De toepassing van kunstmatige intelligentie binnen organisaties als beleggingsondernemingen, vermogensbeheerders, fondsbeheerds en handelsplatformen, ontwikkelt zich in hoog tempo. Waar AI aanvankelijk vooral werd ingezet voor data-analyse en informatieverwerking, verschuift het gebruik steeds meer richting complexere toepassingen zoals handelsoptimalisatie en voorspellende modellen. Deze ontwikkeling biedt duidelijke kansen, maar volgens de AFM nemen de risico’s minstens zo snel toe.
Groei vraagt om volwassenheid
Uit recent onderzoek van de AFM blijkt dat meer dan de helft van de assetmanagers gebruikt AI of is dat op korte termijn van plan. Tegelijkertijd ontbreekt het in veel organisaties nog aan een duidelijke inrichting van governance. Zo beschikt een aanzienlijk deel van de instellingen nog niet over specifiek AI-beleid, en ontbreekt vaak een ethisch kader.
De toezichthouder benadrukt dat AI geen uitzonderingspositie heeft: het gebruik ervan valt onder bestaande verplichtingen rond een beheerste en integere bedrijfsvoering. Dat betekent dat organisaties AI-risico’s expliciet moeten identificeren, beoordelen en beheersen—net zoals bij andere risico’s.
Drie kernuitdagingen
Het rapport laat drie dominante aandachtsgebieden zien
1. Datakwaliteit en uitlegbaarheid
De effectiviteit van AI staat of valt met de kwaliteit van data. Tegelijkertijd maakt de toenemende complexiteit van modellen het lastiger om beslissingen uit te leggen. Dat schuurt, zeker richting klanten en toezichthouders, waar transparantie essentieel is.
2. Governance en controle
AI vraagt om duidelijke verantwoordelijkheden, passende controles en goed gedocumenteerde besluitvorming. In de praktijk zien we dat juist deze basis nog vaak onvoldoende is uitgewerkt, met name voor generatieve AI. Wie is verantwoordelijk? Wanneer grijpen we in? Wat documenteren we, en hoe?
De mate van menselijke betrokkenheid bij AI-besluitvorming is een belangrijk onderdeel van governance. Dit varieert van volledige menselijke controle tot grotendeels autonome systemen. Onderstaand model helpt om deze varianten te duiden.
Het onderscheid tussen “human-in-the-loop”, “human-on-the-loop” en “human-out-of-the-loop” is daarbij essentieel. Naarmate AI-toepassingen autonomer opereren, nemen de eisen aan beheersmaatregelen, monitoring en escalatie toe. Voor veel toepassingen binnen asset management ligt een model met menselijke betrokkenheid in de besluitvorming voor de hand, zeker waar het gaat om investeringsbeslissingen of klantimpact.
Tegelijkertijd vraagt ook een ‘human-on-the-loop’ inrichting – waarbij AI zelfstandig opereert maar onder toezicht staat – om duidelijke afspraken over wanneer en hoe wordt ingegrepen. Dit raakt direct aan governance, maar ook aan onderwerpen zoals incident management en accountability.
3. AI geletterheid
De introductie van AI verandert niet alleen processen, maar ook de rol van medewerkers. De Europese AI-verordening onderstreept daarom het belang van AI-geletterdheid. Mederwekers moeten niet alleen begrijpen hoe AI werkt, maar ook:
- Waar de risico’s zittten
- Wanneer uitkomsten niet kloppen
- Wanneer ingrijpen nodig is
Dit is geen nice-to-have, maar een randvoorwaarde voor beheersing.
AI als onderdeel van bredere risicobeheersing
Wat in het rapport impliciet duidelijk wordt, is dat AI geen losstaand thema is. De risico’s raken aan bestaande domeinen zoals IT, data, compliance en uitbesteding. Daarmee ligt het voor de hand om de risico’s van AI te integreren in bestaande frameworks, zoals de ICT-risicoanalyse onder DORA.
In de praktijk betekent dit bijvoorbeeld:
- het opnemen van AI in risico-identificatie en -classificatie
- het meenemen van AI in third-party risk management
- het uitbreiden van bestaande controles met AI-specifieke scenario’s
AI en incident management onder DORA
Een aspect dat in de praktijk nog relatief weinig aandacht krijgt, is de relatie tussen AI en incident management. Veel van de risico’s die de AFM benoemt—zoals datalekken via generatieve AI, foutieve of onverklaarbare modeluitkomsten en aanvallen zoals data poisoning—manifesteren zich feitelijk als ICT-incidenten. Daarmee vallen zij binnen de reikwijdte van DORA.
Dit betekent dat organisaties moeten nadenken over hoe AI-gerelateerde verstoringen worden gedetecteerd, geclassificeerd en opgevolgd binnen bestaande incident managementprocessen. Wanneer is een afwijkende AI-output bijvoorbeeld een incident? Hoe wordt vastgesteld of sprake is van een datalek of integriteitsprobleem? En zijn bestaande classificaties en escalatieprocedures toereikend voor dit type risico’s?
In de praktijk vraagt dit vaak om een uitbreiding van bestaande processen, waarbij AI-specifieke scenario’s worden toegevoegd aan monitoring, incidentclassificatie en rapportage. Daarmee wordt AI niet als een apart domein behandeld, maar geïntegreerd in het bredere ICT-risicomanagement zoals DORA dat beoogt.
Van experiment naar structuur
De huidige fase in de sector kenmerkt zich door experimenten: veel gebruik, relatief beperkte investeringen en nog weinig gestandaardiseerde aanpak. De verwachtingen van de toezichthouder wijzen echter duidelijk richting een volgende fase, waarin structuur en beheersing centraal staan.
Organisaties die hierin stappen zetten, beginnen vaak met:
- het vergroten van AI-bewustzijn binnen de organisatie
- het ontwikkelen van een eerste AI-governance kader
- het uitvoeren van gerichte AI-risicoanalyses
Kennisoverdracht speelt daarbij een sleutelrol. Zonder voldoende begrip van AI – zowel technisch als ethisch – blijft effectieve beheersing lastig.
Conclusie
AI biedt assetmanagers kansen om efficiënter en innovatiever te opereren. Maar zoals de AFM benadrukt, vraagt dit om een evenredige investering in beheersing. Niet alleen in technologie, maar juist ook in governance, risicomanagement en kennis.
De organisaties die hierin slagen, zullen niet alleen beter voldoen aan toezichtverwachtingen, maar ook duurzamer vertrouwen opbouwen in hun dienstverlening.
Note: Dit artikel is tot stand gegenereerd door AI, geredigeerd en gecontroleerd door onze IT Compliance Consultants. Onze collega’s bieden ondersteuning bij het opzetten van ICT Risk Management frameworks, alsmede implementatie van controls op het gebied van een beheerste IT-omgeving. Voor organisaties die gebruik maken van AI oplossingen en een vraag hebben in welke mate de AI risico’s beheerst worden of advies willen hebben omtrent de inrichting van AI-governance, kan gemaild worden naar dora@projectivegroup.com.