De EU AI Act voor de pensioensector: een waardegedreven compliance aanpak

Het gebruik van artificiële intelligentie (hierna ‘AI’) in de pensioensector stijgt net als in de rest van de wereld. De transitieperiode in de pensioenwereld vormt nu bovendien een uitgelezen mogelijkheid om AI te internaliseren in de organisatie voor pensioenprofessionals. Aangezien er een geheel nieuwe regeling gebouwd moet worden kan AI nu al in de blauwdruk van het nieuwe administratiesysteem en de processen voor communicatie overwogen worden. Het potentieel van AI is groot in deze nieuwe complexe administratiesystemen die voor het nieuwe pensioenstelsel, of in de communicatie met deelnemers over de schommelingen in hun individuele pensioenvermogens. In verhouding tot het oude pensioenstelsel zal er meer gevraag worden van de administratie wat betreft de beschikbaarheid van informatie. Mutaties van individuele pensioenpotjes zouden idealiter in real-time verrekend moeten kunnen worden. Momenteel wordt er misschien nog niet structureel met AI gewerkt, maar met oog op de ontwikkelingen in AI en de pensioenwereld zal de ambitie om dat tijdens of na de transitie wel te doen bij vele pensioenprofessionals aanwezig zijn. Het overlappen van de implementatieperiodes van de Wtp en de EU AI Act kan misschien als een opstapeling van de regeldruk worden gezien, maar ook zeker als een kans om twee vliegen te vangen in één klap.

Bij het toepassen van AI in pensioenwerkzaamheden moet in overweging genomen worden dat dit invloed kan hebben op het leven van deelnemers. AI toepassingen die invloed op het leven van personen kunnen hebben worden in de verordening al snel aangemerkt als ‘hoog risico’. Niet alle toepassingen van AI in de pensioenadministratie zullen deze beoordeling krijgen, maar wel een significant deel. Het beoordelen van het risiconiveau dat een toepassing volgens de verordening krijgt is ook een activiteit waar aandacht aan besteed zal moeten worden. Een ‘hoog risico’ beoordeling betekent niet dat een toepassing vermeden moet worden. Integendeel, de AI-verordening zorgt er met de categorisatie van risiconiveaus voor dat ethische normen voor de toepassing van AI wetmatig zijn vastgelegd. Vanuit dit perspectief biedt de verordening pensioenprofessionals en andere organisaties een helder en hanteerbaar kader voor het adopteren en implementeren van AI in de bedrijfsvoering, waarbinnen ruimte voor innovatie nadrukkelijk wordt ondersteund.

Voor financiële instellingen wordt het toezicht op ethisch en verantwoord gebruik van AI uitgevoerd door De Nederlandse Bank (DNB). De Autoriteit Persoonsgegevens (AP) is hiernaast sinds 2023 coördinerend toezichthouder op algoritmes en AI. In de uitvraag van DNB over niet-financiële risico’s zijn dit jaar specifieke vragen naar de status van implementatie en beleid wat betreft AI in voorbereiding op Europese wetgeving. De verordening treedt gefaseerd in werking waardoor organisaties zoals pensioenfondsen een implementatieperiode kunnen organiseren. Zo zullen de eisen aan hoog-risico AI toepassingen op 1 augustus 2026 van kracht gaan. Op 1 augustus van dit jaar zullen eisen aan AI ‘voor algemene doeleinden’, waarmee generatieve AI bedoeld wordt, aan specifieke eisen moeten voldoen. Aan de vragen van DNB is te zien dat deze evaluatie een vroeg stadium van AI-implementatie voorziet, waar voorbereidende activiteiten zoals het in kaart brengen van beschikbare capaciteiten om met AI te werken en het evalueren van bestaand beleid rondom data en IT de kern vormen.

Een visie formuleren voor AI

DNB wil een indruk van het belang dat wordt gehecht aan investeringen in AI en AI-toepassingen voor de toekomst van organisaties, met name voor de komende drie jaar. Hiermee krijgt DNB een beeld van de potentiële toegevoegde waarde van AI in de ogen van bestuurders uit verschillende sectoren. Tegelijkertijd is dit een vraag waarmee DNB op zoek is naar het bewustzijn van AI en wat het kan betekenen in organisaties. Om het belang van AI te kunnen beoordelen moeten organisaties het op strategisch niveau bespreken en op uitvoerend niveau toepassen. Een volgende stap is het vormgeven van een visie voor AI-toepassingen als basis voor een beleid voor implementatie en ontwikkeling. Essentieel is, naast een toezichtsperspectief, het formuleren van een eigen visie. Antwoord op de vraag: ‘wat betekent AI voor de strategie van het fonds?’. Bij het beantwoorden van deze vraag dient ook stil te worden gestaan bij welke technologie het fonds wil hanteren, de ethische uitgangspunten, de risico’s en vooral welke kennis er aanwezig moet zijn binnen het bestuur en de uitbestedingsketen ten aanzien van de uitvoering. Kort samengevat noemen wij dit STERK: Strategie, Technologie, Ethiek, Risico en Kennis.

Voorbereiden op een AI-beleid

Zodra een organisatie het strategisch belang van AI heeft onderkend, verschuift de aandacht naar de vraag of er voldoende capaciteit is om hiermee aan de slag te gaan. DNB toetst dit via de vraag in hoeverre er structurele capaciteit aanwezig is om AI te onderzoeken, te testen en daadwerkelijk te implementeren. Veel pensioenfondsen en uitvoerders zullen bij deze vraag moeten concluderen dat structurele capaciteit vaak ontbreekt of beperkt is tot incidentele of projectmatige inzet.

Dit is het moment om daar verandering in te brengen. De AI-verordening stelt namelijk niet alleen eisen aan de AI-oplossingen zelf, maar ook aan het hele proces van ontwikkeling, monitoring en regulering. Dat betekent dat organisaties moeten beschikken over voldoende interne kennis, toegewijde governance en een gestructureerde aanpak voor adoptie. Dit zijn de bouwstenen voor een integraal AI-beleid dat helderheid en comfort biedt aan pensioenprofessionals.

Het ontwikkelen van een beleid begint met een heldere visie, maar vereist al snel ook concrete keuzes: welke AI-toepassingen hebben prioriteit? Wat zijn de risico’s? Welke ethische waarborgen zijn nodig? Binnen organisaties dienen eindverantwoordelijken aangewezen te zijn die deze vragen kunnen adresseren, daarvoor moet AI ook binnen de risicogovernance specifieke aandacht krijgen. DNB vraagt daarnaast ook expliciet of instellingen in hun AI-beleid rekening houden met de fundamentele principes zoals geformuleerd door EIOPA: proportionaliteit, eerlijkheid, uitlegbaarheid, menselijk toezicht, databeheer en robuustheid. Pensioenprofessionals doen er goed aan deze principes niet louter als compliance checklists te zien, maar als moreel kompas in het ontwerp van toekomstige systemen.

Categorie: Hoog risico

De AI-verordening maakt onderscheid tussen toepassingen met onacceptabel risico, hoog risico, beperkt risico en minimaal risico. Voor pensioenfondsen en hun dienstverleners zijn met name de ‘hoog risico’-toepassingen relevant. Deze vallen niet onder een verbod, maar zijn wel onderworpen aan strenge eisen op het gebied van transparantie, toezicht, documentatie en menselijk ingrijpen.

Wat betekent dat in de praktijk? Volgens de AI-verordening vallen systemen onder ‘hoog risico’ wanneer zij impact hebben op fundamentele rechten of het levensonderhoud van mensen. Binnen de pensioensector zijn er verschillende toepassingen te bedenken die daaraan kunnen voldoen. Denk bijvoorbeeld aan:

AI-systemen die risicoprofielen van deelnemers bepalen, waarop beleggingskeuzes of communicatie gebaseerd worden
Toepassingen die automatisch besluiten over het uitbetalen of inhouden van pensioenen, zoals bij pensioenen in het buitenland of bij signalen van fraude
Gebruik van AI in fraudedetectie of witwasbestrijding, zeker als deze systemen invloed hebben op de dienstverlening aan deelnemers
Advies gebaseerd op AI bij pensioenaanbieders die gepersonaliseerde keuzebegeleiding bieden en daarmee directe invloed hebben op de financiële positie van een deelnemer

DNB vraagt instellingen of zij dergelijke toepassingen hebben en hoeveel er zijn. Voor veel organisaties zal dit het startpunt zijn van een eerste risico-inventarisatie. Die beoordeling vraagt inhoudelijke kennis van zowel de werking van AI als van de juridische context waarin deze toegepast wordt. Ook toepassingen die nu nog in de pilotfase verkeren, vallen hieronder en vereisen dezelfde aandacht.

De praktijk leert dat AI-oplossingen vaak afkomstig zijn van externe partijen. DNB vraagt daarom ook expliciet hoeveel AI-toepassingen door derden geleverd worden. Dat is belangrijk, want de juridische verantwoordelijkheid voor een AI-systeem blijft in veel gevallen bij de afnemende organisatie liggen – ook wanneer deze niet zelf ontwikkeld is. Als een derde partij vervolgens een onderdeel van geleverde diensten uitbesteed aan een volgende is er sprake van een uitbestedingsketen, dergelijke ingewikkelde constructies kunnen een uitdaging vormen voor het toezicht vanuit risico en compliance.

Stappenplan richting een AI beleid en compliance

Voor pensioenprofessionals die nu aan de slag willen met de voorbereidingen, is het zaak om in kleine maar gerichte stappen voortgang te boeken. De volgende vijf stappen bieden een overzichtelijke aanpak:

Inventariseer het gebruik van AI binnen de organisatie
Breng in kaart welke AI-toepassingen nu al gebruikt worden, in productie of als pilot, en welke AI-componenten ingekocht zijn via derden. Gebruik hierbij de toepassingsgebieden uit de DNB-vragenlijst als kapstok: klantervaring, verkoop, efficiëntie, risicobeheer, beleggingen, overige.
Classificeer de toepassingen op risico
Bepaal voor elke toepassing of deze onder het hoog-risico-regime van de AI-verordening valt. Begin met vragen als: beïnvloedt dit systeem rechten of inkomens van deelnemers? Is er sprake van geautomatiseerde besluitvorming zonder menselijk toezicht? Risicomanagers beoordelen risico’s per AI-toepassing op deze en andere criteria te vinden in de EU AI verordening. Ook toepassingen die zich nog in een pilot- of conceptfase bevinden moeten worden beoordeeld.
Bouw een AI-governance structuur op
Zorg dat er een of meer verantwoordelijke zijn voor AI en de gerelateerde risico’s binnen de organisatie. Implementeer de principes uit de EIOPA-richtsnoeren, zoals uitlegbaarheid, data governance, menselijke controle en robuustheid.
Documenteer en bereid toezicht voor
Voor hoog risico toepassingen gelden strenge documentatieverplichtingen. Start nu al met het vastleggen van ontwerpkeuzes, testresultaten en controlemomenten. Stel ook vast wie wanneer mag ingrijpen in het systeem. Hoog-risico AI-toepassingen komen vanaf 1 augustus 2026 met specifieke eisen voor risicomanagementsystemen, technische documentatie en datasets.
Stel beleid en procedures op voor toekomstige AI
Leg vast hoe nieuwe AI-toepassingen getoetst worden, wie verantwoordelijk is voor risicoclassificatie en welke eisen aan leveranciers worden gesteld. Betrek hierbij de sleutelfunctiehouders en externe experts die inmiddels bewezen ervaring hebben. Houdt hierbij rekening met de gefaseerde implementatie van de verordening.

De gefaseerde inwerkingtreding van de AI verordening verloopt als volgt [1]:
Tijdspad	Inhoud
Medio juli 2024	Publicatie AI-verordening in Europees publicatieblad
1 augustus 2024	Inwerkingtreding AI-verordening
1 februari 2025	Verbodsbepalingen van kracht
1 augustus 2025	Eisen AI-modellen voor algemene doeleinden van kracht
1 augustus 2026	Meeste artikelen inclusief verplichtingen voor hoog risico AI van kracht
1 augustus 2027	Verplichtingen voor hoog risico AI-systemen van in producten van kracht
1 augustus 2030	Verplichtingen voor AI-systemen gebruikt door overheidsorganisaties die al voor inwerkingtreding in gebruik waren worden van kracht

Conclusie
Het samenvallen van de implementatieperiode van de AI verordening en de Wtp biedt pensioenprofessionals een kans om de nieuwe systemen en processen in te richten met AI in het achterhoofd. AI die wordt geïmplementeerd volgens een beleid dat past in de Europese normen voor ethisch en verantwoord gebruik. Met de verordening en de uitvraag van DNB als een blauwdruk voor AI adoptie kunnen pensioenfondsen in deze transitie vertrouwen op technologie om de werkdruk te verlichten en om nieuwe mogelijkheden voor de pensioenuitvoering te ontgrendelen. Meer weten over de impact van AI-adoptie of AI-compliance/ethiek? Dan beantwoorden wij graag uw vragen.

[1] https://www.digitaleoverheid.nl/achtergrondartikelen/wat-betekent-de-ai-verordening-voor-jouw-organisatie/

Over AethiQs

Hallo! Wij zijn AethiQs, jouw Relevantieadviseur
Elke bestuurder neemt beslissingen te midden van toenemende complexiteit. Vraagstukken van uiteenlopende aard vragen om keuzes en beleid. Daarbij moet je rekening houden met afhankelijkheden, onzekerheden en de belangen van een uitdijende groep stakeholders. Maar tellen al die afzonderlijke beslissingen nog wel bij elkaar op? Dragen ze bij aan het bestaansrecht en het voortbestaan van jouw organisatie?

Wij adviseren bij fundamentele vraagstukken
Wees eerlijk. Wat is nu de relevantie van jouw organisatie? En over 5 jaar? 10 jaar? Dat is een hele fundamentele vraag. Een vraag die vaak uit zicht raakt in de dagelijkse dynamiek van een organisatie.

Het is dé centrale vraag achter alles wat AethiQs doet. Wij werken voor maatschappelijk relevante organisaties. Wij helpen hen relevant te zijn en te blijven. Wij noemen dat Relevantiewaarde. We gaan daarbij altijd terug naar de kern. Samen met onze klanten bepalen we wat de basis is voor de continuïteit én de geloofwaardigheid van hun organisatie. Zodat ze van daaruit kunnen beslissen, besturen en bouwen aan een relevante toekomst. Die van jouw deelnemers nu en de deelnemers voor de toekomst.

Vanuit onze liefde voor relevantie
Wij doen dat niet alleen vanuit onze actuele kennis, maar meer nog vanuit 3x liefde: voor onze klanten, voor de vakgebieden waarin we actief zijn, en voor al onze collega’s, onze Relevantieadviseurs. Met onze lenigheid van geest kijken we altijd over sectoren en vakken heen. Want waarom zou wat in de ene sector werkt ook niet in de andere kunnen werken? Als je teruggaat tot de kern, zie je vergelijkbare oplossingen voor hele verschillende soorten organisaties. Van pensioenfondsen tot publieke omroepen, van zorginstellingen tot financiële instellingen. Voor al deze organisaties geldt dat je alleen relevant kunt blijven als het duidelijk is wat jouw bestaansrecht is, vandaag en morgen. We heten niet voor niets AethiQs. Het goede doen, en dat goed doen.

Meer van AethiQs

De positieve impact van ethische besluitvormingsmodellen aan de bestuurstafel

Aangeboden door AethiQs
De Eigen Risicobeoordeling als strategisch stuurinstrument bij invaren

Aangeboden door AethiQs
AI in de financiële sector voor sleutelfunctiehouders – hier zijn toezichthouders naar op zoek

Aangeboden door AethiQs