Regeling houdende wijziging van de Nadere Regeling gedragstoezicht effectenverkeer 2002

De Autoriteit Financiële Markten;

Gelet op de artikelen 24a, 24b en 24c van het Besluit toezicht effectenverkeer 1995;

Besluit:

Artikel I

De Nadere Regeling gedragstoezicht effectenverkeer 2002 wordt als volgt gewijzigd:

A

In artikel 1, eerste lid wordt onder vervanging van de punt door een puntkomma aan het slot van onderdeel l, onderdeel o verletterd tot onderdeel m.

B

In het opschrift `Nadere Regeling gedragstoezicht effectenverkeer van 1 september 2002' vervalt `15,' en wordt na `24,' ingevoegd: 24a, 24b, 24c,.

C

In het opschrift `Paragraaf 6. Regels met betrekking tot de structurering van de effecteninstelling als bedoeld in de artikelen 15 en 34 van het besluit.' wordt `structurering' vervangen door: belangenconflicten en wordt `15 en 34' vervangen door: 22, 24a en 34, 35a.

D

Na artikel 26 wordt een nieuw artikel ingevoegd, luidende als volgt:

Artikel 26a Cliëntacceptatie & -bewaking

1. Een effecteninstelling stelt beleid vast ter zake van de acceptatie van cliënten, dat ten minste voldoet aan de in dit artikel bedoelde normen, waaronder het maken van onderscheid in risico's, die betrekking hebben op de identiteit, aard en achtergrond van de cliënt en op de risico's die afgenomen producten of diensten met zich brengen. De effecteninstelling hanteert objectieve, kenbare criteria ten aanzien van de risicoclassificaties.

2. De effecteninstelling draagt zorg voor de uitwerking en implementatie van het beleid in organisatorische en administratieve procedures en maatregelen die betrekking hebben op risicoclassificaties ten aanzien van cliënten, producten of diensten. Deze procedures en maatregelen zijn geïntegreerd in de bedrijfsprocessen en dragen bij aan een integriteitsbewuste bedrijfscultuur.

3. De effecteninstelling accepteert geen cliënt indien zij de identiteit, aard en achtergrond van de cliënt niet afdoende heeft vastgesteld conform de organisatorische en administratieve procedures en maatregelen als bedoeld in het tweede lid.

4. Onverminderd het bepaalde bij en krachtens de Wet identificatie bij dienstverlening beschikt de effecteninstelling over organisatorische en administratieve procedures en maatregelen ter zake van de identificatie van cliënten en van de verificatie daarvan.

5. De effecteninstelling beschikt over organisatorische en administratieve procedures en maatregelen ter zake van de analyse van gegevens van cliënten, mede in relatie tot de door de cliënt afgenomen producten of diensten, en ter zake van de detectie van afwijkende transactiepatronen.

6. De organisatorische en administratieve procedures en maatregelen zijn toegesneden op de onderscheiden risico's waarbij geldt dat bij een groep met een hoger risico strengere procedures en maatregelen van kracht zijn.

7. De effecteninstelling draagt zorg voor uitvoering en periodieke toetsing van het beleid, de organisatorische en administratieve procedures en maatregelen alsmede de interne voorschriften als bedoeld in het eerste tot en met het zesde lid. Dit omvat mede de documentatie ter zake van de acceptatie, indeling en bewaking van cliënten van de effecteninstelling.

E

Artikel 39 komt te luiden:

De behandeling van incidenten

1. Een effecteninstelling, niet zijnde een kredietinstelling, stelt beleid vast ter zake van de omgang met incidenten als bedoeld in artikel 24c, onder a, van het besluit. Het beleid omvat ten minste:

a. de administratieve vastlegging van incidenten;

b. de wijze van afhandeling van incidenten;

c. de informatieverstrekking over incidenten.

2. De effecteninstelling, niet zijnde een kredietinstelling, draagt zorg voor de uitwerking en implementatie van het beleid in organisatorische en administratieve procedures en maatregelen. Deze procedures en maatregelen zijn geïntegreerd in de bedrijfsprocessen en dragen bij aan een integriteitsbewuste bedrijfscultuur.

3. De effecteninstelling, niet zijnde een kredietinstelling, zorgt voor administratieve vastlegging van incidenten die ten minste omvat de kenmerken van het incident, gegevens over degene of degenen die het incident heeft of hebben bewerkstelligd, en de maatregelen die naar aanleiding van het incident zijn genomen.

4. De effecteninstelling, niet zijnde een kredietinstelling, neemt naar aanleiding van een incident passende maatregelen. Deze maatregelen zijn ten minste gericht op:

a. beheersing van het optredende risico;

b. bevestiging van de geldende normen;

c. beperking van negatieve interne en externe effecten van het incident.

5. De effecteninstelling informeert de Autoriteit Financiële Markten onverwijld omtrent incidenten indien:

a. aangifte van een incident bij justitiële autoriteiten zal plaatsvinden of is gedaan;

b. het voortbestaan van de effecteninstelling, niet zijnde een kredietinstelling, wordt bedreigd of zou kunnen worden bedreigd;

c. sprake is van een ernstige tekortkoming in de opzet en werking van de maatregelen ter bevordering of handhaving van een integere bedrijfsvoering door de effecteninstelling, niet zijnde een kredietinstelling;

d. mede gelet op verwachte publiciteit rekening behoort te worden gehouden met een ernstige mate van reputatieschade aan de effecteninstelling, niet zijnde een kredietinstelling; of

e. de ernst, de omvang of de overige omstandigheden van het incident in aanmerking genomen, de Autoriteit Financiële Markten in verband met haar toezichtstaak redelijkerwijs behoort te worden geïnformeerd.

6. De in het vijfde lid bedoelde informatie betreft ten minste:

a. de feiten en omstandigheden van het incident;

b. informatie over de functie, hoedanigheid en positie van degene of degenen die het incident heeft of hebben bewerkstelligd.

7. Op verzoek van de Autoriteit Financiële Markten informeert de effecteninstelling, niet zijnde een kredietinstelling, de Autoriteit Financiële Markten over de maatregelen die naar aanleiding van het incident zijn genomen.

F

In artikel 42, eerste lid, vervalt: `en betrouwbaarheid'.

G

Na artikel 42 wordt een artikel ingevoegde, luidende:

Artikel 42a De omgang met personeelsleden in integriteitsgevoelige functies

1. Een effecteninstelling, niet zijnde een kredietinstelling, stelt beleid vast ter zake van integriteitsgevoelige functies als bedoeld in artikel 24c, onder b, van het besluit. Het beleid omvat ten minste de kwalificatie van functies die een wezenlijk risico bevatten voor de integere bedrijfsvoering van de effecteninstelling.

2. De effecteninstelling, niet zijnde een kredietinstelling, stelt beleid vast ter zake van de beoordeling van de betrouwbaarheid van een personeelslid in een integriteitsgevoelige functie. Het beleid omvat ten minste:

a. de beoordeling van de betrouwbaarheid van een personeelslid dat de effecteninstelling, niet zijnde een kredietinstelling, voornemens is te benoemen;

b. de beoordeling van de betrouwbaarheid van een personeelslid dat reeds in dienst is van de effecteninstelling, niet zijnde een kredietinstelling, en dat de effecteninstelling, niet zijnde een kredietinstelling, voornemens is te benoemen in een integriteitsgevoelige functie.

3. Een effecteninstelling, niet zijnde een kredietinstelling, draagt zorg voor de uitwerking en implementatie van het beleid in organisatorische en administratieve procedures en maatregelen. Deze procedures en maatregelen zijn geïntegreerd in de bedrijfsprocessen en dragen bij aan een integriteitsbewuste bedrijfscultuur.

4. De effecteninstelling, niet zijnde een kredietinstelling, hanteert organisatorische en administratieve procedures en maatregelen om een functie te kwalificeren als een functie die een wezenlijk risico bevat voor de integere bedrijfsvoering van de effecteninstelling, niet zijnde een kredietinstelling.

5. De effecteninstelling, niet zijnde een kredietinstelling, hanteert objectieve, kenbare criteria om een functie te kwalificeren als een functie die een wezenlijk risico bevat voor de integere bedrijfsvoering van de effecteninstelling, niet zijnde een kredietinstelling. De criteria kunnen betrekking hebben op:

a. de mate waarin het betrokken personeelslid de beschikking of het beheer heeft over vermogen of waarden van de effecteninstelling, niet zijnde een kredietinstelling, of van derden;

b. de mate waarin het betrokken personeelslid bevoegd is tot het aangaan van verplichtingen namens de effecteninstelling, niet zijnde een kredietinstelling, of al dan niet tezamen met anderen bevoegd is tot vertegenwoordiging van de effecteninstelling in en buiten rechte;

c. de mate waarin het betrokken personeelslid toegang heeft tot cliënt- of transactiegegevens of tot bedrijfsgevoelige informatie over de effecteninstelling, niet zijnde een kredietinstelling, of over derden;

d. de mate waarin de betrokken medewerker belast is met de uitvoering van controlerende of toezichthoudende werkzaamheden ten aanzien van de administratieve organisatie en het systeem van interne controle van de effecteninstelling, niet zijnde een kredietinstelling, en de naleving van toepasselijke regelgeving en interne voorschriften.

6. De effecteninstelling, niet zijnde een kredietinstelling, beschikt over organisatorische en administratieve procedures en maatregelen om de betrouwbaarheid te beoordelen van een personeelslid dat de effecteninstelling, niet zijnde een kredietinstelling, voornemens is te benoemen in een integriteitsgevoelige functie. De organisatorische en administratieve procedures en maatregelen omvatten ten minste:

a. het controleren van de identiteit van betrokkene;

b. het controleren van de door betrokkene verstrekte gegevens en referenties op juistheid en volledigheid;

c. het maken van een onderbouwde inschatting van de betrouwbaarheid van betrokkene en een beoordeling daarvan in relatie tot de integriteitsgevoelige functie.

7. De in het zesde lid bedoelde organisatorische en administratieve procedures en maatregelen kunnen omvatten:

a. het inwinnen van inlichtingen omtrent de betrouwbaarheid van betrokkene bij de werkgevers van betrokkene gedurende de laatste vijf jaar;

b. het vragen aan betrokkene naar voorvallen uit het verleden die betekenis kunnen hebben voor het oordeel over de betrouwbaarheid van betrokkene;

c. het laten overleggen door betrokkene van een verklaring omtrent het gedrag in de zin van de Wet op de justitiële documentatie.

8. De effecteninstelling, niet zijnde een kredietinstelling, voert een zodanige administratie dat uit het dossier van een personeelslid dat is benoemd in een integriteitsgevoelige functie blijkt dat is voldaan aan het bepaalde in het zesde lid, onder a, b en c.

9. De effecteninstelling, niet zijnde een kredietinstelling, is verantwoordelijk voor de beoordeling van de betrouwbaarheid van degene die zich anders dan op grond van een arbeidsovereenkomst jegens de effecteninstelling, niet zijnde een kredietinstelling, verbindt werkzaamheden in een integriteitsgevoelige functie te verrichten.

10. De effecteninstelling, niet zijnde een kredietinstelling, kan de beoordeling van de betrouwbaarheid overlaten aan de werkgever van de betrokkene als bedoeld in het negende lid onder de voorwaarde dat:

a. de effecteninstelling, niet zijnde een kredietinstelling, de administratieve en organisatorische procedures en maatregelen van de betrokken werkgever kent en heeft vastgesteld dat deze voldoen aan de eigen administratieve en organisatorische procedures en maatregelen;

b. de effecteninstelling, niet zijnde een kredietinstelling, zich door middel van contractuele voorwaarden het recht voorbehoudt dat door of namens de effecteninstelling een onderzoek wordt ingesteld naar de mate van naleving van de gedelegeerde werkzaamheden.

11. De effecteninstelling, niet zijnde een kredietinstelling, controleert onder alle omstandigheden zelf de identiteit van betrokkene als bedoeld in het negende lid.

12. De effecteninstelling, niet zijnde een kredietinstelling, waaraan over een betrokkene inlichtingen als bedoeld in het zevende lid, onder a., worden gevraagd ten behoeve van een andere financiële instelling, dient:

a. schriftelijk te verklaren dat zij geen aanleiding heeft om aan de betrouwbaarheid van betrokkene te twijfelen dan wel, indien daartoe aanleiding bestaat,

b. schriftelijk inlichtingen te verstrekken en wel zodanig dat de verzoekende financiële instelling zich voor de beoordeling van de betrouwbaarheid van de sollicitant een juist en zo volledig mogelijk beeld kan vormen omtrent betrokkene.

13. Onverminderd het bepaalde in het twaalfde lid onthoudt een effecteninstelling, niet zijnde een kredietinstelling, zich van het doen van uitspraken of het afgeven van verklaringen aangaande de betrouwbaarheid van een (voormalig) personeelslid indien zij weet of redelijkerwijs kan vermoeden dat daarmee een onjuist beeld van betrokkene wordt gegeven.

H

Artikel 4.23 van bijlage 4 vervalt.

I

In artikel 4.24 van bijlage 4 vervalt: `en betrouwbaarheid'.

J

In de toelichting op artikel 42 vervalt in de eerste alinea na `oordeelsvorming over de deskundigheid': en betrouwbaarheid, wordt in de tweede alinea na `ongeschiktheid' vervangen door: ondeskundigheid, vervalt in de derde alinea na `twijfel bestaat over de deskundigheid': en betrouwbaarheid, en vervalt in de zesde alinea na `beoordeeld te worden op haar': betrouwbaarheid en.

K

In de toelichting op artikel 4.24 van bijlage 4 vervalt: `en betrouwbaarheid'.

Artikel II

Een effecteninstelling die op datum van inwerkingtreding van deze regeling werkzaam is, voldoet op de eerste dag van de zevende maand na de datum van inwerkingtreding aan artikel I.

Artikel II

Deze regeling treedt in werking op 1 januari 2004.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

Amsterdam, 10 december 2003 .
A.W.H. Docters van Leeuwen,
voorzitter.
J.W.F. Kaptein, bestuurslid.

Toelichting

Algemeen

De Wet van 14 november 2002 tot wijziging van de Wet toezicht beleggingsinstellingen, de Wet toezicht effectenverkeer 1995, de Wet toezicht kredietwezen 1992, de Wet toezicht natura-uitvaartverzekeringsbedrijf en de Wet toezicht verzekeringsbedrijf 1993 met het oog op het opheffen van enige verschillen tussen deze wetten en het in die wetten expliciteren van integriteit als onderwerp van toezicht, alsmede in verband met enige noodzakelijke technische aanpassingen (Wet actualisering en harmonisatie financiële toezichtswetten; Stb. 2003, 55) heeft, onder andere, één nieuwe dimensie toegevoegd aan het toezicht op financiële instellingen, te weten integere bedrijfsvoering.

Deze nieuwe toezichtdimensie heeft geresulteerd in nieuwe bepalingen in de Wet toezicht effectenverkeer 1995. Zie daartoe bijvoorbeeld het eerste lid, onder c, van de artikelen 7 en 11 en het tweede lid, onder c, van artikel 15a van de Wet toezicht effectenverkeer 1995, waarin is bepaald dat onder bedrijfsvoering tevens wordt begrepen maatregelen gericht op het bevorderen en handhaven van een integere bedrijfsvoering.

Het onderwerp integriteit ziet toe op vier in- of externe kringen van een effecteninstelling:

• bestuurders en leidinggevenden;

• administratieve organisatie en systemen van interne controle;

• cliënten; en

• de markt1.

Bij besluit van 10 oktober 2003 (Besluit integere bedrijfsvoering; Stb. 2003, 396) heeft de minister, voor zover van belang voor effecteninstellingen, regels gesteld ten aanzien van bovenbedoelde vier deelonderwerpen, door middel van het volgende:

stcrt-2003-243-p14-SC62879-1.gif

Voor uitleg van de normen uit het Bte 1995 zoals opgenomen in bovenstaand overzicht zij verwezen naar de toelichting op het Bte 1995. Het Bte 1995 introduceert niet alleen nieuwe normen inzake integere bedrijfsvoering maar verplicht de AFM tot het opstellen van regels op genoemde deelonderwerpen.

Ter invulling van de open normen inzake `cliëntrisico', `incidenten' en `integriteitsgevoelige functies' en uit het Bte 1995 heeft de AFM waar nodig een wijziging aangebracht in haar bestaande regels van de Nadere Regeling gedragstoezicht effectenverkeer 2002 (NRg 2002). Daarbij heeft de AFM zich gebaseerd op de `Aanbevelingen ten aanzien van een integere bedrijfsvoering op het gebied van incidenten en integriteitsgevoelige functies'. Deze aanbevelingen zijn in 2001 opgesteld door de Raad van Financiële Toezichthouders, bestaande uit De Nederlandsche Bank, de Pensioen- en Verzekeringskamer en de AFM, na consultatie van de representatieve organisaties.

Zowel DNB als PVK hebben die aanbevelingen als uitgangpunt genomen voor hun respectieve toezichthouderregels. Ten aanzien van het onderwerp cliëntrisico heeft de AFM de `Regeling Ken uw cliënt' van DNB als referentie gehanteerd. Voor wat betreft zowel effecteninstellingen als kredietinstellingen, beleggingsinstellingen maar ook verzekeraars en pensioenfondsen, geldt nu dat alle drie categorieën toezichthouderregels (cliëntrisico, incidenten en integriteitsgevoelige functies) consistent zijn. Uit het hiernavolgende overzicht blijkt hoe de drie toezichthouders invulling hebben gegeven aan de integriteitsnormen uit het Bte 1995.

stcrt-2003-243-p14-SC62879-2.gif

De wijzigingen van de NRg 2002 komen neer op hetzij een vervanging van de grondslag van een reeds bestaande regel die al ziet op één van de integriteitsnormen uit het Bte 1995 hetzij op een nieuwe bepaling, eventueel analoog aan een reeds bestaande vergelijkbare regel uit de NRg 2002. In een overzicht laten de aanpassingen van de NRg 2002 zich als volgt weergeven.

stcrt-2003-243-p14-SC62879-3.gif

Artikel 25 NRg 2002 verplicht de effecteninstelling, kort gezegd, te allen tijde te handelen in het belang van haar cliënten. Deze bepaling geeft daarmee invulling aan artikel 24, onder d, van het Bte 1995 dat voorschrijft dat een effecteninstelling ervoor zorgt dat zij haar cliënten op billijke wijze behandelt in geval een belangenconflict onvermijdelijk blijkt te zijn. Nu de tekst en strekking van artikel 24, onder d, van het Bte 1995 niet significant is gewijzigd ten opzichte van artikel 15 Bte 1995, is geen aanpassing van artikel 25 NRg 2002 nodig.

De artikelen 19-23 j° bijlage 3 NRg 2002 voorzien er in dat de effecteninstelling de nodige structurering en interne gedragscodes invoert door een effecteninstelling. Deze artikelen vloeien voort uit de artikelen 15 en 34 van het Bte 1995. De nieuwe grondslag in het Bte 1995 wordt gevormd door de artikelen 24a en 35a. Die grondslagwijziging in het Bte 1995 leidt echter niet tot een inhoudelijke wijziging van de artikelen 19-23 j° bijlage 3 NRg 2002. Derhalve is alleen een aanpassing van de verwijzing naar de nieuwe grondslagartikelen in het Bte 1995 nodig.

De artikelen 39 j° 4.23 van bijlage 4 van de NRg 2002 voorzien in registratie van geconstateerde overtredingen van regels gesteld bij of krachtens de Wte 1995. De reikwijdte van artikel 24c, onder a., van het Bte 1995 is echter ruimer bedoeld dan voornoemde artikelen. Thans zijn bedoeld alle incidenten die een ernstig gevaar vormen voor de integere bedrijfsvoering van de instelling, waaronder overtredingen van regels gesteld bij of krachtens de Wte 1995.

Artikel 42 NRg 2002 verplicht de effecteninstelling tot toetsing van aanstaande medewerkers op betrouwbaarheid en deskundigheid, de zogenaamde pre-employment screening. Het bijbehorende artikel 4.24 van bijlage 4 van de NRg 2002 vereist de nodige naleving van procedures terzake. Het Bte 1995 verplicht de instelling alle leidinggevenden, niet zijnde bestuurders, en integriteitsgevoelige personeelsleden te toetsen op betrouwbaarheid. Artikel 42 NRg 2002 wordt dan ook zo aangepast dat thans daaronder zijn begrepen de toetsing van effectenmedewerkers op uitsluitend deskundigheid, waarbij de betrouwbaarheidstoetsing van medewerkers op een integriteitsgevoelige functie wordt bepaald in een nieuw artikel 42a.

Artikelsgewijze toelichting

Tenzij hierna anders toegelicht blijft de toelichting zoals van toepassing op de aangepaste artikelen uit de NRg 2002 van kracht.

Artikel I

A

Geen toelichting noodzakelijk.

B

Nu de minister het Besluit toezicht effectenverkeer 1995 heeft aangevuld met de artikelen 24a, 24b en 24c, is ook het opschrift aangevuld met een verwijzing naar deze artikelen.

C

Nu in het Bte 1995 artikel 15 inzake structurering van een effecteninstelling is vervangen door artikel 24a inzake belangenconflicten en 34 door 35a, is een zelfde vervanging doorgevoerd in het opschrift van paragraaf 6.

D

Artikel 26a Cliëntacceptatie & -bewaking

Op grond van de artikelen 7 en 11 Wet toezicht effectenverkeer 1995 in verband met artikel 24b, eerste lid, onder c, j° derde lid van het besluit heeft de AFM de plicht om regels uit te vaardigen met betrekking tot het beleid, de organisatorische en administratieve procedures en maatregelen opdat de instelling voorkomt dat niet wegens haar cliënten het vertrouwen in de instelling of in de financiële markten in het algemeen wordt geschaad.

De uitvoering van de onderhavige regeling betekent dat er verwerking van persoonsgegevens zal plaatsvinden door de betrokken instellingen. Dat betekent dat de Wet Bescherming Persoonsgegevens (WBP) van toepassing zal zijn. Het is de verantwoordelijkheid van de afzonderlijke instellingen om de volgens de WBP vereiste formaliteiten te verrichten.

Het niet of onvoldoende aanwezig zijn van beleid en procedures kan leiden tot het optreden van de volgende risico's:

- reputatierisico: het risico dat door nadelige publiciteit kan ontstaan;

- operationeel risico: het risico van schade als gevolg van het feit dat niet volgens procedures wordt gehandeld;

- juridisch risico: het risico van rechtszaken, strafvervolging, en de daarmee gepaard gaande boetes, schadevergoedingen en sancties die een bedreiging kunnen vormen voor de continuïteit van de bedrijfsvoering;

- concentratierisico: het risico dat (onbewust) teveel zaken wordt gedaan met personen of ondernemingen die uiteindelijk tot hetzelfde conglomeraat behoren.

Deze risico's - al dan niet in samenhang - kunnen een groot afbreukrisico vormen en tot forse directe en indirecte schade leiden, zowel materieel (verliezen) als immaterieel (reputatieschade). De AFM acht dan ook adequate invulling door banken van groot belang, waarbij het uitgangspunt een risicogeoriënteerde benadering is. Dat betekent dat een instelling zelf een inschatting moet maken van de risico's die een bepaalde cliënt of een bepaald product met zich brengt (risicoanalyse). Teneinde de geïdentificeerde risico's te mitigeren treft de instelling beheersmaatregelen.

Procedures moeten op de risico's zijn afgestemd. De eerste stap bij de implementatie van procedures is dan ook een inventarisatie van cliënten in combinatie met producten en/of diensten. Met betrekking tot cliënten kan dan bijvoorbeeld een onderscheid worden gemaakt tussen cliënten met een inkomen uit arbeid, cliënten met een inkomen uit vermogen, rechtspersonen midden- en kleinbedrijf, grote ondernemingen, stichtingen en verenigingen, ingezetenen of niet-ingezetenen, inwoners van een land buiten bijvoorbeeld de Europese Unie of de Organisatie voor Economisch Samenwerking en Ontwikkeling of een land dat door de Financial Action Task Force is aangemerkt als een niet-meewerkend land (Non Cooperative Countries and Territories). Maatregelen voor vergelijkbare risico's, ook als deze zich elders binnen de instelling voordoen, dienen gelijkwaardig te zijn. Bij het formuleren van procedures moet telkens worden aangegeven voor welke risicoclassificatie de procedure is geformuleerd.

De beheersing van risico's leidt in ieder geval tot:

- procedures ten aanzien van de acceptatie van cliënten;

- procedures ten aanzien van de identificatie van cliënten;

- procedures ten aanzien van de bewaking van cliënten, rekeningen en transacties met een hoger risico.

Binnen de instellingen dient een en ander op adequate wijze te worden belegd. Daarnaast dient aandacht te worden besteed aan aspecten van risicomanagement, compliance, interne controle en opleidingen. Deze worden voor een belangrijk deel door bijlage 4 bestreken.

Artikel 26a handelt in zijn algemeenheid over de acceptatie van cliënten. Van een instelling wordt in dat verband een adequaat beleid verwacht ter zake van de acceptatie van cliënten. Belangrijk hierin is de verdeling van het cliëntenbestand in risicocategorieën op basis van risico's die met de cliënt in kwestie samenhangen en op basis van de risico's die met de producten of bemiddelings- of vermogensbeheerdiensten samenhangen, en het opstellen van procedures per categorie. Het beleid moet daadwerkelijk vertaald worden in het handelen van de instelling in alle geledingen. De instelling moet zelf op basis van de norm een inschatting maken van de risico's die een bepaalde cliënt of een bepaald product met zich brengen. Een niet-professionele cliënt die uitsluitend `execution only' dienstverlening wenst, kan in dat kader in beginsel worden beschouwd als het laagste risico. Dit leidt uiteindelijk tot een verdeling in risicogroepen. Ook moet de instelling beschikken over procedures en maatregelen om cliënten in te delen in risicogroepen, waarbij zij objectieve en kenbare criteria dient te hanteren.

Onderdeel van de organisatorische en administratieve procedures en maatregelen is dat de instelling vastleggen op welke wijze zij de informatie vergaart over de cliënt en de producten of diensten. Een instelling accepteert geen cliënt indien de identiteit, aard en achtergrond van de cliënt niet afdoende zijn vastgesteld conform de organisatorische en administratieve procedures en maatregelen. Dit geldt niet alleen de acceptatie aan het begin van de cliëntrelatie, maar het gaat hier om een afweging die voortdurend moet worden gemaakt.

Het vierde lid ziet op identificatie van cliënten van de instelling en op de verificatie daarvan. Identificatie is het door de instelling kennen van de cliënt (inclusief vertegenwoordigers en rechthebbenden). Verificatie is het controleren van de identiteit van de cliënt. De Wet identificatie bij dienstverlening (Wid) geldt hier. Waar de Wid een anti-witwasperspectief heeft en ook de Financial Action Task Force met name hierop (en op financiering van terrorisme) is gericht, ziet de norm van artikel op een breder perspectief. Het gaat hier dan ook om het voorkomen van betrokkenheid van de instelling bij (het gewild of ongewild faciliteren van) onder meer fraude, corruptie, smokkel, illegale wapenhandel, heling, milieudelicten, handel met voorkennis en marktmanipulatie. In het kader van cliëntacceptatie en -bewaking verlangt onderhavige bepaling daarnaast een risicobenadering, waarbij bij verhoogd risicocliënten een zwaardere inspanningsverplichting geldt voor het vaststellen van de uiteindelijk rechthebbende. Voor de goede zij hier vermeld dat deze bepaling onverlet laat hetgeen is artikel 27, derde lid, NRg 2002 inzake de vaststelling van de identiteit van de cliënt.

Het is van belang dat de instelling periodiek toetst of de cliënt nog steeds aan het risicoprofiel voldoet. Uitgangspunt is dat frequentie en diepgang van de bewaking afhankelijk is van de risicosituatie van de cliënt. Eventuele signalen over rekeninggebruik en transacties kunnen tevens aanleiding zijn voor passende maatregelen, bijvoorbeeld herziening van het risicoprofiel van de cliënt. Een instelling kan onderdeel van een conglomeraat van financiële instellingen zijn. Van belang is dan dat er binnen de instelling een integraal, geconsolideerd inzicht bestaat in de situatie van de cliënt. Veel cliënten hebben meerdere rekeningen bij dezelfde instelling. Geaggregeerde informatie op cliëntniveau is dan ook noodzakelijk. De instelling zal in ieder geval systematisch moeten kunnen controleren of er sprake is van patronen of activiteiten die afwijken van het profiel van de cliënt.

Het is van belang dat procedures en maatregelen zijn toegesneden op de onderscheiden risicogroepen én dat bij een groep met een hoger risico strengere procedures en maatregelen van kracht zijn.

Een goede implementatie van beleid inzake cliëntacceptatie en -bewaking in de organisatie van de instelling is essentieel. Als sluitstuk van effectieve cliëntacceptatie en cliëntprocedures dient de instelling duidelijke voorschriften ten behoeve van alle personeelsleden op te stellen. In het belang van de continuïteit van het bedrijf is uitgangspunt van de cliëntprocedures dat de leiding tot beleid maakt dat naast de commerciële risico's ook andere (immateriële) en cliëntenrisico's worden meegewogen. De cliëntacceptatie/-identificatieprocedures sluiten als zodanig naadloos aan op (Operational Risk)-activiteiten, waarbij de instelling in de volle breedte bekend moet zijn met huidige en toekomstige risico's rondom de cliënt. Uiteraard is daarbij periodieke toetsing nodig van het beleid en van de organisatorische en administratieve procedures en maatregelen alsmede de interne voorschriften ter zake van de identiteit, de aard en de achtergrond van de cliënten van de instelling.

In het betreffende beleid dient de instelling de nodige aandacht te besteden aan het vastleggen van het besluitvormingsproces aangaande de cliëntacceptatie, alsmede de voortdurende bewaking van de cliënt en zijn transacties (historieopbouw en dossiervorming). Gegevens dienen minimaal vijf jaar bewaard te worden na de dienstverlening of beëindiging van de cliëntrelatie. De wijze van vastlegging dient zodanig te zijn ingericht dat kan worden nagegaan welke functionaris op grond van welke overwegingen en welke documenten/feiten tot zijn besluit is gekomen. De vastlegging dient op eenduidige en toegankelijke wijze te geschieden. Ook tot risicobeheersing behoort periodieke controle en evaluatie van het beleid, de procedures en voorschriften. Aan de hand van gebeurtenissen binnen of buiten het bedrijf dient periodieke ijking plaats te vinden. Intern toezicht vervult hierbij een belangrijke taak.

E

Artikel 39 De behandeling van incidenten

Ter vervangen van de huidige toelichting volgt hierna de toelichting op het vernieuwde artikel 39.

Op grond van de artikelen 7 en 11 Wet toezicht effectenverkeer 1995 in verband met artikel 24b, eerste lid, onder c, j° derde lid j° 24c, onder a, van het besluit heeft de AFM de plicht om regels uit te vaardigen met betrekking tot het beleid, de organisatorische en administratieve procedures en maatregelen ter voorkoming van:

- betrokkenheid van de instelling bij strafbare feiten die het vertrouwen in de instelling of in de financiële markten in het algemeen schaden;

- betrokkenheid van de instelling bij handelingen die anderszins in het maatschappelijk verkeer zodanig onaanvaardbaar zijn dat deze het vertrouwen in de instelling of in de financiële markten in het algemeen schaden.

Artikel 24c, onder a, van het besluit stelt vast dat de procedures en maatregelen in ieder geval de behandeling en administratieve vastlegging van incidenten betreffen. De AFM geeft invulling aan de genoemde wettelijke opdracht door het uitvaardigen van deze regeling betreffende de omgang met incidenten die een ernstig gevaar vormen voor een integere bedrijfsvoering.

Bij het opstellen van de regeling is, naast de uitgangspunten die de wet en het besluit aanreiken, gebruik gemaakt van de door De Nederlandsche Bank, de Pensioen- & Verzekeringskamer en de Autoriteit Financiële Markten gezamenlijk vastgestelde Aanbevelingen ten aanzien van een integere bedrijfsvoering op het gebied van incidenten en integriteitsgevoelige functies. Bij de inwerkingtreding van deze regeling komen de genoemde aanbevelingen te vervallen.

De uitvoering van de onderhavige regeling betekent dat er verwerking van persoonsgegevens zal plaatsvinden door de betrokken instellingen. Dat betekent dat de Wet Bescherming Persoonsgegevens (WBP) van toepassing zal zijn. Het is de verantwoordelijkheid van de afzonderlijke instellingen om de volgens de WBP vereiste formaliteiten te verrichten.

Integriteit van de financiële sector houdt onder meer in dat instellingen niet betrokken raken bij de hierboven beschreven feiten en handelingen. Dit vereist een integere bedrijfsvoering. Incidenten in het kader van het besluit zijn `incidenten die een ernstig gevaar vormen voor een integere bedrijfsvoering van de financiële onderneming [instelling], voor zover het betreft een gedraging van een personeelslid of van een persoon die het dagelijks beleid bepaalt dan wel mede bepaalt van de financiële onderneming [instelling], dan wel van een gekwalificeerde aandeelhouder of van een natuurlijke persoon of rechtspersoon die werkzaamheden verricht ten behoeve van de financiële onderneming [instelling]'. Omdat blijkens de definitie `incidenten' een ernstig gevaar vormen voor een integere bedrijfsvoering is het van groot belang dat incidenten zorgvuldig worden afgehandeld en dat er aangaande incidenten een correcte informatieverschaffing plaatsvindt aan de toezichthouders. Incidentmanagement is een wezenlijk aspect van een integere bedrijfsvoering.

Uit de verplichting een integere bedrijfsvoering zoveel mogelijk te waarborgen vloeit voort dat de instelling dient te zorgen dat het risico op niet-integer optreden van personeelsleden van de instelling en (rechts)personen die werkzaamheden ten behoeve van de instelling verrichten of een relatie met de instelling onderhouden of wensen aan te gaan, zoveel mogelijk wordt beperkt en beheerst. Dit betekent onder andere dat de interne organisatie van de instelling zodanig moet zijn opgezet dat incidenten die inbreuk kunnen maken of hebben gemaakt op de integriteit van de instelling, worden geconstateerd, vastgelegd en aanleiding zijn tot het nemen van corrigerende maatregelen. Dit laat onverlet dat de instelling op basis van een risicoanalyse preventief maatregelen dient te nemen ter beheersing van dit integriteitsrisico. Behalve maatregelen jegens degene die het incident heeft bewerkstelligd, kunnen gepaste maatregelen ook bestaan uit het verbeteren van interne procedures of het aanpassen van beleid. Benadrukt wordt dat de administratieve vastlegging een instrument is ten behoeve van de instelling zelf. De AFM zal de administratieve vastlegging weliswaar in het kader van het lopende toezicht kunnen inzien op grond van zijn inlichtingen- en inzagerecht, maar dit toezicht zal er vooral op gericht zijn te verifiëren of de instelling op de juiste manier met de onderhavige verplichtingen omgaat.

De reikwijdte van het begrip incident is bepalend voor de vraag welke soorten incidenten vastgelegd moeten worden. Daarbij wordt onder gedraging zowel een doen als een nalaten verstaan. Indien de gedraging afkomstig is van een persoon of rechtspersoon waarvan de werkzaamheden onder verantwoordelijkheid van de instelling vallen, dient de niet-integere gedraging in het kader van de uitoefening van die werkzaamheden plaats te hebben gevonden. Onder een persoon of rechtspersoon waarvan de werkzaamheden onder verantwoordelijkheid van de instelling vallen, wordt zowel een persoon in dienst van de instelling begrepen als bijvoorbeeld ook een tussenpersoon of een (rechts)persoon die in het kader van uitbesteding voor de instelling werkzaamheden verricht.

Uit de definitie van incident blijkt dat het gaat om gebeurtenissen die een ernstig gevaar vormen voor de integere bedrijfsvoering. Een eigenschap van incidenten is dat ze optreden op momenten die niet van tevoren door de instelling zijn voorzien. Daarom wordt van de instelling verwacht dat zij systematisch en vooraf heeft nagedacht over de omgang met incidenten. De regeling spitst dit toe op drie concrete punten die minimaal benodigd zijn voor een adequate omgang met incidenten, namelijk: de administratieve vastlegging van incidenten, de behandeling van incidenten en de informatieverstrekking over incidenten aan de AFM. De uitwerking en implementatie van het beleid in organisatorische en administratieve procedures en maatregelen is een cruciale stap. De procedures en maatregelen moeten bijdragen aan een integriteitbewuste bedrijfscultuur én moeten geïntegreerd zijn in de bedrijfsprocessen.

De administratieve vastlegging is in de eerste plaats een instrument ten behoeve van de instelling zelf. Het derde lid geeft aan hetgeen de instelling minimaal dient vast te leggen. De AFM zal de administratieve vastlegging weliswaar in het kader van het lopende toezicht kunnen inzien op grond van haar inlichtingen- en inzagerecht, maar dit toezicht zal er vooral op gericht zijn te verifiëren of de instelling op de juiste wijze omgaat met de onderhavige verplichting.

Naar aanleiding van een incident zijn gepaste maatregelen nodig: er is immers een ernstig gevaar voor de integere bedrijfsvoering. Gepaste maatregelen zijn er op gericht dat de integere bedrijfsvoering ongehinderd voortgang heeft. In het kader van deze regeling is met name van belang dat alleen die maatregelen passend zijn die het optredende risico beheersen, normbevestigend zijn en die de negatieve interne en externe effecten van het incident beperken. Dit houdt enerzijds in bevordering van een integere bedrijfsvoering en anderzijds beperking van reputatieschade. Van belang is ook dat de maatregelen de norm bevestigen: de betrokkenen moet duidelijk zijn dat de instelling de normovertredingen niet tolereert. Maatregelen met een verhullend karakter worden dan ook in de regel niet beschouwd als passend vanwege het ontbreken van het normbevestigende karakter. Interne informatieverstrekking over afgehandelde incidenten kan ook normbevestigend werken. Gepaste maatregelen kunnen bijvoorbeeld bestaan in (arbeidsrechtelijke) maatregelen jegens degene die het incident heeft bewerkstelligd, uit het verbeteren van interne procedures, het aanpassen van beleid, of uit het geven van openheid van zaken aan personeelsleden, de AFM en aan het publiek.

Het bepaalde in het vijfde en zesde lid geeft aan in welke situaties de AFM dient te worden geïnformeerd. Dit is een informatieplicht die inhoudt dat de instelling op eigen initiatief onverwijld de AFM informeert omtrent opgetreden incidenten. Voor alle duidelijkheid: deze meldingsplicht heeft betrekking op incidenten in de zin van deze regeling, dat wil zeggen incidenten die een ernstig gevaar vormen voor een integere bedrijfsvoering. Dit betekent ook dat niet alle gebeurtenissen die bij justitiële autoriteiten worden aangegeven ook aan de AFM gemeld moeten worden; het gaat ook hier om aangifte bij justitiële autoriteiten van incidenten. Het zesde lid geeft aan welke informatie ten minste aan de AFM ter hand moet worden gesteld.

F

Nu in een apart artikel de omgang met integriteitsgevoelige functies zal worden vastgelegd, vervalt uit artikel 42 de betrouwbaarheidstoetsing van bepaalde medewerkers van een effecteninstelling. Op deze manier blijft de reikwijdte van de hier bedoelde toets beperkt tot deskundigheid van effectenmedewerkers van de instelling.

G

Artikel 42a De omgang met personeelsleden in integriteitsgevoelige functies

Op grond van de artikelen 7 en 11 Wet toezicht effecteninstellingen 1995 in verband met artikel 24b, eerste lid, onder c., j° derde lid j° 24c, onder b., van het besluit heeft de AFM de plicht om regels uit te vaardigen met betrekking tot het beleid, de organisatorische en administratieve procedures en maatregelen ter voorkoming van:

- betrokkenheid van de instelling bij strafbare feiten die het vertrouwen in de instelling of in de financiële markten in het algemeen schaden;

- betrokkenheid van de instelling bij handelingen die anderszins in het maatschappelijk verkeer zodanig onaanvaardbaar zijn dat deze het vertrouwen in de instelling of in de financiële markten in het algemeen schaden.

Artikel 24c, onder b., van het besluit stelt vast dat de procedures en maatregelen in ieder geval betreffen: de beoordeling of de betrouwbaarheid van een personeelslid dat de instelling voornemens is te benoemen in een integriteitsgevoelige functie buiten twijfel staat. De AFM geeft invulling aan de genoemde wettelijke opdracht door het uitvaardigen van deze regeling betreffende de benoeming van een personeelslid in een integriteitsgevoelige functie.

Bij het opstellen van de regeling is, naast de uitgangspunten die de wet en het besluit aanreiken, gebruik gemaakt van de door De Nederlandsche Bank, de Pensioen- & Verzekeringskamer en de Autoriteit Financiële Markten gezamenlijk vastgestelde Aanbevelingen ten aanzien van een integere bedrijfsvoering op het gebied van incidenten en integriteitsgevoelige functies. Bij de inwerkingtreding van deze regeling komen de genoemde aanbevelingen te vervallen. Ook is gekeken naar de huidige praktijk bij de instellingen. De bepalingen van deze regeling laten onverlet de door de toezichthoudende autoriteiten uitgevoerde betrouwbaarheidstoetsingen van (kandidaat)(mede)beleidsbepalers van en houders van gekwalificeerde deelnemingen in onder toezicht staande instellingen.

De uitvoering van de onderhavige regeling betekent dat er verwerking van persoonsgegevens zal plaatsvinden door de betrokken instellingen. Dat betekent dat de Wet Bescherming Persoonsgegevens (WBP) van toepassing zal zijn. Het is de verantwoordelijkheid van de afzonderlijke instellingen om de volgens de WBP vereiste formaliteiten te verrichten.

In het bevorderen van de integriteit van de financiële sector is de persoonlijke integriteit van bestuurders een van de invalshoeken van het toezicht. De Memorie van Toelichting bij de Wet actualisering en harmonisatie financiële toezichtwetten (Stb. 2003, 55) geeft aan dat instellingen een zorgplicht hebben ten aanzien van de persoonlijke integriteit van hun bestuurders en medewerkers. De betrouwbaarheid van bestuurders, commissarissen en (andere) (mede)beleidsbepalers is in dat kader in de toezichtwetgeving opgenomen als vergunningvereiste. Deze betrouwbaarheidstoetsing is uitgewerkt in de Beleidsregel inzake de betrouwbaarheidstoetsing van (kandidaat)(mede)beleidsbepalers van en houders van gekwalificeerde deelnemingen in ondertoezicht staande instellingen (Stcrt. 2000, 78).

Het besluit voegt een ander aspect toe, dat losstaat van de bovengenoemde betrouwbaarheidstoetsing: instellingen zijn verplicht tot de `beoordeling van de betrouwbaarheid van een personeelslid dat de financiële onderneming voornemens is te benoemen in een integriteitsgevoelige functie'. Het besluit definieert het begrip integriteitsgevoelige functie als volgt:

1° een leidinggevende functie die is geplaatst direct onder het echelon van de bepalers en medebepalers van het dagelijks beleid van de financiële onderneming [instelling];

2° een functie waaraan overigens een bevoegdheid is verbonden die een wezenlijk risico bevat voor de integere bedrijfsvoering van de financiële onderneming [instelling].

Bij de functies onder 1° gaat het om het leidinggevend echelon direct onder de (dagelijkse) beleidsbepalers of medebeleidsbepalers van de instelling die ingevolge de toezichtwetgeving al op betrouwbaarheid zijn getoetst door de AFM. Hiertoe behoren bijvoorbeeld directeuren van businessunits, stafdirecteuren, hoofden van stafdiensten, adjunct-directeuren en (overige) leden van het managementteam op het niveau van het tweede echelon. Bij de functies onder 2° stelt de toelichting op het besluit dat de instelling als uitgangspunt bepaalde sleutelfuncties zal nemen. In deze regeling wordt dat uitgewerkt in de het eerste tot en met het achtste lid.

In het kader van het kwalificeren als integriteitsgevoelige functie zijn er derhalve twee categorieën.

Een categorie die vaststaat, namelijk een leidinggevende functie die is geplaatst direct onder het echelon van de bepalers en medebepalers van het dagelijks beleid van de instelling.

Een categorie die de instelling zelf vanwege het risico voor de integere bedrijfsvoering als integriteitsgevoelig kwalificeert. Bij deze laatste categorie gaat het niet om vaststaande functies, maar is het de verantwoordelijkheid van de instelling om, mede aan de hand van objectieve, kenbare criteria, de afweging te maken of de betrokkene een integriteitsgevoelige functie vervult. Daarbij is van belang dat de instelling een dergelijke afweging in redelijkheid maakt. Het staat haar niet vrij om een functie niet als integriteitsgevoelig te kwalificeren als daartoe toch duidelijk aanleiding bestaat. Onder de integriteitsgevoelige functies vallen ook de functies binnen de gegeven definitie, die door personen worden vervuld die niet op basis van een arbeidsovereenkomst met de instelling werkzaam zijn, maar bijvoorbeeld op inhuur- of detacheringsbasis tewerk zijn gesteld.

Het karakter van instellingen brengt met zich dat de meeste functies zijn blootgesteld aan enig integriteitrisico. De vraag is of dit risico zodanig is dat er sprake is van een integriteitsgevoelige functie in de zin van deze regeling. Deze vraag wordt altijd positief beantwoord voor de bestuurders van de instelling en degenen in het echelon daaronder. Deze zijn degenen die de instelling kunnen binden en grote invloed uitoefenen op de besluitvorming en de gang van zaken binnen de instelling. Echter, ook op de andere niveaus kunnen zich integriteitrisico's voordoen uit hoofde van de functie. Hieronder volgt een aantal voorbeelden.

Een cliëntadviseur heeft toegang tot vertrouwelijke informatie. Wanneer deze persoon de informatie op grote schaal publiek maakt, kan dat in de eerste plaats ernstige gevolgen met zich brengen voor cliënten en daarnaast ook voor de reputatie van de instelling.

Een mainframe operator bewaakt cruciale mainframe processen. Gedacht kan worden aan geautomatiseerde systemen die ingezet worden ten behoeve van de afwikkeling. De positie van de operator maakt dat hij op een zodanige manier kan ingrijpen in cruciale en (gedeeltelijk) door automatisering gestuurde en uitgevoerde processen dat de afwikkeling ernstig wordt gehinderd, hetgeen zeer schadelijk kan zijn voor de reputatie van de instelling.

Het is aan de instelling om te beoordelen of de aan de functie klevende risico's dusdanig zijn dat er sprake is van een integriteitsgevoelige functie in de zin van deze regeling. Op dit punt wordt beleid verwacht, dat is uitgewerkt in organisatorische en administratieve procedures en maatregelen.

Waar het een integriteitsgevoelige functie betreft, dient de instelling de betrouwbaarheid van de persoon te beoordelen. Uiteraard staat het de instelling vrij om dit ook te doen waar het geen integriteitsgevoelige functie betreft. Overigens geldt beoordeling niet alleen voor nieuwe medewerkers, maar ook voor diegenen die vanuit de organisatie intern een overstap maken naar een integriteitsgevoelige functie.

De instelling dient systematisch na te denken over en zich bewust te zijn van integriteitrisico's die verbonden zijn aan functies en de daaruit volgende kwalificatie van functies als integriteitsgevoelig. Dit laatste behelst niet dat in het beleid de namen van de functies worden aangegeven, maar wel dat de kenmerken worden gegeven op grond waarvan de instelling een functie als integriteitsgevoelig kwalificeert. Verder dient de instelling systematisch na te denken over de beoordeling van de betrouwbaarheid van een personeelslid in een integriteitsgevoelige functie. Het gaat dan niet alleen om nieuw in dienst tredende personeelsleden maar ook om bestaande personeelsleden die in een integriteitsgevoelige functie komen. Verder kan de instelling een beleid vaststellen met betrekking tot herbeoordelingen. Hierbij kan gedacht worden aan dat het beleid van de instelling aangeeft wanneer een hernieuwde beoordeling noodzakelijk is, bijvoorbeeld naar aanleiding van incidenten of van signalen. De regeling gaat niet in op herbeoordelingen.

Beleid moet worden uitgewerkt en geïmplementeerd in administratieve en organisatorische procedures en maatregelen die geïntegreerd zijn in de bedrijfsprocessen. Ten eerste zijn er procedures en maatregelen om functies te kwalificeren als integriteitsgevoelig. Dit kwalificeren dient te geschieden op basis van objectieve, kenbare criteria. De regeling geeft een aantal criteria die in ogenschouw genomen kunnen worden. De instelling dient hierbij af te wegen dat een functie niet als niet-integriteitsgevoelig kan worden gekwalificeerd terwijl die dat wel is. De keuze van de criteria ligt bij de instelling zelf.

Ten tweede zijn er procedures en maatregelen voor de beoordeling van de betrouwbaarheid van een betrokkene. Het zal daarbij in de eerste plaats moeten gaan om procedures om nieuwe medewerkers voor integriteitsgevoelige functies te toetsen (`screenen'). Daarnaast zijn procedures nodig voor het toetsen van medewerkers die al in dienst zijn van de instelling en in een integriteitsgevoelige functie benoemd worden.Voorts ligt het in de rede dat de instelling niet alleen bij benoeming de betrokken persoon toetst, maar ook nadien maatregelen neemt als bepaalde relevante informatie over de betrokkene bij haar bekend wordt. De regeling bepaalt overigens niet iets over deze `inemployment-screening'. De regeling stelt een aantal eisen waaraan de procedures en maatregelen betreffende de beoordeling van de betrouwbaarheid ten minste moeten voldoen: de identiteit van betrokkene dient vastgesteld te worden; de door betrokkene verstrekte gegevens en referenties moeten worden gecontroleerd op juistheid en volledigheid; er moet een onderbouwde inschatting worden gemaakt van de betrouwbaarheid van betrokkene en een beoordeling daarvan in relatie tot de integriteitsgevoelige functie.

Daarnaast geeft de regeling enkele mogelijke elementen van de toetsing aan. Het is aan de instelling om te bepalen in hoeverre zij deze laatste elementen in de toetsing toepast of nog andere elementen toepast, wellicht afhankelijk van de mate van integriteitsgevoeligheid van de functie. Zo kan de instelling inlichtingen inwinnen met betrekking tot iemands betrouwbaarheid bij de werkgever(s) bij welke betrokkene de laatste vijf jaar werkzaam is geweest. Indien deze een arbeidsverleden heeft dat korter is dan vijf jaar geldt deze bepaling ten aanzien van die kortere periode. Dit geldt ongeacht het feit of een of meer van de bedoelde werkgevers gedurende de laatste vijf jaar niet een instelling is geweest. Daarnaast kan de instelling de sollicitant vragen naar incidenten uit het verleden die voor de oordeelsvorming over zijn betrouwbaarheid relevant zijn. Deze vraagstelling zou onderdeel kunnen uitmaken van een sollicitatieformulier. Mocht dit niet gebruikt worden, dan zal een notitie van de betrokken personeelsfunctionaris over het antwoord van de sollicitant in het sollicitatie- of personeelsdossier te vinden moeten zijn. Tot slot kan een specifiek voor de betrokken functie afgegeven verklaring omtrent het gedrag overgelegd worden door de betrokkene. Dossiervorming is bij dit alles van belang.

Externe medewerkers waarvan de instelling voornemens is deze werkzaam te laten zijn in een integriteitsgevoelige functie moeten ook worden getoetst. De instelling kan dit overlaten aan de echte werkgever van het personeelslid. Dit is gebonden aan strikte voorwaarden die in het tweede lid zijn benoemd. Op zijn minst zijn waarborgen vereist die vergelijkbaar zijn aan de toetsing van `eigen' personeelsleden. Te allen tijde is de instelling wel zelf verantwoordelijk voor de beoordeling. Verder dient de instelling zelf de identiteit te controleren van de externe medewerker.

Het bepaalde in het twaalfde lid regelt dat iedere instelling aan wie de financiële instelling in het onderhavige kader informatie vraagt, deze schriftelijk verstrekt. Daarbij geldt dat, indien zich ten aanzien van betrokkene geen feiten en/of omstandigheden hebben voorgedaan die de instelling aanleiding hebben gegeven om te twijfelen aan diens betrouwbaarheid, de instelling een verklaring van die strekking afgeeft aan de verzoekende instelling. Indien zich die feiten en/of omstandigheden wel hebben voorgedaan, verstrekt de instelling de informatie daarover juist en zo volledig mogelijk opdat de verzoekende instelling zich een zo goed mogelijk beeld terzake kan vormen. Een dergelijke situatie kan zich bijvoorbeeld voordoen bij ontslag wegens dringende reden en bij ontbinding van de arbeidsovereenkomst.

Het bepaalde in het dertiende lid bevat meer in algemene zin het doen van uitingen over de betrokken persoon zonder dat er een concreet verzoek om inlichtingen van een mogelijke nieuwe werkgever voorligt. Een voorbeeld daarvan is het getuigschrift dat bij het einde van het dienstverband wordt afgegeven door de werkgever. Deze bepaling wil voorkomen dat werkgevers in het kader van een minnelijke afvloeiing een te rooskleurig beeld geven van de betrouwbaarheid van de medewerker. Hierbij zij opgemerkt dat niet is beoogd met deze bepaling afbreuk te doen aan het bepaalde in artikel 656 van Boek 7 van het Burgerlijk Wetboek inzake de afgifte op verzoek van een getuigschrift aan een uit dienst tredende werknemer.

H

Nu de tekst van artikel 39 is vervangen en daarin de betreffende bepalingen inzake organisatorische en administratieve procedures en maatregelen zijn opgenomen, is een aparte bepaling inzake de administratieve organisatie en systemen van interne controle niet langer opportuun.

I

Nu artikel 42 is beperkt tot de deskundigheidstoets van effectenmedewerkers, dient ook de bijbehorende ao/ic bepaling van artikel 4.24 daartoe te worden beperkt. Dientengevolge kan de begrip betrouwbaarheid worden geschrapt. De bepalingen inzake de betrouwbaarheidstoets en de daarvoor benodigde organisatorische en administratieve procedures en maatregelen ten aanzien van medewerkers in een integriteitsgevoelige zijn nu opgenomen in artikel 42a.

J

Nu de strekking van artikel 42 inzake de toetsing van aanstaande medewerkers is beperkt tot deskundigheid, zijn uit de tekst van de toelichting van dat artikel de verwijzingen naar betrouwbaarheid geschrapt.

K

Nu de reikwijdte van de ao/ic-bepaling inzake de toetsing van aanstaande medewerkers is beperkt tot deskundigheid, is de verwijzing in de tekst van de toelichting op het hier bedoelde artikel uit bijlage 4 naar betrouwbaarheid niet langer van toepassing.

Artikel II

Deze wijziging of aanvulling van de NRg 2002 betreffende maatregelen gericht op de bevordering en handhaving van integere bedrijfsvoering brengen met zich dat effecteninstellingen de nodige wijzigingen in hun bedrijfsvoeringprocessen moeten doorvoeren. Voor de daarvoor benodigde tijd acht de AFM een periode van zes maanden voldoende. De instellingen dienen dan ook uiterlijk zes maanden na inwerkingtreding van de wijziging van de NRg 2002 hun bedrijfsvoeringprocessen te hebben aangepast overeenkomstig de hier bedoelde bepalingen in de NRg 2002.

Artikel III

De gewijzigde NRg 2002 treedt in werking op 1 januari 2004, met inachtneming van bovenbedoelde overgangstermijn.

1 Zie voor een toelichting op de inhoud en betekenis van deze onderwerpen Kamerstukken II, 2001-2002, 28 373, nr. 3, pp. 10-12.

Naar boven