De adoptie van AI is in de meeste organisaties sneller gegaan dan de ontwikkeling van het beleid ervan. Nu regelgeving strenger wordt en de risico’s toenemen, kunnen leiders zich geen onzekerheid veroorloven. De meest betrouwbare antwoorden bevinden zich echter gewoon binnen hun eigen financiële systemen.
Elke dag en op elke afdeling verwerken medewerkers klantgegevens, transactiegegevens en contractinformatie in hun AI-prompts. Op zich doen ze niets verkeerd, het is precies waar de technologie toe uitnodigt. Toch wordt een aanzienlijk deel van deze interacties volgens Europese wetgeving gekwalificeerd als een datalek, en vrijwel geen daarvan wordt vastgelegd.
Dit is geen governance probleem dat binnen één afdeling over het hoofd is gezien. Legal kent de AVG (Algemene verordening gegevensbescherming), maar heeft geen zicht op wat er in AI-tools wordt ingevoerd. IT overziet delen van de infrastructuur, maar niet het volledige gebruik van tools binnen alle teams en bij externe leveranciers. HR, operations en sales gebruiken AI ieder op hun eigen manier, maar geen van hen registreert welke informatie de organisatie verlaat.
De enige afdeling met een organisatiebreed overzicht van welke tools actief zijn, welke teams ze gebruiken en waarvoor wordt betaald, is finance. Dat betekent dat CFO’s, of ze dat nu willen of niet, een compliancevraagstuk in hun schoot geworpen krijgen.
Wat organisaties riskeren met ongecontroleerde AI
Tegenwoordig ontstaat een AVG-schending of reputatieschade niet per definitie door een hack, een datalek of een externe partij. Het gebeurt binnen de organisatie zelf, wanneer medewerkers, vaak onbewust, vertrouwelijke klant- of personeelsgegevens invoeren in een niet-zakelijke AI-tool. Het delen van persoonsgegevens met een niet-geautoriseerde partij vormt al een overtreding op het moment dat de prompt wordt verstuurd.
Als de tool buiten de EU wordt gehost, en dat geldt momenteel voor de meeste toonaangevende modellen, dan lopen de risico’s snel op. Dezelfde handeling kan namelijk ook in strijd zijn met de regels voor internationale gegevensoverdracht onder de Schrems II-uitspraak.
Stel bijvoorbeeld dat een medewerker in Amsterdam klantgegevens invoert in een in de VS gehoste AI-tool. Dat lijkt onschuldig, maar kan in de praktijk direct twee afzonderlijke juridische overtredingen veroorzaken zonder dat er verder iets mis hoeft te gaan.
Europese toezichthouders hebben tot nu toe voor meer dan €5,65 miljard aan AVG-boetes opgelegd. Meer dan 60% daarvan is sinds 2023 uitgedeeld, een periode die vrijwel precies samenvalt met de brede adoptie van AI op de werkvloer.
De druk blijft alleen maar toenemen. Vanaf 2 augustus 2026 wordt de EU AI Act in brede zin van kracht. Met name AI-systemen met een hoog risico, zoals in de financiële sector, moeten dan als eerste voldoen aan strengere eisen op het gebied van transparantie, eerlijkheid en beleid.
Dit voegt een extra laag toe aan regelgevingsrisico voor organisaties die AI inzetten bij kredietbeslissingen, fraudedetectie of klantgerichte financiële processen. Het niet kunnen aantonen van naleving leidt namelijk niet alleen tot boetes, maar kan ook gevolgen hebben voor de mogelijkheid om in de EU actief te blijven.
Gelukkig is er voor organisaties wel degelijk inzicht in het gebruik en de beheersing van AI, alleen bevindt dat zich niet op de meest voor de hand liggende plek.
Waarom het overzicht voor beheer bij finance ligt
Ondanks deze risico’s hebben de meeste middelgrote Europese organisaties geen aparte functie voor AI-beheer. Wat ze wél hebben, is een finance-team met een gedetailleerd overzicht van alle kaartbetalingen, cloudkosten en gedeclareerde software-abonnementen.
Dat overzicht is misschien niet perfect of volledig, maar biedt wel een organisatiebrede kijk op het gebruik van AI-tools die geen enkele andere afdeling kan evenaren. Het laat zien welke tools in gebruik zijn, welke teams ze gebruiken, wat ze uitgeven en bij welke aanbieders.
Deze data helpt om belangrijke blinde vlekken in AI-beheersing weg te nemen. Functionarissen voor gegevensbescherming kunnen niets beheersen wat niet wordt bijgehouden, en legal kan risico’s niet beoordelen als onduidelijk is wie welke interacties heeft uitgevoerd. Zonder deze data ontbreekt simpelweg het benodigde inzicht.
Wanneer toezichthouders een AI-gerelateerd datalek onderzoeken, is de eerste vraag vaak: wie wist welke tools werden gebruikt, en wanneer? In de meeste Europese organisaties is finance op dit moment de enige afdeling die dat kan overzien. Des te belangrijker dat zij hun rol ook zo gaan zien.
Waarom CFO’s en AI-beheer een goede match zijn
Wat kunnen finance-teams concreet doen om grip te krijgen op AI-beheer?
De eerste stap is om te beginnen bij het uitgavenoverzicht zelf. Breng in kaart welke tools officieel door de organisatie zijn goedgekeurd en welke meer als vrij toegankelijke of persoonlijke tools worden gebruikt. Enterprise-oplossingen gaan meestal gepaard met concrete afspraken over dataverwerking, waarin duidelijk en controleerbaar is vastgelegd hoe data wordt verwerkt. Bij vrij toegankelijke tools ontbreekt dit vaak, waardoor ingevoerde data kan worden gebruikt om toekomstige modellen te trainen buiten de eigen organisatie en buiten het bereik van de eigen databeveiliging. Zodra gevoelige data in zo’n keten terechtkomt, is er geen manier meer om die terug te halen.
Finance is op dit moment de enige afdeling die dit onderscheid op schaal kan afdwingen, simpelweg omdat zij als enige het volledige overzicht hebben over het gebruik van tools binnen de hele organisatie.
Vanuit daar is het belangrijk dat finance-teams het uitgavenoverzicht koppelen aan legal en data protection. Dit financiële overzicht vormt de basis voor elke vorm van compliance, en die moet op orde zijn voordat er vragen worden gesteld. Want dit achteraf moeten reconstrueren, onder druk van toezichthouders, brengt je in een veel lastiger positie.
Op dit moment is het onwaarschijnlijk dat organisaties deze verantwoordelijkheid formeel bij de CFO neerleggen. Maar dat organisaties traag reageren, betekent niet dat finance-teams dat ook moeten doen. Hun kracht ligt juist in het interpreteren van data en het verbinden van inzichten door de hele organisatie heen om zo stabiliteit en innovatie mogelijk te maken.
Als het gaat om AI-beleid is de context misschien veranderd, maar de benodigde vaardigheden zijn dat niet.
Het Digital Omnibus-voorstel van de Europese Commissie, dat momenteel wordt beoordeeld, stelt voor om de implementatietermijnen voor bepaalde regels rond high-risk systemen te verlengen, waar technische standaarden nog niet definitief zijn vastgesteld. De datum van 2 augustus 2026 blijft vooralsnog staan op het moment van publicatie, maar verdient blijvende aandacht. Bron: Europese Commissie AI Act-pagina, digital-strategy.ec.europa.eu.
Dit is een ingezonden bijdrage van Pleo. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.