Verzekeraars zijn van oudsher gewend te werken met statistische modellen. De stap naar AI-gestuurde acceptatie, premiebepaling en claimbehandeling werd in 2023 en 2024 versneld door telematica-data, ML-modellen op grote schadehistorische sets en GPAI in callcenters. De EU AI Act raakt deze processen hard: voor levens- en ziekteverzekeraars zijn de kernmodellen expliciet hoog-risico, en ook bij schadeverzekeraars en intermediairs gelden zware verplichtingen via fraudedetectie en claimbehandeling. Dit artikel zet uiteen wat er per processtap geregeld moet zijn vóór 2 augustus 2026.
AI in de Nederlandse verzekeringsmarkt anno 2026
De Nederlandse verzekeringsmarkt is in 2026 op verschillende plekken AI-gedreven:
- Acceptatie: AI-modellen die op basis van gezondheidsvragenlijsten, medische data of openbare bronnen risico's classificeren voor levens-, arbeidsongeschiktheids- en ziektekostenverzekeringen.
- Premiemodellen: dynamische pricing op basis van honderden variabelen, vaak gevoed door externe databronnen zoals kentekenregisters, postcodegegevens en gedragsanalyses.
- Schadebehandeling: beeldherkenning op autoschades voor schadebegroting, NLP-modellen die schadeformulieren beoordelen, automatische uitkeringsbeslissingen bij eenvoudige claims.
- Fraudedetectie: anomaliedetectie op claimpatronen, netwerkanalyse op verdachte tussenpersoon-klant-werkplaats combinaties, modellen die schade-aangiftes vergelijken met historische fraudeprofielen.
- Telematica: zwarte dozen en smartphone-apps in auto-, motor- en zelfs zorgverzekeringen die rijgedrag, locatie of gezondheidsdata realtime verzamelen voor premieaanpassing.
- Chatbots en virtuele assistenten: GPAI-gebaseerde tools voor eerstelijns klantcontact, polisvragen, mutaties en eerste claim-intake.
Elk van deze categorieën heeft een eigen risicoprofiel onder de AI Act. De volgorde van uitzoeken: classificeren, dan documenteren, dan implementeren.
Welke AI is hoog-risico onder artikel 6 en Bijlage III?
Artikel 6 van de AI Act regelt de classificatie. Voor verzekeraars is Bijlage III punt 5 de kern. Punt 5c is gepubliceerd in de officiële tekst en luidt: AI-systemen die bedoeld zijn voor risicobeoordeling en premieberekening met betrekking tot natuurlijke personen in geval van levensverzekeringen en ziekteverzekeringen.
Levensverzekering: acceptatie- en premiemodellen voor individuele consumenten. Ziekteverzekering: risicobeoordeling en tariefdifferentiatie voor natuurlijke personen. Beide vallen onder Bijlage III punt 5c.
Schadeverzekering (auto, opstal, inboedel, reis) valt niet onder punt 5c. Maar fraudedetectie-AI die toegang tot essentiële diensten beperkt, kan onder Bijlage III punt 5b vallen (essentiële private dienstverlening). Ook automatische claimafwijzing op basis van AI kan via deze route hoog-risico worden.
Chatbots voor algemene polisvragen, OCR voor schadeformulier-intake, en interne tools voor actuarissen vallen meestal buiten de hoog-risico categorie. Wel gelden artikel 4 (AI-geletterdheid) en artikel 50 (transparantie chatbots).
Acceptatie- en premie-AI: hoog-risico verplichtingen
Voor AI-systemen onder Bijlage III punt 5c is de volledige set verplichtingen uit hoofdstuk III, afdeling 2 van toepassing. De praktische impact:
- Risicobeheersysteem (artikel 9): een continu, gedocumenteerd proces dat risico's voor gezondheid, veiligheid en grondrechten in kaart brengt en mitigeert.
- Data en datagovernance (artikel 10): trainingsdata moeten relevant, representatief en zo veel mogelijk vrij van fouten zijn. Bias-detectie en correctie zijn verplicht.
- Technische documentatie (artikel 11): een uitgebreid technisch dossier dat de architectuur, parameters, evaluaties en beperkingen beschrijft.
- Logging (artikel 12): geautomatiseerde registratie van gebeurtenissen gedurende de levenscyclus, met bewaartermijnen die passen bij het doeleinde.
- Transparantie naar deployers (artikel 13): duidelijke gebruiksaanwijzingen.
- Menselijk toezicht (artikel 14): personen moeten de output kunnen begrijpen en kunnen ingrijpen.
- Nauwkeurigheid en cyberveiligheid (artikel 15): aantoonbare performance en weerbaarheid.
- FRIA (artikel 27): voor financiële instellingen verplicht voordat een hoog-risico systeem in gebruik wordt genomen.
Voor verzekeraars die zelf het model bouwen of substantieel aanpassen, gelden bovendien de aanbieder-verplichtingen: conformiteitsbeoordeling, CE-markering, registratie in de EU AI-databank en post-market monitoring. Wie inkoopt bij een softwareleverancier is deployer en valt onder artikel 26 met aanvullende verplichtingen uit artikel 27.
Praktisch onderscheid aanbieder vs. deployer. Een verzekeraar die het model bouwt of substantieel aanpast (bijvoorbeeld door extensieve hertraining op eigen schadedata of door wijziging van het beoogde doel), wordt aanbieder. Wie het model gebruikt zoals geleverd door bijvoorbeeld een actuarieel-software-leverancier, is deployer. De grens kan in de praktijk dun zijn en moet contractueel geborgd worden.
AI in schadebehandeling en fraudedetectie
Schadeverzekeraars dachten lang dat de AI Act vooral over levens- en ziekteverzekeraars ging. Dat is niet volledig juist. De hoog-risico-status komt langs een andere route binnen: Bijlage III punt 5b benoemt AI-systemen die de toegang tot of het gebruik van essentiële particuliere diensten bepalen. Daar valt verzekeringscapaciteit voor inboedel, opstal en autoverzekeringen onder, in zoverre dat het ontzeggen van dekking een persoon raakt in zijn deelname aan het maatschappelijk leven.
Fraudedetectie is hier het kritieke punt. Een systeem dat zelfstandig een claim afwijst of een verzekering opzegt op basis van een fraude-score, raakt direct aan deze categorie. Een systeem dat alleen een alert genereert voor een schadebehandelaar die zelf beslist, valt eerder buiten de hoog-risico classificatie, vergelijkbaar met fraudedetectie bij banken.
Automatische afwijzing van claims of polissen op basis van AI = hoogstwaarschijnlijk hoog-risico onder Bijlage III. Alleen signalering aan een schadebehandelaar die zelfstandig beoordeelt = lagere classificatie mogelijk, mits goed gedocumenteerd.
Recht op uitleg (artikel 86) bij afwijzing of hogere premie
Artikel 86 van de AI Act geeft natuurlijke personen die door een hoog-risico AI-beslissing worden geraakt het recht om een betekenisvolle uitleg te krijgen over de rol van het systeem in de beslissing. Voor verzekeraars betekent dit concreet:
- Bij weigering van een levens- of ziektepolis op basis van AI-acceptatie: op verzoek uitleggen welke factoren leidend waren.
- Bij premieverhoging na hertaxatie via AI: inzicht geven in de zwaarstwegende elementen.
- Bij claimafwijzing op fraude-grond door AI: aangeven welke patronen of indicatoren bepalend waren, voor zover dat de fraudedetectie zelf niet ondermijnt.
Dit recht staat naast en in aanvulling op artikel 22 AVG, dat het recht op menselijke tussenkomst bij volledig geautomatiseerde besluitvorming regelt. De combinatie maakt dat verzekeraars een uitlegproces moeten opzetten dat beide rechten dekt, met heldere antwoordtermijnen en een vaststaand format.
Verhouding tot Solvency II, DORA en AI Act
Verzekeraars werken al jaren met een dichte regulering: Solvency II voor solvabiliteit en risicobeheer, DORA voor digitale weerbaarheid sinds januari 2025, plus IDD voor distributie en de AVG voor persoonsgegevens. De AI Act komt daar bovenop. Drie observaties:
- Solvency II en AI Act: Solvency II vereist al sterke modelvalidatie en gedocumenteerde governance voor interne modellen. Veel van de AI Act-eisen kunnen worden ingebed in bestaande model-governance, mits expliciet uitgebreid met grondrechten- en bias-analyses.
- DORA en AI Act: DORA dekt ICT-risico en derde-partij beheer. De AI Act voegt AI-specifieke verplichtingen toe: transparantie, menselijk toezicht en registratie in de EU AI-databank.
- IDD en AI Act: intermediairs die AI gebruiken voor vergelijking, advies of acceptatie moeten naast IDD-zorgplicht ook de AI Act-deployer-verplichtingen invullen.
Telematica en gedragsdata: AVG en AI Act
Telematica-verzekeringen verzamelen continu rij-, locatie- of gezondheidsdata. Voor de AI Act maakt het uit waarvoor die data wordt gebruikt: zuivere monitoring zonder consequenties voor de polis is geen hoog-risico AI. Maar zodra de data wordt gebruikt om de premie te bepalen, een dekking aan te passen of een polis op te zeggen, kan het systeem onder Bijlage III punt 5c of punt 5b vallen.
Daarnaast geldt de AVG onverkort: voor telematica is in veel gevallen een DPIA verplicht, met name omdat het gaat om systematische monitoring en mogelijk gevoelige categorieën gegevens (bijvoorbeeld locatiepatronen rond medische voorzieningen). De combinatie DPIA-FRIA-IDD-zorgplicht is vermijdbaar als u één geïntegreerd impactassessment maakt dat alle vier de invalshoeken dekt.
Praktische 8-punts checklist verzekeraar of intermediair
Inventariseer alle AI-systemen langs de waardeketen
Van leads en acceptatie tot premie, polisbeheer, schadebehandeling, fraudedetectie en chatbots. Vergeet de marketing-AI niet, die kan onder profiling-regels vallen.
Classificeer per systeem op basis van artikel 6 en Bijlage III
Documenteer de redenering voor elk systeem. Voor levens/ziekte: vrijwel zeker hoog-risico. Voor schade: beoordeel per use case, met name fraudedetectie en automatische claimbeslissingen.
Voer een FRIA uit op alle hoog-risico systemen
Beoordeel impact op non-discriminatie, privacy en sociale gelijkheid. Combineer waar mogelijk met de DPIA om dubbel werk te voorkomen.
Stel een technisch dossier samen per hoog-risico systeem
Architectuur, trainingsdata, validatie, bias-tests, performance-metrics en menselijk toezichtsprotocol. Werk samen met de leverancier als u deployer bent.
Bouw een uitlegproces voor artikel 86 en artikel 22 AVG
Standaard format voor uitleg bij afwijzing, premieverhoging of claimafwijzing. Antwoordtermijn vooraf vastleggen.
Integreer met Solvency II model-governance
Voeg AI-Act-elementen toe aan uw bestaande modelvalidatieproces in plaats van een parallel kader op te tuigen.
Regel chatbot-transparantie onder artikel 50
Klanten moeten weten dat ze met een AI praten. Pas chatbot-introducties, FAQ en algemene voorwaarden aan.
Train alle relevante medewerkers (artikel 4)
Acceptanten, schadebehandelaars, fraudeonderzoekers, klantenservice en intermediairs hebben verschillende AI-geletterdheidsniveaus nodig. Leg trainingen vast in een register.
Aandachtspunten voor InsurTech en kleine intermediairs
Voor InsurTech-startups en kleinere intermediairs geldt dezelfde wet als voor de grote maatschappijen. Voor MKB met minder dan 50 medewerkers biedt artikel 11 lid 1 wel een vereenvoudigd technisch dossier-regime, maar de inhoudelijke verplichtingen blijven gelijk.
Drie praktische aandachtspunten voor kleinere spelers:
- Gebruik leveranciersgaranties: koop AI-modellen liefst bij leveranciers die zelf de conformiteitsbeoordeling hebben afgerond. U bent dan deployer en heeft een lichter pakket aan verplichtingen.
- Sluit aan op bestaande markt-initiatieven: het Verbond van Verzekeraars en Adfiz werken aan sectorbrede protocollen voor AI Act-naleving. Aansluiten scheelt eigen onderzoeks- en juridisch werk.
- Beperk eigen modelontwikkeling: zodra u substantieel aan een model sleutelt, wordt u aanbieder en gelden alle aanbiederverplichtingen. Houd de aanbiederrol bij de softwareleverancier waar dat redelijk is.
De AP is coördinerend toezichthouder voor de AI Act en heeft verzekeringen als prioriteitsgebied benoemd. De AFM is sectortoezichthouder voor verzekeraars en kan parallel handhaven op AI-gerelateerde aspecten van Solvency II en de IDD. Plan uw documentatie zo in dat beide toezichthouders dezelfde stukken kunnen lezen.
Controleer uw verzekeringsbedrijf gratis
De ActCheck-checker brengt in 10 minuten in kaart welke AI-systemen in uw maatschappij of intermediair-organisatie onder de AI Act vallen, welke hoog-risico zijn en welke vervolgstappen u moet zetten vóór augustus 2026.
Start de gratis check