Sander Willems (ARC People): ‘Veel banken gebruiken meer hoog-risico-AI dan ze denken’
De AFM maakt er in haar agenda voor 2026 geen geheim van: de tijd van vrijblijvendheid rond AI in de financiële sector is voorbij. De toezichthouder gaat intensiever toezien op digitale weerbaarheid en de verantwoorde inzet van AI. Wat betekent dat voor banken, vermogensbeheerders en verzekeraars? We spraken Sander Willems van ARC People, die financiële instellingen begeleidt bij AI-governance en compliance.
Volgens Willems volgt de AFM een herkenbaar patroon. “De toezichthouder begint breed: ze verkent de markt, haalt signalen op en kijkt hoe organisaties AI inzetten. Daarna volgt verdieping, met concrete onderzoeken en toetsingen. De verkenning is inmiddels afgerond – we zitten nu in die verdiepingsfase. Dat betekent dat instellingen moeten kunnen laten zien wat ze hebben ingericht, en vooral: wat ze hebben gedocumenteerd.”
Wat opvalt is hoe breed AI inmiddels terugkomt in het toezicht. Afgelopen januari kondigde de AFM aan in de financiële dienstverlening te kijken naar hyperpersonalisatie, datagebruik en geautomatiseerde kredietacceptatie.
Op de kapitaalmarkten onderzoekt de toezichthouder de rol van algoritmes in handelsbeslissingen en de risico’s van misleidende, AI-gegenereerde informatie. En in assetmanagement ligt de nadruk op modelrisicobeheer en de governance van zelflerende systemen. “AI raakt vrijwel alle onderdelen van de waardeketen”, zegt Willems. “En dus ook het toezicht daarop.”
Weten welke AI-systemen je hebt
Een eerste stap die veel instellingen nog moeten zetten: een compleet overzicht krijgen van hun AI-toepassingen. “Dat gaat veel verder dan de grote, opvallende modellen”, benadrukt Willems. “Ook tooling voor klantbeoordelingen, risicoclassificatie, dataverrijking of interne besluitvorming valt eronder. Zonder zo’n inventarisatie is het onmogelijk om te voldoen aan de eisen rond uitlegbaarheid, logging en modelrisicomanagement.”
De Europese AI-verordening helpt daarbij richting geven. Het onderscheid tussen minimaal, beperkt en hoog risico bepaalt welke verplichtingen gelden.
“In de praktijk zien we dat veel financiële instellingen onbewust meer hoog-risicosystemen gebruiken dan ze dachten”, aldus Willems. “Kredietbeslismodellen, AML-detectie, portefeuilleanalyses, AI-ondersteunde klantselectie – dat valt al snel in de hogere categorieën. En dan gelden verplichtingen die niet alleen beschreven moeten zijn, maar aantoonbaar, structureel en controleerbaar.”
Begin nu, niet straks
Willems ziet 2026 als het jaar waarin de AFM niet alleen kijkt wát instellingen doen met AI, maar vooral hóe zij dat doen. “Instellingen die nu beginnen met inventariseren, risicoclassificaties uitvoeren en governance inrichten, creëren ruimte. Zij bouwen ervaring op en voorkomen dat zij in 2027 of 2028 in de knel komen wanneer de AFM haar bevindingen omvormt tot concrete normen.”
“Wie wacht, begint straks onder tijdsdruk”, concludeert Willems. “Wie nú begint, bouwt systematisch aan toekomstbestendige AI-governance.”
