EU AI Act voor finance-teams — wat je in 2026 echt moet regelen

De EU AI Act is de Europese verordening die AI-systemen classificeert op risico — van verboden (social scoring) tot hoog-risico (kredietscoring) tot beperkte transparantie-eisen (chatbots) — en gefaseerd vanaf 2025-2027 verplichtingen oplegt. Voor finance-teams: de meeste interne toepassingen vallen in de laagste risicocategorieën, maar specifiek HR-, credit- en compliance-AI vragen vroege documentatie, datakwaliteit-audits en menselijke oversight.

De EU AI Act is sinds augustus 2024 van kracht en fasering loopt door tot 2027. Voor finance-teams is de vraag niet of de wet geldt, maar welke onderdelen nu al raken aan het werk — en welke vooral een reputatie-issue zijn die de meeste MKB- en scale-up-finance-functies niet treft. Dit artikel is geen juridisch advies; het is een werkbare interpretatie voor CFO's en controllers die zelf willen weten waar ze op moeten letten.

De vier risicocategorieën in finance-context

De Act deelt AI in vier risicocategorieën, op basis van de toepassing — niet het onderliggende model. Dezelfde Claude die voor een commerciële prognose Tier 1 is, kan voor automatische kredietbeoordeling Tier 3 zijn.

Tier 4 — Unacceptable risk (verboden)

Social scoring, manipulatieve systemen, realtime biometrische identificatie. Raakt finance-teams niet. Wel goed te weten: een AI die medewerkers beoordeelt op gezichtsuitdrukkingen tijdens een variance-bespreking valt hier ook onder. Dit zien we in de praktijk niet.

Tier 3 — High risk (strikte regels)

Dit is de categorie waar finance écht moet opletten. Onder Annex III van de Act vallen onder andere:

• Kredietwaardigheidsbeoordeling van natuurlijke personen — automatische scoring voor klantkrediet, betalingsregelingen, of consumentenkrediet. Dit is voor B2C-bedrijven relevant en voor B2B-finance-teams die met particulieren werken.
• Fraudedetectie en AML — sommige van deze systemen vallen onder Annex III voor verzekeringen en financiële dienstverlening. Voor reguliere MKB-bedrijven die "verdachte transactiepatronen" door AI laten signaleren is dit doorgaans Tier 2, maar bij geautomatiseerde beslissingen (rekening blokkeren, betaling weigeren) verschuift het richting Tier 3.
• Werving en selectie, en — relevant voor finance — HR-toepassingen die beslissingen nemen over arbeidsvoorwaarden of beloning. Een AI die salarisbenchmarks doet is Tier 2; een AI die meebeslist over bonusverdeling kan Tier 3 zijn.

Voor Tier 3-systemen gelden risicomanagement, datagovernance, technische documentatie, logging en menselijke controle. Voor MKB-finance: als je zo'n systeem inkoopt ben je deployer en moet je kunnen aantonen dat je het correct gebruikt, logging bewaart en menselijke controle hebt. Als je het zelf bouwt (in N8N, in eigen code) ben je provider en geldt de volle lijst verplichtingen.

Tier 2 — Limited risk (transparantie)

Hier valt het meeste relevante finance-gebruik onder. Een chatbot voor debiteuren-vragen, AI-gegenereerde betalingsherinneringen, AI-toelichtingen op rapportages die naar externe stakeholders gaan. Verplichting: ontvangers moeten weten dat ze met (of via) AI communiceren, en AI-content moet als zodanig identificeerbaar zijn.

Praktische invulling voor finance: een regel onder de betalingsherinnering ("Deze herinnering is opgesteld met AI-ondersteuning en gecontroleerd door onze debiteurenafdeling") is genoeg. Verstop het niet — dat ondergraaft de transparantie-eis en levert later discussie op.

Tier 1 — Minimal risk (vrij)

Verreweg het meeste interne finance-gebruik zit hier: AI in spamfilters, hulp bij Excel-formules, samenvatting van een eigen vergadering, concept van een interne memo. Geen specifieke AI Act-verplichtingen, wel de andere wetten (GDPR, geheimhouding, contractuele bepalingen) die sowieso al golden.

GDPR versus EU-dataresidentie — een veelgemaakte verwarring

Een punt dat bij directies en finance-managers regelmatig door elkaar loopt: GDPR en EU-dataresidentie zijn niet hetzelfde.

GDPR is het regelboek: hoe mag je met persoonsgegevens omgaan, onder welke grondslag, met welke rechten voor betrokkenen, met welke meldplicht bij datalekken (72 uur). De regels gelden wereldwijd voor iedereen die data van EU-burgers verwerkt.

EU-dataresidentie is het adres: waar staan de servers fysiek. Dat is geen GDPR-eis. GDPR staat expliciet toe dat data buiten de EU wordt verwerkt, mits er adequate waarborgen zijn (Standard Contractual Clauses, adequacy decision, bindende bedrijfsregels).

Praktische consequentie voor finance: een tool kan GDPR-compliant zijn zonder dat de data in de EU staat (ChatGPT Business via SCCs is daar een voorbeeld van), en een tool kan in de EU gehost zijn en alsnog GDPR-tekortkomingen hebben in de logging of bewaartermijnen. Voor bepaalde finance-context — een trust-administratie, een vermogensbeheerder, een bank — geldt aanvullend dat de data fysiek in de EU moet blijven omdat de sectorregelgeving (Wft, MiCA) dat eist. Dat is sectorspecifiek, niet GDPR.

De compliance-status van de tools — voorjaar 2026

De situatie verandert snel. Een momentopname voor de tools die in MKB-finance veel voorkomen:

• Microsoft 365 Copilot — historisch het meest volwassen op EU-compliance, vooral relevant omdat veel finance-teams al in Office werken. Aandachtspunt: sinds april 2026 staat Flex Routing standaard aan, waardoor queries naar Amerikaanse servers worden gerouteerd als de EU vol zit. Beheerders moeten dit expliciet uitschakelen voor finance-tenant.
• Claude Enterprise — ISO 27001 + ISO 42001 gecertificeerd. EU-residentie via deploy op AWS of GCP, niet via het native Claude.ai-platform.
• ChatGPT Enterprise — volledig EU-compliant sinds januari 2026, inclusief EU-dataresidentie. Business-tier is GDPR-compliant via SCCs maar zonder EU-residentie.
• Gemini Workspace — DPA en SCCs aanwezig, data-verwerking in de VS. Geen EU-residentie in de standaardconfiguratie.
• Saldus.ai — EU-hosting (Vercel EU + Supabase EU), klant-eigen modelkeuze, geen training op klantdata, DPA op verzoek. Bij embedded deployments draait alles op de klant-eigen infrastructuur — geen data verlaat de klantomgeving.
• Grok (xAI) — meerdere lopende GDPR/DSA-onderzoeken, geen EU-residentie, consumer-voorwaarden op alle tiers. Niet verdedigbaar voor finance-gebruik met persoonsgegevens.

Dit is geen juridisch advies. De gebruiksvoorwaarden wijzigen regelmatig en een compliance-check hoort bij de inkoop van elk nieuw tool. Zet een herinnering per kwartaal.

De AI-geletterdheidsplicht voor finance-teams

Vanaf februari 2025 geldt artikel 4 van de AI Act: werkgevers moeten zorgen dat medewerkers die met AI werken "voldoende AI-geletterdheid" hebben, gegeven hun rol en de systemen die ze gebruiken. Wat "voldoende" is, is niet hard gedefinieerd.

In de praktijk voor finance betekent het: een aantoonbaar opleidingsprogramma waarin het team leert hoe AI werkt, wat de beperkingen zijn (hallucinaties op cijfers, outdated training data, het verschil tussen "klinkt goed" en "is correct"), en welke risico's de organisatie loopt. Een halfuurssessie met een simpele samenvatting voldoet, mits je kunt aantonen dat iedereen 'm gevolgd heeft (presentielijst, korte toets, of een ondertekend memo).

Voor finance is dit géén formaliteit. Een controller die niet weet dat een AI vrolijk een plausibel maar verzonnen IFRS-paragraaf kan citeren, is een aansprakelijkheids-incident in wording. Een AP-medewerker die niet weet dat een AI in een leverancier-PDF verstopte instructies kan opvolgen (prompt injection), idem.

Vijf praktische stappen voor finance

Wat moet een CFO of finance-manager van een MKB- of scale-up-bedrijf concreet doen?

1. Inventariseer alle AI-systemen die finance-data raken. Niet alleen de expliciete tools (Copilot, Claude), ook AI die verstopt zit in bestaande SaaS: de fraud-detectie in je betalingssysteem, de classificatie-AI in je expense-tool, de aanbevelingen in je banking-portal, de OCR in je facturatiestraat. Vraag aan elke leverancier: welke AI zit erin, welke risicocategorie, welke documentatie lever je?

2. Classificeer elk systeem per risicocategorie. Voor verreweg de meeste finance-toepassingen is dit Tier 1 of Tier 2. Als je Tier 3 hebt (kredietbeoordeling, geautomatiseerde uitkering-blokkering, HR-beloningsalgoritmes), reserveer dan tijd voor deugdelijke documentatie en houd rekening met de kans dat je moet wisselen van leverancier.

3. Leg transparantie vast voor Tier 2-uitingen. Als je AI-gegenereerde betalingsherinneringen of debiteuren-communicatie verstuurt: maak dat zichtbaar. Als je een chatbot op het facturatie-portal hebt: label hem. Goedkoop, eenvoudig, voorkomt later discussie.

4. Stel een AI-register op voor finance. Eén spreadsheet met per systeem: leverancier, tier, data-classificatie, GDPR-status, dataresidentie, verantwoordelijke binnen finance, datum laatste review. Dit is de basis van elk audit-traject en tegelijk een simpel sturingsinstrument richting RvC of investeerder.

5. Koppel het aan een AI-policy voor finance. Het AI-register is de "wat hebben we"-kant; de policy is de "wat mag wie ermee"-kant. Beide nodig. Zie AI-governance voor finance voor de policy-kant.

Audit-grade — hoe RJ/IFRS en de AI Act samenkomen

De Act eist voor Tier 3-systemen logging, technische documentatie en menselijke controle. Voor finance overlapt dat met wat RJ en IFRS-EU al verlangen rond interne beheersing (artikel 393/393a BW2, in-control statement). Praktisch: als je AI-tools meeneemt in je periodieke ICFR-evaluatie en je audit-trail van AI-acties bewaart op dezelfde manier als je boekhouding, dek je beide regimes in één keer af.

Dat klinkt onschuldig en is in de praktijk hét punt waar finance-teams een audit-discussie kunnen voorkomen: niet wachten tot de externe accountant vraagt "hoe weten we dat deze toelichting door een mens gecontroleerd is", maar het bewijs ervan in de standaard close-procedures opnemen.