EIOPA conceptopinie stelt nieuwe voorwaarden aan AI-gebruik door verzekeraars

Blog

Achtergrond en doel van de conceptopinie

Deze conceptopinie bouwt voort op het EIOPA rapport uit 2021: ‘Artificial Intelligence governance principles: towards ethical and trustworthy artificial intelligence in the European insurance sector.’ De opinie zal in haar definitieve vorm de basis vormen voor het door nationale toezichthouder te houden toezicht op het gebruik van AI in de verzekeringssector. EIOPA beoogt met haar opinie consistent toezicht op dit terrein in de gehele EU. EIOPA kondigt in de conceptopinie aan twee jaar na de publicatie van de definitieve opinie te evalueren hoe het toezicht door de nationale toezichthouders op AI in de verzekeringssector heeft vorm gekregen. EIOPA kondigt verder aan dat zij de nationale toezichthouders zal ondersteunen bij hun toezicht. Waar nodig zal EIOPA, in aanvulling op de handvatten opgenomen in de conceptopinie, nadat deze definitief is geworden, meer gedetailleerde analyses opstellen ten aanzien van specifieke AI-toepassingen.

De conceptopinie bevat waardevolle inzichten voor de verzekeringssector. Verzekeraars en bemiddelaars die al gebruik maken van AI-applicaties of dergelijk gebruik overwegen doen er goed aan zich te verdiepen in deze opinie en zo nodig te reageren op de consultatie.

De opinie overlapt deels met het gezamenlijke rapport van AFM en DNB uit 2024 inzake de impact van AI op de financiële sector en het toezicht.¹ Een belangrijk verschil is dat EIOPA specifieke eisen stelt aan risicobeoordeling en risicobeheer voor AI-gebruik met laag of minimaal risico. AFM en DNB hintten er in hun rapport op dat de, in de AI-verordening opgenomen, vereisten voor AI-toepassingen met hoog risico analoog zouden worden toegepast op AI-toepassingen met een laag of minimaal risico.² EIOPA komt in deze conceptopinie met specifieke leidraden voor AI-gebruik met laag of minimaal risico.

De visie van EIOPA op AI-gebruik

EIOPA ziet thans met name AI-gebruik bij schadeverzekeringen maar voorziet door de ontwikkelingen op AI-gebied en concurrentiedruk, de komende jaren een versnelde toename van AI-gebruik in de gehele verzekeringsketen. EIOPA verwacht dat AI een centrale rol zal spelen in de voortdurende digitale transformatie in de verzekeringssector. AI-gebruik kan leiden tot snellere geautomatiseerde schadeafhandeling, betere risicobeoordelingen en minder fraude door klanten. AI-gebruik kan echter ook leiden tot nieuwe risico’s. Deze risico’s kunnen het gevolg zijn van de beperkte uitlegbaarheid van de werking van bepaalde AI-systemen (het zogenoemde ‘black-box effect’) en de beperkte verifieerbaarheid van de uitkomsten van bepaalde AI-systemen. AI-systemen kunnen voorts leiden tot bevooroordeelde of zelfs discriminatoire uitkomsten. Bijvoorbeeld wanneer AI-tools zijn gebaseerd op incorrecte of bevooroordeelde trainingsdatasets.

EIOPA sluit in haar opinie aan bij de EU AI-verordening (Verordening (EU) 2024/1689) en het begrip kunstmatige intelligentie zoals daarin gedefinieerd. Verzekeraars en bemiddelaars die AI gebruiken, dienen toereikende en proportionele risicobeheer raamwerken op te stellen, waaronder AI maximaal benut kan worden, terwijl de risico’s adequaat worden beheerst.

Onderscheid onaanvaardbaar en hoog risico enerzijds en laag en minimaal risico anderzijds

De AI-verordening onderscheidt, op basis van hun risiconiveau, vier categorieën van AI-systemen: verboden/onaanvaardbaar risico (bijv. social scoring, biometrische identificatie, uitbuiting kwetsbaarheden), hoog risico, laag risico en minimaal risico. Verboden gebruik en hoog risicogebruik worden uitputtend gereguleerd door de AI-verordening. De AI-verordening kwalificeert het gebruik van AI-systemen voor risicobeoordeling en prijsstelling met betrekking tot natuurlijke personen voor levens- en zorgverzekeringen als hoog risicogebruik en onderwerpt dergelijk gebruik aan specifieke governance- en risicobeheersingsvereisten.

Voor overig AI-gebruik in de verzekeringssector, dat niet kwalificeert als verboden of hoog risicogebruik, gelden de relevante vereisten die zijn opgenomen in bestaande sectorale EU-wetgeving, waaronder artikel 41 Solvency II-richtlijn (governance), artikel 17 Insurance Distribution Directive (‘IDD’) (eerlijke behandeling van klanten), artikel 25 IDD (productgoedkeuringsproces) en de artikelen 5 en 6 Digital Operation Resilience Act (‘DORA’) (interne governance en risicobeheerkaders). De conceptopinie vertaalt deze bestaande vereisten naar AI-gebruik.

De vereisten voor AI-gebruik bij laag en minimaal risico

Als uitgangspunt wijst EIOPA erop dat elke AI-toepassing een verschillend risiconiveau kan hebben. De maatregelen op het gebied van governance en risicobeheer die gebruikers toepassen moeten adequaat en proportioneel zijn. Bij risicobeoordelingen moet aandacht worden besteed aan de volgende aspecten:

• is sprake van grootschalige gegevensverwerking;
• kunnen AI-systemen autonoom opereren; en
• welke negatieve gevolgen kunnen AI-systemen hebben voor het recht op non-discriminatie.

Daarnaast is relevant of AI-systemen worden gebruikt:

• voor producten of diensten die belangrijk zijn voor de financiële inclusie van klanten of die wettelijk verplicht zijn;
• voor kritieke diensten van verzekeraars, die van invloed kunnen zijn op de bedrijfscontinuïteit; of
• op een wijze die van invloed kan zijn op de financiële positie van een verzekeraar of op de naleving van wettelijke verplichtingen door een verzekeraar

Tenslotte, dienen verzekeraars reputatierisico’s die kunnen voortvloeien uit AI-gebruik ook mee te wegen.

Deze risicobeoordeling ten aanzien van AI-gebruik, vloeit volgens EIOPA voort uit artikel 41 Solvency II richtlijn, artikel 25 IDD en artikelen 4, 5 en 6 DORA.

Verzekeraars moeten vervolgens passende en evenredige governance- en risicobeheersmaatregelen formuleren om een verantwoord gebruik van AI-systemen te waarborgen. De bijlagen bij de conceptopinie bevatten voorbeelden van risicobeoordelingen, templates voor documentatie van AI-gebruik en specifieke indicatoren, die verzekeraars en bemiddelaars kunnen gebruiken als beginpunt om hun AI-gebruik en de risicobeoordeling daaromtrent te documenteren.

De risicobeheersmaatregelen die verzekeraars moeten nemen, zien op de volgende gebieden:

• eerlijkheid en ethiek;
• gegevensbeheer;
• documentatie/registratie;
• transparantie en uitlegbaarheid;
• menselijk toezicht;
• accuratesse en cyberweerbaarheid.

Veelal zal een combinatie van risicobeheersingsmaatregelen nodig zijn, die meerdere van de hiervoor genoemde gebieden adresseren om verantwoord AI-gebruik te waarborgen. EIOPA gaat in haar opinie nader in op elk van deze gebieden en geeft concrete handvatten hoe verzekeraars hieraan invulling kunnen geven en welke maatregelen zij kunnen treffen op elk van deze gebieden en benoemt hierbij specifieke aandachtspunten. Daarbij wijst EIOPA op de wettelijke basis van elk onderwerp en verwijst daarbij tevens naar de reeds beschikbare bronnen en leidraden. EIOPA verwijst in dat kader bij het onderwerp eerlijkheid en ethiek bijvoorbeeld naar haar Toezichthoudersverklaring inzake prijsdifferentiatie bij schadeverzekeringen waarin oneerlijke prijsstellingspraktijken worden benoemd die zich ook zouden kunnen voordoen bij gebruik van AI-tools bij prijsstelling.

Het niveau van de toegepaste waarborgen moet naar het oordeel van EIOPA zijn afgestemd op de specifieke risico’s van een AI-systeem en de specifieke toepassing daarvan door een verzekeraar of verzekeringsbemiddelaar. Ondernemingen moeten hun benadering ten aanzien van AI-gebruik verankeren in hun relevante beleidsdocumenten, waarbij ook wordt vastgelegd waar de verantwoordelijkheid voor gebruik van bepaalde AI ligt. Daarnaast moet personeel toegang hebben tot adequate opleiding en moet het worden geïnformeerd over de toepasselijke aanpak en het beleid.

Vervolg

De definitieve EIOPA opinie zou al in de tweede helft van dit jaar kunnen worden gepubliceerd. EIOPA acht van belang dat uniforme guidance snel beschikbaar is om te voorkomen dat instellingen achteraf omvangrijke aanpassingen moeten maken in hun risicobeheerraamwerken.

Opmerkelijk is dat deze opinie geen overgangstermijnen of -bepalingen bevat en dus in principe ook op al het reeds bestaand AI-gebruik door verzekeraar en bemiddelaars van toepassing kan zijn.

Verzekeraars en bemiddelaars die AI-applicaties toepassen of overwegen, doen er dus goed aan om nu al rekening te houden met de vereisten die EIOPA in haar conceptopinie daaraan stelt en als dat onwerkbaar is deze consultatie periode te gebruiken om daarvan melding te maken.

Het opstellen van handvatten voor veilig AI-gebruik is een goed initiatief en benadrukt de commitment van EIOPA om innovatie te faciliteren. Een uniforme aanpak door EU toezichthouders is vanuit level playing field gewenst. Wel zien wij enkele onduidelijkheden en aandachtspunten. Wij noemen er al vast twee.

De categorieën AI-gebruik met laag risico en minimaal risico zijn zeer omvangrijk. In beginsel vallen alle AI-toepassingen die verzekeraars of bemiddelaars binnen deze categorieën gebruiken onder de reikwijdte. Wij zouden ons kunnen voorstellen dat EIOPA materialiteitsdrempels of criteria formuleert die de reikwijdte zodanig beperken dat verzekeraars zich kunnen focussen op die toepassingen die werkelijk risicovol kunnen zijn. Hoe zinvol is het om de thans door EIOPA gegeven leidraden toe te passen op AI-gebruik dat is beperkt tot testomgevingen en bij innovatieprojecten/pilots, die los staan van de productieomgeving of AI-gebruik dat resulteert in output die voor gebruik 100 procent wordt gecontroleerd door deskundig personeel, zoals automatische vertalingen of gegenereerde illustraties?

De opinie noodzaakt tot proportionele en op maat gemaakte risicobeheersmaatregelen per AI-applicatie. Een dergelijke fijnmazige aanpak heeft voordelen maar kan resulteren in complexiteit en onoverzichtelijkheid, bij gebruik van meerdere AI-toepassingen binnen een instelling. Een situatie die zich waarschijnlijk veelvuldig zal voordoen. Risico’s en risicobeheersmaatregelen worden dan moeilijker toepasbaar en moeilijker uitlegbaar. Van groot belang is hoe instellingen op een praktische en consistente wijze invulling kunnen geven aan deze vereisten.

Noten

¹ https://www.dnb.nl/media/wg1pah15/78342-2400139-dnb-ia-pdf-ai-rapport_tg.pdf.

² AFM en DNB merken hierover in hun rapport ‘De impact van AI op de financiële sector en het toezicht’ (p. 29) het volgende op: ‘Voor toepassingen die geen hoog risico met zich brengen zullen de Europese Commissie en de lidstaten stimuleren dat gedragscodes worden ontwikkeld om zoveel mogelijk ook aan de vereisten voor hoogrisicosystemen te voldoen. Deze gedragscodes kunnen door de instellingen zelf of brancheorganisaties worden ontwikkeld. AFM en DNB sluiten zich hierbij aan, in lijn met eerdere uitingen.’