AFM gaat ethische hack-testen (TIBER-test) opzetten

Digitalisering kan financiële dienstverlening verbeteren, maar brengt voor de aanbieders van deze diensten ook risico’s met zich mee, onder andere op het gebied van cyber-security. Technologische oplossingen, in belangrijke mate geleverd door derden, geven een nieuwe dimensie aan operationele risico’s bij financiële ondernemingen. Robuuste en veilige IT-huishouding is van essentieel belang.

Hack-test

Een manier om deze ‘huishouding’ te testen is een zogenaamde ‘hack-test’. Komend jaar zal de AFM, net zoals DNB, ethische hack-testen (TIBER-test) opzetten. Ondernemingen onder toezicht van de AFM kunnen hieraan deelnemen. De testen worden op vrijwillige basis uitgevoerd.

Deelnemers

De deelnemende onderneming huurt gespecialiseerde partijen in die de test volgens het opgezette framework uitvoeren. De test draagt sterk bij aan haar digitale weerbaarheid. In de praktijk blijkt dat – ondanks dat men voldoet aan alle wet- en regelgeving – een test andere risico’s kan blootleggen dan verwacht. De testen vormen daarmee een nuttige aanvulling op de bestaande toezichtinstrumenten. Tijdens zo’n test komen verschillende kritische IT-systemen en de digitale huishouding van een financiële onderneming onder de loep te liggen. Een groot gedeelte van de kritische IT-processen is echter uitbesteed aan derde partijen. In het licht van deze testen is dat een probleem, aangezien derde partijen veelal weigeren om deel te nemen aan de TIBER-test van hun cliënt. Daardoor is het inzicht in de digitale veiligheid van de financiële onderneming onvolledig.

Gezien het steeds groter wordende belang van digitale weerbaarheid wil de AFM samen met DNB dat financiële ondernemingen hun eigen IT-huishouding volledig kunnen en mogen testen, inclusief het gedeelte dat is ondergebracht bij een derde partij. Dit zal voor hen bijdragen aan hun risicobeheersing. Op het gebied van netwerk- en informatiesystemen is er Europese regelgeving in de maak, waaronder de Digital Operational Resilience Act.

Buitenlandse verzekeraar aanmerken als pensioenuitvoerder in de Pensioenwet

In de Pensioenwet zien wij een lacune in het toezicht op Nederlandse tweedepijlerpensioenen die worden uitgevoerd door verzekeraars vanuit een andere EU-lidstaat. Als het gaat om gedragstoezicht, waaronder informatieverstrekking aan, keuzebegeleiding van en zorgplicht voor consumenten (deelnemers), kan de AFM niet adequaat haar toezichtbevoegdheden uitoefenen. De normen in de Pensioenwet richten zich namelijk tot de pensioenuitvoerder en deze wet merkt verzekeraars met een zetel en vergunning buiten Nederland niet aan als ‘pensioenuitvoerder’. De normen zijn nu dus niet van toepassing op die verzekeraars. Om effectief gedragstoezicht op de activiteiten van die verzekeraars aan Nederlandse deelnemers mogelijk te maken, ziet de AFM graag dat deze groep alsnog onder de definitie van ‘pensioenuitvoerder’ wordt gebracht.

Zorgplicht beheerfase financiële producten

De AFM is het afgelopen jaar aan de slag gegaan met het vormen van haar visie op de publieke zorgplicht van financiële ondernemingen, in het bijzonder ten aanzien van de beheerfase. Naar verwachting zal de AFM hierover dit jaar meer naar buiten brengen. Deze visie moet helpen richting te geven aan de naleving van en het toezicht op de zorgplicht in de beheerfase. Samenhangend met dit onderwerp is de AFM in gesprek met het ministerie van Financiën over het bevorderen van financieel inzicht en de afbakening daarvan met het adviesbegrip. Mogelijk leiden deze gesprekken tot een wetgevingswens over het toezicht op de beheerfase van financiële producten.

DUO

In Trendzicht 2021 heeft de AFM gewezen op het risico dat sommige huishoudens betalingsverplichtingen hebben, die om verschillende redenen niet worden meegenomen door hypotheekverstrekkers bij het bepalen van de maximale financieringslast. Specifiek hebben wij gewezen op gebrekkige registratie van bepaalde kredietvormen, zoals gemeentelijke startersleningen, bepaalde private leasecontracten en studieleningen.

Studieleningen

Starters op de woningmarkt hebben steeds vaker een (hoge) studieschuld. Het aantal personen met een studieschuld is sinds begin 2015 toegenomen met 388.000, naar 1,4 miljoen in 2019. De gemiddelde studieschuld is ook opgelopen, van 12.400 euro in 2015 naar 13.700 euro in 2019.

het maximale hypotheekbedrag rekening te houden met de bestaande financiële verplichtingen (art. 4:34 Wft). Het is immers belangrijk dat het totale maandelijkse bedrag dat een consument moet betalen aan rente en aflossing voor een hypotheek – maar ook voor andere kredieten – verantwoord is. Met de voorwaarden van studieleningen en gelet op het maatschappelijke doel, heeft de wetgever reeds bepaald dat deze minder zwaar meewegen bij het bepalen van de maximale hypotheek dan bijvoorbeeld een consumptief krediet.2 Er zijn echter duidelijke aanwijzingen dat bij een deel van de consumenten een studieschuld in het geheel niet wordt meegenomen bij een hypotheekaanvraag. Aanbieders en adviseurs zijn momenteel in hoge mate afhankelijk van de aanvrager van de hypotheek om vast te stellen of sprake is van een studieschuld. De huidige praktijk, waarbij een aanvrager doorgaans een schermafdruk van de digitale ‘Mijn DUO’-omgeving overlegt, is onnodig omslachtig en bevordert naleving en handhaving van de geldende regelgeving rond verantwoorde kredietverstrekking niet. Extern onderzoek toont aan dat 15% van de starters een studieschuld niet opgeeft bij de hypotheekaanvraag.

BKR?

Om deze reden ziet de AFM graag dat uitstaande studieschulden centraal worden geregistreerd in een voor hypotheekverstrekkers toegankelijk register. De AFM verzoekt de minister van Financiën in overleg te treden met de minister van Onderwijs, Cultuur en Wetenschap over de concrete invulling van dit knelpunt. De AFM is daarbij van mening dat registratie in het Centraal Krediet Registratiesysteem van het Bureau Krediet Registratie het meest voor de hand ligt vanwege de aansluiting met de reeds bestaande schuldenregistratie.

Bron: AFM