Wat lost een duidelijke taakverdeling tussen AFM en DNB op voor AI in de financiële sector?

Een duidelijke taakverdeling voorkomt dubbel toezicht en onnodige administratieve lasten: financiële instellingen weten bij wie ze terecht kunnen. Maar het lost niet op of een AI-toepassing inhoudelijk deugt. De vragen die een livegang vertragen, gaan over de werking van het systeem — niet over de bevoegdheid van de toezichthouder.

Waarom past het Twin Peaks-model niet perfect op AI?

Het Twin Peaks-model scheidt prudentieel toezicht (financiële gezondheid, DNB) van gedragstoezicht (klantbehandeling, AFM). Bij AI-toepassingen zoals premiemodellen raken beide domeinen tegelijkertijd aan hetzelfde technische systeem, waardoor de scheidslijn lastiger te trekken is dan bij klassieke financiële producten.

Wat is het echte obstakel voor AI-implementatie in de verzekeringssector?

Kennisgebrek op drie niveaus tegelijk: de toezichthouder geeft zelf aan zijn AI-expertise te moeten uitbreiden, bestuurders missen vaak technische kennis om AI-strategieën te beoordelen, en op de werkvloer stellen medewerkers goede vragen die ze zelf niet kunnen beantwoorden. Zonder AI-geletterdheid op alle lagen blijft voorzichtigheid de standaard.

AI-toezicht verzekeraars: taakverdeling is je probleem niet

TL;DR

Taakverdeling terecht gevraagd, maar niet het kernprobleem. Het Verbond van Verzekeraars heeft groot gelijk dat dubbel toezicht door AFM én DNB onwenselijk is. Maar zelfs met een glashelder convenant gaat het verhaal van de ondernemer wiens AI-toepassing niet live gaat, zich gewoon opnieuw afspelen.
Kennistekort op drie niveaus tegelijk. Toezichthouder, bestuur en werkvloer kennen hetzelfde tekort: het vermogen om te beoordelen wat een AI-systeem werkelijk doet. De toezichthouders schrijven dit zelf op in hun gezamenlijke rapport.
Twin Peaks is ontworpen voor geld, niet voor modellen. Een AI-model dat premies bepaalt raakt tegelijk bedrijfsvoering (DNB) en klantbehandeling (AFM). Die scheidslijn is bij AI lastiger te trekken dan bij klassieke financiële producten.
Regels vertellen je bij wie je moet zijn, niet of je AI deugt. Een duidelijke taakverdeling neemt verwarring over bevoegdheden weg — niet de vraag of het model klopt of eerlijk is.
AI-geletterdheid is verplicht, maar nog schaars. Meer dan 90% van de organisaties verwacht meer AI-gebruik; de meeste missen richtlijnen. De EU-verplichting op grond van artikel 4 van de AI-verordening wordt per 2 augustus 2026 gehandhaafd.

Een bevriende ondernemer belde me vorige week, dolblij. Zijn nieuwe AI-toepassing stond klaar om live te gaan. Drie weken later stond het ding er nog steeds, want livegaan lukte maar niet. Niet omdat de techniek haperde, maar omdat de mensen die erover moesten beslissen eindeloos veel vragen bleven stellen. Bijna geen enkele vraag ging over de techniek zelf. Ze konden simpelweg niet inschatten wat het zou doen met hun proces, hun klanten en hun cijfers.

Dat verhaal bleef hangen, juist deze week. Het Verbond van Verzekeraars vroeg om een duidelijkere taakverdeling tussen AFM en DNB bij het toezicht op AI. De hele sector knikte dat hier eindelijk iemand om duidelijkheid vraagt. Ik denk dat die vraag terecht is. Maar ik denk ook dat hij naar de verkeerde plek wijst.

Wat het Verbond precies vraagt

Even de feiten, want die zijn nuchterder dan de kop suggereert. In een reactie op de consultatie van de Uitvoeringswet AI-verordening vraagt het Verbond van Verzekeraars om helderheid over wie wat doet: DNB op de bedrijfsvoering, AFM op gedrag en product. Het voorstel is om aan te sluiten bij het bestaande Twin Peaks-model en bij onduidelijkheid terug te vallen op het samenwerkingsconvenant dat beide toezichthouders al hebben. De zorg erachter is dubbel toezicht en extra administratieve lasten. Je kunt het nalezen bij InFinance (opent in nieuw venster) en Risk & Business (opent in nieuw venster).

Dit is een redelijk verzoek. Twee toezichthouders die langs elkaar heen dezelfde vragen stellen, dat wil niemand, en in een sector die toch al onder een berg compliance ligt is elke dubbeling er een te veel. Ik ga hier dus niet betogen dat het Verbond ongelijk heeft.

Ik wil iets anders laten zien. Namelijk dat zelfs als AFM en DNB morgen een glashelder convenant publiceren waarin tot achter de komma staat wie waarover gaat, het verhaal van mijn bevriende ondernemer zich gewoon opnieuw afspeelt. De taakverdeling tussen toezichthouders is een echt probleem. Het is alleen niet het probleem dat AI-toepassingen tegenhoudt.

De kloof zit op drie plekken tegelijk

Wat me opvalt als ik de discussie volg, is dat bijna iedereen naar boven wijst. De sector wijst naar de toezichthouder: geef ons duidelijkheid. Maar als je goed kijkt, zie je dat hetzelfde tekort op drie niveaus tegelijk speelt, en dat alle drie de niveaus naar een ander wijzen.

Begin bij de toezichthouder zelf. AFM en DNB schrijven in hun gezamenlijke rapport over AI in de financiële sector (opent in nieuw venster) zwart op wit dat ze hun eigen kennis op dit terrein moeten uitbreiden en in bepaalde gevallen hun toezichtmethoden moeten ontwikkelen of aanpassen om AI te kunnen beoordelen. Dat is een opmerkelijk eerlijke zin. De partij die toezicht moet houden, geeft aan dat ze nog aan het leren is hoe dat moet. Dat is geen verwijt, het is logisch bij een technologie die elke maand verandert. Maar het betekent wel iets voor de aanname dat duidelijkheid van bovenaf komt.

Ga een laag lager, naar de bestuurskamer. Ik schreef eerder over de blinde vlek in de boardroom: raden van commissarissen die toezicht moeten houden op AI-strategieën zonder dat er iemand aan tafel zit die de technologie echt begrijpt. Een commissaris kan een jaarrekening lezen en een overnamevoorstel beoordelen. Maar de vraag of een model systematisch bepaalde klanten benadeelt, of hoe je uitlegbaarheid van een AI-beslissing aantoont, valt buiten het repertoire waarmee de meeste bestuurders zijn opgegroeid. Diezelfde kloof die de toezichthouder bij zichzelf benoemt, zit dus ook een verdieping hoger.

En dan de werkvloer, waar mijn bevriende ondernemer vastliep. Daar staat de toepassing klaar en moet iemand op een knop drukken. Die iemand stelt geen domme vragen. Het zijn precies de goede vragen, gesteld door mensen die niet de kennis hebben om de antwoorden zelf te wegen. Wat doet dit model als er straks andere data binnenkomt? Wie is er aansprakelijk als het misgaat? Hoe weet ik dat het geen onzin produceert op het moment dat het ertoe doet? Stuk voor stuk terecht. En stuk voor stuk onbeantwoordbaar voor iemand die de techniek niet kan inschatten.

Drie lagen. Toezichthouder, bestuur, uitvoering. Op alle drie ontbreekt hetzelfde: het vermogen om te beoordelen wat een AI-toepassing werkelijk doet. Dat is geen toezichtprobleem. Dat is een kennisprobleem.

Wat een duidelijke taakverdeling wél en niet oplost

Laten we het gedachte-experiment afmaken. Stel, de Uitvoeringswet wordt aangenomen met een kraakheldere taakverdeling. DNB doet modelrisico en bedrijfsvoering, AFM doet gedrag en uitlegbaarheid richting de klant, en bij twijfel pakken ze het convenant erbij. Mooi. Wat verandert er dan op de dag dat mijn bevriende ondernemer wil livegaan?

Niets aan de kern. De vragen die zijn livegang tegenhielden, gingen niet over welke toezichthouder bevoegd is. Ze gingen over of het ding deugt. Een duidelijke taakverdeling vertelt je bij wie je moet zijn. Het vertelt je niet of je toepassing klopt. Dat onderscheid wordt in de hele discussie door elkaar gehaald, en daar zit volgens mij de denkfout.

Sterker nog, het DNB-onderzoek onder verzekeraars (opent in nieuw venster) laat zien dat het gebruik van AI toeneemt, dat iets meer dan zeventig procent van de verzekeraars de zes AI-principes van EIOPA meeneemt in de governance, maar dat de inbedding daarvan nog in ontwikkeling is. Principes kennen is iets anders dan ze kunnen toepassen op een concreet model. En veel instellingen geven aan voorlopig terughoudend te zijn met generatieve AI. Die terughoudendheid komt niet voort uit onduidelijkheid over de toezichtstructuur. Ze komt voort uit het feit dat je geen knopen durft door te hakken over iets wat je niet helemaal doorgrondt.

Dat is geen onwil. Dat is verstandig gedrag bij gebrek aan kennis. Wie de impact van iets niet kan inschatten, hoort voorzichtig te zijn. Het probleem is alleen dat die voorzichtigheid permanent wordt als de kennis nooit groeit, en dat is precies wat er nu gebeurt.

Twin Peaks is gebouwd voor geld, niet voor modellen

Er zit nog een addertje onder het Twin Peaks-voorstel, en het verklaart waarom volledige duidelijkheid sowieso een illusie is. Het model van de Wet op het financieel toezicht (opent in nieuw venster) scheidt prudentieel toezicht (DNB, is de instelling financieel gezond) van gedragstoezicht (AFM, wordt de klant netjes behandeld). Die scheiding werkt prima voor klassieke financiële risico's. Een solvabiliteitsvraag is iets anders dan een vraag over een misleidende productvoorwaarde.

Bij AI lijkt die scheidslijn me lastiger te trekken. Neem een model dat premies bepaalt. Voor mijn gevoel raakt zoiets de financiële soliditeit van de verzekeraar (modelrisico, het terrein van DNB) en de behandeling van de klant (uitlegbaarheid en eerlijkheid, het terrein van AFM) op hetzelfde moment. Ik ben geen jurist en de praktijk zal moeten uitwijzen hoe vaak die overlap echt knelt. Maar het is op zijn minst denkbaar dat je één stuk techniek niet altijd schoon over twee toezichtdomeinen kunt verdelen.

Als dat klopt, pleit het nog steeds niet tegen het Verbond-voorstel. Twin Peaks als afsprakenkader is beter dan geen kader. Het zou alleen betekenen dat een taakverdeling waarin nooit overlap zit, bij AI moeilijk haalbaar is, en dat er dus een grijze zone blijft waarin je zelf moet kunnen beoordelen wat er speelt in plaats van het op te zoeken in een convenant.

Waarom dit blijft hangen aan kennis, niet aan regels

Ik snap waarom de toezichtdiscussie zo aantrekkelijk is. Ze is concreet, ze is extern, en ze geeft een helder adres voor de frustratie. Als de regels maar duidelijk zijn, dan kunnen we eindelijk door. Het is een comfortabel verhaal, want het legt de bal bij een ander.

Het ongemakkelijke alternatief is dat de bal bij onszelf ligt. Dat de reden waarom AI-projecten in de sector blijven hangen, niet zozeer de regelgever is, maar het feit dat te weinig mensen, op te weinig niveaus, kunnen inschatten wat AI doet. Dat is een veel lastiger probleem, want je lost het niet op met een wet. Je lost het op met kennis, en kennis opbouwen kost tijd en moeite en de bereidheid om toe te geven dat je het nog niet weet.

Buiten de financiële sector zie je hetzelfde patroon. Uit het AI-trendonderzoek van Berenschot en Waag (opent in nieuw venster) onder vijfhonderd respondenten blijkt dat het merendeel van de organisaties richtlijnen voor verantwoord AI-gebruik mist, terwijl meer dan negentig procent verwacht dat het gebruik de komende jaren toeneemt. De kloof tussen gebruiken en begrijpen is breed, en hij zit overal. Dat is ook precies waarom de Europese wetgever er een AI-geletterdheidsplicht (opent in nieuw venster) in heeft gezet die per 2 augustus 2026 gehandhaafd wordt. Niet omdat Brussel van regeltjes houdt, maar omdat zonder basiskennis alle andere eisen in het luchtledige hangen.

De toezichthouders weten dit zelf het beste. Ze schrijven het op. Ze geven aan dat ze hun kennis moeten bijbouwen, ze doen sectorbrede uitvragen om te begrijpen wat er gebeurt, en ze houden in 2026 opnieuw vinger aan de pols. De partij die je zou aanwijzen als de bron van duidelijkheid, is zelf nog volop aan het leren. Dat is geen kritiek. Dat is de realiteit van een technologie die sneller beweegt dan welke toezichtstructuur ook kan bijbenen.

De vraag die ik miste in het debat

Dus ja, geef AFM en DNB een heldere taakverdeling. Het scheelt lasten, het voorkomt dubbel werk, en het Verbond heeft groot gelijk om erom te vragen. Doe het.

Maar verwacht er niet van dat het je AI-project vlot trekt. De ondernemer die mij vorige week belde, had niets gehad aan een convenant tussen twee toezichthouders. Wat hij nodig had, en wat zijn mensen nodig hadden, was het vermogen om zelf te beoordelen of dat ding deugde. Dat vermogen koop je niet bij de regelgever. Dat bouw je zelf, in je eigen organisatie, één vraag tegelijk.

De vraag die ik deze week zo weinig hoorde, is niet wie er toezicht houdt op AI. Het is of we zelf eigenlijk wel kunnen beoordelen wat AI doet. Zolang die vraag onbeantwoord blijft, blijft elke toepassing staan waar die van mijn bevriende ondernemer staat. Klaar om live te gaan, en wachtend op kennis die er nog niet is.

Bronnen

Het Verbond pleit voor een duidelijkere taakverdeling tussen AFM en DNB (opent in nieuw venster) — InFinance
Detail over Twin Peaks, samenwerkingsconvenant en Wft-geheimhouding (opent in nieuw venster) — Risk & Business
AFM en DNB geven zelf aan hun AI-kennis te moeten uitbreiden (opent in nieuw venster) — De Nederlandsche Bank
DNB-onderzoek: AI-gebruik neemt toe, governance-inbedding nog in ontwikkeling (opent in nieuw venster) — De Nederlandsche Bank
Uitleg van het Twin Peaks-model door DNB (opent in nieuw venster) — De Nederlandsche Bank
Berenschot en Waag: het merendeel van de organisaties mist richtlijnen voor verantwoord AI-gebruik (opent in nieuw venster) — Berenschot