De EU AI Act is al van kracht. De meeste financiële instellingen weten het nog niet

De EU AI Act is al van kracht.

Niet volledig. Niet alle verplichtingen gelden al. Maar de wet is aangenomen, de eerste bepalingen zijn al ingegaan, en de grote deadline van augustus 2026 nadert sneller dan de meeste organisaties doorhebben.

89% van de Nederlandse financiële instellingen voelt zich niet klaar voor de EU AI Act. Dat getal circuleert in de sector en klinkt als een ver-van-mijn-bed-show. Totdat je beseft dat "niet klaar" in dit geval kan betekenen: boetes, reputatieschade, en systemen die je moet stilleggen.

Dit artikel gaat niet over juridisch jargon. Het gaat over wat je concreet moet weten en doen als je werkt bij of voor een financiële instelling die AI gebruikt of wil gaan gebruiken.

Wat de EU AI Act doet

De wet categoriseert AI-systemen op risico.

Verboden AI is de eerste categorie. Systemen die mensen manipuleren, social scoring doen, of biometrische identificatie in de openbare ruimte uitvoeren. Die zijn verboden. Punt.

Hoog-risico AI is de categorie die voor de financiële sector het meest relevant is. Dit zijn systemen die worden gebruikt voor kredietbeoordeling, fraudedetectie, verzekeringsprijsstelling, en recruitment in financiële functies. Voor al deze systemen gelden strenge eisen: documentatie, transparantie, menselijk toezicht, en periodieke evaluatie.

Lage-risico en minimale-risico AI vallen grotendeels buiten de zware verplichtingen, maar transparantieregels gelden ook hier.

Wat financiële instellingen nu al moeten doen

Hier wordt het concreet.

De verboden AI-bepalingen gelden al. Als je enige vorm van social scoring doet of biometrische data verzamelt op een manier die de wet verbiedt, is dat nu al niet toegestaan.

Voor hoog-risico systemen geldt dat je vóór augustus 2026 je huishouding op orde moet hebben. Maar dat betekent niet dat je tot augustus 2025 kunt wachten. Een compliance-traject voor AI-systemen duurt maanden. Inventariseren, documenteren, aanpassen, testen, opnieuw documenteren. Als je nu nog niet begonnen bent, heb je een probleem.

Waarom financiële instellingen het moeilijk hebben

Ik ken de sector van binnenuit. En ik begrijp waarom dit complex is.

Ten eerste: de meeste financiële instellingen weten niet eens hoeveel AI-systemen ze gebruiken. Niet omdat ze onzorgvuldig zijn, maar omdat AI de afgelopen jaren als onderdeel van standaardsoftware is binnengeslopen. Je kredietscoremodel is AI. Je fraudedetectiesysteem is AI. Je chatbot die klantvragen beantwoordt, is AI. Tel ze maar eens op.

Ten tweede: de overlap tussen bestaande regelgeving (AVG, DORA, MiFID, Solvency II) en de AI Act is complex. Wat valt onder wat? Welke autoriteit houdt toezicht? Dat zijn vragen waar je juristen van in de war raken.

Ten derde: de prioritering is lastig. Je hebt geen capaciteit om alles tegelijk aan te pakken. Maar je weet ook niet precies wat het zwaarst weegt.

Drie dingen die je nu kunt doen

Geen lange lijst. Drie dingen.

Inventariseer. Vraag elke afdeling welke systemen ze gebruiken die beslissingen beïnvloeden of nemen. Inclusief standaardsoftware. Inclusief tools die medewerkers zelf hebben aangeschaft. Je zult verrast zijn door wat je vindt.

Stel eigenaarschap vast. Voor elk AI-systeem: wie is verantwoordelijk voor de werking, de output, en de naleving? Als het antwoord "de IT-afdeling" is, heb je een probleem. IT beheert het systeem. De business is verantwoordelijk voor wat het doet.

Begin met documenteren. De AI Act vereist technische documentatie. Die bestaat in de meeste organisaties nog niet. Begin er nu mee, ook als het nog niet compleet is. Een half gevuld dossier is beter dan geen dossier als een toezichthouder klopt.

Een woord over de kans

Ik behandel de AI Act hier als compliance-vraagstuk. Maar er is ook een andere kant.

Organisaties die vroeg beginnen met het in kaart brengen van hun AI-gebruik, ontdekken daardoor ook waar AI wél waarde kan toevoegen die ze nog niet benutten. De inventarisatie die je doet voor compliance, is dezelfde inventarisatie die je helpt betere AI-beslissingen te nemen.

Compliance als bijeffect van betere AI-governance. Dat is de kans in dit alles.

Tot slot

De EU AI Act is geen administratieve last van Brussel die over een paar jaar wel losloopt.

Het is een structurele verandering in hoe AI mag worden ingezet in Europa. En de financiële sector staat vooraan in de rij van sectoren die het hardst worden geraakt, omdat de systemen die de meeste impact hebben op mensen (krediet, verzekering, beleggingsadvies) precies de systemen zijn die de wet als hoog-risico classificeert.

De organisaties die nu beginnen, hebben een jaar om dit goed te doen. Die tijd is er. Maar hij gaat sneller dan je denkt.

Welk AI-systeem in jouw organisatie houdt je het meest wakker als je denkt aan de EU AI Act?