Is kredietscoring altijd hoog-risico onder de AI Act?

Ja. Kredietscoring en credit risk-modellen die worden gebruikt om de kredietwaardigheid van natuurlijke personen te beoordelen, vallen expliciet onder Bijlage III punt 5b van de AI Act. Dat geldt ongeacht de omvang van de instelling of het model. Uitzondering: als het systeem puur voor fraude-alertering wordt gebruikt zonder directe beslissing over een persoon, kan het buiten de hoog-risico classificatie vallen.

Geldt de AI Act ook voor legacy modellen die al jaren draaien?

Ja, maar met een overgangsperiode. Hoog-risico AI-systemen die vóór 2 augustus 2026 al in gebruik zijn, hebben tot 2 augustus 2027 de tijd om aan de verplichtingen te voldoen. Dat geeft financiële instellingen extra ruimte voor bestaande modellen, maar u moet nu al beginnen met documenteren en beoordelen welke systemen in scope vallen.

Hoe verhoudt DORA zich tot de AI Act?

DORA (Digital Operational Resilience Act) richt zich op ICT-risicobeheer in de financiële sector en is al van kracht per januari 2025. De AI Act voegt daar bovenop specifieke eisen voor AI-systemen: risicobeoordelingen, menselijk toezicht en transparantie. De twee verordeningen overlappen op het gebied van ICT-risico's maar vullen elkaar aan. Een robuust DORA-kader is een goede basis, maar dekt de AI Act-specifieke verplichtingen niet automatisch.

AI Act financiële sector: wat banken, verzekeraars en fintech moeten weten, actcheck.nl

De financiële sector werkt al decennia met modellen die beslissingen nemen over leningen, verzekeringspremies en transactiegoedkeuringen. De EU AI Act (Verordening 2024/1689) introduceert voor het eerst bindende Europese regels specifiek voor dit soort AI-systemen. Banken, verzekeraars, vermogensbeheerders en fintech-bedrijven staan voor concrete verplichtingen — en de deadline van 2 augustus 2026 nadert snel.

Kredietscoring: hoog-risico zonder discussie

De AI Act is helder over kredietscoring. Bijlage III, punt 5b benoemt expliciet: AI-systemen die worden gebruikt om de kredietwaardigheid van natuurlijke personen te beoordelen of hun kredietscore vast te stellen. Dit maakt kredietrisicomodellen tot hoog-risico AI, ongeacht de technologie of de omvang van de instelling.

Dat geldt voor traditionele scoringmodellen op basis van regressie, maar ook voor modernere machine learning-modellen die honderden variabelen gebruiken. De classificatie hangt af van de functie, niet van de techniek.

Wat valt wel en niet onder punt 5b? Modellen die de kredietwaardigheid van rechtspersonen (bedrijven) beoordelen, vallen niet onder dit punt. Het gaat uitsluitend om AI die beslissingen neemt over individuele consumenten of zzp'ers als natuurlijk persoon.

Fraudedetectie: een grijs gebied

Fraudedetectie is genuanceerder. Een systeem dat transacties automatisch blokkeert en daarmee direct ingrijpt in de financiële rechten van een persoon, zal sneller als hoog-risico worden aangemerkt dan een systeem dat alleen alerts genereert voor menselijke beoordeling.

De sleutelvraag is: hoe direct bepaalt het systeem een uitkomst die een persoon raakt? Een fraudedetectiesysteem dat een betaling weigert zonder menselijke tussenkomst, heeft een hoge beslissingsimpact. Een systeem dat een analist een melding stuurt — waarbij de analist zelf beslist — heeft een lagere impact en valt eerder buiten de hoog-risico categorie.

Praktisch onderscheid voor fraudedetectie

Systemen die zelfstandig betalingen blokkeren of rekeningen bevriezen = hoogstwaarschijnlijk hoog-risico. Systemen die uitsluitend signaleren aan een medewerker die de eindbeslissing neemt = mogelijke uitzondering, afhankelijk van de verdere inrichting.

Wat verzekeraars moeten weten

Voor verzekeraars speelt de premievaststelling via AI een vergelijkbare rol als kredietscoring bij banken. Als een AI-systeem de hoogte van een premie of de acceptatie van een verzekeringnemer bepaalt voor een individuele consument, valt dit onder Bijlage III punt 5b. Dit raakt direct aan levensverzekeringen, zorgverzekeringen en autoverzekeringen waarbij individuele risicoprofielen worden berekend.

Schadeverzekeraars die modelmatig tarieven vaststellen per postcodegebied of voertuigcategorie — zonder individuele AI-beoordeling — vallen minder snel in de hoog-risico categorie, maar ook hier is analyse nodig.

DORA en de AI Act: overlap en aanvulling

Veel financiële instellingen zijn al vertrouwd met de Digital Operational Resilience Act (DORA), die per januari 2025 van kracht is. DORA richt zich op ICT-risicobeheer, incidentrapportage en weerbaarheid van digitale systemen. De AI Act voegt daar een specifieke AI-laag aan toe.

Waar DORA en de AI Act overlappen

ICT-risicobeheer, continuïteitsplanning en derde-partij beheer: beide regelgevingen stellen eisen aan gedocumenteerde processen voor digitale systemen. Een goed DORA-kader is een sterke basis, maar dekt de AI-specifieke verplichtingen niet volledig.

Wat de AI Act toevoegt bovenop DORA

Transparantieverplichtingen naar eindgebruikers, menselijk toezicht als ingebouwde vereiste, registratie in de EU AI-databank, en specifieke technische documentatie (technische dossiers) per hoog-risico systeem.

Een verstandige aanpak is om AI Act-compliance te integreren in uw bestaande DORA-governancestructuur. De risicobeheersingsframework die u voor DORA heeft opgebouwd, biedt een natuurlijk onderkomen voor de AI Act-verplichtingen.

Wat financiële instellingen vóór augustus 2026 moeten regelen

Voor hoog-risico AI-systemen die na 2 augustus 2026 in gebruik worden genomen, gelden de volledige verplichtingen. Voor bestaande systemen loopt de overgangsperiode tot 2 augustus 2027. Maar wachten tot 2027 is riskant: de inventarisatie en het opstellen van documentatie kosten tijd.

Inventariseer alle AI-systemen

Breng in kaart welke systemen beslissingen nemen over individuele klanten. Betrek IT, risicomanagement en compliance in deze analyse.

Classificeer op basis van Bijlage III

Beoordeel per systeem of het onder Bijlage III valt. Documenteer de redenering — ook als u concludeert dat een systeem niet hoog-risico is.

Stel technische documentatie op

Voor hoog-risico systemen is een technisch dossier verplicht. Dit bevat de architectuur, trainingsdata, validatieresultaten en risicobeoordeling van het systeem.

Implementeer menselijk toezicht

Ontwerp of beschrijf de menselijke toezichtsprocedures: wie kan het systeem stoppen, wie beoordeelt uitzonderingen, hoe worden afwijkingen gedocumenteerd?

Registreer in de EU AI-databank

Aanbieders van hoog-risico systemen zijn verplicht te registreren in de Europese AI-databank. Deployers in gereguleerde sectoren hebben aanvullende meldverplichtingen.

Let op: de AP heeft prioriteit gegeven aan financiële dienstverlening

De Autoriteit Persoonsgegevens heeft expliciet de financiële sector benoemd als prioriteitsgebied voor handhaving. Instellingen die kredietscoring of geautomatiseerde acceptatiebeslissingen nemen, lopen extra risico op proactieve controles na augustus 2026.

Controleer uw AI-systemen gratis

De ActCheck-checker analyseert in 10 minuten welke AI-systemen in uw organisatie hoog-risico zijn en welke compliance-stappen u nog moet zetten vóór augustus 2026.

Start de gratis check

AI Act voor de financiële sector: wat banken, verzekeraars en fintech moeten weten

Kredietscoring: hoog-risico zonder discussie

Fraudedetectie: een grijs gebied

Wat verzekeraars moeten weten

DORA en de AI Act: overlap en aanvulling

Wat financiële instellingen vóór augustus 2026 moeten regelen

Inventariseer alle AI-systemen

Classificeer op basis van Bijlage III

Stel technische documentatie op

Implementeer menselijk toezicht

Registreer in de EU AI-databank

Controleer uw AI-systemen gratis

Meer lezen

EU AI Act compliance voor bedrijven: wat betekent het en wat moet u doen?

AI register opstellen: zo documenteert u uw AI-systemen correct

AI wet boetes: welke sancties riskeert u bij niet-naleving?