20 Dec 2023
blog

Marktindrukken AFM 2023

VAST 2023 / B-055
20 december 2023

Blog

De AFM heeft voor de vierde keer ‘Marktindrukken’ gepubliceerd met als doel om de sector van financieel dienstverleners inzicht te bieden in beelden en ontwikkelingen (zie https://www.afm.nl/nl-nl/sector/actueel/2023/november/marktindrukken-2023). De informatie komt voort uit de MarktMonitor Adviseurs en Bemiddelaars (MMAB), ingevuld door financieel dienstverleners in het voorjaar van 2023. Deze jaarlijkse uitvraag dient als toezichtinstrument en helpt de AFM bij het gericht inzetten van toezicht, het begrijpen van de markt en het identificeren van risico’s. De publicatie bevat enkele waardevolle inzichten en bevindingen uit toezichtonderzoeken en enkele aandachtspunten voor 2024. Deze inzichten zullen in dit blog kort worden besproken. Hierbij zal enkel aandacht worden besteed aan de onderwerpen die voor financieel dienstverleners die actief zijn in verzekeringen.

Integere en beheerste bedrijfsvoering

In 2023 heeft de Autoriteit Financiële Markten (AFM) een risicogebaseerd onderzoek uitgevoerd naar de integere en beheerste bedrijfsvoering van verschillende financiële dienstverleners. De AFM geeft aan dat het handhaven van een integere en beheerste bedrijfsvoering cruciaal is voor het verkrijgen en behouden van een vergunning van de AFM. Het onderzoek omvatte 31 vergunninghouders, waarvan slechts 4 op dat moment aan alle wettelijke vereisten voldeden.

 

Het onderzoek bracht tekortkomingen aan het licht bij diverse financieel dienstverleners, waarbij overtredingen werden geconstateerd op het gebied van zelfs elementaire zaken als Kifid-aansluiting, beroepsaansprakelijkheidsverzekering, diplomaplicht, incidentenbeleid, beloningsbeleid en samenwerking met freelancers. De resultaten van het onderzoek waren voor de AFM teleurstellend en financieel dienstverleners met overtredingen ontvingen waarschuwingen van de AFM. Het handhaven van een integere en beheerste bedrijfsvoering is van vitaal belang, aangezien het niet naleven van wettelijke vereisten kwetsbaarheden in de dienstverlening aan klanten kan veroorzaken.

 

De AFM benadrukt dat financieel dienstverleners continu bewust moeten zijn van hun verantwoordelijkheid voor de bedrijfsvoering en de naleving van alle eisen. Het onderzoek wees uit dat het bijhouden van wet- en regelgeving voor sommige financieel dienstverleners uitdagend is, met name voor kleinere kantoren. Deze uitdaging kan leiden tot keuzes in de uitvoering van werkzaamheden en mogelijk kan dit tot gevolg hebben dat deze kantoren ervoor kiezen om bepaalde zaken uit te besteden.

 

Het onderzoek onthult daarnaast ook wat specifiekere overtredingen, zo mist in sommige gevallen een incidentenbeleid en -register en wordt het beloningsbeleid niet gepubliceerd. Tot slot constateert de AFM ook dat de samenwerkingsovereenkomsten met freelancers in sommige gevallen niet voldoen aan de wettelijke eisen.

 

Desondanks benadrukt de AFM dat ondanks het risicogebaseerde karakter van het onderzoek, het zorgelijk is dat zoveel ondernemingen niet aan de gestelde (elementaire) eisen voldoen. Financieel dienstverleners met overtredingen hebben waarschuwingen ontvangen, maar gezien de resultaten zal de AFM het onderzoek naar een integere en beheerste bedrijfsvoering voortzetten in 2024.

 

Informatiebeveiliging

In 2023 heeft de Autoriteit Financiële Markten (AFM) een informatiebeveiligingsonderzoek uitgevoerd onder 22 financiële dienstverleners. Het onderzoek maakte gebruik van een self-assessment gebaseerd op de Good Practice Informatiebeveiliging van De Nederlandsche Bank (DNB). Hieronder volgen de belangrijkste bevindingen:

 

Risico’s voor financiële dienstverleners:

  • Financieel dienstverleners benadrukken het essentiële belang van goed functionerende informatietechnologie voor hun bedrijfsvoering.
  • De meeste deelnemende partijen maken gebruik van bestaande technologie en nemen vaak een volgende rol aan ten aanzien van innovatie.
  • Risico-inschattingen van IT-beveiliging zijn overwegend hoog, met specifieke aandacht voor risico’s met betrekking tot beschikbaarheid, continuïteit en IT-uitbesteding.

 

Risicobeheersing door financiële dienstverleners:

  • Ondernemingen onderhouden jaarlijkse plannen voor informatiebeveiliging en hebben IT-beleid opgesteld.
  • Governance rond informatiebeveiliging is over het algemeen goed ingebed, maar IT-risicomanagement is nog niet op het gewenste niveau.
  • Eigenaarschap van data en systemen is vaak een uitdaging vanwege complexe structuren en tegenstrijdige belangen.
  • Het werven en behouden van bekwame medewerkers voor informatiebeveiliging is een belangrijk onderwerp, maar er kan meer aandacht worden besteed aan ontwikkelingsmogelijkheden.

 

Procedures en processen:

  • Procedures en standaarden voor change-management zijn voorhanden, maar de ontwikkeling van een goede informatiearchitectuur en dataclassificatieschema is nog niet op het gewenste niveau.
  • Continuïteitsplannen zijn goed uitgewerkt, maar testen blijft een aandachtspunt.
  • Monitoring van informatiebeveiliging, compliance en onafhankelijke assurance is redelijk ingericht.

 

Technologie:

  • Infrastructuur- en netwerkbeheer krijgen voldoende aandacht, maar beheer van cryptografische wachtwoorden kan verbeterd worden.
  • Malwarepreventie omvat preventieve en detectieve maatregelen, inclusief SOC/SIEM-services.
  • Identificatie en beheer van kwetsbaarheden kunnen verbeterd worden, evenals levenscyclusbeheer dat niet systematisch is ingebed.
  • Fysieke beveiliging en toegangsbeheer worden voldoende beoordeeld, maar monitoring van het interne risicokader van derden blijft een uitdaging.

 

De AFM heeft individuele feedback gegeven aan alle deelnemende financieel dienstverleners en ongeveer de helft van hen is gevraagd om een verbeterplan op te stellen. De AFM zal in de komende maanden toezien op de implementatie van deze verbeteringen.

 

Overige vermeldenswaardige aandachtspunten

Daarnaast bespreekt de AFM ook nog een aantal andere onderwerpen die noemenswaardig zijn.

 

Vergelijkingskaart

Op 1 april 2023 is de vergelijkingskaart geïntroduceerd als opvolger van het dienstverleningsdocument. Vanaf 1 oktober 2023 mogen financieel dienstverleners alleen nog de nieuwe vergelijkingskaart gebruiken.

 

Beheersing ICT-risico’s: digitale weerbaarheid

De Digital Operational Resilience Act (DORA) stelt normen voor grote financiële dienstverleners met betrekking tot digitale weerbaarheid, van kracht vanaf 17 januari 2025.

DORA bevat verplichtingen met betrekking tot ICT Risk Management Framework, ICT-incidenten, digitale weerbaarheidstests en beheersing van uitbestede ICT-diensten.

DORA kan dienen als raamwerk voor de ICT-beheersing van alle ondernemingen, niet alleen voor grote financiële dienstverleners. De AFM moedigt ondernemingen aan te reageren op consultaties met betrekking tot de verdere uitwerking van DORA-normen.

 

De AFM publiceert DORA-updates met handvatten voor ondernemingen om tijdig compliant te worden. Aandachtspunten omvatten ICT-risicobeheer, afhandeling van ICT-gerelateerde incidenten, digital operational resilience testing, beheer van ICT-risico van derde aanbieders, governance en organisatie van ICT.

 

Personentoetsing: betrouwbaarheid

Personen die het beleid bepalen of toezicht houden op financiële dienstverleners moeten betrouwbaar zijn. Bij de toetsing moet een Betrouwbaarheidsformulier worden ingevuld met vragen over antecedenten. Onjuiste of onvolledige invulling kan consequenties hebben.

Alleen de zwaarste strafrechtelijke antecedenten leiden direct tot het oordeel dat betrouwbaarheid niet buiten twijfel staat. Andere antecedenten worden gewogen op basis van verschillende factoren.

 

Verplichting LEI-codes

Financieel dienstverleners met een uitgaand Europees paspoort moeten vanaf 1 februari 2024 een Legal Entity Identifier (LEI) hebben. 33 Procent van deze dienstverleners heeft al een LEI aangevraagd; 67 procent moet dit nog doen. De LEI hoeft niet aan de AFM te worden doorgegeven; de AFM kan deze via de GLEIF-database opzoeken en toevoegen aan de registratie.

 

Aanbeveling voor de praktijk

De marktindrukken van de AFM geven een goede inkijk in de onderwerpen die de AFM van belang vindt in haar toezicht. Het onderzoek naar de integere en beheerste bedrijfsvoering betrof voor een groot deel ondernemingen die al onder de aandacht van de AFM waren, waardoor wellicht meer onvolkomenheden zijn geconstateerd dan bij een gemiddelde financieel dienstverlener het geval zal zijn. Desalniettemin geeft het onderzoek een goed overzicht van ‘quick-fixes’ om na te gaan in de eigen organisatie, zoals de Kifid-aansluiting, de beroepsaansprakelijkheidsverzekering, de geldige diploma’s voor iedere medewerker met adviserend klantcontact, incidentenbeleid en -register en het publiceren van het beloningsbeleid. Ook is het goed om na te gaan hoe wordt omgegaan met freelancers. Het is van belang om te weten dat dit onderwerp belangrijk blijft voor de AFM en zij hier ook in 2024 aandacht aan zal besteden.

 

Het onderzoek naar informatiebeveiliging door de AFM is een self-assessment en lijkt mij daardoor een stuk positiever uit te pakken. Ook hieruit kunnen echter waardevolle lessen worden gehaald, zoals aandacht voor IT-risicomanagement, meer aandacht voor eigenaarschap van data en systemen, het (vaker) testen van continuïteitsplannen, het verbeteren van identificatie en beheer van kwetsbaarheden en het monitoren van het interne risicokader van derden.

 

Ook de afsluitende opmerkingen verdienen het om nagelopen te worden:

  • Het is goed om na te gaan of je als financieel dienstverlener al vergelijkingskaarten gebruikt in plaats van dienstverleningsdocumenten.
  • De AFM verwacht dat wordt gestart met de implementatie van DORA.
  • De AFM verwacht bij een betrouwbaarheidsonderzoek volledigheid, omdat de mate van openheid van invloed is op de beoordeling.
  • Het is goed om na te gaan of een LEI code vereist is als financieel dienstverlener.

 

De Marktmonitor geeft dus een mooie lijst van aandachtspunten die voor iedere financieel dienstverlener van belang zijn.

Keywords

AFM
Financieel recht
Marktindrukken
Marktmonitor
Toezicht

Auteur(s)

Jan Pieter Uittenbroek

General Counsel Alicia Insurance, Alicia Benefits

LinkedIn

03 Jun 2025
blog

Waardevergoedingsvordering na ontbinding: wie moet stellen?
Nickey van Collem

In de praktijk betaalt een opdrachtgever doorgaans een voorschot voordat met de werkzaamheden wordt aangevangen. Maar wat gebeurt er met het voorschot als de overeenkomst van opdracht wordt ontbonden? In artikel 6:271 BW is bepaald dat de ontvangen prestaties in dat geval geheel ongedaan moeten worden gemaakt. Betekent dit dat het voorschot volledig moet ...
27 May 2025
blog

Verzekeraars, opgelet! Bewijsperikelen bij artikel 7:929 BW
Lars Gundlach

In april 2019 ontdekt Achmea dat de verzekeringnemer (appellant) bij het sluiten van een autoverzekering in 2014 feiten heeft verzwegen – feiten waarnaar Achmea voor het sluiten van de overeenkomst expliciet heeft gevraagd. Achmea stopt de schaderegeling die was ingezet naar aanleiding van een ongeluk uit 2015, en vordert de gedane betalingen terug. Appel...
23 May 2025
praktijk

Aandacht voor AI: Artificial Intelligence bij verzekeraars: balanceren tussen kansen en risico's
Yaşar Bayram

Artificial Intelligence (‘AI’) is inmiddels meer dan alleen een futuristisch concept. In zowel de financiële sector als in andere sectoren wint AI terrein. De Autoriteit Financiële Markten (‘AFM’) en De Nederlandsche Bank (‘DNB’) houden deze ontwikkelingen dan ook nauwlettend in de gaten. In 2024 voerde DNB een onderzoek uit naar het gebruik van AI binnen...