Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

AI-fraudedetectie in de financiële sector: de uitzondering in bijlage III

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

AI die financiële fraude opspoort is in bijlage III uitdrukkelijk uitgezonderd van de hoog-risicokwalificatie voor kredietscoring. Die uitzondering is smal: hij geldt alleen voor échte fraudedetectie, niet voor kredietbeoordeling onder een fraudelabel. AVG en governance blijven gelden.

Kort antwoord: De AI Act merkt kredietwaardigheidsbeoordeling aan als hoog-risico, maar bijlage III punt 5(b) maakt daarop één expliciete uitzondering: AI-systemen die worden gebruikt om financiële fraude op te sporen, vallen niet onder die hoog-risicocategorie. De uitzondering is bewust smal. Hij dekt fraudedetectie, niet kredietbeoordeling die als fraudedetectie wordt gepresenteerd. De AVG en goede governance blijven onverkort gelden.

Wat de uitzondering precies zegt

Bijlage III, punt 5 kwalificeert AI voor kredietwaardigheidsbeoordeling en kredietscoring als hoog-risico. Direct daarna staat de uitzondering: dit geldt niet voor AI-systemen die worden gebruikt om financiële fraude op te sporen. De gedachte is dat fraudedetectie de consument juist beschermt en het financiële stelsel weerbaar maakt, terwijl kredietscoring over toegang tot diensten beslist. Zie ook AI bij kredietscoring, waar het hoofdregime wel geldt.

Waarom de uitzondering smal is

De uitzondering kan niet worden gebruikt om een kredietbeslissysteem buiten het regime te tillen door het "fraudedetectie" te noemen. Bepalend is de werkelijke functie en het effect op de betrokkene. Een systeem dat in de praktijk bepaalt of iemand krediet krijgt, blijft hoog-risico — ook als er een frauderisicocomponent in zit. Een systeem dat afwijkende transacties of identiteitsfraude signaleert, valt onder de uitzondering. Een gemengd systeem moet je daarom op functieniveau ontleden.

Toezichthouders zullen bij twijfel naar de uitwerking kijken, niet naar het etiket. Wie een grensgeval te ruim als "fraudedetectie" classificeert, draagt zelf het risico: blijkt het systeem feitelijk over kredietverlening te beslissen, dan ontbreekt de verplichte conformiteitsbeoordeling en is het systeem niet-conform op de markt gebracht.

Wat blijft gelden zonder hoog-risicostatus

Uitgezonderd zijn van bijlage III betekent niet ongereguleerd. Fraudedetectie verwerkt persoonsgegevens en valt volledig onder de AVG: grondslag, doelbinding, dataminimalisatie en transparantie. Leidt het systeem tot besluiten met aanzienlijke gevolgen (zoals het blokkeren van een rekening) op puur geautomatiseerde basis, dan speelt AVG-artikel 22. Daarnaast gelden de algemene AI Act-bepalingen die niet aan hoog-risico zijn gekoppeld, en de sectorale eisen voor financiële instellingen, waaronder operationele weerbaarheid onder DORA.

Wat te doen

  • Toets de werkelijke functie: detecteert het systeem fraude, of beslist het feitelijk over krediet? Documenteer die analyse.
  • Ontleed gemengde systemen op componentniveau en classificeer elk deel apart.
  • Blijf AVG-conform: regel grondslag, doelbinding en menselijke tussenkomst bij ingrijpende automatische besluiten.
  • Houd governance in stand: neem ook uitgezonderde systemen op in je AI-governanceraamwerk.
  • Borg uitlegbaarheid: een onterechte fraudevlag treft de klant hard; zorg voor herstel- en bezwaarroutes.

De fraude-uitzondering is reëel maar krap. Wie hem oprekt naar kredietbeslissingen, glijdt zonder conformiteitsbeoordeling het hoog-risicoregime in.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act): bijlage III punt 5(b) zondert AI voor het opsporen van financiële fraude uit van de krediet-hoogrisicocategorie.
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG): verwerking van persoonsgegevens bij fraudedetectie en geautomatiseerde besluitvorming.

Deel op LinkedIn

Lees ook

U

AI in verzekeringen: acceptatie en premiestelling

AI voor risicobeoordeling en premiestelling bij levens- en ziektekostenverzekeringen is hoog-risico onder bijlage III van de AI Act. Andere branches vallen er niet automatisch onder, maar AVG, solidariteitsregels en het discriminatieverbod gelden breed.

U

AI bij vastgoed en woningtoewijzing: essentiële diensten

AI die bepaalt wie toegang krijgt tot huisvesting raakt de kern van het hoogrisico-regime. Bijlage III van de AI Act noemt toegang tot essentiële private en publieke diensten; daarbovenop verbiedt de AVG discriminatie en stelt zij eisen aan geautomatiseerde besluiten.

U

AI bij kredietscoring: hoog risico onder de AI Act

AI die de kredietwaardigheid van consumenten beoordeelt is hoog-risico onder bijlage III van de AI Act. Daarbovenop gelden AVG-artikel 22 (geautomatiseerde besluiten) en het verbod op discriminatie. Drie regimes tegelijk dus, met bias-controle als kern.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.