Direct naar inhoud
Sector · Financiële sector

AI Act-compliance voor de financiële sector

Banken, verzekeraars, vermogensbeheerders en fintech-startups die AI inzetten voor kredietbeoordeling, claim-processing of klantadvies vallen vrijwel altijd onder Bijlage III §5. De stapeling van Wft, DORA, AVG art. 22 en AI Act is zwaar maar overlapt deels — slim te stroomlijnen als je weet welk document welke verplichting dekt.

Doe gratis een risicoscan

Toezichthouders die in deze sector relevant zijn

De Nederlandsche Bank (DNB)

Prudentieel toezicht op banken en verzekeraars; toezicht op IT- en operationele risico's onder DORA, inclusief AI-systemen die kritisch zijn voor de bedrijfsvoering.

Autoriteit Financiële Markten (AFM)

Gedrags- en marktintegriteit-toezicht; specifieke aandacht voor AI in beleggingsadvies, robo-advisors, en fairness in kredietverlening.

Autoriteit Persoonsgegevens (AP)

Toezicht op AVG art. 22 (geautomatiseerde besluitvorming) en op profilering bij financiele dienstverlening — een van AP's prioriteitsgebieden in werkagenda 2026.

AI-toepassingen in deze sector — typische classificatie

Indicatieve classificatie per use-case. Echte classificatie hangt af van specifieke implementatie, data en autonomie-niveau — doe een risicoscan voor jouw specifieke geval.

Use-caseClassificatieOnderbouwing
Kredietscoring particulieren of MKBHoogBijlage III §5a: AI gebruikt voor kredietwaardigheid-beoordeling van natuurlijke personen of MKB. Vereist FRIA, DPIA, transparante uitleg-eisen onder AVG art. 22.
Pricing van levens- en zorgverzekeringenHoogBijlage III §5b: risico-pricing voor essentiele verzekeringen. FRIA-plicht via art. 27 lid 1, plus AVG art. 22 als pricing geautomatiseerd is.
Schadebehandeling / claims-classificatieHoogToegang tot uitkering = essentiele dienst (Bijlage III §5b). Beslissingen over wel/niet uitkeren raken AVG art. 22. Documenteer FRIA + uitleg-recht.
Fraud detection in betalingenHoogBij blokkeren van transacties of accounts: directe impact op financiele toegang. Vaak Bijlage III §5b ook hier. Logging + menselijk toezicht verplicht.
KYC / AML-screening (sanctielijsten, PEP)HoogBeslissingen over klantonboarding hebben directe impact op financiele toegang. Naast AI Act ook Wwft + Sanctiewet 1977. Bias-testen sterk aanbevolen.
Robo-advisor / geautomatiseerd beleggingsadviesHoogBeslist mede over financiele producten voor klant. AFM Wft-toezicht + AVG art. 22 + Bijlage III §5b. Volledige uitleg-keten en menselijk-overrule-mogelijkheid vereist.
Klantenservice-chatbot productvragenBeperktGeen beslissingen over toegang tot diensten of pricing. Wel Art. 50: klant moet weten dat het AI is. Bij overstap naar advies/bemiddeling kantelt het naar hoog-risico.
Document-extractie uit hypotheekaanvragenBeperktPure data-omzetting (gestructureerd uit ongestructureerd) valt onder de uitzondering van art. 6 lid 3a. Mits de mens de uiteindelijke beslissing neemt.

Sector-specifieke wetgeving naast EU AI Act en AVG

Wet op het financieel toezicht (Wft)

Algemene toezichtswet voor financiele sector. Eisen aan beheerste bedrijfsvoering (art. 3:17), uitbestedingsrisico's (art. 3:18) en zorgplicht (art. 4:23 — beleggingsadvies). Bij AI-uitbesteding: due-diligence + monitoring vereist.

Verordening (EU) 2022/2554 — Digital Operational Resilience Act (DORA)

Sinds 17 januari 2025 van kracht. Eisen aan ICT-risk-management, incident-rapportering en derde-partij-risico's. AI-systemen die kritiek zijn voor bedrijfsvoering moeten in DORA-register + risico-assessment.

AVG art. 22 — geautomatiseerde besluitvorming

Verbiedt in beginsel volledig geautomatiseerde besluiten met rechtsgevolg of vergelijkbare significante invloed, tenzij noodzakelijk voor uitvoering overeenkomst, wettelijk toegestaan, of op basis van uitdrukkelijke toestemming. Plus: betrokkene heeft recht op menselijke tussenkomst en uitleg.

Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)

Verplicht klantonderzoek bij financiele dienstverlening. AI-screening op sancties/PEP moet AVG-compliant zijn én documenteerbaar voor toezichthouder.

Verordening (EU) 2023/1114 — Markets in Crypto-Assets (MiCA)

Voor crypto-spelers met AI-componenten in risk-monitoring of klantadvies. DNB/AFM-toezicht, plus eigen consumentbeschermingseisen.

Vaak-gemaakte fouten in deze sector

Pas op

Geen 'menselijke tussenkomst' bij geautomatiseerde besluitvorming

AVG art. 22 lid 3 eist dat betrokkene mag verzoeken om menselijke heroverweging. Veel financiele AI-systemen hebben dit recht alleen op papier maar geen werkbaar pad. Bouw het in als een specifieke gebruikersactie met SLA op afhandeling.

Pas op

Uitlegbaarheid niet gedocumenteerd

AVG art. 13/14 + AI Act art. 13 eisen 'betekenisvolle informatie over de logica' van geautomatiseerde besluitvorming. Bij een black-box-model zonder feature-importance of SHAP-analyse is dat niet te leveren — investeer vroeg in explainability-layer.

Pas op

DORA en AI Act incident-rapportering door elkaar

DORA heeft zijn eigen ICT-incident-meldplicht (art. 19) met andere termijnen dan AI Act art. 73. Voor AI-incidenten in financiele sector kunnen beide tegelijk gelden — train je incident-response-team op beide regimes.

Pas op

Sub-processor-keten incompleet

AI-leverancier draait op AWS/Azure die op hun beurt op andere AI-aanbieders bouwen. AVG art. 28 + Wft art. 3:18 vereisen volledige keten-mapping. Veel banken stoppen bij hun directe leverancier; toezichthouder kijkt door.

Documenten die je in deze sector typisch nodig hebt

  • AI-beleid met expliciete clausule over Wft + DORA-aansluiting
  • AI-register met DORA-klasse 'kritiek voor bedrijfsvoering' aangevinkt waar relevant
  • FRIA + DPIA (gecombineerd voor systemen met persoonsgegevens)
  • Technische documentatie + explainability-rapport (feature importance / SHAP)
  • Logging-policy met DORA-eisen erin (langer dan 6 mnd in veel Wft-contexten)
  • Human-oversight-protocol met SLA op heroverwegings-verzoeken
  • Incident-response-plan dat zowel DORA art. 19 als AI Act art. 73 dekt
  • DPA + sub-processor-keten volledig in kaart
  • Bias-test rapport per kwartaal voor pricing/scoring-systemen
  • Wwft + AVG art. 22-uitleg in klantcommunicatie (transparant + opvraagbaar)

Veelgestelde vragen — Financiële sector

Is mijn fraud-detectie hoog-risico als het alleen flags geeft, geen besluit neemt?
Hangt af van de feitelijke gevolgen. Als een flag standaard leidt tot transactie-blokkering of account-bevriezing zonder substantiele menselijke heroverweging, is het hoog-risico ondanks het 'flag-only'-label. Toezichthouders kijken naar uitkomst, niet naar het zelf-gerapporteerde label.
Wij gebruiken AI van een fintech-leverancier — moeten wij FRIA doen?
Ja. De aanbieder doet conformiteitsbeoordeling (art. 43); jij doet als gebruiksverantwoordelijke FRIA voor jouw inzet. Als je in publieke sector zit of essentiele diensten levert valt jouw FRIA onder art. 27 lid 1. Meeste financiele dienstverleners zitten daar inmiddels onder.
DORA + AI Act dubbel rapporteren — kan dat in 1 incident-melding?
Niet voor de formele melding (verschillende toezichthouders, verschillende formaten), maar de interne incident-detectie-en-respons kan worden geintegreerd. Eén incident-protocol dat beide regimes dekt is best practice. Documenteer wel welke melding waarheen ging.
Voldoet onze ISO 27001 + DORA-implementatie aan AI Act?
Ze dekken een groot deel van de organisatorische eisen (governance, risk-management, monitoring), maar niet de AI-specifieke punten: art. 5-verboden-check, FRIA, transparantie naar betrokkenen, AVG art. 22-recht op menselijke tussenkomst. Vul aan met AI-specifieke documenten en behoud ISO als onderliggende structuur.
Moeten we onze AI-systemen registreren bij DNB?
Onder DORA: ja, kritieke ICT-third-party providers in een register. Onder AI Act: hoog-risico systemen in EU-databank (art. 49) die ook door DNB raadpleegbaar is. In Nederland werkt dit via de markttoezichtautoriteit AI Act, vermoedelijk gecoordineerd door AFM/DNB voor de financiele sector.

Verder lezen in de kennisbank

Hoog-risico AI herkennen: Annex III in begrijpelijk Nederlands

Bijlage III van de EU AI Act somt acht categorieen AI-systemen op die als hoog-risico gelden. Per categorie: wat valt eronder, wat valt er net buiten, en welke verplichtingen worden actief.

DPIA en FRIA in één document: kan dat?

DPIA (AVG art. 35) en FRIA (AI Act art. 27) overlappen voor 60-80% in scope wanneer een hoog-risico AI-systeem persoonsgegevens verwerkt. Wanneer mag je ze combineren, hoe doe je dat in de praktijk, en welke nuances moet je niet missen.

Audit-pack: wat de toezichthouder écht wil zien

Een audit-pack is een gestructureerde set documenten die bewijst dat je AI-Act-compliant werkt. Wat hoort er minimaal in voor MKB, hoe leveren toezichthouders een audit-vraag uit, en welke valkuilen vermijd je.

Specifiek voor Financiële sector

Ontvang een rapport voor jouw eigen organisatie in 5 minuten

De gratis risicoscan vraagt naar je specifieke AI-toepassingen en geeft een sector-aware classificatie. Geen account nodig.

Start gratis scan