Oproep tot het onverwijld melden van incidenten

Blog

Achtergrond

De verplichting voor financiële ondernemingen om incidenten te melden is niet nieuw. Integendeel, deze bestond al in de sectorale regelgeving van voor de inwerkingtreding van de Wet op het financieel toezicht (Wft) in 2007. Zij geldt niet alleen voor financiële ondernemingen die onder toezicht staan van de AFM, maar ook voor die onder toezicht staan van De Nederlandsche Bank (DNB); dit betreft dus onder meer adviseurs, bemiddelaars, gevolmachtigde agenten en verzekeraars.

Onder incident wordt in dit verband verstaan: een gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere uitoefening van het bedrijf van de financiële onderneming. Wanneer zich een dergelijk incident voordoet moet dat onverwijld aan de toezichthouder worden gemeld. Daarnaast moet de onderneming maatregelen nemen die zijn gericht op het beheersen van de opgetreden risico’s en het voorkomen van herhaling. Om te bewerkstelligen dat in voorkomend geval een melding wordt gedaan en de vereiste maatregelen worden getroffen, dienen financiële ondernemingen te beschikken over procedures en maatregelen met betrekking tot de omgang met en vastlegging van incidenten (incidentenbeleid).

De oproep van de AFM

De uitbraak van het coronavirus en de daaraan gerelateerde toename van thuiswerken, waren voor de AFM eind 2020 aanleiding om de aandacht te vragen voor de wettelijke verplichting tot het onverwijld melden van incidenten. De AFM ziet een toename van integriteits- en informatiebeveiligingsrisico’s doordat er tijdens de coronacrisis binnen ondernemingen meer op afstand met elkaar wordt samengewerkt, met als gevolg een grotere kans op incidenten die aan de toezichthouder moeten worden gemeld.

De AFM heeft zich specifiek gericht tot beleggingsondernemingen en beheerders van beleggingsinstellingen en heeft aangegeven dat het voor hen een wettelijke plicht is om incidenten die een ernstige bedreiging voor de beheerste en integere bedrijfsvoering vormen, bij haar te melden. Deze verplichting is echter ook op andere financiële ondernemingen, zoals verzekeraars en financiële dienstverleners, zoals adviseurs, bemiddelaars en gevolmachtigde agenten van toepassing, waarbij geldt dat ondernemingen met een vergunning van DNB bij DNB moeten melden en ondernemingen met een vergunning van de AFM bij de AFM.

Eerder in 2020 deed de AFM al onderzoek naar de risico's van thuiswerken. De AFM geeft nu aan, mede naar aanleiding van dat onderzoek de komende periode aandacht te zullen vragen voor het melden van incidenten, waaronder integriteits- en informatiebeveiligingsincidenten.

De AFM wijst erop dat het voor een goed werkende asset managementmarkt van groot belang is dat ondernemingen incidenten tijdig bij haar melden. Zo kan zij incidentmeldingen gebruiken om proactief op signalen uit de sector te reageren. Op basis van incidentmeldingen kan de AFM inspringen op ontwikkelingen in de sector en bijdragen aan het adequate functioneren van zowel de markt als individuele ondernemingen. Volgens de AFM is dit zowel voor de onder toezicht staande ondernemingen als voor de AFM zelf van belang. Zij zijn beide gebaat bij een gezonde en goed werkende sector. Het spreekt voor zich dat het vorenstaande ook voor andere financiële markten geldt, zoals de verzekeringsmarkt en dat ook voor DNB en de onder haar toezicht staande ondernemingen geldt dat zij beide gebaat zijn bij een adequaat functionerende markt en adequaat functionerende financiële ondernemingen.

Verder heeft de AFM te kennen gegeven dat zij de komende tijd in haar toezicht extra aandacht zal besteden aan incidentmeldingen, bijvoorbeeld in gesprekken met brancheverenigingen en door individuele ondernemingen te wijzen op de incidentmeldingsplicht. De AFM heeft tenslotte aangegeven in de toekomst mogelijk ook onderzoek te gaan doen naar de naleving van de incidentmeldingsplicht. Daarbij wordt benadrukt dat incidentmeldingen niet altijd tot handhaving, zoals een boete, leiden.

Voorbeelden van te melden incidenten

In de bijlage bij de brief die de AFM aan de betreffende financiële ondernemingen heeft gestuurd is een niet-limitatieve lijst opgenomen van voorbeelden van incidenten.

Als voorbeelden van informatiebeveiligingsincidenten worden genoemd: diefstal of verlies van ICT-middelen met vertrouwelijke data van de onderneming, ongeautoriseerde toegang tot de ICT-infrastructuur van de onderneming (eventueel met ongeautoriseerde transacties tot gevolg), de installatie van malware op systemen van de onderneming, een datalek, waarbij vertrouwelijke informatie terecht is gekomen in het publieke domein, en DDoS aanvallen of de dreiging daarvan.

Voorbeelden uit de praktijk van (overige) integriteitsincidenten die bij de AFM worden gemeld zijn: een werknemer of beleidsbepaler die wordt verdacht van en/of vervolgd voor een strafbaar (economisch) feit, een beleidsbepaler die (in het verleden) een vergrijpboete opgelegd heeft gekregen voor het opzettelijk indienen van een onjuiste of onvolledige belastingaangifte, een werknemer die een greep uit de kas doet, een boete van een andere toezichthouder dan de AFM, cliënten die betrokken raken bij ernstige (economische) strafbare feiten.

Eerder gaven de wetgever en DNB al een toelichting op en voorbeelden van incidenten die moeten worden gemeld. Ook zijn er enkele rechterlijke uitspraken waaruit het een en ander kan worden afgeleid. Wij verwijzen naar ons artikel ‘Incidenten, beboeting en nemo-tenetur’, waarin hierop uitvoerig wordt ingegaan.

Resumerend zouden wij adviseurs, bemiddelaars, gevolmachtigde agenten en verzekeraars willen waarschuwen alert te zijn op een verhoogd risico op incidenten in deze thuiswerktijd.

Keywords