AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Analyse

IOSCO's AI-toezichtinstrumentarium voor de kapitaalmarkten: een gedeeld instrument voor 's werelds effectentoezichthouders

Vastgesteld 2026-06-25 · ≈ 4 min lezen · Dirk Baaijen

Op 25 mei 2026 publiceerde IOSCO het eindrapport "Supervisory Toolkit for AI Use in Capital Markets" (FR/02/2026): niet-bindende instrumenten voor effectentoezichthouders op governance, derdenrisico, transparantie en vastlegging, over de hele AI-levenscyclus inclusief GenAI en agentic AI.

Op 25 mei 2026 publiceerde de International Organization of Securities Commissions (IOSCO) — de mondiale normsteller die de effecten- en markttoezichthouders verenigt die verantwoordelijk zijn voor het overgrote deel van de kapitaalmarkten ter wereld — haar eindrapport Supervisory Toolkit for AI Use in Capital Markets (FR/02/2026). Het is de kapitaalmarkt-tegenhanger van het prudentiële werk dat de Financial Stability Board over AI verricht: waar de FSB schrijft voor banken, verzekeraars en de instellingen die een prudentieel toezichthouder volgt, schrijft IOSCO voor de autoriteiten die beurzen, brokers, vermogensbeheerders en beleggingsadviseurs reguleren.

Net als de FSB-tekst is dit geen wet en geen standaard. IOSCO stelt uitdrukkelijk dat het rapport toezichthouders "praktische, niet-bindende, niet-voorschrijvende toezichtinstrumenten" biedt die toepasbaar zijn over toezichtmodellen heen — een flexibel kader in plaats van een regelboek, bewust zo geschreven dat het werkt of een lid nu een principle-based of een rule-based stelsel hanteert. IOSCO heeft geen bevoegdheid om haar leden te binden; haar instrumenten werken doordat ze het gedeelde referentiepunt worden waar nationale effectentoezichthouders naartoe convergeren.

Een instrumentarium, gebouwd op twee eerdere rapporten

De toolkit is de jongste fase van het werk van IOSCO's Fintech Task Force (FTF). Hij rust op twee voorgangers: het 2021 AI Report over het gebruik van AI en machine learning door marktintermediairs en vermogensbeheerders, en het 2025 AI Report, Artificial Intelligence in Capital Markets: Use Cases, Risks, and Challenges, dat in kaart bracht waar firma's AI daadwerkelijk inzetten — robo-advies, algoritmische handel, beleggingsonderzoek, sentimentanalyse en transactiemonitoring voor AML/CFT — en welke risico's daaruit volgen. Het rapport van 2026 vertaalt die diagnose naar een toezichtinstrument. Het ordenende kader zijn de drie klassieke IOSCO-doelen: beleggersbescherming, marktintegriteit en financiële stabiliteit.

Drie lagen, vier aandachtsgebieden

Het instrumentarium kent drie complementaire lagen:

  1. Terreinen voor toezichtoverweging — een kaart van waar AI-gebruik nadere

aandacht verdient, zodat een toezichthouder kan kiezen waar de schaarse toezichtcapaciteit het beste landt.

  1. Instrumenten voor toezicht op kerngebieden — de kern van het rapport, met

gedetailleerde instrumenten en voorbeeldvragen voor toezichtgesprekken en onderzoeken op vier aandachtsgebieden: (i) governance en risicobeheer; (ii) derden- en uitbestedingsrisico; (iii) transparantie/openbaarmaking; en (iv) vastlegging en rapportage.

  1. Indicatoren en gegevensbronnen — voorgestelde indicatoren om AI-adoptie te

monitoren, met methoden om informatie te vergaren (inspecties ter plaatse, gerichte enquêtes, toezichtdialoog, documentatieverzoeken).

De instrumenten zijn uitdrukkelijk niet uitputtend: een "gestructureerd startpunt", geen afvinklijst. IOSCO publiceerde daarnaast een los instrumentarium (OR/07/2026) — een uittreksel van hoofdstuk 3 zonder de analyse, bedoeld om mee te nemen naar een onderzoek ter plaatse.

Ontworpen voor GenAI en agentic AI, niet alleen klassieke ML

Wat het rapport van 2026 onderscheidt van eerdere toezichtrichtsnoeren is de expliciete reikwijdte tot nieuwere technieken. Het instrumentarium "beoogt de hele levenscyclus van een AI-systeem te bestrijken en op alle" AI-typen van toepassing te zijn — van traditionele machine learning tot generatieve AI (GenAI) en opkomende agentic AI. Het rapport behandelt die als risico-versterkers, niet slechts als nieuwe gereedschappen:

  • Hallucinaties — de probabilistische generatie van GenAI kan uitkomsten

opleveren die plausibel ogen maar feitelijk onjuist of verzonnen zijn, wat IOSCO benoemt als "een kritiek risico voor de financiële sector, waar vertrouwen en geloofwaardigheid van het grootste belang zijn". Het rapport inventariseert mitigaties zoals retrieval-augmented generation (RAG) en chain-of-verification.

  • Agentic AI — systemen die toegang hebben tot gevoelige data, externe inhoud

binnenhalen en autonoom handelen, roepen het vooruitzicht op van data-exfiltratie, emergent of collusief gedrag tussen componenten en doel-misalignment, met de mogelijkheid van cascade-effecten over onderling verbonden systemen. IOSCO erkent dat agentic AI "het toezicht uitdagender kan maken".

  • Macro-risico — in echo van de FSB waarschuwt IOSCO voor het gat in het meten

van hoe geaggregeerd gedrag op firmaniveau zich vertaalt in systeembreed stabiliteitsrisico wanneer veel firma's afhankelijk zijn van dezelfde kleine groep model- en cloudaanbieders.

Waar het landt voor een Europese firma

Voor een beleggingsonderneming of vermogensbeheerder binnen de EU komt de IOSCO-toolkit boven op een bindende stapel, niet ervoor in de plaats. Gedrag in beleggingsdiensten wordt beheerst door MiFID II, het werkelijke kader voor robo-advies en geautomatiseerd advies; ICT- en derdenrisico door DORA; en hoogrisico-AI zoals kredietscoring door de AI-verordening. IOSCO's vier terreinen sluiten daar nauw op aan: de derden-instrumenten rijmen op DORA's ICT-uitbestedingsregime, de governance-instrumenten op de kwaliteitsbeheers- en menselijk-toezichtplichten van de AI-verordening, en de transparantie-instrumenten op de gedragsregels van MiFID II. De waarde van het instrumentarium is geen nieuwe verplichting maar een gedeelde toezichttaal — die een mondiaal actieve firma kan gebruiken om één AI-governancesysteem tegelijk uit te leggen aan effectentoezichthouders in vele jurisdicties, en die toezichthouders in staat stelt aantekeningen te vergelijken.

Het voegt zich ook in de verdichtende soft-law-laag naast de sound practices van de FSB, het Hiroshima-rapportagekader van de G7 en de risicomanagementaanpak van NIST. IOSCO zegt te blijven coördineren met de FSB en als volgende stap een toetsing van opkomende praktijken te ondernemen op de terreinen die de toolkit aanwijst — het moment waarop een niet-bindend menu begint uit te harden tot een toezichtverwachting. Het bredere beeld van internationale AI-governance verklaart waarom organen zonder regelgevende macht toch de termen blijven stellen.

Bronnen

  1. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD823.pdf
    IOSCO-eindrapport FR/02/2026 (mei 2026), "Supervisory Toolkit for AI Use in Capital Markets"; niet-bindende instrumenten, drie lagen, vier aandachtsgebieden.
  2. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD822.pdf
    IOSCO OR/07/2026, het losse instrumentarium: een uittreksel van de toezichtinstrumenten uit hoofdstuk 3 voor gebruik tijdens inspecties ter plaatse.
  3. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD788.pdf
    IOSCO 2025 AI Report "Artificial Intelligence in Capital Markets: Use Cases, Risks, and Challenges", de risicoanalyse waarop de toolkit van 2026 voortbouwt.

Deel op LinkedIn

Lees ook

A

FSB-sound-practices voor verantwoorde AI-adoptie: een vrijwillig menu voor de mondiale financiële sector

Op 10 juni 2026 bracht de Financial Stability Board een consultatie uit met 12 vrijwillige sound practices voor verantwoorde AI-adoptie door financiële instellingen wereldwijd. Reageren kan tot 22 juli 2026. Het is een menu, geen norm, en richt zich niet op frontier-AI-modelrisico's.

U

AI en verzekerbaarheid: dekking van AI-risico's en aansprakelijkheid

Of AI-schade verzekerd is, hangt af van de polis, niet van de AI Act. De herziene Productaansprakelijkheidsrichtlijn vergroot de aansprakelijkheidsblootstelling, terwijl verzekeraars worstelen met ondoorzichtige, zelflerende en agentic systemen.

U

AI-aansprakelijkheid: wie betaalt als AI schade veroorzaakt?

De AI Act regelt veiligheid vooraf, niet schadevergoeding achteraf. Die vraag verschuift naar de herziene Productaansprakelijkheidsrichtlijn (PLD), die software en AI uitdrukkelijk als product behandelt en de bewijslast verlicht — terwijl de aparte AI Liability Directive in 2025 is ingetrokken.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.