Ga naar hoofdinhoud
Adfiz logo

Incidenten

Adfiz-Nieuws_Default.png

De regels die in het leven zijn geroepen rondom de omgang met incidenten helpen bij de bestrijding van fraude, oplichting en andere misstanden binnen de financiële sector. Jouw hulp is namelijk cruciaal bij de toezichthoudende rol van de AFM. In bepaalde situaties ben je zelfs verplicht om incidenten te melden bij de toezichthouder.

Omgaan met incidenten

Als financieel dienstverlener ben je op grond van de Wft (art. 4:11) en het Bgfo (art. 29) verplicht je bedrijfsvoering zo in te richten dat een beheerste en integere uitoefening van de bedrijfsactiviteiten wordt gewaarborgd. Doel is overtredingen te voorkomen die het vertrouwen in je bedrijf of de financiële markten als geheel kunnen schaden. Het hebben van een incidentenbeleid is een verplicht onderdeel van de bedrijfsvoering. Dit beleid bestaat uit vastgestelde procedures en maatregelen voor het omgaan met eventuele incidenten. Het is een (schriftelijk) document waarin is opgenomen welke integriteitsrisico’s mogelijk tot een incident kunnen leiden en hoe je als bedrijf zult moeten handelen. Ook ben je verplicht een incident onverwijld te melden bij de AFM.

>> Om je te ondersteunen bij het administreren van incidenten hebben we een model Incidentenregister ontwikkeld. Je vindt dit model in de Toolkit in het rechtermenu.

In het geval er sprake is van een datalek, kun je verplicht zijn dit te melden bij de Autoriteit Persoonsgegevens (zie daarvoor stap 10 van ons kennisdossier Privacy). 

Wat is een incident?

Een incident is ‘een gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere uitoefening van je bedrijf’. Je kunt dan denken aan strafbare feiten en wettelijke overtredingen die het vertrouwen in je bedrijf of de financiële markten ernstig kunnen schaden (integriteit), een datalek, een IT-incident (zie hiervoor ook ons kennisdossier Digitale weerbaarheid).

Incident van binnen uit of buitenaf?

Een incident kan zich voordoen van binnenuit je bedrijf. Bijvoorbeeld op het niveau van het niet integer handelen van bestuurders/leidinggevenden/medewerkers. De oorzaak kan ook extern liggen. Bijvoorbeeld door toedoen van een klant waardoor het vertrouwen in je bedrijf of de financiële markten wordt geschaad.

Voorbeelden van incidenten zijn:

Intern

  • belangenverstrengeling door nevenfuncties van bestuurders bij zakelijke relaties

  • verstrekken van kredieten aan bestuurders/commissarissen

  • uitvoeren van nevenwerkzaamheden door medewerkers bij zakelijke relaties

  • vervalsen van handtekeningen van klanten door een medewerker

Extern

  • meewerken aan witwaspraktijken

  • innen van contante betalingen boven toegestane bedragen

  • laten omkopen bij een schadeafhandeling

  • een cybersecurity-incident (hack)

  • datalek

  • IT-incident bij uitbesteding

Tip: een belangrijk criterium voor een ‘incident’ is of de handelwijze het vertrouwen in de financiële onderneming of de financiële markten kan schaden. Een verkeersboete (wetsovertreding medewerker door te hard rijden) zal dit vertrouwen niet schaden en voldoet niet aan het criterium incident in de zin van de Wft.

Incidentenbeleid

Om incidenten te voorkomen of tijdig te signaleren ben je verplicht beleid hebben. Je moet procedures en maatregelen vaststellen gericht op integer handelen binnen alle lagen/afdelingen van je bedrijf. Dit beleid moet gebaseerd zijn op analyses van integriteitsrisico’s binnen je bedrijf. Het beleid moet zich richten op bewustwording, bevordering en handhaving van integer handelen binnen je gehele bedrijf. Het moet ervoor zorgen dat je als bedrijf verantwoordelijkheid neemt als een incident je bedrijfsvoering of de financiële markten raakt. Het beleid bestaat uit het vaststellen van procedures en te nemen passende maatregelen voor het omgaan met incidenten.

>> Om je te ondersteunen bij het opstellen van een Incidentenbeleid hebben we een stappenplan ontwikkeld. Je vindt dit stappenplan in de Toolkit in het rechtermenu.

Passende maatregelen

Op het moment dat een incident zich voordoet ben je verplicht passende maatregelen te nemen om de ontstane situatie te beheersen en daarbij ook herhaling te voorkomen. Wat passende maatregelen zijn, is afhankelijk van de oorzaak en de inhoud van het incident.

Informeren AFM

Wanneer een incident zich voordoet ben je wettelijk verplicht de AFM hierover direct te informeren. Niet in alle gevallen is het even eenvoudig om te beoordelen of er sprake is van een incident dat gemeld moet worden. Neem bij twijfel dan ook contact op met de AFM. De AFM heeft een geheimhoudingsplicht.

Meld in ieder geval:

  • het type incident

  • datum van het incident/tijdstip ontdekken incident

  • korte omschrijving van het incident

  • verwachte impact/schade

  • betrokken partij(en) bij het incident

  • interne bevindingen incident

  • status incident

  • genomen beheersmaatregelen en maatregelen tegen herhaling

  • contactpersoon binnen bedrijf en bereikbaarheid

Je bent verplicht bij een incident gegevens te verstrekken aan de AFM. Via een beveiligde methode (Cryptshare) kun je versleuteld informatie verzenden. Het delen van persoonsgegevens is in beginsel rechtmatig omdat er sprake is van gegevensdeling op basis van een wettelijke grondslag (o.g.v. de AVG). Het niet (tijdig) melden bij de AFM kan leiden tot een bestuurlijke boete.

Meldlink AFM: https://www.afm.nl/nl-nl/sector/themas/melden-misstanden-en-incidenten.

  • Bettie Hoogsteen
    Bettie 2023

    Bettie Hoogsteen

    Senior adviseur public affairs en beleid