AFM: basisvereisten en informatiebeveiliging vragen om aandacht

Na een risicogebaseerd onderzoek onder financiële dienstverleners concludeert de AFM dat een deel niet voldoet aan de ‘basisvereisten’ op het gebied van beheerste en integere bedrijfsvoering. De AFM voerde dit onderzoek uit bij 31 financiële dienstverleners en maakte daarbij gebruik van de uitkomsten van de Marktmonitor die eind vorig jaar zijn gepubliceerd in het rapport Marktindrukken.

Over het onderzoek

Het onderzoek is risicogebaseerd uitgevoerd. In dit geval betekent dit dat van de 31 geselecteerde diesntverleners er 21 eerder met de AFM in aanraking zijn geweest in verband met tekortkomingen in de naleving van wet-en regelgeving. Vijf ondernemingen zijn geselecteerd omdat zij met freelancers werken en de andere vijf zijn als controlegroep toegevoegd. Deze vijf ondernemingen zijn niet eerder met de AFM in aanraking geweest. Helaas vermeldt de AFM in haar rapport niet of er grote verschillen zijn waar te nemen tussen de 'recidivsten' en de controlegroep.

Risicogebaseerd of marktbreed

Een toezichthouder is beperkt in de inzet. Bij elk onderzoek moeten keuzes gemaakt worden ten aanzien van de scope van het onderzoek. Hoeveel ondernemingen, welke onderwerpen? Hoe meer onderwerpen en ondernemingen in het onderzoek worden betrokken hoe groter de benodigde capaciteit. Dat de AFM de ondernemingen kiest die eerder op tekortkomingen zijn gewezen is begrijpelijk. Vanuit haar verantwoordelijkheid als toezichthouder en het vertrouwen in de financiële markten is het goed dat de AFM zich op deze ondernemingen richt.

Door de vijf ‘willekeurig geselecteerde’ ondernemingen toe te voegen kan de indruk ontstaan dat hier om een marktbreed beeld gaat. In het rapport is de AFM duidelijk dat er vanwege de risicogebaseerde selectie geen betrouwbare uitspraken over de gehele sector gedaan worden. De AFM is wel teleurgesteld in het feit dat slechts een paar dienstverleners tijdens het onderzoek aan alle eisen voldeden. De conclusies van de toezichthouder zijn stevig.

Belangrijke onderwerpen

De onderwerpen waar de toezichthouder aandacht voor vraagt zijn:

1. Diplomaplicht
   Voor elke adviesvergunning dient de onderneming te beschikken over een adviserende klantmedewerker met een geldig Wft-diploma. Alle medewerkers die klanten adviseren moeten beschikken over een geldig Wft-diploma en eventueel PE-certificaat.
2. Samenwerking freelancers
   Het belangrijkste deel van de beloning van freelancers dient vast te zijn en voor het variabele deel (niet hoger dan 20% van de vaste beloning) geldt dat deze beperkt (maximaal 50%), afhankelijk mag zijn van kwantitatieve doelen.
3. Incidentenbeleid en incidentenregister
   Een financiële dienstverlener dient te beschikken over een incidentenbeleid en een incidentenregister.
4. Beloningsbeleid
   Een beloningsbeleid dient beschreven te zijn en op de website gepubliceerd te worden.
5. Beroepsaansprakelijkheidsverzekering
   Afhankelijk van de vergunning dient een financiële dienstverlener te beschikken over een beroepsaansprakelijkheidsverzekering. Controleer in hoeverre de verzekerde bedragen aansluiten bij het wettelijk minimumbedrag.
6. Aansluiting Kifid
   Het is wettelijk verplicht om een aansluiting bij het Klachteninstituut Financiële Dienstverlening (Kifid) te hebben.

Naast deze onderwerpen vraagt de AFM aandacht voor informatiebeveiliging. Op basis van een ander onderzoek (self-assessment) concludeert de AFM dat de sector hier nog stappen moet zetten. Uit het rapport is op te maken dat dit onderzoek is uitgevoerd bij de grotere financiële dienstverleners. De toezichthouder concludeert dat het eigenaarschap van data en systemen, risicomanagement bij uitbesteding, en het beheer van wachtwoorden aandacht behoeft bij deze ondernemingen. Ongeveer de helft heeft een verbeterplan moeten aanleveren en wordt door de AFM toegezien op de uitvoering ervan. In het rapport wordt veel informatie gegeven op het gebied van Informatiebeveiliging en maatregelen tegen cyberrisico’s. Wij adviseren dan ook deze goed door te nemen en te beoordelen wat op jouw organisatie van toepassing kan zijn, gezien jouw IT-situatie en bestaande cyber-bedreigingen.

De komst van DORA

Met de komst van DORA (Digital Operational Resilience Act) komen er per 17 januari 2025 nieuwe eisen op de grote financiële dienstverleners af, met als doel de vergroting van de digitale weerbaarheid. De AFM geeft aan dat digitale weerbaarheid ook van belang is voor kleinere ondernemingen.

Duidelijk wordt dat de AFM veel belang hecht aan een goede beheerste bedrijfsvoering waaronder ook de beheersing van ICT-risico’s vallen. Wij zien dat de toezichthouder ook bij startende ondernemers belangstelling heeft voor het hebben van een informatiebeveiligingsbeleid. Het lijkt erop dat de AFM in haar doorlopende toezicht het komende jaar meer aandacht zal besteden aan dit aspect.

Het is goed als financiële dienstverleners zich hierop voorbereiden, bijvoorbeeld door alvast te starten met een inventarisatie van alle systemen en te controleren op welke wijze de beveiliging en continuïteit ervan is geregeld. Hoewel DORA alleen van toepassing is op grote financieel dienstverleners vanaf een bepaald aantal werknemers en omzet, is het een praktisch document die diverse handvatten biedt, zoals bijvoorbeeld welke afspraken belangrijk zijn om vast te leggen in geval van (ICT) uitbestedingen.

Checklist: goed voorbereid op AFM-toezicht

Wij raden financiële dienstverleners aan de onderwerpen uit dit onderzoek nog een keer na te lopen. Verwacht mag worden dat de AFM hier volgend jaar in haar toezicht op terug komt. Belangrijk dus om zeker te stellen dat het volgende goed geregeld is:

• Is er voor elke adviesvergunning een gediplomeerd adviseur beschikbaar?
• Wordt samengewerkt met freelancers? Controleer dan de beloningsafspraken. Beoordeel deze op variabele componenten en afhankelijkheden. Grofweg kun je stellen dat een beloning die afhangt van doelen of prestaties als variabel wordt aangemerkt.
• Controleer of het incidentenbeleid en het incidentenregister nog aanwezig zijn. Breng dit beleid opnieuw onder de aandacht binnen uw onderneming. De meldplicht is een belangrijk onderdeel van het incidentenbeleid. Niet voldoen aan deze meldplicht levert een toezichtantecent op.
• Controleer of het beloningsbeleid nog actueel is en vindbaar op de website.
• Check of de beroepsaansprakelijkheidsverzekering nog loopt en of de verzekerde bedragen in lijn zijn met de vereiste minimale verzekerde bedragen per gebeurtenis en per jaar kloppen (geldt voor adviseren en bemiddelen in verzekeringen, bemiddelen in hypothecair krediet en nationaal regime)
• Controleer of je aansluiting bij Kifid nog steeds correct is. Je kunt dit eenvoudig controleren via https://www.kifid.nl/register/.

Hoe kan Projective Group helpen?

Hulp nodig bij het formuleren van beleid? Of eens een controle laten uitvoeren of de bedrijfsvoering sinds het verkrijgen van de vergunning nog volledig voldoet aan alle actuele eisen. Wij helpen graag.