Regulatory Update: de aandachtspunten voor Q2 2026 voor financiële instellingen

Europese Benchmark Verordening herzien

De herziene BMR is van kracht. De meest ingrijpende wijziging: niet-significante benchmarks vallen niet langer onder de verordening, waardoor 95% van alle benchmarks buiten scope valt. Benchmarks die nog wel in scope zijn, zijn onder andere EURIBOR en EU-klimaatbenchmarks.

Wet plan van aanpak witwassen van kracht

De wet is in werking getreden, op één onderdeel na: de acceptatieplicht voor contante betalingen onder de 3.000 euro volgt later, zodra het bijbehorende besluit met uitzonderingen gereed is. De wet maakt het onder meer mogelijk voor banken om gezamenlijk transactiemonitoring uit te voeren.

Lijst hoog-risicolanden aangepast

Op 9 en 29 januari 2026 zijn twee verordeningen in werking getreden die de lijst van hoog-risicolanden aanpassen.

• Toegevoegd: Rusland, Bolivia en de Britse Maagdeneilanden
• Verwijderd: Burkina Faso, Mali, Mozambique, Nigeria, Zuid-Afrika en Tanzania

AVG: meer duidelijkheid, minder administratie

Wanneer is de AVG van toepassing?

Het voorstel verduidelijkt dat gegevens die een organisatie zelf niet kan herleiden naar een persoon, voor die organisatie ook geen persoonsgegevens zijn. Daarnaast komen er beperkte uitzonderingen voor het verwerken van gevoelige gegevens, bijvoorbeeld bij:

• Gezichtsherkenning voor identiteitsverificatie, waarbij de betrokkene zelf de controle houdt
• Het trainen van AI-systemen waarbij gevoelige gegevens onbedoeld in de dataset terechtkomen

Praktische verlichtingen

• De informatieplicht bij gegevensverwerking vervalt als je redelijkerwijs kunt aannemen dat mensen die informatie al kennen én er geen hoog risico speelt
• Organisaties krijgen meer ruimte om excessieve of duidelijk misbruikte inzageverzoeken te weigeren of door te berekenen
• De meldtermijn bij datalekken gaat van 72 naar 96 uur
• Een datalek hoeft voortaan alleen aan de toezichthouder gemeld te worden als het ook een hoog risico oplevert voor betrokkenen, waarmee de lat voor beide meldplichten gelijk wordt getrokken

DPIA’s en cookies

De regels rondom privacyrisicobeoordelingen (DPIA’s) worden Europees geüniformeerd, zodat organisaties die in meerdere landen actief zijn niet langer te maken hebben met uiteenlopende nationale lijsten. De bekende cookieregels worden voortaan rechtstreeks in de AVG opgenomen, inclusief de mogelijkheid voor gebruikers om voorkeuren via browserinstellingen automatisch door te geven.

Incidentmeldingen: één loket vervangt meerdere

Nu moeten organisaties hetzelfde incident vaak bij meerdere toezichthouders melden, via verschillende kanalen en in uiteenlopende formats. Dat verandert.

Wat gaat er veranderen?

• Eén centraal meldloket: een organisatie dient een melding eenmalig in, waarna het systeem die automatisch doorstuurt naar alle relevante toezichthouders
• De inhoudelijke meldplichten veranderen niet, maar het proces wordt aanzienlijk gestroomlijnd
• Het loket geldt onder meerdere Europese wetten tegelijk, waaronder DORA en de AVG
• De Commissie wil meldingen verder harmoniseren via gemeenschappelijke templates, waarbij bestaande DORA-formats als uitgangspunt dienen

Voor compliance- en legalteams betekent dit minder dubbel werk, maar ook een concrete aanpassing van interne meldprocessen zodra het systeem operationeel wordt.

AI Act: meer ruimte voor uitvoerbaarheid

De Commissie wil de AI Act praktischer maken zonder het beschermingsniveau te verlagen.

Vereenvoudigingen voor alle organisaties

• De verplichting om intern aan AI-geletterdheid te werken wordt een overheidstaak
• Kleinere en middelgrote bedrijven krijgen vereenvoudigde documentatievereisten
• AI-systemen die na beoordeling geen hoog risico vormen hoeven niet meer geregistreerd te worden in de EU-database

Meer flexibiliteit voor hoog-risico AI-systemen

• Nalevingsdeadlines worden gekoppeld aan de beschikbaarheid van Europese normen, met als uiterste data december 2027 en augustus 2028
• Bestaande systemen hoeven niet onmiddellijk aangepast te worden tenzij er ingrijpende wijzigingen plaatsvinden
• Er komt meer ruimte voor praktijktesten via een nieuw EU-breed testplatform onder toezicht van de AI Office

In november 2025 bereikten de Raad en het Europees Parlement een voorlopig akkoord over de opvolgers van PSD2: de Payment Services Regulation (PSR) en de Third Payment Services Directive (PSD3). De definitieve teksten waren verwacht in Q1 2026 maar zijn tot op heden nog niet gepubliceerd.

Fraudebestrijding en consumentenbescherming centraal

Het akkoord richt zich sterk op de aanpak van authorised push payment (APP)-fraude, waarbij slachtoffers zelf een betaling goedkeuren nadat een fraudeur zich heeft voorgedaan als bankmedewerker.

Belangrijkste maatregelen:

• Betaaldienstverleners moeten schade door spoofing binnen vijftien werkdagen vergoeden, tenzij de consument aantoonbaar zeer onzorgvuldig handelde
• De IBAN-naamcheck wordt uitgebreid naar meer betaaltypen
• Betaaldienstverleners moeten onderling fraudegegevens delen
• Wie deze maatregelen niet naleeft, is aansprakelijk voor de geleden schade

Overige consumentenbescherming

• Verplichte kostentransparantie bij geldautomaten
• Verbeterde cash-toegankelijkheid in niet-stedelijke gebieden
• Winkeliers moeten herkenbare handelsnamen op betaalafschriften vermelden
• Technische drempels voor open-bankingaanbieders moeten worden weggenomen zodat zij beter kunnen concurreren met banken

Nieuw en opvallend

Grote online platforms zoals Google worden verplicht geen advertenties meer te tonen van betaaldienstverleners zonder vergunning. Doen zij dit toch en loopt een consument daardoor schade op, dan kan het platform aansprakelijk worden gesteld.

Omdat de definitieve teksten nog moeten volgen, blijven een aantal punten uit eerdere voorstellen vooralsnog onzeker. Zodra de teksten beschikbaar zijn, geeft Ruler een uitgebreide analyse.

In november 2025 publiceerde de Europese Commissie een herziening van de SFDR, de regelgeving die transparantie over duurzaamheid bij financiële producten verplicht stelt.

Gewijzigde reikwijdte

De herziene SFDR geldt alleen nog voor partijen die financiële producten maken, beheren of aanbieden, zoals fondsbeheerders, verzekeraars en pensioenfondsen. Beleggingsadvies en discretionair vermogensbeheer vallen buiten de SFDR, maar blijven via andere regelgeving zoals MiFID II verplicht om duurzaamheidsvoorkeuren mee te nemen.

Drie nieuwe productcategorieën

De bekende Artikel 8- en Artikel 9-indeling verdwijnt. Daarvoor komen drie nieuwe categorieën:

• Sustainable (art. 9)
• Transition (art. 7)
• ESG Basics (art. 8)

Voor alle drie geldt dat minimaal 70% van de beleggingen moet aansluiten bij de duurzaamheidsstrategie van het product. Het voorstel erkent daarnaast expliciet impactbeleggen voor producten gericht op meetbare sociale of milieu-effecten. Voor alle categorieën gelden EU-brede uitsluitingen, zoals controversiële wapens, tabaksproductie en ernstige schendingen van internationale normen. De Sustainable-categorie kent daarbij de strengste uitsluitingsset. Alleen producten binnen één van de drie categorieën mogen duurzaamheidsclaims in hun naam voeren.

Verlichte rapportageverplichtingen

• Kortere precontractuele documenten, minder verplichte indicatoren en gestandaardiseerde websitevereisten
• De verplichte PAI-rapportage op entiteitsniveau vervalt, mede omdat die informatie al via de CSRD wordt opgevangen
• Rapportage over afstemming op de EU-Taxonomie is niet langer verplicht, al geldt wel dat producten met minimaal 15% taxonomie-compatibele activa automatisch voldoen aan de 70%-drempel

Overgangsbepalingen

Er is geen algemene overgangstermijn voorzien. Pensioenproducten en verzekeringsgerelateerde beleggingsproducten krijgen 12 maanden extra implementatietijd. Bestaande closed-end fondsen die geen nieuwe investeringen meer accepteren vallen buiten de reikwijdte. De exacte inwerkingtreding is nog onbekend omdat het voorstel eerst door het Europees Parlement en de Raad moet worden goedgekeurd.

In de volgende Regulatory Update gaan we dieper in op onder andere:

• Retail Investment Strategy
• Wet internationale sanctiemaatregelen
• Richtsnoeren geschiktheidsbeoordeling van leden leidinggevend orgaan en houders sleutelposities

Ruler monitort automatisch alle relevante regelgevingsbronnen en attendeert je team direct op wijzigingen, afgestemd op jouw type organisatie. Zo blijf je altijd een stap voor.