Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > CBUAE AI-richtlijnen: Essentiële naleving voor financiële instellingen in de VAE
CBUAE AI-richtlijnen: Essentiële naleving voor financiële instellingen in de VAE

CBUAE AI-richtlijnen: Essentiële naleving voor financiële instellingen in de VAE

by Marc ten Eikelder updated maart 6, 2026 Wettelijke naleving
Reading Time: 9 minutes

De Centrale Bank van de VAE heeft op 11 februari 2026 geen suggesties gepubliceerd. Zij publiceerde een Guidance Note on Consumer Protection and Responsible Adoption of AI and Machine Learning die het bestuur, de beveiliging en de nalevingsverplichtingen van elke gelicentieerde financiële instelling in de VAE fundamenteel herdefinieert. Banken, verzekeringsmaatschappijen, wisselkantoren, financieringsmaatschappijen en betaaldienstverleners vallen allemaal binnen de reikwijdte.

Belangrijkste inzichten

  1. De CBUAE heeft AI-governance tot een bestuursverantwoordelijkheid gemaakt voor elke gelicentieerde financiële instelling in de VAE. De CBUAE Guidance Note on Consumer Protection and Responsible Adoption of AI and Machine Learning, gepubliceerd op 11 februari 2026, vereist dat alle gelicentieerde financiële instellingen (LFIs)—banken, verzekeraars, wisselkantoren, financieringsmaatschappijen en betaaldienstverleners—gedocumenteerde AI-governancekaders opstellen die in verhouding staan tot hun omvang, AI-risico’s integreren in organisatiebreed risicobeheer en raden van bestuur en senior management direct verantwoordelijk houden voor AI-resultaten. Dit is geen vrijblijvende richtlijn. Het is een nalevingsverplichting met gevolgen bij inspectie.
  2. Security-by-design is niet langer een best practice—het is een CBUAE-verplichting. LFIs moeten security-by-design en privacy-by-design in elk AI-systeem integreren, inclusief waarborgen tegen ongeautoriseerde toegang, misbruik, cyberaanvallen en systeemstoringen. De richtlijn vereist expliciet stresstests, redundantiemaatregelen en incident response planning. Financiële instellingen die AI-workloads draaien op infrastructuren waar beveiliging een configuratiekwestie is in plaats van een ingebouwde capaciteit, lopen risico’s die zij niet kunnen uitleggen aan een toezichthouder.
  3. Derde AI-leveranciers nemen uw wettelijke verantwoordelijkheid niet over—en de CBUAE heeft dit expliciet gemaakt. Uitbestede AI-contracten moeten auditrechten, cybersecuritygaranties en directe beëindigingsmogelijkheden bevatten. De CBUAE houdt LFIs verantwoordelijk voor AI-governanceresultaten, ongeacht wie het model heeft gebouwd of beheert. Met 19% van de organisaties in het Midden-Oosten die de afgelopen 12 maanden derdepartij-nalevingsproblemen rapporteerden en 22% die te maken kregen met toezichthoudende onderzoeken, is het tijdperk waarin u kon aannemen dat de naleving van uw leverancier ook uw naleving is, voorbij.
  4. Jaarlijkse AI-bias testing is verplicht—en “jaarlijks” betekent gedocumenteerd, controleerbaar en verdedigbaar. De CBUAE vereist dat LFIs AI-modellen ten minste jaarlijks—of na elke upgrade—testen op bias met representatieve trainingsdata. Modellen die zonder gedocumenteerde bias testing, zonder chain-of-custody-registraties van trainingsdata of zonder bewijs van niet-discriminerende uitkomsten worden ingezet, brengen nalevingsrisico’s met zich mee die bij elke klantinteractie toenemen.
  5. Het verschil tussen de snelheid van AI-inzet en de volwassenheid van AI-governance is het bepalende risico. Financiële instellingen in de VAE zetten AI razendsnel in voor fraudedetectie, kredietbeoordeling, klantonboarding en AML. Het Kiteworks 2026 Forecast Report constateerde dat 60% van de organisaties in de financiële sector wereldwijd nog steeds geen gecentraliseerde AI Data Gateway heeft—en 5% zelfs helemaal geen specifieke AI-controls. De CBUAE-richtlijn maakt het inhalen van governance verplicht. De vraag is of LFIs het gat dichten voordat toezichthouders het voor hen documenteren.

De richtlijn is allesomvattend. LFIs moeten gedocumenteerde AI-governancekaders opstellen die passen bij hun omvang, aard en complexiteit. Ze moeten AI-risico’s integreren in organisatiebreed risicobeheer over gedrag, krediet, operationele en cyberbeveiligingsaspecten heen. Bestuur en senior management dragen directe verantwoordelijkheid voor AI-resultaten, modelinzet en voortdurende monitoring—met regelmatige rapportage over prestaties en risico’s. Een volledige inventaris van alle AI-modellen—met naam, doel, risicobeoordeling en metadata—is verplicht, in lijn met de CBUAE’s 2022 Model Management Standards.

De richtlijn bouwt voort op de VAE Personal Data Protection Law (Federal Decree-Law No. 45/2021), die bepaalt hoe persoonsgegevens worden verzameld, opgeslagen en verwerkt. Samen creëren deze kaders een gelaagde nalevingsomgeving waarin LFIs zowel AI-specifieke controls als bredere gegevensbeheer-volwassenheid moeten aantonen. Dit is geen toekomstvisie. Het is een actuele verplichting met gevolgen bij inspectie.

De timing is bewust gekozen. De VAE positioneert zich als wereldleider in AI-adoptie—de National AI Strategy 2031 en het AI Governance Framework van Dubai weerspiegelen nationale ambitie. Maar ambitie zonder waarborgen creëert systeemrisico. De CBUAE trekt de grens: adopteer AI voortvarend, maar bestuur het grondig. Voor LFIs die AI-tools sneller inzetten dan ze governance-infrastructuur opbouwen, is de tijd tot toezicht aanzienlijk verkort.

Security-by-Design is nu een wettelijke norm—geen marketingterm

De CBUAE-richtlijn is expliciet over wat beveiliging betekent in de context van AI: LFIs moeten security-by-design en privacy-by-design in AI-systemen integreren, inclusief waarborgen tegen ongeautoriseerde toegang, misbruik, cyberaanvallen en systeemstoringen. AI-ontwikkeling vereist operationele veerkrachtmaatregelen en validatie onder diverse scenario’s om onveilige uitkomsten te voorkomen.

Hier wordt het verschil duidelijk tussen wat de meeste financiële instellingen hebben en wat de CBUAE nu vereist. De meeste AI-inzetten in de bankensector draaien op cloudinfrastructuur waarbij beveiliging afhankelijk is van configuratiebeslissingen van het IT-team van de bank. Is de configuratie fout, dan is de bescherming fout. Als de onderliggende infrastructuur multi-tenant is, deelt de AI-data van de bank runtime-omgevingen met andere klanten—en worden cross-tenant kwetsbaarheden het probleem van de bank.

De CBUAE schrijft iets fundamenteel anders voor: beveiliging die architectonisch is, niet configuratie-afhankelijk. Stresstests, redundantie en incident response planning zijn geen optionele verbeteringen—het zijn expliciete vereisten. Voor uitbestede AI moeten contracten auditrechten, cybersecuritygaranties en directe beëindigingsmogelijkheden bevatten. Die laatste eis verdient nadruk: de CBUAE verwacht dat LFIs een uitbesteed AI-systeem direct kunnen uitschakelen als niet aan governance-vereisten wordt voldaan. Financiële instellingen die deze mogelijkheid niet kunnen aantonen, hebben een concreet en aantoonbaar nalevingsprobleem.

Gegevensbeheer in het AI-tijdperk: waar VAE-financiële instellingen risico lopen

De CBUAE-richtlijn maakt datakwaliteit, privacy en beveiliging fundamenteel voor AI-naleving. Data die in AI- en ML-systemen wordt gebruikt, moet voldoen aan de UAE PDPL-vereisten—waarbij verzameling, opslag en gebruik legitiem, proportioneel, accuraat, relevant en regelmatig geactualiseerd moeten zijn. LFIs mogen geen discriminerende AI inzetten. Modellen vereisen jaarlijkse bias testing met representatieve trainingsdata om oneerlijke uitkomsten te voorkomen.

De praktische uitdaging is dat gevoelige financiële data niet stilstaat. Het stroomt via e-mail, bestandsoverdracht, SFTP-servers, MFT-servers, API’s, webformulieren en—steeds vaker—AI-integraties. Elk van deze kanalen vormt een potentieel governancegat. De meeste financiële instellingen beheren deze kanalen met gescheiden tools, elk met eigen beleid, logs en beveiligingsstatus. Het resultaat: gefragmenteerd inzicht, inconsistente controls en blinde vlekken in naleving die een toezichthouder sneller kan identificeren dan de bank kan uitleggen.

Het Kiteworks 2026 Data Sovereignty Report kwantificeert het risico voor het Midden-Oosten. Vierenvijftig procent van de respondenten in het Midden-Oosten maakte het afgelopen jaar een incident mee gerelateerd aan datasoevereiniteit—het hoogste percentage van alle onderzochte regio’s. Drieënnegentig procent zegt dat datasoevereiniteitsregels directe impact hebben op hun bedrijfsvoering. En 22% noemt toezichthoudende onderzoeken en audits als meest voorkomende incidenttype. Voor LFIs die AI-systemen inzetten die klantgegevens verwerken, zorgt de combinatie van AI-governancevereisten en datasoevereiniteitsplichten voor een nalevingsoppervlak dat gefragmenteerde tools simpelweg niet kunnen afdekken.

Derde AI-leveranciers: het verantwoordingsgat dat de CBUAE sluit

De CBUAE-richtlijn staat financiële instellingen niet toe om derde AI-partijen als andermans nalevingsprobleem te zien. LFIs moeten zorgvuldigheid betrachten bij derde AI-leveranciers op het gebied van governance, gegevensbescherming en jaarlijkse onafhankelijke cybersecurity-audits. Uitbestede AI-contracten moeten auditrechten, cybersecuritygaranties en directe beëindigingsmogelijkheden bevatten. Naleving strekt zich uit tot derde partijen—niet als optionele aanvulling, maar als wettelijke verwachting met documentatieplicht.

Dit is belangrijk omdat het gebruik van derde AI-partijen in de financiële sector toeneemt. Banken besteden modelontwikkeling, inzet en onderhoud steeds vaker uit aan externe leveranciers. Elk van deze relaties creëert een data-uitwisseling—trainingsdata die naar buiten stroomt, modeluitkomsten die terugkomen, monitoringdata die tussen systemen beweegt. Zonder eenduidig inzicht in deze uitwisselingen kan een LFI de governance die de CBUAE eist niet aantonen.

De datasoevereiniteitcijfers uit het Midden-Oosten maken het risico concreet: 19% van de organisaties rapporteerde het afgelopen jaar derdepartij-nalevingsproblemen. Als uw derdepartij-leverancier faalt in een nalevingsvereiste, stuurt de CBUAE de handhavingsbrief niet naar het hoofdkantoor van de leverancier, maar naar dat van u.

Hoe Kiteworks VAE-financiële instellingen helpt te voldoen aan CBUAE AI-governancevereisten

De AI-richtlijn van de CBUAE vereist capaciteiten die gefragmenteerde beveiligingstools niet kunnen leveren. Gedocumenteerde governance over alle data-uitwisselingskanalen. Onveranderlijke audittrails die op verzoek kunnen worden overlegd. Security-by-design die niet afhankelijk is van configuratie. Derdepartij-controls die afdwingbaar en verifieerbaar zijn. Datasoevereiniteit die op architectuurniveau werkt, niet alleen op opslagniveau.

Kiteworks is het controleplatform voor veilige gegevensuitwisseling. Het consolideert gevoelige datastromen—e-mail, beveiligde bestandsoverdracht, SFTP, beheerde bestandsoverdracht, API’s, webformulieren en AI-integraties—onder één beleidssysteem, auditlog en beveiligingsarchitectuur. Voor VAE-financiële instellingen die navigeren door de CBUAE AI-governancevereisten, sluit deze architectuur direct aan op wat toezichthouders verwachten:

  • Geïntegreerde AI-governance: Eén beleidssysteem past consistente RBAC- en ABAC-controls toe op elk kanaal waarmee AI-systemen toegang hebben tot financiële data. Geen aparte beleidsregels meer voor e-mail, SFTP, API’s en bestandsoverdracht.
  • Onveranderlijke audittrails: Elk data-uitwisselingsevenement wordt vastgelegd in één geconsolideerde log—zonder throttling, zonder gemiste entries en met realtime SIEM-levering. Wanneer de CBUAE uw AI-governance onderzoekt, levert u één complete bewijslast aan.
  • Security-by-design architectuur: Kiteworks wordt ingezet als een hardened virtual appliance met ingebouwde firewalls, WAF, inbraakdetectie, dubbele encryptie in rust en zero-trust architectuur—alles beheerd door Kiteworks, niet door uw infrastructuurteam.
  • Single-tenant isolatie: Elke inzet is standaard single-tenant. Geen gedeelde databases, bestandssystemen of runtimes. Cross-tenant aanvallen die multi-tenant AI-platforms kunnen compromitteren, zijn uitgesloten.
  • Derdepartij-governance: Volledig extern gebruikersbeheer met ABAC-handhaving, complete audittrails voor elke leveranciersdata-uitwisseling en beëindigingscontrols die voldoen aan de directe shutdown-eis van de CBUAE.
  • Handhaving datasoevereiniteit: Geofencing, encryptiesleutelbeheer binnen rechtsbevoegdheid en configureerbare IP-controls zorgen ervoor dat gevoelige financiële data binnen de VAE-grenzen blijft op architectuurniveau.
  • AI-ready integratie: De Kiteworks Secure MCP Server maakt het mogelijk dat AI-systemen met financiële data werken binnen bestaande governance policies—waardoor CBUAE-conforme controls worden uitgebreid naar AI-workflows zonder aparte infrastructuur te bouwen.

Het resultaat: VAE-financiële instellingen kunnen CBUAE AI-governance naleving aantonen via architectuur en bewijs in plaats van alleen documentatie en hoop. Eén platform dat compliance-teams kunnen beheren, beveiligingsteams kunnen vertrouwen, CBUAE-toezichthouders kunnen verifiëren en raden van bestuur met vertrouwen kunnen rapporteren.

Wat de CBUAE AI-richtlijn betekent voor het security- en complianceprogramma van uw instelling

De CBUAE-richtlijn beschrijft geen toekomstige regelgeving. Het beschrijft de huidige situatie. LFIs die dit als een ambitieus kader zien in plaats van een operationele nalevingsvereiste, stapelen inspectierisico’s op die toenemen met elk AI-model dat zonder gedocumenteerde governance wordt ingezet, elke derdepartij-leverancier die zonder controleerbare controls opereert en elke data-uitwisseling via kanalen die geen bewijs op verzoek kunnen leveren.

Vijf aanpassingen leveren de meeste impact op basis van de vereisten uit de richtlijn:

Ten eerste moet u geïntegreerd gegevensbeheer opzetten voor alle AI-gerelateerde data-uitwisselingen. De CBUAE vereist governance die de volledige levenscyclus van AI-data beslaat—verzameling, verwerking, training, inferentie en output. Financiële instellingen die deze stromen met gefragmenteerde tools beheren, kunnen de consistente controls die toezichthouders verwachten niet aantonen.

Ten tweede bouw nu de AI-modelinventaris die de CBUAE verplicht stelt. Elk AI-model moet worden gedocumenteerd met naam, doel, risicobeoordeling en metadata. Instellingen die deze inventaris niet kunnen overleggen tijdens een inspectie tonen een governance-tekort aan, geen documentatiegat.

Ten derde implementeer security-by-design als een architectonische keuze, niet als een configuratieproject. De vereisten van de CBUAE voor ingebouwde waarborgen, stresstests en operationele veerkracht worden niet ingevuld door beveiligingstools toe te voegen aan bestaande infrastructuur. Ze worden ingevuld door infrastructuur die beveiliging als ingebouwde capaciteit levert.

Ten vierde formaliseer derdepartij-AI-governance met gedocumenteerde auditrechten, cybersecuritygaranties en beëindigingscontrols. Het derdepartij-faalpercentage van 19% in het Midden-Oosten bewijst dat dit geen theoretisch risico is—het is een statistische waarschijnlijkheid voor instellingen met veel leveranciersrelaties.

Ten vijfde ga van reactieve compliance-documentatie naar continue, aantoonbare governance. De CBUAE verwacht regelmatige rapportage over AI-prestaties en risico’s, voortdurende monitoring en bewijs dat altijd auditklaar is. Instellingen die zich voorbereiden op inspecties in plaats van continu nalevingsgereed te zijn, zijn altijd één inspectie verwijderd van een bevinding.

De financiële instellingen die deze gaten in 2026 dichten, zullen AI sneller, veiliger en met het regelgevingsvertrouwen dat voortkomt uit aantoonbare governance kunnen inzetten. Degenen die uitstellen, zullen ontdekken dat de CBUAE dezelfde gaten heeft gedocumenteerd—met aanzienlijk minder geduld voor de uitleg.

Klik hier om de top 5 redenen te lezen waarom VAE-financiële instellingen Kiteworks nodig hebben voor CBUAE AI-naleving.

Veelgestelde vragen

De CBUAE Guidance Note on Consumer Protection and Responsible Adoption of AI vereist dat VAE-gelicentieerde financiële instellingen een gedocumenteerd AI-governancekader, een volledige AI-modelinventaris, bestuursverantwoordelijkheid voor AI-resultaten, security-by-design waarborgen en jaarlijkse bias testing onderhouden. Instellingen moeten AI-risico’s integreren in organisatiebreed risicobeheer en op verzoek auditklaar bewijs kunnen leveren. De geïntegreerde auditlogging en policy engine van Kiteworks helpen LFIs om deze vereisten aan CBUAE-toezichthouders aan te tonen.

De AI-richtlijn van de CBUAE vereist dat uitbestede AI-contracten auditrechten, cybersecuritygaranties en directe beëindigingsmogelijkheden bevatten. LFIs dragen volledige wettelijke verantwoordelijkheid voor derdepartij-AI-resultaten, ongeacht wie het model beheert. Met 19% van de organisaties in het Midden-Oosten die derdepartij-nalevingsproblemen melden, biedt Kiteworks gedocumenteerde leveranciersgovernance via extern gebruikersbeheer, ABAC-handhaving en volledige derdepartij-audittrails.

De CBUAE-richtlijn bouwt direct voort op de VAE Federal Decree-Law No. 45/2021 (PDPL). AI-systemen die persoonsgegevens verwerken, moeten zorgen dat verzameling, opslag en gebruik legitiem, proportioneel en accuraat zijn. Modellen vereisen jaarlijkse bias testing met representatieve data. Kiteworks handhaaft PDPL-naleving op architectuurniveau via granulaire toegangscontrole, encryptiesleutelbeheer binnen rechtsbevoegdheid en geofencing—zodat dataresidentie aantoonbaar is, niet alleen beloofd.

De CBUAE vereist security-by-design en privacy-by-design ingebouwd in AI-systemen—niet achteraf toegevoegd na inzet. Dit omvat waarborgen tegen ongeautoriseerde toegang, stresstests, redundantie en incident response planning. Standaard perimeterbeveiliging voldoet hier niet aan. Kiteworks levert beveiliging als producteigenschap via de hardened virtual appliance met ingebouwde firewalls, WAF, dubbele encryptie, zero-trust architectuur en single-tenant isolatie—alles automatisch beheerd.

CBUAE-toezichthouders verwachten een gedocumenteerd AI-governancekader, een volledige modelinventaris met metadata, bestuursrapportages over AI-prestaties en risico’s, bias testing-registraties, documentatie van derdepartij-governance en volledige audittrails van AI-data-uitwisselingen. Het Kiteworks Private Data Network genereert onveranderlijke, exporteerbare bewijsmaterialen over alle data-uitwisselingskanalen—zodat LFIs governance kunnen aantonen op verzoek in plaats van bewijs te moeten samenstellen onder inspectiedruk.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks