Verzekeringen — EU AI Act Compliance

EU AI Act-verplichtingen voor AI in de verzekeringssector: actuariële modellen, acceptatie, schadebehandeling en prijsstelling voor natuurlijke personen. Behandelt Annex III categorie 5(b) en de interactie met Solvency II.

Verzekeringen en de EU AI Act — de Actuariële Uitdaging

De EU AI Act (Verordening (EU) 2024/1689) legt de zwaarste complianceverplichtingen op aan AI-systemen die van invloed zijn op de mogelijkheid van natuurlijke personen om toegang te krijgen tot essentiële diensten en financiële producten. De verzekeringssector bevindt zich in het hart van deze zorg. AI-systemen die bepalen of een natuurlijke persoon motor-, zorg-, levens- of schadeverzekering kan verkrijgen — en tegen welke kosten — zijn in veel configuraties hoog-risico AI-systemen onder Annex III, punt 5(b) van de Verordening.

De fundamentele uitdaging voor de verzekeringssector is actuarieel van aard. Ruim een eeuw lang is de verzekeringstariefstelling gebaseerd op statistische modellering van risico over populatiecohorten. De EU AI Act verbiedt actuariële differentiatie niet, maar legt substantiële verplichtingen op aan de AI-systemen waarmee dergelijke differentiatie wordt uitgevoerd, wanneer die systemen op het niveau van de individuele natuurlijke persoon opereren. De verschuiving van traditionele poolingmodellen naar AI-gestuurde individuele risicoscoring — mogelijk gemaakt door telematica, gegevensstromens over gezondheid en gedragsanalytics — is precies wat het hoog-risicoregime van de Verordening activeert.

Verzekeraars die in de EU actief zijn, moeten derhalve een systematische classificatieoefening uitvoeren: welke van hun AI-systemen produceren geïndividualiseerde uitkomsten die dekkingsbeslissingen voor natuurlijke personen bepalen of aanzienlijk beïnvloeden? Die classificatieoefening is niet louter een compliance-formaliteit. De uitkomst ervan bepaalt of de verzekeraar, als deployer onder Art. 26 (of aanbieder onder Art. 16), verplichtingen draagt met betrekking tot datagovernance, technische documentatie, menselijk toezicht, conformiteitsbeoordeling en registratie in de EU-database voor hoog-risico AI.

De toepassing van de Verordening op de verzekeringssector wordt verder bemoeilijkt door de bestaande regulatoire dichtheid van de sector. De Solvency II-richtlijn (2009/138/EG), de Richtlijn Verzekeringsdistributie (IDD) (EU) 2016/97, GDPR en EIOPA's op beginselen gebaseerde AI-richtsnoeren (2021) leggen elk vereisten op aan actuariële modellering, klantbehandeling en gegevensgebruik. Deze kaders overlappen met — maar vervangen niet — de verplichtingen uit de EU AI Act. Complianceprogramma's moeten alle kaders gelijktijdig adresseren.

Hoog-Risico AI-Toepassingen in de Verzekeringssector

Actuariële Prijsstellingsmodellen voor Natuurlijke Personen

Annex III, punt 5(b) van de EU AI Act classificeert als hoog-risico elk AI-systeem dat wordt gebruikt om de kredietwaardigheid van natuurlijke personen te beoordelen of om natuurlijke personen in te delen naar risicoprofiel met het oog op toegang tot verzekeringsdiensten. Dit omvat actuariële AI-systemen die:

Een individuele risicoscore genereren die wordt gebruikt om een motorrijtuigverzekeringspremie vast te stellen voor een met naam genoemde polishouder
De gezondheidsstatus of het sterftrisico van een natuurlijke persoon classificeren om de beschikbaarheid van levensverzekeringsdekking of de premie te bepalen
Een schadeverzekeringstarief produceren op basis van door AI beoordeelde risicofactoren die zijn toe te schrijven aan een specifieke natuurlijke persoon

De cruciale drempel is de impact op individuele natuurlijke personen. Actuariële AI toegepast op rechtspersonen — bedrijfsaansprakelijkheid, commercieel transport, industrieel vastgoed — activeert Annex III cat. 5(b) niet, tenzij natuurlijke personen op een materieel vergelijkbare wijze worden geraakt. Verzekeraars die zowel particuliere als zakelijke verzekeringen aanbieden, moeten elk AI-systeem classificeren naar de populatie waarop het betrekking heeft.

Telematica en Pay-as-You-Drive-Systemen voor Motorrijtuigverzekeringen

Op telematica gebaseerde verzekeringsprijssystemen die rijgedragsgegevens verzamelen — snelheid, acceleratie, rempatronen, gebruik op bepaalde tijdstippen — en AI-modellen gebruiken om een individuele premie te genereren voor een met naam genoemde natuurlijke persoon, zijn het paradigmatische voorbeeld van een hoog-risico AI-toepassing in de verzekeringssector. Deze systemen voldoen aan alle elementen van Annex III cat. 5(b): zij beoordelen individuele natuurlijke personen, zij produceren uitkomsten die de toegang tot en de prijsstelling van verzekeringen bepalen, en hun AI-gestuurde individualisering is precies wat hen onderscheidt van traditionele actuariële pooling.

Aanbieders van telematica-scoringsengines — ongeacht of deze intern zijn ontwikkeld of in licentie zijn verkregen van een externe leverancier — moeten voldoen aan Art. 9 (risicobeheer), Art. 10 (datagovernance voor trainings- en validatiedatasets), Art. 11 gelezen in samenhang met Annex IV (technische documentatie), Art. 12 (logging), Art. 13 (transparantie), Art. 14 (menselijk toezicht) en Art. 15 (nauwkeurigheid, robuustheid, cyberbeveiliging).

AI voor Acceptatie van Levens- en Ziektekostenverzekeringen

AI-systemen die bij de acceptatie van levensverzekeringen worden gebruikt om het levensverwachtings- of sterftrisico van individuele aanvragers te beoordelen — waarbij wordt bepaald of dekking wordt aangeboden en tegen welke premie — zijn hoog-risico onder Annex III cat. 5(b) wanneer zij geïndividualiseerde beoordelingen produceren voor natuurlijke personen. Dit omvat AI-systemen die antwoorden op gezondheidsvragenlijsten, medische dossiers (voor zover rechtmatig verkregen) of gegevensstromen van draagbare apparaten verwerken om een risicoscore te genereren die acceptatiebeslissingen beïnvloedt.

Ziektekostenverzekerings-AI die individuele aanvragers segmenteert naar gezondheidsrisicoprofiel voor de doeleinden van prijsstelling of beschikbaarheidsbepaling, is onderworpen aan dezelfde classificatie. Verzekeraars moeten alert zijn op de verwevenheid van GDPR Art. 9 (gezondheidsgegevens als bijzondere categorie persoonsgegevens) en de datagovernancevereisten van Art. 10 van de AI Act: trainingsdatasets die gezondheidsgegevens bevatten, vereisen een uitdrukkelijke rechtsgrond uit GDPR Art. 9(2), en deze rechtsgrond moet worden gedocumenteerd in de technische documentatie die door Annex IV wordt vereist.

AI voor Schadebehandeling en -Afwikkeling

De classificatie van AI bij schadeclaims hangt af van de functionele rol in het besluitvormingsproces rondom schadeclaims. Twee scenario's dienen te worden onderscheiden:

AI die een claimsuitkomst voor een natuurlijke persoon aanzienlijk beïnvloedt: wanneer een AI-systeem een claim beoordeelt en de uitkomst ervan direct resulteert in verlaging, afwijzing of voorwaardelijke betaling van een verzekeringsuitkering aan een natuurlijke persoon — ook al wordt dit nominaal door een mens getoetst — is het systeem waarschijnlijk hoog-risico onder Annex III cat. 5(b), omdat het feitelijk de toegang van de natuurlijke persoon tot verzekeringsuitkeringen bepaalt.
AI die claims markeert voor menselijk onderzoek: wanneer de AI-uitkomst één van meerdere inputs is die een schadebehandelaar in aanmerking neemt bij een zelfstandige, inhoudelijke beslissing, en de behandelaar de bevoegdheid en informatie heeft om af te wijken van de AI-beoordeling, is het systeem mogelijk niet hoog-risico. Dit onderscheid moet worden gedocumenteerd en operationeel aantoonbaar zijn, niet slechts nominaal.

Fraudedetectie bij Verzekeringen

AI-systemen die worden gebruikt voor de detectie van mogelijk frauduleuze claims bevinden zich op een belangrijke grens. Wanneer de fraudedetectie-AI een automatische ongunstige maatregel triggert — opschorting van betaling, polisopzegging — die een natuurlijke persoon treft zonder substantieel menselijk toezicht, is de kans groot dat het systeem hoog-risico is. Wanneer de AI uitsluitend een frauderisicosignaal genereert dat vervolgens door een gespecialiseerde behandelaar wordt onderzocht die volledige beslissingsbevoegdheid behoudt, is dat mogelijk niet het geval. Verzekeraars dienen de fraudedetectie-AI-workflow gedetailleerd te documenteren en te beoordelen of het operationele menselijke toezicht inhoudelijk dan wel louter nominaal is.

Aanbieder vs. Deployer in de Verzekeringssector

Onderscheid tussen de Rollen

De EU AI Act legt verschillende verplichtingen op afhankelijk van of een organisatie een aanbieder is (ontwikkelt en brengt de AI op de markt) of een deployer (gebruikt een AI-systeem van derden in een professionele context). Voor verzekeraars is dit onderscheid commercieel van belang:

Een verzekeraar die zijn eigen telematica-scoringsengine of actuariële prijs-AI ontwikkelt is een aanbieder onder Art. 3(3) en draagt de volledige aanbiedersverplichtingen onder Art. 16: kwaliteitsbeheersysteem, technische documentatie, EU-conformiteitsverklaring, CE-markering, registratie in de EU-database en post-markttoezicht.
Een verzekeraar die actuariële AI-software in licentie neemt van een leverancier is een deployer onder Art. 3(4) en draagt de deployerverplichtingen onder Art. 26: implementatie in overeenstemming met de instructies van de aanbieder, menselijk toezicht, bijhouden van logboeken en incidentrapportage.
Een verzekeraar die een in licentie genomen AI-systeem wijzigt op een manier die het beoogde gebruik verandert — bijvoorbeeld door een telematicamodel toe te passen op een polishouderpopulatie buiten het gevalideerde toepassingsgebied — kan worden geherclassificeerd als aanbieder onder Art. 25(1) met alle bijbehorende aanbiedersverplichtingen.

Due Diligence door Deployers bij Actuariële AI van Leveranciers

Verzekeraars die actuariële AI-systemen van derden inzetten, moeten gestructureerde due diligence uitvoeren voor en na de inzet:

Vóór inzet: Verifieer of het AI-systeem is geregistreerd in de EU-database voor hoog-risico AI op grond van Art. 49, een CE-markering draagt en vergezeld gaat van een EU-conformiteitsverklaring. Vraag de samenvatting van de technische documentatie op en beoordeel deze, inclusief nauwkeurigheids- en biasmetrieken, het gevalideerde toepassingsgebied en de verklaring van beoogd gebruik.

Contractuele bescherming: Aanbestedingscontracten met AI-leveranciers dienen te vermelden: de verplichting van de leverancier om de verzekeraar te informeren over significante updates of herbeoordelingen; de verplichting van de leverancier om op verzoek bijgewerkte post-markttoezichtgegevens te verstrekken; en de grenzen van het toegestane inzetgebied — met een duidelijk mechanisme waarmee de verzekeraar een uitbreiding van het toepassingsgebied kan aanvragen in plaats van eenzijdig te handelen.

Doorlopende monitoring: Op grond van Art. 26(5) moeten deployers de prestaties van hoog-risico AI-systemen in hun operationele context monitoren. Voor actuariële AI betekent dit het bijhouden van de modelprestaties ten opzichte van werkelijke claimsuitkomsten, het monitoren van distributieveranderingen tussen de trainingspopulatie en de actuele polishouderpopulatie, en het escaleren van materiële afwijkingen naar de leverancier voor onderzoek.

Interactie met Solvency II, IDD en GDPR

Solvency II — System of Governance en ORSA

De Pillar II-vereisten van de Solvency II-richtlijn stellen een System of Governance in voor actuariële en risicobeheersfuncties. De Own Risk and Solvency Assessment (ORSA) vereist gedocumenteerde risicoidentificatie, stresstesting en intern modelbestuur. Deze vereisten overlappen in aanzienlijke mate met het risicobeheersysteem van Art. 9 van de EU AI Act en de modelvalidatiecomponenten van de technische documentatie in Annex IV.

Verzekeraars dienen een gestructureerde gapanalyse uit te voeren om te bepalen welke Solvency II-governanceartefacten kunnen worden benut voor AI Act-compliance en welke lacunes resteren. Typische lacunes omvatten: AI-specifieke biastesting en eerlijkheidsbeoordeling (niet geadresseerd in Solvency II); Art. 10-datasetdocumentatie voor trainings- en validatiegegevens (die verder gaat dan het modelvalidatiebereik van Solvency II); Art. 12 automatische logging van de werking van het AI-systeem; en het ontwerp van menselijktoezichtmechanismen op grond van Art. 14. Wanneer een intern model dat is goedgekeurd onder Solvency II AI-componenten bevat, moet het governancekader voor dat model worden uitgebreid om te voldoen aan de AI Act-verplichtingen voordat het systeem rechtmatig kan worden ingezet onder het hoog-risicoregime.

Richtlijn Verzekeringsdistributie — Eerlijkheid en Transparantie

De IDD (EU) 2016/97 vereist dat de distributie van verzekeringen plaatsvindt in het belang van de klant, met informatie die op een begrijpelijke wijze wordt gepresenteerd. Wanneer AI wordt gebruikt in het distributieproces — bijvoorbeeld op een digitaal platform dat gepersonaliseerde productaanbevelingen of premieoffertes genereert — sluiten de eerlijkheids- en openbaarmakingsverplichtingen van de IDD aan bij de transparantievereisten van Art. 13 van de EU AI Act. Verzekeraars dienen de openbaarmakingsverplichtingen uit de AI Act te integreren in de productinformatiedocumenten (IPID's) en Essentiële Informatiedocumenten van de IDD, waarbij de rol van AI in de distributie- of prijsstellingsbeslissing wordt gecommuniceerd in voor de polishouder toegankelijke taal.

GDPR — Bijzondere Categorieën Persoonsgegevens en Geautomatiseerde Besluitvorming

GDPR Art. 9 classificeert gezondheidsgegevens, genetische gegevens en gegevens over de fysieke of geestelijke gezondheid van een persoon als bijzondere categorieën persoonsgegevens, waarvan de verwerking verboden is bij afwezigheid van een specifieke uitzondering. Levens- en ziektekostenverzekeraars die dergelijke gegevens gebruiken in AI-training of -scoring, moeten een geldige rechtsgrond uit Art. 9(2) identificeren en documenteren — in de meeste gevallen uitdrukkelijke toestemming op grond van Art. 9(2)(a) of een nationale wettelijke uitzondering op grond van Art. 9(2)(b) — voor elke categorie gegevens en elk verwerkingsdoel.

GDPR Art. 22 beperkt uitsluitend geautomatiseerde beslissingen die rechtsgevolgen of vergelijkbaar significante gevolgen hebben voor natuurlijke personen. Een AI-acceptatiebeslissing die automatisch een verzekeringsaanvraag afwijst, of een AI-claimsbeslissing die automatisch een uitkeringsbetaling verlaagt, zonder menselijke betrokkenheid, vormt uitsluitend geautomatiseerde besluitvorming in de zin van Art. 22. De betrokkene heeft recht op: menselijke toetsing van de beslissing; uitleg over de voornaamste factoren die de geautomatiseerde beslissing hebben beïnvloed; en het recht om de uitkomst te betwisten. Verzekeraars moeten deze rechten integreren in hun klantgerichte processen en ervoor zorgen dat de interne toetsingsmechanismen inhoudelijk functioneren.

EIOPA AI-Richtsnoeren

EIOPA's op beginselen gebaseerde richtsnoeren over het gebruik van AI in de verzekeringssector (2021) hebben sectorverwachtingen vastgesteld rondom transparantie, non-discriminatie, datakwaliteit en modelverklaarbaarheid, vooruitlopend op de inwerkingtreding van de AI Act. EIOPA ontwikkelt sectorspecifieke implementatierichtsnoeren voor de EU AI Act, en verzekeraars dienen de EIOPA-publicaties nauwlettend te volgen. Nationale toezichthouders — ACPR (Frankrijk), BaFin (Duitsland), IVASS (Italië), DNB (Nederland) — zullen toezichtverwachtingen implementeren in lijn met EIOPA-richtsnoeren, en sectorspecifieke Q&A-publicaties worden verwacht tijdens de implementatieperiode van de Verordening.

Handhaving — EIOPA en Nationale Toezichthouders

De Toezichtrol van EIOPA

EIOPA (European Insurance and Occupational Pensions Authority) heeft geen directe handhavingsbevoegdheid onder de EU AI Act, die nationale toezichthoudende autoriteiten aanwijst als bevoegde autoriteiten op grond van Art. 70. EIOPA coördineert echter de toezichtconvergentie tussen EU-verzekeringstoezichthouders en geeft bindende en niet-bindende technische standaarden uit. De AI-governanceverwachtingen van EIOPA — uitgedrukt via richtsnoeren, adviezen en toezichtverklaringen — bepalen hoe nationale toezichthouders de AI Act-vereisten implementeren in de verzekeringscontext. Verzekeraars dienen EIOPA-publicaties te behandelen als gezaghebbende sectorrichtsnoeren, ook wanneer deze niet juridisch bindend zijn.

Nationale Verzekeringstoezichthouders als AI-Bevoegde Autoriteiten

Nationale verzekeringstoezichthouders in de grote EU-markten zijn gepositioneerd om de bevoegde autoriteitsrol onder de AI Act uit te oefenen voor AI-systemen in de verzekeringssector:

ACPR (Autorité de contrôle prudentiel et de résolution) in Frankrijk, die toezichtverwachtingen heeft gepubliceerd over AI in financiële diensten
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) in Duitsland, met een bewezen staat van dienst op het gebied van toezicht op algoritmische besluitvorming
IVASS (Istituto per la Vigilanza sulle Assicurazioni) in Italië
DNB (De Nederlandsche Bank) in Nederland

Deze autoriteiten beschikken over bevoegdheden op grond van Art. 74 en Art. 75 om toegang te verzoeken tot trainingsgegevens, technische documentatie en logboeken; om inspecties ter plaatse uit te voeren; om corrigerende maatregelen te gelasten; en om financiële sancties aan te bevelen bij niet-naleving. Boetes voor het op de markt brengen van niet-conform hoog-risico AI kunnen oplopen tot € 30 miljoen of 6% van de wereldwijde jaarlijkse omzet, afhankelijk van welk bedrag hoger is.

Dubbel Toezicht: AI Act en Sectorregulering

Verzekeringstoezichthouders die handhaving van de AI Act uitvoeren, doen dit in de context van hun bredere prudentiële en gedragsgerichte mandaat. Een AI Act-onderzoek naar een bevooroordeeld actuarieel prijsstellingsmodel kan tegelijkertijd Solvency II Pillar III-rapportageverplichtingen, IDD-gedragsvereisten en GDPR-handhaving door de gegevensbeschermingsautoriteit betreffen. Verzekeraars dienen ervan uit te gaan dat toezichtinterventies sectoroverstijgend zullen zijn en hun complianceprogramma's dienovereenkomstig in te richten.

Compliance-Routekaart voor Verzekeraars

Stap 1: Inventarisatie en Classificatie van AI-Systemen

Voer een uitgebreide inventarisatie uit van alle AI-systemen die worden gebruikt voor: premietariefstelling; acceptatie of afwijzing; schadebehandeling of -betaling; fraudedetectie; klantrisicoscoring; en distributie of productaanbeveling. Beoordeel voor elk systeem of het uitkomsten produceert die resultaten voor individuele natuurlijke personen bepalen of aanzienlijk beïnvloeden. Systemen die aan deze drempel voldoen, vereisen een classificatiebeoordeling op grond van Annex III cat. 5(b).

Stap 2: Bepaling van de Rol als Aanbieder of Deployer

Bepaal voor elk hoog-risico AI-systeem of de verzekeraar optreedt als aanbieder, deployer, of — cruciaal — of het gebruik buiten het gevalideerde toepassingsgebied van de leverancier heeft geleid tot herclassificatie als aanbieder. Schakel juridisch advies in voor de beoordeling van grensgevallen, met name wanneer interne gegevens of polishouderpopulaties zijn gebruikt om een gelicentieerd model te verfijnen of uit te breiden.

Stap 3: Gapanalyse ten opzichte van AI Act-Verplichtingen

Breng bestaande Solvency II-governanceartefacten, ORSA-documentatie en interne modelvalidatieprocessen in kaart ten opzichte van de AI Act-vereisten onder Art. 9 (risicobeheer), Art. 10 (datagovernance), Art. 11 en Annex IV (technische documentatie), Art. 12 (logging), Art. 13 (transparantie), Art. 14 (menselijk toezicht) en Art. 15 (nauwkeurigheid, robuustheid, cyberbeveiliging). Documenteer geïdentificeerde lacunes en wijs remediatieverantwoordelijkheid toe.

Stap 4: Datagovernance en GDPR-Afstemming

Voer voor elk hoog-risico AI-systeem een audit uit van trainings- en validatiedatasets. Documenteer de herkomst van gegevens, verzamelingsmethoden, representativiteit over relevante demografische groepen van polishouders en bekende beperkingen. Zorg dat GDPR-rechtsgrondslagen aanwezig zijn voor alle persoonsgegevens en, waar van toepassing, voor bijzondere categorieën persoonsgegevens. Integreer de Art. 10-documentatie in het technisch dossier van Annex IV.

Stap 5: Ontwerp van Menselijktoezichtmechanismen

Ontwerp operationeel realistische menselijktoezichtmechanismen voor elke hoog-risico AI-inzet. Voor acceptatie-AI betekent dit dat een gekwalificeerde acceptant de informatie, bevoegdheid en procestijd heeft om de aanbeveling van de AI te toetsen en er van af te wijken voordat dit gevolgen heeft voor de polishouder. Voor claims-AI betekent dit dat een schadebehandelaar over substantiële toetsingsbevoegdheid beschikt — niet over een nominale akkoordverleningsfunctie. Documenteer het toezichtontwerp en neem dit op in de technische documentatie.

Stap 6: Due Diligence bij Leveranciers en Contractherziening

Implementeer voor AI-systemen van externe actuariële leveranciers het hierboven beschreven due diligence-proces vóór inzet en beoordeel bestaande leverancierscontracten. Wanneer contracten geen bepalingen bevatten die de leverancier verplichten AI Act-compliancedocumentatie bij te houden, de verzekeraar te informeren over significante wijzigingen en audit van de AI-systeemprestaties toe te staan, dient remediatie te plaatsvinden via contractwijziging of heronderhandeling. Stel interne procedures in voor het monitoren van de AI-systeemprestaties in de actuele polishouderpopulatie en het rapporteren van significante afwijkingen aan leveranciers en, waar vereist, aan toezichthoudende autoriteiten.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Valt ons prijsalgoritme voor motorrijtuigverzekeringen onder de hoog-risico categorie van de EU AI Act?

Een prijsalgoritme voor motorrijtuigverzekeringen is waarschijnlijk hoog-risico onder Annex III, punt 5(b) als het de kredietwaardigheid of het risicoprofiel van individuele natuurlijke personen beoordeelt om premieniveaus of dekkingsbeschikbaarheid te bepalen. Op telematica gebaseerde pay-as-you-drive-systemen die het rijgedrag van individuele bestuurders scoren en die score gebruiken om premies vast te stellen voor met naam genoemde polishouders, vallen duidelijk binnen deze categorie. Traditionele actuariële poolingmodellen die individuen indelen in actuariële klassen zonder AI-gestuurde individuele scoring bevinden zich in een grijs gebied, maar elke AI-component die een geïndividualiseerde score genereert die wordt gebruikt om de polis van een natuurlijke persoon te prijzen of te accepteren, dient te worden beoordeeld op grond van Art. 6(2) gelezen in samenhang met Annex III cat. 5(b).

Dekt de ORSA van Solvency II de vereisten voor een risicobeheersysteem uit de AI Act?

Nee, maar er is aanzienlijke overlap die benut dient te worden. Art. 9 van de EU AI Act vereist een risicobeheersysteem dat voorzienbare risico's gedurende de volledige levenscyclus van het AI-systeem identificeert, analyseert en beperkt. De Own Risk and Solvency Assessment (ORSA) en de System of Governance-vereisten van Solvency II Pillar II verlangen gedocumenteerde risicoidentificatie en intern modelbestuur over actuariële en prijsstellingsprocessen. De bestuursstructuren, gedocumenteerde risicobeoordelingen en modelvalidatieprocedures die voor Solvency II zijn ontwikkeld, kunnen de basis vormen voor AI Act-compliance, maar moeten worden aangevuld om AI-specifieke verplichtingen te adresseren: biastesting, datagovernance onder Art. 10, automatische logging onder Art. 12 en menselijk toezicht onder Art. 14. Een gapanalyse ten opzichte van de technische documentatievereisten van Annex IV is essentieel.

Welke informatie moeten verzekeraars aan polishouders verstrekken over het gebruik van AI bij acceptatie of prijsstellingsbeslissingen?

Wanneer een hoog-risico AI-systeem wordt gebruikt om een beslissing te nemen of aanzienlijk te beïnvloeden die een natuurlijke persoon raakt — waaronder acceptatie, afwijzing of prijsstelling van verzekeringsdekking — moet de deployer zinvolle informatie verstrekken aan de natuurlijke persoon op grond van Art. 26(6) van de EU AI Act. Wanneer tevens sprake is van geautomatiseerde besluitvorming in de zin van Art. 22 GDPR, zijn de rechten van betrokkenen uit Art. 13–15 en 22 GDPR van toepassing. Polishouders hebben recht op uitleg over de logica van geautomatiseerde beslissingen, het recht om menselijke toetsing te verzoeken en het recht om de uitkomst te betwisten. Verzekeraars die AI-acceptatietools gebruiken, moeten derhalve klantgerichte openbaarmakingsprocessen ontwerpen en menselijke toetsingsmechanismen implementeren die daadwerkelijk toegankelijk zijn — niet afhankelijk van specialistische kennis.

Zijn AI-systemen voor fraudedetectie bij schadeclaims hoog-risico?

Niet automatisch. Fraudedetectie-AI die claims markeert voor menselijk onderzoek — waarbij de menselijke onderzoeker de definitieve beslissing neemt over het betalen, verlagen of afwijzen van de claim — voldoet mogelijk niet aan de drempel voor hoog-risicoclassificatie onder Annex III cat. 5(b), omdat de AI niet zelfstandig bepaalt of een natuurlijke persoon toegang heeft tot verzekering. Als de uitkomst van het fraudedetectiesysteem echter direct een automatische verlaging, opschorting of weigering van een claimuitkering aan een natuurlijke persoon triggert zonder substantieel menselijk toezicht, is het systeem waarschijnlijk hoog-risico. Verzekeraars dienen nauwkeurig te documenteren hoe de uitkomsten van fraude-AI worden gebruikt in het claimsverwerkingsproces en te waarborgen dat, waar natuurlijke personen worden geraakt, zinvol menselijk toezicht plaatsvindt voordat een voordeel wordt onthouden.

Welke documenten moeten wij opvragen bij onze leverancier van actuariële software?

Verzekeraars die actuariële AI-tools van derden inzetten, dienen contractueel het volgende te verlangen: de EU-conformiteitsverklaring en CE-markeringsdocumentatie voor hoog-risicosystemen; technische documentatie zoals vereist door Annex IV, inclusief de verklaring van beoogd gebruik, beschrijvingen van trainingsdatasets, validatie- en testresultaten (inclusief bias- en nauwkeurigheidsmetrieken voor demografische subpopulaties) en het risicobeheerdossier; gebruiksinstructies gericht aan de deployer; gegevens over post-markttoezicht en incidentenrapporten; en de parameters en voorwaarden waarbinnen het systeem is gevalideerd, inclusief eventuele beperkingen ten aanzien van gebruiksscenario's of polishouderpopulaties. Inzet buiten het bereik van de gebruiksinstructies van de leverancier kan de verzekeraar herclassificeren als aanbieder met alle aanbiedersverplichtingen onder Art. 16.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.