De eerste bepalingen van de Europese AI-Act zijn sinds vorig jaar van kracht. Daarmee start de gefaseerde invoering van een van de meest ingrijpende technologische regelgevingskaders van de Europese Unie.
Hoewel de wetgeving niet specifiek op de financiële sector is gericht, raakt zij ook vermogensbeheerders die artificiële intelligentie gebruiken in hun bedrijfsvoering. Tegelijkertijd volgen toezichthouders de ontwikkelingen nauwgezet. Uit de toezichtsagenda 2026 van de AFM blijkt dat toezicht op verantwoord gebruik van AI een van de belangrijkere punten wordt van dit jaar. Dat benadrukt dat AI-gebruik in de sector niet langer alleen een technologisch vraagstuk is, maar ook een onderwerp van governance en toezicht.
AI steeds meer gebruikt
Uit een eerdere uitvraag van de AFM bleek dat het algehele gebruik van AI is toegenomen. Dit bevat ook toepassingen in de eerste en tweede lijn binnen risicomanagement en andere beheersmaatregelen. Ook kan er gedacht worden aan het analyseren van grote hoeveelheden marktdata. De AFM ziet dat het gebruik mogelijk voordelen met zich meebrengt, maar er zijn ook risico’s.
Voor vermogensbeheerders kan AI bijdragen aan efficiëntere analyse en betere besluitvorming. Tegelijkertijd brengt het gebruik van AI nieuwe vraagstukken met zich mee. Denk aan modelrisico, transparantie, datakwaliteit en de vraag in hoeverre uitkomsten van AI-systemen uitlegbaar zijn voor klanten en toezichthouders.
De AI-Act richt zich niet op specifieke sectoren, maar op AI-systemen zelf. Dat betekent dat vermogensbeheerders onder de regels kunnen vallen zodra zij AI-systemen gebruiken, ontwikkelen of aanbieden.
Risicogebaseerde benadering
De AI-Act hanteert een risicogebaseerde aanpak. De verplichtingen voor organisaties hangen af van het risico dat een AI-systeem met zich meebrengt. Uit de AI-Act komen drie risico categorieën naar voren:
- Onaanvaardbaar risico
Bepaalde toepassingen zijn volledig verboden. Het gaat bijvoorbeeld om systemen die mensen manipuleren of discrimineren. - Hoog risico
Dit zijn systemen die een significante impact kunnen hebben op veiligheid of fundamentele rechten. Voor deze systemen gelden uitgebreide eisen op het gebied van risicobeheer, datakwaliteit, documentatie en menselijk toezicht. Voorbeeld zijn AI-systemen die bepalen of een sollicitant moet worden aangenomen op basis van cv en sollicitatiebrief. - Minimaal risico
Veel AI-toepassingen zullen naar verwachting in deze categorie vallen. Toch blijven organisaties verantwoordelijk voor een zorgvuldig en transparant gebruik van deze systemen. Met name als personen interactie hebben met een AI-systeem, bijvoorbeeld een chatbot. In die gevallen moet duidelijk worden voor de persoon dat er interactie is met een AI-systeem en niet met een mens.
Rollen in de AI-Act
De AI-Act introduceert meerder rollen die een persoon kan hebben. Voor beleggingsondernemingen zal met name de rol van ‘gebruiker’ relevant zijn. Hiervan is sprake wanneer er bedrijfsmatig gebruik gemaakt wordt van AI. Als een medewerker thuis een recept vraagt of afbeeldingen genereert, valt dat niet onder de AI-Act.
Als een beleggingsonderneming als gebruiker wordt gezien, moet deze zorgen voor de juiste technische en organisatorische maatregelen om het AI-systeem op de juiste wijze toe te passen. Er zal ook menselijk toezicht moeten zijn op het systeem door mensen die daarvoor gekwalificeerd zijn. En zo zijn er nog wat zaken die geregeld moeten worden voor het beheerst gebruiken van AI.
Maar ook wanneer gebruikers deep-fakes maken, wat onschuldig kan lijken in het begin, moet duidelijk worden voor anderen dat dit een AI-gegenereerd beeld is.
Gefaseerde invoering van de AI-Act
De AI-Act wordt gefaseerd ingevoerd. Sinds 2 februari 2025 gelden de eerste verplichtingen, zoals het verbod op AI-systemen met een onaanvaardbaar risico en de eis dat organisaties zorgen voor voldoende AI-geletterdheid bij medewerkers. Op 2 augustus 2025 ging een volgende fase in, toen onder meer regels voor modellen voor algemene doeleinden en sanctiebepalingen van kracht werden.
Het grootste deel van de verplichtingen, met name voor hoog-risico AI-systemen, treedt naar verwachting op 2 augustus 2026 in werking. Aanvullende bepalingen rond bepaalde classificaties volgen in 2027.
Hoewel veel regels dus nog moeten ingaan, verwachten toezichthouders dat organisaties zich nu al voorbereiden op de nieuwe verplichtingen.
Toezichthouders volgen AI-gebruik
De Europese AI-Act staat niet op zichzelf. Nationale toezichthouders proberen tegelijkertijd beter inzicht te krijgen in hoe AI momenteel in de sector wordt gebruikt. De AFM heeft aangegeven dit jaar meer te zullen inzetten op toezicht. Doel van 2026 is om meer inzicht te krijgen hoe AI wordt gebruikt, welke risico’s daarbij spelen en hoe AI-kennis wordt geborgd binnen organisaties. Hiernaar zullen onderzoeken worden gedaan en de resultaten van de eerdere uitvraag zullen worden gepubliceerd in 2026 om meer inzicht te krijgen van het gebruik in de markt.
Voor vermogensbeheerders betekent dit dat AI-gebruik steeds nadrukkelijker onderdeel wordt van het bredere toezicht op governance, risicobeheer en interne controle.
Wat vermogensbeheerders nu al kunnen doen
Hoewel een groot deel van de verplichtingen uit de AI-Act pas later volledig van kracht wordt, is het voor vermogensbeheerders verstandig om nu al stappen te zetten.
Drie acties liggen voor de hand:
- Breng AI-toepassingen in kaart
Veel organisaties gebruiken inmiddels AI-systemen zonder het volledige overzicht te hebben waar en hoe deze worden ingezet. Een inventarisatie is een logische eerste stap. - Beoordeel risico’s van AI-systemen
Het is belangrijk om te bepalen welke toepassingen mogelijk onder de categorie ‘onacceptabel’ of ‘hoog risico’ kunnen vallen en welke governance in dat verband nodig is. - Ontwikkel beleid voor AI-gebruik
Steeds meer instellingen stellen richtlijnen op voor het gebruik van generatieve AI, databeveiliging en de controle van AI-gegenereerde output.
Daarnaast vraagt de AI-Act aandacht voor kennis en bewustwording binnen organisaties. Medewerkers moeten begrijpen hoe AI-systemen werken, welke risico’s eraan verbonden zijn en hoe deze systemen verantwoord kunnen worden ingezet.
Van innovatie naar governance
De invoering van de AI-Act laat zien dat artificiële intelligentie niet langer uitsluitend een technologische ontwikkeling is. Voor vermogensbeheerders wordt AI steeds meer een vraagstuk van governance en risicobeheer.
Voor vermogensbeheerders betekent dit dat AI niet alleen kansen biedt voor efficiënter research en data-analyse, maar ook vraagt om duidelijke kaders voor het gebruik van modellen en data binnen de organisatie. Met name op het gebied van gedragsregels en toezicht op medewerkers en de manieren waarop zij AI gebruiken, zijn stappen te zetten. Instellingen die hier nu al aandacht aan besteden, zijn beter voorbereid op de verdere invoering van de Europese AI-regelgeving in de komende jaren.
Luc Bonnet is Legal & Regulatory consultant bij Projective Group. Projective Group is deel van het expertpanel van Investment Officer.