Maarten Stolk, van huis uit datawetenschapper, liep jaren geleden al aan tegen de juridische en organisatorische beperkingen van kunstmatige intelligentie. “Binnen organisaties zag ik vaak wel de wil om ‘iets te doen met data & AI’, maar een duidelijke visie ontbrak. Met als gevolg dat de acties vaak verzandden in innovatieprojecten, maar niet in systemen die iets bijdroegen aan de bedrijfsvoering.”
De reden: “Er was – vaak terechte – angst dat er niet voldoende controle zou zijn op de systemen. Je zou de AI-verordening dan ook kunnen zien als een voortvloeisel vanuit de collectieve zorg over kunstmatige intelligentie, en onze gezamenlijke wens om hier controle over te hebben.”
Tech start-up Deeploy
Stolk is een van de oprichters van Deeploy, een tech start-up die bedrijven – voornamelijk in de financiële sector en de gezondheidszorg – helpt om hun algoritmes en modellen voor kunstmatige intelligentie binnen de regels te houden. Met de software van Deeploy weten klantbedrijven dat hun AI-systemen transparant, uitlegbaar en traceerbaar blijven.
Stolk: “We hebben Deeploy niet per se opgericht om bedrijven te laten voldoen aan de AI-verordening. Maar toen we drie, vier jaar geleden de concepttekst van de verordening doorlazen, waren we blij verrast door de grote overlap met ons product.”
Welke eisen stelt de AI-verordening aan verzekeraars?
“In tegenstelling tot de GDPR is de AI-verordening ontworpen als productregulering. Vergelijk het met machinerichtlijnen. Wanneer de ontwikkelaar een AI-systeem op de markt wil brengen, moet dit voldoen aan de wet, in de vorm van een conformiteitsbeoordeling en een CE-markering."
“De verordening volgt daarbij een risico-gebaseerde benadering. Verboden systemen zijn dus verboden, hoog-risicosystemen worden streng gereguleerd. Aan systemen met een beperkt risico worden minder strenge eisen gesteld, maar ze moeten wel transparant zijn.”
Zowel gebruiker als aanbieder
Er worden verschillende eisen gesteld aan aanbieders en gebruikers van AI-systemen. Hoe zit dat?
“Aanbieders zijn partijen die AI-tools verkopen of maken voor eigen gebruik. Zij moeten voldoen aan de regels die gelden voor het voortbrengen van deze systemen."
In de praktijk zijn verzekeraars vaak zowel aanbieder als gebruiker. Stel, een verzekeraar gebruikt een large language model van OpenAI voor fraudedetectie; dan is OpenAI de aanbieder. Maar wanneer je dit LLM vervolgens finetunet en inzet in je eigen systemen, dan word je zowel aanbieder als gebruiker”
“Wanneer een verzekeraar kunstmatige intelligentie gebruikt van een derde partij, is deze gebruiksverantwoordelijke. De verzekeraar is moet onder andere voor menselijk toezicht zorgen en hij moet zich aan de gebruiksinstructies houden."
“Maar in de praktijk zijn verzekeraars vaak zowel aanbieder als gebruiker. Stel, een verzekeraar gebruikt een large language model (LLM, red.) van OpenAI voor fraudedetectie; dan is OpenAI de aanbieder. Maar wanneer je dit LLM vervolgens finetunet en inzet in je eigen systemen, dan word je zowel aanbieder als gebruiker. Doordat het AI-systeem substantieel is aangepast, ligt er een grotere verantwoordelijkheid bij de verzekeraar.”
Wat moeten verzekeraars doen om compliant te zijn?
“Er komt – voor aanbieders – best veel bij kijken. Een van de belangrijkste vereisten is 'effective human oversight'. Er moet altijd menselijke controle zijn. Bijvoorbeeld bij fraudedetectie en bij prijs- en risicomodellen. Dit doe je door de juiste controlemechanismen in te bouwen, door monitoring toe te passen en door uitlegbaarheid en feedback-loops toe te voegen aan het model, zodat je kunt bijsturen."
“Daarnaast moet je je systeem goed documenteren wat betreft risico’s, governance, robuustheid en conformiteit. En je moet zorgen dat je modellen en de uitkomsten van die modellen interpretabel en transparant zijn. Daarvoor kun je bijvoorbeeld gebruikmaken van zogeheten 'uitlegbaarheidsmethodes'. Daarnaast is het goed om alle beslissingen bij te houden – te loggen – zodat je een overzicht hebt van alle uitkomsten, menselijke interacties en beslissingen.”
Technologie profiteert ook van AI Act
Een aantal AI-toepassingen is aangewezen als ‘hoog risico’. Wat betekent dit?
“Het gaat om toepassingen voor premiebepalingen, om risicobeoordelingen voor levens- en ziektekostenverzekeringen en om kredietwaardigheidstoetsen. Voor deze toepassingen gelden niet alleen de hiervoor genoemde eisen, maar ook dat ze geregistreerd moeten worden."
Pas in augustus 2026 is de richtlijn volledig ingevoerd. Nog tijd genoeg toch?
“Verzekeraars hebben inderdaad nog een kleine twee jaar. En de verordening bevat best een hoop controls en vereisten. Toch zijn veel vereisten vrij redelijk, en als je op tijd begint - eventueel met hulp van buitenaf - zou het goed te doen moeten zijn in mijn ogen."
“Wacht echter niet te lang met het inregelen en testen van de controlemechanismen, zodat deze op tijd werkbaar zijn voor iedereen. Doe je dat niet, dan loop je het risico dat je in augustus 2026 tijdelijk moet stoppen met sommige toepassingen. En dat zal waarschijnlijk een stuk kostbaarder zijn.”
Wat vind je overall van deze verordening?
“Stel, iemand wordt geweigerd voor een autoverzekering. Dan lijkt het me niet meer dan logisch dat je deze beslissing uitlegt. Dat je dit besluit kunt herleiden. Dat je als verzekeraar kunt aantonen dat je het model waarmee je deze beslissing neemt monitort. En tot slot moet je er natuurlijk transparant over zijn dat je hier überhaupt een model voor gebruikt.”
“Ik ben persoonlijk een groot voorstander van deze wet. Hij zorgt ervoor dat we met een duurzame bril kijken naar deze technologie, waardoor we op lange termijn als maatschappij verder komen. Vergelijk het met andere producten die op de markt komen: door er duidelijke eisen aan te stellen worden ze vaak beter, veiliger én gaan ze langer mee."
“Het vergt dus een investering vooraf, maar zorgt ook voor kwaliteitsverbetering op de langere termijn. In die zin kan de verordening Europa een competitive edge geven. We zijn misschien niet sneller, maar bouwen hopelijk wel betere, veiligere en meer duurzame AI-systemen.”
