De financiële sector werkt al decennia met modellen die beslissingen nemen over leningen, verzekeringspremies en transactiegoedkeuringen. De EU AI Act (Verordening 2024/1689) introduceert voor het eerst bindende Europese regels specifiek voor dit soort AI-systemen. Banken, verzekeraars, vermogensbeheerders en fintech-bedrijven staan voor concrete verplichtingen - en de deadline van 2 augustus 2026 nadert snel.
Kredietscoring: hoog-risico zonder discussie
De AI Act is helder over kredietscoring. Bijlage III, punt 5b benoemt expliciet: AI-systemen die worden gebruikt om de kredietwaardigheid van natuurlijke personen te beoordelen of hun kredietscore vast te stellen. Dit maakt kredietrisicomodellen tot hoog-risico AI, ongeacht de technologie of de omvang van de instelling.
Dat geldt voor traditionele scoringmodellen op basis van regressie, maar ook voor modernere machine learning-modellen die honderden variabelen gebruiken. De classificatie hangt af van de functie, niet van de techniek.
Wat valt wel en niet onder punt 5b? Modellen die de kredietwaardigheid van rechtspersonen (bedrijven) beoordelen, vallen niet onder dit punt. Het gaat uitsluitend om AI die beslissingen neemt over individuele consumenten of zzp'ers als natuurlijk persoon.
Fraudedetectie: een grijs gebied
Fraudedetectie is genuanceerder. Een systeem dat transacties automatisch blokkeert en daarmee direct ingrijpt in de financiële rechten van een persoon, zal sneller als hoog-risico worden aangemerkt dan een systeem dat alleen alerts genereert voor menselijke beoordeling.
De sleutelvraag is: hoe direct bepaalt het systeem een uitkomst die een persoon raakt? Een fraudedetectiesysteem dat een betaling weigert zonder menselijke tussenkomst, heeft een hoge beslissingsimpact. Een systeem dat een analist een melding stuurt - waarbij de analist zelf beslist - heeft een lagere impact en valt eerder buiten de hoog-risico categorie.
Systemen die zelfstandig betalingen blokkeren of rekeningen bevriezen = hoogstwaarschijnlijk hoog-risico. Systemen die uitsluitend signaleren aan een medewerker die de eindbeslissing neemt = mogelijke uitzondering, afhankelijk van de verdere inrichting.
Wat verzekeraars moeten weten
Voor verzekeraars speelt de premievaststelling via AI een vergelijkbare rol als kredietscoring bij banken. Als een AI-systeem de hoogte van een premie of de acceptatie van een verzekeringnemer bepaalt voor een individuele consument, valt dit onder Bijlage III punt 5b. Dit raakt direct aan levensverzekeringen, zorgverzekeringen en autoverzekeringen waarbij individuele risicoprofielen worden berekend.
Schadeverzekeraars die modelmatig tarieven vaststellen per postcodegebied of voertuigcategorie - zonder individuele AI-beoordeling - vallen minder snel in de hoog-risico categorie, maar ook hier is analyse nodig.
DORA en de AI Act: overlap en aanvulling
Veel financiële instellingen zijn al vertrouwd met de Digital Operational Resilience Act (DORA), die per januari 2025 van kracht is. DORA richt zich op ICT-risicobeheer, incidentrapportage en weerbaarheid van digitale systemen. De AI Act voegt daar een specifieke AI-laag aan toe.
ICT-risicobeheer, continuïteitsplanning en derde-partij beheer: beide regelgevingen stellen eisen aan gedocumenteerde processen voor digitale systemen. Een goed DORA-kader is een sterke basis, maar dekt de AI-specifieke verplichtingen niet volledig.
Transparantieverplichtingen naar eindgebruikers, menselijk toezicht als ingebouwde vereiste, registratie in de EU AI-databank, en specifieke technische documentatie (technische dossiers) per hoog-risico systeem.
Een verstandige aanpak is om AI Act-naleving te integreren in uw bestaande DORA-governancestructuur. De risicobeheersingsframework die u voor DORA heeft opgebouwd, biedt een natuurlijk onderkomen voor de AI Act-verplichtingen.
Wat financiële instellingen vóór augustus 2026 moeten regelen
Voor hoog-risico AI-systemen die na 2 augustus 2026 in gebruik worden genomen, gelden de volledige verplichtingen. Voor bestaande systemen loopt de overgangsperiode tot 2 augustus 2027. Maar wachten tot 2027 is riskant: de inventarisatie en het opstellen van documentatie kosten tijd.
Inventariseer alle AI-systemen
Breng in kaart welke systemen beslissingen nemen over individuele klanten. Betrek IT, risicomanagement en naleving in deze analyse.
Classificeer op basis van Bijlage III
Beoordeel per systeem of het onder Bijlage III valt. Documenteer de redenering - ook als u concludeert dat een systeem niet hoog-risico is.
Stel technische documentatie op
Voor hoog-risico systemen is een technisch dossier verplicht. Dit bevat de architectuur, trainingsdata, validatieresultaten en risicobeoordeling van het systeem.
Implementeer menselijk toezicht
Ontwerp of beschrijf de menselijke toezichtsprocedures: wie kan het systeem stoppen, wie beoordeelt uitzonderingen, hoe worden afwijkingen gedocumenteerd?
Registreer in de EU AI-databank
Aanbieders van hoog-risico systemen zijn verplicht te registreren in de Europese AI-databank. Deployers in gereguleerde sectoren hebben aanvullende meldverplichtingen.
De Autoriteit Persoonsgegevens heeft expliciet de financiële sector benoemd als prioriteitsgebied voor handhaving. Instellingen die kredietscoring of geautomatiseerde acceptatiebeslissingen nemen, lopen extra risico op proactieve controles na augustus 2026.
Controleer uw AI-systemen gratis
De ActCheck-checker analyseert in 10 minuten welke AI-systemen in uw organisatie hoog-risico zijn en welke naleving-stappen u nog moet zetten vóór augustus 2026.
Start de gratis check