News Update Financial Regulatory

Gebruik van artificiële intelligentie (AI) door verzekeringsondernemingen en verzekeringstussenpersonen – EIOPA's concept opinie
Aanmelden news updates
4 maart 2025

In deze News Update bespreken wij: gebruik van artificiële intelligentie (AI) door verzekeringsondernemingen en verzekeringstussenpersonen – EIOPA's concept opinie; uitbreiding uitbestedingsregels – consultatie Wijzigingsbesluit financiële markten 2026; en kapitaaleisen voor kredietinstellingen in verband met blootstelling aan crypto-activa.

Verder lichten wij een aantal andere financieel toezichtrechtelijke publicaties uit die zijn uitgebracht sinds onze laatste News Update.

Gebruik van artificiële intelligentie (AI) door verzekeringsondernemingen en verzekeringstussenpersonen – EIOPA's concept opinie

De Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA) heeft op 10 februari 2025 – voor consultatie – haar concept opinie over het gebruik van AI door verzekeringsondernemingen en verzekeringstussenpersonen gepubliceerd. Marktpartijen hebben tot 12 mei 2025 de tijd om via deze survey op de consultatie te reageren.

Deze opinie is weliswaar gericht aan nationale bevoegde autoriteiten zoals de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB), maar biedt ook waardevolle inzichten voor partijen die AI overwegen te gebruiken of al gebruiken met betrekking tot hun verzekeringsactiviteiten. De bijlagen bij het advies bieden hulpmiddelen voor verzekeringsondernemingen om hun gebruik van AI vast te leggen en de bijbehorende risico's in kaart te brengen.

EIOPA wijst erop dat AI zoals gedefinieerd in Verordening (EU) 2024/1689 (de AI Act) naar verwachting een sleutelrol zal vervullen in de digitale transformatie binnen de verzekeringssector, nu in de gehele verzekeringswaardeketen steeds meer gebruik wordt gemaakt van AI-systemen. AI kan bijdragen aan het versnellen van geautomatiseerde claimafhandeling, het verbeteren van risicobeoordelingen en het terugdringen van fraude door klanten. AI kan daarentegen ook grotere risico's met zich meebrengen vanwege de beperkte verklaarbaarheid van bepaalde AI-systemen en vertekende of zelfs discriminerende resultaten.

In de AI Act worden AI-systemen in vier categorieën onderverdeeld al naargelang het risiconiveau: verboden, hoog risico, beperkt risico en minimaal risico. In het geval van natuurlijke personen die zijn gedekt onder levens- en ziektekostenverzekeringen kwalificeert de AI Act het gebruik van AI-systemen voor risicobeoordeling als een activiteit met een hoog risico. Voor het gebruik daarvan gelden specifieke vereisten voor governance en risicobeheer.

Voor het gebruik van andere AI systemen voor verzekeringsproducten, tenzij dit gebruik op grond van de AI Act verboden is, gelden de relevante vereisten in bestaande Europese sectorwetgeving, waaronder artikel 41 (governance) van de Solvency II-richtlijn (Richtlijn 2009/138/EC), artikel 17 (billijke behandeling van klanten) en artikel 25 (productgoedkeuringsproces) van de Richtlijn verzekeringsdistributie (Richtlijn (EU) 2016/97, IDD), en artikel 5 en 6 (interne governance en kaders voor risicobeheer) van de Verordening digitale operationele weerbaarheid (Verordening (EU) 2022/2554, DORA).

EIOPA wijst er als uitgangspunt op dat bij gevallen waarin AI-gebruik een beperkt of minimaal risico oplevert toch verschillende risiconiveaus kunnen spelen. Maatregelen voor governance en risicobeheer moeten toereikend en evenredig zijn ten opzichte van de betreffende gebruikssituatie. Bij impact beoordelingen moet worden bekeken:

  • of grootschalige gegevensverwerking plaatsvindt;
  • of AI-systemen autonoom kunnen handelen; en
  • welke nadelige gevolgen AI-systemen kunnen hebben voor het recht op non-discriminatie.


Andere relevante aspecten zijn onder meer de mate waarin AI-systemen worden gebruikt:

  • in een bedrijfsactiviteit die belangrijk is voor de financiële inclusie van klanten of wettelijk verplicht is;
  • voor kritieke activiteiten die van invloed kunnen zijn op de bedrijfscontinuïteit van een verzekeringsonderneming; en
  • op een wijze die van invloed kan zijn op de financiële situatie van een verzekeringsonderneming.


Ondernemingen moeten op basis van deze impact beoordeling passende en evenredige governance- en risicobeheermaatregelen formuleren om een verantwoord gebruik van AI-systemen te garanderen. Daarbij moeten de volgende aspecten aan bod komen:

  • billijkheid en ethiek;
  • datagovernance;
  • bewaring van documentatie/gegevens;
  • transparantie en verklaarbaarheid;
  • menselijk toezicht; en
  • nauwkeurigheid en cyberweerbaarheid.


In deze opinie wordt op elk van deze aspecten nader ingegaan. Het niveau van toegepaste waarborgen moet aansluiten bij de specifieke risico's van een AI-systeem en het gebruik ervan. Verder moeten ondernemingen hun aanpak met betrekking tot AI-gebruik vastleggen in de relevante beleidsdocumenten en daarbij ook ingaan op verantwoordelijkheid, verantwoording en menselijk toezicht. Daarnaast moet personeel toegang hebben tot toereikende training en worden voorgelicht over de geldende aanpak en beleidsregels.

Uitbreiding uitbestedingsregels – consultatie Wijzigingsbesluit financiële markten 2026

Op 23 januari 2025 heeft de Nederlandse wetgever een consultatie geopend waarin marktpartijen kunnen reageren op het concept Wijzigingsbesluit financiële markten 2026 (Wijzigingsbesluit). Het Wijzigingsbesluit beoogt onder meer om twee nieuwe artikelen toe te voegen aan het Besluit Gedragstoezicht financiële ondernemingen Wft (Bgfo Wft), artikel 38l en 38m. Deze artikelen zullen de regels over uitbesteding substantieel uitbreiden voor aanbieders van beleggingsobjecten, aanbieders van krediet, bemiddelaars, adviseurs en (onder)gevolmachtigde agenten (hierna financiële dienstverleners). De uitbestedingsregels en leidraden van de AFM over uitbesteding voor financiële dienstverleners zijn in de huidige situatie zeer beperkt. De nieuwe regels zien op het volgende.

Uitbesteding – kader en noodzaak voor wetswijziging

In het Wijzigingsbesluit legt de wetgever kort uit dat uitbesteding van werkzaamheden door (onder andere) financiële dienstverleners kan vallen onder de definitie van uitbesteden als bedoeld in artikel 1:1 van de Wet op het financieel toezicht (Wft). Dit komt neer op het laten uitvoeren door derden van werkzaamheden die deel uitmaken van of voortvloeien uit het verlenen van financiële diensten, of die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan. Financiële dienstverleners die werkzaamheden uitbesteden, blijven verantwoordelijk voor de naleving van de Wft.

De AFM heeft in 2020 een uitvraag over uitbesteding gedaan onder financiële dienstverleners om inzicht te krijgen in het voorkomen van uitbestedingsrisico's en de mate waarin en wijze waarop deze risico's worden beheerst door financiële dienstverleners. Hieruit volgde dat er in 11% van de onderzochte gevallen geen getekende overeenkomst was met de derde, en dat in maar liefst 70% van de gevallen de risico's verbonden aan uitbesteding niet in kaart waren gebracht.

Register

Op grond van het nieuwe artikel 38l lid 1 Bgfo Wft moeten de financiële dienstverleners een register bijhouden met informatie over alle werkzaamheden die zij uitbesteden en aan wie zij die werkzaamheden uitbesteden. Dit betekent dat de financiële dienstverleners duidelijk in kaart moeten (blijven) brengen welke partijen diensten voor hen verrichten die kwalificeren als uitbesteding. De wetgever verduidelijkt dat hieronder ook groepsmaatschappijen van financiële dienstverleners vallen aan wie werkzaamheden worden uitbesteed.

Schriftelijke overeenkomst

Het tweede en derde lid van het nieuwe artikel 38l Bgfo Wft verplichten financiële dienstverleners om schriftelijke overeenkomsten te sluiten met derden waaraan werkzaamheden worden uitbesteed. Deze overeenkomsten moeten in ieder geval de volgende zaken vastleggen:

  • de rechten en verplichtingen van de financiële dienstverlener en de derde waaraan de werkzaamheden zijn uitbesteed;
  • de onderlinge informatie-uitwisseling met inbegrip van afspraken over het beschikbaar stellen van informatie die toezichthouders ter uitvoering van hun wettelijke taak opvragen (bijvoorbeeld informatie over incidenten, welke informatie de financiële dienstverlener bij de AFM moet melden);
  • de mogelijkheid voor financiële dienstverleners om te allen tijde wijzigingen aan te brengen in de wijze waarop de uitvoering van de werkzaamheden door de derde geschiedt (bijvoorbeeld naar aanleiding van een aanwijzing of instructie van de AFM);
  • de verplichting voor de derde om de financiële dienstverlener in staat te stellen blijvend te voldoen aan de wet;
  • de wijze waarop de continuïteit van de bedrijfsvoering van de financiële dienstverlener gewaarborgd blijft;
  • de wijze waarop de beveiliging van geautomatiseerde processen wordt geborgd en incidenten worden gerapporteerd aan de financiële dienstverlener;
  • de wijze waarop de overeenkomst wordt beëindigd en de wijze waarop wordt gewaarborgd dat de financiële dienstverlener de werkzaamheden na beëindiging van de overeenkomst weer zelf kan uitvoeren of door een andere derde kan laten uitvoeren.


Deskundigheid en zorgvuldigheid

Financiële dienstverleners moeten daarnaast op grond van lid 4 van het nieuwe artikel 38l Bgfo Wft waarborgen dat zij over de nodige deskundigheid beschikken en de nodige zorgvuldigheid en waakzaamheid in acht nemen bij het aangaan, beheren of beëindigen van overeenkomsten met derden. Dit brengt mee dat de financiële dienstverlener onderzoek moet doen naar de geschiktheid van een derde voordat werkzaamheden aan deze derde worden uitbesteed. Het laatste lid van nieuw artikel 38l Bgfo Wft benadrukt die verantwoordelijkheid van de financiële dienstverlener om de nodige deskundigheid te waarborgen, door te bepalen dat hiermee ook doeltreffende (doorlopende) controle op de uitbestede werkzaamheden moet worden uitgeoefend.

Meldplicht AFM voor verzekeraars

Het nieuw voorgestelde artikel 38m Bgfo Wft regelt tot slot dat verzekeraars die voornemens zijn om werkzaamheden uit te besteden die vallen onder het Deel Gedragstoezicht van de Wft, de AFM daarvan in kennis moet stellen. Het kan dan bijvoorbeeld gaan om werkzaamheden die door een verzekeraar worden uitbesteed aan een gevolmachtigd agent.

Inwerkingtreding

Het door de wetgever gepubliceerde Wijzigingsbesluit is nog slechts een concept. De consultatieronde is geopend tot en met 7 maart 2025. Wordt het Wijzigingsbesluit in de huidige vorm aangenomen, dan zal deze naar verwachting begin 2026 in werking treden.

Kapitaaleisen voor kredietinstellingen in verband met blootstelling aan crypto-activa

De Europese Bankenautoriteit (EBA) heeft op 8 januari 2025 een consultatieronde geopend over het ontwerp van technische reguleringsnormen (Regulatory Technical Standards) voor de zorgvuldige ('prudente') behandeling van crypto-activa-blootstellingen onder de EU Verordening kapitaalvereisten 3 (Capital Requirements Regulation 3) (Verordening (EU) 2024/1623) (CRR 3). CRR 3 bevat een overgangsregime voor de prudente behandeling van crypto-activa-blootstellingen, dat vanaf 9 juli 2024 geldt voor kredietinstellingen. De EBA publiceert nu onderhavige technische normen ter uitvoering van dat overgangsregime. Ondertussen werkt de Europese Unie aan een nieuw regelgevend kader dat moet waarborgen dat kredietinstellingen die zich bezighouden met crypto-activiteiten goed bestand zijn tegen de volatiliteit van crypto-activa. Dit regelgevend kader zal het overgangsregime uiteindelijk vervangen. De Europese Unie heeft tot 30 juni 2025 om dat nieuwe kader te ontwikkelen.

Het doel van de technische normen die nu zijn gepubliceerd, is om kredietinstellingen die blootstaan aan crypto-activa een consistent en uniform richtsnoer te bieden zodat adequaat kapitaal kan worden aangehouden om potentiële risico’s en verliezen door crypto-activa-blootstellingen op te vangen. Dit is van bijzonder belang gezien de hoge volatiliteit en de specifieke risico's die crypto-activa met zich meebrengen.

De voorgestelde normen behandelen een breed scala aan onderwerpen, waaronder de berekening van krediet-, markt- en tegenpartijrisico’s en de kapitaaleisen voor crypto-activa-blootstellingen aan verschillende typen crypto-activa, zoals electronic money tokens (EMTs), asset-referenced tokens (ARTs) waarvan de waarde is gelinkt aan traditionele activa en overige crypto-activa, zoals ongedekte varianten (bijvoorbeeld Bitcoin). Met name voor deze overige crypto-activa wordt een maximale blootstellingslimiet opgelegd. Daarnaast omvatten de technische reguleringsnormen rapportage- en openbaarmakingsvereisten ten aanzien van crypto-activa-blootstellingen en aanverwante activiteiten.

Verder behandelen de technische reguleringsnormen technische elementen zoals het gebruik van verrekening, het samenvoegen van short en long posities in crypto-activa en de formules voor het berekenen van de blootstellingswaarde van crypto-activa voor de behandeling van onder meer tegenpartijrisico's en marktrisico's.

Met de consultatie beoogt de EBA een geharmoniseerde benadering binnen de EU te realiseren, waardoor de stabiliteit van het financiële systeem wordt versterkt. Het is een belangrijke stap richting de regulering van de snelgroeiende crypto-markt. Marktpartijen kunnen hun opmerkingen op de concept technische normen indienen tot 8 april 2025.

Andere financieel toezicht rechtelijke publicaties

We hebben een selectie van andere publicaties van wetgevers en regelgevers voor de financiële markten en financieel toezicht uitgelicht sinds onze februari 2025 News Update.

AFM

  • Op 7 februari 2025 publiceerde de AFM aandachtspunten voor prospectussen in 2025. Door de komst van de EU Listing Act (Verordening (EU) 2024/2809) zullen belangrijke veranderingen in de prospectusregelgeving plaatsvinden. Deze veranderingen worden in 3 fasen doorgevoerd, waarvan de eerste fase al per 4 december 2024 in werking is getreden.


DNB

  • Op 3 februari 2025 publiceerde DNB de nieuwe geschiktheidsmatrix voor bestuurderstoetsingen die aansluit bij de hernieuwde Beleidsregel geschiktheid 2012 (uit 2023).
  • Op 11 februari 2025 opende DNB een consultatieronde voor haar nieuwe Gids voor de beheersing van klimaat- en milieurisico's voor verzekeraars, elektronisch geldinstellingen, betaalinstellingen, beleggingsondernemingen, beleggingsinstellingen en pensioenfondsen.
  • Op 18 februari 2025 publiceerde DNB een nieuwbericht over de Instant Payments Regulation (Verordening (EU) 2024/886) die op 8 april 2024 in werking is getreden. Deze verordening heeft als doel het gebruik van instantovermakingen te bevorderen én om instantovermakingen in euro beschikbaar te maken voor burgers, ondernemingen en instellingen die in de EU of EER een betaalrekening aanhouden. DNB noemt onder andere dat per 9 april 2025 payment service providers DNB moeten informeren over het aandeel afwijzingen voor nationale én grensoverschrijdende instantovermakingen door gerichte financiële beperkende maatregelen toe te passen. Gelet op de publicatie van de EBA met de final draft ITS wordt deze datum waarschijnlijk met twaalf maanden uitgesteld.


EBA

  • Op 5 februari 2025 publiceerde de EBA een Opinie als reactie op de door de Europese Commissie voorgestelde wijzigingen op de EBA draft Regulatory Technical Standards (RTS) over belangenconflicten voor partijen die zogenoemde asset reference tokens (ARTs) uitgeven. ARTs zijn crypto-activa waarvan de waarde is gelinkt aan traditionele activa, zoals valuta of effecten, en vormen een strikt gereguleerde variant van de zogenoemde stablecoins. Deze concept RTS specificeren de vereisten voor beleidsdocumenten over belangenconflicten waarover ART-uitgevers onder de Markets in Crypto-Assets Regulation (Regulation (EU) 2023/1114, MiCAR) moeten beschikken, en specificeren de minimuminhoud van bekendmakingen van belangenconflicten. De EBA heeft hierbij rekening gehouden met recente governance failures in de cryptowereld, voornamelijk die hun oorzaak hadden in belangenconflicten.
  • Op 11 februari 2025 publiceerde de EBA het Final Report on amending Guidelines EBA/GL/2019/04 on ICT and security risk management. Hiermee heeft de EBA de scope van de bestaande Guidelines on ICT and security risk management measures in lijn gebracht met DORA met als doel om het ICT risk management framework te versimpelen en verduidelijken.


ESMA

  • Op 14 februari 2025 publiceerde ESMA een nieuwsbericht dat zij een Common Supervisory Action heeft gelanceerd met nationale toezichthouders van beheerders van instellingen voor collectieve beleggingen in effecten en alternatieve beleggingsinstellingen over effectieve compliance en interne controlefuncties met voldoende personeel, bevoegdheid, kennis en expertise. In 2025 zullen de nationale toezichthouders hun bevindingen hierover delen met ESMA, en ESMA zal in 2026 haar rapport hierover publiceren.
  • Op 17 februari 2025 opende ESMA een consultatieronde met betrekking tot de criteria voor de beoordeling van kennis en vaardigheden van personeel van aanbieders van cryptoactivadiensten dat informatie of advies over cryptoactiva of cryptoactivadiensten geeft.
  • ESMA publiceerde een nieuwe editie van haar nieuwsbrief van januari en februari 2025. Onderwerpen die onder andere aan bod komen zijn: (i) vereenvoudiging en lastenverlichting; (ii) leidraad inzake best practices onder MiCAR; (iii) leidraad inzake niet-MiCAR-conforme ART’s en EMT’s (stablecoins); (iv) analyse van de EBA en ESMA van recente ontwikkelingen in cryptoactiva; en (v) onderzoek van de ESA’s naar de haalbaarheid van verdere centralisatie van de melding van grote ICT-gerelateerde incidenten door financiële entiteiten.

EIOPA

  • Op 20 februari 2025 publiceerde EIOPA een Supervisory Statement over de aftrek van voorzienbare dividenden onder Solvency II.

ESA’s

  • Op 18 februari 2025 publiceerden de ESA's een 'roadmap' met de manier waarop zij toezicht zullen houden op de kritische third-party ICT service providers onder DORA.

Wetgever

  • Op 14 februari 2025 opende het Ministerie van Financiën een consultatie voor een nadere uitvoering van de implementatie van de Richtlijn herstel en afwikkeling van banken en beleggingsondernemingen (Richtlijn 2014/59/EU), over het herstel- en afwikkelingskader voor banken en beleggingsondernemingen die in grote problemen geraken (falen). Met de voorgestelde wet wordt onder andere de Wft gewijzigd. Gebleken is dat er enkele verbeteringen mogelijk zijn om dit kader beter uitvoerbaar te maken voor de Nederlandse afwikkelingsautoriteit (De Nederlandsche Bank) en om dichter bij de tekst van de richtlijn aan te sluiten.


Bij verdere vragen, schroom niet om contact op te nemen met Berry van Wijk, Juan Vervuurt, Lisanne Haarman of Gijs Hamelijnck.

 
Written by:

Key Contact

Rotterdam
Berry van Wijk
Advocaat | Partner
+31102172429
+31651845344
Stuur e-mail

Key Contact

Amsterdam
Juan Vervuurt
Advocaat | Counsel
+31206056725
+31651858146
Stuur e-mail

Key Contact

Amsterdam
Lisanne Haarman
Advocaat | Senior Associate
+31206056117
+31683206576
Stuur e-mail

Key Contact

Rotterdam
Gijs Hamelijnck
Advocaat | Senior Associate
+31102172560
+31612230140
Stuur e-mail