Vier stappen naar een geïntegreerd governance framework

Vier stappen naar een geïntegreerd governance framework

30 september 2025 Banken.nl
Vier stappen naar een geïntegreerd governance framework

Ontdek hoe financiële instellingen de urgentie rond AI-compliance kunnen benutten om een geïntegreerd ‘governance fabric’ te bouwen, één die niet alleen voldoet aan de AI-verordening, maar ook een antwoord biedt op bredere uitdagingen rond overlappende regelgeving

Financiële instellingen in Nederland en de bredere EU navigeren vandaag de dag door een steeds complexer web van digitale wet- en regelgeving – van gegevensbescherming (GDPR) en operationele weerbaarheid (DORA) tot nu ook risicogebaseerd toezicht op kunstmatige intelligentie via de AI-verordening (EU AI Act).

Hoewel overlappende vereisten niet nieuw zijn, stelt de AI-verordening instellingen voor een urgente vraag: welke nieuwe governance-elementen zijn aanvullend, en welke verplichtingen vragen om fundamenteel nieuwe controles of juist een hergebruik van bestaande structuren? Voor Europese financiële instellingen, waaronder banken, ligt hier een unieke kans om compliance fundamenteel te herstructureren – in lijn met de technologische realiteit én in afstemming met meerdere wettelijke kaders.

Meerdere frameworks, één probleem

De uitdaging is niet de afwezigheid van richtlijnen, maar juist de versnippering van verantwoordelijkheden binnen organisaties. Elk framework, of het nu de AI-verordening, GDPR of DORA is, heeft eigen workstreams, eigenaren en auditprocessen, ook als de eisen inhoudelijk overlappen.

Onzekerheid in AI governance

De AI Act classificeert AI-systemen op risiconiveau. Voor high-risk financiële toepassingen gelden strikte eisen rond risk assessment, data quality en traceability. Afhankelijk van de rol van de instelling bij een AI-systeem geldt een eigen set verplichtingen. Deze eisen gaan verder dan traditionele software governance: ze vragen om transparantie, data lineage en continuous monitoring.

De uitdaging wordt groter omdat de AI-verordening’s gedetailleerde implementatierichtlijnen nog in ontwikkeling zijn. hoewel de verordening sinds augustus 2024 van kracht is, worden geharmoniseerde Europese normen (via CEN/CENELEC) pas verwacht in 2026. Dit creëert een dilemma: te vroeg beginnen betekent risico op misaligned controls, te laat beginnen betekent het missen van de deadline van augustus 2026 voor high-risk AI.

AI Act, GDPR en DORA delen dezelfde basis

Compliance-teams ontdekken dat de AI-verordening niet op zichzelf staat, maar nauw verweven is met frameworks die al veel capaciteit opslokken. Banken hebben fors geïnvesteerd in GDPR-compliance en zijn tegelijk bezig met DORA’s ICT resilience controls. Veel van dezelfde of vergelijkbare eisen duiken nu in alle drie regimes op. Bijvoorbeeld:

  • Logging, monitoring & incident reporting
    De AI-verordening (art. 12 en 26(5–6)), GDPR (art. 30, 33–34) en DORA (art. 10, 17–19) vragen allemaal om monitoring van systeemgedrag, traceerbare logs en notificatie van stakeholders bij ernstige issues. De definities verschillen (technical incidents, data breaches, AI malfunctions), maar de bouwstenen overlappen sterk. Ondanks de gelijkenis hanteren veel instellingen nog aparte systemen, eigenaren en rapportagelijnen.
  • Data governance & quality
    De AI-verordening vereist hoogwaardige datasets om discriminatie te minimaliseren (art. 10, 26(4)). GDPR eist accurate en actuele persoonsgegevens (art. 5(1)(d), (f)). DORA vraagt om data integrity voor resilience (art. 5(2)(b)). Alle drie vereisen een robuust data governance framework. Toch worden deze datakaders vaak los van elkaar beheerd, met risico op inconsistenties en inefficiëntie.

Vier stappen naar een geïntegreerd governance framework

Jakob Tjurlik, Business Analist, Ace + Company

Control silos blokkeren innovatie

De huidige gefragmenteerde aanpak leidt tot duplicatie van controls, inefficiënt gebruik van resources en – cruciaal – vertraging in AI-innovatie.

De onzekerheid rond de AI-verordening versterkt dit: slechts 11% van Europese banken voelt zich voorbereid, terwijl 70% slechts “gedeeltelijk klaar” zegt te zijn (EY, 2024). In juni ondertekenden banken nog een oproep tot uitstel, vanwege gefragmenteerde standaarden en onduidelijke eisen (EU AI Champions Initiative, 2025). Ondertussen leggen overlappende EU-regels naar schatting €150 miljard aan jaarlijkse compliancekosten op (EC, 2025).

Compliance-teams balanceren daarmee tussen een te vroege implementatie en regelgevende inertie, terwijl een geïntegreerde aanpak juist tot aanzienlijk meer efficiëntie kan leiden.

Integrated governance fabric voor AI en verder

De oplossing ligt in regulatory convergence zien als kans, niet als last – met technologie als versneller. Door de AI-verordening als testcase te gebruiken voor bredere governanceverbetering, kunnen banken zowel hun AI-compliance op orde brengen als dubbele inspanningen vermijden.

Een vierstappenplan:

Stap 1: Positioneer jezelf tegen de AI Act
Begin met het in kaart brengen van uw huidige en geplande AI-toepassingen tegen de risicocategorieën van de AI-verordening (beperkt risico, hoog risico, verboden). Maak duidelijk welke rol uw organisatie inneemt, aangezien iedere rol (ontwikkelaar, distributeur, gebruiker) andere verplichtingen met zich meebrengt. Koppel de relevante artikelen van de verordening aan de betrokken bedrijfsfuncties en processen. Ontwerp lichte classificatieprocessen die snelle beoordeling van nieuwe AI-initiatieven mogelijk maken.

Stap 2: Beoordeel gaps en overlaps
Onderzoek welke vereisten uit de AI-verordening al worden afgedekt door bestaande controls en waar duidelijke gaten bestaan. Besteed bijzondere aandacht aan overlappen in implementatie, eigenaarschapsconflicten en domeinen waar regelgeving samenkomt, zoals dataclassificatie, incidentrespons en risico’s van derde partijen. Dit helpt te bepalen waar echt nieuwe controls nodig zijn en waar bestaande controls hergebruikt of uitgebreid kunnen worden.

Vier stappen naar een geïntegreerd governance framework

Iris Wuisman, Partner bij ACE + Company

Stap 3: Ontwerp een voorlopige AI-control set
Ontwikkel uitsluitend aanvullende controls waar daadwerkelijke hiaten bestaan. Deze AI-specifieke controls (bijvoorbeeld testen op datavooroordelen, frequentie van hertraining, of eisen rond uitlegbaarheid) moeten worden gezien als een “versie 0.9”: flexibel en klaar om bijgesteld te worden zodra geharmoniseerde Europese standaarden (zoals van CEN-CENELEC) definitief zijn.

Stap 4: Rationaliseer en monitor
Voeg overlappende controls samen in één traceerbaar raamwerk dat de herkomst vanuit de regelgeving behoudt en direct koppelt aan specifieke bewijslocaties.

Voorbeeld:

  • Combineer logvereisten uit verschillende regimes in één uniforme “Event logging”-control:
    Implementeer onveranderlijke, van tijdstempels voorziene event logs voor hoog-risico AI-systemen, ICT-systemen die kritieke of belangrijke functies ondersteunen, en systemen die persoonsgegevens verwerken onder de AVG. Leg gebruikers-/rol-ID’s, acties/events en betrokken data-elementen vast. Sla deze logs op in een manipulatieresistente omgeving, bewaar ze voor de voorgeschreven termijn en koppel ze waar nodig aan geautomatiseerde alert- of monitoringsmechanismen.
  • Voor overlappende eisen op het gebied van databeheer kan een uniforme “Data governance en integriteit”-control op vergelijkbare wijze worden opgesteld.

Deze systematiek kan – en zou moeten – worden uitgebreid naar andere kaders zoals NIS2 en ISO 27001, zodat u een robuust fundament legt om digitale risico’s en compliance integraal te beheren, zonder telkens vanaf nul te beginnen bij nieuwe regelgeving.

Regulatory complexity omzetten in competitive advantage

Deze geïntegreerde aanpak transformeert naleving van regelgeving van een kostenpost naar een concurrentievoordeel. Ze maakt snellere AI-implementatie mogelijk, efficiëntere inzet van middelen en versterkt risicobeheersing. Door controls te rationaliseren en governance te verbinden met rollen, processen en bewijsvoering, kunnen banken de AI-verordening adresseren zonder een extra compliance-silo te creëren.

De AI-verordening is slechts de eerste aanzet. Banken die vandaag een uniforme governance-infrastructuur bouwen, zijn straks beter toegerust om sneller, slimmer en met minder doublures in te spelen op de volgende golf van regelgeving.

Klaar om verder te gaan dan gefragmenteerde compliance? Neem contact op met onze experts om je AI governance-uitdagingen te bespreken of vraag een RegAI demo aan om control rationalisation in actie te zien.

Een artikel van Jakob Tjurlik (Business Analist) en Iris Wuisman (Partner) bij ACE + Company.

Meer over ACE + Company
Profielpagina
ACE + Company
ACE + Company is een partner van Banken.nl
ACE + Company organiseert inspiratiesessie over AI in risk en compliance
ACE + Company organiseert inspiratiesessie over AI in risk en compliance Wat kan AI vandaag de dag concreet betekenen voor risk- en complianceafdelingen? Om die vraag te beantwoorden organiseert ACE + Company op 27 maart een inspiratiesessie.
24 maart 2026
ACE + Company promoveert Janco Jordaan tot Partner
ACE + Company promoveert Janco Jordaan tot Partner ACE + Company heeft Janco Jordaan benoemd tot Partner. Met de uitbreiding van de partnergroep wil het adviesbureau de verdere ontwikkeling van zijn RegTech- en RegAI-proposities versnellen.
30 januari 2026
Van beloften naar portefeuilles: waarom biodiversiteit stokt in de praktijk
Van beloften naar portefeuilles: waarom biodiversiteit stokt in de praktijk Nederlandse financiële instellingen hebben de mond vol van biodiversiteit.
28 oktober 2025
Van rapportage naar routine: financiële instellingen zoeken naar verbetering in CSRD-rapportage – GenAI biedt oplossingen
Van rapportage naar routine: financiële instellingen zoeken naar verbetering in CSRD-rapportage – GenAI biedt oplossingen Nu de eerste CSRD-rapportages zijn ingediend, staan veel financiële instellingen voor een nieuwe uitdaging: hoe wordt een eenmalige inspanning verankerd in een duurzaam, jaarlijks proces? Uit onderzo
18 augustus 2025
AI-compliance is in ontwikkeling, zijn jouw controles up-to-date?
AI-compliance is in ontwikkeling, zijn jouw controles up-to-date? De interpretatie van de AI-verordening is vaak gestoeld op traditionele GenAI-toepassingen.
04 augustus 2025
ACE + Company organiseert workshop over AI-governance
ACE + Company organiseert workshop over AI-governance De financiële sector staat aan de vooravond van een nieuw tijdperk, waarin verantwoord omgaan met kunstmatige intelligentie het verschil maakt tussen vooroplopen en ingehaald worden.
17 juni 2025
Integratie van milieu- en sociale factoren in risicomanagement: reflectie op de huidige status
Integratie van milieu- en sociale factoren in risicomanagement: reflectie op de huidige status Nu de wereld steeds meer geconfronteerd wordt met de gevolgen van milieu-, sociaal- en governance-gerelateerde factoren (ESG), staan financiële instellingen onder toenemende druk om deze factoren te
08 april 2025
Het Omnibus-pakket: Gamechanger voor financiële instellingen en duurzaamheidsregelgeving
Het Omnibus-pakket: Gamechanger voor financiële instellingen en duurzaamheidsregelgeving Het onlangs gepubliceerde Omnibus-pakket van de Europese Commissie omvat een reeks wijzigingen in de naleving van duurzaamheidsregels.
13 maart 2025

AI nieuws

Meer AI nieuws

Cybersecurity nieuws

Meer Cybersecurity nieuws

Risk & Compliance nieuws

Meer Risk & Compliance nieuws

Wet- en Regelgeving nieuws

Meer Wet- en Regelgeving nieuws