Kunstmatige Intelligentie in de financiële sector: wat de AI Act van u vraagt

Neemt u gerust contact met ons op 0682692429

Kunstmatige Intelligentie in de financiële sector: wat de AI Act van u vraagt

5 april 2025 W&R 0

Kunstmatige intelligentie is niet meer weg te denken uit onze sector

Of het nu gaat om klantenservice, risicobeoordeling, beleggingsstrategieën of compliance: steeds vaker worden processen ondersteund of zelfs gestuurd door algoritmes en zelflerende systemen. Het is een ontwikkeling die veel voordelen biedt. Automatisering verhoogt de efficiëntie, AI kan voorspellingen doen op basis van enorme hoeveelheden data, en digitale dienstverlening wordt steeds slimmer en sneller.

Tegelijkertijd is het belangrijk om stil te staan bij de risico’s van deze technologie. Kunstmatige intelligentie is niet neutraal. Systemen nemen beslissingen op basis van data, maar die data is niet altijd representatief of eerlijk. Bovendien is de werking van veel AI-systemen lastig uit te leggen – zelfs voor de ontwikkelaars zelf. En dat botst met het fundamentele principe van transparantie, dat in de financiële sector van groot belang is.

Daarom komt de Europese Unie met nieuwe regelgeving: de AI Act. En die regelgeving heeft directe gevolgen voor financiële instellingen – ook voor organisaties die AI via externe leveranciers gebruiken.

Wat is de AI Act precies?

De AI Act is een nieuwe Europese wet die het gebruik van kunstmatige intelligentie reguleert. Het doel van de wet is om ervoor te zorgen dat AI-systemen op een veilige, transparante en betrouwbare manier worden ingezet. De wet werd in 2024 formeel aangenomen en wordt tussen 2025 en 2027 stapsgewijs ingevoerd.

De wet deelt AI-systemen in op basis van het risico dat ze vormen voor de rechten en vrijheden van burgers. Daarbij geldt: hoe groter het risico, hoe strenger de verplichtingen.

Zo zijn bepaalde AI-systemen per februari 2025 al verboden. Denk hierbij aan toepassingen die mensen manipuleren, discrimineren of sociale scores toekennen. Andere systemen vallen in de categorie ‘hoog risico’. Die mogen wel worden gebruikt, maar alleen onder strikte voorwaarden. En daar vallen veel financiële toepassingen onder – zoals systemen die worden ingezet bij kredietbeoordeling, geautomatiseerde besluitvorming of risicoselectie.

De AI Act stelt eisen aan onder andere transparantie, menselijke controle, documentatie, beveiliging en toezicht. Organisaties die deze regels niet naleven, kunnen stevige sancties opgelegd krijgen. De boetes kunnen oplopen tot zes procent van de wereldwijde jaaromzet – vergelijkbaar met de AVG.

Wat betekent dit voor pensioenfondsbestuurders?

AI wordt binnen pensioenfondsen steeds vaker ingezet – bijvoorbeeld bij keuzebegeleiding, datagedreven communicatie, risicomanagement en procesautomatisering. Vaak gebeurt dit via uitvoeringsorganisaties of leveranciers. Maar let op: ook als AI ‘ver van uw stoel’ lijkt te staan, blijft het bestuur eindverantwoordelijk.

DNB en AFM verwachten dat fondsbestuurders weten waar AI binnen hun organisatie wordt toegepast, welke risico’s daaraan kleven en hoe deze worden beheerst. AI raakt niet alleen aan IT of compliance, maar ook aan governance en de zorgplicht richting deelnemers. Bestuurlijke betrokkenheid is dus geen luxe, maar noodzaak.

Wat moet u concreet regelen?

Hieronder leggen we uit welke acties u nu al kunt ondernemen om te voldoen aan de AI Act en aan de verwachtingen van de toezichthouders.

1. Breng in kaart waar binnen uw organisatie AI wordt ingezet.
Dat klinkt eenvoudig, maar blijkt in de praktijk lastig. AI zit vaak ‘verstopt’ in standaardsoftware, wordt gebruikt in geautomatiseerde klantinteracties of draait op de achtergrond bij data-analyses. U kunt hiervoor starten met een inventarisatie onder IT, klantenservice en data-analyse.

2. Vraag uw leveranciers of hun systemen AI bevatten.
Vaak wordt AI geleverd via externe partijen, zoals uitvoeringsorganisaties of softwareleveranciers. De AI Act maakt duidelijk dat u verantwoordelijk blijft voor het eindgebruik – óók als u zelf niet direct aan de knoppen zit. Vraag na of AI wordt gebruikt, waarvoor, en of het om een hoog-risico toepassing gaat.

3. Beoordeel het risiconiveau van elk AI-systeem.
De AI Act onderscheidt vier risiconiveaus. In de financiële sector zal het vaak gaan om systemen die in de categorie ‘hoog risico’ vallen. Denk aan beslissingen over acceptatie, scoring, toezicht op transacties of communicatie met klanten. Voor deze toepassingen gelden extra eisen.

4. Zorg voor voldoende transparantie.
De wet vereist dat mensen geïnformeerd worden als AI invloed heeft op een besluit. In begrijpelijke taal moet uitgelegd worden hoe dat werkt en wat het effect is. Denk aan aangepaste privacyverklaringen, informatie op de website of toelichting bij automatische beslissingen.

5. Organiseer menselijke controle op AI-beslissingen.
Voor hoog-risico AI geldt dat een mens altijd moet kunnen ingrijpen. Dit vereist meer dan alleen een ‘optie tot bezwaar’. Het betekent dat u intern moet regelen dat een medewerker een besluit kan herzien, stopzetten of overnemen van de AI.

6. Voer DPIA’s uit voor risicovolle AI-toepassingen.
Een DPIA – een Data Protection Impact Assessment – is verplicht voor systemen die aanzienlijke gevolgen kunnen hebben voor betrokkenen, zoals bij het verwerken van persoonsgegevens in geautomatiseerde processen. Dit is niet alleen een juridische check, maar ook een moment om kritisch te kijken naar proportionaliteit, uitlegbaarheid en risico’s.

7. Zorg voor goede beveiliging van AI-systemen.
AI-systemen zijn kwetsbaar voor manipulatie of datalekken. De wet eist daarom beveiligingsmaatregelen die passen bij het risico. Denk aan versleuteling van data, toegangscontrole, monitoring en detectie van misbruik.

8. Leg alles goed vast in contracten en verwerkersovereenkomsten.
Als uw organisatie AI betrekt via derden, moeten de verantwoordelijkheden contractueel worden vastgelegd. Dit geldt niet alleen voor nieuwe aanbestedingen, maar ook voor bestaande contracten. Bepaal wie verantwoordelijk is voor de AI-systemen, hoe toezicht wordt gehouden, en welke informatie gedeeld moet worden bij incidenten.

9. Zorg voor kennis en bewustzijn binnen uw organisatie.
Bestuurders, toezichthouders, CISO’s, functionarissen gegevensbescherming en compliance officers moeten op hoofdlijnen weten wat AI is, welke toepassingen er zijn, en wat hun rol is bij toezicht. AI-geletterdheid wordt de komende jaren net zo belangrijk als privacybewustzijn.

Tot slot: begin op tijd

De invoering van de AI Act verloopt gefaseerd, maar dat betekent niet dat pensioenfondsen kunnen wachten tot 2027. Juist nu is het moment om grip te krijgen op het gebruik van AI – binnen de eigen organisatie én bij uitvoeringsorganisaties en leveranciers. Wacht niet tot de toezichthouder vragen stelt over transparantie, datakwaliteit of deelnemerscommunicatie. Breng in kaart waar AI wordt ingezet, beoordeel de risico’s, en zorg dat toezicht, verantwoording en bestuur betrokken zijn bij de inzet van deze technologie. Kunstmatige intelligentie is geen hype – het is een structureel onderdeel van het financiële landschap geworden.

De vraag is niet óf u ermee te maken krijgt, maar hoe goed u voorbereid bent.

Bezoekadres: Wessemerdijk 11 | 6031 SG Nederweert | KvK 83125205

Info@c-i-c.nl (algemeen) edcreusen@c-i-c.nl nataschawesten@c-i-c.nl

Ed Creusen +31(0)6 20493611 Natascha Westen +31 (0)6 82692429 Robbert van Schaik +31 (0)6 46271081

©  2025 . Compliance-i-Consultancy B.V. | Follow us on LinkedIn and Twitter