Juridisch advies AI in het bankwezen

Banken behoren tot de grootste AI-gebruikers van Europa: kredietscoring, transactiemonitoring en fraudedetectie, algoritmische handel, klantcontact via chatbots en AML/KYC-screening. Juist hier raakt kunstmatige intelligentie direct aan grondrechten en financieel toezicht — en is de juridische lat het hoogst. AIRecht adviseert banken, betaalinstellingen en fintechs over de samenloop van AI-regelgeving, financieel toezichtrecht en gegevensbescherming, en vertaalt die kaders naar werkbare governance.

Typische juridische vraagstukken

De kredietwaardigheidsbeoordeling van natuurlijke personen geldt onder de AI Act (EU) 2024/1689 als hoog-risicotoepassing: dat betekent eisen aan datakwaliteit, technische documentatie, logging, menselijk toezicht en een conformiteitsbeoordeling vóór ingebruikname. Daarnaast spelen de uitlegbaarheid van geautomatiseerde afwijzingen, bias en non-discriminatie, modelrisicobeheer richting DNB en ECB, en de vraag wie aansprakelijk is wanneer een handelsstrategie of fraudefilter schade veroorzaakt. Deze thema's komen uitgebreider aan bod in onze analyse van kunstmatige intelligentie en recht.

Kredietscoring als hoog-risico-AI

De aanmerking van kredietscoring als hoog-risico is geen formaliteit. Zij brengt een volwaardig risicomanagementsysteem mee, met technische documentatie, logging, transparantie richting de gebruiker en aantoonbaar menselijk toezicht op individuele beslissingen. De verplichtingen treden gefaseerd in werking en vergen dat een instelling haar modellenlandschap nu al inventariseert en classificeert. Een vroege compliance- en conformiteitsbeoordeling voorkomt dat een productiemodel achteraf onrechtmatig blijkt.

Uitlegbaarheid en non-discriminatie

Een afgewezen consument heeft recht op betekenisvolle informatie over de logica achter een geautomatiseerd besluit. De AVG (EU) 2016/679 bepaalt in artikel 22 dat de betrokkene het recht heeft niet uitsluitend aan geautomatiseerde besluitvorming te worden onderworpen wanneer die hem in aanmerkelijke mate treft. Dat dwingt tot modellen en processen die uitlegbaar zijn — niet alleen technisch, maar in taal die een klant en een toezichthouder begrijpen. Tegelijk moet worden voorkomen dat schijnbaar neutrale variabelen (postcode, type telefoon, betaalgedrag) als proxy voor beschermde kenmerken indirect discrimineren. Het toetsen op deze proxy-discriminatie is zowel een juridische als een data-science-opgave, en raakt direct aan de eisen rond privacywetgeving, AVG en GDPR.

Governance, uitbesteding en modelrisico

Toezichthouders verwachten aantoonbare governance over de hele levenscyclus van een model: ontwikkeling, validatie, ingebruikname, monitoring en exit. Wordt een model of dataset extern ingekocht of in de cloud gedraaid, dan gelden bovendien strenge eisen aan uitbesteding en aan de digitale weerbaarheid van die keten. De contracten met model-vendors en cloudleveranciers moeten die eisen weerspiegelen, inclusief audit-, exit- en aansprakelijkheidsbedingen. Wie data op grote schaal verwerkt, krijgt daarbij ook te maken met de kaders rond big-data-wetgeving.

Algoritmische handel en marktintegriteit

Bij algoritmische handel en hoogfrequente handel verschuift het toezicht van de individuele transactie naar het systeem dat de orders genereert. MiFID II stelt eisen aan de testomgeving, de kill-switches en de governance van handelsalgoritmes; zelflerende componenten daarbovenop maken de verantwoording complexer, omdat het gedrag van het systeem niet volledig vooraf vaststaat. Marktmanipulatie hoeft bovendien niet opzettelijk te zijn: een model dat onbedoeld patronen creëert die als spoofing of layering kwalificeren, levert toch een handhavingsrisico op. De rode draad door al deze toepassingen is aantoonbaarheid — toezichthouders accepteren steeds minder dat een uitkomst "uit het model" komt zonder dat de instelling kan laten zien hoe die tot stand kwam.

Het regelgevend kader

De Europese AI-regels werken in het bankwezen naast bestaand financieel toezichtrecht en gegevensbescherming. De belangrijkste instrumenten:

De motiveringsplicht is hard verankerd. De AVG bepaalt in artikel 22 dat een betrokkene recht heeft op menselijke tussenkomst, op het uiten van zijn standpunt en op het aanvechten van een geautomatiseerd besluit. De toezichthouders verwachten dat deze kaders niet als losse eilanden worden afgevinkt, maar in één samenhangend AI-governancekader samenkomen — een aanpak die wij ook voor andere sectoren ontwikkelen.

Veelgestelde vragen

Valt elk bankmodel onder de hoog-risico-eisen van de AI Act?

Nee. Kredietwaardigheidsbeoordeling van particulieren en levens- of ziektekostenrisico-inschatting zijn uitdrukkelijk hoog-risico; veel andere toepassingen, zoals interne efficiencymodellen, vallen in een lichtere categorie. Een inventarisatie en classificatie geeft per systeem uitsluitsel.

Hoe verhoudt de AI Act zich tot DORA en de AVG?

Zij gelden naast elkaar en overlappen deels op documentatie, governance en uitbesteding. Eén geïntegreerd kader voorkomt dubbel werk en tegenstrijdige eisen, en maakt de verantwoording richting DNB, ECB en AFM eenduidig.

Moeten wij een geautomatiseerde kredietafwijzing kunnen uitleggen?

Ja. De AVG geeft de betrokkene recht op betekenisvolle informatie over de logica en op menselijke tussenkomst. Uitlegbaarheid is daarmee een ontwerpvereiste, niet een optie achteraf.

Staat uw instelling voor een hoog-risicoclassificatie van kredietscoring, een uitlegbaarheidsvraag of een modelrisicodossier richting DNB, ECB en AFM? De gespecialiseerde juristen van AIRecht adviseren ondernemingen, overheden en instellingen wetenschappelijk onderbouwd en praktisch toepasbaar; leg uw vraagstuk voor via onze contactpagina in Amsterdam.

Zie ook: AI in de verzekeringssector · big-data-wetgeving · ethiek en grondrechten