AI onder toezicht: van black box naar uitlegbaar en beheerst

Steeds meer instellingen maken gebruik van algoritmes en AI toepassingen voor klantselectie, risicobeoordeling, beleggingsadvies of fraude monitoring. Dat levert kansen op, maar brengt ook risico’s mee: denk aan bias in modellen, onduidelijke besluitvorming of misleidende informatie richting klanten.

De AFM kondigt aan het toezicht op AI verder uit te bouwen. De AP meldt dat zij meer capaciteit vrijmaken voor het toezicht op AI en algoritmes. Instellingen moeten volgens de AFM onder meer:

• in kaart brengen welke AI toepassingen zij gebruiken
• zorgen voor goed modelrisicobeheer en datakwaliteit
• besluitlogica vastleggen en kunnen uitleggen waarom een uitkomst tot stand is gekomen
• incidenten en verstoringen rondom AI actief melden

Kort gezegd: als je AI inzet in je dienstverlening, moet je kunnen aantonen dat je dit beheerst, uitlegbaar en zorgvuldig doet. Dat vraagt om duidelijke governance, heldere rollen en een structuur voor risicoanalyse, testen en monitoring.

DORA in de praktijk: digitale weerbaarheid als randvoorwaarde

Naast AI zet de AFM in 2026 stevig in op de digitale weerbaarheid van de sector. De Europese Digital Operational Resilience Act (DORA) verplicht financiële instellingen om hun ICT risico’s structureel te beheersen en de continuïteit van cruciale processen te borgen.

Naast DORA voor de financiële sector zal veel aandacht het komende jaar uitgaan naar de verplichting rond weerbaarheid van belangrijke en essentiële organisaties die onder de NIS2 richtlijn vallen. Ook al is de Cyberbeveiligingswet nog niet ingevoerd (februari 2026). Naar schatting zal de wet aangenomen worden in Q2 2026.

De AFM legt extra focus op:

• incidentmanagement en leren van verstoringen
• uitbesteding aan derde partijen en afhankelijkheid van grote IT leveranciers
• het testen van digitale weerbaarheid, bijvoorbeeld via scenario oefeningen en testen van herstelplannen

Dat betekent dat een management systeem voor je informatiebeveiliging alleen niet genoeg is. Je zult moeten laten zien dat je scenario’s doorloopt, afhankelijkheden kent, afspraken met leveranciers op orde hebt en dat je herstelvermogen in de praktijk getest is. Digitale weerbaarheid wordt daarmee een integraal thema voor bestuur, risk, IT en informatiebeveiliging.

Wat betekent dit concreet voor jouw organisatie?

De rode draad in de AFM agenda is duidelijk: digitale weerbaarheid en integriteit zijn geen bijlagen meer bij een jaarverslag, maar kernvoorwaarden om actief te mogen blijven op de markt. Praktisch betekent dit dat je als organisatie onder andere:

• inzicht moet hebben in je belangrijkste digitale risico’s en afhankelijkheden
• een aantoonbaar werkend ISMS nodig hebt dat aansluit op DORA en andere kaders
• AI toepassingen moet kunnen uitleggen, testen en monitoren
• incidenten en datalekken gestructureerd moet registreren, beoordelen en opvolgen
• governance, rollen en verantwoordelijkheden rondom security, AI en integriteit helder moet beleggen

Wie dit alleen ziet als een extra compliance oefening, loopt het risico achter de feiten aan te lopen. De kunst is om deze ontwikkelingen te koppelen aan bestaande structuren voor informatiebeveiliging, privacy, risicomanagement en business continuity.

Nog twee aandachtsgebieden van AFM en AP voor het komende jaar

Financiële criminaliteit: integriteit en weerbaarheid horen bij elkaar

De AFM kondigt ook een versterkte aanpak aan van beleggingsfraude en witwasrisico’s. Er komt meer aandacht voor partijen die fraude mogelijk maken, samenwerking met banken en duidelijke regels rondom het voorkomen van witwassen.

Voor veel instellingen raken deze onderwerpen direct aan bestaande processen voor klantonderzoek, transactiemonitoring en integriteitsbeleid. Ook hier geldt: het gaat niet alleen om beleid op papier, maar om aantoonbare naleving in processen, systemen en gedrag.

Massasurveillance in het private en publieke sector

Zowel private als publieke organisaties kunnen tegenwoordig steeds gemakkelijker en systematischer mensen volgen, zowel online als in de openbare ruimte. Dit beperkt de persoonlijke vrijheid sterk. De Autoriteit Persoonsgegevens (AP) benadrukt daarom dat er altijd een wettelijke basis en een goede afweging moet zijn bij het inzetten van deze vormen van toezicht. Mensen moeten zich vrij kunnen bewegen zonder voortdurend gevolgd te worden. Het belangrijkste doel is te voorkomen dat er een surveillancemaatschappij ontstaat, waarin vooral kwetsbare groepen extra worden benadeeld en discriminatie kan optreden.

Hoe BMGRIP je kan helpen

Bij BMGRIP zien we dat veel organisaties worstelen met dezelfde vragen: waar beginnen we, hoe voorkomen we dubbel werk en hoe maken we dit werkbaar voor de organisatie. Met onze ervaring rond ISO 27001, NEN 7510, DORA en NIS2 en managementsystemen helpen we organisaties om:

• de huidige volwassenheid rondom digitale weerbaarheid en informatiebeveiliging in kaart te brengen
• kaders zoals DORA, AI richtlijnen en bestaande normen te vertalen naar een samenhangende aanpak en begrijpelijke richtlijnen voor werknemers
• privacykaders scheppen en de organisatie steunen bij het op orde brengen van de gegevensbescherming, waaronder de privacy van medewerkers en klanten.
• governance, rollen en processen zo in te richten dat je kunt laten zien dat je in control bent
• bewustzijn en gedrag bij bestuurders en medewerkers te versterken

Zo wordt de AFM agenda geen lijst met extra verplichtingen, maar een kans om je organisatie veiliger, robuuster en toekomstbestendiger te maken en de reputatie van je organisatie wat betreft informatiebeveiliging en gegevensbescherming te bewaren.

Wil je sparren over wat deze toezichtsprioriteiten voor jouw organisatie betekenen? Dan denken we graag met je mee.