2026 als kantelpunt voor AI in de financiële sector
Het jaar 2026 markeert een opvallende verschuiving in het toezichtlandschap. Waar AI jarenlang vooral werd gezien als een technologische belofte, beschouwt de AFM het inmiddels als een fundamenteel onderdeel van financiële dienstverlening. Maar ook als een bron van nieuwe risico’s. In haar nieuwsbericht kondigde de toezichthouder aan dat zij dit jaar intensiever gaat toezien op digitale weerbaarheid en de verantwoorde inzet van AI. Die aankondiging staat niet op zichzelf: de AFM Agenda 2026 laat zien dat AI een rode draad wordt binnen meerdere toezichtdomeinen. Voor onder toezicht staande instellingen betekent dit dat de tijd van vrijblijvendheid op AI-gebied voorbij is. Wie niet voorbereid is, zal het gaan merken; misschien niet dit jaar, maar dan zeker volgend jaar.
Wat opvalt, is hoe breed het AI thema nu terugkomt, qua toezicht. In de financiële dienstverlening kijkt de AFM naar hyperpersonalisatie, datagebruik en automatisch kredietacceptatiegedrag. Op de kapitaalmarkten onderzoekt zij de rol van algoritmes in handelsbeslissingen en de risico’s van misleidende, AI gegenereerde informatie. En in assetmanagement wordt nadruk gelegd op modelrisicobeheer, datakwaliteit en de governance van zelflerende systemen. De boodschap is duidelijk: AI raakt vrijwel alle onderdelen van de waardeketen, en dus ook het toezicht daarop.
Die ontwikkeling past in een bekend toezichtpatroon, dat onder toezicht staande instellingen regelmatig voorbij zie komen: de AFM begint breed, verkent de markt, haalt signalen op en kijkt hoe organisaties AI inzetten. Vervolgens komt een fase van verdieping, met concrete onderzoeken, pilots en toetsingen. En uiteindelijk volgt een fase waarin de inzichten worden vertaald naar sectorbrede normen, verwachtingen en guidance. In dat licht is 2026 een belangrijk jaar. De verkenning is afgerond; we zijn inmiddels in de verdiepingsfase beland. Dat betekent dat instellingen nu moeten kunnen laten zien wat ze hebben ingericht, en vooral wat ze hebben gedocumenteerd.
Weten welke AI systemen u heeft
Precies daar wringt het in de praktijk. Veel instellingen herkennen de afhankelijkheid van AI gedreven modellen, maar hebben nog geen compleet overzicht van hun AI systemen. Toch vraagt zowel de AFM als de Europese AI verordening om precies dat: een actueel, gedetailleerd en beheersbaar overzicht van alle AI toepassingen binnen de organisatie. En dat gaat dus veel verder dan de grote, opvallende modellen. Ook tooling die wordt gebruikt voor klantbeoordelingen, risicoclassificatie, dataverrijking of interne besluitvorming valt eronder. Zonder zo’n inventarisatie is het onmogelijk om te voldoen aan de eisen van risicoclassificatie, datakwaliteit, uitlegbaarheid, logging en modelrisicomanagement.
De risicocategorieën van de AI verordening helpen bij een goede inventarisatie. Het onderscheid tussen minimaal risico, beperkt risico en hoog risico bepaalt welke verplichtingen gelden. Van lichte transparantieplichten tot zware eisen aan documentatie, datakwaliteit, menselijke controle en post-market monitoring. In de praktijk zien we dat veel financiële instellingen onbewust meer hoog risicosystemen gebruiken dan zij aanvankelijk dachten. Toepassingen zoals kredietbeslismodellen, AML-detectie, risicobeoordelingen, portefeuilleanalyses of AI ondersteunde klantselectie vallen al snel in de hogere categorieën. En zodra dat het geval is, gelden verplichtingen die verder gaan dan “goed geregeld”. Ze moeten aantoonbaar, structureel en controleerbaar zijn.
Risicoclassificatie geeft richting aan beheersing
Vooral bij hoog-risicosystemen is een bredere governance vraag van belang: hoe borg je dat AI systemen betrouwbaar en uitlegbaar blijven, dat data van goede kwaliteit is, dat beslissingen herleidbaar zijn en dat incidenten op tijd worden onderkend? De AFM benadrukt dat instellingen deze zaken nu op orde moeten brengen. Niet alleen door processen te beschrijven, maar ook door daadwerkelijk te laten zien hoe modellen worden gevalideerd, hoe datasets worden beheerd, hoe bias wordt gedetecteerd en welke controles zijn ingebouwd. Vanuit het perspectief van risk & compliance is dat logisch: zonder traceerbaarheid kun je geen verantwoordelijkheid nemen, en zonder monitoring kun je risico’s niet effectief beheersen.
Voorkom tijdsdruk en begin vandaag
Als je dit alles bij elkaar neemt, ontstaat een duidelijke conclusie. 2026 is het jaar waarin de AFM niet alleen kijkt wat instellingen doen met AI, maar vooral hoe zij dat doen. Instellingen die nu beginnen met het inventariseren van hun AI systemen, het uitvoeren van risicoclassificaties en het opzetten van governance structuren, creëren ruimte. Zij bouwen ervaring op, ontwikkelen aantoonbare beheersing en voorkomen dat zij in 2027 of 2028 in de knel komen wanneer de AFM – zoals gebruikelijk – haar bevindingen omvormt tot concrete normen.
Wie wacht, begint straks onder tijdsdruk. Wie nú begint, bouwt systematisch en onderbouwd aan toekomstbestendige AI governance. Dus de oproep is simpel: begin vandaag met inventariseren. Niet omdat het moet, maar omdat het straks essentieel blijkt te zijn dat u al begonnen wás.
Transparantieverklaring: Dit blog is tot stand gekomen met ondersteuning van AI technologie voor het structureren en verhelderen van de inhoud. Alle uiteindelijke keuzes, interpretaties en formuleringen zijn handmatig gecontroleerd en beoordeeld om zorgvuldigheid, juistheid en professionaliteit te waarborgen.
Welke AI Governance is passend voor uw organisatie?
Wilt u meer weten over de AI verordening en de beheersing van AI-risico’s?
Neem dan contact met me op voor een vrijblijvend adviesgesprek. Daar investeren wij graag in.
