AI-regelgeving in verzekeringen: wat mag wel, wat niet, en wat verandert er in 2026?
Veertien wetten, vier toezichthouders en drie deadlines die er écht toe doen. Een nuchtere analyse voor verzekeraars, volmacht partijen en hypotheekadvieskantoren — zonder marketingmist.
Een bestuurder van een middelgrote volmacht partij zei het ons recent zonder ironie: "Wij wachten met AI tot we weten wat we mogen." Op zichzelf een redelijk standpunt — als de Europese Commissie tussen 2024 en 2026 niet ongeveer dertien afzonderlijke wetten, richtlijnen en opinies had gepubliceerd die op één of andere manier raken aan AI in de financiële sector.
Het resultaat is voorspelbaar. Onderzoek van DNB toont dat begin 2025 bijna 80% van de grote en middelgrote Nederlandse verzekeraars wel iets met AI in productie had. Onder de kleinere partijen lag dat percentage drastisch lager. En zelfs bij de partijen die wél experimenteren, blijft naar schatting 88% van de AI-pilots steken voor de productiefase. Er zijn meerdere oorzaken, maar regulatoire onzekerheid is er één van.
Dat is jammer, want voor het overgrote deel van de AI-toepassingen die zinvol zijn in een verzekeringsoperatie — claimverwerking, klantenservice, documentverwerking, acceptatie van standaardrisico's — geldt dat ze regulatoir aanzienlijk minder ingewikkeld zijn dan veel bestuurders denken. De drempel zit niet in de wet. De drempel zit in het ontbreken van een nuchter overzicht.
Dat overzicht volgt hieronder.
Het regulatoire landschap in vogelvlucht
De regelgeving rond AI in deze sector zit in vier silo's, die ieder hun eigen toezichthouder en eigen logica hebben.
De AI-specifieke regels komen uit Brussel: de AI-verordening (officieel Verordening 2024/1689), aangevuld met de Digital Omnibus van mei 2026, een EIOPA-opinie over AI bij verzekeraars uit februari 2025, en — voor leden van het Verbond — het Ethisch kader datagedreven besluitvorming. De AFM wordt aangewezen als toezichthouder op een aantal van deze verplichtingen in de financiële sector.
De horizontale regels raken iedereen die data verwerkt: de AVG, de Wwft en de Sanctiewet. Deze regels zijn niet AI-specifiek, maar krijgen door AI nieuwe operationele betekenis — denk aan artikel 22 AVG over geautomatiseerde besluitvorming.
De digitale weerbaarheidsregels zijn relatief nieuw: DORA (sinds 17 januari 2025 van toepassing op de financiële sector) en NIS2, dat in Nederland via de Cyberbeveiligingswet wordt geïmplementeerd, vermoedelijk per 1 juli 2026. Beide regels zijn van invloed op hoe je AI inzet, maar vooral op hoe je met je AI-leverancier omgaat.
De sectorspecifieke financiële regels kennen we al lang: de Wet op het financieel toezicht, de IDD voor verzekeringsdistributie, Solvency II voor verzekeraars, de Mortgage Credit Directive voor hypotheken, het Protocol Volmacht voor volmacht partijen. Deze regels zijn niet ontworpen met AI in gedachten, maar zijn er evengoed op van toepassing — vooral via de zorgplicht en de governance-eisen.
Veertien wetten, drie Nederlandse toezichthouders (AFM, DNB, Autoriteit Persoonsgegevens), één Europese (EIOPA), en twee zelfreguleringsregimes (Verbond, NVGA). Dit is de werkelijkheid waarmee bestuurders die over AI-investeringen beslissen, te maken hebben.
Wat mag wel — en valt buiten het hoog-risico regime
Begin met de geruststellende waarheid: het hoog-risico regime van de AI-verordening — het zwaarste regulatoire pakket — raakt veel minder dan veel mensen denken. Annex III van de verordening noemt voor verzekeringen één specifieke categorie: "AI-systemen die bedoeld zijn om te worden gebruikt voor risicobeoordeling en prijsstelling met betrekking tot natuurlijke personen in het geval van levens- en ziektekostenverzekeringen."
Daar staat dus niet:
- Claimverwerking. Een AI-agent die schademeldingen leest, toetst aan polisvoorwaarden en standaardclaims afhandelt, valt niet onder hoog risico — ook niet bij leven of zorg.
- Klantenservice. Een AI-chatbot die polisvragen beantwoordt of statusinformatie geeft, valt buiten het hoog-risico regime. Wel geldt artikel 50 (transparantie) — de klant moet weten dat hij met een AI praat.
- Documentverwerking. Het automatisch lezen, classificeren en archiveren van inkomende post, formulieren en bewijsstukken is regulatoir laagdrempelig.
- Acceptatie van schadeverzekeringen. Auto, woon, reis, MKB — geen hoog-risico regime, ook niet als de AI standaardrisico's automatisch beoordeelt op basis van vaste criteria.
- Fraudedetectie. Expliciet uitgezonderd van het hoog-risico regime via overweging 37 van de verordening, ook wanneer het gebruikt wordt in contexten die zelf wél hoog-risico zouden zijn.
- Berekening van kapitaalvereisten. Eveneens uitgezonderd via overweging 37.
Wie dus AI inzet voor de operationele kern van een schadeverzekeraar of volmacht partij — claims, klantenservice, documentverwerking, standaardacceptatie — zit niet in het hoog-risico regime. Voor hypotheekadviseurs geldt eenzelfde verhaal: de typische advies- en bemiddelingstaken vallen er ook buiten. Het is de geldverstrekker die met de hoog-risico kwalificatie van kredietbeoordeling te maken heeft, niet de adviseur.
Dat betekent niet dat er geen regels gelden. Het betekent dat de zwaarste eisen — verplichte conformiteitsbeoordeling, technische documentatie tien jaar bewaren, CE-markering, EU-database registratie — niet van toepassing zijn. Wat overblijft is werkbaar: artikel 50 transparantie, artikel 4 AI-geletterdheid, AVG, sectorale governance.
Wat niet mag — of alleen onder zware voorwaarden
Aan de andere kant van het spectrum staat wat wél hoog-risico is, of zelfs verboden.
Risicobeoordeling en pricing voor leven- en zorgverzekeringen is hoog-risico. Een verzekeraar die voor zijn levenproducten AI inzet om premies te berekenen, mag dat — maar moet voldoen aan het volledige pakket: risicobeheersysteem, datakwaliteit en bias-controle, technische documentatie, logging en traceerbaarheid, menselijk toezicht (artikel 14), nauwkeurigheid en robuustheid. Vanaf 2 december 2027, na het uitstel via de Digital Omnibus.
Kredietbeoordeling met AI staat ook op Annex III. In de praktijk raakt dit hypotheekverstrekkers, niet adviseurs of bemiddelaars. Het is van belang om te weten waar die grens ligt: zodra een AI-agent zelf de uiteindelijke kredietbeoordeling doet — en niet alleen de adviseur ondersteunt bij berekeningen of vergelijking — kom je in hoog-risico gebied.
Volledig geautomatiseerde besluitvorming met rechtsgevolg — een automatische claimafwijzing, een automatische polisbeëindiging, een automatische opzegging — valt onder artikel 22 AVG. Dat verbiedt zulke besluiten niet, maar bindt ze aan voorwaarden: óf noodzakelijk voor uitvoering van de overeenkomst, óf wettelijk toegestaan, óf met uitdrukkelijke toestemming. In alle gevallen moet de klant recht op menselijke tussenkomst kunnen uitoefenen.
Verboden AI-toepassingen (artikel 5 AI-verordening) raken de verzekeringssector in de praktijk zelden, maar het is goed om de lijst te kennen: social scoring door overheden, manipulatieve technieken die kwetsbaarheden uitbuiten, ongerichte scraping van gezichtsbeelden, emotieherkenning op de werkvloer en in het onderwijs, biometrische categorisatie op gevoelige kenmerken, en een aantal vormen van predictive policing.
Niet-transparante chatbots. Vanaf 2 augustus 2026 moet bij elke AI-chatbot bij eerste interactie duidelijk zijn dat de klant met een AI praat. Een vermelding in de algemene voorwaarden is niet voldoende. Hetzelfde geldt voor AI-gegenereerde tekst in publieke communicatie (tenzij er menselijke redactionele controle is met expliciete verantwoordelijkheid) en voor deepfakes.
De drie deadlines die er echt toe doen
Veel berichtgeving over de AI-verordening focust op de hoog-risico deadlines en het uitstel daarvan. Voor de meeste verzekeraars en financiële dienstverleners zijn andere data belangrijker.
— in werking
AI-geletterdheid (artikel 4) en verboden AI (artikel 5)
Iedereen die AI inzet — aanbieder of gebruiksverantwoordelijke — moet zijn team passend opleiden over de werking en risico's. Verboden toepassingen mogen niet meer op de markt.
— in werking
DORA
Volledig van toepassing op verzekeraars, verzekeringstussenpersonen (inclusief volmacht partijen) en hypotheekadviseurs die in verzekeringen bemiddelen. ICT-risicobeheer, incidentmelding, leveranciersbeheer en weerbaarheidstests.
— harde deadline
Transparantieverplichtingen (artikel 50)
Chatbots, deepfakes, AI-gegenereerde content — vanaf deze datum handhaafbaar. Ook handhaving van artikel 4 en 5 start. Dit raakt vrijwel elke partij die AI in klantcontact inzet.
— verwacht
Cyberbeveiligingswet (NIS2)
Voor verzekeraars en grotere volmachten/hypotheekkantoren vanaf circa 50 fte of €10M omzet. Bestuurlijke aansprakelijkheid, tien minimummaatregelen, strikte meldplichten.
— harde deadline
Watermerken generatieve AI
Voor genAI-systemen die vóór 2 augustus 2026 al op de markt zijn — output moet machine-leesbaar gemarkeerd zijn.
— uitgesteld via Omnibus
Hoog-risico AI onder Annex III
Risicobeoordeling en pricing voor leven/zorg, kredietbeoordeling, en andere Annex III-categorieën. Oorspronkelijk 2 augustus 2026; via de Digital Omnibus 16 maanden uitgesteld.
De boodschap uit deze tijdlijn: de echte werkdruk voor de meeste partijen ligt niet bij december 2027, maar bij augustus 2026 — en het werk daarvoor (inventariseren, classificeren, transparantie inrichten) is precies het werk dat ook de basis legt voor compliance met de zwaardere regels later.
Drie populaire misverstanden
In gesprekken met bestuurders horen we drie misverstanden zo vaak terug, dat ze inmiddels het patroon van de markt bepalen. Tijd om ze te corrigeren.
Alleen specifieke toepassingen zijn hoog-risico — risicobeoordeling en pricing voor leven- en zorgverzekeringen, kredietbeoordeling. De operationele kern van verzekeringsbedrijfsvoering — claims, klantenservice, documentverwerking, fraudedetectie, kapitaalberekening — valt er expliciet buiten. Een AI-agent die schademeldingen afhandelt, valt onder beperkt of minimaal risico, niet hoog risico.
De Omnibus heeft alleen de hoog-risico verplichtingen uitgesteld, naar 2 december 2027. AI-geletterdheid (artikel 4) en het verbod op bepaalde toepassingen (artikel 5) gelden al sinds februari 2025. De transparantieverplichtingen (artikel 50) worden vanaf 2 augustus 2026 handhaafbaar. DORA werkt al ruim een jaar. De Cyberbeveiligingswet komt rond juli 2026. Wie nu wacht, loopt achter.
Artikel 22 AVG verbiedt het niet, maar bindt het aan voorwaarden. Geautomatiseerde besluiten met rechtsgevolg zijn toegestaan als ze noodzakelijk zijn voor uitvoering van de overeenkomst, wettelijk zijn toegestaan, of met uitdrukkelijke toestemming gebeuren. Een automatische uitkering van een standaardclaim die past binnen de polisvoorwaarden valt vaak onder de eerste grond. De klant moet wel recht op menselijke tussenkomst kunnen uitoefenen.
Wat daadwerkelijk het verschil maakt
Als de zwaarste regels voor de meeste toepassingen niet de échte zorg zijn, wat dan wel? Onze observatie, na talloze gesprekken met verzekeraars, volmachten en hypotheekkantoren: het zijn vier praktische zaken die in de praktijk vaker fout gaan dan de hoog-risico kwalificatie.
Uitlegbaarheid voor Kifid. Bij elke AI-beslissing die door een consument wordt aangevochten — een afgewezen claim, een geweigerde acceptatie, een verkeerd advies — moet je kunnen uitleggen waarom. In begrijpelijke taal. Aan een geschillencommissielid zonder data science achtergrond. Dat is geen AVG-eis op papier, het is een operationele realiteit. Black-box modellen die geen redenering kunnen tonen, zijn een Kifid-risico voordat ze een AI-verordeningsrisico zijn.
Vendor management onder DORA. AI-leveranciers worden in toenemende mate als ICT-derde partijen gezien. Dat betekent: leveranciersregister, contractuele afspraken die voldoen aan DORA, audit-rechten, exit-strategieën, monitoring. Voor verzekeraars is dit al lopende praktijk. Voor volmachten en grotere hypotheekkantoren is het een nieuwe verplichting die in 2025-2026 vorm krijgt.
Zorgplicht onder de Wft. AI verandert niets aan de zorgplicht. Als een AI-agent een fout maakt in het advies, of een claim onterecht afwijst, of een acceptatiebeslissing neemt die niet past bij de criteria, is de financiële dienstverlener verantwoordelijk. Niet de leverancier. Dat plaatst de bewijslast voor goede besluitvorming bij de gebruikende partij.
AVG artikel 22 bij geautomatiseerde beslissingen. De grootste valkuil hier is geen verbod, maar onzichtbaarheid. Een proces waarvan niemand goed weet of het automatisch beslist of voorbereid is voor menselijk besluit, is een AVG-risico — niet omdat het verboden is, maar omdat de juridische grondslag niet is uitgewerkt. Voor elke AI-toepassing moet helder zijn: is dit een geautomatiseerd besluit, of een ondersteund besluit? En welke grondslag onder artikel 22 geldt?
Tot slot
De Nederlandse verzekerings- en hypotheekmarkt staat aan de vooravond van een serieuze AI-versnelling. De regelgeving die daarbij hoort is omvangrijk maar werkbaar — als je weet welke regels echt op jouw toepassing van toepassing zijn, en welke niet.
De praktische winst van helderheid: organisaties die de regelgeving begrijpen, durven verder met automatisering dan organisaties die in algemene angst blijven hangen. Dat verschil is geen juridisch verschil. Het is een commerciële realiteit. De volmachten en verzekeraars die in 2026-2027 hun operationele kosten met 30-50% verlagen via gerichte AI-inzet, doen dat niet omdat zij over slimmere modellen beschikken dan hun concurrenten. Ze doen het omdat ze precies weten waar de regelgeving wel en niet pijn doet — en de operationele inrichting daarop afstemmen.
Voor de typische AI-toepassing waar wij bij Tableduck mee bezig zijn — claimverwerking, klantenservice, documentverwerking, acceptatie van standaardrisico's — geldt dat ze regulatoir in de werkbaarste categorieën zitten. Dat is geen reden om de regelgeving te negeren. Het is wel een reden om niet uit angst stil te blijven staan.
De vijf belangrijkste conclusies
- Het hoog-risico regime van de AI-verordening raakt veel minder toepassingen dan vaak gedacht wordt — vooral leven/zorg pricing en kredietbeoordeling.
- Claimverwerking, klantenservice, documentverwerking en standaardacceptatie vallen voor schade-, MKB- en zakelijke verzekeringen buiten het hoog-risico regime.
- De échte deadline voor de meeste partijen is 2 augustus 2026 (transparantie, AI-geletterdheid, verboden), niet december 2027 (hoog-risico).
- DORA en de Cyberbeveiligingswet veranderen vooral hoe je met AI-leveranciers omgaat — contracten, monitoring, exit-strategie.
- De échte risico's zijn uitlegbaarheid (Kifid), vendor management (DORA), zorgplicht (Wft) en heldere artikel 22 AVG-grondslagen. Niet de hoog-risico kwalificatie.
Geen pitch, geen verplichtingen. We stellen vragen en geven je een eerlijk beeld van wat mogelijk is en wat het oplevert.