Deadline voor bemiddelaars in groepsverzekeringen nadert

25 september 2025

In deze nieuwsupdate Financial Regulatory bespreken we: de naderende deadline van de vergunningsplicht voor bemiddelaars in groepsverzekeringen; de publicatie door de Europese Banken Autoriteit van de consultatie op de concept ‘Guidelines on the sound management of third-party risk’, die focussen op afspraken met derden in relatie tot niet-ICT gerelateerde diensten en de EBA Guidelines on Outsourcing updaten; het persbericht van de AFM van 1 juli 2025 over Buy Now, Pay Later over consumentenbescherming en het toekomstige AFM-toezicht; en ESMA’s publicatie van haar guidelines over de beoordeling van kennis en geschiktheid van personeel bij CASP’s die informatie verschaffen of adviseren over cryptoactiva en -diensten onder MiCAR. We bespreken ook enkele andere signaleringen sinds de publicatie van de vorige nieuwsupdate.

Key contacts

Berry van Wijk
Berry van Wijk
Advocaat | Partner
Juan Vervuurt
Juan Vervuurt
Advocaat | Counsel
Lisanne Haarman
Lisanne Haarman
Advocaat | Counsel
Gijs Hamelijnck
Gijs Hamelijnck
Advocaat | Senior Associate

Op deze pagina

Deadline voor bemiddelaars in groepsverzekeringen nadert

Per 1 oktober 2025 dienen partijen die groepsverzekeringen aanbieden te beschikken over een vergunning als verzekeringsbemiddelaar. Dit vloeit voort uit een arrest van het Hof van Justitie van de Europese Unie (62020CJ0633). De AFM vraagt hiervoor aandacht op haar website.

Bemiddelaars in groepsverzekeringen die een andere hoofdactiviteit uitoefenen, zoals verhuisbedrijven of webwinkels, en die nog niet beschikken over een vergunning als verzekeringsbemiddelaar, dienen uiterlijk 1 oktober aanstaande te voldoen aan deze verplichting. Kort gezegd hebben dergelijke partijen de volgende opties:

  • het verkrijgen van een AFM-vergunning als bemiddelaar in (schade)verzekeringen; of
  • het zodanig aanpassen van hun werkzaamheden ten aanzien van verzekeringen dat zij niet langer kwalificeren als verzekeringsbemiddelaar.

Gezien de tijdslijnen hebben partijen die een vergunning willen verkrijgen hun vergunningaanvraag waarschijnlijk al maanden geleden ingediend bij de AFM. Partijen die dat niet hebben gedaan dienen te waarborgen dat zij hun bedrijfsvoering zodanig aanpassen dat zij niet meer geacht worden in verzekeringen te bemiddelen. Indien gewenst adviseren wij u graag over de mogelijkheden.

EBA publiceert een consultatie op de concept ‘Guidelines on the sound management of third-party risk’

De Europese financiële sector is de afgelopen jaren steeds afhankelijker geworden van externe dienstverleners voor het uitvoeren van belangrijke bedrijfsprocessen. Deze trend brengt nieuwe risico’s met zich mee, waardoor een solide en geharmoniseerd kader voor het beheer van derdenrisico’s noodzakelijk is. In dit kader heeft de Europese Bankautoriteit (EBA) op 8 juli 2025 een consultatie geopend over de herziene guidelines, die focussen op het beheer van derdenrisico’s bij niet-ICT gerelateerde diensten met een focus op de verschaffing van kritieke of belangrijke functies. Deze consultatie biedt belanghebbenden de mogelijkheid om feedback te geven op de voorgestelde aanpassingen, die tot doel hebben de bestaande uitbestedingsrichtlijnen te actualiseren en af te stemmen op de Digital Operational Resilience Act (DORA).

Een belangrijke aanleiding voor de herziening van de uitbestedingsrichtlijnen is de inwerkingtreding van DORA op 17 januari 2023 en de daaropvolgende nalevingsdatum van 17 januari 2025. DORA introduceert een uniform regelgevend kader voor het beheer van ICT-risico’s binnen de financiële sector. Door de ruime reikwijdte gelden de EBA uitbestedingsrichtlijnen in principe ook voor ICT-diensten, Nu DORA de eisen aan het beheer van derdenrisico’s bij ICT-diensten uniform vastlegt, dienen ICT-diensten expliciet te worden uitgesloten van de reikwijdte van de EBA uitbestedingsrichtlijnen. Daarnaast beogen de herziene guidelines betere aansluiting van het regelgevend kader voor niet-ICT gerelateerde diensten op dat voor ICT-diensten onder DORA. Door de kaders voor ICT- en niet-ICT-uitbestedingen nauwer op elkaar te laten aansluiten, wordt beoogd een gelijk speelveld te creëren en een basis te leggen voor meer harmonisatie en convergentie in het toezicht op derdenrisico’s in de gehele financiële sector.

De oorspronkelijke uitbestedingsichtlijnen van de EBA waren gericht op kredietinstellingen en beleggingsondernemingen binnen de reikwijdte van de richtlijn kapitaalvereisten (CRD), betaalinstellingen en elektronischgeldinstellingen. De EBA wil met de herziene guidelines ook de reikwijdte van de uitbestedingrichtlijnen meer in overeenstemming brengen met de reikwijdte van DORA. Hierdoor wordt de reikwijdte van deze guideilnes verbreed zodat zij ook van toepassing zijn op instituties (onder de CRD), beleggingsondernemingen die niet als ‘klein en niet-verbonden’ worden aangemerkt, betaalinstellingen, elektronischgeldinstellingen, uitgevers van asset-referenced tokens onder MiCAR en kredietgevers onder de Hypothekenrichtlijn. De Guidelines hebben niet direct betrekking op kredietbemiddelaars of AISP’s (account information service providers) die enkel geregistreerd zijn voor dienst 8 onder de herziene Payment Services Directive 2. Door de groeiende digitalisering, het gebruik van gespecialiseerde dienstverleners en de internationalisering van de financiële sector zijn de risico’s rondom uitbesteding complexer en omvangrijker geworden. De EBA wil met de herziene richtlijnen zorgen voor een geharmoniseerd en robuust raamwerk, waarmee financiële instellingen hun operationele weerbaarheid kunnen versterken en toezichthouders beter in staat zijn om toezicht te houden op uitbestedingsrelaties en concentratierisico’s.

Naast een uitbreiding van de reikwijdte wordt het proportionaliteitsbeginsel nadrukkelijker toegepast, zodat de omvang, aard en complexiteit van zowel de instelling als de uitbestede functie bepalend zijn voor de mate van vereiste beheersmaatregelen. Nieuw is de expliciete levenscyclusbenadering, waarbij het volledige proces van relaties met derden – van risicobeoordeling tot exitstrategie – wordt beschreven. De documentatie- en rapportageverplichtingen zijn geharmoniseerd met DORA, waardoor één register voor zowel ICT- als niet-ICT-uitbestedingen mogelijk is. Voor kritieke of belangrijke functies gelden strengere eisen, onder meer op het gebied van contracten, auditrechten en exitplanning. Tot slot is er meer aandacht voor het beheersen van concentratierisico’s en krijgen instellingen een overgangsperiode van twee jaar om te voldoen aan de nieuwe eisen.

Met deze herziening beoogt de EBA de operationele weerbaarheid van de financiële sector te versterken en te zorgen voor een toekomstbestendig en consistent kader voor het beheer van derdenrisico’s. De consultatie staat open tot 8 oktober 2025, waarna de definitieve richtlijnen zullen worden vastgesteld.

AFM publiceert haar marktupdate inzake status Buy Now, Pay Later (BNPL)

De Autoriteit Financiële Markten (AFM) publiceerde op 1 juli 2025 haar rapport ‘Buy Now, Pay Later Marktupdate 2025’ . Dit rapport biedt een overzicht van de marktontwikkelingen wat betreft BNPL. De BNPL-markt groeide in 2025 met 17%, waarbij het percentage betalingsproblemen minder hard meegroeide. Tegelijkertijd ziet de AFM dat het aantal BNPL-gebruikers en het gemiddelde transactiebedrag niet toenemen, wat erop duidt dat bestaande gebruikers vaker gebruikmaken van BNPL-diensten.

Gezien de hoge absolute aantallen van mensen met betalingsproblemen beoogt de AFM verdergaande consumentenbescherming. Ten aanzien van marktdeelnemers constateert de AFM dat de BNPL-aanbieders die zijn aangesloten bij de gedragscode (Billink, In3, Klarna en Riverty) slechts de helft van de BNPL-markt (55% van alle BNPL-transacties) vertegenwoordigen, omdat ook grote onlineplatforms zoals bol.com, Amazon en Zalando BNPL-diensten aanbieden (45% van alle BNPL-transacties).

Pas op 20 november 2026 komen BNPL-aanbieders formeel onder AFM-toezicht. Als gevolg van implementatie van de herziene EU-richtlijn consumentenkrediet zullen BNPL-diensten in principe kwalificeren als consumentenkrediet, waardoor BNPL-aanbieders over een AFM-vergunning dienen te beschikken en de toepasselijke consumentenbeschermingsbepalingen voor consumentenkrediet dienen na te leven.

Vooruitlopend op deze wijziging benadrukt de AFM dat BNPL-aanbieders moeten waarborgen dat zij geen BNPL-diensten meer aanbieden aan minderjarigen. Dit noodzaakt tot betere leeftijdsverificatie van gebruikers van BNPL-diensten. De AFM ontvangt nog steeds signalen dat minderjarigen gebruikmaken van BNPL-diensten en bestaande leeftijdchecks kunnen omzeilen.

Daarnaast pleit de AFM voor een passende kredietwaardigheidstoets en aansluiting van BNPL-dienstverleners bij het BKR. Hierbij heeft de AFM een drempelbedrag voor ogen voor kredietwaardigheidstoetsing en BKR-checks dat substantieel lager zal liggen dan de huidige drempel van EUR 250. Mogelijk beoogt de AFM een drempelbedrag van EUR 50 of zelfs lager. Het gemiddelde transactiebedrag voor BNPL-betalingen is namelijk EUR 74 en meer dan de helft van alle BNPL-transacties bestaat uit bedragen kleiner dan EUR 50. Daarnaast heeft 92% van de transacties waarvoor BNPL-aanbieders niet-nakomingskosten in rekening brengen – en 89% van de vorderingen die wordt overgedragen aan een incassobureau – een transactiebedrag dat lager is dan het huidige drempelbedrag van EUR 250. In die gevallen vindt geen voorafgaande kredietwaardigheidstoets of BKR-check plaats.

Pas bij een verlaging van dat drempelbedrag tot EUR 50 zou meer dan de helft van deze problematische betalingen onderhevig zijn aan een kredietwaardigheidstoets (i.e. een inkomens- en lastentoets, waarbij aanbieders informatie inwinnen over de inkomsten en lasten van de consument) en een BKR-check. Nu BNPL-aanbieders zich, ondanks het uitdrukkelijke verzoek van de AFM, nog niet vrijwillig hebben aangesloten bij het BKR, spoort de AFM hen wederom aan deze aansluiting te regelen.

ESMA’s publicatie van haar guidelines over de beoordeling van kennis en geschiktheid van personeel bij CASP’s die informatie verschaffen of adviseren over cryptoactiva en -diensten onder MiCAR

Op 11 juli 2025 publiceerde de European Securities and Markets Authority (ESMA) definitieve richtsnoeren voor de beoordeling van de kennis en bekwaamheid van medewerkers die informatie verstrekken of advies geven over cryptoactiva en ‑diensten. Deze Guidelines on the assessment of knowledge and competence under MiCAR beogen cryptobeleggers te beschermen en ervoor te zorgen dat medewerkers de juiste kennis en competenties hebben. Zij moeten voldoen aan minimumstandaarden voor kennis en competenties en specifieke kenmerken en risico’s adresseren van cryptoactivamarkten en -services, door middel van specifieke criteria voor de beoordeling van de kennis en competenties van de relevante medewerkers.

MiCAR introduceert een EU-breed regelgevend kader voor tien verschillende cryptodiensten, waaronder het verlenen van cryptoadvies en orderuitvoering. Artikel 81 MiCAR verplicht crypto-asset service providers (CASP’s) om ervoor te zorgen dat natuurlijke personen die advies geven of informatie verstrekken over cryptoactiva beschikken over de “noodzakelijke kennis en bekwaamheid”. ESMA kreeg expliciet de opdracht (art. 81 lid 15 onder a MiCAR) om criteria vast te leggen zodat lidstaten en marktpartijen in heel Europa dezelfde maatstaf hanteren.

De richtsnoeren gelden voor de toezichthouders en CASP’s zoals gedefinieerd in art. 3 lid 1 onder 15 MiCAR. De guidelines verhelderen ook voor wie de guidelines niet gelden, bijvoorbeeld voor werknemers die alleen aangeven waar klanten informatie van de aanbieder van cryptoactiva kunnen vinden, werknemers die brochures verspreiden zonder additionele informatie te geven over de inhoud of follow-up cryptoactivadiensten aanbieden, werknemers die alleen informatie overhandigen op verzoek van de cliënt zonder het geven van additionele informatie over de inhoud of follow-up cryptoactivadiensten te verlenen en werknemers die backofficeactiviteiten verrichten zonder directe relevantie voor cliënten en die geen direct contact met cliënten hebben.

Bij de kernvereisten voor kennis en competentie wordt onderscheid gemaakt tussen informatieverschaffers en adviseurs. Voor beiden staat een lijst opgenomen. Voor informatieverschaffers geldt dat medewerkers over voldoende kennis en competentie moeten beschikken om cliënten correct te informeren over cryptoactiva en -diensten. Zij moeten inzicht hebben in de kenmerken, risico’s en werking van aangeboden producten, de relevante technologie (zoals DLT), marktwerking, kostenstructuren (inclusief netwerkkosten), verschillen in beleggersbescherming tussen MiCAR en MiFID II en de relevante regelgeving, zoals antiwitwasregelgeving. Ook basiskennis van waarderingsmethoden, cyberrisico’s en operationele risico’s is vereist. Daarnaast noemt ESMA als voorbeelden van voldoende kwalificatie een opleiding van minimaal 80 uur plus 6 maanden relevante ervaring onder toezicht, of 1 jaar ervaring onder toezicht. Tot slot is jaarlijkse permanente educatie (continuous professional development or training, CPD) verplicht, met een minimum van 10 uur voor eenvoudige producten.

Voor adviseurs gelden alle bovenstaande eisen, aangevuld met diepgaandere kennis van geschiktheidstoetsing (suitability), portfolio management, diversificatie en waarderingsmodellen. Adviseurs moeten bijvoorbeeld kunnen beoordelen of een crypto-asset past bij de klant. ESMA noemt vier mogelijke kwalificatiepaden, waaronder een relevante hbo/wo-opleiding plus 1 jaar ervaring, of 160 opleidingsuren plus 1 jaar ervaring. Voor CPD geldt een voorbeeldminimum van 20 uur per jaar. Beide functies vereisen toetsing van kennis en het bijhouden van opleidings- en ervaringsdossiers.

Overige Financieel toezichtrechtelijke publicaties

Hieronder een hebben wij een selectie gemaakt van overige publicaties die relevant zijn voor de financiële markten en het financieel toezicht.

Beleggingsinstellingen

De AFM publiceerde een brief met aandachtspunten voor AIFM-light- beheerders. De AFM constateert dat de naleving van de wet door deze light-beheerders op meerdere punten tekortschiet:

  • AIFMD-rapportage: rapportages worden niet altijd tijdig of correct ingediend.
  • Essentiële informatiedocumenten (Eid): deze ontbreken vaak of worden niet (via een website) verstrekt.
  • Wwft en Sanctiewet: er zijn tekortkomingen in risicobeoordelingen en gebrekkig cliëntenonderzoek.
  • Beleggersclassificatie: het onderscheid tussen professionele en niet-professionele beleggers wordt regelmatig onjuist toegepast.
  • Retailvoorwaarde: light-beheerders die gebruikmaken van de <150 personen-voorwaarde kunnen onvoldoende aantonen hoe zij hieraan voldoen.
  • Deregistratie: nalatigheid bij het tijdig deregistreren van inactieve beheerders of fondsen.

Crypto’s

  • DNB heeft op 5 augustus 2024 een last onder dwangsom opgelegd aan Peken Global Limited (PGL), actief onder de naam ‘KuCoin’, vanwege het aanbieden van cryptodiensten zonder de wettelijk vereiste registratie bij DNB.

Verzekeraars

  • EIOPA is een consultatieronde gestart over haar concept herziene Guidelines on Supervisory Review Process. Dit proces wordt door toezichthouders gebruikt om regelmatig de blootstelling van verzekeraars en groepen aan risico’s te beoordelen, evenals de effectiviteit van de beheersmaatregelen die zij daarvoor hebben getroffen. Het voornaamste doel van de herziening is om de Guidelines te actualiseren door waar nodig bestaande instructies te verduidelijken in het licht van de herziening van Solvency II, en om opkomende risico’s binnen de reikwijdte ervan te brengen.

Jurisprudentie

  • JOR 2025/163: Kantonrechter Rechtbank Midden-Nederland 30 april 2025, ECLI:NL:RBMNE:2025:2054, met noot C.W.M. Lieverse ‘Buy now pay later’-product. Niet is aangetoond dat aangerekende kosten geen deel uitmaken van verdienmodel. Ambtshalve toetsing van naleving van consumentenbeschermende bepalingen.
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.