadruk op Europese waarden en juridische kaders, zoals:

    • Productveiligheid;

    • bescherming van fundamentele rechten, waaronder privacy en non-discriminatie;

    • menselijke controle en toezicht; en

    • aansluiting op bestaande Europese regelgeving.

    De EU ziet normalisatie nadrukkelijk als instrument om innovatie mogelijk te maken, maar tegelijkertijd het vertrouwen in AI-systemen te versterken.

    3. Geharmoniseerde normen: de compliance-sleutel onder de AI Act

    De meest relevante stap voor organisaties is de ontwikkeling van geharmoniseerde normen. Dit zijn Europese normen die door de Europese Commissie formeel worden aangewezen ter ondersteuning van EU-wetgeving, waaronder de AI Act.

    Tijdens de ontwikkeling worden normen vaak gepubliceerd als “prEN” (preliminary European Norm): ontwerpversies die nog niet definitief zijn vastgesteld, maar wel al richting geven aan toekomstige verplichtingen. Pas zodra een norm definitief is vastgesteld én de referentie door de Commissie wordt gepubliceerd in het Publicatieblad van de EU, ontstaat een geharmoniseerde Europese norm: “hEN” (harmonised European Standard).

    Waarom worden geharmoniseerde normen zo belangrijk?

    De AI Act bevat, net als veel andere EU-verordeningen, open geformuleerde verplichtingen, met name voor hoogrisico-AI-systemen en hun aanbieders. Waar de AI Act het “wat” voorschrijft, zullen geharmoniseerde normen het “hoe” invullen. Daarmee vormen zij voor veel organisaties dé praktische route naar aantoonbare compliance. Wie voldoet aan een geharmoniseerde norm, kan bovendien profiteren van een belangrijk juridisch mechanisme: het vermoeden van conformiteit (presumption of conformity). Toezichthouders mogen er dan in beginsel van uitgaan dat aan de relevante wettelijke eisen is voldaan, mits de norm correct is toegepast.

    Welke normentrajecten lopen er nu onder de AI Act?

    De Europese Commissie heeft in mei 2023 een formeel standaardisatieverzoek gedaan aan CEN en CENELEC om Europese geharmoniseerde normen te ontwikkelen ter ondersteuning van de eisen voor hoogrisico-AI-systemen onder de AI Act. Dit verzoek vormt het fundament onder het huidige normontwikkelingstraject.

    CEN-CENELEC JTC 21: het kerncomité voor AI Act-normen

    Het zwaartepunt van dit traject ligt bij de Joint Technical Committee: CEN-CENELEC JTC 21 – Artificial Intelligence (“JTC 21”). Deze commissie is opgericht en heeft als expliciete opdracht om Europese AI-normen te ontwikkelen die de uitvoering van de AI Act ondersteunen. JTC 21 werkt via verschillende werkgroepen aan zogeheten horizontale normen: normen die sectoroverstijgend gelden en direct aansluiten bij de kernverplichtingen uit de AI Act.

    Belangrijk is dat JTC 21 niet volledig vanaf nul begint: veel werk bouwt voort op bestaande ISO/IEC-standaarden, maar wordt aangepast aan Europese juridische vereisten. In veel gevallen wordt er ook verwezen naar ISO/IEC-standaarden als ondersteunende normen.

    De onderwerpen: normen voor de kernverplichtingen van hoogrisico-AI-systemen

    De Europese Commissie heeft tien hoofdonderwerpen benoemd waarvoor normen ontwikkeld moeten worden. De belangrijkste daarvan zijn:

    • risicobeheersystemen voor AI;

    • governance en kwaliteit van datasets;

    • documentatie en logging;

    • transparantie en informatie voor gebruikers;

    • menselijk toezicht;

    • accuraatheid en robuustheid;

    • cybersecurity-eisen;

    • kwaliteitsbeheersystemen voor aanbieders.

    Voor organisaties betekent dit: deze normen gaan straks bepalen hoe de verplichtingen uit hoofdstuk III van de AI Act voor hoogrisico-AI-systemen en hun aanbieders concreet moeten worden geïmplementeerd.

    Eerste norm in consultatie

    Een belangrijke recente ontwikkeling is dat eind 2025 de eerste AI Act-norm in consultatie is gegaan: prEN 18286 – AI Quality Management System for EU AI Act purposes. Deze norm is bedoeld om aanbieders van hoogrisico-AI-systemen te ondersteunen bij artikel 17 AI Act (kwaliteitsbeheersystemen). De publieke consultatie liep tot 29 december 2025. De verwachting is dat in 2026 meerdere normen van andere werkgroepen eveneens in consultatie zullen verschijnen.

    Omdat het traject achterloopt op de implementatieplanning van de AI Act, hebben CEN en CENELEC in 2025 besloten het proces te versnellen. De verwachting is dat een volgende pakket normen tussen 2026 en 2027 zal worden vastgesteld en vervolgens door de Commissie kan worden geharmoniseerd.

    Praktische relevantie: nu al voorsorteren

    Voor aanbieders betekent dit dat compliance niet alleen juridisch zal worden beoordeeld, maar steeds meer technisch wordt genormaliseerd. Strategisch is het daarom verstandig om nu al:

    • prEN-trajecten te volgen. Zie hier het werkprogramma van JTC21;

    • ondersteunende ISO/IEC-standaarden te volgen en eventueel te implementeren;

    • kwaliteits- en risicobeheerprocessen organisatorisch in te richten.

    Slot: normen als routekaart voor AI Act-compliance

    De AI Act geeft het juridische kader, maar normen gaan in de praktijk bepalen hoe organisaties aantoonbaar compliant worden. Wie nu al zicht krijgt op de normontwikkeling en tijdig voorsorteert, bouwt aan robuuste AI-governance en voorkomt dat compliance straks een inhaalrace wordt. Normalisatie is geen technisch detail, maar een cruciaal onderdeel van AI-regulering.

    In de komende blogs in deze reeks gaan wij verder in op de belangrijkste ontwikkelingen rondom de AI Act en geharmoniseerde normen die organisaties in 2026 kunnen verwachten.

    Op 2 augustus 2026 zal de AI Act volledig van toepassing zijn. Dit betekent voor CAICO®'s een nog grotere urgentie om bij te dragen aan goede AI compliance binnen organisaties. Tijdens onze alumni-middag krijg je praktische handvatten en strategische inzichten.

    Inschrijven alumni-middag
    Terug naar overzicht

    Machiel Takens

    Business Development Manager
    Lees meer
    CTA - AI & algoritmes

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security compliance
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram