0:00
Artikel

Een betaaldienstverlener zonder onafhankelijke compliancefunctie?

10 min. leestijd
Rhodé Betting Consultant

De noodzaak van het scheiden van de ‘three lines of defence’, het onderbouwde cliënt-risicoprofiel en de aantoonbaarheid van periodieke opleidingen.

Als betaaldienstverleners hun compliancefunctie niet naar behoren inrichten, kan dat leiden tot een boete. Dat was ook het geval bij de PSD2-zaak die het College van Beroep voor het Bedrijfsleven (CBb) op 3 maart 2020 – toen de Rechtbanken in Nederland gewoon nog open waren – voor haar kiezen kreeg.

Wat was er aan de hand? PSD2 eist dat een betaaldienstverlener een organisatieonderdeel heeft dat op onafhankelijke en effectieve wijze de compliancefunctie uitoefent. Dat had de betreffende betaaldienstverlener niet ingeregeld. Daarnaast was de betaaldienstverlener de verplichting tot cliëntmonitoring en de opleidingsverplichting onvoldoende nagekomen. Wat leren we van deze zaak?

Wat ging er aan de rechtszaak vooraf?

DNB had de beheersing van integriteitsrisico’s bij de betreffende betaaldienstverlener onderzocht in november 2014. Naar aanleiding van de geconstateerde tekortkomingen had DNB:

  1. De betaaldienstverlener een aanwijzing gegeven;
  2. Om vervolgens een jaar later met de betaaldienstverlener een normoverdragend gesprek te voeren;
  3. En haar een waarschuwing te geven.

 

In 2016 verrichte DNB een onderzoek naar de opvolging van de eerdere aanwijzing. Aan de hand van de bevindingen van dit onderzoek besloot zij op 11 oktober 2016 tot:

  • Het opleggen van een bestuurlijke boete van €50.000 wegens het niet beschikken over een onafhankelijke en effectieve compliancefunctie;
  • Het opleggen van bestuurlijke boetes van in totaal €120.000 wegens:
    • Het niet naleven van de verplichting tot cliëntmonitoring; en
    • Het niet naleven van de opleidingsverplichting.

 

De betaaldienstverlener was het niet eens met deze boetes en stapte naar de rechter. Het CBb moest dus een oordeel vellen over:

  • De verplichting tot het beschikken over een onafhankelijke en effectieve compliancefunctie (art. 3:17 Wft jo. art. 21 lid 1 Bpr);
  • De verplichting tot cliëntmonitoring (art. 3 lid 2 sub d Wwft); en
  • De opleidingsverplichting (art. 35 Wwft).

Is onafhankelijk en effectief echt nodig?

Een betaaldienstverlener moet beschikken over een organisatiedeel dat de compliancefunctie op onafhankelijke en effectieve wijze uitoefent (artikel 3:17 Wft en artikel 21 lid 1 Bpr). Echter, de betreffende betaaldienstverlener beschikte ten tijde van de vergunningsaanvraag niet over een onafhankelijke compliancefunctie (en derhalve dus ook niet over een effectieve). Wat had de betaaldienstverlener dan wel?

De compliancefunctie werd tijdelijk verricht door een lid van het bestuur die niet bij de dagelijkse bedrijfsvoering betrokken was. Destijds had DNB ingestemd met het verlenen van een vergunning vanwege de geringe omvang van de organisatie. In 2014 had DNB aangegeven dat de combinatie van de functies van bestuursvoorzitter en compliance officer niet meer is toegestaan. De betaaldienstverlener was namelijk als onderneming gegroeid, beschikte inmiddels over een middenkader en had de compliancefunctie bij een manager belegd. Deze manager gaf leiding aan, en was verantwoordelijk voor, de uitvoering van de eerstelijnswerkzaamheden, waaronder die op het terrein van Screening & Risk. Nu de compliance officer zowel verantwoordelijk was voor de uitvoering van eerstelijnswerkzaamheden als voor de controle en monitoring ervan, kunnen we veronderstellen dat hier geen sprake was van adequate scheiding van de ‘three lines of defence’. Bovendien leidt de situatie tot (schijn van) belangenverstrengeling (‘afhankelijke’ i.p.v. ‘onafhankelijke’ compliancefunctie).

Daarnaast had de betaaldienstverlener verzuimd om aan DNB mede te delen welke andere functies de compliance officer binnen het bedrijf (‘dubbele functie’) vervulde. DNB was daardoor onvoldoende op de hoogte om te kunnen nagaan of er daadwerkelijk sprake is van een onafhankelijke en effectieve compliancefunctie.

Het CBb concludeert uiteindelijk dat de betaaldienstverlener niet heeft voldaan aan de verplichting om te beschikken over een onafhankelijke en effectieve compliancefunctie.

Is een risicoprofiel echt nodig?

Het cliëntenonderzoek dient de betaaldienstverlener in staat te stellen om een voortdurende controle op de zakelijke relatie, en de tijdens de duur van deze relatie verrichte transacties, uit te oefenen (artikel 3 lid 2 sub d Wwft). Het doel hiervan is de betaaldienstverlener te verzekeren dat het gedrag en de transacties overeenkomen met de kennis die de betaaldienstverlener heeft van de cliënt en diens risicoprofiel. Waar ging het bij deze betaaldienstverlener mis?

Uit dossieronderzoek van DNB bleek dat de betaaldienstverlener bij aanvang van een cliëntrelatie geen schriftelijk risicoprofiel van de cliënt vastlegde in het klantdossier. Daarnaast bleek ook dat de betaaldienstverlener de risico-indeling niet had uitgevoerd op basis van de juiste indicatoren. Het feit dat de klantdossiers wel zijn ingedeeld in een bepaalde risico-categorie is volgens het CBb onvoldoende om te spreken van een risicoprofiel aan de hand waarvan het handelen van de cliënt voortdurend kan worden gemonitord.

Is een opleiding echt nodig?

Een betaaldienstverlener dient er zorg voor te dragen dat haar werknemers, voor zover relevant voor de uitoefening van hun taken, bekend zijn met de Wwft en (periodiek) een Wwft opleiding genieten die hen in staat stelt een ongebruikelijke transactie te herkennen (artikel 35 Wwft). Was de introductiecursus die deze betaaldienstverlener had onvoldoende? En wat is periodiek?

Deze betaaldienstverlener gaf een introductiecursus over de Wwft en de Sw aan nieuwe medewerkers. De inhoud van deze cursus werd tijdens het onderzoek echter niet bekend gemaakt aan DNB. De betaaldienstverlener voorzag bovendien niet in herhalingscursussen of andere mogelijke opleidingen op het gebied van de Wwft of Sw. Er werden wel lijsten met do’s en don’ts op intranet verspreid, en er vond wat training ‘on the job’ plaats, maar dat was volgens het CBb niet voldoende.

Wijze les

Het CBb oordeelde in deze casus dat het ‘niet beschikken over een organisatieonderdeel dat op onafhankelijke en effectieve wijze een compliancefunctie uitoefent’, een schending is van de aan de betaaldienstverlener gestelde eisen van ‘deugdelijk bestuur’ (artikel 10 lid 4 PSD2). Hiervoor kreeg de betaaldienstverlener een boete. Ook kreeg de betaaldienstverlener een boete voor de tekortschietende naleving van de verplichting tot cliëntmonitoring en de opleidingsverplichting.

Hoe voorkomt u dat dit uw instelling overkomt? Zorg ervoor dat u de wettelijke verplichtingen die op uw instelling rusten helder in kaart hebt gebracht, en dat deze adequaat worden geïnterpreteerd. Let erop dat alle gemaakte beleidskeuzes goed worden onderbouwd en gedocumenteerd. Hiertoe behoren ook de scheiding van de ‘three lines of defence’, medewerkers met dubbele functies, de toelichting op de cliëntenrisicoprofielen en de opleidingsdocumentatie van medewerkers.

Meer weten?

Wilt u graag meer zekerheid? Wij kunnen u helpen door een quickscan van de mate van compliance in uw organisatie uit te voeren. Ook kunnen de juridische consultants van C&D Legal u bijstaan met het interpreteren van de wettelijke verplichtingen. Neem contact met ons op voor een gratis adviesgesprek.

Daarnaast bieden wij via ons opleidingsinstituut, The Ministry of Compliance, een Wwft Awareness cursus aan. Na afronding van deze e-learning voldoen uw medewerkers direct aan de wettelijke eisen.