Verplichtingen uit de EU AI-verordening voor banken, kredietinstellingen en fintech-bedrijven. Credit scoring AI, AML-systemen, algoritmische handel, overlap met DORA en EBA-richtsnoeren.
Waarom het Bankwezen Geconcentreerde Blootstelling heeft aan de EU AI-verordening
De banken- en financiëledienstensector bevindt zich op het snijpunt van de strengste verplichtingen uit de EU AI-verordening en de meest complexe regelgevingsomgeving in de EU. Financiële instellingen behoren tot de grootste gebruikers van AI in Europa — voor kredietacceptatie, fraudedetectie, AML/CFT-screening, cliëntonderzoek, algoritmische handel en vermogensbeheer. De EU AI-verordening richt zich rechtstreeks op de meest ingrijpende van deze toepassingen via Bijlage III, waarbij verschillende financiële AI-toepassingen per definitie worden geclassificeerd als hoog-risico.
Het bankwezen opereert ook binnen een dicht pre-existentregelgevingslandschap: DORA, MiFID II, CRD IV/CRR, AML-richtlijnen, AVG en BCBS 239. De EU AI-verordening vervangt deze kaders niet — zij voegt daar iets aan toe. Voor een kredietinstelling die een AI-gebaseerd credit scoring-model inzet, ontstaan gelijktijdige verplichtingen op grond van de AI-verordening (Bijlage III, Art. 9–16), DORA (ICT-risicobeheer) en de modelrisicobeheersingsrichtsnoeren van de EBA.
Hoog-risico AI-toepassingen in het Bankwezen onder Bijlage III
Bijlage III, categorie 5(b) noemt uitdrukkelijk AI die wordt gebruikt voor de beoordeling van de kredietwaardigheid of credit scoring van natuurlijke personen, en AI die wordt gebruikt voor de beoordeling van het kredietrisico van rechtspersonen waarbij AI de uitkomst bepaalt of wezenlijk beïnvloedt. Dit bestrijkt een breed scala aan financiële AI-inzettingen.
Credit scoring- en acceptatiemodellen — geautomatiseerde systemen die de leninggeschiktheid, kredietlimieten of rentetarieven voor particuliere klanten en het MKB bepalen — zijn hoog-risico AI op grond van Art. 6(2) gelezen in samenhang met Bijlage III. Banken die als aanbieder van deze systemen optreden, moeten conformiteitsbeoordelingen voltooien, technische documentatie bijhouden op grond van Art. 11, risicobeheersystemen implementeren op grond van Art. 9, mechanismen voor menselijk toezicht waarborgen op grond van Art. 14 en het systeem registreren in de EU AI-database (Art. 71) vóór ingebruikstelling.
AML- en fraudedetectiesystemen laten een genuanceerder beeld zien. Systemen die sanctiescreening, transactiebewaking of gedragsanalyse toepassen om verdachte activiteiten te signaleren, hebben over het algemeen gevolgen voor financiële instellingen in plaats van dat zij rechtstreeks de uitkomsten voor personen bepalen. Wanneer de AI-output de voornaamste grondslag is voor een nadelige maatregel jegens een klant (bevriezing van een rekening, weigering van dienstverlening), kan hoog-risico classificatie worden getriggerd op grond van Bijlage III cat. 5(b) of cat. 6 (rechtshandhaving), afhankelijk van de rol van de nationale autoriteit. Banken moeten een zorgvuldige classificatieanalyse uitvoeren.
Op GPAI gebaseerde tools — grote taalmodellen die worden gebruikt voor klantenservice, documentverwerking of beleggingsanalyse — zijn onderworpen aan de transparantievereisten van Art. 50 (bekendmaking dat gebruikers met AI interageren) en, wanneer de modelaanbieder een systemisch risico vormt, aan de verplichtingen van Art. 55.
Verplichtingen van Aanbieder versus Gebruiker voor Banken
Banken kunnen optreden als aanbieders (die hun eigen AI-modellen bouwen), gebruikers (die AI-systemen van derden gebruiken), of als beide. Dit onderscheid bepaalt het verplichtingenprofiel:
| Rol | Bron van verplichtingen | Kernvereisten |
|---|---|---|
| Aanbieder | Art. 9–17 | Conformiteitsbeoordeling, technische documentatie, KMS, registratie |
| Gebruiker | Art. 26 | Systeem bewaken, menselijk toezicht waarborgen, logboeken bijhouden, gebruikers informeren |
| Beide | Art. 9–17 + Art. 26 | Volledige aanbiederverplichtingen + bewakingsplichten als gebruiker |
Banken die credit scoring AI aanschaffen bij een fintech-leverancier treden op als gebruiker op grond van Art. 26. Zij moeten verifiëren dat de leverancier de conformiteitsbeoordeling heeft voltooid, menselijke beoordeling integreren in processen voor nadelige beslissingen, gebruikslogboeken 10 jaar bewaren (Art. 26(6)) en ervoor zorgen dat AI-beslissingen worden uitgelegd aan betrokken personen op grond van AVG Art. 22 en Art. 13 van de EU AI-verordening.
Sectorale Regelgevingsoverlap: DORA, MiFID II en Solvabiliteit II
DORA (Verordening 2022/2554) is van toepassing op banken, beleggingsondernemingen, verzekeringsmaatschappijen en ICT-derdenaanbieders. Voor AI specifiek vereist DORA:
- AI-systemen worden behandeld als ICT-systemen die onderworpen zijn aan risicobeheerskaders (Art. 6 DORA)
- Classificatie en rapportage van ICT-gerelateerde incidenten — AI-storingen kunnen grote ICT-incidenten vormen
- Veerkrachttests van kritieke ICT-systemen — AI-modellen inbegrepen wanneer zij materieel zijn voor de bedrijfsvoering
- Beheer van risico's van derden met betrekking tot AI-leverancierscontracten, exitstrategieën en auditrechten
MiFID II (Richtlijn betreffende markten voor financiële instrumenten) is van toepassing op algoritmische handel en beleggingsadvies. Door AI gegenereerde beleggingsaanbevelingen activeren vereisten voor geschiktheidsbeoordelingen; algoritmische handelssystemen vereisen pre-handelcontoles, noodstopschakelaars en wettelijke kennisgeving.
EBA-richtsnoeren inzake ICT en beheer van beveiligingsrisico's (EBA/GL/2019/04, bijgewerkt in 2022) verplichten tot een governancekader voor technologierisico's dat AI-modellen omvat, vereisten voor operationele continuïteit en onafhankelijkheid van modelvalidatie. Deze sluiten in belangrijke mate aan bij de risicobeheervereisten van Art. 9 van de EU AI-verordening.
Handhavingsautoriteiten
De handhaving van de EU AI-verordening voor bankieren-AI verloopt via een tweelaagsstructuur van autoriteiten:
Nationale bevoegde autoriteiten (NBA's) die door elke lidstaat zijn aangewezen op grond van Art. 70 zijn de primaire handhavingsinstanties voor de AI-verordening. Zij kunnen markttoezicht uitoefenen, technische documentatie opvragen en boetes opleggen (tot €30 miljoen of 6% van de wereldwijde jaarlijkse omzet op grond van Art. 99).
De Europese Bankautoriteit (EBA) coördineert het sectorspecifieke AI-toezicht in de bankenunie, stelt technische normen op inzake ICT-risico en geeft richtsnoeren uit die de nationale toezichtsverwachtingen vormgeven. De EBA neemt ook deel aan de Europese AI-raad die is opgericht op grond van Art. 65.
De ECB en nationale prudentiële toezichthouders kunnen AI-modeldocumentatie opvragen als onderdeel van SREP-beoordelingen (Supervisory Review and Evaluation Process) op grond van CRD IV, wanneer AI materiële krediet- of operationele risicobeslissingen aanstuurt.
Complianceroadmap voor Banken
Onmiddellijk (nu → augustus 2026): Voer een nalevingscheck uit voor verboden — beoordeel alle AI-systemen op praktijken die verboden zijn op grond van Art. 5, waaronder sociale scoring en realtime biometrische identificatie in openbare ruimten. Deze verboden gelden onmiddellijk voor nieuwe contracten.
K3 2026 — Audit hoog-risico classificatie: Breng alle ingezette en in ontwikkeling zijnde AI-systemen in kaart ten opzichte van Bijlage III, specifiek de categorieën 5(b) en 5(c). Documenteer de classificatieonderbouwing. Betrek juridische en compliance-afdelingen bij de beoordeling van de overlap met DORA.
K4 2026 — Aanbiederverplichtingen voor intern ontwikkelde AI: Voor intern gebouwde credit scoring- en acceptatiemodellen: start conformiteitsbeoordelingsprocedures, ontwikkel technische documentatie conform Bijlage IV en implementeer een KMS op grond van Art. 17.
2027 — Gebruikersverplichtingen voor AI van derden: Controleer alle AI-leverancierscontracten op naleving van de EU AI-verordening. Vereis dat aanbieders conformiteitsverklaringen en registratienummers verstrekken. Werk gegevensverwerkingsovereenkomsten bij om de logboekverplichtingen van Art. 26 te weerspiegelen.
Augustus 2027 — GPAI-verplichtingen van kracht: Zorg ervoor dat alle LLM's en foundatiemodellen van derden die worden gebruikt in banktoepassingen voldoen aan Art. 51–55. Verifieer dat aanbieders transparantiedocumentatie hebben gepubliceerd op grond van Art. 53.
December 2027 — Deadline hoog-risico AI: Volledige naleving vereist voor alle hoog-risico AI-systemen uit Bijlage III. Zorg voor registratie in de EU AI-database, operationele mechanismen voor menselijk toezicht en plannen voor post-marktbewaking op grond van Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banken worden door de EU AI-verordening primair getroffen via de categorieën 5(b) en 5(c) van Bijlage III: AI gebruikt voor de beoordeling van kredietwaardigheid en credit scoring, en AI gebruikt voor acceptatie bij levens- en ziektekostenverzekeringen. Deze worden geclassificeerd als hoog-risico AI-systemen waarvoor conformiteitsbeoordelingen, technische documentatie, mechanismen voor menselijk toezicht en registratie in de EU AI-database vereist zijn. Daarnaast kunnen banken die AI inzetten voor anti-witwas (AML) screening, fraudedetectie of cliëntonderzoek onder Bijlage III vallen, afhankelijk van de functie van het systeem en de beslissingen die het beïnvloedt.
DORA (Digital Operational Resilience Act, Verordening 2022/2554) en de EU AI-verordening creëren overlappende maar afzonderlijke verplichtingen. DORA vereist dat financiële entiteiten ICT-risico's beheren, veerkrachttests uitvoeren en incidentrapportagemogelijkheden handhaven — dit geldt voor AI-systemen als ICT-instrumenten. De EU AI-verordening voegt risicoclassificatie, conformiteitsbeoordeling, transparantie en eisen voor menselijk toezicht toe die specifiek gelden voor AI-systemen. Een kredietinstelling die een AI-gestuurd credit scoring-systeem gebruikt, moet zowel aan het ICT-risicobeheersingskader van DORA als aan de hoog-risico AI-vereisten van de EU AI-verordening voldoen. De ICT- en beveiligingsrisicobeheersingsrichtsnoeren van de EBA zijn gelijktijdig van toepassing.
Algoritmische handelssystemen staan niet rechtstreeks vermeld in Bijlage III en vormen daarom niet automatisch hoog-risico AI in de zin van de EU AI-verordening. Als een handelsalgoritme echter wordt gebruikt als onderdeel van een kredietwaardigheidsbeoordeling of de toegang tot financiële diensten voor personen op een wezenlijke wijze beïnvloedt, kan het binnen het toepassingsgebied van Bijlage III vallen. MiFID II-vereisten voor algoritmische handel — waaronder noodstopschakelaars, systeemtests en auditsporen — blijven onverkort van toepassing. De transparantievereisten van Art. 50 van de EU AI-verordening gelden voor AI die interactie heeft met natuurlijke personen, en de GPAI-modelverplichtingen uit Art. 51 gelden voor grote taalmodellen die worden gebruikt op handels- of analyseplatforms.
De Europese Bankautoriteit (EBA) heeft richtsnoeren gepubliceerd over interne governance (EBA/GL/2021/05) en ICT-risicobeheer die rechtstreeks van invloed zijn op de AI-governanceverwachtingen voor banken. Kernvereisten zijn onder meer: verantwoordelijkheid op bestuursniveau voor de AI-strategie, onafhankelijke validatie van AI-modellen die worden gebruikt bij kredietrisico, operationele risicokaders die AI-storingen omvatten, en uitleggingsvereisten voor AI-systemen die kredietbeslissingen beïnvloeden. De consultaties van de EBA over machine learning voor IRB-modellen stellen kwantitatieve normen voor modelvalidatie, datakwaliteit en prestatiebewaking die nauw aansluiten bij de risicobeheervereisten van Art. 9 van de EU AI-verordening.
Ja, in principe wel — de EU AI-verordening is van toepassing ongeacht de omvang van een bedrijf. Art. 9(5) vereist echter dat risicobeheersystemen proportioneel zijn aan de omvang en aard van de aanbieder of gebruiker. De bepalingen voor het midden- en kleinbedrijf en startups in Art. 55 en Art. 57 tot Art. 63 bieden toegang tot regelgevende sandboxen die worden beheerd door nationale bevoegde autoriteiten, waardoor belemmeringen voor compliance-tests worden verminderd. De EBA Innovation Hub en het European Forum for Innovation Facilitators (EFIF) bieden aanvullende ondersteuning aan fintech-bedrijven die door het AI-regelgevingslandschap navigeren.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.