AFM kondigt deep dive onderzoek aan

Op 23 december 2020 deed de AFM een oproep om incidenten te melden. Naast deze oproep heeft de AFM de betreffende beleggingsondernemingen en beheerders van beleggingsinstellingen en/of icbe’s een brief gestuurd. De aandacht voor het onderwerp heeft echter niet geleid tot een significante toename van het aantal incidentmeldingen bij de AFM.

Eerste inventarisatie

Daarom heeft de AFM de afgelopen periode een inventarisatie, zonder feitelijk beoordeling van beleid of maatregelen, gedaan naar hoe ondernemingen omgaan met het melden van incidenten en de incidentmeldingsplicht.

Hiervoor is gesproken met een aantal ondernemingen en brancheverenigingen. Op 30 september is een brief met de uitkomsten van de inventarisatie gedeeld. Hierin licht de AFM toe wat onder ‘incidentmeldingen’ wordt verstaan en gaat zij in op de drempels die sommige ondernemingen ervaren bij het melden van incidenten.

Daarnaast wordt nogmaals bewezen op het belang van goede afspraken met serviceproviders over het melden van incidenten. Tot slot uit de AFM haar zorgen ten aanzien van de toenemende dreiging van hackers en andere kwaadwillenden die het gemunt hebben op klantgegevens, activa en intellectueel eigendom.

Wanneer is een incident een incident?

Op grond van artikel 1 van het Besluit Gedragstoezicht financiële ondernemingen Wft (BGfo) is een incident “een gedraging of een gebeurtenis die een ernstig gevaar vormt voor de integere uitoefening van het bedrijf van een financiële onderneming”.

In het BGfo is opgenomen dat ondernemingen de AFM onverwijld informeren over incidenten.

Misverstand

Een beperkt aantal ondernemingen benoemt een drempel om incidenten bij de AFM te melden omdat onduidelijk is waar een dergelijke melding binnen de AFM terecht gaat komen en welke actie de AFM naar aanleiding van de melding onderneemt. De AFM benadrukt dat het een misverstand is dat incidentmeldingen altijd tot handhaving zoals een boete leiden. Het is voor een goed werkende asset managementmarkt namelijk van groot belang dat ondernemingen incidenten tijdig bij de AFM melden. Het is voor de AFM vooral belangrijk om in het geval van een incident inzichtelijk te krijgen wat de oorzaak van een incident is, hoe een onderneming met een incident omgaat en hoe herhaling in de toekomst wordt voorkomen. De AFM gebruikt incidentmeldingen om proactief op signalen uit de sector te reageren.

Bron: AFM