AFM-toezicht op AI loopt achter op de verplichtingen voor de financiële sector

De AFM publiceerde op 12 juni 2026 haar uitvoeringstoets op de Uitvoeringswet AI-verordening. Het toezicht op de AI-verordening in de financiële sector is volgens de AFM uitvoerbaar, maar nog niet operationeel: de toezichthouder kan pas handhaven nadat ze formeel is aangewezen, terwijl de eerste verplichtingen al sinds 2 februari 2025 gelden. Voor banken, verzekeraars, kredietaanbieders en hun juristen ligt de verantwoordelijkheid nu bij de instelling, het toezicht komt later.

Bij TIL lezen we de uitvoeringstoets daarom minder als een eindpunt en meer als een tussenstand. De regels gelden gefaseerd, de toezichtarchitectuur wordt nog gebouwd, en die twee lopen niet gelijk op.

Wat de uitvoeringstoets zegt over AI-toezicht in de financiële sector

De AFM wordt in de concept-uitvoeringswet aangewezen voor de AI-normen bij de partijen waarop ze nu al toezicht houdt. Het gaat om vier blokken: de verboden AI-praktijken uit artikel 5, de transparantieverplichtingen, de hoog-risicotoepassingen en de AI-geletterdheid. Bij de hoog-risicotoepassingen draait het in de financiële sector om twee dingen, kredietscoring van natuurlijke personen en de risicobeoordeling en prijsstelling bij zorg- en levensverzekeringen. Die vallen onder de zwaarste eisen van de verordening, met documentatie, uitlegbaarheid, bias testing en signaalrapportage.

De AFM noemt het pakket uitvoerbaar, maar stelt voorwaarden. Ze heeft intensieve samenwerking met DNB nodig, een publicatie- en geheimhoudingsregime dat aansluit bij de Wft, en meer mensen. De vier fte uit het huidige Kostenkader zijn een onderschatting, schrijft de toezichthouder in de bijlage bij haar brief, voor een brutopopulatie van ongeveer 6.600 AFM-vergunninghouders plus zo'n 340 banken, verzekeraars en pensioenfondsen die onder DNB vallen.

Het uitstel naar december 2027 is geen pauze

De zwaarste verplichtingen schuiven op. Door het voorlopige akkoord over de digital omnibus van 7 mei 2026 gaan de hoog-risicobepalingen voor zelfstandige Annex III-systemen, waaronder kredietscoring, pas in op 2 december 2027 in plaats van 2 augustus 2026. Dat akkoord is nog niet formeel vastgesteld. Tot dat moment blijft de oorspronkelijke datum juridisch de geldende, dus het uitstel is een planningshouvast en geen zekerheid.

Twee dingen schuiven niet mee. De transparantieverplichting blijft staan op 2 augustus 2026: chatbots, deepfakes en andere AI die met klanten communiceert moeten kenbaar maken dat er een AI-systeem in het spel is, en de AFM houdt daarop toezicht. Die verplichting uit artikel 50 valt buiten het uitstel. De verboden AI-praktijken en de AI-geletterdheidsnorm gelden zelfs al sinds 2 februari 2025.

Het uitstel verlegt alleen de datum waarop niet-naleving gaat bijten. De eisen zelf veranderen niet. Net als in de curatorenpraktijk, waar het gebruik voorloopt op de kaders, zit de financiële sector in de fase waarin de verplichting eerder hard is dan het toezicht erop. Voor wie AI inzet richting klanten is augustus 2026 de eerstvolgende harde datum, niet december 2027.

De onenigheid over wie waarop toezicht houdt

In haar consultatiereactie steunt de AFM het wetsvoorstel, maar verzet ze zich tegen de voorgestelde verdeling van taken tussen haar en DNB. De verordening beschermt grondrechten en de positie van de consument, en dat sluit volgens de AFM aan bij haar rol als gedragstoezichthouder. Ze wil dat zowel zijzelf als DNB, ieder vanuit hun eigen rol, toezicht houden op de verbodsbepalingen en de hoog-risiconormen.

De moeilijkste vraag daarbij is wanneer een AI-toepassing onder de verordening valt en wanneer onder hoog-risico. Banken, verzekeraars en pensioenfondsen staan onder beide toezichthouders. Bij één norm en twee toezichthouders mogen de interpretaties niet uiteenlopen, en juist daar zit het uitvoeringsrisico. Daar komt bij dat het wetsvoorstel geen publicatieregime kent, waardoor de AFM waarschuwingen en maatregelen niet openbaar kan maken, en dat de AFM voor vertrouwelijkheid wil aansluiten bij het strengere geheimhoudingsregime van de Wft in plaats van de algemene regeling in de Awb.

Wij lezen dat als het echte risico voor partijen onder dubbel toezicht. Zolang AFM en DNB de reikwijdte niet eenduidig vastleggen, draagt de instelling het risico dat dezelfde toepassing door de ene toezichthouder anders wordt geclassificeerd dan door de andere.

Wat legal- en complianceteams nu kunnen vastleggen

Begin bij klantcontact. Inventariseer welke AI-toepassingen rechtstreeks met klanten communiceren en leg vast hoe je kenbaar maakt dat het om AI gaat. Dat is de verplichting die in augustus 2026 ingaat en waarvoor geen uitstel geldt.

Breng daarnaast in kaart of je kredietscoring gebruikt, of risicobeoordeling en prijsstelling bij zorg- en levensverzekeringen. Voor die toepassingen gaan vanaf december 2027 de hoog-risico-eisen gelden, met documentatie, uitlegbaarheid en bias testing. De opbouw van dat dossier kost maanden, dus daarmee beginnen heeft nu zin, niet pas in 2027.

Leg vervolgens je eigen classificatie van elke toepassing schriftelijk vast, met de onderbouwing waarom iets wel of niet hoog-risico is. Bij dubbel toezicht is die onderbouwing je eerste verweer als AFM en DNB van mening verschillen over de reikwijdte. En toets de AI-geletterdheid van de medewerkers die met deze systemen werken, want die norm geldt al.

De uitvoeringstoets gaat over de inrichting van het toezicht, maar de rekening van de onduidelijkheid ligt voorlopig bij de instellingen zelf. Wie nu zijn toepassingen classificeert en documenteert, staat straks sterker dan wie wacht op duidelijkheid van de twee toezichthouders.