Voor de financiële sector is de EU AI Act geen abstracte wetgeving. Het is een directe impact op hoe je dagelijks werkt.
Banken, verzekeraars, vermogensbeheerders en fintechs gebruiken al jaren AI voor kredietbeoordeling, fraude-detectie, klantscoring en risicobeheer. Precies de toepassingen die onder de zwaarste categorie van de AI Act vallen: hoog risico.
Dit artikel legt uit welke verplichtingen specifiek gelden voor financiële organisaties, hoe de AI Act samenloopt met bestaande financiële regelgeving zoals DORA en PSD2, en wat je nu moet regelen.
Waarom financiële dienstverlening extra in scope is
De EU AI Act definieert hoog-risico AI in Bijlage III. Twee categorieën raken de financiële sector direct.
Categorie 5 omvat AI-systemen voor de toegang tot essentiële diensten. Kredietwaardigheidsbeoordelingen, verzekeringspremie-berekeningen en risicoscoringen vallen hieronder als ze worden gebruikt voor beslissingen die bepalen of iemand toegang krijgt tot financiële producten of diensten.
Categorie 4 omvat AI voor vitale infrastructuur. Systemen die ingezet worden voor het bewaken van financiële stabiliteit of voor systeemkritische processen kunnen onder deze categorie vallen.
Praktisch betekent dit: als jouw organisatie software gebruikt die automatisch kredietscores berekent, die verzekeringspremies differentieert op basis van gedragsdata, of die fraude-detectie uitvoert met invloed op klantrelaties — dan is de kans groot dat je hoog-risico AI gebruikt.
De meest voorkomende hoog-risico toepassingen in de financiële sector
Kredietwaardigheidsanalyse Tools als FICO-scores, interne kredietmodellen of AI-gedreven beslissingsengines die bepalen of een klant een lening krijgt en tegen welke rente. Als een mens niet de finale beslissing neemt zonder te kijken naar de AI-uitkomst, is er sprake van hoog-risico inzet.
Fraudedetectie en transactiemonitoring Systemen die betalingstransacties analyseren en automatisch blokkeren of markeren. Denk aan de systemen die banken gebruiken voor AML (anti-money laundering) of de tools die creditcardmaatschappijen inzetten voor real-time fraude-scoring.
Klantscoring en segmentatie AI-systemen die klanten indelen in risicoprofielen of segmenten die vervolgens bepalen welke producten aangeboden worden, welke premie geldt of welke service wordt verleend. Dit raakt direct aan het verbod op discriminatoire categorisatie uit Artikel 5.
Algoritmische trading Voor systemen die autonoom handelsposities innemen of adviezen genereren voor beleggingsbeslissingen gelden aanvullende verplichtingen vanuit MiFID II en DORA — bovenop de AI Act.
Samenloop met DORA en andere financiële regelgeving
De financiële sector heeft te maken met meerdere lagen regelgeving die nu samenkomen.
DORA (Digital Operational Resilience Act) is per januari 2025 van toepassing op financiële instellingen en stelt eisen aan ICT-risicobeheer, incidentmelding en weerbaarheid van digitale systemen. AI-systemen die kritisch zijn voor de bedrijfsvoering vallen onder de DORA-scope én onder de AI Act.
PSD2 en de aankomende PSD3 regelen open banking en betaaldienstverlening. AI die ingezet wordt in het betalingsproces — van fraudedetectie tot kredietscoring — valt onder beide regimes.
De praktische impact: je kunt documentatie en risicobeheer voor DORA deels hergebruiken voor de AI Act. De risicobeoordeling, de incidentmeldingsstructuur en het toezichtsmodel overlappen. Een slim compliance-programma integreert beide.
Wat zijn de verplichtingen voor deployers in de financiële sector?
Als financiële organisatie ben je doorgaans een deployer: je gebruikt AI-systemen die anderen hebben ontwikkeld. Artikel 26 van de AI Act legt deployers van hoog-risico AI de volgende verplichtingen op.
Je moet menselijk toezicht inrichten. Dat betekent: een bevoegde persoon aanwijzen die de AI-uitkomsten kan begrijpen, in twijfel kan trekken en kan overrulen. Bij kredietbeslissingen betekent dit dat de uitkomst van het AI-systeem niet automatisch het finale besluit kan zijn zonder menselijke verificatie.
Je moet logs bijhouden voor minimaal zes maanden. Alle relevante beslissingen die het AI-systeem heeft genomen of onderbouwd, moeten traceeerbaar zijn. Dit is ook relevant voor de AFM-toezichtverplichtingen rond audittrails.
Je moet medewerkers informeren. Iedereen die met het hoog-risico systeem werkt moet weten dat het een hoog-risico AI-systeem is, wat de mogelijkheden en beperkingen zijn, en hoe ze kunnen ingrijpen.
Je moet de input data controleren. De data die je in het systeem invoert moet relevant, representatief en actueel zijn. Dit is een directe verbinding met de databeheerverplichtingen die al gelden onder AVG en DORA.
De AI-geletterdheidsplicht in de financiële sector
Artikel 4 is voor de financiële sector extra relevant omdat de risico's van AI-gebruik hier direct financieel en juridisch zijn.
Medewerkers die werken met kredietmodellen, fraude-detectie of klantsegmentatie moeten begrijpen hoe deze systemen werken, welke data ze gebruiken, welke bias erin kan zitten en wanneer ze moeten ingrijpen. Dat is geen nice-to-have — het is een verplichting.
Bij een audit door de AFM of de AP verwacht de toezichthouder dat je kunt aantonen wie welke training heeft gevolgd, wanneer, en wat die training inhield in relatie tot de concrete AI-tools die de organisatie gebruikt.
Wat moet je nu doen?
Eerste stap: inventariseer alle AI-systemen die je gebruikt en bepaal per systeem of het in de hoog-risico categorie van Bijlage III valt. Gebruik hiervoor de productdocumentatie van je leverancier — aanbieders van hoog-risico AI zijn verplicht deze informatie te verstrekken.
Tweede stap: controleer of je leveranciers zelf compliant zijn. Aanbieders van hoog-risico AI moeten een conformiteitsverklaring (CE-markering) en technische documentatie kunnen overleggen. Vraag hier expliciet naar en leg het vast in je contracten.
Derde stap: richt menselijk toezicht in. Bepaal per hoog-risico systeem wie de toezichthouder is, wat zijn of haar bevoegdheid is en hoe dat is gedocumenteerd.
Vierde stap: zorg voor gecertificeerde AI-geletterdheid bij alle medewerkers die met hoog-risico AI werken. Dit is de meest directe compliance-maatregel die je kunt nemen, en het biedt de sterkste bescherming bij een handhavingstraject.
Lees ook: EU AI Act boetes: wat zijn de maximale bedragen?
Lees ook: Wat zijn high-risk AI-systemen volgens de EU AI Act?
Lees ook: AI impact assessment: hoe begin je? Bekijk: AI-geletterdheid training voor teams
Ferry Hoes
Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.