Insight · Financiële Sector

Wat verwacht DNB van AI-governance bij financiële instellingen in 2026?

Voor CRO's, Heads of Risk en Compliance Leaders in de financiële sector.

De toezichthouder is al begonnen

DNB heeft AI-governance expliciet aangemerkt als toezichtprioriteit voor 2026. Banken én verzekeraars worden dit jaar nadrukkelijker getoetst op hoe zij AI-toepassingen inzetten — niet alleen op prudentiële risico's, maar ook op de naleving van de Europese AI-verordening.

Dit is geen aankondiging voor de toekomst. Dit is het toezichtplan van nu.

En de lat ligt hoger dan de meeste instellingen verwachten.

Wat DNB concreet beoordeelt

DNB toetst geen intenties. DNB toetst structuur.

Bij verzekeraars heeft DNB al in 2024 een sectorbreed onderzoek uitgevoerd naar AI-gebruik. De conclusie was helder: AI wordt breed ingezet, maar de governance en risicobeheersing zijn bij veel instellingen onvoldoende uitgewerkt.

DNB verwacht dat instellingen vooraf helder vastleggen:

  • Welke verantwoordelijkheden gelden voor AI-systemen
  • Hoe risico's worden gemitigeerd
  • Hoe beslissingen reproduceerbaar zijn

Het woord "vooraf" is cruciaal. Achteraf reconstrueren is niet voldoende.

Waarom documentatie alleen niet meer werkt

De klassieke compliance-aanpak werkt als volgt: beleid schrijven, register bijhouden, periodiek auditen, bewijs verzamelen als dat gevraagd wordt.

Het probleem is dat AI-systemen zich niet gedragen als statische processen. Een kredietmodel evolueert. Een transactiemonitoringsalgoritme krijgt nieuwe trainingsdata. Een AML-systeem reageert anders naarmate de omgeving verandert.

Elke keer als een AI-systeem verandert, veranderen de controleomstandigheden. En elke keer als de controleomstandigheden veranderen zonder dat dit wordt vastgelegd, ontstaat er toezichtblootstelling.

"Doelstellingen van het toezicht en de normen waaraan instellingen moeten voldoen zijn onafhankelijk van de gehanteerde technologie. Ze gelden onverkort ook als AI wordt toegepast."

— DNB

De vijf vragen die DNB stelt

Als DNB bij uw instelling aanklopt over AI-governance, zijn dit de vijf vragen waar u een structureel antwoord op moet hebben.

1. Welke AI-systemen zijn in gebruik en wie is eigenaar?

Niet een lijst die bij IT ligt. Een formeel register dat gekoppeld is aan de governance-structuur, met benoemde eigenaarschap per systeem.

2. Hoe zijn deze systemen geclassificeerd?

Onder de AI Act is classificatie verplicht. DNB verwacht dat u weet welke systemen "hoog risico" zijn onder de verordening en welke aanvullende eisen daarvoor gelden.

3. Welke controles zijn actief en onder welke voorwaarden?

Niet: "we hebben een policy." Wel: welke specifieke maatregelen gelden voor dit systeem, wie is verantwoordelijk, en wat zijn de criteria voor incidentmelding?

4. Hoe worden relevante events vastgelegd?

Statuswijzigingen, reviews, incidenten, beslissingscontext — is dit systematisch gedocumenteerd of wordt het achteraf gereconstrueerd?

5. Is het bewijs reproduceerbaar?

Bewijs dat achteraf is samengesteld, is niet hetzelfde als bewijs dat deterministisch is gegenereerd vanuit een gedefinieerde governance-staat.

Wat hoog-risico AI-systemen zijn in de financiële sector

Kredietbeslissingen

AI-systemen die de kredietwaardigheid van natuurlijke personen beoordelen, vallen onder Bijlage III van de AI Act.

AML en transactiemonitoring

Algoritmen die verdachte transactiepatronen detecteren en meldingen genereren, raken direct aan de Wwft-verplichtingen.

Risicoclassificatie en underwriting

Geautomatiseerde systemen die risico-inschattingen maken voor verzekeringsproducten vallen onder het toepassingsgebied.

Audit analytics

AI-ondersteunde audit-processen vallen onder de verantwoordelijkheid van de instelling.

DORA en AI Act: twee regelgevingstrajecten, één governanceprobleem

Een misverstand dat we regelmatig tegenkomen: DORA gaat over ICT-risico's en de AI Act gaat over AI-systemen — dus het zijn twee separate trajecten.

Dat klopt niet.

DORA verplicht instellingen om ICT-risico's te beheersen, inclusief de risico's van uitbestede ICT-diensten. AI-modellen die worden afgenomen van externe leveranciers vallen hier direct onder.

Het resultaat: een instelling die AI-systemen inzet voor kredietbeslissingen of transactiemonitoring, heeft tegelijkertijd te maken met:

  • DORA-vereisten voor ICT-risicobeheer en derde-partij management
  • AI Act-vereisten voor registratie, classificatie en menselijk toezicht
  • Wwft-verplichtingen voor de beslissingsverantwoordelijkheid

Een separate aanpak per regelgeving leidt tot dubbel werk én tot blinde vlekken op de raakvlakken. Structurele governance dekt alle drie vanuit één framework.

Hoe structurele AI-governance eruitziet

Het verschil tussen documentatie-compliance en structurele governance is het verschil tussen een foto en een bewakingscamera.

Register als poortwachter

Geen AI-systeem wordt ingezet zonder formele incorporatie in het governance-framework.

Classificatie als controleconditie

De uitkomst van classificatie bepaalt welke controles van toepassing zijn.

Controle als ingebedde structuur

Activeringsvoorwaarden, toezichtverantwoordelijkheden en incidentcriteria zijn onderdeel van de governance-structuur.

Bewijs als bijproduct

Wanneer governance correct is ingebed, is bewijs een automatisch gegenereerde output van de governance-staat.

Veelgestelde vragen

Geldt de AI Act al voor mijn instelling? +
De AI Act is gefaseerd van kracht. Verboden AI-praktijken zijn verboden per 2 februari 2025. Vereisten voor hoog-risico AI-systemen gelden per augustus 2026. Wachten tot augustus 2026 is te laat — governance-structuren opbouwen kost tijd.
Wat is het verschil tussen een AI-register en een governance-framework? +
Een register is een lijst. Een governance-framework is een structuur die bepaalt wat er met die lijst gebeurt: wie is eigenaar, welke controles zijn van toepassing, hoe worden wijzigingen verwerkt, hoe wordt bewijs gegenereerd.
Hoe weet ik welke systemen hoog risico zijn? +
De AI Act geeft een definitie en Bijlage III geeft een lijst van hoog-risico categorieën. In de financiële sector zijn kredietscoring, AML-systemen en bepaalde risicoclassificatietools de meest relevante categorieën.
Wat als een AI-systeem wordt afgenomen van een externe leverancier? +
De verantwoordelijkheid voor compliance ligt bij de instelling die het systeem inzet, niet bij de leverancier. DORA vereist dat u de risico's van ICT-afhankelijkheden beheert.
Hoe snel kan een governance-structuur worden ingericht? +
Een instelling met een beperkt aantal AI-systemen en een volwassen risk-functie kan in weken structurele governance inrichten. Een instelling met tientallen systemen heeft meer tijd nodig. De eerste stap is altijd: een volledig inventarisatie van actieve AI-systemen.

Wat de toezichthouder vindt als governance ontbreekt

DNB formuleert het helder: zonder structurele enforcement-laag is toezichtblootstelling bij intensivering van het toezicht onvermijdelijk.

"Onvermijdelijk" is een zelden gebruikte term in toezichtcommunicatie. Het is geen waarschuwing. Het is een constatering.

Instellingen die governance opbouwen nadat de toezichthouder heeft aangeklopt, opereren in een reactieve positie. De structuur is dan niet meer het bewijs van controle — het is het antwoord op de afwezigheid ervan.

De volgende stap

Een Executive Regulatory Architecture Session biedt CRO's, Heads of Risk en Compliance Leaders een gestructureerde analyse van de toezichtblootstelling van uw instelling op AI-governance.

Geen generieke presentatie. Een specifieke beoordeling van uw situatie.

Vraag een Executive Session aan Download Whitepaper