Het Financieel Dagblad bracht afgelopen week een opvallend verhaal over NN Group. Het basissalaris van het bestuur steeg met 9%. De bonus van de CEO en CFO wordt nu voor een groter deel bepaald door de voortgang van de digitale strategie — het vereenvoudigen van IT-systemen en de inzet van AI. Terechte keuze. Want 42% van alle verzekeringen wordt al online afgesloten. 77% van alle klantinteractie vindt digitaal plaats. NN telt 236 actieve AI-agents die zelfstandig taken uitvoeren.
En dan komt de zin die me niet losliet.
Geen van de zeven commissarissen wordt omschreven als 'tech en cyber expert.'
Vier van de acht bestuurders hebben volgens het jaarverslag "voldoende kennis om een geïnformeerde beslissing te nemen." De rest heeft zich laten bijscholen. Maar in de Raad van Commissarissen — het orgaan dat toezicht houdt, strategie bewaakt en besluiten van het bestuur goedkeurt — ontbreekt diepgaande technologische expertise.
Dat is geen detail. Dat is een risico.
Toezicht houden op iets wat je niet begrijpt
Stel: een verzekeraar wordt voor 40% van zijn omzet afhankelijk van een nieuw financieel instrument, maar niemand in de RvC heeft ooit een balans gelezen. Ondenkbaar. En toch speelt dit zich nu af in de boardrooms van Nederland — maar dan met AI en cybersecurity.
De bonus van het bestuur hangt straks af van hoe goed ze AI inzetten. De RvC moet beoordelen of die doelstellingen zijn behaald. Maar hoe toets je de kwaliteit van een AI-strategie als je niet begrijpt hoe een large language model werkt? Hoe beoordeel je de risico's van 236 autonome AI-agents als je de principes van AI-governance niet kent?
Toezicht houden op iets wat je niet begrijpt, is geen toezicht. Het is vertrouwen op goed geluk.
Odido: de wake-up call die we niet mogen negeren
Terwijl we dit schrijven, verwerkt Odido nog steeds de gevolgen van een grootschalig datalek. Miljoenen klantgegevens gelekt. Reputatieschade die jaren duurt om te herstellen. Financiële schade die de initiële investeringsbesparing op cybersecurity in één klap tenietdoet.
Odido is geen uitzondering. Het is de norm.
In 2024 werden Nederlandse bedrijven en organisaties getroffen door honderden serieuze cyberincidenten. Ransomware-aanvallen legden ziekenhuizen plat. Phishing-campagnes haalden overheidssystemen neer. En elke keer klinkt dezelfde conclusie uit onderzoeksrapporten: de risico's waren bekend, maar de urgentie ontbrak op boardniveau.
De vraag is niet óf jouw organisatie doelwit wordt. De vraag is wanneer — en of je er klaar voor bent.
Een RvC zonder cyberexpertise is een organisatie zonder crisisradar. Je kunt niet tijdig ingrijpen op een risico dat je niet herkent.
AI Governance: het nieuwe financiële risicobeheer
Twintig jaar geleden dwong de financiële crisis ons om financiële expertise verplicht te maken in toezichthoudende organen. De Audit Committee werd de norm. CFO's werden kritischer getoetst. Risicomanagement kreeg een vaste plek aan de bestuurstafel.
We staan nu aan de vooravond van een vergelijkbare verschuiving — maar dan voor technologie.
AI is geen IT-project meer. Het is bedrijfsinfrastructuur. Het raakt klantcommunicatie, schadeafhandeling, acceptatiebeleid, fraude-detectie, en pricing. Bij NN al op grote schaal. In de markt zien we dezelfde beweging: van traditionele funnels naar AI-gestuurde distributie, van call centers naar chat en WhatsApp met AI bots als primaire klantkanalen.
En met die verschuiving komen nieuwe risico's die anders zijn dan wat commissarissen van oudsher kennen:
Algoritmische bias. AI-modellen kunnen systematisch bepaalde klantgroepen benadelen — niet door kwade wil, maar door de data waarop ze zijn getraind. Wie in de RvC bewaakt dit?
Model drift. Een AI-model dat vandaag goed presteert, kan over zes maanden onbetrouwbare beslissingen nemen zonder dat iemand het merkt. Wie stelt de juiste vragen aan het bestuur?
Autonome besluitvorming. NN heeft 236 AI-agents die zelfstandig taken uitvoeren. Wie is verantwoordelijk als een autonome agent een fout maakt met grote financiële of juridische gevolgen?
Datalekken door AI-integraties. Elke API- of MCP-koppeling, elke external tool die een AI-agent aanroept, is een mogelijk lek. De aanvalsoppervlakte groeit exponentieel.
Dit zijn geen hypothetische risico's. Dit zijn operationele risico's van vandaag.
De kloof tussen ambitie en governance
Er is een gevaarlijke kloof aan het ontstaan in Nederlandse boardrooms.
Aan de ene kant: bestuursambities die gericht zijn op digitale transformatie, AI-adoptie en datagedreven werken. Bonussen die hieraan worden gekoppeld. Investeringsprogramma's van honderden miljoenen euro's — zoals NN's €450 miljoen voor AI en automatisering.
Aan de andere kant: raden van commissarissen die zijn samengesteld op basis van criteria die passen bij de bedrijfsvoering van tien jaar geleden. Financiële expertise. Juridische kennis. Sectorervaring. Netwerk. Allemaal waardevol. Maar onvolledig voor de wereld van nu.
Het resultaat? Bestuursbesluiten over AI-strategie, cloud-migratie en cybersecurity worden goedgekeurd door mensen die de diepere implicaties niet kunnen doorgronden. Niet omdat ze niet slim zijn. Maar omdat de kennis er niet is.
Dat is geen verwijt. Dat is een systeemfout.
Meer dan bijscholing: structurele verankering
"We laten ons bijscholen," zei NN in het jaarverslag over commissarissen zonder formele tech-achtergrond.
Bijscholing is mooi. Maar het is niet genoeg.
Er is een verschil tussen een commissaris die een dag training heeft gehad over AI en een commissaris die tien jaar ervaring heeft met het bouwen, schalen en beveiligen van technologische platforms. Het eerste geeft bewustwording. Het tweede geeft oordeelsvermogen.
Wat we nodig hebben is niet meer cursussen. We hebben structurele verankering nodig van technologische expertise (opent in nieuw venster) in toezichthoudende organen. Concreet:
1. Verplichte tech-expertise in de RvC. Net zoals een Audit Committee financiële expertise (opent in nieuw venster) vereist, moet een Technology & AI Committee worden ingesteld met ten minste één commissaris met bewezen achtergrond in AI, data of cybersecurity.
2. Een onafhankelijke CISO-stem op boardniveau. Cybersecurity moet niet alleen leven bij de CTO. Het risicoprofiel van een datalek of een AI-incident is groot genoeg om directe rapportagelijnen naar de RvC te rechtvaardigen.
3. Periodieke AI-audits als toezichtsinstrument. Zoals financiële audits de standaard zijn, moeten AI-audits — het toetsen van modelgedrag, datakwaliteit, bias en veiligheid — een vaste plek krijgen in de governance-cyclus.
4. Diversiteit in technologische achtergronden. Niet alleen Big Tech-veteranen. Ook ethici die AI-governance begrijpen. Data privacy-experts. Mensen die de mens achter de technologie zien.
De toekomst staat al voor de deur
In de markt zien we het dagelijks. De verschuiving van telefoon naar chat is al gaande. WhatsApp wordt een volwaardig servicekanaal. AI-assistenten beantwoorden vragen die een jaar geleden nog naar een medewerker gingen. En we staan pas aan het begin.
De volgende golf is distributie via AI. Niet via een website. Niet via een app. Maar via de AI-assistent die de klant al dagelijks gebruikt. De verzekering die wordt afgesloten in een gesprek met een AI, via een MCP-server die real-time producten vergelijkt en adviseert. Dat is geen science fiction. Dat is de infrastructuur die nu wordt gebouwd.
En in die wereld is de kwaliteit van je AI-governance geen HR-vraagstuk. Het is een overlevingsvraagstuk.
Organisaties die toezicht houden op hun AI-strategie met commissarissen die de technologie begrijpen, zullen sneller bijsturen, minder fouten maken en meer vertrouwen opbouwen bij klanten, toezichthouders en investeerders.
Organisaties die dat niet doen, lopen blind een complexer wordende wereld in — met alle risico's van dien.
De Oproep
Beste presidenten-commissaris, beste aandeelhouders, beste nominatiecommissies van Nederland:
De volgende keer dat u een vacature invult in uw Raad van Commissarissen, stel uzelf dan één vraag:
Heeft deze kandidaat de kennis om toezicht te houden (opent in nieuw venster) op een organisatie waarvan de toekomst afhankelijk is van AI, data en digitale veiligheid?
Als het antwoord nee is, vult u een stoel. Geen toezichthouder.
De tijd van bijscholing als alibi is voorbij. AI en cybersecurity zijn geen zijvakken meer. Ze zijn de kern van het bedrijfsmodel. Het toezicht moet daarin meegroeien — of de kosten worden betaald door klanten, medewerkers en aandeelhouders die dat toezicht verdienden.
NN heeft de ambitie om voorop te lopen in digitale transformatie. Dat verdient respect.