Artificial Intelligence (‘AI’) is inmiddels meer dan alleen een futuristisch concept. In zowel de financiële sector als in andere sectoren wint AI terrein. De Autoriteit Financiële Markten (‘AFM’) en De Nederlandsche Bank (‘DNB’) houden deze ontwikkelingen dan ook nauwlettend in de gaten. In 2024 voerde DNB een onderzoek uit naar het gebruik van AI binnen de verzekeringssector. Daarbij heeft DNB uitvraag gedaan bij verschillende schade-, levens-, zorg- en herverzekeraars. Het doel van dit onderzoek was om onder meer inzicht te krijgen in hoe verzekeraars AI toepassen en welke vormen van governance zij daarvoor hebben ingericht. Onlangs publiceerde DNB een artikel met een aantal belangrijke bevindingen, inzichten en verwachtingen naar aanleiding van dit onderzoek. Daarin verwijst DNB ook naar de SAFEST-principles voor verantwoord AI-gebruik die DNB in een eerder document presenteerde. In dit praktijkartikel ga ik nader in op de uitkomsten daarvan en de kernprincipes voor verantwoord AI-gebruik volgens DNB waar in het artikel naar wordt verwezen.
Verordening artificiële intelligentie (‘AI Act’)1
AI omvat in algemene zin computersystemen die taken uitvoeren waar normaal gesproken menselijke intelligentie voor is vereist. Deze systemen worden getraind op basis van grote hoeveelheden data, waarbij deze patronen leren herkennen. Op basis van deze patronen kan AI voorspellingen genereren die vervolgens de basis vormen voor bijvoorbeeld aanbevelingen, beslissingen of content.
De definitie AI-systeem in de AI Act luidt: ‘een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen’.2 AFM en DNB sluiten zich aan bij de definitie uit de AI Act omdat deze in belangrijke mate bepalend is voor de reikwijdte van regelgeving en toezichtkaders met betrekking tot AI in de financiële sector.3
De AI Act beoogt het gebruik van AI binnen de Europese Unie in goede banen te leiden. Daarbij hanteert de AI-Act een risicogebaseerde aanpak. Er wordt onderscheid gemaakt tussen AI-toepassingen met een onaanvaardbaar, hoog, laag of minimaal risico. AI-toepassingen met een onaanvaardbaar risico, zoals social scoring, predictive policing en manipulatieve AI-toepassingen, zijn verboden.4 Voor toepassingen die als hoog risico worden aangemerkt gelden strikte eisen. AI-toepassingen die worden ingezet voor het beoordelen van kredietwaardigheid van natuurlijke personen en voor de vaststelling van premies en risico’s bij levens- en zorgverzekeringen, worden aangemerkt als hoog risico AI-toepassingen.5 Dergelijke toepassingen vereisen onder meer adequaat risicobeheer, hoge datakwaliteit, technische documentatie, menselijk toezicht, robuustheid en transparantie. Daarnaast moeten organisaties de mogelijke impact van deze AI-toepassingen op grondrechten expliciet beoordelen.
Ook voor AI-systemen die niet worden aangemerkt als hoog risico, maar wel rechtstreeks interactie hebben met mensen, zoals chatbots of generatieve AI, gelden verplichtingen. Organisaties moeten in zulke gevallen transparant zijn over het gebruik van AI. Dit houdt in dat klanten duidelijk moeten worden geïnformeerd over het feit dat zij met een AI-toepassing communiceren.
De AI Act wordt gefaseerd ingevoerd.6 Sinds februari 2025 zijn AI-toepassingen met een onaanvaardbaar risico verboden en geldt een verplichting tot AI-geletterdheid binnen organisaties. In augustus 2025 treden regels in werking voor general purpose AI en moeten toezichthouders actief worden. Vanaf augustus 2026 start het toezicht op hoog risico AI-toepassingen en voornoemde transparantieverplichting. Niet-naleving van de AI Act kan leiden tot sancties. Toezichthouders kunnen besluiten om AI-systemen van de markt halen, het gebruik beperken of verbieden. Daarnaast kunnen zij, afhankelijk van de aard van de overtreding en de omvang van de betrokken organisatie, boetes opleggen tot maximaal € 35 miljoen of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogste is.7 Deze sancties onderstrepen het belang voor verzekeraars om AI-toepassingen in overeenstemming met de AI Act te gebruiken
Kansen
Uit het onderzoek van DNB blijkt dat van de 36 deelnemende verzekeraars 15 daadwerkelijk AI-toepassingen gebruikten.8 Hoewel de verzekeraars minder kansen zien in het gebruiken van AI voor het optimaliseren van beleggingen en kapitaal, zien zij wel duidelijke kansen in het gebruik van AI-toepassingen in andere onderdelen van de bedrijfsvoering. In het bijzonder zien verzekeraars mogelijkheden voor het verhogen van de efficiëntie, het verbeteren van risicobeoordelingen en het personaliseren van de dienstverlening.
Risicobeoordeling, cross-selling en fraudedetectie
Een belangrijke toepassing van AI door verzekeraars is het analyseren van data voor risicobeoordelingen.9 Verzekeraars beschikken over enorme hoeveelheden data die zich bij uitstek lenen voor het trainen van AI-toepassingen. Deze AI-toepassingen kunnen door patronen te herkennen risicoinschattingen maken. Dit maakt het mogelijk om premies nauwkeurig af te stemmen op risicoprofielen van klanten, waarbij risicomijdende klanten niet langer indirect hoeven mee te betalen voor het risicovolle gedrag van andere klanten. Ook bieden dergelijke AI-toepassingen mogelijkheden voor het op individueel niveau doen van gepersonaliseerde aanbevelingen voor nieuwe producten en effectieve cross-selling.10 Door het voorspellen van klantbehoeften kan AI bijdragen aan meer klantgerichte producten en versterking van de concurrentiepositie van verzekeraars. Bovendien kunnen dergelijke AI-toepassingen bijdragen aan financiële inclusie, doordat deze ook inschattingen kunnen maken op basis van historische data voor klanten met beperkte data. Dit kan ervoor zorgen dat klanten die zouden worden afgewezen alsnog verzekerbaar kunnen worden bevonden op basis van gelijkenissen met andere klanten.
Fraudedetectie en schadeafhandeling
AI-toepassingen worden ook ingezet voor het opsporen van fraude.11 Door afwijkingen in claimpatronen te herkennen, kunnen AI-toepassingen afwijkend of verdacht gedrag signaleren. Dit leidt tot effectievere fraudeopsporing en daarmee tot kostenbesparingen. Daarnaast wordt AI gebruikt voor het inschatten van de hoogte van schades. Dit maakt het mogelijk om schadeclaims sneller af te handelen en verdere efficiëntie.
Efficiëntie en kostenbesparing
Ook op het vlak van operationele processen biedt AI kansen. Routinetaken zoals het samenvatten van telefoongesprekken met klanten, het vertalen van teksten en het beantwoorden van klantvragen via chatbots kunnen met behulp van AI deels geautomatiseerd worden. Dit leidt niet alleen tot kostenbesparingen, maar zorgt bovendien voor ruimte voor medewerkers om zich meer te richten op complexere werkzaamheden. Omdat AI-chatbots 24/7 beschikbaar zijn, kan dit ook bijdragen aan een verbeterde klantbeleving.
Cybersecurity en digitale weerbaarheid
Bovendien spelen AI-toepassingen een steeds belangrijkere rol in het versterken van de digitale weerbaarheid van verzekeraars.13 Door netwerken en systemen te monitoren kunnen AI-toepassingen verdacht gedrag signaleren en kwetsbaarheden opsporen. Daarmee wordt de kans op cyberincidenten verkleind en kan de bedrijfscontinuïteit en reputatie van de verzekeraar worden gewaarborgd.
Risico’s
Hoewel AI aanzienlijke kansen biedt voor de verzekeringssector, brengt het gebruik ervan ook serieuze risico’s mee. Uit het onderzoek van DNB blijkt dat verzekeraars met name belang hechten aan de niet-financiële risico’s, zoals reputatieschade en de risico’s voor de bedrijfscontinuïteit. Deze risico’s wegen zwaarder dan direct financiële risico’s, zoals de invloed van AI op beleggingsbeslissingen of de aan te houden reserves. Dit verklaart mogelijk waarom veel verzekeraars zich vooralsnog beperken tot eenvoudige (en daarmee makkelijk uitlegbare) AI-toepassingen. Complexere vormen van AI, zoals deep learning of generatieve AI, worden niet of nauwelijks gebruikt. Het gebruik van de publieke versie van ChatGPT is binnen veel instellingen zelfs helemaal verboden vanwege zorgen over de verspreiding van vertrouwelijke informatie.
Datakwaliteit en discriminatie
Een van de belangrijkste risico’s vormt de kwaliteit van de inputdata van een AI-toepassing. AI-toepassingen zijn sterk afhankelijk van de kwaliteit en representativiteit van de data waarmee deze worden getraind. Onjuiste of bevooroordeelde inputdata kan leiden tot foutieve en discriminerende output. Dit wordt ook wel het garbage-in-garbage-out principe genoemd. Dit kan resulteren in ongelijke behandeling of zelfs uitsluiting van bepaalde bevolkingsgroepen.
Uitlegbaarheid
Een ander risico bij het gebruik van (complexe) AI-toepassingen is de uitlegbaarheid van de AI-toepassing en de output daarvan, vooral bij de zogeheten black-boxmodellen. Deze AI-toepassingen zijn vaak niet transparant en genereren output op basis van complexe interne berekeningen die moeilijk te interpreteren zijn. Het gevolg hiervan is dat dergelijke AI-toepassingen beslissingen kunnen nemen, zoals de afwijzing van een aanvraag van een klant, die niet uit te leggen is. Dit kan het vertrouwen van klanten ondermijnen en maakt intern en extern toezicht onmogelijk.
Markttransparantie en solidariteit
AI-toepassingen die op individueel niveau prijzen en premies bepalen, kunnen het solidariteitsprincipe in de verzekeringssector aantasten. AI-toepassingen die gepersonaliseerde premies berekenen, kunnen ervoor zorgen dat bepaalde klantgroepen, zoals mensen met een verhoogd risico, worden uitgesloten of aanzienlijk meer premie moeten betalen. Deze individualisering van premies belemmert ook de vergelijkbaarheid van producten en kan de transparantie in de markt verminderen doordat prijzen minder vergelijkbaar worden voor klanten.
Overkoepelende risico’s
Naast voornoemde risico’s zijn er ook overkoepelende risico’s verbonden aan het gebruik van AI, zoals het risico van inbreuk op privacyrechten van klanten. AI-toepassingen die persoonsgegevens verwerken, moeten voldoen aan de vereisten uit de Algemene Verordening Gegevensbescherming (‘AVG’), waaronder het beginsel van dataminimalisatie en het beschikken over een geldige verwerkingsgrondslag. Daarnaast vergroot het gebruik van AI-toepassingen de afhankelijkheid van externe aanbieders, wat leidt tot concentratierisico’s. Wanneer meerdere verzekeraars afhankelijk zijn van één leverancier, kan uitval of een cyberincident bij die partij gevolgen hebben voor de continuïteit van een groot deel van de markt. Die afhankelijkheid wordt versterkt wanneer AI diep geïntegreerd is in de bedrijfsprocessen, waardoor het overstappen naar een alternatieve aanbieder niet (meer) mogelijk is. Ook het gebrek aan interne kennis en expertise vormt een wezenlijk risico. Naarmate AI-toepassingen complexer worden en breder binnen organisaties worden ingezet, bestaat het gevaar dat verzekeraars onvoldoende gekwalificeerd personeel in huis hebben die de AI-toepassing begrijpt, kan monitoren of de werkzaamheden kan oppakken wanneer de AI-toepassingen niet meer (naar behoren) functioneert.
Verantwoord AI-gebruik
Hoewel AI aanzienlijke kansen biedt, brengt het gebruik ervan dus ook de nodige risico’s mee. DNB benadrukt dat verzekeraars die AI-toepassingen inzetten, deze risico’s goed moeten beheersen. De AI Act speelt hierbij een centrale rol door strikte eisen te stellen aan het gebruik van hoog risico AI-toepassingen. Volgens DNB moeten verzekeraars zich ook richten op AI-toepassingen die niet als ‘hoog risico’ worden aangemerkt. DNB moedigt verzekeraars dan ook aan om ook vrijwillig te voldoen aan de verplichtingen die gelden voor hoog risico AI-toepassingen.
Verzekeraars moeten bovendien niet alleen rekening houden met de AI Act, maar ook met bestaande wet- en regelgeving, namelijk de AVG, de Digital Operational Resilience Act (‘DORA’) en Solvency II, die eisen stellen aan governance, databeheer en de beheersing van ICT-gerelateerde risico’s.
Voor de verdere invulling van verantwoord gebruik van AI-toepassingen kijkt DNB daarnaast uit naar de definitieve richtsnoeren van de European Insurance and Occupational Pensions Authority (‘EIOPA’) voor het toezicht op AI-gebruik binnen de verzekeringssector die later dit jaar zullen volgen. Begin dit jaar publiceerde EIOPA al een conceptopinie. Tot die tijd verwijst DNB naar haar eigen zes SAFEST-principles als leidraad voor verantwoord AI-gebruik die zij samen met de AFM in 2019 heeft ontwikkeld14 SAFEST is een acroniem voor Soundness, Accountability, Fairness, Ethics, Skills en Transparancy. Deze principes omvatten:
- Solide (Soundness): AI-toepassingen moeten allereerst solide zijn. Daarmee wordt bedoeld dat deze betrouwbaar, accuraat en voorspelbaar moeten zijn. Daarnaast dienen deze te voldoen aan de toepasselijke wet- en regelgeving en moet de bedrijfscontinuïteit geborgd zijn.
- Verantwoordelijkheid (Accountability): Omdat AI-toepassingen complex zijn en niet altijd naar behoren werken, moeten instellingen kunnen aantonen dat de verantwoordelijkheid voor AI-gebruik duidelijk is toegewezen op alle niveaus binnen de organisatie, waarbij de eindverantwoordelijkheid ligt bij het bestuur. Instellingen moeten hun verantwoordelijkheid met betrekking tot het gebruik van AI-toepassingen begrijpen en bereid zijn die volledig te dragen. Als AI-toepassingen om wat voor reden dan ook niet naar behoren functioneren, kan dit immers schade veroorzaken.
- Eerlijkheid (Fairness): AI mag geen onbedoelde discriminatie veroorzaken. Instellingen moeten eerlijkheid waarborgen bij het ontwerp, de training en het gebruik van AI. Dit kunnen zij doen door regelmatig te beoordelen of bepaalde groepen klanten worden benadeeld door de gebruikte AI-toepassingen. Daarnaast moet menselijk toezicht worden gehouden op de AI-toepassingen.
- Ethisch bewustzijn (Ethics): AI-toepassingen moeten niet alleen in lijn zijn met wet- en regelgeving, maar ook ethisch verantwoord zijn. Klanten moeten erop kunnen vertrouwen dat het gebruik van AI hen niet schaadt.
- Deskundigheid (Skills): Binnen de instellingen moet iedereen (van werkvoer tot bestuurskamer) over voldoende deskundigheid beschikken over de sterktes en zwaktes van de gebruikte AI-toepassingen.
- Transparantie (Transparency): Instellingen moeten kunnen uitleggen hoe en waarom AI wordt ingezet. Dit is essentieel voor risicobeheer en effectieve controle. Naarmate AI belangrijker wordt in bedrijfsprocessen, moet de werking ervan beter worden begrepen en gemonitord
Deze zes kernprincipes voor verantwoord AI-gebruik dienen samen met de toepasselijke wet- en regelgeving als leidraad voor de inrichting van verantwoord AI-gebruik binnen de verzekeringspraktijk te worden gebruikt.
Conclusie en aanbevelingen
AI biedt aanzienlijke kansen voor de verzekeringssector. Door AI in te zetten kunnen verzekeraars bedrijfsprocessen optimaliseren, risicobeoordelingen verfijnen en hun diensten personaliseren. Dit vergroot niet alleen de efficiëntie binnen een organisatie, maar maakt ook kostenbesparingen mogelijk en versterkt de concurrentiepositie.
Het gebruik van AI is echter niet zonder risico. AI-toepassingen kunnen leiden tot ongewenste uitkomsten, zoals discriminatie, gebrekkige uitlegbaarheid en afhankelijkheid van externe aanbieders. Voor verantwoord gebruik van AI is het daarom essentieel dat verzekeraars een duidelijk AI-governance en AI-beleid inrichten. Verzekeraars dienen zorgvuldig in kaart te brengen welke AI-toepassingen zij gebruiken en welke risico’s daaraan verbonden zijn. Op basis van deze risicoanalyse moet worden bepaald of specifieke verplichtingen van toepassing zijn onder de AI Act en andere relevante regelgeving.
Daarnaast is het noodzakelijk dat verzekeraars de (SAFEST-)kernprincipes van DNB en AFM voor verantwoord AI-gebruik implementeren. Dat houdt in dat AI-toepassingen betrouwbaar, eerlijk, ethisch verantwoord, deskundig beheerd en transparant moeten zijn. Concreet kunnen verzekeraars hiertoe onder meer de volgende maatregelen treffen:
- het grondig testen van AI-toepassingen voordat deze in gebruik worden genomen;
- het implementeren van monitoringmechanismen voor de prestaties van AI-toepassingen;
- het voeren van controles op mogelijke ongewenste bias en discriminatie in de output;
- het gebruiken van kwalitatieve, representatieve en rechtmatige data;
- het implementeren van ethische toetsingskaders en toepassen op AI-gebruik;
- het zorgen van transparantie richting klanten over hoe AI-toepassingen werken en worden ingezet.
Daarnaast is het van belang dat verzekeraars verantwoordelijkheden voor AI-toezicht binnen de organisatie op verschillende niveaus toewijzen. Verzekeraars dienen tevens te investeren in kennisopbouw, zodat op elk niveau voldoende deskundigheid aanwezig is met betrekking tot de gebruikte AI-toepassingen zodat op elk niveau voldoende deskundigheid aanwezig.
Ook moet de IT-infrastructuur goed zijn ingericht en opgewassen zijn tegen beveiligingsrisico’s en in staat zijn om de AI-toepassing veilig te integreren. Gezien de toenemende afhankelijkheid van externe AI-aanbieders is het raadzaam om heldere contractuele afspraken te maken over onder andere auditbevoegdheden, transparantieverplichtingen en aansprakelijkheid. Het tijdig nadenken over en opstellen van exitstrategieën draagt bij aan het borgen van de continuïteit van dienstverlening in geval van verstoringen bij leveranciers.
Tot slot is het van cruciaal belang dat verzekeraars de ontwikkelingen in wet- en regelgeving op de voet blijven volgen. Richtsnoeren van DNB en Europese toezichthouders zoals EIOPA zullen de komende jaren bepalend zijn voor het verantwoord gebruik van AI in de verzekeringssector. Wie nu stappen zet voor verantwoord AI-gebruik, legt de basis voor toekomstbestendige compliance en zal op termijn de vruchten plukken die AI biedt.
Meer weten?
Heb je naar aanleiding van dit artikel nog vragen of wil je nadere informatie? De advocaten van JPR helpen je graag.
Marjolein Meijer
Geert Steenmeijer