De risico’s van grootschalige data-analyse

Verzekeraars kunnen met AI grote hoeveelheden data analyseren. Zo kunnen ze patronen herkennen en risico-inschattingen maken. Maar dat brengt ook gevaren met zich mee.

AI krijgt een steeds grotere rol binnen de verzekeringssector. AI-systemen worden door verzekeraars in de praktijk ingezet voor fraudedetectie, kostenbeheersing en risicobeoordelingen van schadeclaims. Deze automatisering kan aanzienlijke voordelen opleveren door snellere en efficiëntere processen, lagere kosten en minder kans op het maken van fouten. Met name middelgrote en grote partijen lijken gebruik te maken van AI-toepassingen. Ongeveer 80 procent van de grote en middelgrote verzekeraars had in 2025 één of meerdere AI-toepassingen in gebruik in de reguliere bedrijfsprocessen. Dit in tegenstelling tot de kleine verzekeraars, waar dit percentage 21 procent bedroeg, volgens onderzoek van De Nederlandsche Bank (DNB).

Aanvullende eisen

Door de inzet van voorspellende AI-systemen kan het zwaartepunt binnen de verzekeringsmarkt geleidelijk verschuiven: besluitvorming op basis van historische gegevens maakt langzaam plaats voor risicosturing op grond van AI-gegenereerde voorspellingen. Binnen de zorgverzekeringssector is het gebruik van AI-toepassingen voor risicobeoordelingen en premiebepalingen daarom als hoog risico aangemerkt. Hoewel uit het onderzoek van DNB blijkt dat verzekeraars momenteel slechts in beperkte mate gebruikmaken van AI-systemen met een hoog risico, neemt dit niet weg dat de opkomst van dergelijke systemen gepaard gaat met eventuele risico’s.

Hoog-risico AI-systemen

Waarom vormen AI-systemen voor het gebruik van risicobeoordelingen en premiebepalingen door zorgverzekeraars een hoog risico en hoe wordt dit binnenkort verder ingekaderd? De inzet van datagedreven risicoprofielen stelt (zorg)verzekeraars (onder andere) in staat om steeds nauwkeuriger onderscheid te maken tussen verzekerden op basis van verwachte kosten. Slimme algoritmes maken risicobeoordelingen, ze voorspellen klantgedrag en handelen schadeclaims met hoge snelheid af.

Eldermans|Geerts:
“Doelgroepgerichte polissen kunnen een indirecte vorm van risicoselectie zijn”

Deze toepassingen leveren besparingen op, maar brengen ook gevaren met zich mee; juist bij zorgverzekeraars, die werken met gezondheidsgegevens en invloed kunnen uitoefenen op de toegankelijkheid van zorg. Dit zal in het bijzonder gelden voor aanvullende verzekeringen. Voor basisverzekeringen hebben zorgverzekeraars immers een acceptatieplicht. AI-toepassingen die worden gebruikt voor risicobeoordelingen en premiebetaling voor zorgverzekeringen worden dan ook aangemerkt als toepassingen met een hoog risico.

Doelgroepgerichte polissen

Tegelijkertijd geldt binnen het Nederlandse zorgstelsel een belangrijk uitgangspunt: op grond van de Zorgverzekeringswet is risicoselectie – het differentiëren tussen verzekerden op basis van de (verwachte) gezondheids- en schadelastrisico’s – verboden. Zorgverzekeraars zijn onder meer gehouden aan de acceptatieplicht en mogen geen premiedifferentiatie toepassen op basis van individuele gezondheidskenmerken. Dat betekent echter niet dat prikkels tot risicoselectie volledig zijn uitgesloten; uit de praktijk volgde eerder al dat bepaalde marktgedragingen, zoals doelgroepgerichte polissen (bijvoorbeeld gericht op hoogopgeleiden), kunnen functioneren als indirecte vorm van risicoselectie. Deze constructies blijven formeel gezien binnen de wettelijke kaders, maar kunnen in de praktijk leiden tot risicoselectie.

Het gebruik van AI-systemen in dit kader kan het risico van risicoselectie vergroten, maar dit verbod uit de Zorgverzekeringswet is niet specifiek toegespitst op het gebruik van AI. AI-systemen maken het mogelijk om op basis van grote hoeveelheden data risicoprofielen te ontwikkelen, waarbij ‘neutrale’ variabelen kunnen verdwijnen in complexe besluitvormingsprocessen. Dat kan problematisch zijn, omdat de bestaande wetgeving uitgaat van meer zichtbare en herleidbare vormen van selectie.

Vooroordelen

Daar komt bij dat data, gebruikt door generatieve AI-systemen, het risico op vooroordelen kan vergroten, ook wel een AI bias genoemd. Deze AI bias kan ontstaan door het ontwerp van de modellen zelf, of uit de data die wordt gebruikt om het AI-systeem te trainen. Wanneer een AI-systeem op basis van dergelijke ‘bevooroordeelde’ data een risico-inschatting maakt, bestaat het risico dat deze vooroordelen worden overgenomen en resulteren in onjuiste en/of discriminatoire beoordelingen. Deze vooroordelen zijn niet alleen direct terug te voeren naar kenmerken zoals afkomst of leeftijd, maar kunnen ook ontstaan via zogenoemde proxy-variabelen.

Het risico ontstaat wanneer het AI-systeem deze variabelen gebruikt als voorspellers van individueel risicogedrag. Hoewel het systeem bijvoorbeeld niet expliciet etniciteit of sociaaleconomische status meeneemt, kan het via deze variabelen toch tot vergelijkbare uitkomsten komen. Dit kan ertoe leiden dat bepaalde groepen systematisch als ‘hoger risico’ worden geclassificeerd, terwijl daar geen grond voor bestaat, want het is immers gebaseerd op bestaande groepskenmerken, zoals etniciteit of sociaaleconomische positie (en niet op basis van gedrag van individuele kenmerken).

Black box

Een ander risico van het gebruik van hoog-risico AI-systemen door zorgverzekeraars is de uitlegbaarheid van AI-systemen (en de output daarvan), het black-boxmodel genoemd. De systemen zijn vaak onvoldoende transparant en baseren hun uitkomsten op complexe interne berekeningen die niet of nauwelijks inzichtelijk te maken zijn. Hierdoor kan het voorkomen dat AI-toepassingen beslissingen nemen waarvan de onderliggende redenering niet of slechts beperkt te achterhalen is. Wanneer dit probleem zich voordoet binnen de context van het berekenen van premies of het beoordelen van verzekerden met een hoog risico door zorgverzekeraars, is dit extra zorgwekkend, omdat een eventuele bias die in het systeem zit en meegenomen is in de berekening, op deze wijze niet goed inzichtelijk is te maken. Dit terwijl dergelijke beslissingen wel directe gevolgen kunnen hebben voor de toegang en betaalbaarheid van zorg.

Uiteraard zijn er daarnaast algemenere risico’s die verbonden zijn aan het gebruik van hoog-risico AI-systemen door zorgverzekeraars, zoals de bescherming van persoonsgegevens en de grote afhankelijkheid van externe technologieleveranciers. Ook het gebrek aan kennis van de AI-systemen kan tot bovengenoemde problemen leiden.

“Van sommige beslissingen is niet te achterhalen wat de onderliggende redenering is”

Vereisten aan het gebruik

Binnen het Nederlandse zorgstelsel geldt het verbod van risicoselectie door zorgverzekeraars. Bepaalde marktgedragingen kunnen functioneren als indirecte vorm van risicoselectie. Daar komt bij dat het Nederlandse kader (nog) niet specifiek ingericht is met het oog op AI-systemen. AI-systemen die worden toegepast voor risicobeoordelingen en premiebepalingen worden als hoog risico aangemerkt, maar zijn op grond van de AI Act niet verboden. Nu deze vooralsnog geen direct verbod lijkt te bevatten over dergelijke AI-systemen, lijkt er op dit moment enige ruimte voor toepassing ervan.

Hoe het verdergaat

Per 2 augustus 2026 treden de bepalingen uit de AI Act ten aanzien van hoog-risico AI-systemen in werking. Hoewel het gebruik van deze systemen door (zorg)verzekeraars op dit moment nog gering is, verwacht DNB dat (zorg)verzekeraars hun AI-governance verder zullen professionaliseren. DNB heeft aangekondigd nog dit jaar een verdiepend onderzoek uit te voeren naar de invulling daarvan.

Voor verzekeraars die AI al toepassen (of dit overwegen om te doen), betekent dit – mede gelet op de aankomende tranche van de AI Act – dat tijdige actie vereist is: het versterken van governance, het zorgvuldig vastleggen van de processen en het monitoren van de systemen zijn straks niet meer weg te denken.

Aanvullende vereisten

Op grond van de AI Act gelden echter vanaf 2 augustus aanvullende vereisten voor hoog-risico AI-systemen. De belangrijkste verplichtingen die daaruit voortvloeien voor gebruikers van deze systemen, hebben te maken met het menselijk toezicht dat altijd moet bestaan. De beslissingen moeten tevens kunnen worden uitgelegd. Daarnaast moeten logbestanden met persoonsgegevens herleidbaar worden vastgelegd en minimaal zes maanden bewaard. Bovendien dienen ernstige incidenten altijd direct te worden gemeld aan de aanbieder en toezichthouder van het AI-systeem. Met name de onderdelen herleidbaarheid en uitlegbaarheid staan onder druk: hoe kan men immers uitleggen waarom een model bepaalde beslissingen neemt, als men zelf geen inzicht heeft in de onderliggende logica?

Principes

De Europese Autoriteit voor verzekeringen en bedrijfspensioenen (EIOPA) heeft principes opgesteld, specifiek gericht op het gebruik van AI-systemen door verzekeraars. Daarin komen onder andere onderwerpen in voor over non-discriminatie, menselijk toezicht en transparantie. Ook het Verbond van Verzekeraars publiceerde in 2025 ethische kaders voor het gebruik van data-analyse, waarin concrete richtlijnen worden geboden over het gebruik van datagedreven toepassingen.

Ook in dit nummer

Over Fizier

Fizier is hét vaktijdschrift van, voor en door zorgfinancials en wordt drie keer per jaar binnen ons netwerk verspreid. Ook als je geen lid bent, kun je je op Fizier abonneren.

Adverteren in Fizier

Fizi biedt ook verschillende mogelijkheden voor adverteren. Meer informatie daarover vind je op onze pagina Fizier.