Hoe de financiële sector AI omarmt zonder het gesprek over governance te voeren
Op 7 april 2026 publiceerde Investment Officer een artikel over AI bij Nederlandse depotbanken. Het stuk is informatief en goed onderbouwd. Het beschrijft hoe InsingerGilissen, ABN Amro MeesPierson en Van Lanschot Kempen AI inzetten voor onboarding, documentverwerking en het beantwoorden van klantvragen.
Wat mij trof was niet wat er in het artikel stond. Het was wat er niet in stond.
In het hele stuk — vijf pagina’s, vier geïnterviewde directeuren, concrete toepassingen van AI in een zwaar gereguleerde sector — valt niet één keer het woord ‘governance’. Niet één keer ‘AI Act’. Niet één keer ‘risicoclassificatie’. Niet één keer ‘compliance’ in relatie tot het AI-gebruik zelf.
Dat is geen verwijt aan de journalist of de geïnterviewden. Het is een observatie over de staat van de sector. En die observatie vertelt meer dan de antwoorden die wél gegeven werden.
Wat de depotbanken wél vertellen
De toepassingen die beschreven worden zijn herkenbaar en relevant. ABN Amro MeesPierson heeft de onboarding versneld — een volledig dossier kan nu binnen twee dagen worden afgerond, inclusief interne controles. InsingerGilissen gebruikt AI om routinematige werkzaamheden slimmer te ondersteunen: onboarding, documentverwerking, trading, en het beantwoorden van veelgestelde vragen van vermogensbeheerders. Van Lanschot Kempen rolt Copilot365 bankbreed uit en ontwikkelt een intern generatief AI-model genaamd Leonardo.
Dit zijn geen experimenten. Dit is operationele inzet van AI in het primaire proces van zwaar gereguleerde financiële instellingen.
Van Lanschot Kempen en het ODD-voorbeeld
Het meest veelzeggende voorbeeld in het artikel betreft Van Lanschot Kempen. De bank werkt aan een door AI aangedreven model voor Ongoing Due Diligence — continue monitoring die aan de hand van ‘zorgvuldig gedefinieerde triggers’ veranderingen in gedrag, transacties en risicoindicatoren signaleert zodra deze zich voordoen. Periodieke reviews zouden dan niet meer nodig zijn.
Laat dat even inwerken. Dit is een AI-systeem dat automatisch gedragsveranderingen van klanten monitort en risico-signalen genereert. In de context van financiële dienstverlening — Wwft, sanctieregelgeving, klantintegriteit — is dit een toepassing die direct raakt aan fundamentele rechten en financiële belangen van personen.
Onder de EU AI Act, specifiek Annex III, kwalificeren AI-systemen die worden ingezet voor de beoordeling van kredietwaardigheid, risicobeoordeling, en fraudedetectie in de financiële sector als potentieel hoog-risico. Een systeem dat automatisch klantgedrag monitort en risicosignalen genereert, past in dat profiel.
Ronald van Barneveld van Van Lanschot Kempen zegt in het artikel terecht dat de verwerking van signalen voor een groot deel mensenwerk zal blijven. Menselijke beoordeling en betrokkenheid van de medewerker blijven cruciaal. Dat is precies het juiste instinct.
Maar dat instinct is nog geen kader. De vraag is niet of er menselijk toezicht is, maar hoe dat toezicht is georganiseerd. Is het gedocumenteerd? Is er een risicoclassificatie gemaakt? Weet de IWMS-medewerker die de signalen verwerkt dat hij of zij opereert binnen een AI-toepassing die mogelijk als hoog-risico kwalificeert? Is er een protocol voor het geval het model een onterechte risico-trigger genereert — of erger, een terechte trigger mist?
Het patroon dat zichtbaar wordt
Het Investment Officer-artikel is geen geïsoleerde observatie. Het past in een breder patroon dat ik de afgelopen maanden heb waargenomen in gesprekken met en artikelen over financiële dienstverleners in Nederland.
De sector bevindt zich in een specifieke fase: AI wordt actief ingezet, de toepassingen zijn relevant en waardevol, maar het bewustzijn over de governance-implicaties loopt structureel achter op het gebruik. Organisaties weten niet wat ze niet weten.
Dat is geen kwestie van onwil. Het is een kwestie van snelheid. De technologie beweegt sneller dan de organisatorische capaciteit om die technologie te beheersen. En de regulering — AI Act, DORA, de gezamenlijke positie van DNB en AFM — beweegt sneller dan de sector beseft.
DNB, AFM, en de convergentie die niemand verwacht
Nederland is een bijzonder geval in de Europese context. DNB en AFM handhaven DORA al actief. In april 2024 publiceerden ze een gezamenlijk rapport over AI in de financiële sector. De AI Act-implementatiewet wordt verwacht in het vierde kwartaal van 2026.
Voor financiële instellingen betekent dit een dubbele regulatoire druk: DORA voor digitale operationele weerbaarheid, de AI Act voor het verantwoord inzetten van AI-systemen. Die twee frameworks convergeren in de praktijk. Een AI-systeem dat wordt ingezet voor risicobeoordeling moet voldoen aan zowel de operationele weerbaarheidseisen van DORA als de risicobeheersingsverplichtingen van de AI Act.
37,4% van de Nederlandse financiële sector gebruikte in 2024 al AI — significant boven het EU-gemiddelde van 13,5%. De sector loopt voorop in adoptie. De vraag is of ze ook vooroploopt in beheersing.
De vraag die niet gesteld wordt
Er is een patroon in hoe financiële instellingen over AI praten. De taal is consistent: ‘sneller’, ‘efficiënter’, ‘voorspelbaarder’, ‘slimmer’. Het zijn productiviteitsverhalen. En terecht — de productiviteitswinst is reël.
Maar het productiviteitsverhaal verdringt een ander verhaal dat minstens zo belangrijk is: het beheersbaardheidsverhaal. Hoe zorg je dat de AI-systemen die je inzet doen wat je denkt dat ze doen? Hoe classificeer je ze? Wie is verantwoordelijk als ze niet doen wat ze moeten doen?
Die vragen worden niet gesteld — niet in het Investment Officer-artikel, niet in de meeste boardroom-presentaties die ik ken, niet in de strategische plannen die ik heb gezien.
En dat is geen verwijt. Het is een constatering dat de sector een collectieve blinde vlek heeft die steeds urgenter wordt naarmate de regulatoire druk toeneemt en de toepassingen complexer worden.
Drie vragen voor elke AI-toepassing
De governance die nodig is, begint niet met een compliance-framework of een externe audit. Het begint met drie vragen die elke financiële instelling per AI-toepassing zou moeten kunnen beantwoorden:
- Wie is de eigenaar van deze toepassing? Niet op papier, maar in de dagelijkse operatie. Wie bewaakt dat het AI-systeem wordt ingezet waarvoor het bedoeld is?
- Welk risicoprofiel heeft dit specifieke gebruik? Een chatbot die veelgestelde vragen beantwoordt is iets fundamenteel anders dan een systeem dat klantgedrag monitort voor risicosignalen. De technologie kan identiek zijn. Het risico niet.
- Wat is het protocol als de output onbetrouwbaar is? Wat gebeurt er als het ODD-model een risico-trigger mist? Of een onterechte genereert? Wie merkt dat, hoe snel, en wat zijn de stappen?
Elke instelling die deze vragen niet per toepassing kan beantwoorden, opereert met een governance-gat dat groter wordt met elke nieuwe AI-toepassing die live gaat.
De klok tikt
Augustus 2026 is de datum waarop de AI Act volledig van kracht wordt. Dat is over vier maanden. De implementatiewet volgt in het vierde kwartaal. DNB en AFM worden de handhavende autoriteiten voor financiële instellingen.
De depotbanken die in het Investment Officer-artikel worden beschreven, doen niets verkeerds. Ze zetten AI in op een manier die waarde creëert voor hun klanten en hun organisatie. De technologie is niet het probleem.
Het probleem is de afwezigheid van een structuur die ervoor zorgt dat die inzet verantwoord, gedocumenteerd en beheersbaar is. Niet als theoretisch kader, maar als dagelijkse werkwijze.
De vraag is niet of die structuur nodig is. De vraag is of de sector hem bouwt voordat de toezichthouder ernaar vraagt.
Jan-Willem Rodenhuis is managing partner van Ductus B.V. en schrijft op miliarium.nl over de effecten van AI-adoptie in gereguleerde sectoren.
Bronnen
Investment Officer, ‘Met AI versnellen depotbanken in onboarding en communicatie’, Geert Dekker, 7 april 2026
CBS AI-monitor, september 2025 (37,4% financiële sector)
DNB/AFM gezamenlijk AI-rapport, april 2024
EU AI Act, Verordening (EU) 2024/1689
Gartner, juni 2025 (>40% agentic AI-projecten gecanceld)
Deloitte, State of AI 2026 (n=3.235, 1 op 5 mature agentic governance)
CMS Expert Guide, AI laws and regulations in the Netherlands, februari 2026