AIComplianceHubAIComplianceHub
PlatformPrijzenWaarom?Over onsKennisbankContactInloggenGratis Risicoscan
PlatformPrijzenWaarom?Over onsKennisbankContactInloggen
Gratis Risicoscan
AIComplianceHubAIComplianceHub

Het AI-register en compliance-platform voor Nederlandse bedrijven.

Product

RisicoscannerPlatformPrijzenDemo bekijkenAI-registerAI-geletterdheid e-learningAI governanceAI-agentsDocumentgeneratieWat is nieuw

EU AI Act

EU AI Act-gidsKennisbankDeadlinesBoetesConformiteit

Sectoren

ICT & SoftwareZorgFinanceOverheidHR & RecruitmentOnderwijsAlle sectoren →

Bedrijf

Over onsPartnerContact

Juridisch

PrivacybeleidCookieverklaringVoorwaarden
© 2026 AIComplianceHub.nl — Alle rechten voorbehoudenDit is een hulpmiddel, geen juridisch advies.
Terug naar kennisbank

Risico & compliance

15 juli 2026·8 min leestijd·Delen

AFM 12 bouwstenen voor audit-tooling: wat verwacht de toezichthouder van AI in de controle?

Op deze pagina(8)
  • Waar komen de twaalf bouwstenen vandaan
  • De opbouw is een toren
  • De drie principes voor (Gen)AI
  • Wat gaat de AFM in 2026 doen
  • Waar raakt dit de AI Act
  • Hoe begint u
  • Veelgestelde vragen
  • Eerst de basis, dan de AI

In het kort

  • De AFM verwacht dat de basis (beveiliging, beleid, monitoring) staat vóórdat een kantoor (Gen)AI in de controle inzet.
  • De 12 bouwstenen vormen een toren: bouwsteen 1-9 zijn de basis, 10-12 gaan over beheerst (Gen)AI-gebruik.
  • Drie AI-principes: beheerste beveiliging, navolgbare uitkomsten, en de accountant als eindverantwoordelijke.
  • De AFM toetst de inzet van audit-tooling vanaf 2026 (rapport dec 2025, onderzoek bij 13 kantoren).

Wat verwacht de AFM van accountantskantoren die AI in de controle inzetten? Het korte antwoord: eerst de basis op orde. Informatiebeveiliging, beleid en monitoring moeten staan voordat u (Gen)AI toepast, en de accountant blijft altijd eindverantwoordelijk voor de uitkomst. De AFM vatte die verwachting in december 2025 samen in twaalf bouwstenen.

Dit artikel legt uit wat die twaalf bouwstenen zijn, hoe ze zich tot elkaar verhouden, en wat de AFM er vanaf 2026 concreet mee doet in haar toezicht. Het is geschreven voor kantoren met een wettelijke-controlepraktijk, want daarover gaat het toezichtrapport. Werkt u vooral in samenstel of advies? Dan is vooral de vraag of uw AI-gebruik hoog-risico is relevant, plus de bredere vertrouwelijkheidsvraag.

Waar komen de twaalf bouwstenen vandaan

In december 2025 publiceerde de AFM het rapport '12 bouwstenen voor beheerst gebruik van audit-tooling'. Het is gebaseerd op een verkennend onderzoek bij dertien accountantsorganisaties, van reguliere vergunninghouders tot OOB-kantoren. Onder audit-tooling verstaat de AFM alles van dossiersoftware en data-analyse tot generatieve AI. De bouwstenen zijn geen nieuwe regelgeving. Ze zijn een toetsingskader waarmee een kantoor zelf kan nagaan wat al goed loopt en waar versterking nodig is.

Belangrijk om te weten: de AFM verwijst in het rapport voortdurend naar bindende standaarden. De bouwstenen zelf zijn guidance, maar ze zijn verankerd in de NV COS-controlestandaarden en het kwaliteitssysteem (NVKM/ISQM 1). Voor een kantoor dat wettelijke controles doet, is dit dus de facto de meetlat.

De opbouw is een toren

De kern van het model is een volgorde. De AFM presenteert de bouwstenen als een toren met vier lagen. De onderste drie lagen, samen negen bouwstenen, gaan over de basis: risicomanagement, betrouwbare invoerdata en een beheerst geïmplementeerde tool. Die moeten op orde zijn voordat u de bovenste laag betreedt: het beheerst toepassen van (Gen)AI, de laatste drie bouwstenen.

De boodschap is helder. (Gen)AI bovenop een wankele basis is geen innovatie, maar een risico. Wie de onderste lagen overslaat, bouwt op zand.

  1. 1

    Risicomanagement op orde

    Bouwsteen 1-3

    Een passend informatiebeveiligingsraamwerk, geformaliseerd beleid rond audit-tooling (inkoop, OTAP, change management) en monitoring van het effect op de controlekwaliteit.

  2. 2

    Betrouwbare invoerdata

    Bouwsteen 4-6

    De juiste IT-werkzaamheden op de betrouwbaarheid van de brondata, vaststellen dat relevante en juiste data worden gebruikt, en een vastgelegd, consistent ETL-proces per controle.

  3. 3

    Beheerst geïmplementeerde tool

    Bouwsteen 7-9

    Kennis en vaardigheden die meegroeien met de tool, integratie in de controlestrategie en het controleplan, en de juiste opvolging van uitkomsten en afwijkingen.

  4. 4

    (Gen)AI beheerst toegepast

    Bouwsteen 10-12

    Pas hier komt (Gen)AI: veilig en vertrouwelijk gebruik, verifieerbare of reproduceerbare uitkomsten, en de accountant als eindverantwoordelijke.

De drie principes voor (Gen)AI

De bovenste laag, bouwsteen tien tot en met twaalf, is waar het bij AI echt om draait. De AFM vat die samen in drie principes.

Beheerste beveiliging(Gen)AI-tools worden veilig en vertrouwelijk ingezet. Dat vraagt aandacht voor het datalek-risico, de geheimhoudingsplicht uit de Wta en de VGBA, en concrete afspraken over minimalisatie, anonimisering en bewaartermijnen. Cliëntdata hoort niet ongecontroleerd in een publieke AI-tool.

Navolgbare uitkomstenDe bijdrage van (Gen)AI aan de controle moet verifieerbaar of reproduceerbaar zijn. In de praktijk: sluit de uitkomst aan op de bron, werk met een promptbibliotheek, en leg parameters en versienummers vast. Kan een reviewer of de AFM later niet herleiden hoe een uitkomst tot stand kwam, dan is het geen controle-informatie.

Mens in de loopDe externe accountant is en blijft eindverantwoordelijk. De AFM waarschuwt expliciet voor overreliance, het halo-effect en antropomorfisme: de neiging om een vloeiend AI-antwoord te vertrouwen omdat het overtuigend klinkt. Verplichte validatiestappen in de workflow houden de mens aan het stuur.

Wat gaat de AFM in 2026 doen

Dit blijft geen papieren kader. De AFM heeft aangekondigd de beheerste inzet van audit-tooling vanaf 2026 te betrekken in haar toetsende onderzoeken. Cyberweerbaarheid en AI zijn een toezichtprioriteit. Concreet betekent dat: bij een kwaliteitsonderzoek kan de AFM vragen hoe u de bouwstenen invult en of uw dossier de inzet van AI-tooling navolgbaar maakt.

De AFM stelt daarbij zelf drie vragen die u ook op uw eigen kantoor kunt loslaten. Welke bouwstenen heeft u nodig? Heeft u ze allemaal nodig voor een robuuste inzet? En zijn er nog andere relevant voor uw situatie?

Waar raakt dit de AI Act

De AFM-bouwstenen en de AI Act zijn twee verschillende kaders die elkaar op één punt expliciet raken. In bouwsteen twee, over het formaliseren van beleid, schrijft de AFM dat relevante compliance-vereisten, waaronder die uit de AI Act, in het beleid moeten worden opgenomen.

Voor de meeste accountancy-AI is de AI Act-lat overigens lager dan kantoren soms denken. AI in de controle-, samenstel- en adviespraktijk is in de regel niet hoog-risico. Wat wél altijd geldt, is de AI-geletterdheidsplicht uit Artikel 4, van kracht sinds 2 februari 2025. Waarom uw audit-analytics en fraudedetectie doorgaans buiten het hoog-risicoregime vallen, leest u in is AI in de accountancy hoog-risico.

Hoe begint u

U hoeft de twaalf bouwstenen niet in één keer te implementeren. Begin onderaan de toren en werk omhoog.

  • Breng in kaart welke audit-tooling u gebruikt en welke daarvan een AI- of (Gen)AI-component heeft.
  • Controleer of de basis staat: informatiebeveiligingsraamwerk, tooling-beleid en monitoring van de controlekwaliteit.
  • Leg per controle het ETL-proces vast in een gestandaardiseerd memo.
  • Richt voor (Gen)AI een promptbibliotheek en vaste validatiestappen in, met de accountant als eindverantwoordelijke.

De standaard takenbundel voor de wettelijke-controlepraktijk in ons platform zet deze bouwstenen als concrete compliance-taken klaar, met deadline en toewijzing. De bredere aanpak van AI-governance staat in de praktijkgids AI-governance.

Veelgestelde vragen

Zijn de AFM-bouwstenen verplicht?

De bouwstenen zelf zijn guidance, geen wet. Maar ze zijn verankerd in de bindende NV COS-standaarden en het kwaliteitssysteem, en de AFM toetst de inzet van audit-tooling vanaf 2026 in haar onderzoeken. Voor een kantoor met een controlepraktijk zijn ze daarmee de facto de meetlat.

Gelden de bouwstenen ook voor een samenstelpraktijk?

Het rapport gaat specifiek over audit-tooling in de wettelijke controle. Doet uw kantoor alleen samenstel- of advieswerk, dan zijn de diepere bouwstenen (ETL, controleplan-integratie) niet van toepassing. De onderliggende principes over vertrouwelijkheid, navolgbaarheid en eindverantwoordelijkheid zijn wel breed bruikbaar.

Mag ik ChatGPT of Copilot gebruiken in de controle?

Niet zonder waarborgen. De AFM-bouwstenen tien tot en met twaalf vragen om veilig en vertrouwelijk gebruik, navolgbare uitkomsten en menselijke eindverantwoordelijkheid. Cliëntdata in een ongecontroleerde publieke tool botst met de geheimhoudingsplicht. Werk met een zakelijke omgeving met verwerkersafspraken en leg het gebruik vast.

Wat is het verschil met een AI Act-conformiteitsaudit?

Dat zijn twee verschillende dingen. De AFM-bouwstenen gaan over beheerst gebruik van tooling in uw controlepraktijk. Een AI Act-conformiteitsbeoordeling is een wettelijke toets voor hoog-risico AI-systemen, die voor de meeste accountancy-toepassingen niet aan de orde is.

Eerst de basis, dan de AI

De twaalf bouwstenen zijn geen rem op innovatie. Ze zijn de volgorde waarin innovatie beheersbaar blijft. Wie de basis op orde heeft, kan (Gen)AI met vertrouwen inzetten, met een dossier dat een toetsing doorstaat.

De gratis Risicoscanner van AIComplianceHub laat zien welke AI Act-verplichtingen voor uw kantoor gelden. Wilt u de bouwstenen als concrete taken oppakken, dan staat de accountancy-takenbundel klaar zodra u uw sector instelt.

Weet u al waar uw organisatie staat?

Doe de gratis AI Risicoscanner en ontdek in 5 minuten welke verplichtingen gelden voor uw bedrijf.

Start gratis risicoscan

Verder in de kennisbank

6 min · Risico & compliance

AI-trainingsplicht: handhaving, boetes en bewijslast

Wie handhaaft de AI-geletterdheidsplicht, vanaf wanneer, en wat moet u kunnen aantonen? Plus de boete bij niet-naleven van Artikel 4 en de rol van de OR.

8 min · Risico & compliance

Shadow AI: het onzichtbare AI Act-risico in uw organisatie

Shadow AI is AI-gebruik dat IT en compliance niet kennen. Onderzoek schat 30-50% van AI-gebruik in NL als shadow. Waarom Art. 4 en 5 AI Act dit raken.

Verwante onderwerpen: waarom AIComplianceHub, prijzen, de gratis risicoscan, of alle artikelen.

Op deze pagina

  • Waar komen de twaalf bouwstenen vandaan
  • De opbouw is een toren
  • De drie principes voor (Gen)AI
  • Wat gaat de AFM in 2026 doen
  • Waar raakt dit de AI Act
  • Hoe begint u
  • Veelgestelde vragen
  • Eerst de basis, dan de AI