Het speelveld is veranderd

Elk jaar publiceren de AFM, DNB en de Autoriteit Persoonsgegevens hun toezichtplannen. En elk jaar nemen veel financiële instellingen daar kennis van, bespreken het in een MT-overleg en gaan vervolgens weer over tot de orde van de dag. Dat is begrijpelijk, want toezichtagenda’s lezen als ambtelijke documenten vol abstracte beleidsvoornemens.

Maar dit jaar is er iets veranderd. De drie toezichthouders trekken in hun plannen voor 2026 een opvallend gelijkluidende conclusie: het gaat niet meer om het hebben van beleid, maar om het aantonen dat het werkt. DNB noemt dat risicogebaseerd en proportioneel toezicht. De AFM bouwt aan preventief AI-toezicht waarbij voorkomen zwaarder weegt dan achteraf ingrijpen. En de AP stelt dat privacy structurele vragen oproept over macht en autonomie in een digitale samenleving.

Wat betekent dat concreet voor jou? In dit artikel vertalen we de belangrijkste verschuivingen naar zes dingen die je als financiële instelling anders zou moeten doen.

Zes dingen die je anders moet gaan doen

1. Test je digitale weerbaarheid, in plaats van hem alleen te beschrijven

DORA is van kracht, en de AFM intensiveert haar toezicht op incidentmanagement, uitbesteding en het testen van digitale weerbaarheid. DNB gaat nog een stap verder: zij waarschuwt samen met de AFM voor systeemrisico’s door digitale afhankelijkheid en benadrukt het belang van Europese strategische autonomie. De AP verbindt digitale weerbaarheid aan de continuïteit van gegevensverwerking en het afbouwen van afhankelijkheden van grote techbedrijven.

Veel instellingen hebben de afgelopen maanden hun DORA-beleid op orde gebracht. Maar beleid is niet hetzelfde als weerbaarheid. De vraag die je nu moet beantwoorden is niet of je een document hebt, maar of je daadwerkelijk hebt getest wat er gebeurt als een kritieke leverancier uitvalt. Of je weet hoelang je zonder je kerninfrastructuur kunt opereren. Of je bestuur is geïnformeerd over de uitkomsten van die tests, en of dat ook is vastgelegd.

Wat je nu kunt doen: Breng je kritieke ICT-afhankelijkheden in kaart, test je herstelscenario’s concreet en bespreek de uitkomsten op bestuursniveau. Leg dat gesprek vast.

2. Weet welke algoritmes je gebruikt, voor de toezichthouder ernaar vraagt

Als je eerlijk bent: weet je precies welke algoritmes en AI-toepassingen er binnen jouw organisatie draaien? In klantacceptatie, pricing, risicobeoordeling, marketingcommunicatie? De kans is groot dat het antwoord “niet helemaal” is. En precies dat is het punt waar de AFM je op gaat bevragen. De AFM vraagt instellingen om hun AI-toepassingen in kaart te brengen, modelrisicobeheer en datakwaliteit te versterken en beslislogica vast te leggen. DNB organiseerde in 2025 al sectorbrede dialogen over de AI-verordening. En de AP publiceert dit jaar haar visie op generatieve AI, inclusief de AVG-randvoorwaarden voor het trainen van modellen, plus een halfjaarlijkse rapportage over algoritmerisico’s.

Dat is geen toekomstige verplichting. Dat is nu. AI-toepassingen laten zich achteraf lastig bijsturen, en precies daarom kiezen alle drie de toezichthouders voor preventief toezicht.

Wat je nu kunt doen: Maak een inventarisatie van alle AI-toepassingen en algoritmes in je organisatie. Bepaal wie verantwoordelijk is voor de governance ervan. Leg per toepassing vast welke data erin gaat, welke beslissingen eruit komen en hoe je dat kunt uitleggen aan een klant of toezichthouder.

3. Bewijs dat je integriteitsmaatregelen werken, niet alleen dat ze bestaan

De AFM versterkt in 2026 de aanpak van beleggingsfraude en witwassen, werkt samen met banken en draagt actief bij aan de Europese AMLA. DNB trad in 2025 maar liefst 35 keer handhavend op, waarvan 18 keer op integriteitsgebied, voor een totaal van bijna 38,5 miljoen euro aan bestuurlijke boetes. Dat zijn geen symbolische bedragen.

De verschuiving die hierachter zit is fundamenteel: het gaat niet meer om de vraag of je een CDD-proces hebt, maar of dat proces daadwerkelijk risico’s vangt. Heb je ooit getoetst of je transactiemonitoring ook echt ongebruikelijke patronen opspoort? Of weet je eigenlijk alleen dat het systeem draait? Het verschil tussen die twee antwoorden is precies waar toezichthouders naar kijken.

Wat je nu kunt doen: Toets de effectiviteit van je integriteitsmaatregelen met concrete scenario’s. Onderbouw bewust geaccepteerde restrisico’s en bespreek die met je bestuur. Stap over van periodieke handmatige controles naar datagedreven monitoring.

4. Behandel duurzaamheid als risicovraagstuk, niet als communicatievraagstuk

DNB benadert duurzaamheid nadrukkelijk als financiële risicocategorie, via klimaatscenario’s en stresstesting. De AFM richt zich op de betrouwbaarheid van ESG-informatie, met bijzondere aandacht voor beleggingsinstellingen. De boodschap is dezelfde: als je duurzaamheidsclaims doet, moet je die ook kunnen waarmaken.

In de praktijk zien we dat ESG bij veel instellingen nog een communicatie- of rapportagetraject is, losstaand van de rest van de organisatie. Dat is niet langer houdbaar. Als je op je website schrijft dat je duurzaam belegt, moet je kunnen uitleggen op basis van welke data je dat concludeert, wie die data verifieert en hoe je voorkomt dat er een verkeerd beeld ontstaat bij klanten.

Wat je nu kunt doen: Toets je duurzaamheidsuitingen op onderbouwing en zorg dat compliance betrokken is bij het formuleren ervan. Richt governance in rond ESG-datakwaliteit. Trek duurzaamheid uit het communicatiedomein en behandel het als integraal onderdeel van je risicobeheersing.

5. Betrek compliance bij scenario’s die je nu nog alleen met risk bespreekt

DNB plaatst geopolitieke risico’s als eerste van haar drie focusgebieden voor 2025-2028 en startte vorig jaar een weerbaarheidsprogramma met uiteenlopende scenario’s voor zowel de financiële sector als voor DNB zelf. Extra focus lag op digitale afhankelijkheden. Samen met de AFM waarschuwde DNB voor systeemrisico’s door digitale afhankelijkheid. En de AP benoemt het afbouwen van afhankelijkheden van grote techbedrijven uit derde landen als een van haar speerpunten.

Bij veel instellingen is scenario-analyse het domein van risk en treasury. Maar als sanctieregimes verschuiven, uitbestedingsketens onder druk komen of toegang tot cloudinfrastructuur onzeker wordt, raakt dat direct aan compliance. Sanctienaleving, integriteitsbeleid, uitbestedingsgovernance: het zijn stuk voor stuk compliance-thema’s die bewegen met de geopolitieke realiteit.

Wat je nu kunt doen: Zorg dat compliance aan tafel zit bij scenario-analyses en stresstesting. Breng in kaart hoe geopolitieke verschuivingen doorwerken in je uitbestedingsrelaties, sanctiebeleid en integriteitsrisico’s. Maak het onderdeel van je periodieke risicorapportage.

6. Maak privacy onderdeel van je governance, niet iets voor “de privacy officer”

De AP heeft in haar Strategische focus 2026-2028 drie prioriteiten benoemd: het tegengaan van massasurveillance, toezicht op AI en het versterken van digitale weerbaarheid. Daarmee verlaat de AP definitief het terrein van de individuele klacht en richt zij zich op structurele risico’s voor burgers. De AP baseert haar werk op fundamentele waarden als non-discriminatie, persoonlijke autonomie en transparantie van de macht.

Voor jou als financiële instelling betekent dit dat privacy niet langer iets is dat je kunt delegeren aan een specialist die af en toe een DPIA opstelt. Het raakt je bredere technologie- en governancevragen. Welke data verzamel je, waarom, en kun je dat verdedigen? En wie is er eigenlijk verantwoordelijk: compliance, de privacy officer, of allebei?

Wat je nu kunt doen: Actualiseer je DPIA’s en breng je datastromen in kaart. Beoordeel of je datagebruik proportioneel is en of je dat kunt verdedigen. Maak heldere afspraken over de afbakening tussen compliance en privacy.

In één overzicht

De echte verandering zit niet in de regels

De zes verschuivingen hierboven zijn concreet en uitvoerbaar. Maar de onderliggende boodschap van alle drie de toezichthouders gaat verder dan losse actiepunten. Wat ze eigenlijk zeggen is: we willen een andere houding zien.

Niet wachten tot de toezichthouder belt, maar zelf zien wat er speelt. Niet toetsen of beleid bestaat, maar bijdragen aan het werkend krijgen van beheersing. Niet ieder op een eigen eiland werken, maar risico’s in samenhang beheersen. Niet alleen beoordelen, maar het gesprek aangaan met bestuur en business over wat werkt en wat niet.

Dat klinkt misschien als een open deur. Maar kijk eens eerlijk naar hoe de compliance functie in jouw organisatie is gepositioneerd. Wordt compliance betrokken bij het inrichten van nieuwe processen, of pas achteraf gevraagd om een oordeel? Zit compliance aan tafel bij strategische discussies over AI, uitbesteding of geopolitiek, of hoort het ervan via de notulen? Het verschil tussen die twee is precies waar het om draait in 2026.

Bronnen

•      AFM Agenda 2026, gepubliceerd 19 januari 2026 (afm.nl)

•      DNB Toezicht in Beeld 2025-2026, gepubliceerd 24 februari 2026 (dnb.nl)

•      AP Jaarplan 2026 en Strategische focus 2026-2028, gepubliceerd 30 januari 2026 (autoriteitpersoonsgegevens.nl)

Hoe wij je kunnen helpen

Bij Consequent Compliance vertalen we toezichtontwikkelingen naar werkbare oplossingen. We denken met je mee, niet vanuit een checklist, maar vanuit jouw specifieke situatie en risicoprofiel. Denk aan:

• Compliance jaarplannen die aansluiten bij de actuele toezichtthema’s en jouw specifieke context.

• Periodieke rapportages waarmee je aantoonbaar maakt dat je beheersing werkt, richting je bestuur én richting de toezichthouder.

• Integriteits- en Wwft-audits die verder gaan dan formaliteit en de effectiviteit van je maatregelen toetsen.

• Compliance scans en gap-analyses voor snel inzicht in waar je staat ten opzichte van de actuele toezichtverwachtingen.

• Externe compliance officer diensten voor een onafhankelijke, professionele invulling van je compliance functie.

Wil je weten hoe jouw organisatie ervoor staat? Neem vrijblijvend contact met ons op voor een oriënterend gesprek.