AI-verordening voor FinTech: Wat u moet weten
Inleiding
De Europese financiele sector is een van de meest AI-intensieve sectoren ter wereld. Van kredietscoring tot fraudedetectie, van robo-advies tot algoritmische handel: AI is verweven met vrijwel elk aspect van moderne financiele dienstverlening. Dat maakt de sector ook bijzonder kwetsbaar voor de impact van de EU AI-verordening (Verordening (EU) 2024/1689).
Voor FinTech-bedrijven, neobanken, verzekeringstechbedrijven en traditionele financiele instellingen brengt de AI-verordening specifieke uitdagingen met zich mee. Veel van de AI-toepassingen die de kern vormen van hun dienstverlening vallen onder de hoog-risico classificatie. Dit artikel biedt een praktische gids voor compliance, specifiek gericht op de financiele sector.
Waarom de financiele sector extra hard wordt geraakt
De financiele sector is om meerdere redenen bijzonder kwetsbaar:
1. Hoge concentratie hoog-risico toepassingen
De AI-verordening classificeert specifieke financiele AI-toepassingen als hoog-risico in Bijlage III, categorie 5:
- Kredietwaardigheidsbeoordeling van natuurlijke personen (Bijlage III, punt 5a)
- Risicobeoordeling en prijsstelling bij levens- en ziektekostenverzekeringen (Bijlage III, punt 5b)
Daarnaast kunnen financiele AI-toepassingen ook onder andere categorieen vallen, zoals biometrie (categorie 1) bij identiteitsverificatie of werkgelegenheid (categorie 4) bij interne HR-processen.
2. Overlap met bestaande regelgeving
FinTech-bedrijven moeten de AI-verordening naleven bovenop een al zwaar regulerend landschap:
- AVG/GDPR: Gegevensbeschermingseisen voor AI die persoonsgegevens verwerkt
- DORA: Digitale operationele weerbaarheid, inclusief ICT-risicobeheer van AI-systemen
- MiFID II: Transparantie- en geschiktheidseisen bij beleggingsadvies
- PSD2/PSD3: Beveiligingseisen bij betalingsdiensten
- CRD/CRR: Kapitaalvereisten en modelrisicobeheer
3. Hoge boetes in combinatie met sectorale sancties
Naast de boetes van de AI-verordening (tot 35 miljoen euro of 7% van de wereldwijde omzet) riskeren financiele instellingen ook sectorale sancties van toezichthouders als DNB, AFM, BaFin of de ECB. De cumulatieve impact kan aanzienlijk zijn.
AI-toepassingen in FinTech en hun classificatie
Laten we de meest voorkomende AI-toepassingen in de financiele sector doorlopen en hun classificatie onder de AI-verordening bepalen:
Kredietscoring en leningbeoordeling
Classificatie: Hoog-risico (Bijlage III, punt 5a)
AI-systemen die worden gebruikt voor de beoordeling van de kredietwaardigheid van natuurlijke personen zijn expliciet als hoog-risico aangemerkt. Dit omvat:
- Automatische kredietscoringmodellen
- AI-gebaseerde leningaanvraagbeoordelingen
- Machine learning-modellen voor risicoklassificatie van leners
Verplichtingen:
- Volledig risicomanagementsysteem (Artikel 9)
- Transparante gebruiksinstructies die de logica van het systeem uitleggen (Artikel 13)
- Menselijk toezicht: een medewerker moet de beslissing kunnen herzien (Artikel 14)
- Data governance: trainingsdata moet representatief en vrij van bias zijn (Artikel 10)
- Logging van alle beslissingen (Artikel 12)
Uitzondering: Fraudedetectiesystemen die worden ingezet bij het kredietverleningsproces vallen niet onder de hoog-risico classificatie van punt 5a.
Fraudedetectie
Classificatie: Doorgaans beperkt of minimaal risico
Fraudedetectiesystemen worden expliciet uitgezonderd van de hoog-risico classificatie voor kredietbeoordeling (Bijlage III, punt 5a). Dit betekent echter niet dat er geen verplichtingen zijn:
- Als het systeem met personen interageert, gelden transparantieverplichtingen (Artikel 50)
- AVG-verplichtingen voor geautomatiseerde besluitvorming blijven van toepassing (AVG Artikel 22)
- DORA-vereisten voor ICT-risicobeheer zijn van toepassing
Robo-advies en algoritmisch beleggingsadvies
Classificatie: Situatieafhankelijk
Robo-adviesplatforms vallen niet direct onder de Bijlage III-categorieen, maar de classificatie hangt af van de specifieke toepassing:
- Als het systeem autonome beleggingsbeslissingen neemt voor klanten zonder menselijke tussenkomst, kan het als hoog-risico worden beschouwd
- MiFID II stelt daarnaast eigen eisen aan geschiktheidsbeoordeling en transparantie
- De interactie met klanten brengt transparantieverplichtingen met zich mee (Artikel 50): klanten moeten weten dat ze met een AI-systeem communiceren
Verzekeringsprijsstelling en risicobeoordeling
Classificatie: Hoog-risico (Bijlage III, punt 5b)
AI-systemen voor risicobeoordeling en prijsstelling bij levens- en ziektekostenverzekeringen zijn hoog-risico. Dit omvat:
- Actuariele modellen gebaseerd op machine learning
- Geautomatiseerde acceptatiebeslissingen voor levensverzekeringen
- AI-gebaseerde premieberekening voor ziektekostenverzekeringen
Let op: Schadeverzekeringen (auto, woning, aansprakelijkheid) vallen niet onder deze specifieke hoog-risico categorie, tenzij het systeem levens- of gezondheidsrisico's beoordeelt.
KYC en identiteitsverificatie
Classificatie: Afhankelijk van de methode
- Biometrische verificatie (bevestigen dat iemand is wie hij zegt te zijn, 1:1 matching) valt doorgaans niet onder hoog-risico
- Biometrische identificatie op afstand (een persoon identificeren uit een groep, 1:N matching) is wel hoog-risico (Bijlage III, punt 1)
- Documentverificatie met AI valt doorgaans onder beperkt risico
Algoritmische handel
Classificatie: Doorgaans minimaal of beperkt risico
Algoritmische handelssystemen vallen niet direct onder de Bijlage III-categorieen, tenzij zij worden ingezet voor toepassingen die wel onder een hoog-risico categorie vallen. MiFID II stelt echter eigen eisen aan algoritmische handel, waaronder stresstests en kill switches.
Chatbots en virtuele assistenten
Classificatie: Beperkt risico (transparantieverplichtingen)
AI-chatbots in de financiele sector moeten voldoen aan de transparantieverplichtingen van Artikel 50:
- Klanten moeten weten dat zij met een AI-systeem communiceren
- AI-gegenereerde content moet als zodanig worden gelabeld
Praktisch compliance-raamwerk voor FinTech
Fase 1: Inventarisatie (maand 1-2)
- AI-register opbouwen: Documenteer alle AI-systemen, hun doel, gebruikte data en impact op personen
- Classificatie uitvoeren: Bepaal per systeem het risiconiveau volgens de AI-verordening
- Overlap met bestaande regelgeving in kaart brengen: Identificeer waar AI Act-eisen overlappen met DORA, AVG en MiFID II
Fase 2: Gap-analyse (maand 2-4)
- Vereisten per systeem vaststellen: Bepaal welke specifieke eisen gelden voor elk hoog-risico systeem
- Huidige situatie beoordelen: Inventariseer welke eisen al worden gedekt door bestaande compliance-maatregelen
- Actieplan opstellen: Prioriteer de gaps op basis van risico en deadline
Fase 3: Implementatie (maand 4-12)
- Risicomanagementsysteem inrichten (Artikel 9)
- Data governance versterken (Artikel 10): bias testing, datasetdocumentatie
- Technische documentatie opstellen (Artikel 11, Bijlage IV)
- Menselijk toezicht implementeren (Artikel 14): escalatieprocedures, override-mogelijkheden
- Logging en monitoring inrichten (Artikel 12)
- Conformiteitsbeoordeling uitvoeren (Artikel 43)
Fase 4: Continue compliance (doorlopend)
- Post-market monitoring (Artikel 72)
- Incidentmelding (Artikel 73)
- Periodieke herziening van classificatie en documentatie
De rol van nationale toezichthouders
In Nederland spelen meerdere toezichthouders een rol:
- Autoriteit Persoonsgegevens (AP): Aangewezen als coordinerende toezichthouder voor de AI-verordening
- De Nederlandsche Bank (DNB): Toezicht op AI bij banken en verzekeraars, in samenhang met DORA
- Autoriteit Financiele Markten (AFM): Toezicht op AI bij beleggingsondernemingen en financiele markten
FinTech-bedrijven moeten rekening houden met de mogelijkheid dat meerdere toezichthouders gelijktijdig toezicht houden op hun AI-gebruik.
Synergieen met DORA
De Digital Operational Resilience Act (DORA) en de AI-verordening hebben aanzienlijke raakvlakken voor de financiele sector:
| Onderwerp | DORA | AI-verordening |
|---|---|---|
| ICT-risicobeheer | Artikel 5-16 | Artikel 9 (risicobeheersysteem) |
| Incidentmelding | Artikel 17-23 | Artikel 73 (ernstige incidenten) |
| Derde-partijrisico | Artikel 28-44 | Artikel 25 (gemachtigde vertegenwoordigers) |
| Testing | Artikel 24-27 (TLPT) | Artikel 15 (nauwkeurigheid, robuustheid) |
| Documentatie | Artikel 28 (register) | Artikel 11 (technische documentatie) |
Door deze raakvlakken slim te benutten, kunt u dubbel werk voorkomen. Een geintegreerd compliance-raamwerk dat zowel DORA als de AI-verordening dekt, is efficienter dan twee gescheiden trajecten.
Compliance automatiseren met Matproof
Matproof is specifiek ontwikkeld voor Europese compliance-uitdagingen en ondersteunt zowel de AI-verordening als DORA, AVG en andere relevante kaders. Met Matproof kunt u:
- Al uw AI-systemen centraal registreren en classificeren
- Automatisch gap-analyses uitvoeren tegen meerdere regelgevende kaders tegelijk
- Technische documentatie genereren conform Bijlage IV
- Compliance-voortgang monitoren via real-time dashboards
- Overlap tussen DORA en AI Act-verplichtingen identificeren en benutten
Doe de Gratis AI Act Readiness Assessment om direct inzicht te krijgen in uw compliancepositie.
Veelgestelde vragen
Q: Valt ons fraudedetectiesysteem onder hoog-risico?
A: Waarschijnlijk niet. De AI-verordening zondert fraudedetectie expliciet uit van de hoog-risico classificatie voor kredietbeoordeling (Bijlage III, punt 5a). Echter, als uw fraudedetectiesysteem ook wordt gebruikt voor andere doeleinden die onder Bijlage III vallen, kan het alsnog als hoog-risico worden aangemerkt. Bovendien blijven AVG-verplichtingen voor geautomatiseerde besluitvorming van toepassing.
Q: We gebruiken een AI-model van een derde partij voor kredietscoring. Wie is verantwoordelijk?
A: Beide partijen hebben verplichtingen. De aanbieder (ontwikkelaar) van het AI-model moet voldoen aan de aanbiedersverplichtingen (Artikelen 8-25). U als gebruiker (deployer) heeft eigen verplichtingen onder Artikel 26, waaronder het gebruik conform instructies, menselijk toezicht, inputdata monitoring en incidentmelding. Als u het model substantieel wijzigt of voor een ander doel inzet, kunt u zelf als aanbieder worden beschouwd.
Q: Hoe verhoudt de AI Act-verplichting voor menselijk toezicht zich tot volautomatische kredietbeslissingen?
A: De AI-verordening vereist dat hoog-risico AI-systemen zodanig worden ontworpen dat effectief menselijk toezicht mogelijk is (Artikel 14). Dit betekent niet dat elke individuele beslissing door een mens moet worden goedgekeurd, maar wel dat een mens de werking van het systeem kan begrijpen, afwijkingen kan detecteren en het systeem kan onderbreken of negeren. In combinatie met AVG Artikel 22 (recht om niet onderworpen te worden aan volledig geautomatiseerde besluitvorming) moeten FinTech-bedrijven een balans vinden tussen automatisering en menselijke betrokkenheid.
Q: Moeten we onze AI-modellen openbaar maken?
A: De AI-verordening vereist transparantie, maar dit betekent niet dat u uw bedrijfsgeheimen of intellectueel eigendom moet vrijgeven. Artikel 13 vereist dat gebruiksinstructies voldoende informatie bevatten om de deployer in staat te stellen het systeem correct te gebruiken en menselijk toezicht uit te oefenen. Artikel 78 beschermt vertrouwelijke bedrijfsinformatie en handelsgeheimen expliciet.
Q: Wat is de tijdlijn voor FinTech-bedrijven?
A: De belangrijkste deadline voor de meeste FinTech-toepassingen is 2 augustus 2026, wanneer de volledige verplichtingen voor hoog-risico AI-systemen van kracht worden. Echter, de AI-geletterdheidsverplichtingen (Artikel 4) gelden al sinds februari 2025, en de verplichtingen voor AI-modellen voor algemene doeleinden (zoals foundation models) gelden vanaf augustus 2025. Begin nu met uw voorbereidingen.
Conclusie
De AI-verordening raakt de FinTech-sector in de kern van haar dienstverlening. Kredietscoring, verzekeringsprijsstelling en diverse andere AI-toepassingen worden als hoog-risico geclassificeerd, met bijbehorende strenge eisen. De overlap met DORA, AVG en sectorale regelgeving maakt het compliance-landschap complex, maar biedt ook kansen voor synergie.
FinTech-bedrijven die nu beginnen met hun voorbereidingen, hebben een strategisch voordeel. Niet alleen vermijden zij potentiele boetes en handhavingsacties, maar zij bouwen ook vertrouwen op bij klanten en toezichthouders. Gratis proberen en begin vandaag nog met uw AI Act compliance-traject.