Looking back
Welke wet- en regelgeving is onlangs in werking getreden?
- Per 1 januari 2026 is de herziening van de Europese Benchmark Verordening (BMR), van toepassing. Met de inwerkingtreding zijn niet-significante benchmarks niet meer in scope van de BMR. Hierdoor zijn 95% van de benchmarks niet meer in scope. Belangrijke benchmarks die nog steeds in scope zijn, zijn EURIBOR en EU klimaatbenchmarks.
- Op 1 januari 2026 is de Wet plan van aanpak witwassen in werking getreden met uitzondering van de acceptatieplicht van contant geld voor betalingen onder de € 3.000. Deze zal pas in werking treden als het besluit met uitzonderingen op de acceptatieplicht gereed is. Onder de Wet plan van aanpak witwassen is het, onder meer, mogelijk voor banken om meer gezamenlijke transactiemonitoring uit te voeren.
- Op 9 en 29 januari 2026 zijn verordeningen in werking getreden die de lijst met hoog risico landen aanpassen. Op basis hiervan zijn Rusland, Bolivia en de Britse Maagdeneilanden aan de lijst van landen met verhoogd witwasrisico toegevoegd en zijn Burkina Faso, Mali, Mozambique, Nigeria, Zuid-Afrika en Tanzania verwijderd.
De volgende ontwikkelingen worden in dit artikel toegelicht:
Het digital omnibus voorstel
De Europese Commissie heeft op 19 november 2025 een voorstel ingediend tot vereenvoudiging van het digitale wetgevingskader van de Europese Unie, het Digital Omnibus-pakket.
Dit initiatief maakt deel uit van de bredere beleidsagenda voor “een eenvoudiger en sneller Europa”. Het voorstel moet technische en gerichte wijzigingen aanbrengen in bestaande digitale regelgeving om lasten te verminderen, samenloop van regels te verduidelijken en de toepassing van regelgeving in Europa te verduidelijken en versimpelen.
Uit het Omnibus-pakket volgen, onder meer, aanpassingen aan de AVG, het melden van incidenten en de AI-Act
Aanpassingen AVG
De Europese Commissie wil de privacywetgeving (AVG) op een aantal punten aanpassen. Het doel is de regels duidelijker te maken en de administratieve lasten te verlichten, zonder dat mensen minder bescherming krijgen.
Een eerste reeks aanpassingen gaat over de vraag wanneer de AVG eigenlijk van toepassing is. Zo wordt verduidelijkt dat gegevens waaruit jij als organisatie iemand niet kunt identificeren, voor jou ook geen persoonsgegevens zijn. Daarnaast komen er beperkte uitzonderingen voor het verwerken van gevoelige gegevens, bijvoorbeeld bij gezichtsherkenning voor identiteitsverificatie als de betrokkene daar zelf de controle over houdt, of bij het trainen van AI-systemen waarbij gevoelige gegevens onbedoeld in de dataset terechtkomen.
Een tweede reeks wijzigingen maakt bestaande verplichtingen praktischer uitvoerbaar. Zo hoef je mensen straks niet meer actief te informeren over het gebruik van hun gegevens als je redelijkerwijs kunt aannemen dat ze die informatie al kennen én er geen sprake is van een hoog risico. Ook kunnen organisaties excessieve of duidelijk misbruikte inzageverzoeken makkelijker weigeren of doorberekenen. Bij datalekken wordt de meldtermijn verlengd van 72 naar 96 uur, en hoeft een lek alleen nog aan de toezichthouder gemeld te worden als het ook een hoog risico oplevert voor betrokkenen, de lat wordt dus gelijkgetrokken.
Ten slotte worden de regels rondom privacyrisicobeoordelingen (DPIA's) Europees geüniformeerd, zodat organisaties die in meerdere landen actief zijn niet langer te maken hebben met uiteenlopende nationale lijsten. En de bekende cookieregels worden voortaan rechtstreeks in de AVG opgenomen, inclusief de mogelijkheid voor gebruikers om hun voorkeuren via browserinstellingen automatisch door te geven.
Wijziging incidentenmeldingen
De Europese Commissie wil het melden van incidenten zoals datalekken of IT-verstoringen een stuk eenvoudiger maken voor organisaties.
Op dit moment moeten zij hetzelfde incident vaak meerdere keren melden bij verschillende toezichthouders, via verschillende kanalen en in verschillende formats. Dat gaat veranderen.
Het idee is simpel: één loket, één melding. Een organisatie dient een incidentmelding eenmalig in, waarna het systeem die melding automatisch doorstuurt naar alle relevante toezichthouders. De inhoudelijke meldplichten zelf veranderen niet maar het proces wordt aanzienlijk gestroomlijnd.
Dit nieuwe loket geldt voor meldingen onder meerdere Europese wetten tegelijk, waaronder DORA en de AVG. Daarnaast wil de Commissie ook de inhoud van meldingen harmoniseren door te werken met gemeenschappelijke templates, waarbij de al bestaande DORA-formats als uitgangspunt dienen.
Voor compliance- en legal-teams betekent dit minder dubbel werk bij incidenten, maar ook de nodige voorbereiding: organisaties zullen hun interne meldprocessen moeten aanpassen aan het nieuwe centrale systeem zodra dit operationeel wordt.
Wijzigingen in de AI-Act
De Europese Commissie wil de AI Act praktischer uitvoerbaar maken zonder het beschermingsniveau te verlagen
Een aantal concrete vereenvoudigingen:
- De verplichting voor bedrijven om intern aan AI-geletterdheid te werken wordt een overheidstaak
- Kleinere en middelgrote bedrijven krijgen toegang tot vereenvoudigde documentatievereisten
- AI-systemen die na beoordeling geen hoog risico blijken te vormen hoeven niet langer te worden geregistreerd in de EU-database.
Voor hoog-risico AI-systemen komt er meer flexibiliteit rondom nalevingsdeadlines: die worden gekoppeld aan de beschikbaarheid van Europese normen en richtlijnen, met als uiterste data december 2027 en augustus 2028. Systemen die al op de markt zijn hoeven niet onmiddellijk te worden aangepast, tenzij er ingrijpende wijzigingen aan worden gedaan.
Daarnaast komt er meer ruimte voor praktijktesten via een nieuw EU-breed testplatform onder toezicht van de AI Office.
Herziening PSD2 (PSD3 & PSR)
In november 2025 bereikten de Raad en het Europees Parlement een voorlopig akkoord over de opvolgers van PSD2: de nieuwe Payment Services Regulation (PSR) en de Third Payment Services Directive (PSD3). De definitieve teksten werden verwacht in het eerste kwartaal van 2026, deze teksten zijn tot op heden nog niet gepubliceerd.
Een groot deel van het akkoord richt zich op fraudebestrijding en consumentenbescherming. Centraal staat de aanpak van zogeheten authorised push payment (APP)-fraude, waarbij slachtoffers zelf een betaling aan een fraudeur goedkeuren vaak na spoofing, waarbij de fraudeur zich voordoet als medewerker van een bank. Onder de nieuwe regels moeten betaaldienstverleners schade als gevolg van spoofing binnen vijftien werkdagen vergoeden, tenzij de consument aantoonbaar zeer onzorgvuldig handelde. De reeds bekende IBAN-naamcheck wordt uitgebreid naar meer typen betalingen, en betaaldienstverleners moeten onderling fraudegegevens delen. Wie deze maatregelen niet naleeft, is aansprakelijk voor de geleden schade.
Opvallend nieuw, en niet terug te vinden in eerdere tekstvoorstellen, is een verplichting voor grote online platforms zoals Google om geen advertenties meer te tonen van betaaldienstverleners zonder vergunning. Doen zij dit wel en een consument loopt via zo’n advertentie schade op, kan het platform aansprakelijk worden gehouden voor de kosten.
Verder worden consumenten beter beschermd via verplichte kostentransparantie bij geldautomaten, verbeterde cash-toegankelijkheid in niet-stedelijke gebieden en een verplichting voor winkeliers om herkenbare handelsnamen op betaalafschriften te vermelden. Op het gebied van open banking moeten technische drempels worden weggenomen zodat open-bankingaanbieders beter kunnen concurreren met banken.
Hoewel het akkoord al veel richting geeft, blijven de definitieve teksten bepalend. Een aantal onderwerpen dat in eerdere voorstellen prominent aanwezig was wordt in de aankondiging niet genoemd. Of deze punten alsnog terugkomen wordt duidelijk zodra de definitieve teksten worden gepubliceerd.
SFDR 2.0
De Europese Commissie heeft in november 2025 een ingrijpende herziening van de SFDR gepubliceerd, de Europese regelgeving die transparantie over duurzaamheid bij financiële producten verplicht stelt. De herziening raakt zowel de reikwijdte van de regels als de manier waarop duurzame beleggingsproducten worden ingedeeld en gecommuniceerd.
Gewijzigde reikwijdte
De herziene SFDR geldt alleen nog voor partijen die financiële producten maken, beheren of aanbieden zoals fondsbeheerders, verzekeraars en pensioenfondsen. Beleggingsadvies en discretionair vermogensbeheer vallen voortaan buiten de SFDR. Die partijen blijven wel verplicht duurzaamheidsvoorkeuren mee te nemen, maar dat gebeurt via andere regelgeving zoals MiFID II.
Nieuwe productcategorieën
De bekende indeling in Artikel 8- en Artikel 9-fondsen verdwijnt. Daarvoor komen drie nieuwe categorieën in de plaats:
- Sustainable (art. 9)
- Transition (art. 7)
- ESG Basics (art. 8)
Voor alle drie geldt dat minimaal 70% van de beleggingen moet aansluiten bij de duurzaamheidsstrategie van het product. Daarnaast erkent het voorstel expliciet impactbeleggen voor producten die gericht zijn op meetbare sociale of milieu-effecten. Voor alle categorieën gelden EU-brede uitsluitingen, zoals controversiële wapens, tabaksproductie en ernstige schendingen van internationale normen. De Sustainable-categorie kent daarbij de strengste uitsluitingsset.
Vereenvoudiging van rapportage en claims
De rapportageverplichtingen worden op meerdere fronten verlicht: kortere precontractuele documenten, minder indicatoren en gestandaardiseerde websitevereisten. De verplichte PAI-rapportage op entiteitsniveau (artikel 4 SFDR) vervalt, mede omdat die informatie al via de CSRD wordt opgevangen.
Rapportage over afstemming op de EU-Taxonomie wordt evenmin langer verplicht, al geldt wel dat producten met minimaal 15% taxonomie-compatibele activa automatisch voldoen aan de 70%-drempel. Alleen producten die binnen één van de drie categorieën vallen mogen duurzaamheidsclaims in hun naam voeren.
Er is geen algemene overgangstermijn voorzien. Alleen pensioenproducten en verzekeringsgerelateerde beleggingsproducten krijgen 12 maanden extra implementatietijd. Bestaande closed-end fondsen die geen nieuwe investeringen meer accepteren vallen buiten de reikwijdte.
De exacte inwerkingtreding is nog onbekend, omdat het voorstel eerst door het Europees Parlement en de Raad moet worden goedgekeurd.
Vooruitblik
Met welke aankomende wet- en regelgeving moet je nog meer rekening houden?
In ons volgende Regulatory Update-artikel gaan we dieper in op onder andere de volgende ontwikkelingen:
- Retail Investment Strategy
- Wet internationale sanctiemaatregelen
- Richtsnoeren geschiktheidsbeoordeling van leden leidinggevend orgaan en houders sleutelposities
Vraag een Regulatory Update aan
We hopen dat dit artikel u een goed beeld heeft gegeven van recente ontwikkelingen. Omdat wet- en regelgeving voortdurend in beweging is, wilt u er natuurlijk zeker van zijn dat u niets over het hoofd ziet. Vraag daarom een op maat gemaakte Regulatory Update aan (beschikbaar in het Nederlands en Engels).
Met deze kwartaalrapportage ontvang je een helder overzicht van actuele ontwikkelingen, aankomende wetswijzigingen en relevante publicaties en consultaties, volledig afgestemd op jouw organisatie en activiteiten. Onze ervaren consultants lichten de belangrijkste punten toe, beantwoorden je vragen over de interpretatie van wetgeving en denken mee over vervolgstappen en praktische uitvoering. Indien gewenst stellen zij samen met jou een concreet plan van aanpak op voor het aanpassen van beleid en procedures.
Zo ben je altijd goed voorbereid op nieuwe regelgeving en houd je grip op de gevolgen daarvan voor jouw organisatie.
