Banken, verzekeraars, vermogensbeheerders en betalingsinstellingen staan voor EU AI-verordening-verplichtingen bovenop bestaande financiële regelgeving (DORA, MiFID II, AVG, VKV). Deze pagina legt uit welke AI-toepassingen hoog risico zijn, hoe sectorale toezichthouders omgaan met de AI-verordening en wat financiële instellingen moeten doen om te voldoen.
De AI-verordening komt naar de financiële sector
Financiële instellingen — banken, verzekeraars, vermogensbeheerders, betalingsaanbieders, kredietbureaus — zijn een van de meest intensieve gebruikers van AI in Europa. Kredietscoring, fraudedetectie, algoritmische handel, klantrisicoprofilering, verzekeringsacceptatie, automatisering van regelgevingsrapportage en AML/KYC-screening zijn allemaal gebaseerd op AI-systemen die mogelijk onderworpen zijn aan de EU AI-verordening.
Voor financiële instellingen komt de EU AI-verordening niet geïsoleerd. Ze is gelaagd op een al dicht regelgevende stapel: DORA (digitale weerbaarheid), MiFID II (beleggingsdiensten), AVG (gegevensbescherming), VKV/KRR (kapitaalvereisten), Solvabiliteit II (verzekering), PSD2/PSD3 (betalingsdiensten) en sectorale EBA-, EIOPA- en ESMA-richtlijnen. Begrijpen hoe de AI-verordening integreert met — en soms conflicteert met — bestaande financiële regelgeving is essentieel voor efficiënte naleving.
Welke AI-toepassingen zijn hoog risico in de financiële sector?
Bijlage III van de EU AI-verordening identificeert toepassingen die automatisch hoog risico zijn. In de financiële sector zijn de meest direct relevante:
Categorie 5(b): Beoordeling van kredietwaardigheid
Hoog risico. AI-systemen gebruikt om de kredietwaardigheid van natuurlijke personen te beoordelen of natuurlijke personen te classificeren in termen van kredietrisico zijn expliciet vermeld. Dit dekt:
- Geautomatiseerde kredietscoring voor consumentenleningen, persoonlijke rekening-courantkredieten, creditcards en hypotheken
- Modellen die terugbetalingswaarschijnlijkheid, wanbetalingsrisico of schuldcapaciteit van individuele consumenten beoordelen
- AI-systemen die kredietlimieten of leningbedragen aanbevelen op basis van individuele risicobeoordeling
Niet automatisch gedekt: Bedrijfskredietmodellen die rechtspersonen beoordelen in plaats van natuurlijke personen, hoewel deze afhankelijk van de inzet nog steeds Art. 50 transparantieverplichtingen kunnen triggeren.
Categorie 5(b): Verzekeringspremie en dekkingsbeslissingen
Hoog risico als het natuurlijke personen significant beïnvloedt. AI-systemen die beslissingen maken of sterk beïnvloeden over:
- Verzekeringsdekking (acceptatie of afwijzing van aanvragers)
- Premienisteaus (actuariële modellen die individuele premies vaststellen)
- Claimbeoordeling en -afwikkeling (geautomatiseerde claimafhandeling)
Motorverzekeringsprijsstelling, acceptatie van zorgverzekering en woningverzekeringmodellen voor huishoudens zijn direct in het toepassingsgebied. De bepalende factor is of het AI-systeem een beslissing maakt of significant beïnvloedt die de toegang van een natuurlijke persoon tot een essentiële particuliere dienst materieel beïnvloedt.
Categorie 1: Biometrische identificatie
Hoog risico. AI-systemen gebruikt voor:
- Biometrische identificatie op afstand van klanten (KYC-videoverificatie, continue authenticatie)
- Biometrische categorisering waarbij het risicoclassificatie of servicetoegang beïnvloedt
Real-time biometrische identificatie in voor het publiek toegankelijke ruimten voor rechtshandhaving is verboden op grond van Art. 5. Commerciële identiteitsverificatiesystemen die gezichtsherkenning gebruiken voor KYC zijn onderworpen aan hoog-risico vereisten maar niet verboden.
Categorie 6: AML/KYC en aan rechtshandhaving grenzende activiteiten
AI-systemen gebruikt door financiële instellingen ter ondersteuning van AML/KYC-screening, sanctiefiltering of transactiemonitoring waarbij het resultaat wordt gerapporteerd aan of gebruikt door rechtshandhaving, kunnen vallen binnen Bijlage III categorie 6 (rechtshandhaving). Dit omvat:
- Door AI gegenereerde Verdachte Transactierapporten (VTR's) verzonden naar FIU's
- Geautomatiseerde PEP-screeningsystemen (Politiek Prominente Personen)
Systemen die uitsluitend worden gebruikt voor intern risicobeheer zonder output aan rechtshandhaving, zullen minder snel worden geclassificeerd als hoog risico onder categorie 6, hoewel andere categorieën van toepassing kunnen zijn.
Wat hoog-risico AI-verplichtingen betekenen voor financiële instellingen
Als een AI-systeem gebruikt door een financiële instelling hoog risico is onder Bijlage III, verschillen de verplichtingen afhankelijk van of de instelling een aanbieder (het systeem gebouwd) of gebruiker (het gekocht of in licentie genomen) is.
Als u de aanbieder bent (het systeem gebouwd)
- Risicobeheersysteem (Art. 9): Een gedocumenteerd risicobeheerproces opstellen en onderhouden dat iteratief is gedurende de gehele levenscyclus van het systeem
- Gegevensbeheer (Art. 10): Trainings-, validatie- en testgegevens moeten onderworpen zijn aan governance-praktijken die relevantie, representativiteit en vertekeningsbeoordeling omvatten
- Technische documentatie (Bijlage IV): Volledig technisch dossier inclusief systeembeschrijving, architectuur, trainingsaanpak, prestatiemetrieken en post-marktbewakingsplan
- Transparantie (Art. 13): Gebruiksinstructies die gebruikers in staat stellen capaciteiten, beperkingen en toezichtvereisten te begrijpen
- Menselijk toezicht (Art. 14): Ontwerpmaatregelen die menselijk toezicht en interventie mogelijk maken
- Nauwkeurigheid, robuustheid, cyberbeveiliging (Art. 15): Aangetoonde prestatieniveaus en veerkracht
- Conformiteitsbeoordeling: Zelfbeoordeling (Bijlage VI) voor de meeste Bijlage III-systemen, of beoordeling via aangemelde instantie voor biometrische systemen
- CE-markering en EU-conformiteitsverklaring
- Registratie in EU AI-databank
- Post-marktbewaking (Art. 72): Actief systeem voor het verzamelen van prestatiegegevens uit de praktijk en incidentrapportage
Als u de gebruiker bent (het systeem gekocht/in licentie genomen)
- Naleving instructies: Het systeem strikt gebruiken in overeenstemming met de instructies van de aanbieder
- Menselijk toezicht: Gekwalificeerd personeel aanwijzen voor toezicht met passende bevoegdheid en middelen
- Kwaliteit invoergegevens: Zorgen dat invoergegevens relevant en representatief zijn voor de specifieke inzetcontext
- Bewaren logboeken: Geautomatiseerde logboeken activeren en bewaren voor de vereiste periode
- Incidentrapportage: Ernstige incidenten melden aan de aanbieder en in sommige gevallen direct aan autoriteiten
- Grondrechtenbeoordeling (Art. 27): Vereist voor overheidsinstanties; aanbevolen voor private sectorgebruikers in gevoelige contexten
Interactie met DORA
De Digital Operational Resilience Act (DORA) is van toepassing vanaf januari 2025 en legt uitgebreide ICT-risicobeheersingsvereisten op aan financiële instellingen — inclusief AI-systemen als ICT-componenten.
Belangrijkste interactiepunten:
ICT-risicobeheersingskader
DORA verplicht financiële instellingen een ICT-risicobeheersingskader te onderhouden dat identificatie, bescherming, detectie, respons en herstel omvat. AI-systemen zijn ICT-tools die onderworpen zijn aan dit kader. De EU AI-verordening voegt AI-specifieke vereisten toe: vertekening-tests, transparantiedocumentatie, ontwerp van menselijk toezicht en lifecycle management.
In de praktijk: Een AI-kredietscoringsmodel van een bank moet voldoen aan zowel het DORA ICT-risicobeheer (incidentdetectie, continuïteitsplanning, wijzigingsbeheer) als de hoog-risico vereisten van de EU AI-verordening (risicobeheersysteem, technische documentatie, post-marktbewaking).
Risico van derde partijen (ICT-externe dienstverleners)
DORA stelt gedetailleerde vereisten voor het beheer van externe ICT-dienstverleners — inclusief contractuele vereisten, auditrechten en toezicht op kritieke aanbieders. Wanneer een financiële instelling een extern AI-systeem gebruikt (bijv. een door de leverancier geleverd kredietscoringsmodel), zijn de vereisten voor risicobeheer van externe partijen van DORA van toepassing op die leverancier.
De gebruikersverplichtingen van de EU AI-verordening zijn ook van toepassing — waarbij de aanbieder verplicht is instructies, conformiteitsdocumentatie en loggingmogelijkheid te leveren. Financiële instellingen moeten ervoor zorgen dat hun AI-leverancierscontracten voor externe partijen voldoen aan zowel de DORA ICT-aanbiedervereisten als de gebruikersinformatierechten van de EU AI-verordening.
Incidentrapportage
DORA heeft zijn eigen incidentrapportagekader voor significante ICT-gerelateerde incidenten, gerapporteerd aan sectorale toezichthouders (EBA, EIOPA, ESMA). De EU AI-verordening verplicht de melding van ernstige incidenten met hoog-risico AI-systemen aan nationale markttoezichtautoriteiten.
Dit zijn afzonderlijke rapportageverplichtingen aan verschillende autoriteiten. Een ernstig incident met een AI-kredietscoringsysteem kan zowel een DORA-incidentmelding (aan EBA/nationale financiële toezichthouder) als een EU AI-verordening-incidentmelding (aan de markttoezichtautoriteit) triggeren.
Sectorale toezichthouders en handhaving van de AI-verordening
Voor financiële instellingen hebben de sectorale financiële toezichthouders — EBA (bankwezen), EIOPA (verzekering), ESMA (effecten en markten) — een specifieke rol bij de implementatie van de EU AI-verordening, hoewel ze niet de primaire handhavingsautoriteit voor de AI-verordening zijn.
Op grond van de AI-verordening moeten financiële instellingen die aanbieders zijn van hoog-risico AI-systemen registreren in de EU AI-databank. In de financiële sector kan de relevante financiële toezichthoudende autoriteit worden aangewezen als of samenwerken met de nationale markttoezichtautoriteit die verantwoordelijk is voor AI-verordening-toezicht op die sector.
De Europese Toezichthoudende Autoriteiten (ETA's) zijn actief bij:
- Publicatie van begeleiding over AI-governance in financiële dienstverlening (EBA-richtlijnen over interne governance, ML/AI bij kredietrisico)
- Bijdrage aan implementatiebegeleiding voor de EU AI-verordening voor de financiële sector
- Coördinatie met het EU AI-bureau over toezicht op GPAI-modellen voor zover het financiële dienstverlening betreft
Praktische nalevingsprioriteiten voor financiële instellingen
-
Inventariseer alle gebruikte AI-systemen — classificeer elk aan de hand van Bijlage III-criteria. Prioriteer kredietwaardigheidssystemen, verzekeringsprijsstelling en biometrische/KYC-systemen.
-
Bepaal de status van aanbieder versus gebruiker voor elk systeem — gebruikt u door leveranciers geleverde modellen of bouwt u intern?
-
Stem AI-governance af op het DORA ICT-risicokader — integreer AI-verordening-verplichtingen in de bestaande DORA-governance-structuur om dubbele processen te vermijden.
-
Beoordeel externe AI-leverancierscontracten — zorg ervoor dat contracten voorzien in: conformiteitsdocumentatie, gebruiksinstructies, loggingstoegang, verplichtingen voor incidentmeldingen, updateverplichtingen en auditrechten.
-
Stel mechanismen voor menselijk toezicht in — voor hoog-risico AI-toepassingen zorgen dat gekwalificeerd personeel de bevoegdheid, tools en tijd heeft om AI-outputs zinvol te beoordelen voordat consequente beslissingen worden genomen.
-
Verbinding maken met post-marktbewaking — uitbreiden van bestaande modelrisicobeheerprocessen (Basel-modelvalidatie, DORA wijzigingsbeheer) om de post-marktbewakingsvereisten van Art. 72 te dekken.
-
Voorbereiding op de EU AI-databank — als u aanbieder bent van hoog-risico AI-systemen, is registratie verplicht. Als u gebruiker bent bij een overheidsinstelling, kan registratie ook vereist zijn.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. AI-systemen voor kredietwaardigheidsbeoordeling — gebruikt om de kredietwaardigheid van natuurlijke personen te beoordelen of kredietrisico te beoordelen — zijn expliciet vermeld in Bijlage III, categorie 5(b) als hoog risico. Dit dekt geautomatiseerde kredietscoring voor consumentenleningen, hypotheken, creditcards en rekening-courantkredieten. Systemen die uitsluitend worden gebruikt voor bedrijfskredietbeoordeling vallen mogelijk buiten het toepassingsgebied, maar systemen met betrekking tot beoordeling van individuele natuurlijke personen worden duidelijk gedekt.
DORA (Digital Operational Resilience Act) en de EU AI-verordening hebben overlappende maar afzonderlijke toepassingsgebieden. DORA dekt ICT-risicobeheer breed — inclusief AI-systemen als ICT-tools — met vereisten voor incidentrapportage, weerbaarheidstest en beheer van risico's van derde partijen. De EU AI-verordening voegt specifieke AI-verplichtingen toe (vertekening-tests, transparantie, menselijk toezicht, post-marktbewaking) voor hoog-risico AI-toepassingen. Voor financiële instellingen vereist naleving dat aan beide kaders wordt voldaan — DORA vrijstelt instellingen niet van AI-verordening-verplichtingen, en de AI-verordening vervangt DORA ICT-risicovereisten niet.
Het hangt af van de toepassing. AI-systemen gebruikt voor real-time transactiefraudedetectie — waarbij de AI verdachte transacties markeert voor menselijke beoordeling of automatisch blokkeert — zijn niet automatisch hoog risico onder Bijlage III. Als het systeem echter beslissingen maakt of sterk beïnvloedt die individuen significant beïnvloeden (bijv. blokkering van accounts, verlaging van kredietlimiet, afwijzing van verzekeringsvordering), kan de toepassing vallen binnen Bijlage III categorie 5 (toegang tot essentiële diensten). Rechtszekerheid zal afhangen van regelgevingsbegeleiding en de specifieke inzet.
AI-systemen voor verzekeringsprijsstelling en acceptatie die beslissingen maken of sterk beïnvloeden over dekking, premienisteaus of claimafwikkeling voor natuurlijke personen, zullen waarschijnlijk vallen binnen Bijlage III categorie 5 (toegang tot essentiële particuliere diensten). Dit omvat motorverzekeringsprijsstelling, medische verzekeringacceptatie en woningverzekeringmodellen voor huishoudens. Levensverzekeringacceptatiemodellen die levensduurrisico voor individuen beoordelen, kunnen ook worden gedekt. Elke toepassing moet afzonderlijk worden beoordeeld aan de hand van de Bijlage III-criteria.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.