Ga naar inhoud
AI & Governance · 12 juli 2026 · 9 min leestijd

De vergeten stoel:
waarom AI-toezicht in de RvC ontbreekt

Op het VIP-congres hoorde ik dat AI in de business hoort en niet bij IT. Alleen: zolang niemand op RvC-niveau daar toezicht op kan houden, is dat maar de helft van het verhaal.

Illustratie bij artikel: De vergeten stoel: waarom AI-toezicht in de RvC ontbreekt

Op het VIP-congres hoorde ik van de week dat AI in de business hoort en niet bij IT. Alleen: zolang niemand op RvC-niveau daar toezicht op kan houden, is dat maar de helft van het verhaal.

TL;DR

  • AI moet op twee plekken tegelijk geregeld zijn. Binnen de directie én in de Raad van Commissarissen, niet op een van beide.
  • De discussie over de juiste C-stoel is legitiem. Een CCO, een COO of een Chief AI Officer, maar het toezicht daarop blijft onbesproken.
  • De Code 2025 en de EU AI Act eisen het al. Digitale deskundigheid en AI-geletterdheid op toezichtsniveau, met persoonlijke aansprakelijkheid als het faalt.
  • Bijna geen Nederlandse raad heeft de kennis in huis. We herhalen het cyber-scenario, alleen nu tien keer sneller.

Van de week zat ik in het AFAS Theater in Leusden bij het VIP-congres, het jaarlijkse podium voor de verzekerings- en hypothekenwereld. Thema van deze lustrumeditie: re:Invent. In een kennissessie van PwC sprak Martin Holm, director en digital change agent op C-level in de verzekeringssector.

Op een gegeven moment zei hij het gewoon hardop. AI hoort in de business. Niet bij IT.

Wat hij bedoelde is dat AI-eigenaarschap niet bij de CIO thuishoort. Een CCO, een COO of een nieuwe Chief AI Officer ligt logischer. Alleen: als AI binnen de C-suite van stoel wisselt, wie houdt daar dan op RvC-niveau toezicht op? Die vraag hoorde ik niemand stellen.

Het bord van de CIO was tien jaar geleden al vol

Even eerlijk over de rol waar we het steeds naartoe schuiven, of juist van weg schuiven. Wat staat er nu al op het bordje van een gemiddelde CIO in de verzekerings- en financiële sector?

Legacy-systemen en technical debt: kernsystemen die de organisatie ademend houden en die je tegelijk gecontroleerd moet uitfaseren zonder de winkel plat te leggen. Cloudstrategie en FinOps: migraties regisseren en de uit de bocht vliegende cloudkosten in bedwang houden. Vendor management met de techreuzen Microsoft, AWS en Google, plus een woud aan SaaS-leveranciers met complexe SLA's en vendor lock-in als sluipmoordenaar. Business continuity en disaster recovery: zorgen dat je binnen minimale tijd operationeel bent na een storing, uitval of grote calamiteit.

Cybersecurity is de afgelopen tien jaar exponentieel groter geworden binnen zijn eigen kader. Waar dat vroeger een deelverantwoordelijkheid van IT was, vraagt het inmiddels een eigen inrichting met een CISO, een SOC en incident response. Datamanagement idem: data governance, datakwaliteit, ontsluiting en integriteit zijn niet langer sluitposten maar een programma op zichzelf, met eigen KPI's en eigen governance.

En dan de compliance-stapel die specifiek voor onze sector geldt. DORA voor de operationele digitale weerbaarheid van financiële instellingen. De AVG voor persoonsgegevens. De European Accessibility Act voor de toegankelijkheid van digitale diensten. Certificeringen als ISO 27001, ISAE 3402 en SOC 2, jaar in jaar uit, met de bijbehorende documentatiemarathon en externe audits. Shadow IT detecteren en reguleren wat afdelingen buiten IT om aanschaffen. IT service management, incidentmanagement, on- en offboarding met apparatuur en toegangsrechten. Netwerkarchitectuur met zero-trust voor hybride werken. Talentmanagement in een markt waar cloud-architecten en security-engineers goud zijn. En dan nog ERP en CRM eindeloos doorontwikkelen, want daar draait de dagelijkse operatie op.

En dan zou die CIO er ook nog even AI bij moeten doen. Met agentic workflows, EU AI Act-compliance, model governance, hallucinatie-mitigatie en de vraag hoe je business units laat experimenteren zonder je dataveiligheid op te blazen. En vergeet de provider- en modelkeuze met de bijbehorende tokenprijzen niet.

Iedereen die dit leest weet: dat gaat niet. Niet omdat de CIO niet capabel is, maar omdat het niet past. De CIO wordt bovendien afgerekend op stabiliteit, continuïteit en compliance. Dat is een fundamenteel andere mindset dan AI-innovatie, waar je juist snel wilt itereren, PoC's wilt laten mislukken en oude processen wilt openbreken. Holm heeft op dat punt gewoon gelijk. AI-eigenaarschap hoort daar niet.

De Chief AI Officer: nieuw en dus onwennig, maar wel de logische plek

Als AI-eigenaarschap niet bij de CIO thuishoort, waar dan wel? Een CCO of COO zou kunnen, en in sommige organisaties werkt dat prima omdat AI daar dicht op de klant of de operatie zit. Maar in organisaties waar AI structureel raakt aan strategie, product, klantcontact en governance tegelijk, ligt een aparte Chief AI Officer voor de hand. Dedicated aandacht, geen conflict of interest tussen efficiency-KPI's en innovatie-KPI's, en een profiel dat specifiek is toegesneden op deze technologietransitie.

Ja, ik weet het: dan komt onvermijdelijk het General Motors-verhaal ter tafel. GM stelde in maart 2025 zijn eerste Chief AI Officer aan, Barak Turovsky, met ervaring bij PayPal, Microsoft, Google en Cisco. Precies het profiel dat je op papier wilt. Acht maanden later stapte hij op en werd het AI-team ondergebracht bij Manufacturing Engineering. Voor sceptici is dat het bewijs dat de rol niet werkt. Voor mij is het het eerlijke verhaal over uitkristallisatie.

Elke nieuwe C-rol heeft die fase gehad. De eerste CIO's twintig jaar terug hadden precies deze zoektocht: waar in de organisatie hoor ik, wat is mijn scope, aan wie rapporteer ik? De Chief Digital Officer een decennium geleden had een vergelijkbare cyclus. CIO Dive (opent in nieuw venster) citeerde een expert die de vergelijking direct maakte: het duurt jaren voordat er een gestandaardiseerde AI-leiderschapsrol is uitgekristalliseerd. Dat is niet erg. Dat is normaal.

Wat GM ons wel laat zien is dat een CAIO niet in isolatie kan werken. Zonder mandaat, budget en heldere KPI's, en zonder dat de andere C-rollen meebewegen, wordt het een symbolische aanstelling. Dat is een leiderschapsvraagstuk, geen rol-vraagstuk. De rol is dus nog niet af, maar wel de meest passende plek zodra AI-verantwoordelijkheid dedicated aandacht nodig heeft.

En hier komt het scharnier van dit stuk. Waar in de directie AI ook belegd wordt, de RvC kan daar niet rustig op wachten. AI is geen keuze tussen "op C-level" of "in de RvC". Het is op beide plekken tegelijk nodig. Op C-level moet iemand het aansturen, in de RvC moet iemand daar toezicht op houden. Als een van beide plekken leeg blijft, is de organisatie half toegerust.

We hebben dit eerder gezien, en het ging niet snel

Wie denkt dat dit vanzelf goed komt, moet even terugkijken naar cyber. Cyber heeft binnen de directie zijn plek grotendeels gevonden. Bij de CISO onder de CIO, of zelfstandig rapporterend aan de CEO in grotere organisaties. Die kant is de afgelopen vijftien jaar ingericht. Op RvC-niveau is dat een ander verhaal.

De cijfers zijn hardnekkig. Onderzoek van WSJ Pro uit 2022 keek naar 4.621 bestuurders bij S&P 500-bedrijven en vond er 86 met cyber-ervaring in het afgelopen decennium, minder dan twee procent. Diligent en NightDragon kwamen in hun rapport uit oktober 2023 op 12 procent van de S&P 500 met een cyber-expert in de board. Andere tellingen komen op minder dan vijftien procent uit. De orde van grootte is telkens dezelfde: een kleine minderheid.

Een kwalitatieve studie in Management Science (opent in nieuw venster) van Lowry, Vance en Vance uit 2026 legt de kern bloot en gaat verder dan de cijfers. Zonder domein-expertise wordt toezicht symbolisch. Formeel klopt het, inhoudelijk is het leeg. Bestuurders zonder cyber-kennis dóen dezelfde dingen als experts, maar hun toezicht mist substantie, en ze hebben zelf vaak niet door dat het tekortschiet. In de praktijk leunen ze zwaar op de CISO die hen bijpraat, waardoor de gecontroleerde feitelijk de spelregels van het toezicht bepaalt. De CISO praat systeemtaal, de bestuurders praten juridisch en financieel, en aan het eind knikt iedereen zonder dat er echt iets is uitgewisseld.

Lijndiagram: generatieve AI bereikt 54,6 procent adoptie in 3 jaar, terwijl het internet er 5 jaar over deed en de pc 12 jaar.
Generatieve AI wordt sneller geadopteerd dan het internet of de pc. Waar het internet vijf jaar nodig had en de pc twaalf, zit AI in drie jaar al boven de vijftig procent.

De les is duidelijk. Cyber werd binnen de directie op orde gebracht, maar de RvC bleef systematisch achter. Vijftien jaar aandacht en we zitten nog altijd op een kleine minderheid. AI heeft die luxe niet. De EU AI Act is er al, de Corporate Governance Code 2025 ook, en de sector experimenteert nog volop met waar AI in de directie thuishoort. Als de RvC daar niet gelijk op meebeweegt, herhalen we het cyber-scenario in tien keer minder tijd. De adoptie van AI gaat beduidend sneller dan welke andere innovatie ook.

Wat de Code 2025 en de AI Act feitelijk al eisen

Hier komt het punt waar veel bestuurders nu nog denken: interessante discussie, maar niet urgent. Vergeet dat.

De Nederlandse Corporate Governance Code (opent in nieuw venster) werd in maart 2025 geactualiseerd door de Monitoring Commissie. Wat er scherper in staat: digitalisering en Responsible AI raken de kern van strategie en bedrijfsvoering, en zowel het bestuur als de RvC moet daar diepgaande kennis en ervaring voor in huis hebben. Een vennootschap mag kiezen of ze een specifieke digitaliseringscommissaris benoemt, maar dat ontslaat de andere commissarissen niet van nauwe betrokkenheid. In de praktische uitwerking hoort daar een inventarisatie- en toetsingsproces voor AI-toepassingen bij, inclusief bias-mitigatie. Niet meer facultatief.

Parallel daaraan: artikel 4 van de EU AI Act (opent in nieuw venster). Sinds februari 2025 van toepassing, met nationale handhaving die vanaf augustus 2026 op stoom komt. Elke organisatie die AI gebruikt moet AI-geletterdheid borgen op elk niveau, van medewerker tot bestuurder. Op RvC-niveau vertaalt zich dat naar één vraag: kunnen jullie het toezicht op AI-risico's inhoudelijk voeren?

En dan de aansprakelijkheidshoek. Een werkpaper van Stanford Law School (opent in nieuw venster) van oktober 2025 bracht dit haarfijn in kaart. De AI Act herdefinieert stilletjes de verantwoordelijkheid van bestuurders. GUBERNA (opent in nieuw venster), het Belgische bestuurdersinstituut, schrijft het onomwonden: niet-naleving kan leiden tot boetes tot 7 procent van de wereldwijde omzet of 35 miljoen euro. En bestuurders kunnen persoonlijk aansprakelijk worden gehouden als het toezicht op AI aantoonbaar tekortschiet.

De vertaling voor Nederland: RvC-leden gaan straks niet alleen moreel maar juridisch aan de bak als het toezicht op AI-beleid faalt. En dan is "ik snap er niet zoveel van, daar hebben we een chief voor" geen verdediging meer.

Voor wie het even op een rij wil hebben, de drie kaders die dit voor de RvC dwingend maken:

KaderWat het eistWanneer relevant
NL Corporate Governance Code 2025Borging van digitale deskundigheid in de RvC, plus een inventarisatie- en toetsingsproces voor AI-toepassingen inclusief bias-mitigatieVanaf boekjaar 2025, verantwoording via pas toe of leg uit
EU AI Act, artikel 4AI-geletterdheid op elk niveau van de organisatie, inclusief toezichtNationale handhaving vanaf augustus 2026
Bestuurdersaansprakelijkheid onder de AI ActBoetes tot 7 procent van de wereldwijde omzet of 35 miljoen euro, plus mogelijk persoonlijke aansprakelijkheidVanaf het moment dat handhaving in Nederland start

Wat een AI-commissaris is, en wat niet

Ik heb de afgelopen tijd een aantal gesprekken gevoerd over commissariaten en adviesrollen. Wat me opvalt: als "AI" ter sprake komt in een profielschets, denkt de zoekcommissie te vaak aan de jongste in de raad die "dat digitale gedoe" snapt, of aan een gepensioneerde CIO met een cursus. Beide missen het punt.

Een AI-commissaris is niet een techneut die de Code doorleest. Het is iemand die drie werelden kan verbinden: strategie, juridische kaders en de operationele werkelijkheid van AI. Iemand die niet de eerste vraag stelt na de CEO-update ("hebben we AI?") maar de tweede ("welke aannames zitten er in het model dat je nu inkoopt bij deze leverancier, en wie draait op voor de output?"). Iemand die begrijpt dat een RAG-architectuur, een AI-agent en een klassiek voorspelmodel drie totaal verschillende risicoprofielen hebben, en dus drie verschillende governance-vragen.

De vergelijking die volgens mij werkt: zoals de auditcommissie iemand nodig heeft met echte financiële diepgang, en de risk-commissie iemand met echt inzicht in operationeel risico, heeft de RvC straks iemand nodig met échte AI-diepgang. Niet als vinkje, maar omdat de wet dat verlangt en omdat de sector die kant al opdraait.

En ja, die mensen zijn schaars. Ik zit zelf in deze gesprekken, aan beide kanten van de tafel. Dat het schaars is, betekent niet dat je het als organisatie kunt uitstellen. Het betekent dat je nu moet beginnen te zoeken, terwijl anderen dat nog niet doen.

Terug naar de zaal

Toen ik na de sessie het theater uitliep, dacht ik nog eens na over die zin van Martin Holm. AI hoort in de business. Hij heeft gelijk dat de sector nog aan het uitzoeken is welke stoel binnen de C-suite dan wél passend is. Zelf hou ik het op de Chief AI Officer, of iets vergelijkbaars in die sfeer, omdat daar dedicated aandacht mogelijk is zonder de belangenconflicten die je bij een CIO of CCO al snel binnenhaalt.

Wat hij niet zei, en de zaal niet vroeg, is de volgende stap in de redenering. AI moet op twee plekken tegelijk geregeld zijn. Binnen de directie en in de RvC. Zolang alleen de eerste kant wordt uitgewerkt, is de organisatie half toegerust. En de wet vraagt allebei.

Zoals biometrische emotieherkenning door de EU AI Act aan banden werd gelegd terwijl tekstgebaseerde sentimentanalyse nog vrij spel heeft, verschuift het risico naar plekken waar nog geen bewuste aandacht is. Nu verschuift een deel van dat risico naar de RvC, terwijl die vaak nog dezelfde samenstelling heeft als vijf jaar geleden.

De stoel is er, op papier: in de Code, in de AI Act, in de aansprakelijkheid. Alleen is er nog niemand op gaan zitten.

Als jij morgen aan tafel zit bij een RvC-vergadering, kijk dan eens rond. Wie kan de tweede vraag over AI stellen? En als je het antwoord niet zeker weet, is dat je antwoord.

Bronnen