AI-governance bij een bank: hoe Rabobank chatbot Robin beoordeelt

In deze aflevering krijg je een concrete beeld van hoe Rabobank AI use-cases beoordeeld voor livegang. Waarom een chatbot bij een bank te maken heeft met de AI Act, de AVG en de wet op het financiëel toezicht tegelijk, en hoe je als organisatie buiten de bankensector toch grip houdt op AI-risico's. Of je nu projectmanager, compliance professional of ondernemer bent, na deze aflevering weet je wat verantwoorden AI in de praktijk echt vraagt. Joop: Hoi, leuk dat je luistert. Joop: We zijn live vanuit het Nationaal AI en Governance Congres van Audi. Joop: En we gaan spreken, we gaan spreken met Margaret Kalisvaart. Joop: en zij is Senior Compliance Officer bij de Rabobank, waar ze zich bezighoudt met privacy record keeping en de implementatie van de AI Act. Joop: Ze is Guild Lead privacy en record keeping, betrokken bij de AI Act-werkgroep en instrueert het Certified Governance en AI officer programma, helemaal mondvol. Joop: Vandaag praten we over chatbot Robin. Joop: Hoe zorg je namelijk dat het als bank zo'n AI-toepassing op een verantwoorde manier live gaat. Joop: Maar het welkom. Margaret: Dankjewel. Joop: Fijn dat je bij ons in de studio wilde komen om hierover te vertellen. Niels: Kan je ons meenemen naar het moment waar je voor het eerst echt voelde dat AI governance bij Rabobank geen papieren exercitie was, maar iets wat er echt toe deed. Niels: Wat was de situatie? Niels: En wat stond er op het spel? Margaret: Sinds 2022 sta ik opgesteld voor een digitale tribe, de Digital Customer Interactions. Margaret: Deze tribe die doet veel om efficiënter processen in voor klanten voor medewerkers efficiënter beter mogelijk te maken. Margaret: En in zo 2024 kwam er zo AI heel erg op en 23 ook al. Margaret: en ging het heel snel. Margaret: En daar was toen in eerste een ban op AI. Margaret: Dus eerst even een pauze. Margaret: E kijken, wat willen we nou? Margaret: En tegelijkertijd wel kijken met een paar use cases. Margaret: die potentie hadden. Margaret: En één daarvan is de chatbot Robin. Margaret: Chatbot Robin moet je voorstellen, bestaat al langer. Margaret: Dus het is traditionele AI. Margaret: In eerste instantie voor geschreven antwoorden, vragen en antwoorden. Margaret: Maar je kan het nog beter en efficiënter maken door een large language model eraan toe te voegen. Margaret: En dit is iets wat een van de use cases was, was tijdens die ban, waar ze toch een onderzoek gingen doen, kunnen we dit toch gebruiken om de klanten en ook de medewerkers hier beter bij te helpen. Joop: En wat was het spannende deel. Joop: Aan de ene kant is het spannend, hoor ik, want er is altijd een ban op. Joop: Wat was de spannend aan en wat heeft ervoor gezorgd van ja, maar we gaan het toch doen. Margaret: Op een hele veilige wijze, rustige wijze, en niet meteen de snelheid erin, toch kijken welke assessments moeten er gedaan worden. Margaret: En ook gedurende die treinrit, want ik gebruik het ook wel zoals voorbeeld een trein. Margaret: Te kijken welke assessments. Margaret: Je hebt een privacy stukje, de Data Protection Impact Assessment, zijn persoonsgegevens die verwerkt worden, maar je hebt met een large language model ook te maken met een voorspelbaarheid. Margaret: Het is altijd de kat springt op de bank, maar het kan ook de hond springt op de tafel zijn, zeg maar. Margaret: Dus je weet ook niet zo goed. Margaret: Wat het antwoord dan kan zijn, die een klant, het is client facing, meteen kan zien in een Rabobank app of op de website. Margaret: En dat stukje, dat is met prompting, het wordt dat echt gecheckt van hoe kunnen we dat wel zowel voor livegang als ook tijdens live monitoren en kijken dat dat goed blijft werken. Joop: Wat kun je voor de luisteraar uitleggen wat het betekent, want jullie zijn een gereguleerde organisatie. 47 Joop: En dat je toch, zeg maar met zo'n chat naar buiten wil. 48 Joop: Wat dat betekent. 49 Margaret: Wat dat betekent, is dat ik voor de klanten dat ze sneller antwoorden kunnen krijgen. 50 Margaret: En dat er minder klant medewerkercontact hoeft te zijn voor relatief simpele vragen. 51 Margaret: Soms kan je het ook als je zoekt op een website vinden, want dat is natuurlijk de bron, de data input. 52 Margaret: Maar hoe makkelijk is het als je de vraag kan stellen aan een chatbot en dan ook het antwoord krijgt. 53 Margaret: En toen ik in 2024 voor het eerst ook zo extern op een congres stond en hierover vertelde, was het een van de vragen die ik aan het publiek stelden, wie chat daar nou graag met een chatbot. 54 Margaret: Daar gingen je heel weinig handen omhoog. 55 Margaret: En recent stelde ik die vraag weer. 56 Margaret: En toen gingen er wat meer handen omhoog. 57 Margaret: Ik moet wel zeggen dat over het algemeen de jongeren zijn, die dan zeggen van ja, ik vind het eigenlijk wel heel fijn, maar ze durven het ook niet echt te zeggen, toe te geven. 58 Margaret: Omdat er toch nog steeds heel veel bias als we dat ook, is, dat een chatbot vaak ook niet goede antwoorden geeft. 59 Margaret: Terwijl wij zien dat op het moment dat je de large language model, wellicht ook wel eerder. 60 Margaret: Nu op dit moment is het nooit nog de traditionele AI, dus voor gescripte antwoorden, vragen en antwoorden. 61 Margaret: En pas als die dan geen antwoord kan geven, dan krijg je de large language model, dus de Gen AI. 62 Margaret: Maar je zou ook kunnen zeggen, kunnen we niet de large language model eerst doen. 63 Margaret: Dan heeft die klant wellicht nog sneller en beter een antwoord met de brongegevens erbij. 64 Margaret: En voor sommige vragen kan het nog steeds goed zijn om de traditionele AI eraan te doen. 65 Margaret: Dus dan ben je met die trein die rijdt van die chatbot en dan wissel je wat onder die motorkap. 66 Joop: Ik kan me juist voorstellen dat het gereguleerd bent, dat het extra eisen met zich meebrengt. 67 Joop: Dan een chatbot van ik noem bol.com. 68 Margaret: Ja, dat klopt. 69 Margaret: En je hebt daar meerdere, je hebt in de eerste lijn. 70 Margaret: We hebben banken hebben Freelines of Defense of Freelance of Responsibility, noemen wij dat dan binnen de Rabobank. 71 Margaret: En dan heb je de eerste lijn, de business die zelf moet zorgen om te voldoen. 72 Margaret: En je hebt een tweede lijn, daar zit Model Risk Management bij. 73 Margaret: Er zit operational risk management en IT-risk zit erbij. 74 Margaret: Compliance en privacy office. 75 Margaret: En er zijn er verschillende assessments die er gedaan moeten worden om ervoor te zorgen dat in dit geval chatbot robin, voldoet aan de regels die op een bank gelden. 76 Margaret: Want je hebt inderdaad niet alleen de AI-act. 77 Margaret: Nee, je hebt ook de GDPR, de AVG, dat hebben we natuurlijk heel veel bedrijven. 78 Margaret: Maar tegelijkertijd hebben we ook de WFT, de wet op het financieel toezicht. 79 Margaret: En besluitsgedragstoezicht financiële instellingen. 80 Margaret: PGO zit daaronder. 81 Margaret: Dat betekent dat een chatbot wel kan informeren, maar niet adviseren. 82 Margaret: Want adviseren, krijg je een heel zorgplichtdossier op je. 83 Margaret: En dat is ook weer aan regels gebonden. 84 Margaret: Dus de chatbot robin, die adviseert niet. 85 Margaret: Dat wordt ook kenbaar gemaakt met een disclaimer. 86 Margaret: En daar moet je dus ook goed op monitoren. 87 Margaret: Prompt aan het begin, maar ook tijdens de looptijd zorgen. 88 Unknown: Dat hij niet gaat adviseren. 89 Niels: Dus dat betekent ook continu monitoring. 90 Unknown: En dat is denk ik technisch, maar ook compliance. 91 Niels: Of is dat vooral technisch? 92 Margaret: Hoe zit dat? 93 Margaret: Er zit een technisch deel in voor een deel. 94 Margaret: En ook daar wordt elke keer gekeken van: goh, hoe kunnen we het weer beter maken? 95 Margaret: En er wordt een X percentage handmatig gecheckt. 96 Margaret: En dat zijn dan niet de mensen van de digitale tribe afdeling waarvoor ik opgesteld sta. 97 Margaret: Maar het zijn ook juist de mensen van de business. 98 Margaret: Dus juist de mensen van bijvoorbeeld housing. 99 Unknown: Dat er niet geadviseerd wordt voor een hypotheek. 100 Margaret: Wie kan dat het beste? 101 Unknown: Het kunnen het beste die mensen doen. 102 Margaret: Dus dat is een samenwerking. 103 Niels: Die worden er allemaal bij betrokken om dat continu te blijven evalueren met elkaar. 104 Niels: En ik vond het wel heel mooi de analogie met de trein. 105 Niels: We kennen Nederland. 106 Niels: Er zit ook wel zo'n bladeren op de weg. 107 Niels: Wat zijn de bladeren op de weg? 108 Niels: Jullie zijn tegengekomen om dit voor te brengen. 109 Margaret: Ja, bladeren zijn er wel eens. 110 Margaret: Het is net continu het monitoren. 111 Unknown: En soms, ik weet nog dat er was een tijdje terug, dat ze bedrijven de website van Rabobank eraan toe wilden voegen. 112 Unknown: Maar die had minder data input. 113 Margaret: Minder data-input. 114 Margaret: Dat geeft ook aan de kwaliteit van de antwoorden. 115 Margaret: Dan heb je ook hoeveelheid data voor nodig. 116 Unknown: Dus dan is de business dan ook weer aan het kijken. 117 Unknown: Hoe kunnen we ervoor zorgen dat we toch die bedrijvenwebsites, daar ook die URLs, daar ook op kunnen aansluiten. 118 Unknown: Dat is een voorbeeld van een blad op de weg van als het onvoldoende data is, hoe ga je er dan voor zorgen dat het nog wel werkt? 119 Niels: Dus hoe kan je de kwaliteit waarborgen en wat is daarvoor nodig? 120 Niels: En daar is eigenlijk eigenlijk heel veel kwaliteit gedreven dan. 121 Margaret: En dat is dan mijn blikveld. 122 Margaret: Want tegelijkertijd merk ik dat model risk management die zat voorheen in mijn beeld. 123 Margaret: meer in een silo. 124 Margaret: Dus meer model risk management gewoon jarenlang binnen banken. 125 Unknown: En dat is ook het voordeel van banken ten opzichte van andere sectoren. 126 Margaret: Die checken de modellen. 127 Margaret: En model risk management, AI-act, ik vergelijk dat is een baby, een kind, een peuter, en die wordt groter en groter. 128 Unknown: En dat geldt voor denk elk vakgebied, zo, ook Model Risk Management. 129 Margaret: En die was dus eerst veel erg voor op zichzelf bezig met de traditionele modellen. 130 Unknown: Credit risks en dat soort modellen. 131 Margaret: Maar wat moesten ze nu met een large language model. 132 Margaret: Hoe ga je dat nou doen? 133 Margaret: En daar dan weer een policy op bouwen en zorgen dat je daar die tierings met de bijbehorende vereisten die je dan doet met assessments. 134 Margaret: Nu op dit moment is het zo dat een chatbot die client facing is, heeft een hogere tiering en moet dus meer, wordt meer onderzocht. 135 Margaret: Maar je moet je voorstellen tijdens die ban en met die chatbot robin? 136 Margaret: Toen was Model Risk Management nog niet zo ver. Margaret: Dus deden die assessments niet. Margaret: Dus wat je we nu hebben gedaan in Q4 2025 was dat Model Risk Management chatbot robin, ook als een hogere teering gaf. Margaret: Dus meer ging onderzoeken en meer vraag gestellen. Margaret: En die komt dan ook naar mij als compliance officer en naar de privacy officer. Unknown: Goh, wat hebben jullie voor vragen? Margaret: En god, dit is de uitkomst. Margaret: Dus die samenwerking gaat ook steeds beter. Joop: En welke vragen hadden jullie? Margaret: Nou, hoe zit dat? Margaret: Wat is de uitkomst? Margaret: Hoe zit het, zeg maar met de adviseert die chatbot? Margaret: Welke vragen heb je gesteld. Margaret: Hoe zit het met de persoonsgegevens? Margaret: Waar werkt die filter die we erop hebben, werkt die? Margaret: Want enerzijds heb je een disclaimer voor de mensen. Niels: Want dit is dan een voorbeeld die al in productie is. Niels: Wat komt er bekijken als er nieuwe ideeën zijn? Niels: Welke hoepels zijn er om te voorkomen dat er zaken naar productie gaan die misschien nog niet naar productie wilde brengen? Niels: Wat is een beetje de way-of-working in de belangrijke vragen die je dan gesteld worden? Margaret: En we hebben de AI way of working. Margaret: En ook met alles governance kijken we altijd weer hoe kunnen we het nog beter maken. Margaret: Maar momenteel is die AI way of working vier stappen, zeg maar, die een business case doorloopt. Margaret: En de eerste business case die wordt gekeken naar. Margaret: En ik zou voor het Retail NL voor het Nederlandse domein opgesteld. Margaret: Puur voor de klanten en de medewerkers van retail NL want de Rabobank is groter dan dat. Margaret: Dan wordt gekeken naar, ik noem het wel eens de driehoek commercie efficiency en risk. Margaret: Dus de SER commercie. Margaret: Levert het ook wat op en is het maakt het efficiënter. Margaret: En is het ook risicovol of niet. Margaret: Dus dat wordt meteen aan het begin bij de ID-face, iemand bedenkt wat, wordt gekeken naar die SER. Margaret: En daar ben ik niet bij betrokken vanuit de tweede lijn vanuit compliance, dat doet de eerste lijn, samen met de AI-offer. Margaret: Dus dan heb je net zo goed als van toezichthouder die single point of contact de SPO is, dat is de RDI, Rijksdienst, infrastructuur. Margaret: Hebben wij ook binnen de bank, Spocs, Single point of contexts voor retoon is dat de triplied van DC. Margaret: En die heeft daar een office voor. Margaret: Die controleert van hey, voldoet het nou aan die commercie efficiëntie en risk. Margaret: Want wat we net zeiden, je kan wel helemaal het risico wegmitigeren, maar dan ga je ook niet. Margaret: En kom je niet vooruit. Margaret: Dan kom je niet vooruit. Margaret: Dus ze kijken ook, we levert het wat op en het kost ook geld, een business case. Margaret: Dus wat is de houdbaarheid? Margaret: En zoals laatst een collega zei: van ja, als je een fantastische idee hebt, maar het is maar voor één mens. Margaret: Die gaat hem niet worden. Joop: Het is in die idee-fase, daar ben je nog niet betrokken. Margaret: Dus daar doen ze wel een assessment, een eerste assessment op die commercie efficiëntie en risk. Margaret: Dus er wordt ook zeker al gekeken, is het haalbaar? Margaret: Want als je in de Idea phase al met een hoog risico of verboden AI bent, die moet je wel meteen identificeren. Margaret: En dan vervolgens als het dan gaat het naar de volgende fase toe. Margaret: En worden er weer assessments gedaan die daarvoor van toepassing is, waarbij Model Risk Management redelijk vroeg al in de wedstrijd zit. Margaret: En dan gaat hij daarna naar de derde fase. Margaret En als dat allemaal lekker loopt, dan kan die daarna naar de business as usual, naar de kandidaat werkelijk erin. Margaret: En daar zitten dus ook denk aan een DPA, als het een persoonsgegevensverwerking wordt, maar ook Model Risk Management Assessment, waarbij de samenwerking dus tegenwoordig heel goed is. Margaret: Risicoanalyse. Margaret En wat ze altijd ook doen, is een model development plan. Margaret: Die is primair meer voor Model Risk Management en de AI officer. Margaret: Dus de AI officer is en een poortwachter en het is een data science qua. Margaret: Dus die kan het ook beoordelen, maar ik in mijn rol als compliance officer heb ook heel veel aan, want ik zie ook wat voor toetsingen, monitoring ze doen. Margaret: Dus niet alleen bij de aanvang, maar ook bij de business as usual. Joop: En toevallig weet ik een beetje, zeg maar, jullie AI way of working, de fases. Joop: Want na die Idea phase krijg je de explore. Joop: En daarna krijg je development en test. Joop: Maar daar zit ook een buy erin, toch? Margaret: Buy development test. Joop: Is de governance voor het inkopen anders dan als je het zelf implementeert. Margaret: Ja, die is wat sneller. Margaret: En tegelijkertijd is het heel erg goed. Margaret: En dat is dan zeg maar de business die heel snel wil. Margaret: En de tweede lijn die denken oh oh, je moet nog steeds de DPA doen. Margaret: Dat is nog steeds wel dat je met elkaar moet kijken welke echt nodig op het moment dat je bij doet. Margaret: En als je dat was een hele leuke, die vind ik leuk toen ik ooit recht deed, was er een docent en die zei van ja, in Amerika is een enorme claimcultuur. Margaret: Wat je met de AI Act heb is productwetgeving, dat degene die het maakt, dat die dan ook een gebruiksaanwijzing moet geven. Margaret: Nou, toen was het zo: van ja, je mag een kat niet in de magnetron doen, dat stond niet in de gebruiksaanwijzing. Margaret: Dus die vrouw die stopte die kat in de magnetron. Margaret: En die had een claim in Amerika werkte dat destijds. Margaret: Maar dat geldt ook hier, zeg maar. Margaret: Dus die waar je het koop, die geeft een gebruiksaanwijzing. Margaret: Maar dit moment dat jij je niet aan die gebruiksaanwijzing houdt, dan wordt je zelf deployer. Margaret: Dus dat is natuurlijk wel eentje. Joop: Joop: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Om wat goed in de gaten te houden. Niels: Niels: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Ik zal nog even. Joop: Joop: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Unknown: Is er ook iets waar jij dat je iets hebt tegengehouden waarvan je achteraf zeggen van ja, maar daar had ik ook gelijk. Margaret: Wat er bij de business was, en dat was echt met alle goede intentie. Margaret: Ooit was er het idee om te kijken, wij kennen al die deepfakes, hè? Margaret: Ken de verhalen, dat er iemand echt denkt dat hij met de CEO praat en dan dat geld over maakt. Margaret: Je kan je voorstellen bij een bank, je wil dat zo goed mogelijk de verificatie wil je goed doen. Margaret: Dus ik ga nu naar de verificatie toe. Margaret: En wie zegt nu dat jullie echt met Mark en Kaderswaart aan het spreken zijn. Margaret: Jullie zien mij nu. Margaret: Wij zitten hier aan tafel op het AI outfit congres. Margaret: Dus wij zijn hier echt. Margaret: Maar vroeger kwam je als boer bij de Boerenleenbank bij Rabobank. Margaret: En kwam je daadwerkelijk kantoor binnen. Margaret: Die kantoren zijn natuurlijk al veel weer teruggebracht. Margaret: Want de klanten zelf doen ook heel veel digitaal. Margaret: Die zegt nou dat ik Margaret Kalisvaart ben als klant van de Rabobank en ik wil mijn bankpas is gestolen, weet ik veel. Margaret: Dus het zou natuurlijk ook heel goed zijn om daar die stemherkenning te doen en dan te kijken, is dat echt Margaret Kalisvaart of niet. Margaret: En dat stukje, daar zitten ook weer. Margaret: Dat was echt een hele goede use case, maar ook een hele risicovolle is uiteindelijk dus niet doorgegaan van spijt van de business. Margaret: Want het kan heel goed werken, alleen het gaat zo snel. Margaret: Het ontwikkelt zich zo snel. Joop: Dus iets wat vandaag de dag goed past, is morgen alweer achterhaald. Joop: Dat is wel een hele goede, want we hebben er maar een paar seconden nodig om een stem te klonen. Joop: Ja, dat is niet heel erg identificerend. Margaret: Zaten allemaal met die geringe mate in de basis in de opzet, ze was het echt heel goed. Margaret: Dat heel goed in elkaar. Margaret: Het is allemaal synthetisch. Margaret: Dus in die zin hadden ze hem ook wel bijna over de streep, zeg maar en mijn collega's. Margaret: Maar ja, uiteindelijk toch de riscapiteit. Joop: We hebben je voor ook met een van de sprekers gesproken. Joop: En daar vroeg ik hetzelfde aan, en die wil ik eigenlijk aan jou ook voorleggen. Joop: Vond je het dan ook moeilijk om nee te zeggen? Margaret: Je doet het met elkaar. Margaret: Dus je hebt met elkaar over de feiten, dit zijn de feiten. Margaret: En vandaag de dag klopt dit. Margaret: Je moet ook verder kijken. Margaret: En dan is het in feite feiten op tafel hebben. Margaret: En dan als het nee is, is het nee. Margaret: Zo simpel is het dan ook. Margaret: En het is ook niet aan mij, want heel vaak vraagt de business aan mij akkoord. Margaret: Ik geef geen akkoord. Margaret: Ik neem niet het risico. Margaret: De eerste lijn neemt het risico. Margaret: Dus zij zelf het besluiten. Margaret: Dus het is niet dat ik zeg nee, en dan ben ik de bepaler absoluut niet. Margaret: Het is alleen zo dat ik zeg, ja, dit is misschien wel een heel hoog risico. Margaret: Dan moet je naar een speciale committee voor dat hoge risico. Margaret: En die moeten het dan daar besluiten in de eerste lijn. Niels: En ook manager in de tweede lijn lijkt me wel lastig, want de techniek continu in beweging, dingen die mogelijk zijn die je misschien een jaar geleden nog niet eens voor ogen had. Niels: Hoe ga je in de evaluatie periodiek weer terugkijken naar dat soort beslissingen die je het verleden gemaakt hebt? Niels: Want de technologie verandert zo snel dat misschien dat je nu nog voorspeld. Niels: Oh nee, dat kan nog wel die voice, maar blijkt het inderdaad in de toekomst toch wel eens veel sneller te gaan. Niels: Hoe hou je daar grip op? Margaret: Door periodiek toch die monitoring te doen. Margaret: We hebben de gesprekken, zeg maar, daar is governance op ingericht. Margaret: Dus we hebben één keer in het kwartaal geeft de business ook aan dit zijn we van plan te doen. Margaret: Business is zoals ik zei, is zelfverantwoordelijk, dus die controleren zelf, doen die monitoring en die komen met de resultaten naar de tweede lijn. Margaret: Dus één keer in het kwartaal hebben we compliance liquor risk opgesteld voor in dit geval het WCI. Margaret: De gesprekken met de business met de Area Leads product owners. Margaret: Van, wat zijn jullie van plan? Margaret: En wat zijn de uitkomsten en welke assessments moeten er dan eventueel ook gedaan worden? Niels: En ze zijn verantwoordelijk. Niels: Hoe zorgen we ervoor dat ze die verantwoordelijkheid voelen en ook op acteren? Niels: Want dat zie ik in de praktijk nog wel eens fout gaan. Niels: Da zijn ze er wel van en toch ook weer niet. Margaret: Ze moet een risicoveging doen, waarbij de tweede line challengen. Margaret: En op het moment dat het we hebben een vijfschaal. Margaret: Dus low, medium low, medium, medium high en high. Margaret: Op het moment dat het naar low en medium low is, dan kan een product owner dat zelf accepteren op het moment dat het medium is of hoger, dan moet je naar een hoger gremium. Margaret: Dus daarmee heb je een governance technisch heb je dat afgedekt dat je dan naar het hoger leadershipsteam gaat. Joop: En daarmee kan je dus eigenlijk dus ook versnellen in die zin. Niels: Dus processen die het minder nodig hebben of een lo vallen inderdaad, kan je gewoon zelf al wel het mandaat hebben om de volgende stappen te gaan maken omdat je weet dat het de klassificatie laag is. Margaret: Dit is op risico verhaal. Margaret: Dus het kan nog steeds zijn. Margaret: Als je in de AI act, heb je natuurlijk het limited risk van de chatbot, zeg maar, maar dan hebben we risico's die specifiek voor de banken zijn. Margaret: Business continuity is bijvoorbeeld echt een risico. Margaret: Natuurlijk wel blijven, want als die chatbot uitvalt. Margaret: Ja, dan moeten medewerkers, waar zijn die medewerkers om die vragen te beantwoorden. Margaret: En dat is dus zo'n AI use gave reguliere risico's waar we tegenaan kijken van oké, dit zijn de bruto risico's zonder de mitigerende maatregelen. Margaret: En dan hebben we deze mitigerende maatregelen, wat is het netto risico en bij het netto risico. Margaret: Da kijk je per mij is privacy bijvoorbeeld eentje, of het zorgplicht, de BFT waar we het over hadden. Margaret: En dan kijk je dus wat is Bruto risico inherent en wat is het netto risico naar de mitigerende maatregelen. Niels: Lekker is een gereguleerde markt, waar je gewoon in de regels vast ligt, zodat je het kan doen. Niels: Maar wat kunnen we organisaties meegeven waar je zegt van goh, spende je toch die tijd erin. Niels: Ondanks dat je niet in een gereguleerde markt zit, maar dit heeft ons enorm geholpen. Joop: Misschien zelfs nog verkrappen van best wel heel veel luisteraars die zitten in het MKB. Joop: Die denken van ja, maar dit is echt typisch iets voor voor corporates. Joop: Waarom zouden zij ook governance nodig hebben? Margaret: Om die risico's echt in in beeld te hebben. Margaret: Inzichtoverzicht, daar begint het leven voor mij mee. Margaret: En een doel. Margaret: Je hebt een doel, je wil voor iets speciaals wil je niet een mens inzetten, maar een AI of een AI of een agent, agentic AI is dan de volgende. Margaret: Je hebt een doel en vervolgens ga je kijken wat heb ik nodig om dat doel te bereiken. Margaret: En één daarvan is ook inzicht en overzicht van wat zijn dan de risico's die erbij horen. Margaret: Zorg dat je begrijpt wat je doet en dat je de juiste mensen aanhaakt om dat doel ook te kunnen volgen. Margaret: In mijn familie hebben we best wel wat MKB bedrijven en ik kan me inderdaad voorstellen dat die voor de volgende familiefeest. 307 Margaret: Dat die inderdaad wellicht ook een keer een chatbot willen doen. 308 Margaret: Maar die hebben wel met andere risico's te maken. 309 Unknown: Die hebben dus niet de WFT zorgplichtverhaal bevoegd. 310 Margaret: Maar zullen wel weer moeten zorgen dat ze aan de mensen zeggen. 311 Unknown: Dit is een chatbot, je praat niet met een mens. 312 Margaret: Dat is een basisding. 313 Margaret: Maar ook een disclaimer zorgt ervoor dat je niet gevoelige persoonsgegevens in die chatbot doet. 314 Margaret: En dan is het onder de motorkap dat je daar dan bepaalde filters in hebt, dat is dan de wat een klant niet ziet, maar dat is dan wat je dan als MKB'er ook moet kijken, wat je daarin passend kan doen. 315 Niels: Bepaalde vragen die ze zichzelf kunnen stellen, want soms weet je misschien niet wat je niet weet, vragen die je zo kan stellen waardoor je getriggerd wordt om over dit soort zaken na te denken. 316 Niels: Op AI-gebied. 317 Niels: Of breder in de governance, want het is met name een trigger om dat risico en het bredere perspectief te kunnen spotten. 318 Niels: Dus wat zijn dan vragen die je in de praktijk tegenkomt waarop je hierover na gaan denken? 319 Unknown: Om dan een AI in te zetten voor je doel. 320 Margaret: Ik denk op het moment dat je wil versnellen en ook met de arbeidsmarkt krap, het zijn allemaal externe factoren. 321 Margaret: Dat je heel goed moet kijken van oké, kan ik dit kan ik dit, mag ik dit, maar wil ik het ook. 322 Margaret: Want dat wil ik het ook ethiek, daar hebben we het nog niet over gehad, maar ethiek is wat mij betreft ook voor de komende jaren de meest belangrijke. 323 Margaret: Omdat het hoe willen wij ons leven, onze autonomie laten bepalen door een AI of niet. 324 Margaret: Als voorbeeld bij het API en RDI congres in december 2025, als een hele goede sessie over Agentic AI en de dreigingslandschap daarvan. 325 Margaret: Heel veel mensen hebben zonnepanelen op hun dak. 326 Margaret: Stel, je bent het MKB en je hebt een bedrijf die die zonnepanelen, zeg maar. 327 Margaret: Ook zorgt die in de lucht blijven, zeg maar, dus monteurs. 328 Margaret: Dan zou je ervoor kunnen zorgen dat je een agentic AI hebt en dat die praat met de agentic AI van je klant. 329 Margaret: Dan is het aan de klant hoe autonoom de AI is om een afspraak te maken met de monteur. 330 Margaret: Ik ben dan die MKB'er. 331 Margaret: Je wil dan ook dat je een hoog klanttevredenheid hebt. 332 Margaret: Waarschijnlijk zit er een prompt in voor door die klant, ja, ik wil minimaal vier en een halve ster hoor, anders doe ik niet op een schaal van vijf. 333 Margaret: Je hebt ook fraudeurs in je omgeving. 334 Margaret: Het kan heel snel gaan. 335 Margaret: Je zal als MKB'ers goed moeten kijken, ook naar in dit geval het dreigingslandschap van je conculega's. 336 Margaret: Want ja, als jij ook op je nog zo goed in je monteurschap voor die zonnepanelen, als die klant op een gegeven moment AI gaat gebruiken, agents om zelfstandig een afspraak te maken, hangt van de autonomie af die klant dan geeft aan die agent, dan zit er misschien helemaal geen mensen meer tussen. 337 Unknown: En dan gaan misschien de meeste opdrachten naar je conculega die dat wel goed in elkaar heeft gedaan, die dus wel een agent heeft die praat met de agent van de klant. 338 Unknown: Dit soort dingen, denk ik dat we daar echt over na moeten denken hoe we dat in de toekomst verder vorm kunnen geven, maar op een ethische manier. 339 Niels: Er zit ook altijd fraudeurs bij. 340 Joop: Ja, ja, helaas wel. 341 Joop: En als we het dan over deurs hebben, hebben we denk ik misschien ook al over hackers. 342 Joop: Hoort het beveiligingsdeel ook onder het governance vraagstuk. Margaret: Bij banken is het gelukkig heel erg goed strak ingeregeld met cybersecurity. Margaret: Je moet er niet aan denken bij zo'n basale structuur dat je niet kan pinnen of dat er echt iets mis is, dat wil je niet. Margaret: Daar zit echt heel veel governance op met alle in de IT gereguleerde stuk, met security assessments, et cetera. Margaret: En als MKB'er weer terugkijkt, ja heel eerlijk gezegd, op het moment dat ik een vragenlijst in moet vullen bij een simpele website, ik weet dat er bij een bank goed beveiligd is, afhankelijk van de sector, denk ik ook, ja, ik vertrouw dit niet helemaal. Margaret: Dus ik doe nu niet mijn echte geboortedatum, maar doe even een andere. Margaret: Denk aan de verschillende datalekken, zoals Odoo die er dan in één keer zijn. Margaret: En het wordt allemaal aan elkaar geknopt. Margaret: Er is al zoveel over ons allen bekend op de dark web. Joop: Het generatieve AI is een beetje gaan leven toen ChatGPT uitkwam. Joop: Wat had jij toen willen weten als governance officer. Joop: Wat had je het leven makkelijker gemaakt als je dat toen had geweten? Margaret: Sowieso is bij de basis is dat je beleid hebt hoe je het mag gebruiken. Margaret: Dat stukje en dat komt beleid komt altijd later. Margaret: Maar als je als die kaders helder zijn voor een ieder, dan weet je ook hoe je het kan inzetten in je werk of in je persoonlijke leven. Margaret: Het maakt het leven een stuk makkelijker door Gen AI te gebruiken, vind ik zelf ook. Margaret: Het hangt ook van de kwaliteit af van de large language model, wat de kwaliteit van de antwoorden er terug is. Margaret: En je het zelf opzoeken dat stuk is weg. Margaret: De vraag is nij hoe klein het antwoord dan ook in je hoofd. Margaret: Studenten gebruiken nu ook allemaal grote GPT-achtige klaar, et cetera. Joop: En heeft het je werk makkelijker gemaakt in zijn geheel of heeft het ook een complicerende factor. Margaret: Het maakt het makkelijker en makkelijker. Margaret: Je wordt hoe meer je het gebruikt met de randvoorwaarden wat er voor staat, hoe makkelijker het je werk ook maakt, en dat je dan de simpele dingen achterweg kan laten en dat je er meer bij de wat moeilijkere taken terechtkomt. Margaret: Tegelijkertijd wil je ook even ontspannen en even makkelijk iets hebben. Niels: Ook wel lekker inderdaad. Niels: We zijn vandaag dus op het congres waar we het eigenlijk niet anders hebben dan AI governance en ik zag een hele mooie grote opkomst. Niels: Dus het is gelukkig een onderwerp die hoorde geleefd, maar zijn er ook zaken waar je hoopvol tegenaan kijkt in de ontwikkeling op AI governance vlak of waar je misschien van wakker ligt. Margaret: Binnen de bank loopt het in mijn beleving goed en het kan altijd beter. Margaret: Dus daar lig ik niet wakker van, wees waar ik wakker van weet, is het ethische stuk. Margaret: Dus wat willen we nou eigenlijk in de toekomst zijn voor mijn kinderen en daar weer de kinderen van, hoe willen wij dat het leven er in de toekomst uitziet. Joop: Dus daar lig ik dan wakker van. Margaret: En wat zou je het liefst willen zien? Margaret: Dat het goed, dat we met z'n allen goed nadenken, wat willen we, wat kunnen we, je leeft in een bubbel, wees je ook bewust van de bubbel waar je in je leeft, en dat kun je natuurlijk niet altijd. Margaret: Maar vooral dat je kan het als individu niet altijd overzien. Margaret: Een mens weet minder soms een organisatie die veel dieper in die materie zit. Margaret: Dus het is heel fijn als een organisatie zelf ook even verder kijkt dan alleen maar de commercie, maar even kijkt, willen we dit nu echt voor de samenleving. Joop: Wat is jouw advies als senior compliance officer aan een junior compliance officer. Margaret: Ontdek, speel, leer. Margaret: Ga om met een collega, medior senior compliance officer. Margaret: Maar je spreekt ook juist met de business, zorg dat je begrijpt de taal spreekt van de business met je banken, legal risk collega, risk management collega. Margaret: Maar dat je je netwerk opbouwt. Margaret: Dat je het vooral je energie en plezier hebt en het is gewoon een leuk vak. Margaret: Daarom doe ik het ook al heel lang. Niels: En wat is het sprankje waarvoor je zegt van, dat is echt wat maar energie geeft in het vak. Margaret: Het feit dat je de klanten van de bank en de bank kan helpen, of de organisatie waar ik dan zou werken, om het beter te maken, en ook om die om het veilig te houden, dus om de randvoorwaarden te voldoen. Joop: Mooi mooi, dankjewel voor dit openhartige gesprek. Joop: We hebben een mooi kijkje gekeken gekregen in de Keuken van de Rabobank, denk ik, dankjewel. Joop: En wel de knoppen drukken, anders gaat het niet. Joop: Fijn dat je weer geluisterd hebt, vergeet je niet te abonneren via Favoriete Popcast app, en dan mis je geen aflevering tot de volgende keer.