AI Act voor verzekeraars: wat valt eronder en wat niet?

Op 2 augustus 2026 wordt de hoofdmoot van de EU AI Act volledig van toepassing op hoog risico AI systemen. Een deel van de verordening is overigens al eerder van kracht geworden: hoofdstuk I en II (definities en de verboden AI praktijken in artikel 5) sinds 2 februari 2025, en de boete bepalingen, het governance hoofdstuk en de regels voor general purpose AI modellen sinds 2 augustus 2025. Voor verzekeraars is de relevante vraag niet of de AI Act op hen van toepassing is (dat is hij), maar welk deel van hun AI portfolio onder welk regime valt. Voor sommige use cases is dat duidelijk. Voor andere juist niet, en daar zit ook precies waar de werkdruk de komende maanden naartoe gaat.

Het kader: vier risiconiveaus en Annex III

De AI Act (Verordening (EU) 2024/1689) verdeelt AI systemen in vier risiconiveaus: onaanvaardbaar, hoog, beperkt en minimaal. Hoog risico is de categorie met veruit de meeste verplichtingen. Annex III van de verordening somt acht gebieden op waarbinnen AI-systemen onder hoog risico kunnen vallen.

Voor verzekeraars is Annex III categorie 5(c) het meest concreet. De verordening duidt deze use case aan als AI systemen voor 'risicobeoordeling en prijsstelling met betrekking tot natuurlijke personen in het geval van levens- en ziektekostenverzekeringen'. Daar bestaat geen ruimte voor discussie. Dit zijn hoog-risico systemen. Recital 58 onderbouwt dit: deze AI kan ingrijpende gevolgen hebben voor levensonderhoud, grondrechten en zelfs gezondheid van betrokkenen.

Voor letselschade, schadeverzekering en algemene claims AI ligt het ingewikkelder. Deze use cases worden in Annex III niet expliciet genoemd. Of een specifiek systeem onder hoog risico valt hangt af van wat het systeem doet, hoe ingrijpend de output voor de klant is, en hoe het in de besluitvorming wordt gebruikt. Letselschade AI komt snel in het compliance risicogebied, maar valt er niet zonder discussie altijd onder.

Twee uitzonderingen die voor verzekeraars relevant zijn. Annex III categorie 5(b) classificeert AI voor kredietwaardigheidsbeoordeling als hoog risico, maar zondert AI voor fraude detectie in financiële diensten expliciet uit. Recital 58 voegt daaraan toe dat AI systemen die door het Unierecht zijn voorgeschreven voor fraude detectie bij financiële diensten en voor de prudentiële berekening van kapitaalvereisten van kredietinstellingen en verzekeringsondernemingen, niet als hoog-risico onder deze verordening worden beschouwd.

Profilering: niet wat het lijkt

Een veelgehoorde stelling is dat profilering door AI automatisch een hoog risico classificatie oplevert. Dat klopt niet. Artikel 6(3) eerste alinea biedt juist een uitzondering voor sommige Annex III systemen die geen significant risico vormen voor de gezondheid, veiligheid of grondrechten. Lid 3 derde alinea voegt eraan toe dat een systeem dat profilering van natuurlijke personen uitvoert, niettegenstaande die uitzondering, altijd als hoog risico wordt beschouwd.

Met andere woorden: profilering maakt een systeem niet hoog-risico in zichzelf. Het sluit alleen de ontsnappingsroute af voor systemen die sowieso al onder Annex III vallen. Voor letselschade AI moet je dus eerst vaststellen of de use case onder Annex III valt. Pas daarna wordt profilering juridisch relevant.

Provider versus deployer: andere verplichtingen, andere stack

De AI Act onderscheidt twee rollen. De aanbieder ('provider') ontwikkelt het systeem of brengt het op de markt. De gebruiksverantwoordelijke ('deployer') gebruikt het in haar bedrijfsvoering. Veel verzekeraars zijn deployer, omdat ze AI inkopen via SaaS pakketten of fraud detectie leveranciers.

De zwaarste verplichtingen liggen bij de aanbieder. Artikelen 9 tot en met 15 regelen risicomanagement, datagovernance, technische documentatie, logging-architectuur, transparantie en het ontwerp van menselijk toezicht. Een verzekeraar die een systeem inkoopt hoeft deze stack niet zelf te leveren, maar moet wel kunnen aantonen dat haar leverancier dat heeft gedaan.

De gebruiksverantwoordelijke heeft eigen verplichtingen onder artikel 26: gebruik volgens instructies, menselijk toezicht door bekwame personen, controle op input-data voor zover die onder eigen controle staat, monitoring, log-bewaring (minimaal zes maanden), en informatieverstrekking aan klanten waar dat aan de orde is.

Voor verzekeraars zit hier een belangrijke nuance. Artikel 26 leden 5 en 6 bevatten een specifieke regeling voor financiële instellingen die onderworpen zijn aan governance eisen onder het Unierecht inzake financiële diensten. Voor die deployers worden de monitorings- en logbewarings verplichtingen geacht te zijn vervuld door naleving van die financiële-dienstenwetgeving. Verzekeraars onder Solvabiliteit II vallen daar in beginsel onder. Dat scheelt geen werk, maar het scheelt wel een aparte AI Act papierwinkel naast wat er al draait.

FRIA: voor wie wel en voor wie niet

Artikel 27 verplicht een Fundamental Rights Impact Assessment (FRIA) voor deployers van bepaalde hoog-risico systemen. De verplichting raakt deployers die publiekrechtelijke organen zijn of particuliere entiteiten die openbare diensten verlenen, plus deployers van systemen onder Annex III categorie 5(b) (kredietwaardigheid) en 5(c) (levens- en ziektekostenverzekeringen). Voor andere verzekerings-use cases is een FRIA niet automatisch verplicht. Of dat verandert hangt af van hoe het specifieke systeem geclassificeerd wordt.

Praktisch advies: behandel de FRIA niet als generieke compliance-stap, maar leg per systeem vast of artikel 27 raakt. Voor sommige systemen is het de moeite waard om er een uit te voeren ook als het niet wettelijk verplicht is, omdat het de eigen risicobeoordeling onderbouwt en aansluit op de DPIA-verplichting onder artikel 35 AVG.

Het overgangsregime van artikel 111

Een veelgemaakte fout in publicaties over de AI Act is aannemen dat alle bestaande AI systemen op 2 augustus 2026 in één klap onder het hoog -risico regime moeten zitten. Dat klopt niet. Artikel 111(2) regelt dat hoog-risico systemen die vóór die datum al in de handel waren gebracht of in gebruik waren gesteld, pas onder het regime vallen op het moment dat ze 'aanzienlijke wijzigingen in hun ontwerp' ondergaan na 2 augustus 2026.

Op papier biedt dat lucht. In de praktijk is dat schijn. Vrijwel elk actief onderhouden AI systeem ondergaat binnen één tot twee jaar wijzigingen die als 'aanzienlijk' kwalificeren: nieuwe trainingsdata, modelvervangingen, uitgebreide features. Wie het in kaart heeft kan plannen. Wie dat niet doet, loopt tegen het regime aan op het moment van de eerstvolgende upgrade.

Voor publieke instanties geldt overigens een hardere deadline: hun bestaande hoog risico AI moet uiterlijk 2 augustus 2030 voldoen, ook zonder ontwerpwijziging.

De boetes

Artikel 99 zet drie tiers met maxima:

•      Tot €35 miljoen of 7% van de wereldwijde jaaromzet voor verboden AI praktijken (artikel 5).

•      Tot €15 miljoen of 3% voor niet-naleving van verplichtingen voor aanbieders (artikel 16), gebruiksverantwoordelijken (artikel 26), transparantieverplichtingen (artikel 50) en enkele andere bepalingen (artikel 99 lid 4).

•      Tot €7,5 miljoen of 1% voor onjuiste of misleidende informatie aan een toezichthouder (artikel 99 lid 5).

Hoe deze maxima in de praktijk worden toegepast (per overtreding, per systeem, of cumulatief) is aan de nationale toezichthouder. In Nederland krijgt de Autoriteit Persoonsgegevens een centrale rol, in afstemming met DNB en AFM voor wat verzekeraars betreft. De toezichtspraktijk is op dit moment nog niet uitgekristalliseerd. Goed om te weten: het sanctie-hoofdstuk zelf is al sinds 2 augustus 2025 van kracht.

Wat dit doet met de leveranciersmarkt

Eind 2025 deed bijna iedereen mee aan AI-pilots. Snel bouwen, kijken wat het oplevert, daarna pas nadenken over governance. Die fase is voorbij.

Vanaf de zomer wordt de vraag bij elke aanbesteding steeds dezelfde: kun je vandaag de classificatie van dit systeem onderbouwen? Is er artikel 11 documentatie? Is bias gemeten en blijft dat gemeten worden? Past de provider deployer verdeling die jullie aanbieden bij wat de wet vraagt? Een leverancier die deze vragen niet binnen een dag kan beantwoorden gaat van de shortlist. Compliance-teams zijn er nu al mee bezig. De inkoop volgt kort daarna.

Waar DCSolutions staat

DCSolutions bouwt platformen voor verzekeraars met uitlegbaarheid en menselijke besluitvorming als uitgangspunt. Concreet:

•      Elke geautomatiseerde stap heeft een gedocumenteerd doel, ingangsdata en grenzen.

•      Beslissingen worden gelogd op een niveau dat aansluit bij wat artikel 12 vraagt aan provider zijde, zodat de verzekeraar als deployer ook haar eigen monitoring onder artikel 26 kan draaien (of, voor verzekeraars onder Solvabiliteit II, de bestaande governance stack kan blijven gebruiken).

•      Behandelaars zien wat het model heeft gedaan en op welke onderbouwing, en kunnen op elk moment ingrijpen of overrulen.

•      Bias testing en monitoring lopen continu, niet als jaarlijkse audit.

Dat is bewust zo gebouwd. Niet omdat de wet dat afdwingt, maar omdat het de enige manier is om verantwoord met dit werk om te gaan. Het maakt de gesprekken met compliance teams op dit moment wel een stuk simpeler.

Wat je nu kunt doen

Drie stappen, in deze volgorde.

Een. Maak een register van alle AI-systemen die in je verzekeringsketen draaien, inclusief modellen die meekomen in SaaS pakketten van derden. Per systeem: use case, eerste ingebruikname, aanbieder, deployer rol, en de status onder artikel 111.

Twee. Bepaal per systeem de risicoclassificatie. Niet 'hoog risico voor de zekerheid' (dat brengt onnodige verplichtingen), niet 'minimaal want het is onduidelijk' (dat brengt risico). Onderbouw de keuze, expliciet, op papier.

Drie. Voor systemen die hoog risico zijn of waarschijnlijk worden: vraag de artikel 11 documentatie op bij je aanbieder, plan je eigen artikel 26-verplichtingen in (met aandacht voor de Solvabiliteit II route in lid 5 en 6), en check of artikel 27 raakt.

Verzekeraars die hier nu mee bezig zijn spreken we graag. Eén intake, één technische walkthrough van hoe wij onze platformen classificeren en onderbouwen. Daarna weet je waar je staat. Plan een gesprek via onze contactpagina hierboven.

Bronnen

•      Verordening (EU) 2024/1689 (de AI Act), in het bijzonder Bijlage III, artikelen 6, 9-15, 26, 27, 50, 99, 111 en 113. Te raadplegen via eur-lex.europa.eu/eli/reg/2024/1689/oj of in de Nederlandse PDF op data.europa.eu (ELI: data.europa.eu/eli/reg/2024/1689/oj)

•      Recital 58 (overweging over hoog-risico classificatie verzekeringen) en recital 96 (over FRIA)

•      AI Act Service Desk van de Europese Commissie: ai-act-service-desk.ec.europa.eu

•      EIOPA, Statement on the use of governance arrangements and risk management in the use of artificial intelligence

•      artificialintelligenceact.eu (artikel-voor-artikel-uitleg)

‍