De compliance officer van een grote Europese bank vertelde me onlangs: "We hebben AI-modellen in productie waarvan niemand precies weet hoe ze tot hun beslissingen komen. En in augustus moeten we kunnen aantonen dat we ze beheersen."
Hij is niet de enige met dit probleem. Uit recent onderzoek van EY en MIT blijkt dat meer dan 70% van de banken inmiddels agentic AI gebruikt – maar dat governance frameworks structureel achterlopen op de adoptie.
De klok tikt: Op 2 augustus 2026 moeten high-risk AI-systemen in de financiële sector volledig voldoen aan de EU AI Act. Dat is over zes maanden. De tijd voor pilotprojecten en "we kijken het aan" is voorbij.
De staat van AI in banking: adoptie versus governance
De cijfers zijn indrukwekkend én verontrustend tegelijk:
| Metric | Percentage | Implicatie |
|---|---|---|
| Banken met agentic AI | 70%+ | AI is mainstream, geen experiment meer |
| Fully deployed | 16% | Productiesystemen met echte impact |
| In pilot | 52% | Schaalvergroting aanstaande |
| Met robuust governance framework | ??? | Niet gemeten – en dat zegt genoeg |
Het probleem zit hem in die laatste rij. We meten adoptie nauwkeurig, maar governance blijft vaag. En dat terwijl toezichthouders steeds explicieter worden over hun verwachtingen.
Wat toezichthouders in 2026 verwachten
De European Banking Authority (EBA), ECB en nationale toezichthouders hebben hun prioriteiten voor 2026 scherp gesteld. Drie thema's springen eruit:
1. Human-in-the-loop is geen optie meer
In 2025 verschoof "human oversight" van nice-to-have naar regulatory expectation. Organisaties moeten kunnen aantonen hoe AI-gegenereerde outputs worden gevalideerd en hoe menselijke experts betrokken zijn bij beslissingen.
Dit geldt vooral voor:
- Kredietbeslissingen
- Fraudedetectie
- Klantsegmentatie
- Risico-assessments
2. Explainability en auditability
Toezichthouders verwachten dat banken kunnen uitleggen:
- Hoe een AI-model tot een beslissing kwam
- Welke data werd gebruikt
- Welke biases mogelijk een rol spelen
- Hoe het model is getest en gevalideerd
De EBA benadrukt dat bestaande CRR/CRD-vereisten al een "comprehensive and technology-neutral governance and risk management framework" bieden – maar dat dit expliciet moet worden toegepast op AI.
3. Third-party AI risk management
Misschien wel de grootste blinde vlek: AI die binnenkomt via leveranciers, cloud-diensten en software-integraties. EY waarschuwt expliciet: "Update existing AI policies to cover integration across software and service supply chains."
Shadow AI: Een groeiend probleem is het onofficiële gebruik van AI door medewerkers – ChatGPT voor klantcommunicatie, Copilot voor code, AI-tools voor analyse. Dit valt buiten governance en creëert onzichtbare risico's.
De overlap tussen AI Act en financiële wetgeving
Een van de grootste kopzorgen voor compliance teams: hoe verhouden de EU AI Act-vereisten zich tot bestaande financiële regelgeving?
Het Europees Parlement uitte in november 2025 expliciet zorgen over deze overlap. Taylor Wessing vat het samen: "The lack of sufficient guidance on interpreting these overlaps and interactions introduces undue complexity, compliance burdens and legal uncertainty."
| Onderwerp | AI Act | Bestaande regelgeving | Status |
|---|---|---|---|
| Governance & Risk Management | Artikel 9 | CRR/CRD framework | Synergie mogelijk |
| Cybersecurity | Artikel 15 | DORA | Derogatie in AI Act |
| Documentatie | Artikel 11 | MiFID II, IDD | Overlap onduidelijk |
| Bias & Fairness | Artikel 10 | Consumer Duty (UK), fair lending | Guidance nodig |
De Commissie moet vóór 2 februari 2026 guidelines publiceren over de praktische implementatie van Artikel 6 – inclusief hoe dit samenhangt met sectorspecifieke regelgeving.
Vijf concrete acties voor Q1 2026
Gebaseerd op de laatste inzichten van EY, EBA en compliance-experts, zijn dit de prioriteiten voor de komende maanden:
1. Inventariseer alle AI-toepassingen
Niet alleen de officiële projecten, maar ook:
- Embedded AI in software (Microsoft 365 Copilot, Salesforce Einstein)
- AI bij leveranciers en outsourcing partners
- "Shadow AI" door medewerkers
2. Classificeer naar risico
Map elke toepassing tegen de AI Act-risicocategorieën:
- Hoog risico: Kredietscoring, fraudedetectie, HR-beslissingen
- Beperkt risico: Chatbots, content-generatie
- Minimaal risico: Interne efficiëntie-tools
3. Implementeer human-in-the-loop controls
Voor elke high-risk toepassing:
- Wie valideert outputs?
- Hoe worden afwijkingen geëscaleerd?
- Welke beslissingen mogen volledig geautomatiseerd?
4. Documenteer model governance
Creëer of update:
- Model inventory met eigenaarschap
- Validatie- en testprotocollen
- Bias monitoring procedures
- Incident response plannen
5. Train je organisatie
AI-geletterdheid is geen luxe meer – het is een verplichting onder Artikel 4 van de AI Act. Zorg dat:
- Bestuurders AI-risico's begrijpen
- Compliance teams kunnen beoordelen
- Eindgebruikers weten wat wel en niet mag
De business case voor proactieve governance
Het is verleidelijk om AI governance te zien als kostenpost en vertraging. Maar de praktijk wijst anders uit.
Organisaties die vroegtijdig investeren in governance rapporteren:
- Snellere time-to-market voor nieuwe AI-toepassingen (geen last-minute compliance scramble)
- Lagere risico-kosten door vroege detectie van bias en fouten
- Hogere adoptie omdat medewerkers vertrouwen hebben in de tools
- Betere toezichtrelaties door proactieve communicatie
Conclusie: augustus 2026 komt sneller dan je denkt
De financiële sector staat voor een kantelpunt. AI is niet langer experimenteel – het is operationeel, schaalbaar en steeds autonomer. Tegelijkertijd worden de verwachtingen van toezichthouders concreter en de deadlines harder.
De vraag is niet óf je AI governance moet aanpakken, maar of je het nu doet – of straks onder tijdsdruk.
Actie: Begin deze week met een inventarisatie van alle AI-toepassingen in je organisatie. Niet volgende maand. Deze week. De rest volgt daaruit.
Wil je je organisatie voorbereiden op de EU AI Act deadline? Embed AI biedt trainingen en advies voor financiële instellingen die AI governance willen implementeren.