Naar hoofdinhoud
Handhaving AI-verordening: vanaf 2 augustus 2026 regel het op tijd voor je team →
AIAI-geletterdheidstraining
InloggenRegel het voor je team →
Regel het voor je team →Of begin zelf gratis
TrainingenAI-beleidKennisbankVoor werkgeversDe AI-wetCertificaatInloggen
Gratis template · AI-gebruiksbeleid

AI-gebruiksbeleid voor de financiële dienstverlening

Dit AI-gebruiksbeleid beschrijft hoe medewerkers binnen onze financiële dienstverlening verantwoord met AI omgaan. Het gaat om bankmedewerkers, verzekeringsadviseurs en collega's in de klantenservice en backoffice. Juist in deze sector, waar AI meebeslist over iemands lening, hypotheek of verzekering, vraagt de wet dat we precies weten wat we doen en dit beleid helpt ons voldoen aan de AI-verordening, de AVG, de Wwft en het toezicht van DNB en AFM.

Versie 1.0 · Juni 2026 · Aanpasbaar voorbeeld, geen juridisch advies. Vervang [organisatie] en [datum] door je eigen gegevens.

1. Doel en reikwijdte

Dit AI-gebruiksbeleid beschrijft hoe medewerkers van [organisatie] verantwoord, veilig en wettelijk omgaan met kunstmatige intelligentie (AI). Het beleid helpt [organisatie] te voldoen aan artikel 4 van de EU AI-verordening (de AI-geletterdheidsplicht) en aan de Algemene verordening gegevensbescherming (AVG).

Het beleid geldt voor iedereen die namens de organisatie met AI werkt: vaste medewerkers, tijdelijke krachten, stagiairs en ingehuurde externen. Het gaat over alle AI-systemen die in het werk worden gebruikt, of die nu zelf zijn aangeschaft, in bestaande software zitten of gratis online beschikbaar zijn (zoals algemene chatbots).

2. Definities

Om misverstanden te voorkomen, gebruiken we de volgende begrippen:

  • AI-systeem: software die op basis van data zelfstandig uitkomsten genereert, zoals tekst, beeld, voorspellingen, classificaties of aanbevelingen.
  • Generatieve AI: AI die nieuwe inhoud maakt, zoals tekst (ChatGPT, Copilot, Gemini), beeld of code.
  • Hallucinatie: een AI-uitkomst die overtuigend klinkt maar feitelijk onjuist of verzonnen is (bijvoorbeeld een niet-bestaande bron of een verkeerd getal).
  • Persoonsgegevens: alle gegevens over een herkenbaar persoon (naam, e-mail, klant- of patiëntgegevens, beeld, locatie).
  • Hoog-risico AI: AI-toepassingen die volgens de AI-verordening extra eisen kennen omdat ze mensen of hun rechten direct kunnen raken.
  • Schaduw-AI: AI-tools die medewerkers gebruiken zonder dat de organisatie ze heeft goedgekeurd.

3. Uitgangspunten

Bij alles wat we met AI doen, gelden deze vijf uitgangspunten:

  • Mens beslist. AI is een hulpmiddel; een medewerker controleert de uitkomst en neemt de eindbeslissing.
  • Veilig met gegevens. We delen geen vertrouwelijke of persoonsgegevens met AI-tools die daarvoor niet zijn goedgekeurd.
  • Eerlijk en transparant. Klanten, burgers of betrokkenen weten wanneer zij met AI te maken hebben.
  • Aantoonbaar bekwaam. Iedereen die met AI werkt, is voldoende AI-geletterd (artikel 4 AI-verordening).
  • Verantwoord en uitlegbaar. We kunnen uitleggen hoe een uitkomst tot stand kwam en waarom we erop vertrouwen.

4. Wat mag wel

  • Gebruik alleen door het bedrijf goedgekeurde en afgeschermde AI-tools voor klant- en dossiergegevens.
  • Laat een bevoegde medewerker elk krediet-, acceptatie- of adviesbesluit beoordelen; AI ondersteunt, maar beslist niet alleen.
  • Controleer door AI gegenereerde adviezen en dossiersamenvattingen op juistheid van bedragen, voorwaarden en feiten.
  • Zorg dat je een AI-uitkomst aan de klant kunt uitleggen, zeker bij een afwijzing van krediet of verzekering.
  • Laat een mens fraude- en witwassignalen uit AI beoordelen voordat er een melding of beslissing volgt.
  • Wees alert op mogelijke bias in modellen en meld vermoedens van oneerlijk onderscheid bij de verantwoordelijke functie.
  • Behandel klantgegevens volgens het bankgeheim en de AVG en deel ze niet buiten de beveiligde systemen.

5. Wat mag niet

  • Plak geen rekeninggegevens, transactiedata of dossierinformatie in een gratis of niet-goedgekeurde AI-tool.
  • Neem geen volledig geautomatiseerd besluit over krediet, acceptatie of afwijzing zonder menselijke tussenkomst.
  • Stuur geen door AI opgesteld advies naar een klant zonder het inhoudelijk te controleren.
  • Maak geen Wwft-melding of -beoordeling puur op basis van een AI-signaal, zonder menselijke toets.
  • Gebruik geen AI-model waarvan je de uitkomst niet aan de klant of toezichthouder kunt uitleggen.
  • Negeer geen signalen van bias of discriminatie in modellen omdat 'het systeem het zo aangeeft'.
  • Deel geen inloggegevens of toegang tot klantsystemen en AI-tools met onbevoegden.

6. Gegevens, privacy en geheimhouding

Persoons- en bedrijfsgegevens horen alleen in AI-tools die de organisatie zakelijk heeft goedgekeurd en die voldoen aan de AVG. In gratis, openbare AI-tools voer je nooit vertrouwelijke informatie in: gegevens kunnen worden bewaard en hergebruikt voor het trainen van het model.

  • Voer geen namen, klant-, patiënt- of dossiergegevens, contracten, broncode of bedrijfsgeheimen in een niet-goedgekeurde AI-tool in.
  • Anonimiseer gegevens waar mogelijk voordat je ze (in een goedgekeurde tool) gebruikt.
  • Verwerk je persoonsgegevens met AI? Zorg voor een grondslag, een verwerkersovereenkomst met de leverancier en, bij hoog risico, een DPIA (gegevensbeschermingseffectbeoordeling).
  • Twijfel je of iets mag? Vraag het de verantwoordelijke (zie Rollen) vóór je het invoert.

7. Transparantie

Mensen hebben recht om te weten wanneer zij met AI communiceren of wanneer AI een rol speelt in een uitkomst die hen raakt. We zijn hier open over.

  • Een chatbot of AI-assistent maakt duidelijk dat het geen mens is.
  • AI-gegenereerde teksten die naar buiten gaan, worden door een mens gecontroleerd en waar passend als zodanig herkenbaar gemaakt.
  • Bij beslissingen die mensen raken, kunnen we uitleggen welke rol AI speelde.

8. Menselijk toezicht en eindverantwoordelijkheid

AI levert een voorstel, geen oordeel. De medewerker beoordeelt elke AI-uitkomst kritisch op juistheid, volledigheid en redelijkheid, en blijft eindverantwoordelijk. Hoe groter de impact van een fout, hoe grondiger de controle.

  • Controleer feiten, cijfers, bronnen en wetsverwijzingen die AI noemt; ga uit van mogelijke hallucinaties.
  • Neem een AI-uitkomst nooit ongezien over in een advies, besluit, rapport of bericht aan een klant.
  • Kun je een uitkomst niet uitleggen of verantwoorden, gebruik hem dan niet.

9. Hoog-risico AI

Sommige AI-toepassingen gelden onder de AI-verordening als hoog risico, bijvoorbeeld omdat ze meebeslissen over werk, geld, gezondheid, onderwijs of rechten van mensen. Daarvoor gelden strengere eisen aan kwaliteit, toezicht, documentatie en menselijke controle. Twijfel je of een toepassing hoog risico is, behandel hem dan alsof dat zo is en overleg met de verantwoordelijke.

10. Incidenten en datalekken melden

Ging er iets mis met AI? Meld het direct, zodat we schade kunnen beperken. Een datalek kan ontstaan doordat vertrouwelijke informatie in een verkeerde tool belandt.

  • Meld een (vermoedelijk) datalek of AI-incident meteen bij de verantwoordelijke/FG (functionaris gegevensbescherming).
  • Een datalek met risico voor betrokkenen melden we binnen 72 uur bij de Autoriteit Persoonsgegevens.
  • Voorbeelden om te melden: gevoelige gegevens in een openbare chatbot geplakt, een AI-fout die naar buiten ging, of een misleidende AI-uitkomst die schade veroorzaakte.
  • Melden leidt niet tot straf; niet-melden wel. Fouten gebruiken we om te leren.

11. Toegestane tools en schaduw-AI

We werken alleen met AI-tools die de organisatie heeft goedgekeurd en die in een actueel overzicht (AI-toolregister) staan. Wil je een nieuwe tool gebruiken, vraag dan eerst goedkeuring. Zo voorkomen we schaduw-AI: ongecontroleerde tools waarmee ongemerkt gegevens kunnen weglekken.

  • Gebruik voor werk alleen goedgekeurde, zakelijke AI-tools en accounts.
  • Nieuwe tool nodig? Vraag goedkeuring aan de verantwoordelijke vóór gebruik.
  • Het AI-toolregister vermeldt per tool: doel, leverancier, soort gegevens en wie verantwoordelijk is.

12. Rollen en verantwoordelijkheden

  • Directie/bestuur: stelt dit beleid vast, stelt middelen beschikbaar en draagt eindverantwoordelijkheid.
  • AI-verantwoordelijke / aandachtsfunctionaris: beheert het toolregister, beoordeelt nieuwe tools en is aanspreekpunt bij twijfel.
  • Functionaris gegevensbescherming (FG) / privacy: bewaakt AVG, DPIA's en datalekprocedure.
  • Leidinggevenden: zorgen dat hun team het beleid kent en naleeft.
  • Medewerkers: passen het beleid toe, blijven AI-geletterd en melden incidenten.

13. AI-geletterdheid (artikel 4)

Artikel 4 van de EU AI-verordening verplicht organisaties om iedereen die met AI werkt aantoonbaar AI-geletterd te maken. De plicht geldt sinds 2 februari 2025; handhaving start vanaf 2 augustus 2026. Iedere medewerker die met AI werkt, volgt daarom een passende AI-geletterdheidstraining en houdt zijn kennis actueel. De organisatie legt vast wie de training heeft gevolgd (bijvoorbeeld met een certificaat met verificatiecode).

14. Naleving, evaluatie en ingangsdatum

Dit beleid is onderdeel van de afspraken binnen [organisatie]. Bij twijfel geldt: eerst vragen, dan doen. We evalueren dit beleid minstens één keer per jaar en passen het aan op nieuwe tools, ervaringen en regelgeving.

  • Ingangsdatum: [datum]. Vastgesteld door: [naam/functie] namens [organisatie].
  • Versie: 1.0. Eerstvolgende evaluatie: [datum + 1 jaar].

15. Sectorspecifieke risico's

⚠️ Hoog-risico AI bij krediet- en acceptatiebeslissingen
AI die meebeslist over kredietwaardigheid of de acceptatie van een verzekering geldt onder de AI-verordening vaak als hoog-risicosysteem. Daarvoor gelden strenge eisen, waaronder menselijk toezicht en de mogelijkheid om een besluit uit te leggen.
⚠️ Bias en discriminatie in modellen
Risico-, fraude- en kredietmodellen kunnen onbedoeld onderscheid maken naar bijvoorbeeld postcode, herkomst of geslacht. Dat leidt tot oneerlijke uitkomsten voor klanten en is in strijd met de AVG en het discriminatieverbod.
⚠️ Klantdata en bankgeheim in open AI-tools
Rekeninggegevens, transactiehistorie en dossierinformatie vallen onder het bankgeheim en de AVG. Wie die in een gratis chatbot plakt, schendt de zorgplicht en geeft uiterst gevoelige gegevens uit handen.
⚠️ Hallucinaties in advies en dossiersamenvattingen
AI kan bedragen, voorwaarden of feiten in een advies of dossiersamenvatting verzinnen of verkeerd weergeven. Een fout in een hypotheek- of verzekeringsadvies kan grote financiële gevolgen voor de klant hebben.
⚠️ Onvoldoende uitlegbaarheid naar de klant
Als een klant wordt afgewezen voor krediet of een verzekering, heeft hij recht op uitleg. Bij een ondoorzichtig AI-model is het moeilijk om uit te leggen waarom een besluit is genomen, wat botst met de zorgplicht en de AVG.

16. Regels en toezicht voor deze sector

AVG en geautomatiseerde besluitvorming
Persoons- en financiële gegevens van klanten mogen alleen voor het oorspronkelijke doel worden verwerkt. Bij besluiten met aanzienlijke gevolgen, zoals een kredietafwijzing, geeft de AVG de klant recht op menselijke tussenkomst en uitleg; een puur geautomatiseerd besluit is daar in beginsel niet toegestaan.
DNB- en AFM-toezicht
De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) houden toezicht op een beheerste en integere bedrijfsvoering en op de zorgplicht richting klanten. Het gebruik van AI in advies, acceptatie en risicobeheer moet beheersbaar, uitlegbaar en controleerbaar zijn.
Wwft (witwasbestrijding)
De Wet ter voorkoming van witwassen en financieren van terrorisme verplicht ons tot cliëntonderzoek en het melden van ongebruikelijke transacties. AI mag helpen bij fraude- en witwasdetectie, maar een medewerker beoordeelt en accordeert signalen; een melding of beslissing mag niet volledig aan AI worden overgelaten.
Bankgeheim en zorgplicht
Klantgegevens vallen onder geheimhouding en wij hebben een zorgplicht om in het belang van de klant te handelen. AI-uitkomsten worden altijd door een bevoegde medewerker gecontroleerd voordat ze richting de klant of in een besluit worden gebruikt.

Mail mij dit beleid + de compliance-checklist

Ontvang het volledige AI-gebruiksbeleid voor banken, verzekeraars en financieel adviseurs als bestand, plus een 7-stappen compliance-checklist voor artikel 4. Geen spam.

Voorbeelden uit de praktijk

📎 Een kredietbeoordelingsmodel wijst een klant af voor een persoonlijke lening. De klant belt en vraagt waarom.
Aanpak: De medewerker mag de afwijzing niet volledig aan het AI-model overlaten. Hij beoordeelt het dossier, legt op begrijpelijke wijze uit welke factoren meespeelden en biedt de klant de mogelijkheid van menselijke heroverweging.
📎 Een adviseur wil snel een klantdossier samenvatten en overweegt de rekeninggegevens en transactiehistorie in een gratis chatbot te plakken.
Aanpak: Dat mag niet. Deze gegevens vallen onder het bankgeheim en de AVG. De adviseur gebruikt alleen een goedgekeurde, afgeschermde AI-omgeving en controleert de samenvatting daarna op juistheid.
📎 Een AI-systeem voor witwasdetectie markeert een reeks transacties als ongebruikelijk. De backofficemedewerker overweegt direct een melding te doen.
Aanpak: De medewerker beoordeelt het signaal eerst zelf, kijkt naar de context van de klant en bepaalt op basis van de Wwft of een melding bij de FIU nodig is. AI levert het signaal, de mens neemt de beslissing.

Veelgestelde vragen over AI-beleid in banken, verzekeraars en financieel adviseurs

Mag AI zelfstandig beslissen over een kredietaanvraag of verzekeringsacceptatie?

Nee, niet volledig zelfstandig. AI die meebeslist over krediet of acceptatie geldt onder de AI-verordening vaak als hoog-risicosysteem en vraagt om menselijk toezicht. Daarnaast geeft de AVG de klant bij zulke ingrijpende besluiten recht op menselijke tussenkomst en uitleg, dus een bevoegde medewerker beoordeelt en accordeert het besluit.

Mag ik klantgegevens in een AI-tool zetten om een dossier samen te vatten?

Alleen in een door het bedrijf goedgekeurde en afgeschermde AI-omgeving. Rekeninggegevens, transactiedata en dossierinformatie vallen onder het bankgeheim en de AVG, dus ze mogen niet in een gratis of openbare chatbot. Controleer een AI-samenvatting daarna altijd op juistheid voordat je hem gebruikt.

Hoe verhoudt AI zich tot de Wwft en witwasdetectie?

AI mag helpen om ongebruikelijke transacties en fraude te signaleren, maar de Wwft vraagt om menselijke beoordeling. Een medewerker beoordeelt elk signaal en bepaalt of een melding bij de FIU nodig is; die afweging mag niet volledig aan het AI-systeem worden overgelaten.

Wat moet ik een klant kunnen uitleggen als AI bij een besluit is gebruikt?

Je moet kunnen uitleggen welke belangrijkste factoren tot het besluit hebben geleid, zeker bij een afwijzing van krediet of verzekering. Dit volgt uit de zorgplicht, het toezicht van DNB en AFM en het recht op uitleg onder de AVG. Gebruik daarom geen model waarvan je de uitkomst niet kunt verantwoorden.

Geldt de AI-verordening ook voor banken, verzekeraars en financieel adviseurs?

Ja, en in deze sector extra nadrukkelijk. De AI-geletterdheidsplicht uit artikel 4 geldt sinds 2 februari 2025 voor elke organisatie die AI gebruikt, met handhaving vanaf 2 augustus 2026. Omdat AI hier vaak meebeslist over iemands financiële situatie, zijn een helder AI-gebruiksbeleid en aantoonbare training extra belangrijk.

Een beleid is stap 1. Maak je team ook aantoonbaar AI-geletterd.

Artikel 4 vraagt niet alleen om afspraken, maar ook dat medewerkers aantoonbaar AI-geletterd zijn. Volg de training "AI voor de financiële dienstverlening" — in je eigen tempo, met certificaat.

Bekijk de training →Alle branches