01 May 2026
AI, ESG en sancties: de due diligence-blinde vlekken waar toezichthouders op focussen
In 2026 kijken toezichthouders niet langer alleen of je een derde partij hebt gescreend.
Ze willen weten of je organisatie:
- ESG hebt geïntegreerd in corruptierisicoanalyses
- Governance en databronnen van AI-leveranciers hebt beoordeeld
- Uiteindelijke belanghebbenden (UBO’s) verder onderzoekt dan oppervlakkige structuren
- Doorlopende monitoring hebt ingericht — geen eenmalige checks
In verschillende jurisdicties neemt de handhavingsdruk toe en worden regelgevingskaders uitgebreid.
Het gevolg? Drie blinde vlekken staan nu centraal in toezicht: AI-governance, ESG-verificatie en complexe eigendomsstructuren binnen sanctierisico.
Blinde vlek #1: AI zit in je compliance stack — maar is het goed ingericht?
AI is inmiddels geïntegreerd in screening-, monitoring-, samenvattings- en rapportageprocessen.
Nieuwe regelgeving maakt echter duidelijk: het gebruik van AI vermindert je verantwoordelijkheid niet — het vergroot die juist.
De EU AI Act (van kracht sinds augustus 2024) verplicht organisaties die AI-systemen inkopen om risico’s te classificeren en due diligence uit te voeren op leveranciers en datasets.
De Digital Operational Resilience Act (DORA) verplicht financiële instellingen om risico’s van derde partijen op het gebied van technologie actief te beheren, met mogelijke boetes bij niet-naleving.
Wereldwijd zie je vergelijkbare ontwikkelingen:
- Zuid-Korea vereist menselijke controle op AI-systemen met grote impact (AI Basic Act, januari 2026)
- Singapore introduceerde in 2026 governance-regels voor agentic AI
- Brazilië werkt aan AI-regelgeving met eisen rond risicobeoordeling en transparantie
Download de Due Diligence Checklist
Wat toezichthouders verwachten:
Als AI je due diligence-beslissingen beïnvloedt, moet je begrijpen hoe het werkt, waar data vandaan komt en hoe bias of hallucinaties worden beperkt.
Beoordeel je het risico van AI-leveranciers niet? Dan wordt dat gezien als een tekortkoming in je due diligence.
Blinde vlek #2: ESG is geen rapportage-oefening meer
Mensenrechten, milieu-impact, klimaatrisico’s en governance zijn inmiddels verankerd in wet- en regelgeving.
De EU-richtlijn Corporate Sustainability Due Diligence (CSDDD) verplicht bedrijven die in de EU actief zijn om negatieve impact op mensenrechten en milieu te identificeren, te voorkomen en te beperken — zowel in eigen activiteiten als in de keten.
De Duitse Lieferkettengesetz verplicht risicobeheer en mitigatie in de supply chain, met aanzienlijke financiële sancties bij overtreding.
Noorwegen vereist via de Transparency Act publieke rapportage over due diligence op mensenrechten.
Singapore verwacht dat milieurisico’s geïntegreerd zijn in due diligence-processen van financiële instellingen.
Brazilië benoemt in zijn anti-corruptieplan (2025–2027) expliciet de integratie van ESG in corruptierisicoanalyses.
Wat toezichthouders verwachten:
ESG moet onderdeel zijn van je third-party risk framework — niet losstaan in duurzaamheidsrapportages.
Een oppervlakkige beleidscheck is niet voldoende. Toezichthouders verwachten steeds vaker:
- Gedocumenteerde risicoanalyses
- Traceerbaarheid in de keten
- Continue monitoring
Blinde vlek #3: Sanctiescreening zonder inzicht in eigendom
Sanctierisico is gefragmenteerder en complexer geworden, mede door geopolitieke ontwikkelingen en uiteenlopende internationale benaderingen.
Alleen een bedrijfsnaam screenen is niet meer genoeg.
Risicogebaseerde due diligence vereist:
- Screening tegen sanctielijsten (VN, OFAC, EU, VK)
- Controle van watchlists en PEP-lijsten
- Onderzoek naar juridische procedures
- Grondige analyse van uiteindelijk belanghebbenden (UBO’s)
- Monitoring van negatieve media in meerdere talen
Verborgen eigendomsstructuren vormen een inherent risico, vooral bij blootstelling aan corruptie, fraude of witwassen.
Toezichthouders adviseren nadrukkelijk: voer doorlopende monitoring uit, geen statische checks bij onboarding.
Kun je niet aantonen hoe je verborgen eigendom hebt geïdentificeerd of sanctierisico’s blijft monitoren? Dan kom je onder toezicht al snel in de problemen.
Het convergentierisico waar toezichthouders op letten
De grootste kwetsbaarheid ontstaat waar deze risico’s samenkomen:
- AI-tools die werken met onvolledige sanctiedata
- ESG-risico’s die verscholen zitten in complexe eigendomsstructuren
- Derde partijen die opereren onder verschillende regelgevingen
- Gescheiden (siloed) functies voor compliance, ESG en inkoop
Nationale toezichthouders sturen steeds vaker aan op geïntegreerde due diligence.
De richting is duidelijk: je framework moet risicogebaseerd, gedocumenteerd, geïntegreerd en continu gemonitord zijn.
Van checklist naar verdedigbare, risicogebaseerde due diligence
Een best practice-model in 2026 volgt een risicogebaseerde aanpak:
- Vereenvoudigde due diligence voor laagrisico-entiteiten
- Verhoogde due diligence voor risicovollere relaties
- Uitbesteed onderzoek waar het risicoprofiel dat vereist
- Geautomatiseerde doorlopende monitoring en periodieke herbeoordeling
Dit vraagt om toegang tot betrouwbare, herleidbare wereldwijde data, zoals:
- Sancties
- PEP’s
- Watchlists
- Juridische dossiers
- ESG-data
- Negatieve media
De regelgeving wordt niet stabieler, maar juist uitgebreider. Toezichthouders werken internationaal samen. AI-regulering versnelt. ESG due diligence wordt afdwingbare wetgeving.
Onvoldoende due diligence leidt niet alleen tot boetes, maar ook tot operationele verstoringen, reputatieschade en uitsluiting van contracten.
Beoordeel je risico voordat toezichthouders dat doen
Download de Due Diligence Checklist 2026 en toets je framework aan de actuele verwachtingen van toezichthouders.