De kracht van effectieve AI-governance
Artificiële Intelligentie (AI) verandert in rap tempo de wijze waarop organisaties zoals verzekeraars waarde creëren voor de klant. Wat begon met het gebruik van tools als Microsoft Copilot en Chat GPT voor het uitvoeren van eenvoudige taken, is uitgegroeid tot het in productie nemen van een geavanceerde technologie die de dienstverlening transformeert. Deze snelle ontwikkeling vraagt om een aanpassing van het governancesysteem, zodat op een beheerste en verantwoorde wijze kan worden omgegaan met nieuwe AI-technologieën. Daarom is het tijd om AI-governance stevig te verankeren, voordat innovatie ons inhaalt en ons tot last wordt!
Welke trends en ontwikkelingen zien we al rondom het gebruik van AI?
De toepassing van AI ontwikkelt zich razendsnel en dringt nu al door in vrijwel alle lagen en niveaus van organisaties. Waar AI vooral eerst werd gezien als innovatieve ondersteuning, zien we nu dat AI steeds meer zijn intrede doet in de operationele processen. Denk bijvoorbeeld aan anti-witwas- en transactiemonitoringssystemen die patronen in klantgedrag analyseren, predictive systemen die schades kunnen voorspellen en zelfs virtuele assistenten die klantvragen automatisch afhandelen.
Dergelijke ontwikkelingen zorgen voor een merkbare verschuiving in het gebruik van dit soort technologieën. Daar waar eerder kleinschalige AI-experimenteren werden uitgevoerd, worden geavanceerde AI-tools steeds vaker geïmplementeerd binnen de operationele processen. Daarmee rijst de vraag wat deze ontwikkelingen voor effect gaan hebben op de manier waarop we onze bedrijfsvoering inrichten.
- Welke checks & balances gaan nodig zijn om het governancesysteem van de toekomst te kunnen inrichten?
- Aan welke wet- en regelgeving moeten we voldoen?
- Wat vraagt de AI-act van ons als organisatie?
Ook toezichthouders zoals EIOPA en DNB schetsen steeds concretere verwachtingen voor de inrichting van verantwoord en beheerst AI-gebruik binnen de financiële sector, waarbij een sterke nadruk wordt gelegd op transparantie, databeheer en menselijk toezicht.
Waarom zou je AI-governance willen?
De inzet en het belang van AI in onze werkprocessen zal de komende jaren toenemen, maar het is niet altijd zonder risico. Daarom is het van belang om vooraf goede afspraken te maken over verantwoordelijkheden, beheersmaatregelen en monitoring. Daarin moet een goede balans worden gevonden tussen het kunnen inzetten van innovatie, maar tegelijk ook het beheersen van de risico’s. Deze risico’s kunnen inhoudelijk zijn (‘neemt AI wel de juiste beslissingen’ en ‘begrijpen we nog wel wat AI doet en kunnen we dat bijsturen indien nodig’), beveiligingstechnisch (‘zijn onze data wel veilig bij deze AI-leverancier’) of van formele aard (‘zijn we wel compliant met wet- en regelgeving’). Raamwerken die kunnen worden gebruikt als handvat om de AI governance in te richten zijn steeds makkelijker voorhanden. Een bekende standaard is de ISO42001 norm, die qua gedachtengoed vergelijkbaar is met andere standaarden voor managementsystemen. Ook COBIT en NIST bieden standaarden die handvaten geven voor een beheerste implementatie van AI.
Welke toenemende verwachtingen stellen toezichthouders aan AI-governance?
Zowel EIOPA als DNB leggen de nadruk steeds meer op het minimaliseren van de risico’s die gepaard gaan met het gebruik van AI-technologieën. In het recent gepubliceerde opiniestuk ‘Opinion on Artificial Intelligence Governance and Risk Management’ (6 augustus 2025) geeft EIOPA een duidelijke opinie over de manier waarop verzekeraars en tussenpersonen hun AI-governance en Risk Management moeten inrichten. In deze opinie refereert EIOPA aan governance-artikelen uit de Solvency II Directive, de Insurance Distribution Directive (IDD) en de Digital Operational Resilience Act (DORA). EIOPA stelt dat AI-governance moet passen binnen deze kaders.
Om het gebruik van AI-systemen zodanig te sturen dat de voordelen maximaal worden benut en de risico’s worden beheerst, verwacht de toezichthouder dat financiële instellingen meer aandacht besteden aan het inrichten van een AI-governance. Hierbij moet rekening worden gehouden met eerlijkheid en ethiek, databeheer en menselijk toezicht. De toezichthouder verwacht dus dat vanuit een meer holistische benadering wordt gekeken naar de inrichting van AI-governance. Deze moet passend en evenredig zijn aan de risico’s van het gebruik van AI. Toezichthouders communiceren daarmee een duidelijke boodschap dat AI-governance geen toekomstig thema is maar dat dit nu al een belangrijke voorwaarde vormt om op een beheerste manier om te kunnen gaan met de toepassingen van de toekomst.
Op welke wijze kan AI-governance het best worden ingericht op basis van bestaande raamwerken?
Binnen de sector blijkt dat het inrichten van AI-governance geen volledig nieuwe aanpak vereist, maar eerder vraagt om een proportionele benadering. Hiermee bedoelen we dat AI op een slimme en samenhangende manier kan worden geïntegreerd in het bestaande governancesysteem. Net zoals bijvoorbeeld DORA vereist dat organisaties een raamwerk voor informatiebeveiliging inrichten, kan AI-governance worden ingebed in raamwerken, zoals: ISO42001, COBIT en NIST. Deze raamwerken bieden een systematische aanpak voor risicobeheersing en continue verbetering.
Door AI-risico’s, zoals bijvoorbeeld datavervuiling en gebrek aan traceerbaarheid, te koppelen aan bestaande beheersingsdomeinen, ontstaat één samenhangend governance-systeem waarin AI-risico’s een vaste plaats krijgen. Zo kunnen controles worden uitgebreid met AI-specifieke principes. Daarmee blijft de bestaande structuur herkenbaar voor de organisatie én wordt deze structuur tegelijkertijd toekomstbestendig gemaakt door nieuwe AI-risico’s, technologieën en eisen daarin te integreren. Deze integratie vergroot de efficiëntie omdat geen volledig nieuw raamwerk hoeft te worden ontwikkeld en zorgt voor meer consistentie in de beoordeling van geïdentificeerde risico’s.
Hoe kan je blijven innoveren zonder grote risico’s te nemen?
Binnen een goed ingericht AI-governance stelsel hoeft innovatie niet in contrast te staan met het beheersen van risico’s. De oplossing ligt vaak in het kleinschalig en gecontroleerd experimenteren binnen vooraf gestelde kaders. Je zou als organisatie bijvoorbeeld kunnen starten binnen proefomgevingen, waarbij de gebruikte data zorgvuldig wordt afgeschermd en de risico’s vooraf zijn geclassificeerd. Zo ontstaat ruimte om te leren en te experimenteren, zonder dat dit gevolgen heeft voor de vertrouwelijkheid of integriteit van je data en processen.
Een andere methode die organisaties kunnen hanteren is het introduceren van AI-toepassingen bij niet-kritieke processen, zoals het automatisch laten samenvatten van verslagen, het genereren van rapportages of het automatisch classificeren van binnenkomende mails. Zo kunnen organisatie-afdelingen ervaring opdoen met nieuwe toepassingen, voordat deze worden uitgerold op breder organisatieniveau. Klein beginnen en later uitbreiden is een logische aanpak.
Daarbij is het belangrijk om, naast het creëren van een experimenteeromgeving, vooraf duidelijke taken, verantwoordelijkheden en toezicht vast te leggen. Het is belangrijk om vooraf een antwoord te formuleren op vragen als: “Wie is de eigenaar van het AI-systeem”, of “Wie beoordeelt nieuwe AI-initiatieven” en “Welke medewerker binnen de afdeling grijpt in bij onverwachte uitkomsten?” Het vooraf definiëren van de verantwoordelijkheden en van het eigenaarschap van dergelijke initiatieven is belangrijk om controle te houden. Door technologische ontwikkelingen in te passen in de organisatie blijft innovatie geborgd én kunnen nieuwe initiatieven worden getoetst op bruikbaarheid en doelmatigheid. De verantwoordelijken hebben ook belang bij beheersing. Op deze wijze zal de inrichting van AI-governance niet als rem op vooruitgang worden ervaren, maar juist als een gewenst middel om veilig en verantwoord te innoveren.
Waarom is AI-geletterdheid cruciaal voor een effectieve inrichting van AI-governance?
Een goed functionerend AI-governancesysteem staat of valt met de AI-geletterdheid van de mensen die met AI werken. Artikel 4 van de AI-act bepaalt dat aanbieders en gebruiksverantwoordelijken van AI-systemen maatregelen moeten nemen om, voor zover mogelijk, een toereikend niveau van AI-geletterdheid te waarborgen bij hun personeel. Dat zijn dus niet alleen de medewerkers op de afdelingen IT, risicomanagement et cetera, maar juist ook de medewerkers die werkzaam zijn in de operationele teams. Wanneer binnen een organisatie het algemene bewustzijn over de kansen en risico’s van AI ontbreekt, bestaat het risico dat beslissingen over de toepassing of beheersing van AI te oppervlakkig worden genomen, of juist uit terughoudendheid worden vermeden. In beide gevallen werkt dit remmend op de innovatiekracht van de business.
Het vergroten van AI-geletterdheid kan intern worden vergroot door gerichte trainingen, workshops of awarenessprogramma’s te organiseren waarin medewerkers AI-principes leren en worden geactiveerd om risicobewust na te denken. Nodig bijvoorbeeld eens een AI-expert uit die de organisatie meeneemt in de nieuwste trends en ontwikkelingen rondom AI-tools. Je kunt het ook dichter bij huis zoeken en (indien mogelijk) gebruikmaken van de interne expertise. In de eerder genoemde ruimte om te experimenteren leren medewerkers AI-principes beter begrijpen door oefening en bundeling van interne kennis. Het hoeft niet complex te zijn om deze eerste stappen te zetten. Met de juiste aandacht en de bereidheid om te leren kan een organisatie een positieve ontwikkeling doormaken in het verantwoord toepassen van AI.
Deze positieve ontwikkeling is dan het benutten van de voordelen en het beheersen van de risico’s. Want let op, niet onbelangrijk: “Niet-innoveren met behulp van AI kan ook een risico vormen als je daarmee achterop raakt in de markt.”
Conclusie
De inrichten van AI-governance is geen toekomstmuziek. Zelfs als u nu nog niet of nauwelijks (bewust) met AI werkt, is het toch waarschijnlijk dat dit over een aantal jaar anders zal zijn. Daarom zou AI-governance wat ons betreft nu al als prioriteit op de strategische kalender moeten staan. Dit onderwerp zou op de verschillende afdelingen en lagen binnen de organisatie als muziek in de oren moeten klinken omdat het werk boeiender en doelmatiger wordt. We onderkennen de toegevoegde waarde van het verankeren van AI-governance in uw huidige organisatiestructuur en het toetsen van de ingerichte governance met behulp van bijvoorbeeld een AI-audit. Zonder vaste structuur en toegekende verantwoordelijkheden ontstaat het risico dat AI-toepassingen sneller evolueren dan de organisatie zelf kan bijbenen. De noodzakelijke innovatie mag echter ook niet onder druk komen te staan door een te strakke inrichting van het AI-governance stelsel. Een goede balans tussen verkenning en beheersing zal ook uw organisatie in staat stellen om kansen tot innovatie maximaal te benutten en daarbij komende risico’s tijdig te signaleren en adequaat te mitigeren. Zo creëert AI-governance waarde voor uw organisatie.
Wij helpen u graag verder:
InAudit heeft de kennis en kunde in huis om de inrichting van uw AI-governancesysteem met behulp van een op maat gemaakte AI-governance audit te toetsen aan de huidige standaarden. Als kennispartner denken we graag met uw organisatie mee en zo blijft u verzekerd van een beheerste bedrijfsvoering. Het is tijd voor beheerste innovatie!
