Wat betekent de verordening voor kunstmatige intelligentie voor de financiële sector? Marktpartijen houden zich hierover nog op de vlakte, terwijl brancheorganisaties zoals het Verbond van Verzekeraars en Adfiz op dit moment vooral druk bezig zijn met de duiding ervan voor hun leden.
Op het eerste gezicht lijken de vereisten mee te vallen: slechts een beperkt aantal processen binnen de financiële sector zijn aangewezen als hoogrisico-categorie (zie kader) en de vereisten die vervolgens gelden, overlappen deels met bestaande regelgeving. Bijvoorbeeld op het gebied van integriteit, transparantie, governance en risicomanagement.
Om dubbele verplichtingen te voorkomen, verwijst de AI-verordening naar de richtlijn Verzekeringsdistributie (IDD), de richtlijn Consumentenkrediet (CCD), de Hypothekenrichtlijn (MCD), de CRD-richtlijn en Solvency II-regels.
'Extra schil om bestaande regelgeving heen'
Ethische kaders die de laatste jaren zijn ontwikkeld, zoals door het Verbond van Verzekeraars, sorteerden in feite al voor op de AI-verordening. Wat verzekeraars en andere financiële instellingen nu vooral moeten doen, is hun zaken zo inrichten dat ze goed kunnen aantonen hoe ze aan de regels voldoen, zegt Mirel ter Braak, senior beleidsadviseur Innovatie & FinTech van de AFM.
Ter Braak: “Je zou kunnen zeggen dat er met de AI-verordening een extra schil om bestaande regelgeving heen komt, zoals aanvullende verplichtingen en specificaties.”
Maar wat die samenloop van regelgeving precies betekent, en hoe er goede guidance kan worden gegeven aan de financiële sector, dat moet nog worden uitgewerkt. Dat gebeurt nu onder andere op Europees niveau door de agentschappen EBA (de Europese Bankenautoriteit) en EIOPA (de Europese Autoriteit voor Verzekeringen en Bedrijfspensioenen).
Wat moeten financiële instellingen doen?
Allereerst moeten de financiële instellingen voor zichzelf nagaan: gebruiken wij kunstmatige intelligentie? En zo ja, valt dit onder de verordening? Vervolgens moeten instellen zich afvragen of ze alleen gebruiker zijn, of ook maker.
Voor alleen een gebruiksverantwoordelijke geldt onder andere dat die zich aan de instructies moet houden, voor menselijk toezicht zorgt en incidenten meldt bij aanbieders en toezichthouders. Daarnaast wordt er verwacht dat een instelling het systeem goed monitort, bijhoudt wat erin gebeurt en ook de output nauwlettend in de gaten houdt.
Voor aanbieders (makers) geldt een uitgebreidere set aan vereisten. Zoals een systeem voor risicobeheer, data-governance, technische documentatie, registratie van gebeurtenissen tijdens de levenscyclus, transparantie en informatieverstrekking aan degenen die het systeem gaan gebruiken, menselijk toezicht, nauwkeurigheid, robuustheid en cyberveiligheid. En als er een toezichthouder langskomt, moeten de makers dit ook allemaal kunnen aantonen. Daarvoor hebben ze dus onder meer een systeem voor kwaliteitsbeheer nodig en een logboek.
“Goed beschouwd bevat de AI-verordening vooral zorgvuldigheidseisen en beheersmaatregelen. Ik denk dat die ook heel relevant zijn voor een instelling zelf. Je gebruikt een instrument waarbij best wat gevaren kunnen ontstaan”, zegt Ter Braak. “Want áls er iets misgaat, kan dat snel een bepaalde schaalgrootte krijgen. Dit kan erg schadelijk zijn voor individuen en daarnaast is het afbreukrisico enorm. Dus alles wat je doet moet je op een verantwoorde manier in de organisatie inbedden, maar ook navolgbaar en aantoonbaar zijn.”
Toezichthouder nog niet bekend
Waar het toezicht op AI-gebruik door financiële instellingen precies komt te liggen, is nu nog niet duidelijk. Reden daarvoor is dat de AI-verordening diverse toezichthouders en inspecties raakt. Bijvoorbeeld de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI). Producten waar AI in zit kunnen immers in allerlei sectoren worden ingezet.
Daar komt bij dat de AI-verordening in feite toeziet op de bescherming van grondrechten, gezondheid en veiligheid binnen de EU. Wat betreft grondrechten is het de bedoeling dat lidstaten ook grondrechten-toezichthouders aanmelden. In Nederland wordt voor die rol onder andere gedacht aan het College voor de Rechten van de Mens. Het is de bedoeling dat hier tegen het einde van het jaar duidelijkheid over bestaat.
AFM en DNB bieden zich aan
Diverse departementen (EZ, J&V, BZ en Financiën) bekijken momenteel hoe het toezicht op de AI-verordening in Nederland moet worden belegd. Voor de financiële sector hebben de AFM en DNB geadviseerd het toezicht voor zover het de financiële sector betreft, bij hen neer te leggen. Niet alleen omdat dit in lijn is met de bestaande toezichtstructuur, maar ook omdat het zo wordt voorgeschreven door de verordening.
Goed beschouwd bevat de AI-verordening vooral zorgvuldigheidseisen en beheersmaatregelen. Ik denk dat die ook heel relevant zijn voor een instelling zelf. Je gebruikt een instrument waarbij best wat gevaren kunnen ontstaan, want áls er iets misgaat, kan dat snel een bepaalde schaalgrootte krijgen”
Over de raakvlakken tussen financieel toezicht en het toezicht op grondrechten en wie wanneer de aangewezen partij is om op te treden, kunnen we volgens Ter Braak als volgt nadenken. “Stel, er is sprake van een schending van een norm binnen het financieel toezicht waarbij een consument wordt benadeeld, dan lijkt het mij logisch dat de AFM ertegen optreedt. Maar als het om iets groters gaat, zoals uitsluiting of discriminatie op grote schaal, dan is het meer passend om dit door te verwijzen naar de grondrechtentoezichthouder. Maar dit moet allemaal nog bepaald worden.”
