13 maart 2026

Achtergrond

De hele financiële sector draait inmiddels op ICT: betalingen, handel, kredietverlening en beleggingsdiensten zijn volledig afhankelijk van stabiele digitale systemen. Door de sterke verwevenheid van meer dan 22.000 financiële entiteiten kunnen lokale incidenten zich razendsnel over grenzen verspreiden en leiden tot grootschalige verstoringen en vertrouwensverlies in het systeem. Na de crisis van 2008 lag de nadruk vooral op kapitaal en solvabiliteit, terwijl de digitale infrastructuur relatief onderbelicht bleef.

Dat veranderde toen de European Banking Authority (EBA), de European Insurance and Occupational Pensions Authority (EIOPA) en de European Securities and Markets Authority (ESMA) adviseerden om één sectorspecifiek, Europees kader voor digitale operationele weerbaarheid te creëren. Het eerdere lappendeken van nationale regels zorgde voor fragmentatie, hogere nalevingskosten en vooral: inconsistente eisen voor het testen van weerbaarheid en het monitoren van derde ICT‑aanbieders. DORA moet dat doorbreken met één gemeenschappelijk rulebook dat stabiliteit, marktintegriteit en consumentenbescherming centraal stelt. Wij nemen je mee langs de belangrijkste bouwstenen van de verordening, de impact op verschillende typen instellingen én de nieuwe werkelijkheid voor kritieke ICT‑dienstverleners zoals Amazon Web Services, Google Cloud, Microsoft en Equinix.

Wat is DORA precies? 

DORA (Digital Operational Resilience Act) is een EU‑verordening die sinds januari 2025 van kracht is en directe werking heeft in alle lidstaten. De regels gelden voor een brede groep financiële entiteiten, waaronder banken, verzekeraars, betaalinstellingen, beleggingsondernemingen en cryptodienstverleners. In plaats van verspreide regels over ICT‑risico’s brengt DORA alle eisen samen in één integraal kader voor digitale operationele weerbaarheid.

DORA is bewust vormgegeven als verordening in plaats van richtlijn om harmonisatie te bevorderen en nationale afwijkingen te beperken. Daarnaast is DORA in Nederland een lex specialis ten opzichte van de Network and Information Security 2‑richtlijn (NIS2‑richtlijn): voor financiële entiteiten gaan de DORA‑regels over ICT‑risico dus vóór de algemene Cyberbeveiligingswet en andere algemene wetten, regels of besluiten die overlap hebben. Daarmee wordt voorkomen dat instellingen worden geconfronteerd met tegenstrijdige eisen rond cyberbeveiliging en incidentmelding.

De vijf pijlers van DORA

DORA rust op vijf samenhangende pijlers die samen de digitale weerbaarheid moeten borgen. Deze pijlers zijn in de regelgeving verder uitgewerkt in technische regulerings‑ en uitvoeringsstandaarden. Tot nu toe zijn er zeven van zulke technische standaarden, het lijstje hier beneden is een momentopname. Zoals de stand van zaken er nu voorstaan ziet het er als volgt uit:

1. Een integraal ICT‑risicobeheerkader;
   Financiële entiteiten zijn verplicht tot het hebben van een solide, alomvattend en goed gedocumenteerd kader voor ICT-risicobeheer.
   • RTS inzake risicobeheer: beschrijft hoe instellingen hun ICT‑risico’s gestructureerd moeten inrichten, monitoren en beheersen, met een eenvoudiger regime voor kleinere partijen.
   • RTS inzake ICT-diensten verricht door ICT-dienstenleveranciers van derden: Specificeert de gedetailleerde inhoud van de beleidseisen voor contractuele afspraken over ICT-diensten die kritieke of belangrijke functies ondersteunen bij ICT-dienstenleveranciers.
2. Beheer en rapportage van ICT-incidenten;
   Financiële entiteiten moeten een proces inrichten om ICT-gerelateerde incidenten te detecteren, te beheren en te registreren. Ernstige incidenten moeten verplicht en volgens strikte termijnen worden gemeld aan de bevoegde autoriteiten met gebruikmaking van geharmoniseerde modellen;
   • RTS inzake classificatie ICT‑incidenten: bepaalt wanneer een ICT‑incident als “majeur” telt en dus formeel aan de toezichthouder moet worden gemeld.
   • RTS inzake Incidentrapportage: legt vast welke informatie instellingen in elke fase van een groot ICT‑incident moeten aanleveren en hoe vrijwillige dreigingsmeldingen verlopen
3. Testen van digitale operationele weerbaarheid;
   Om zwakheden in de beveiliging op te sporen, moeten entiteiten hun systemen en personeel regelmatig testen op kwestbaarheden. Het testniveau is afhankelijk van de grote en belangrijkheid van de instelling en het risicoprofiel wat ermee gepaard gaat.
   • RTS inzake TLPT‑testen: geeft regels voor de opzet, uitvoering en opvolging van threat‑led penetratietesten bij belangrijke instellingen.
4. Het beheer van risico’s rond derden en uitbesteding;
   Er zijn strikte regels voor het beheersen van risico's die ontstaan door de afhankelijkheid van externe ICT-leveranciers. Er gelden strikte eisen voor contractuele overeenkomsten, zoals het contractueel vastleggen van auditrechten en het hebben van een exit strategie. Daarnaast wordt er een specifiek oversightkader ingesteld voor aanbieders die als "kritiek" worden aangemerkt.
   • RTS inzake sub-uitbesteding: stelt eisen aan voorwaarden en controles als ICT‑dienstverleners delen van kritieke of belangrijke diensten weer door uitbesteden.
   • RTS inzake kritieke ICT‑dienstverleners: harmoniseert hoe Europese toezichthouders gezamenlijk toezicht uitoefenen op als “kritiek” aangewezen ICT‑dienstverleners.
5. Informatie-uitwisseling
   Financiële entiteiten worden aangemoedigd om op vrijwillige basis, informatie en inlichtingen over cyberdreigingen uit te wisselen binnen vertrouwensgemeenschappen. Door tactieken, technieken en waarschuwingen te delen, kunnen instellingen de verspreiding van dreigingen beperken en hun collectieve defensiecapaciteiten versterken.

ICT‑risicobeheerkader en inventarisatie

Onder DORA draagt het bestuur volledige verantwoordelijkheid voor het beheer van ICT‑risico’s. Bestuurders moeten beleid voor ICT‑bedrijfscontinuïteit, respons‑ en herstelplannen goedkeuren, periodiek laten evalueren en actief toezicht houden op de uitvoering. Ook moeten zij aantonen dat er voldoende budget en deskundig personeel beschikbaar is om aan alle vereisten te voldoen.

Bestuursleden hebben bovendien een wettelijke plicht om hun kennis van ICT‑risico’s op peil te houden via specifieke opleidingen. Dat maakt digitale weerbaarheid expliciet een bestuursverantwoordelijkheid en geen exclusief IT‑dossier meer. In de praktijk betekent dit dat bijvoorbeeld een middelgrote bank niet kan volstaan met een Chief Information Security Officer (CISO)‑rapportage eens per jaar, maar dat bestuurders concrete vragen moeten kunnen stellen en beantwoorden over patchbeheer, IT- back‑upstrategieën en afhankelijkheden van eventuele Cloud‑providers. DORA specificeert niet wat het minimumniveau is van deze kennis, of hoe vaak regelmatig is. Moet een bestuurder technisch kunnen meepraten over encryptie, of volstaat een algemeen begrip van cyberrisico's? Deze open normen zullen door in de praktijk ingevuld moeten worden.

Elke financiële instelling moet beschikken over een solide, alomvattend en gedocumenteerd ICT‑risicobeheerkader. Er moet een verantwoordelijke persoon worden aangewezen voor het beheer en toezicht op het ICT‑risicobeleid, met voldoende onafhankelijkheid om belangenconflicten te voorkomen. Dit kader wordt periodiek onderworpen aan interne audits, waarbij frequentie en diepgang zijn afgestemd op het risicoprofiel van de onderneming.

Een belangrijke stap binnen dit kader is de inventarisatie van functies en activa. Instellingen moeten alle ICT‑ondersteunde functies, processen, informatie‑ en ICT‑activa in kaart brengen, inclusief onderlinge afhankelijkheden. Daarbij hoort expliciet de identificatie van kritieke of belangrijke functies en de derde partijen waarvan men daarvoor afhankelijk is. Een functie is kritiek als een storing "wezenlijk afbreuk" zou doen aan de financiële prestaties of continuïteit. Instellingen moeten zelf de drempel bepalen waarop een proces "kritiek" wordt, of wat wordt verstaan onder een wezenlijke afbreuk. Van een betaaldienstverlener die transacties afwikkelt via een datacenter kan wel gezegd worden dat er een storing in dit datacenter kan leiden tot een wezenlijke afbreuk van een kritiek proces van deze financiële instelling. Of dit ook geldt voor data-analyses die draaien op clouddiensten van Google is nog maar de vraag. Steeds zal de financiële instelling een afweging moeten maken wat kritiek is en wat niet is. Beide afhankelijkheden zullen uiteindelijk duidelijk worden vastgelegd en gecategoriseerd.

Beveiliging, continuïteit, incidenten en testen

DORA verlangt een consistent informatiebeveiligingsbeleid dat de beschikbaarheid, integriteit en vertrouwelijkheid van data waarborgt. Dit omvat preventieve maatregelen (logische en fysieke beveiliging, toegangsbeheer, patchbeleid), detectiemechanismen voor afwijkingen en incidenten en een uitgewerkt ICT‑continuïteitsbeleid met concrete respons‑ en herstelplannen. Financiële instellingen moeten processen opstellen waarmee ze ICT incidenten kunnen classificeren en vastleggen. Ernstige IT gerelateerde incidenten zullen volgens een voorgeschreven proces bij de bevoegde autoriteiten moeten worden gerapporteerd. Voor bepaalde entiteiten (o.a. kredietinstellingen, betaalinstellingen) vallen ook betalingsgerelateerde operationele of beveiligingsincidenten onder deze meldplicht, zelfs als deze niet direct ICT-gerelateerd zijn.

Daarnaast verplicht DORA tot periodieke tests van de digitale operationele weerbaarheid, in elk geval voor alle kritieke en belangrijke ICT‑systemen. Voor de meeste instellingen volstaan reguliere tests zoals kwetsbaarheidsscans, scenariotests en fail‑over‑tests. Instellingen die als systemisch relevant of zeer ICT‑intensief worden beschouwd, moeten ten minste elke drie jaar geavanceerde dreiging gestuurde penetratietests (Threat‑Led Penetration Testing, TLPT) uitvoeren. Dit kan bijvoorbeeld betekenen dat een grote bank haar Cloud‑omgeving bij Microsoft of Amazon door een gesimuleerde aanval laat testen, inclusief de responscapaciteit van interne teams.

Derden, uitbesteding en CTPP’s

Derden en uitbesteding in het algemeen

Instellingen moeten een duidelijke strategie en beleid hebben voor het inzetten van externe ICT-leveranciers, vooral bij kritieke of belangrijke functies. Alle contracten hiervoor komen in een intern register, waarin onder meer is vastgelegd of de dienst een kritieke of belangrijke functie ondersteunt.

Een ICT-dienstverlener mag niet zomaar aan iedereen uitbesteden. Er zal in het contract een aantal minimumeisen moeten worden opgenomen waarmee de ICT-dienstverlener kan aantonen dat de partij aan wie ze hebben uitbesteed voldoende kennis en kunde in huis heeft.  Bijvoorbeeld bij het uitbesteden van ICT-functionaliteiten die als kritiek of belangrijk kunnen worden aangemerkt zal de ICT-dienstverlener contractueel moeten vastleggen dat de dienstverlener zelf maar ook, de financiële entiteit en de bevoegde autoriteit onbeperkte toegang hebben voor het inspecteren van de dienstverlening. Dit kan zelfs inhouden dat men ter plekke op locatie langskomt om de uitbestede dienstverlening te controleren. Dit roept natuurlijk vragen op over de onderhandelingspositie van financiële instellingen ten op zichten van de grote spelers. Het is onduidelijk hoe een instelling aan deze harde wettelijke eis kan voldoen als de aanbieder weigert af te wijken van zijn standaardcontract.

Wat is een CTPP?

Een Critical Third‑Party Provider (CTPP) is een externe ICT‑dienstverlener die door de Europese toezichthoudende autoriteiten als kritiek is aangewezen. Deze aanwijzing gebeurt op basis van criteria zoals de potentiële systemische impact van een storing, de mate afhankelijkheid van financiële instellingen van de aanbieder, en de vervangbaarheid van de verleende dienst. Hoe moeilijker het is om over te stappen naar een alternatief, hoe eerder een aanbieder als kritisch wordt gezien.

De eerste aanwijzing was op 18 november 2025. Deze lijst met CTPP’s omvat onder andere Accenture, Amazon Web Services, Google Cloud, Microsoft Ireland Operations, SAP SE, Equinix B.V. en Kyndryl Inc. In de praktijk betekent dit dat een groot deel van de Europese financiële sector voor Cloud, data‑analyse, kernbanksystemen en infrastructuur leunt op een beperkt aantal spelers. Een storing of beveiligingsincident bij bijvoorbeeld Microsoft of Amazon kan daarmee direct effecten hebben op duizenden banken, verzekeraars en betaalinstellingen tegelijk.​

CTPP’s voelen de regeldruk

CTPP’s voelen regeldruk onder DORA om een aantal redenen. Ten eerste concentreren zich bij hen de risico’s van de hele sector: als Cloud‑platform of datacenterleverancier voor een groot aantal systeemrelevante instellingen dragen zij een disproportioneel deel van het operationele risico. Een incident bij een CTPP als Google Cloud, Microsoft of Equinix raakt in één klap honderden of duizenden klanten, wat de kans op ingrijpen door de Lead Overseer (een Europese toezichthouder) en nationale toezichthouders vergroot.

Ten tweede worden CTPP’s niet alleen via contractuele eisen van hun financiële klanten aangesproken, maar ook rechtstreeks door Europese toezichthouders. Zij moeten intensief rapporteren, uitgebreide documentatie aanleveren, meewerken aan on‑site inspecties, sub‑outsourcingstructuren blootleggen en aanbevelingen opvolgen die diep ingrijpen in hun technische architectuur en businessmodel.

Ten derde gaat het vaak om mondiale spelers met een uniforme infrastructuur; maatregelen die nodig zijn om te voldoen aan DORA kunnen domino‑ effecten hebben op dienstverlening in andere regio’s en tot aanzienlijke kosten leiden. Daarmee ervaren CTPP’s continue spanning tussen schaalvoordelen, commerciële belangen en het voldoen aan Europees toezicht dat hen als systeemkritiek aanmerkt heeft.

Oversight‑kader, verplichtingen en sancties

Voor CTPP’s geldt een specifiek Europees toezicht kader. Eén van de drie Europese toezichthouders (EBA, EIOPA of ESMA) treedt op als Lead Overseer en oefent direct toezicht uit op de CTPP. De CTPP moet alle gevraagde informatie verstrekken en meewerken aan inspecties, waaronder on‑site onderzoeken bij kantoren en datacenters, ook buiten de EU mits lokale autoriteiten instemmen.

Een CTPP die buiten de EU is gevestigd, moet binnen twaalf maanden na aanwijzing een dochteronderneming in de EU oprichten om diensten aan EU‑instellingen te mogen voortzetten. Behoort de CTPP tot een groep, dan moet één rechtspersoon als centraal aanspreekpunt voor de Lead Overseer worden aangewezen. De CTPP betaalt een vergoeding die de toezichtkosten dekt en moet te goeder trouw meewerken aan alle onderzoeken en verzoeken.

Bij ernstige of aanhoudende niet‑naleving kan de Lead Overseer zware maatregelen opleggen. Mogelijkheden zijn het opleggen van dwangsommen tot 1% van de wereldwijde gemiddelde dagomzet, openbaarmaking van de overtreding en de identiteit van de aanbieder en – als uiterste middel – het laten beëindigen of tijdelijk stopzetten van contracten door nationale toezichthouders. Stel dat structurele tekortkomingen bij een wereldwijde cloud‑provider als Amazon of Microsoft niet tijdig worden opgelost; in dat scenario kan een toezichthouder financiële instellingen verplichten hun afhankelijkheid versneld af te bouwen of zelfs dwingen om al dan niet tijdelijk contracten op te zeggen.

De eerste ronde van rapportages over kritieke derde partijen vindt plaats in de eerste maanden van 2026. Als daaruit blijkt dat er nog andere ICT‑aanbieders verantwoordelijk zijn voor een groot deel van de kritieke systemen van ondernemingen binnen de EU, dan is de kans groot dat óók deze partijen in de toekomst als Critical Third‑Party Provider  worden aangewezen, met alle gevolgen van dien.

Informatie-uitwisseling

DORA stimuleert financiële entiteiten om vrijwillig cyberdreigingsinformatie te delen, zoals IOC's (Indicators of Compromise, IOC), tactieken, technieken, procedures, waarschuwingen en configuratiehulpmiddelen. Dit versterkt de digitale operationele weerbaarheid doordat dreigingen sneller kunnen worden gedetecteerd, hun verspreiding kan worden beperkt en defensiecapaciteiten kunnen worden verbeterd. De uitwisseling verloopt binnen vertrouwensgemeenschappen van financiële entiteiten, met strikte waarborgen voor vertrouwelijkheid, dataprotectie conform de Algemene Verordening Gegevensbescherming (AVG) en naleving van mededingingsregels. Deelnemende financiële entiteiten stellen gezamenlijk vrijwillige afspraken, protocollen of overeenkomsten op, waarin de deelnamevoorwaarden worden vastgelegd – inclusief eventuele rollen voor overheidsinstanties of ICT-dienstverleners. Financiële entiteiten moeten hun bevoegde toezichthouders, zoals de AFM of DNB, onverwijld informeren zodra de vertrouwensgemeenschap hun aanvraag voor deelname heeft goedgekeurd, na een interne beoordelingsprocedure. Ook bij beëindiging van de deelname geldt deze meldingsplicht.

Wat betekent DORA voor micro‑ondernemingen?

DORA kent een expliciet vereenvoudigd kader voor micro‑ondernemingen. Dit zijn financiële entiteiten met minder dan 10 werknemers en een jaaromzet of balanstotaal van maximaal 2 miljoen euro. Uitgangspunt blijft dat het bestuur eindverantwoordelijk is voor ICT‑risico’s.

Micro‑ondernemingen moeten een ICT‑risicobeheerkader hebben, maar hoeven dit niet jaarlijks te evalueren, een periodieke evaluatie volstaat. Zij zijn vrijgesteld van uitgebreide interne audits op het kader en hoeven geen aparte functie aan te wijzen voor toezicht op derdencontracten. Wel blijven incidentmeldingen verplicht, maar drempelwaarden en informatievereisten moeten proportioneel zijn. Bovendien zijn micro‑ondernemingen volledig vrijgesteld van TLPT. Wel zijn ze verplicht om reguliere tests uit te voeren (zoals bijvoorbeeld scans of vragenlijsten), maar mogen ze de frequentie en het type test zelf bepalen op basis van hun risicoprofiel en beschikbare middelen. Zij moeten dus een "goede afweging" maken tussen een hoge weerbaarheid en hun beschikbare middelen bij het testen. Dit is een uiterst subjectieve balans die pas achteraf door een toezichthouder getoetst wordt.

In de praktijk betekent dit dat een kleine FinTech‑ start‑up die bijvoorbeeld gebruikmaakt van clouddiensten van Google of Microsoft vanaf dag één een basis ICT‑risicobeheerkader moet kunnen laten zien bij een vergunningaanvraag. Tegelijk krijgen zij ademruimte door lichtere audit‑ en testvereisten, mits zij hun afhankelijkheid van grote CTPP’s goed begrijpen en beheersen.

Cyberbeveiligingswet voor niet‑DORA‑bedrijven

Voor organisaties die niet onder DORA vallen, vormt de Nederlandse Cyberbeveiligingswet (Cbw) – de implementatie van de NIS2‑richtlijn – het algemene kader voor digitale veiligheid. De wet geldt voor middelgrote en grote ondernemingen in vitale sectoren zoals energie, vervoer, gezondheidszorg, drinkwater, digitale infrastructuur (waaronder datacentra en cloud‑aanbieders), afvalwater, post‑ en koeriersdiensten, chemie, voedselketen, ruimtevaart, onderzoek en diverse industrieën. In de regel gaat het om ondernemingen met meer dan 50 werknemers en een jaaromzet of balanstotaal van meer dan 10 miljoen euro, al vallen bepaalde entiteiten altijd onder de wet ongeacht hun omvang.

De Cyberbeveiligingswet kent drie zware verplichtingen: een zorgplicht voor passende beveiligingsmaatregelen, een strikte meldplicht voor significante incidenten en expliciete bestuursverantwoordelijkheid. Incidenten moeten worden gemeld bij de toezichthouder en het Computer Security Incident Response Team (CSIRT), met termijnen van 24 uur voor een vroege waarschuwing, 72 uur voor een volledige melding en een eindverslag binnen een maand. Bestuurders moeten zich laten trainen in cyberrisico’s en kunnen in bepaalde gevallen persoonlijk aansprakelijk zijn bij ernstige nalatigheid. Bij niet‑naleving kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voor essentiële entiteiten en 7 miljoen euro of 1,4% voor belangrijke entiteiten. Een datacenter‑exploitant die geen financiële entiteit is, maar wel kritieke infrastructuur levert aan banken en verzekeraars, kan dus onder de Cyberbeveiligingswet vallen, terwijl zijn klanten onder DORA vallen.

Conclusie

DORA en de Cyberbeveiligingswet vormen samen de nieuwe digitale onderlaag van het Europese financiële stelsel: continuïteit, incidentbestendigheid en het beheersen van afhankelijkheden van derden zijn vaste onderdelen van prudent ondernemingsbestuur geworden. Voor financiële entiteiten betekent dit dat governance, ICT‑risicobeheer, incidentprocessen, testen van de ICT-weerbaarheid en hoe om te gaan met kritieke derde aanbieders van ICT-diensten niet langer losstaande, technische thema’s zijn, maar nauw met elkaar verweven pijlers die aantoonbaar op orde moeten zijn.​ DORA bevordert hierbij vrijwillige informatie-uitwisseling over cyberdreigingen binnen vertrouwensgemeenschappen om de sector brede digitale weerbaarheid te versterken, met strikte waarborgen voor vertrouwelijkheid, AVG en mededinging; deelnemende entiteiten leggen deelnamevoorwaarden vast in gezamenlijke afspraken en moeten goedkeuring of beëindiging direct melden aan toezichthouders zoals AFM of DNB.

Micro‑ondernemingen krijgen een vereenvoudigd kader, maar blijven gebonden aan dezelfde kernprincipes: het bestuur blijft eindverantwoordelijk, er moet een basis‑ICT‑risicokader zijn en incidenten moeten worden gemeld, zij het op proportionele wijze. Daarmee is DORA niet alleen bedoeld voor grote systeembanken, maar een raamwerk dat de hele breedte van de financiële sector raakt – van fintech‑start‑up tot gevestigde instelling.​

Critical Third‑Party Providers bevinden zich in een uitzonderlijke positie, omdat zij tegelijk de digitale ruggengraat van de sector vormen, rechtstreeks onder Europees toezicht staan en vaak wereldwijd actief zijn. Maatregelen die nodig zijn om te voldoen aan DORA kunnen domino‑effecten hebben op dienstverlening in andere regio’s en tot aanzienlijke kosten leiden. Ook zullen ze via allerlei contractuele relaties met de DORA te maken krijgen nu financiële instellingen verplicht zijn om hun contracten DORA-proof te maken. Deze grote spelers krijgen te maken met de meeste regeldruk.

DORA laat zich uiteindelijk het beste lezen als een principe‑gebaseerd raamwerk in plaats van een dichtgetimmerd handboek. De verordening biedt structuur en minima, maar blijft op cruciale punten niet heel duidelijk en gebruikt veel subjectieve begrippen, zoals “kritieke of belangrijke functies”, “passende” maatregelen en “proportionele” eisen, zelfs na vaststelling van de technische standaarden. Organisaties zullen die open normen zelf moeten concretiseren. De praktijkervaring en dialoog met de toezichthouders zal uitwijzen wat als ‘voldoende’ geldt. Wie doet aan serieus governance, risicobeheer in samenwerking met ICT‑dienstverleners, zal niet snel problemen ondervinden van de toezichthouders. Daarnaast werkt een financiële instelling aan een robuust fundament voor de operationele weerbaarheid van de instelling. Operationele weerbaarheid blijven zo niet alleen IT-issues, maar vormen de kern van goed ondernemerschap en systeembescherming binnen de EU.

Tegen deze achtergrond heeft de wetgever financiële instellingen verplicht om actief op te treden tegen gedragingen die de integriteit en veiligheid van de financiële sector kunnen aantasten. Het waarborgen van die integriteit en het bestrijden van sector gerelateerde criminaliteit behoren tot de kernverantwoordelijkheden van banken, verzekeraars en andere financiële ondernemingen. In dit artikel wordt onder een financiële instelling verstaan: een bank, verzekeraar, hypothecaire instelling of financieringsonderneming.

Een belangrijk instrument binnen dit integriteitsbeleid is het Incidentenwaarschuwingssysteem Financiële Instellingen (IFI). Dit systeem bestaat uit het Intern Verwijzingsregister (IVR) en het Extern Verwijzingsregister (EVR).[1] Het IFI beoogt criminaliteit binnen de financiële sector te voorkomen en te bestrijden en risico’s op fraude en andere integriteitsschendingen te beperken. De verwerking en uitwisseling van persoonsgegevens binnen het IFI zijn geregeld in het Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI), waarvoor de Autoriteit Persoonsgegevens toestemming heeft verleend.[2] Een registratie in het IVR of EVR kan voor betrokkenen verstrekkende gevolgen hebben, zoals het weigeren of beëindigen van een betaalrekening. In dit artikel wordt ingegaan op het juridische kader van IVR- en EVR-registraties, de gevolgen daarvan voor betrokkenen en de beschikbare mogelijkheden tot rechtsbescherming.

Juridisch kader IVR- en EVR- registratie

Intern Verwijzingsregister (IVR)

Als een (rechts)persoon betrokken is of is geweest bij een incident bij een financiële instelling, kan de financiële instelling de betreffende gegevens van deze (rechts)persoon opnemen in het eigen IVR. Centraal staat daarbij het begrip incident, dat in het PIFI wordt gedefinieerd als:

“een gebeurtenis die als gevolg heeft, zou kunnen hebben of heeft gehad dat de belangen, integriteit of veiligheid van de cliënten of medewerkers van een Financiële Instelling, de Financiële Instelling zelf of de financiële sector als geheel in het geding zijn of kunnen zijn, zoals het falsificeren van nota’s, identiteitsfraude, skimming, verduistering in dienstbetrekking, phishing en opzettelijke misleiding” [3]

Het IVR is een intern register dat uitsluitend toegankelijk is voor geautoriseerde medewerkers van de betreffende financiële instelling. In het register worden geen inhoudelijke gegevens over het incident opgenomen. [4] Het IVR bevat enkel identificerende gegevens: bij natuurlijke personen is dit de naam en geboortedatum, en bij rechtspersonen het KvK-nummer, eventueel aangevuld met de handelsnaam en postcode.

Uit de rechtspraak volgt dat aan een IVR-registratie hoge eisen worden gesteld.[5] De verwerking van persoonsgegevens moet in overeenstemming zijn met de Algemene verordening gegevensbescherming (AVG) en het PIFI. De rechtmatigheid van de verwerking berust in beginsel op artikel 6, eerste lid, onder f, AVG: de verwerking moet noodzakelijk zijn ter behartiging van de gerechtvaardigde belangen van de financiële instelling. Dit vereist een concrete en zorgvuldige belangenafweging.

Extern Verwijzingsregister (EVR)

Indien sprake is van een ernstig incident, is de financiële instelling gehouden de persoonsgegevens van de betrokken (rechts)persoon op te nemen in het EVR. Volgens het PIFI is daarvan sprake als cumulatief aan de volgende voorwaarden is voldaan:

• de gedragingen vormen, hebben gevormd of kunnen een bedreiging vormen voor (i) de (financiële) belangen van cliënten en/of medewerkers van een financiële instelling, dan wel de organisatie van de financiële instelling zelf, of (ii) de continuïteit en/of integriteit van de financiële sector;
• in voldoende mate vaststaat dat de betreffende (rechts)persoon bij deze gedragingen betrokken is (in beginsel wordt in dat geval aangifte of klacht gedaan bij een opsporingsambtenaar); en
• het proportionaliteitsbeginsel wordt in acht genomen.[6]

Volgens vaste jurisprudentie is voor een EVR-registratie vereist dat sprake is van zodanige concrete feiten en omstandigheden dat deze een als strafbaar feit te kwalificeren bewezenverklaring in de zin van artikel 350 Wetboek van Strafvordering zouden kunnen dragen. De verdenking moet zwaarder zijn dan een redelijk vermoeden van schuld. Een strafrechtelijke veroordeling is echter niet vereist. Het is aan de financiële instelling om de registratiebeslissing deugdelijk te onderbouwen en te concretiseren.[7]

Toegang, duur en gevolgen registratie

Persoonsgegevens die in het EVR zijn opgenomen, zijn toegankelijk voor alle bij het IFI aangesloten financiële instellingen. Raadpleging vindt plaats via de Externe Verwijzingsapplicatie (EVA), die werkt met een zogenoemd hit/no-hit-systeem. Bij een hit wordt zichtbaar dat een betrokkene in een register voorkomt, zonder dat direct inhoudelijke informatie over het incident beschikbaar is.

Registraties in zowel het IVR als het EVR kennen een maximale duur van acht jaar, te rekenen vanaf de datum van opname.[8] Financiële instellingen dienen, met inachtneming van het proportionaliteitsbeginsel, te motiveren waarom voor een bepaalde registratieduur is gekozen.[9]  De registratie moet bovendien worden beëindigd zodra niet langer wordt voldaan aan de voorwaarden die opname rechtvaardigen. [10]

De praktische gevolgen van een registratie zijn aanzienlijk. Financiële instellingen kunnen besluiten geen nieuwe diensten te verlenen, zoals het openen van een betaalrekening, het verstrekken van krediet of het afsluiten van verzekeringen, of bestaande klantrelaties te beëindigen. Dit raakt direct de mogelijkheid van de betrokkene om volwaardig aan het maatschappelijk verkeer deel te nemen.

Rechtsbescherming van de geregistreerde

Recht op inzage, rectificatie en verwijdering

Een geregistreerde heeft het recht op inzage in de persoonsgegevens die over hem worden verwerkt.[11] De financiële instelling mag inzage pas verlenen nadat de betrokkene zich heeft gelegitimeerd. [12] Binnen één maand na ontvangst van het verzoek dient de instelling mee te delen of persoonsgegevens worden verwerkt en, zo ja, welke gegevens dat zijn. Deze termijn kan bij complexe of omvangrijke verzoeken met maximaal twee maanden worden verlengd, mits de betrokkene daarvan tijdig in kennis wordt gesteld. [13]

Indien de verstrekte gegevens onjuist of onvolledig blijken, heeft de betrokkene recht op rectificatie. Daarnaast kan op grond van artikel 17 AVG om verwijdering van persoonsgegevens worden verzocht. Inzage kan in uitzonderlijke gevallen worden geweigerd, bijvoorbeeld indien dit noodzakelijk is ter voorkoming, opsporing of vervolging van strafbare feiten of ter bescherming van de rechten en vrijheden van derden. [14]

Recht van bezwaar

Naast inzage en rectificatie kan de betrokkene te allen tijde bezwaar maken tegen de verwerking van zijn persoonsgegevens in het IVR of EVR op grond van bijzondere persoonlijke omstandigheden.[15] Dit kan bijvoorbeeld aan de orde zijn bij identiteitsfraude of wanneer de feitelijke grondslag voor de registratie ontbreekt of onvoldoende is.[16] De financiële instelling dient in beginsel binnen één maand op het bezwaar te reageren. Deze termijn kan, indien de complexiteit van de zaak dit rechtvaardigt, met maximaal twee maanden worden verlengd, mits de betrokkene daarvan binnen de oorspronkelijke termijn op de hoogte wordt gesteld.[17]

Indien de betrokkene zich niet kan verenigen met de uitkomst, kan hij de kwestie voorleggen aan het bestuur of de directie van de financiële instelling.^[18] Blijft een oplossing uit, dan kan de zaak worden voorgelegd aan het Klachteninstituut Financiële Dienstverlening, de Stichting Klachten en Geschillen Zorgverzekeringen, de Autoriteit Persoonsgegevens of de civiele rechter.

Rekening openen bij Nederlandse en buitenlandse banken

EVR- registratie en banken binnen de EU

Het IFI is een nationaal registratiesysteem dat uitsluitend geldt voor in Nederland aangesloten financiële instellingen.[19] Banken die buiten Nederland zijn gevestigd, ook binnen de Europese Unie, zijn in beginsel niet aangesloten. Dit betekent dat een (rechts)persoon die in Nederland in het EVR is geregistreerd, in theorie alsnog een betaalrekening kan openen bij een bank in een andere EU-lidstaat.

Recht op een basisbetaalrekening

Het recht op een basisbetaalrekening is geregeld in de Wet op het financieel toezicht (Wft). Op grond van artikel 4:71f Wft is iedere bank die in Nederland betaalrekeningen aan consumenten aanbiedt verplicht een basisbetaalrekening aan te bieden aan eenieder die rechtmatig in de Europese Unie verblijft. Een bank moet een aanvraag weigeren indien zij bij het openen van de rekening niet kan voldoen aan de verplichtingen uit de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).[20] Een bank mag een basisbetaalrekening weigeren als de aanvrager:

• niet kan aantonen een werkelijk belang te hebben bij het openen van een basisbetaalrekening in Nederland;
• bij een in Nederland gevestigde bank een aanvraag voor een basisbetaalrekening heeft lopen of reeds een betaalrekening aanhoudt bij een andere in Nederland gevestigde bank (tenzij dat die betaalrekening zal worden opgeheven);
• minder dan acht jaar geleden onherroepelijk is veroordeeld voor een misdrijf, zoals valsheid in geschriften, het bewust geven van onjuiste gegevens, verduistering, fraude in faillissement, of voor witwassen;
• een basisbetaalrekening had die op grond minder dan twee jaar geleden is beëindigd omdat de aanvrager er bewust strafbare feiten mee heeft gepleegd; of
• weigert om desgevraagd de in het derde lid bedoelde verklaring te ondertekenen.[21]

De bank mag vooraf bij andere banken nagaan of de aanvrager al een betaalrekening heeft en mag de aanvrager vragen een verklaring te ondertekenen dat hij elders geen rekening heeft of heeft aangevraagd. [22] Een registratie in het EVR vormt geen zelfstandige wettelijke weigeringsgrond, maar zal in de praktijk zwaar meewegen bij de beoordeling of aan de Wwft-verplichtingen kan worden voldaan.

Convenant Basisbankrekening

Voor personen die geen toegang (meer) hebben tot een reguliere betaalrekening, zoals EVR-geregistreerden, biedt het Convenant inzake primaire betaaldiensten (het Convenant Basisbankrekening) een aanvullend vangnet.[23] Met de invoering van Richtlijn 2014/92/EU werd de basisbetaalrekening weliswaar op EU-niveau wettelijk verankerd, maar het Convenant behoudt maatschappelijke relevantie doordat het een tweede kans biedt aan personen die anders buiten de boot zouden vallen.

Het Convenant voorziet in een particulier betaalrekeningpakket dat in elk geval omvat:

• het aanhouden en gebruiken van een betaalrekening;
• toegang via internetbankieren en/of mobiele bankapp;
• het kunnen ontvangen van inkomende overboekingen;
• het beschikken over een betaalpas;
• het raadplegen en opslaan van afschriften digitaal; en
• de mogelijkheid om incassomachtigingen te verlenen.

Aan het openen en aanhouden van een basisbankrekening zijn voorwaarden verbonden. De aanvrager mag onder meer geen andere betaalrekening in Nederland hebben, dient de bank volledig te informeren en moet toestemming verlenen om informatie in te winnen bij andere banken. [24] Daarnaast gelden verplichtingen zoals het voorkomen van ongeoorloofde roodstand, naleving van de toepasselijke bankvoorwaarden en het tijdig doorgeven van adres- en contactwijzigingen; bij begeleiding door een hulpverleningsinstantie geldt bovendien dat de aanvrager voor bepaalde bankzaken door een medewerker van die instantie wordt vergezeld.

De bank kan de aanvraag van een basisbankrekening weigeren als de aanvrager betrokken is (geweest) bij oplichting, misbruik van vertrouwen bedrieglijke bankbreuk, valsheid in geschrifte, witwassen van geld en/of fraude.[25] Dit zijn vaak mensen die in het IVR of EVR staan.

Uitzondering op deze regel is dat de vraag wordt gedaan via een erkende hulpverleningsinstantie.[26] In dat geval dient de betaalrekening door de hulpverleningsinstantie te worden beheerd.[27]

De bank kan de basisbankrekening ook wegens zwaarwegende redenen, zoals misbruik, beëindigen. In beginsel geldt een opzegtermijn van 30 dagen om de rekeninghouder in staat te stellen een alternatieve bank te vinden, tenzij sprake is van dermate ernstige feiten of van grove nalatigheid of opzet dat onmiddellijke beëindiging gerechtvaardigd is. [28] Misbruik van een op grond van het Convenant geopende rekening leidt tot beëindiging, waarna de betrokkene geen aanspraak meer kan maken op een nieuwe rekening onder hetzelfde Convenant. [29]

Bijzondere zorgplicht van banken

Hoewel banken in beginsel contractsvrijheid genieten, brengt hun bijzondere maatschappelijke positie een vergaande zorgplicht met zich. Zonder bankrekening is deelname aan het economische en sociale verkeer nauwelijks mogelijk. De Europese wetgever heeft dit belang expliciet onderkend bij de implementatie van Richtlijn 2014/92/EU. [30]

Voor consumenten is de toegang tot een basisbetaalrekening wettelijk gewaarborgd. Voor rechtspersonen geldt deze verplichting niet rechtstreeks. Dit betekent echter niet dat de contractsvrijheid van banken ten aanzien van rechtspersonen onbegrensd is. In de rechtspraak is aanvaard dat banken onder bijzondere omstandigheden gehouden kunnen zijn een contractuele relatie aan te gaan, mede gelet op hun maatschappelijke functie en zorgplicht. [31]

Conclusie

IVR- en EVR-registraties vormen een essentieel, maar ingrijpend instrument binnen het integriteitsbeleid van de financiële sector. Aan registratie worden strenge eisen gesteld: zij vereist een concrete feitelijke grondslag en naleving van de beginselen van noodzakelijkheid en proportionaliteit op grond van de AVG, het PIFI en de geldende jurisprudentie.

Daartegenover staan verstrekkende gevolgen voor betrokkenen, zoals langdurige registratie, weigering van bancaire diensten en het risico van maatschappelijke uitsluiting. Dit maakt een zorgvuldig gemotiveerde besluitvorming en periodieke herbeoordeling onmisbaar. De beschikbare rechtsbeschermingsmechanismen, evenals de wettelijke basisbetaalrekening en het Convenant Basisbankrekening, fungeren daarbij als noodzakelijke waarborgen voor minimale toegang tot het betalingsverkeer. In dit spanningsveld komt de bijzondere zorgplicht van banken scherp naar voren: bij iedere registratiebeslissing dient het belang van integriteitsbescherming zorgvuldig te worden afgewogen tegen het fundamentele belang van financiële inclusie.

[1] Art. 3.1.1 & art. 3.1.3 PIFI.

[2] Art. 1.3 PIFI.

[3] Art. 2 PIFI.

[4] Hof Leeuwarden 7 november 2023, ECLI:NL:GHARL:2023:9394, r.o. 3.19.

[5] Gerechtshof Amsterdam 13 juni 2017, ECLI:NL:GHAMS:2017:2284.

[6] Art. 5.2.1 PIFI.

[7] Rechtbank Rotterdam 25 januari 2021, ECLI:NL:RBROT:2021:1518, r.o. 4.6.

[8] Art. 4.3.3 & 5.3.2 PIFI.

[9] Art. 4.3.3 & 5.3.2 PIFI.

[10] Art. 4.3.1 & 5.3.1 PIFI.

[11] Art 9.3.1 PIFI.

[12] Art 9.3.2 PIFI.

[13] Art 9.3.3 PIFI.

[14] Art. 9.3.4 PIFI.

[15] Art. 9.5.1 PIFI.

[16] Rechtbank Rotterdam 25 januari 2021, ECLI:NL:RBROT:2021:1518, r.o. 4.10 & 4.11.

[17] Art. 9.5.2 PIFI.

[18] Art. 10.1 PIFI.

[19] Art 1.2 PIFI.

[20] Art. 4:71f lid 1 Wft.

[21] Art. 4:71g lid 2 Wft.

[22] Art. 4:71g lid 3 Wft.

[23] Het Convenant verwijst naar het Convenant inzake primaire betaaldiensten. De betaalvereniging Nederland is de beheerder van dit Convenant.

[24] Art. 3 Convenant.

[25] Art. 4.1 Convenant.

[26] Art. 4.1 Convenant.

[27] Art 4.1. Convenant.

[28] Art. 12 Uitvoeringsinstructie convenant.

[29] Art. 12 Uitvoeringsinstructie Convenant.

[30] Kamerstukken II, 34480, nr. 3, p. 2.

[31] Hoge Raad 5 november 2021, r.o. 3.2.

In de dynamische wereld van financiële technologieën (FinTech) zijn digitale betalingsdiensten (Digital Payment Services) een dagelijkse verschijning geworden. Denk aan het online betalen via iDeal, Tikkie of PayPal. Deze diensten, variërend van digitale portemonnees (digital wallets) tot hele online betaalplatforms, hebben de manier waarop mensen geld beheren en betalingen doen ingrijpend veranderd. Hoewel dit het online betalen zelf makkelijker maakt, is het juridisch gezien eigenlijk alleen maar ingewikkelder geworden.

In deze blog gaan we dieper in op het juridische raamwerk achter deze digitale betalingsdiensten. Wat zijn digitale betalingsdiensten? Hoe kun je de verschillende instellingen van elkaar onderscheiden? En hoe scherp is het financieel toezicht hierop?

De betaalketen

Om een beter idee te krijgen bij de verschillende betalingsdiensten die er zijn, is het handig om eerst een overzicht te krijgen van de betaalketen. Hieronder wordt een doorsnee SEPA-betaling[1] weergegeven:

• Stap 1: De betaling begint met de initiatie. Hiervoor heeft de betaler een betaalinstrument nodig. Dit kan vrijwel alles zijn waarmee je een betaalopdracht kunt initiëren, zoals een mobiel bankieren app of een betaalpas. In de betaalopdracht zelf staan alle relevante gegevens, zoals het bedrag en de bankrekening van de begunstigde.
  
  
• Stap 1a: Deze eerste stap is ook meteen waar veel FinTech bedrijven actief zijn. Bedrijven zoals iDeal en Payconiq maken het heel makkelijk om betaalopdrachten te initiëren. Zo wordt er bijvoorbeeld automatisch het juiste bedrag en bankrekening van de begunstigde ingevuld bij het afrekenen op een webshop. Het verzenden van de betaalopdracht wordt op deze manier steeds makkelijker gemaakt.
  
  
• Stap 2: De betaalopdracht komt vervolgens binnen bij de betaaldienstverlener van de betaler. Dit is vaak de bank waar de betaler zijn betaalrekening houdt. Deze betaaldienstverlener voert vervolgens een aantal controles uit. Zo wordt er bijvoorbeeld gecheckt of de betaalopdracht ook alle nodige gegevens bevat en of er wel genoeg geld op de rekening staat. Als alle controles geslaagd zijn, wordt het bedrag van de betaalrekening van de betaler in mindering gebracht.
  
  
• Stap 3: Betaaldienstverleners van zowel de betaler als de ontvanger zijn aangesloten bij een zogenaamde afwikkelsysteem. Dit zijn systemen die betalingstransacties tussen betaaldienstverleners (vaak banken) afwikkelen. Het afwikkelsysteem wordt beheerd door een onafhankelijke organisatie waar de banken zelf, op hun beurt, een rekening houden. Deze organisatie heet een ‘afwikkelonderneming’ (Payment Processing Service Providers), zoals VISA of Mastercard. Alle verschillende transacties komen hier binnen en worden met elkaar afgewikkeld (verrekend). De betaaldienstverlener van de betaler stuurt dus, na zijn eigen controles te hebben gedaan, een bericht naar een afwikkelonderneming, die vervolgens in het systeem doorvoert dat er een betaling van de ene betaaldienstverlener naar de andere gaat.
  
  
• Stap 4: De betaaldienstverlener van de ontvanger krijgt vervolgens een bericht van de afwikkelonderneming, met daarin de gegevens van de betaling die is gedaan. Deze zal dan, op basis van de gegevens die hij van de afwikkelonderneming heeft ontvangen, geld op de betaalrekening van de ontvanger bijschrijven.

Wat zijn Digitale betalingsdiensten?

Digitale betalingsdiensten (Digital Payment Services) is eigenlijk een verzamelwoord voor betaling gerelateerde diensten die een bedrijf (online/digitaal) zou kunnen aanbieden, zoals online betalingen en een digitale portemonnee (digital wallet). Voorheen werden veel dan deze diensten door een bank geleverd, maar door de opkomst van ‘open banking’ zijn deze diensten uitgesplitst en kunnen ze gemakkelijker door (derde) FinTech bedrijven worden geleverd. Een “betalingsdienst” (Payment Service) is juridisch gedefinieerd in de Richtlijn Betalingsdiensten EU/2015/2366 (Payment Services Directive 2), ofwel ‘PSD2’.[2] Hierin wordt ook duidelijk gemaakt welke verschillende betalingsdiensten er kunnen zijn. Hieronder valt:

• Beheren van een betaalrekening: Het beheren van een betaalrekening wordt over het algemeen wordt geassocieerd met een traditionele bank, maar met de opkomst van ‘open banking’ en nieuwe FinTech bedrijven zoals Monese hoeft dat niet langer zo te zijn. FinTech bedrijven zijn constant opzoek naar manieren om het beheren van betaalrekeningen moderner te maken.
  
  
• Uitvoeren van betalingstransacties op een betaalrekening: hierbij gaat het om het overmaken van geld op een betaalrekening. Dit gaat dus niet om het initiëren van de betaalopdracht, maar de daadwerkelijke uitvoering daarvan. Ook dit soort handelingen worden geassocieerd met de traditionele bank.
  
  
• Rekeninginformatiediensten: dit zijn diensten die enkel informatie geven over de onderliggende rekening. Bijvoorbeeld CashFlow, een product van Inverse die zich richt op het bieden van geautomatiseerde financiële planning en cashflowbeheer. Het maakt gebruik van rekeninginformatie om inzicht te bieden in de financiële situatie van ondernemingen en particulieren.
  
  
• Het opnemen en storten van contanten: om cash geld op een betaalrekening te kunnen zetten zal men naar een fysieke locatie moeten gaan. FinTech bedrijven zoals Monese sluiten daarom contracten af met lokale kantoren die het geld voor hen ontvangen, waardoor ze op een moderne en kostefficiënte manier de diensten aanbieden van traditionele banken.
  
  
• Initiatie van (internet)betalingen: denk aan iDeal of Payconiq (nu allebei onderdeel van de European Payments Initiative), die ervoor zorgen dat consumenten in (web)shops makkelijk kunt betalen. De bankrekening zelf wordt niet aangehouden bij iDeal of Payconiq. Deze bedrijven werken alleen als tussenpersoon en initiëren de betaalopdracht, zoals hierboven weergegeven in Stap (1a). Uiteraard kun je ook zelf de betalingsopdracht initiëren door een formulier in te vullen bij het (online) bankieren, maar door dit soort FinTech bedrijven wordt de initiatie een stuk sneller en gemakkelijker gemaakt.
  
  
• Uitgifte van betaalinstrumenten: waar de betaalinstrument voorheen met name de betaalpas was, is het tegenwoordig steeds waker een app of digitale wallet. Deze apps en wallets zijn betaalinstrumenten die door bedrijven als Payconiq, SumUp en Tikkie worden uitgegeven.
  
  
• Acceptatie van betalingstransacties: met name bij webshops is het belangrijk om betalingstransacties gemakkelijk te kunnen accepteren en te verwerken, zodat soepel een geldovermaking naar de begunstigde ontstaat. Als je op een webshop dus bijvoorbeeld met Payconiq kunt betalen, dan levert Payconiq de dienst van acceptatie en verwerking van de betalingstransactie voor de webshop.
  
  
• Geldtransfers: dit is een betaaldienst waarmee je geld rechtstreeks over kunt maken aan een begunstigde, denk hierbij aan bedrijven zoals MoneyGram en Western Union. Vaak wordt dit gebruikt om geld over te maken naar iemand waarbij een gewone bankoverschrijving niet makkelijk gaat. Normaal gesproken worden geldtransfers daarom gebruikt om geld over te maken naar een begunstigde in het buitenland. Dit kan bijvoorbeeld zijn omdat er tussen de banken een lange verwerkingstijd is die niet kan worden afgewacht of omdat de begunstigde helemaal geen eigen bankrekening heeft. Bij geldtransfers wordt er ook geen betaalrekening voor je geopend. De betaalinstelling ontvangt alleen het geld (via overschrijving of contant) en geeft deze door aan de begunstigde (via overschrijving of contant op haar kantoor in het land van de begunstigde).
  
  

Wat is Open banking?

Open banking is een concept dat draait om het delen van financiële gegevens van bankrekeningen met externe financiële dienstverleners via API's (Application Programming Interfaces). Dit principe is ingebed in PSD2[3] en stelt consumenten in staat om derden toegang te geven tot hun financiële gegevens, met hun expliciete toestemming uiteraard.

Het idee achter open banking is om meer concurrentie en innovatie te stimuleren in de financiële sector door het eenvoudiger te maken voor nieuwe spelers om toegang te krijgen tot financiële gegevens. Hierdoor kunnen consumenten profiteren van een grotere keuze aan producten en diensten die beter aansluiten bij hun behoeften. Dit heeft geleid tot een explosie van nieuwe spelers op de markt, zoals Fintech bedrijven die betaalinitiatie- en rekeninginformatiediensten aanbieden. Hierdoor is het werk van één allesomvattende instelling (een bank) opgedeeld in kleinere diensten die nu door gespecialiseerde FinTech bedrijven kunnen worden uitgevoerd.

betaalinstelling of Kredietinstelling?

Op zowel nationaal als Europees niveau worden diverse termen gebruikt om betalingsdienstaanbieders (Payment Service Providers) te beschrijven, zoals elektronischgeldinstelling, betaalinstelling en kredietinstelling. Deze verschillende benamingen kunnen zelfs voor professionals verwarrend zijn, laat staan voor buitenstaanders van de financiële wereld. Tegelijkertijd is het begrijpen van deze definities wezenlijk voor het financieel toezicht, omdat ze bepalen welk toezichtregime van toepassing is op een bedrijf. Dit is van belang om de veiligheid van financiële transacties te waarborgen. Met name door de opkomst van FinTech bedrijven in de afgelopen jaren, die vaak verschillende financiële diensten aanbieden, wordt het steeds moeilijker om deze bedrijven in duidelijke categorieën te plaatsen. Het blijft dan ook een uitdaging voor wetgevers en toezichthouders om ervoor te zorgen dat de wetgeving up-to-date blijft en handhaving effectief wordt uitgevoerd. Deze blog zal ik niet in detail ingaan op de verschillen tussen deze termen, maar wel proberen om een schetsmatige samenvatting ervan te geven.

Laten we beginnen met de grootste speler - een bank, ook wel bekend als een kredietinstelling. Als het mogelijk is om geld te storten of op te nemen van en naar een betaalrekening waar je rente of krediet op kunt krijgen, dan hebben we te maken met een bank. Dit vormt de basis voor het uitvoeren van transacties. Zodra je een betaalrekening hebt, kun je daar geld op zetten, maar de transactie zelf bestaat uit verschillende componenten. Als een bedrijf slechts één van deze componenten wil uitvoeren, zonder daadwerkelijk geld voor je te bewaren op een bankrekening, dan hebben we te maken met een betaalinstelling. Dit zijn bedrijven die betaaldiensten aanbieden, zoals eerder beschreven. Denk hierbij aan diensten voor het verstrekken van rekeninginformatie en het initiëren van betalingen. Een betaalinstelling is dus niet altijd een bank, maar een bank is altijd een betaalinstelling. Een bankvergunning omvat namelijk een brede scala aan activiteiten. De vergunning van een betaalinstelling is daarentegen 'kleiner', omdat het minder omvat dan een bankvergunning. Het financieel toezicht op betaalinstellingen is daarom logischerwijs ook minder veeleisend. Het verschil is echter lastiger te maken tussen een bank en een elektronischgeldinstelling

De Elektronischgeldinstelling

Laten we nu eens kijken naar een andere speler: de elektronischgeldinstelling (ofwel ‘EGI’). Hoewel zowel een bank als een EGI voorheen vielen onder de definitie ‘kredietinstelling’ heeft de Europese wetgever de regels voor EGI’s herzien om de toetreding tot de markt te vergemakkelijken en innovatie te bevorderen. EGI’s zijn hierdoor een eigen soort instelling geworden. Dit type instelling geeft elektronisch geld uit in ruil voor giraal geld, wat vervolgens gebruikt kan worden voor betalingen aan verschillende partijen. In tegenstelling tot een bank, houdt een EGI het gestorte geld niet (langer) onder dezelfde strenge regulering als een bank. Er worden aan EGI’s, net als aan betaalinstellingen, geen liquiditeitseisen meer gesteld. Echter, ze moeten nog steeds voldoen aan specifieke regelgeving en hebben een vergunning nodig om deze diensten aan te bieden. De voorwaarden voor een dergelijke vergunning zijn ook grotendeels in lijn gebracht met die van een betaalinstelling. Een uitzondering op deze vergunningsvereiste zijn elektronische gelden met beperkte gebruiksmogelijkheden (zoals een cadeaubon om bij één bepaalde winkel te shoppen),[4] of als er jaarlijks niet meer dan 3 miljoen euro aan transacties worden verricht.[5]

Net als bij een betaalinstelling kunnen EGI’s verschillende diensten aanbieden, waaronder het verstrekken van betaalkaarten of het faciliteren van digitale betalingen via mobiele apps of online platforms. Deze instellingen spelen vaak een belangrijke rol bij het vergemakkelijken van elektronische transacties en kunnen aantrekkelijk zijn voor consumenten en bedrijven die op zoek zijn naar alternatieven voor traditionele bankrekeningen. Hier is vaak geen aparte vergunning voor nodig, omdat dit in de bestaande vergunning van de EGI zal zijn opgenomen.[6] Uiteindelijk is het streven van de Europese Commissie om op langere termijn de betaalinstelling en de EGI te integreren tot één instelling.

Wat is elektronisch geld? En is het veilig?

Een belangrijke vraag die hierdoor speelt is wat precies wordt verstaan onder ‘elektronisch geld’? Is het giraal geld dat bij de bank staat en online zichtbaar is, niet ook gewoon ‘elektronisch geld’? Wat is dan nog het verschil met een EGI?

De definitie van elektronisch geld is herzien in de Elektronischgeldrichtlijn EG/2009/110 (E-money Directive) en is nu vrij breed. Dit betekent dat zowel geld op een plastic kaart (zoals een cadeaubon) als elektronisch geld dat is opgeslagen op een centrale server, binnen de reikwijdte van de definitie valt. Hierdoor zou giraal geld wellicht ook kunnen worden gezien als elektronisch geld, maar hier wordt in de wet toch onderscheid tussen gemaakt. Het onderscheid zit met name in de volgorde en het gebruik ervan. Met contant of giraal geld kan het betaalmiddel elektronisch geld worden aangeschaft. Dit aangeschafte elektronisch geld heeft een beperkte functie, het kan eigenlijk alleen worden ingezet als betaalmiddel voor producten of diensten. Een EGI zal je dus geen rente of krediet kunnen geven, zoals een bank dat kan.[7] Het elektronisch geld zal daarom ook altijd vooruit betaald moeten worden (anders wordt het een krediet). Er kan zelfs geen sprake zijn van een automatische incasso achteraf. Je kunt het dus zien als een soort prepaid tegoed, dat je op veel plekken kunt uitgeven.

Een belangrijk verschil is echter dat, omdat geld dat is uitgegeven door een EGI niet wordt aangemerkt als giraal geld, het ook niet wordt gezien als een deposito. Daardoor valt een wallet met elektronisch geld bij een EGI niet onder het depositogarantiestelsel,  terwijl dat wel geldt voor bankrekeningen in de EU.

Het depositogarantiestelsel is een regeling die bedoeld is om het geld van rekeninghouders (tot een bepaald bedrag) te beschermen als een bank failliet gaat. Als een EGI failliet gaat, hebben rekeninghouders dus geen recht op compensatie uit het depositogarantiestelsel voor het geld dat zij hebben opgeslagen in hun wallets.

Wel is er een andere vorm van bescherming. Een EGI moeten het geld dat zij houden in deze wallets (ookwel de ‘float’ genoemd) namelijk veiligstellen. Dit doen zij door deze geldmiddelen niet te vermengen met de middelen van andere schuldeisers, zoals financiers van de EGI. In Nederland betekent dit praktisch dat het geld wordt gehouden op een bankrekening die op naam staat van een onafhankelijke stichting derdengelden.

EGI’s vallen momenteel ook buiten het resolutieregime dat is ingesteld om banken (en verzekeraars) te redden in geval van dreigend falen. Dit betekent dat er geen bail-outs zullen zijn voor EGI's. De redenering hierachter is dat banken een essentiële functie vervullen in de stabiliteit van de economie, terwijl EGI's dat niet doen.

Ze zijn niet zo nauw verweven met de economie dat ze onmisbaar zijn. Toch zijn bankrekeningen essentieel voor tal van economische activiteiten in onze samenleving. Zelfs een EGI, of de stichting derdengelden ervan, heeft namelijk een bankrekening nodig om haar geld veilig te stellen.

Opkomende veranderingen

Hoewel er in de afgelopen jaren veel nieuwe wet en regelgeving is gekomen op het gebied van (digitale) betalingsdiensten, lijkt er nog geen einde in zicht. Er is veel harmonisatie (en simplificatie) nodig om ervoor te zorgen dat de wetgeving net zo modern en helder te maken als de FinTech die zij reguleert.

De Europese Commissie heeft in 2023 een voorstel gedaan om de PSD2, de Elektronischgeldrichtlijn en de Finaliteitsrichtlijn 98/26/EC (Settlement Finality Directive) samen te laten komen in één nieuw richtlijn, de ‘Richtlijn betreffende betalingsdiensten en elektronische-gelddiensten in de interne markt’ ofwel PSD3.[8] Het voorstel van de Commissie richt zich op het aanbieden van betalingsdiensten en elektronischgelddiensten, met specifieke aandacht voor vergunningverlening en toezicht op betalingsinstellingen. Het komt na een grondige evaluatie van PSD2 in 2022, waaruit bleek dat aanpassingen nodig waren om de effectiviteit van de richtlijn te verbeteren.

Dit initiatief sluit aan bij bredere EU-strategieën, zoals de EU-strategie voor het digitale geldwezen, die gericht zijn op het bevorderen van digitale innovatie in de financiële sector en het versterken van de interne markt voor financiële diensten. Het voorstel wordt ook ondersteund door andere relevante wetgeving, zoals de Single Euro Payments Area (SEPA) -verordening en de algemene verordening gegevensbescherming (AVG). Het voorstel voor herziening van PSD2 zal naar verwachting discussie genereren binnen de EU-instellingen en belanghebbenden in de financiële sector.

Conclusie

Het aanbieden van digitale betalingsdiensten is een opwindend maar uitdagend terrein voor FinTech bedrijven. Naast het ontwikkelen van innovatieve technologieën en het aantrekken van klanten, moeten deze bedrijven ook voldoen aan een complex web van wet- en regelgeving. Door nauw samen te werken met juridische experts en proactief te blijven bij het monitoren van veranderende regelgeving, kunnen FinTech bedrijven succesvol opereren binnen dit juridische landschap en blijven zij bijdragen aan de groei van de digitale economie.

[1] SEPA staat voor ‘Single Euro Payments Area’ en is een Europees project dat veel wet en regelgeving tot leven heeft gebracht om betalingen tussen banken in Europa te harmoniseren en gemakkelijk te maken.

[2] Richtlijn EU/2015/2366. Zie voor meer informatie over PSD2 https://www.dnb.nl/voor-de-sector/open-boek-toezicht/wet-regelgeving/psd2/

[3] Art. 35 en 36 PSD2.

[4] Art. 1:5 Wft.

[5] Art. 1a Vrijstellingsregeling Wft.

[6] Art. 2:3a lid 2 Wft.

[7] Art. 4:31 Wft.

[8] https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX:52023PC0366

Als ondernemer of kleine bedrijfseigenaar is het begrijpen van het ondernemingsrecht van essentieel belang om je bedrijf op een solide juridische basis te vestigen en te laten groeien. Hoewel het recht soms intimiderend kan lijken, hoeft het dat niet te zijn. In deze kennisblog zullen we de basisprincipes van het ondernemingsrecht verkennen en enkele belangrijke overwegingen bespreken waarmee je rekening moet houden.

1. Bedrijfsvormen

Een van de eerste beslissingen die je moet nemen bij het starten van een bedrijf, is de keuze van de juiste bedrijfsvorm. De meest voorkomende bedrijfsvormen voor kleine bedrijven zijn eenmanszaken, vennootschappen met beperkte aansprakelijkheid (BV's) en naamloze vennootschappen (NV's). Elke bedrijfsvorm heeft zijn eigen juridische implicaties met betrekking tot aansprakelijkheid, belastingen en operationele verantwoordelijkheden. Zorg ervoor dat je de juiste keuze maakt op basis van je zakelijke doelen en behoeften

Eenmanszaak

Een eenmanszaak is de eenvoudigste vorm van bedrijfsstructuur en wordt vaak gekozen door solo-ondernemers. Hierbij ben je persoonlijk verantwoordelijk voor alle zakelijke schulden en juridische aansprakelijkheid. Dit betekent dat je persoonlijke bezittingen in gevaar kunnen komen bij zakelijke problemen. Echter, het biedt ook eenvoudige administratie en fiscale voordelen.

Vennootschap met beperkte aansprakelijkheid (BV)

Een BV is een afzonderlijke juridische entiteit van de eigenaar(s). Hierdoor ben je meestal niet persoonlijk aansprakelijk voor de schulden van het bedrijf. Het oprichten van een BV kan echter administratieve en financiële verplichtingen met zich meebrengen. Het is belangrijk om de voor- en nadelen zorgvuldig af te wegen en professioneel advies in te winnen bij de keuze van de bedrijfsvorm.

Naamloze vennootschap (NV)

Een NV is geschikt voor grotere ondernemingen en kan openbaar worden verhandeld op de beurs. Dit brengt complexere regelgeving en rapportageverplichtingen met zich mee dan een BV. Het aantrekken van investeerders en het aantrekken van kapitaal is echter eenvoudiger.

2. Contracten

Contracten vormen de ruggengraat van zakelijke transacties. Ze dekken diverse zakelijke activiteiten, zoals inkoop, samenwerkingen, personeelszaken en intellectueel eigendom. Goed opgestelde contracten voorkomen misverstanden, geschillen en beschermen de belangen van het bedrijf. Het is daarom goed om de basisprincipes van het contractenrecht te kennen. Hier zijn enkele tips:

• Duidelijke taal: Gebruik begrijpelijke taal in je contracten om misverstanden te voorkomen. Vermijd juridisch jargon als dat niet nodig is. Neem tekst uit een format van het internet niet zomaar over. Soms zit hier namelijk oud of verwarrend taalgebruik in.
• Vermeld alle voorwaarden: Zorg ervoor dat alle belangrijke voorwaarden worden vermeld, bijvoorbeeld de geldende termijnen, garanties en wat te doen als het mis gaat. Wees specifiek.
• Context: Geef aan het begin van het contract ook een korte beschrijving van de context. Dit zal later kunnen helpen bij de interpretatie van het contract.
• Wettelijke vereisten: Bepaalde contracten hebben wettelijke vereisten waar ze aan moeten voldoen. Denk aan geldleningen, vastgoedcontracten, huurcontracten of bijvoorbeeld aandeelhoudersovereenkomsten.
• Consulteer een advocaat: Bij complexe contracten is het verstandig om een advocaat te raadplegen om ervoor te zorgen dat je belangen goed worden beschermd. 

3. Financiering

Het ondernemingsrecht heeft ook betrekking op de financiering van een bedrijf, inclusief de uitgifte van aandelen en het aantrekken van investeerders. Als ondernemer is het goed om op de hoogte te zijn van de verschillende financieringsmogelijkheden en de juridische vereisten voor het aantrekken van kapitaal, inclusief de bescherming van de rechten van investeerders en de naleving van de financiële regelgeving. Hier zijn enkele tips:

• Diversifieer financieringsbronnen: Vertrouw niet alleen op één financieringsbron. Overweeg verschillende opties, zoals leningen, durfkapitaal, crowdfunding of angel investors, om je financieringsmix te diversifiëren
• Due diligence: Voer grondige due diligence uit bij het aantrekken van investeerders en wees kritisch bij het selecteren van potentiële partners. Lees meer over het doen van grondige due diligence in deze kennisblog. 
• Werk met juridisch adviseurs: Raadpleeg juridische professionals die ervaring hebben met financiële transacties en ondernemingsrecht. Zij kunnen je helpen bij het opstellen van waterdichte overeenkomsten en het waarborgen van naleving van regelgeving.

4. Aansprakelijkheid

Aansprakelijkheid is een belangrijk aandachtspunt voor ondernemers. De juiste bedrijfsvorm kan je persoonlijke aansprakelijkheid beperken, maar het is belangrijk om te begrijpen hoe dit werkt. Als je bijvoorbeeld een eenmanszaak hebt, ben je persoonlijk aansprakelijk voor de schulden van je bedrijf. Aan de andere kant, als je een BV of NV hebt, is je persoonlijke aansprakelijkheid meestal beperkt tot je investering in het bedrijf. Het beheersen van aansprakelijkheid is van cruciaal belang:

• Bedrijfsvorm: Ondernemers met een eenmanszaak kunnen persoonlijk verantwoordelijk worden gehouden voor zakelijke schulden. Overweeg het oprichten van een BV of NV om je persoonlijke bezittingen te beschermen. Toch ben je als bestuurder van een BV of NV ook in sommige gevallen persoonlijk aansprakelijk, bijvoorbeeld wegens onbehoorlijk bestuur.
• Bedrijfsaansprakelijkheidsverzekering: Het afsluiten van bedrijfsaansprakelijkheidsverzekering kan je beschermen tegen aansprakelijkheidsclaims. Vergeet daarbij ook niet een rechtsbijstandsverzekering af te sluiten, de juridische kosten kunnen in zakelijke geschillen namelijk hoog oplopen.
• Algemene voorwaarden: Goede algemene voorwaarden kunnen de aansprakelijkheid van een ondernemer beschermen door clausules te bevatten die de aansprakelijkheid beperken. Door naleving van wet- en regelgeving te waarborgen en duidelijke communicatie met klanten mogelijk te maken, helpen goed opgestelde algemene voorwaarden potentiële aansprakelijkheidsproblemen te voorkomen. Het is echter essentieel dat deze voorwaarden juridisch geldig en afdwingbaar zijn om effectief te zijn.

5. Intellectueel eigendom

Intellectueel eigendom (IE) is een belangrijk aspect van het ondernemingsrecht dat waardevolle ideeën, uitvindingen, ontwerpen, merken en artistieke werken beschermt. Hierdoor kan de marktpositie worden versterkt, investeringen worden aangetrokken en concurrentievoordeel worden behaald. Ondernemers moeten op de hoogte zijn van IE-bescherming, zoals octrooien, merken, auteursrechten en modelrechten, en de toepasselijke wet- en regelgeving om bedrijfsmiddelen en ideeën te beschermen en rekening te houden met andermans IE-rechten. Vanwege de complexiteit van IE-wetgeving is het aan te raden juridisch advies in te winnen bij een IE-advocaat of specialist die helpt bij identificatie, registratie, bescherming en het navigeren door conflicten en geschillen. Intellectueel eigendom kan de levensader van je bedrijf zijn:

• Auteursrecht: Begrijp hoe auteursrechten werken om je creatieve werken te beschermen. Het registreren van auteursrechten kan je extra bescherming bieden.
• Handelsmerken: Registreer je bedrijfsnaam, logo en andere merkidentificatie om te voorkomen dat anderen je merk zonder toestemming gebruiken.
• Octrooien: Octrooien beschermen uitvindingen en innovaties. Ze geven je het exclusieve recht om een bepaalde uitvinding voor een bepaalde periode te maken, verkopen of gebruiken. Begin vroeg met het nadenken over octrooien en houd innovaties geheim totdat je een octrooiaanvraag hebt ingediend. 
• Modelrechten: Modelrechten beschermen het uiterlijk en de vorm van een product. Als jouw bedrijf bijvoorbeeld designproducten maakt, kan het beschermen van het model ervan belangrijk zijn. Het registreren van modelrechten kan voorkomen dat anderen je ontwerpen kopiëren en op de markt brengen.

6. Compliance

Tot slot is naleving van de wet- en regelgeving van cruciaal belang. Dit omvat belastingwetten, arbeidswetten, milieuregels en andere wettelijke vereisten die van toepassing kunnen zijn op je branche. Zorg ervoor dat je op de hoogte blijft van de laatste ontwikkelingen en dat je bedrijf te allen tijde aan de wettelijke vereisten voldoet.

• Belastingen: Blijf op de hoogte van belastingwetten en -verplichtingen. Overweeg het raadplegen van een fiscaal adviseur om te zorgen voor naleving en optimalisatie van je belastingpositie.
• Arbeidswetten: Zorg ervoor dat je voldoet aan arbeidswetten en voorschriften, met inbegrip van minimumloon, arbeidstijden en arbeidsvoorwaarden.
• Milieuvoorschriften: Als je bedrijf impact heeft op het milieu, moet je mogelijk voldoen aan milieuvoorschriften en vergunningen aanvragen.

Het begrijpen van het ondernemingsrecht is een doorlopend proces. Profiteer van juridisch advies wanneer dat nodig is en blijf op de hoogte van wetswijzigingen die van invloed kunnen zijn op je bedrijf. Door deze basisprincipes te begrijpen en toe te passen, kun je een sterke juridische basis voor je bedrijf leggen en met vertrouwen de uitdagingen van ondernemerschap aangaan.

Contractonderhandelingen zijn van cruciaal belang bij het opstellen van een overeenkomst tussen twee partijen. Een overeenkomst moet de wederzijdse verplichtingen en rechten van de partijen duidelijk uiteenzetten en moet de basis vormen voor de samenwerking. Hieronder worden enkele redenen beschreven waarom contractonderhandelingen belangrijk zijn en welke rol een advocaat hierin speelt.

• Duidelijkheid en precisie: Contractonderhandelingen stellen beide partijen in staat om de details van de overeenkomst uit te werken en te verduidelijken, waardoor er minder ruimte is voor interpretatiegeschillen. Dit vereist echter duidelijke en precieze formuleringen, wat de rol van de advocaat benadrukt. Een ervaren advocaat weet namelijk welke formulering gebruikt zal moeten worden om interpretatiegeschillen achteraf te voorkomen ("the devil is in de details").
  
  
• Bescherming van belangen: De advocaat vertegenwoordigt de belangen van zijn cliënt en zorgt ervoor dat de overeenkomst gunstig is voor zijn cliënt. Door de overeenkomst te onderhandelen en op te stellen, zorgt de advocaat ervoor dat de rechten en verplichtingen van zijn cliënt worden beschermd. Veel van deze belangen worden namelijk makkelijk over het hoofd gezien, zoals het een goede risicoverdeling, exit-strategieën, toekomstige veranderingen en de vertrouwelijkheid. 
  
  
• Risicobeheersing: Contractonderhandelingen zijn ook een middel om risico's te beperken en onvoorziene omstandigheden aan te pakken. De advocaat helpt zijn cliënt bij het identificeren van mogelijke risico's en stelt clausules voor om deze te beperken of te beheren. Dit is vaak business-specifiek en casus afhankelijk. Het vergt ook enige tactisch inzicht om dergelijke bewoordingen in de overeenkomst te krijgen, zonder dat de wederpartij er over struikelt.
  
  
• Onderhandelingsstrategieën: De advocaat speelt een belangrijke rol bij het bepalen van de onderhandelingsstrategieën en bij het voorbereiden van tegenargumenten en tegenbiedingen. Geef niet iets weg zonder er iets voor terug te krijgen, maar stel de uiteindelijke tevredenheid van partijen altijd voorop. Hiervoor is het van belang dat u goed weet te verwoorden wat u wilt en waarom dit redelijk is voor iedereen. Dit draagt bij aan een effectievere onderhandeling, waardoor beide partijen meer kans hebben om tot een gepaste overeenkomst te komen.
  
  
• Juridische compliance: De advocaat zorgt er tot slot voor dat de overeenkomst in overeenstemming is met de relevante wet- en regelgeving, waaronder het contractenrecht en andere regelgeving die van toepassing is op het onderwerp van de overeenkomst. Zo weet u zeker dat de overeenkomst rechtsgeldig en voldoende afdwingbaar is.
  
  

Kortom, contractonderhandelingen zijn van belang om ervoor te zorgen dat een overeenkomst duidelijk, precies en wederzijds gunstig. De advocaat speelt hierbij een belangrijke rol door zijn cliënt te begeleiden, zijn belangen te beschermen, risico's te beheersen en juridische compliance te waarborgen.

Het pad naar een succesvolle bedrijfsovername is bezaaid met kansen en risico's. Een van de belangrijkste stappen in dit proces is het uitvoeren van een grondig due diligence-onderzoek. Het uitvoeren van een due diligence-onderzoek bij een bedrijfsovername is essentieel om risico's te identificeren en de waarde van het bedrijf vast te stellen. Om dit te doen, moet een ervaren advocaat of due diligence-team een gestructureerde aanpak volgen en een grondige analyse uitvoeren van de verschillende aspecten van het bedrijf, waaronder: de financiële gegevens, contracten, eigendommen, werknemers en compliance.

Deze juridische kennisblog biedt waardevolle introductie met inzichten en tips voor ondernemers om te begrijpen hoe ze dit onderzoek moeten aanpakken om potentiële juridische problemen te minimaliseren en zakelijk succes te behalen

1. Voorbereiding: Begin het due diligence-proces vroeg in de overnameonderhandelingen om tijdige beslissingen mogelijk te maken. Stel een multidisciplinair team samen met juridische, financiële en operationele expertise om het onderzoek uit te voeren. Bespreek ook de specifieke doelen en de reikwijdte van het due diligence-onderzoek. Dit helpt om de focus te leggen op de meest relevante aspecten van de overname en voorkomt dat er belangrijke zaken over het hoofd worden gezien.
   
   
2. Financiële gegevens: de financiële gegevens van het bedrijf worden geanalyseerd om de winstgevendheid, solvabiliteit en liquiditeit van het bedrijf te beoordelen. Dit kan onder meer het onderzoeken van de jaarrekeningen, belastingaangiften en andere financiële rapporten omvatten. Het is belangrijk om te kijken naar eventuele fiscale verplichtingen, zoals openstaande belastingen of boetes, die de waarde van het bedrijf kunnen beïnvloeden. Schakel een deskundige in om de waarde van het over te nemen bedrijf en de activa te beoordelen. Dit helpt om te bepalen of de vraagprijs redelijk is en om een solide basis te leggen voor onderhandelingen over de uiteindelijke overnameprijs.
   
   
3. Contracten: alle contracten van het bedrijf moeten worden geanalyseerd, zoals: dienstverleningsovereenkomsten, klantencontracten, leverancierscontracten, distributieovereenkomsten, onderhoudscontracten, arbeidsovereenkomsten en huur of lease-overeenkomsten. Dit kan helpen om risico's te identificeren die kunnen voortvloeien uit de overdracht van deze contracten aan een nieuwe eigenaar. Een goede relatie en eventuele nieuwe onderhandelingen met bestaande contractspartijen is van belang voor een soepele overdracht. Let op eventuele clausules met betrekking tot zeggenschapswijziging, vertrouwelijkheid, non-concurrentie en garanties om mogelijke beperkingen en verplichtingen te begrijpen.
   
   
4. Eigendommen: het is belangrijk om de eigendommen van het bedrijf te onderzoeken, zoals onroerend goed, intellectuele eigendom, materiële vaste activa en inventaris. Daarbij is het ook van belang om te controleren wie precies eigenaar is van deze activa (bijv. binnen een groepsstructuur) en of er eventuele verplichtingen rusten op deze activa, zoals een hypotheek of pandrecht.
   
   
5. Werknemers: de relaties met de werknemers van het bedrijf zullen moeten worden onderzocht, zoals de arbeidscontracten en arbeidsvoorwaarden. Het is belangrijk om eventuele risico's in kaart te brengen die kunnen voortvloeien uit het overnemen van deze werknemers, zoals claims van werknemers.
   
   
6. Compliance: het is belangrijk om de mate waarin het bedrijf voldoet aan de toepasselijke wetten en regels te onderzoeken, waaronder milieu-, arbeids-, privacy-, belasting- en mededingingswetgeving. Regelgeving is afhankelijk van het land en de sector waarin de onderneming opereert. Het niet naleven van deze regels kan resulteren in aanzienlijke boetes en schade aan de reputatie van het bedrijf. 
   
   
7. Juridische geschillen en claims: breng alle potentiële risico's en verplichtingen in kaart, zoals geschillen, onzekere contracten, aansprakelijkheden en lopende verplichtingen. Evalueer de impact van deze risico's op de overname en bepaal of er maatregelen nodig zijn om deze risico's te beheersen of in de koopprijs te verdisconteren.
   
   
8. Garanties en vrijwaringen: na het identificeren van risico's en verplichtingen, onderhandelt u met de verkoper over garanties en vrijwaringen om uzelf te beschermen tegen toekomstige claims en verliezen die voortvloeien uit deze risico's. Zorg ervoor dat deze garanties en vrijwaringen duidelijk worden vastgelegd in de overnameovereenkomst.

Grondig due diligence-onderzoek is een onmisbare stap in het bedrijfsovernameproces. Het helpt ondernemers om verborgen risico's te ontdekken en goed geïnformeerde beslissingen te nemen. Door de bovenstaande aspecten in acht te nemen kunt u een grondig due diligence-onderzoek uitvoeren bij een bedrijfsovername en bent u beter voorbereid om een weloverwogen beslissing te nemen over de overname. Vergeet niet dat het inschakelen van een ervaren advocaat en een multidisciplinair team van deskundigen van onschatbare waarde kan zijn bij het navigeren door het complexe proces van een bedrijfsovername.

Bedrijven in de moderne zakelijke wereld moeten zich voortdurend aanpassen en transformeren om relevant te blijven. Een van de meest krachtige strategische zetten van ondernemingen zijn bedrijfsreorganisaties en herstructureringen. Deze initiatieven zijn echter niet alleen zakelijke beslissingen; ze zijn doordrenkt van complexe juridische implicaties die aandacht en begrip vereisen. In deze kennisblog duiken we dieper in de juridische wereld van herstructureringen.

1. Fusies en Overnames: een complexe juridische dans

Fusies en overnames (M&A) behoren tot de meest voorkomende vormen van herstructurering. Bij een fusie komen twee afzonderlijke bedrijven samen om één nieuwe rechtspersoon te vormen, terwijl bij een overname één bedrijf de controle verwerft over een ander bedrijf. Deze termen worden echter in de media nogal eens door elkaar gehaald. Zie ook dit artikel over de 'redding' van Credit Suisse door UBS waar deze fusie een overname werd genoemd (door de Zwitserse overheid zelf nota bene).

Als we het hebben over M&A binnen één groep van ondernemingen, dan hebben we het eigenlijk over een herstructurering. De term herstructurering impliceert namelijk dat er binnen dezelfde onderneming(sgroep) wordt geschoven om een bepaald resultaat te bereiken. Het doel kan bijvoorbeeld zijn om efficiënter te werken of om voor te bereiden op een toekomstige transactie. De juridische aspecten hiervan zijn diepgaand en omvatten onder andere:

• Due Diligence: Voordat je een fusie of overname overweegt, is een grondig due diligence-onderzoek cruciaal. Dit gaat verder dan financiële analyse; het omvat het begrijpen van de juridische status van het doelbedrijf, inclusief contracten, rechtszaken en naleving van regelgeving. Zo zorg je ervoor dat je geen onaangename verrassingen tegenkomt. Dit proces identificeert mogelijke risico's en kan cruciaal zijn voor een succesvolle transactie. Lees ook deze kennisblog voor meer informatie over het uitvoeren van een grondige due diligence onderzoek.
• Overnameovereenkomsten: De kern van de herstructurering bestaat uit het opstellen van soms complexe en uitgebreide overnameovereenkomsten die de voorwaarden van de transactie en de verantwoordelijkheden van partijen regelen. Dit is een proces dat zal moeten worden geleid door een M&A advocaat die het overzicht houdt, u waarschuwt voor mogelijke risico's en ervoor zorgt dat er geen juridische zaken over het hoofd worden gezien.
• Mededingingsrecht: Mededingingswetgeving kan van toepassing zijn op de fusie of overname. Zorg ervoor dat je voldoet aan de antitrustregels en de goedkeuring krijgt van mededingingsautoriteiten om de concurrentie niet te beperken.

2. Herstructurering: tijden van uitdaging

Soms bevinden bedrijven zich in financiële crisis en moeten ze herstructureren om hun activiteiten voort te zetten. Dit kan faillissement door het sluiten van een overeenkomst tussen schuldeisers onderling. Om deze schuldeisers hieraan te kunnen binden is het echter wel nodig dat zij instemmen met de voorgestelde herstructurering van schulden. Lukt dat niet, dan het ook mogelijk een zogenaamde homolagie te verzoeken van een onderhands akkoord. Indien dit akkoord door de rechter wordt goedgekeurd zijn schuldeisers hieraan gebonden, ook als zij er niet mee instemmen.

In Nederland is dit een vrij nieuw proces, maar in het buitenland (bijv. Engeland) bestaat een dergelijke 'cramdown' van crediteuren al erg lang. Het idee hierachter is dat als de uitkomst van het akkoord in het voordeel is van een crediteur, deze crediteur in redelijkheid de herstructurering niet zou mogen tegenhouden. Door een rechter dit te laten beoordelen kan in deze situaties de onderneming worden gered, terwijl de crediteuren er ook beter vanaf komen. Dit zijn wel complexe processen met verschillende juridische aspecten:

• Faillissementswetgeving: Een grondige kennis van de faillissementswetgeving, zowel in het binnen- als buitenland, is essentieel. Hierbij moeten de rechten van schuldeisers, schuldsanering, en de verdeling van activa worden beheerd.
• Bescherming van schuldeisers en aandeelhouders: Het waarborgen van de rechten van schuldeisers en aandeelhouders tijdens herstructurering is een doorlopende thema. Het voorgestelde plan wordt namelijk vanuit het oogpunt van iedere schuldeisers anders gezien. Het is lastig met iedereen rekening te houden en dan zijn er vaak wel schuldeisers waarvan de rechten over het hoofd worden gezien. Een goede juridische vertegenwoordiging is daarom belangrijk om scherp te zijn op de wijzigingen en schuldeisers voortdurend te beschermen.
• Aansprakelijkheden: Bij een herstructurering kunnen aansprakelijkheden ontstaan voor bestuurders en toezichthouders binnen de onderneming. Een financiële crisis kan uiteraard komen door externe factoren, maar dit is niet altijd vanzelfsprekend. Het is daarom belangrijk om mogelijke aansprakelijkheidsrisico's in kaart te brengen en de nodige maatregelen te treffen om deze risico's te beperken. Bestuurdersaansprakelijkheid is ook een terrein binnen het recht dat voortdurend in beweging is. Het is daarom goed hierover advies in te winnen bij een gespecialiseerde advocaat, zodat u op de hoogte bent van de laatste stand van zaken.
• Belastingen: Herstructureringen kunnen ook fiscale implicaties hebben, zoals bij de verkoop van activa en overdracht van schulden. Het is belangrijk om op de hoogte te zijn van de fiscale gevolgen van een bedrijfsreorganisatie en tijdig fiscaal advies in te winnen. Zo worden onnodige belastingen voorkomen en creëert u meer waarde uit uw onderneming.

3. Contracten: juridische bakens

Bij een bedrijfsreorganisatie kunnen bestaande contracten in gevaar komen of zelfs worden beëindigd. Dit heeft consequenties voor de bedrijfsvoering, maar kan ook zorgen voor een risico op rechtszaken. Het is daarom belangrijk om de voorwaarden van de bestaande contracten zorgvuldig na te lopen en rekening te houden met bestaande contractuele verplichtingen bij het opstellen van nieuwe contracten. Onderhandelingen door een ervaren advocaat kunnen hierbij van grote waarde zijn. De juridische overwegingen hierbij zijn talrijk:

• Wettelijke naleving: Zorg ervoor dat alle nieuwe contracten en overeenkomsten voldoen aan de geldende wet- en regelgeving, zowel op nationaal als internationaal niveau. In internationale herstructureringen en fusies en overnames moeten bedrijven rekening houden met de complexiteit van verschillende overlappende rechtsgebieden en regelgeving.
• Arbeidsrecht: Bedrijfsreorganisaties en herstructureringen kunnen leiden tot ontslagen en veranderingen in de arbeidsvoorwaarden. Dit kan leiden tot aansprakelijkheidsrisico's en wettelijke verplichtingen ten aanzien van de werknemers, zoals een sociaal plan. Het is daarom van belang hier vooraf goed onderzoek naar te doen en helder te communiceren, zodat de transitie naar een nieuwe structuur soepel kan verlopen.
• Intellectuele Eigendom: Intellectuele eigendom (IE) kan een centrale zorg zijn bij bedrijfsreorganisaties, vooral voor technologiebedrijven en creatieve ondernemingen. IE omvat octrooien, merken, auteursrechten en andere rechten die de creatieve en innovatieve output van een bedrijf beschermen. Tijdens een reorganisatie moeten bedrijven ervoor zorgen dat hun IE-rechten veiliggesteld zijn. Dit omvat het overdragen van IE-rechten volgens de geldende wetten en overeenkomsten, het herzien van licentieovereenkomsten en het beschermen van vertrouwelijke informatie. Voor bedrijven die afhankelijk zijn van octrooien en technologische innovatie, is het noodzakelijk om de geldigheid en dekking van bestaande octrooien te herzien en te waarborgen dat eventuele overdrachten of licenties naadloos worden uitgevoerd.

Conclusie: beheer het proces

De juridische wereld van herstructureringen kan soms diepgaand en complex zijn. Deze kennisblog biedt slechts een introductie tot dit uitgebreide onderwerp, en de specifieke juridische overwegingen kunnen sterk variëren afhankelijk van de aard van de bedrijfsreorganisatie. Het is een evoluerend veld dat aandacht vereist in een steeds veranderende zakelijke omgeving. Het begrijpen en beheren van de implicaties is van belang om risico's te minimaliseren en zakelijke doelstellingen te bereiken. Samenwerken met gekwalificeerde juridische professionals is een verstandige stap om deze complexe processen effectief te beheren en zakelijk succes te waarborgen.

HET RESOLUTIE RAAMWERK

Na de kredietcrisis van 2007/2008 is er veel nieuwe wetgeving tot stand gekomen om ervoor te zorgen dat financiële instellingen minder snel in gevaar komen en kunnen worden gered als het mis gaat. Het gaat dan niet zozeer om het redden van de financiële instelling zelf, maar om de kritieke diensten die deze instelling levert (zoals betalingsdiensten door banken).

Als een bank in Nederland omvalt dan is de hoofdregel dat die failliet gaat, maar in sommige gevallen is het in het algemeen belang (voor klanten, andere financiële instellingen en onze economie) dat een bank op een gecontroleerde wijze wordt afgewikkeld. Zo wordt voorkomen dat er plotseling veel kritieke diensten wegvallen, met (opnieuw) een zware impact op de economie als gevolg. Met name als de instelling zeer verweven is in de Europese of wereldwijde economie. Er wordt dan ook wel gezegd dat de instellingen ‘too big to fail’ is.

De wetgeving die gaat over de gecontroleerde afwikkeling van dit soort systeemrelevante financiële instellingen wordt ook wel ‘resolutie’ wetgeving genoemd. Het is de taak van de resolutie autoriteit om deze wetgeving te handhaven en in te grijpen als het mis dreigt te gaan. Deze taak wordt ook wel de ‘resolutie taak’ genoemd.

Resolutie wetgeving wijkt af van de gewone faillissementswetgeving. Zo heeft de resolutie autoriteit veel verstrekkende bevoegdheden, zoals het omzetten of afschrijven van kapitaal, die kunnen worden ingezet om het eerder genoemde algemeen belang te beschermen. De resolutie autoriteit neemt ook zelf het besluit om een financiële instelling in resolutie af te wikkelen. Hier is dus geen vonnis van een rechter voor nodig.

In Nederland is de centrale bank (De Nederlandsche Bank – ‘DNB’) ook de resolutie autoriteit. In Zwitserland zijn de centrale bank (de Swiss National Bank – ‘SNB’) en de resolutie autoriteit (de Swiss Financial Market Supervisory Authority – ‘FINMA’) gescheiden.

Een belangrijk beginpunt van de resolutie wetgeving voor banken in Europa is de BRRD I en II.[1] Met deze Europese richtlijnen is geprobeerd om de resolutie van banken binnen de EU te harmoniseren. Deze richtlijnen dienen vervolgens door lidstaten te worden geïmplementeerd in nationale wetgeving. In Nederland is dat gebeurd middels twee implementatiewetten die o.a. de Wft hebben gewijzigd.[2] Zwiterland is echter geen lid van de Europese Unie en is daarmee niet gebonden aan de BRRD I en II. Toch heeft Zwitserland ervoor gekozen om een resolutie regime voor banken in haar nationale wetgeving te introduceren die erg in lijn is met de BRRD.[3]

Het proces van resolutie begint in zowel Europa als Zwitserland met een besluit genomen door de resolutie autoriteit tot afwikkeling van de instelling.[4] In dit besluit wordt bepaald dat de financiële instelling in kwestie voldoet aan de voorwaarden voor resolutie en daarmee niet op reguliere wijze in een faillissementsprocedure zal worden afgewikkeld. In plaats daarvan zal de resolutie autoriteit ingrijpen en bepaalde resolutie maatregelen nemen. Er zijn vele verschillende maatregelen die een resolutie autoriteit kan nemen, waaronder het afschrijven van kapitaalinstrumenten/eigendomsinstrumenten en het bewerkstelligen van een overname. Het doel hiervan is om de stabiliteit van de financiële markt te waarborgen en ook een beter (of ten minste gelijkwaardig) resultaat te bieden voor crediteuren ten opzichte van een regulier faillissementsproces (het zogenaamde ‘no creditor worse off’ beginsel).[5]

RESOLUTIEPLANNING CREDIT SUISSE

Een belangrijk onderdeel van resolutie is de voorbereiding. Je wil immers snel kunnen ingrijpen als het misgaat. Voor systeemrelevante banken worden daarom plannen opgesteld die beschrijven welke maatregelen nodig zullen zijn in geval van een financiële stress scenario om de bank weer te stabiliseren en ervoor te zorgen dat haar kritieke diensten kunnen worden voortgezet. Deze voorbereiding heet ook wel ‘resolutieplanning’ en bestaat o.a. uit een herstelplan (recovery plan) en een resolutieplan (resolution plan).[6]

In het herstelplan wordt uitgewerkt hoe de instelling zichzelf zou kunnen stabiliseren in geval van een financiële stress scenario. Dit zijn dus maatregelen die de instelling zelf zou kunnen nemen en is bedoeld voor de periode vóór de inzet van resolutie maatregelen. Herstelplannen voor systeemrelevante banken worden in zowel de EU als in Zwitserland door de instelling zelf opgesteld en vervolgens goedgekeurd door de resolutie autoriteit.[7]

In het resolutieplan wordt uitgewerkt hoe de instelling het best kan worden afgewikkeld indien het faalt of waarschijnlijk zal falen. Dit plan gaat dus over de uitvoering van de resolutie taak en wordt dan ook opgesteld door de resolutie autoriteit. Resolutieplannen voor systeemrelevante banken in Europa worden door de Single Resolution Board (‘SRB’) en de nationale resolutie autoriteiten opgesteld.[8] In Zwitserland wordt deze door de FINMA opgesteld.[9]

Volgens de FINMA lag de resolutieplanning van Credit Suisse (hierna ‘CS’) begin 2022 goed op schema. Het herstelplan van CS was al een aantal jaren goedgekeurd en er werden iedere jaar stappen gezet die ervoor zorgden dat CS beter gecontroleerd kon worden afgewikkeld, mocht het zover komen.[10]

Na deze verklaring van de FINMA is de financiële positie van CS echter sterk veranderd. Er stroomde steeds meer activa uit de bank en het maakte ook steeds meer verlies.[11] De koers van CS lag aan het begin van 2023 zo’n 69% lager dan een jaar eerder.

Toen Silicon Valley Bank in maart 2023 omviel publiceerden de FINMA en de SNB gezamenlijk op 15 maart 2023 een verklaring waarin zij aangaven dat er geen direct besmettingsgevaar is voor Zwitserse instellingen als gevolg van de onrust op de Amerikaanse bankenmarkt.[12] Ze verwezen daarbij naar de minimale kapitaal vereisten voor banken in Zwitserland. De FINMA benoemde zelfs expliciet CS en gaf aan dat CS aan deze kapitaalsvereisten voldeed. Op 16 maart 2023 heeft CS aangegeven ook (preventief) CHF 50 miljard te willen lenen van de SNB ter versterking van haar liquiditeit.[13]

Wanneer CS zich als systeemrelevante bank in financieel zwaar weer bevindt is de regel dat er eerst wordt gekeken naar het opgestelde herstelplan. Hiermee zou CS maatregelen moeten kunnen nemen om zich (nog voor resolutie) financieel te herstellen.[14] Hoewel het van buiten af niet direct duidelijk is of de CHF 50 miljard lening die CS wilde aangaan een maatregel uit het herstelplan was, is het uiteindelijk ook niet zo ver gekomen. Drie dagen later (19 maart 2023) werd namelijk door de FINMA bekend gemaakt dat het de fusie van CS en UBS heeft goedgekeurd.[15]

Zoals gebruikelijk bij financiële stress scenario’s van banken is er dus veel gebeurd in korte tijd. In het geval van CS leg het voor de hand om het resolutieplan van de FINMA (de Abwicklungsplan) in te zetten. Daar is de resolutiewetgeving ten slotte ook voor geschreven. Er werden namelijk kapitaalsinstrumenten (AT1 bonds) van CS afgeschreven en eigendomsinstrumenten (aandelen) overgedragen voor een verlaagde waarde. Toch heeft de FINMA het besluit tot resolutie nooit genomen. Een dergelijk besluit moet ook publiekelijk bekend worden gemaakt en dat is nooit gebeurd.[16]

Hoewel er dus een uitgebreid resolutie raamwerk tot stand is gebracht en er jaren lang hierop is voorbereid, is het hele resolutie raamwerk uiteindelijk toch niet gebruikt. Wellicht jammer van al dat werk, maar volgens bepaalde bronnen binnen UBS zou resolutie hoe dan ook een ramp zijn geweest voor het (wereldwijd) financieel systeem.[17] Wat is er dan wel gebeurd?

NOODWETGEVING

Er is dus geen sprake geweest van resolutie. In plaats daarvan heeft de Zwitserse overheid een reeks van uitzonderlijke maatregelen genomen om CS buiten resolutie te redden en uit haar neerwaartse spiraal te halen.

Op 19 maart 2023 heeft de Zwitserse Bondsraad een verordening bekendgemaakt, die met terugwerkende kracht al vanaf 16 maart 2023 in werking is getreden, voor het toekennen van liquiditeitssteun en garanties aan systeemrelevante banken (de ‘Liquiditeitssteunverordening’).[18] Deze verordening is vervolgens meteen (met ingang van 19 maart 2023) weer aangepast om te voorzien in de bijzondere situatie van CS (de ‘Gewijzigde Liquiditeitssteunverordening’).[19] De twee verordeningen werden na publicatie ook direct gebruikt. De Zwitserse Bondsraad kondigde namelijk aan dat zij de ‘takeover’ door UBS steunen en dat de federale overheid (op grond van de Gewijzigde Liquiditeitssteunverordening) een garantie stelt voor aanvullende liquiditeitssteun voor CS vanuit de SNB.[20] De Zwitserse Bondsraad gaf aan dat deze verordeningen noodwetten zijn, opgesteld op grond van de Zwitserse grondwet om de financiële stabiliteit en de Zwitserse economie te beschermen.[21]

In de volgende secties behandel ik eerst de M&A transactie tussen UBS en CS, om een beeld te krijgen van de effecten van deze wetswijziging. Tot slot ga ik in op de bijzonderheden ervan, zoals de afschrijving van het AT1 kapitaal, en reflecteer ik op de invloed die deze noodwetten kunnen hebben op de rechtszekerheid.

DE TRANSACTIE

Hoewel nog niet alle details van de transactie bekend zijn (zelfs niet voor de partijen bij de transactie), lijkt het in elk geval niet te gaan om een overname, maar een fusie (meer specifiek, een Absorptionsfusion).[22] Er is namelijk geen openbaar bod gedaan op de aandelen in CS. In plaats daarvan is een fusieovereenkomst gesloten op basis waarvan elke 22.48 aandelen CS wordt ingeruild voor één aandeel in UBS.[23]

Om welke entiteiten het precies gaat is naar mijn weten nog niet publiekelijk bevestigd, maar de doelvennootschap is hoogstwaarschijnlijk Credit Suisse Group AG, het moederbedrijf van de CS groep. Ook is het waarschijnlijk dat de verkrijgende entiteit UBS Group AG zal zijn, het moederbedrijf van de UBS groep.

Dit zal met zich meebrengen dat alle activa en passiva van Credit Suisse Group AG bij inwerkingtreding van de fusie van rechtswege zullen overgaan op UBS Group AG onder de Zwitserse Fusiewet (Fusionsgesetz) en dat Credit Suisse Group AG zal ophouden te bestaan.[24] Hierdoor zou Credit Suisse AG, de tussenholding van de groep en momenteel dochteronderneming van Credit Suisse Group AG, een directe dochteronderneming van UBS Group AG worden.

Verwarrend is wel de verklaring van de Zwitserse overheid waarin het sprak over een ‘takeover’ van CS door UBS.[25] Dit lijkt te suggereren dat er sprake is van een overname in plaats van een fusie. Ook op de website van UBS wordt gesproken over een ‘acquisition’ in plaats van een ‘merger’, maar in de presentatie die UBS hierover heeft gegeven werd wel duidelijk verklaard dat het ging om een ‘exchange’ van CS aandelen in UBS aandelen.[26]

Hoewel er dus al een fusieovereenkomst (Fusionsvertrags) is gesloten, is deze nog niet voltooid. Volgens Zwitserse wetgeving is bij een fusie ook een aandeelhoudersgoedkeuring vereist van zowel de overgenomen entiteit als de overnemende entiteit.[27] In dit geval heeft de Zwitserse Bondsraad echter haar noodbevoegdheden gebruikt (middels de Gewijzigde Liquiditeitssteunverordening) en is een goedkeuring van aandeelhouders niet nodig geweest.[28] In overeenstemming met deze nieuwe (tijdelijke) regelgeving is een fusie rapport (Fusionsbericht) en een audit van de fusieovereenkomst en de balansen van de betrokken entiteiten ook niet langer vereist.[29]

Naar aanleiding van deze lastminute wetswijzigingen is veel commotie ontstaan, maar wie heeft deze redding geïnitieerd? De Zwitserse Bondsraad beschrijft de transactie zo dat het lijkt alsof deze door UBS is voorgesteld en zij het ‘verwelkomen’, maar UBS heeft aangegeven dat toezichthouders over de hele wereld hen hebben aangedrongen om een overname van CS te overwegen.[30] Ook volgens bepaalde interne bronnen binnen CS zou er veel druk zijn uitgeoefend vanuit de overheid, tot aan het punt dat het eigenlijk eerder een bevel kan worden genoemd.[31] De tegenzin vanuit het bestuur van CS is echter begrijpelijk. Waar dit wellicht een gunstige deal kan zijn voor UBS, zijn het o.a. de aandeelhouders van CS die ervoor hebben moeten inleveren. Zij hebben daarom veel weerstand geboden tegen een deal met UBS vanwege de ongunstige ruilverhouding. Ze zouden zelfs USD 5 miljard als investeerding hebben voorgesteld, wat door de Zwitserse overheid niet zou zijn goedgekeurd.[32] Ook de crediteuren van het de AT1 bonds zijn niet blij. Hun vordering is geheel afgeschreven door CS als gevolg van een bevel van de FINMA op grond van de Gewijzigde Liquiditeitsverordening.[33]

In het volgende deel ga ik verder in op deze afschrijving en op het ingrijpen van de Zwitserse overheid in zijn geheel. Hierbij kijk ik niet alleen naar de belangen van crediteuren en aandeelhouders, maar ook naar de gevolgen voor de rechtszekerheid en resolutie.

AFSCHRIJVING AT1 KAPITAAL

Het is gebruikelijk dat een aandeelhouder in faillissement niets ontvangt uit de boedel, omdat zij over het algemeen het laagst in rang zijn binnen het faillissementsproces. In Nederland wordt pas aan aandeelhouders uitgekeerd (niet zijnde op grond van een aandeelhouderslening of ander vorderingsrecht) in geval van een liquidatieoverschot na het faillissementsprocedure.[34] De rangorde in faillissement wordt ook binnen het Europees resolutie regime gehanteerd wanneer de resolutie autoriteit besluit over te gaan tot afschrijving van vorderingen (een zogenaamde ‘bail-in’).[35] Het referentiepunt in resolutie is namelijk het faillissementsscenario. Het mag niet zo zijn dat crediteuren als gevolg van de toepassing van resolutie minder ontvangen dan zij zouden hebben ontvangen onder een regulier faillissementsproces (het ‘no creditor worse off’ beginsel).[36] Het Europees resolutie regime voor banken benoemt bovendien expliciet dat aandeelhouders de eerste verliezen zullen dragen bij de toepassing van resolutie instrumenten.[37] Deze regel geldt ook voor de resolutie van Zwitserse banken.[38]

De gedachte hierachter lijkt mij dat de aandeelhouder de winsten ontvangt uit de onderneming als het goed gaat, maar ook de verliezen lijdt als het slecht gaat. Dit creëert ook vertrouwen ten opzichte van derden die zaken willen doen met de onderneming. Men is er zeer kritisch op als deze verhouding wordt verstoort en aandeelhouders een hogere rang krijgen, bijvoorbeeld door het verschaffen van aandeelhoudersleningen met zekerheid.[39] Zouden aandeelhouders namelijk wel met voorrang betaald krijgen, dan ontstaat er een scheve verhouding. De aandeelhouders ontvangen de winsten, maar lijden niet (geheel) de verliezen.

Het is daarom zeer bijzonder dat bij de fusie van CS is besloten om maar liefst CHF 16 miljard aan AT1 bonds (tier 1 leningen) af te schrijven, terwijl de aandeelhouders juist in totaal zo’n CHF 3 miljard (0,76 CHF per aandeel) aan waarde hebben ontvangen in UBS aandelen. Men had verwacht (en wellicht mogen verwachten) dat eerst de aandeelhouders volledig zouden worden afgeschreven voordat de crediteuren onder de AT1 bonds zouden worden afgeschreven. Vanwege het hoge tempo waarop alles in korte tijd is gebeurd was het wellicht ook niet meteen duidelijk op welk rechtsgrond de afschrijving van de AT1 bonds heeft plaatsgevonden. Was het een resolutiemaatregel van de FINMA? Was het de inzet van art. 5a van de Gewijzigde Liquiditeitsverordening? Of was er misschien een ander rechtsgrond?

Vanwege de vele vragen die hieromtrent speelden heeft de FINMA besloten een verklaring uit te brengen om de grondslag voor het afschrijven van de AT1 bonds nader toe te lichten.[40] Hierin gaf de FINMA aan dat er een clausule is opgenomen in de onderliggende overeenkomst van de AT1 bonds die het mogelijk maakt om deze volledig af te schrijven indien er bijzondere staatssteun wordt verstrekt. Volgens de FINMA is dit ook gebeurd toen de Zwitserse overheid en de SNB liquiditeitssteun en garanties hebben vertrekt aan CS op 19 maart 2023. Hierdoor ontstond er een contractuele grond voor het afschrijven van de AT1 bonds.

Tegelijkertijd geeft de FINMA aan dat zij op grond van art. 5a Gewijzigde Liquiditeitsverordening bevoegd zijn om CS een bevel te geven om haar AT1 bonds af te schrijven.[41] Vanwege deze bevoegdheid en de contractuele bevoegdheid tot afschrijving, heeft de FINMA dit bevel ook aan CS gegeven. Art. 5a Gewijzigde Liquiditeitsverordening lijkt echter geen nadere contractuele grondslag nodig te hebben. Voldoende lijkt te zijn dat er sprake is van een verstrekte garantie onder de Gewijzigde Liquiditeitsverordening die is goedgekeurd. Mijns inziens had het bevel om de AT1 bonds af te schrijven (strikt genomen) dus ook kunnen worden gegeven als er geen contractuele basis was voor de afschrijving. Het nieuwe art. 5a Gewijzigde Liquiditeitsverordening is daarmee een verstrekkend artikel dat inbreuk kan maken op de rechten van alle AT1 bonds van systeemrelevante banken in Zwitserland (inclusief die van UBS), terwijl het niets zegt over de afschrijving van aandeelhouders. Wellicht nog belangrijker is het feit dat deze wet er zeer plotseling is gekomen, terwijl de resolutie wetgeving nu juist voor dergelijke scenario’s is geschreven. 

Om meer te weten te komen over de contractuele basis voor de afschrijving zou men naar de onderliggende documentatie van de AT1 bonds moeten kijken. Hoewel die details mij niet bekend zijn kan ik begrijpen dat het voldoende los maakt bij de AT1 crediteuren om een rechtszaak te overwegen.[42] Het is namelijk niet zozeer dat de AT1 bonds zijn afgeschreven, maar het feit dat de aandeelhouders niet eerst volledig zijn afgeschreven.

De SRB heeft willen voorkomen dat investeerders hierdoor het signaal krijgen dat ook onder het Europees regime de mogelijkheid bestaat dat dergelijke AT1 bonds als eerste worden afgeschreven. Daarom heeft Dominique Laboureix, voorzitter van de SRB, in een interview duidelijk aangegeven de hiërarchie van het Europees resolutie regime voor banken altijd te zullen hanteren.[43] Ook de Bank of England heeft afstand genomen van het besluit van de FINMA dat op deze manier de crediteuren hiërarchie lijkt te omzeilen.[44]

RECHTSZEKERHEID

Binnen de financiële sector is rechtszekerheid van groot belang. Grote investeringen worden alleen gedaan als men erop kan vertrouwen dat hun geld niet zomaar verdwijnt, maar dat er een goed doordacht wettelijk systeem is die voorspelbaar is en wordt nageleefd. Voor het falen van een systeemrelevante bank als CS was dat het resolutie regime, maar daar lijkt minder vertrouwen in te zijn dan gedacht. Waarom is er besloten om CS buiten resolutie te redden? In resolutie is er namelijk ook geen aandeelhoudersgoedkeuring vereist en kunnen AT1 bonds ook worden afgeschreven (na afschrijving van de vorderingen van aandeelhouders).

De situatie rondom CS lijkt nu weliswaar gestabiliseerd, maar door deze abrupte wijziging is het wettelijk systeem onvoorspelbaar is geworden.[45] Er is middels last minute wetgeving een scenario gecreëerd waarbij de systemen van governance en crediteuren hiërarchie die centraal staan worden omzeild. Wellicht dat de Zwitserse overheid hier een veel erger scenario mee heeft weten te voorkomen, maar tegen welke prijs?

[1] Richtlijn 2014/59/EU (‘BRRD I’); Richtlijn (EU) 2019/879 (‘BRRD II’).

[2] Stb. 2015, 431; Stb. 2021 632.

[3] ‘ISDA BRRD Implementation Monitor (5th edition) – status of national implementation as of 1 December 2016’, isda.org, 2 december 2016 (link).

[4] Art. 16 Verordening (EU) nr. 806/2014 (‘Verordening gemeenschappelijk afwikkelingsmechanisme’). De SRB heeft een leidende rol bij banken die onder direct toezicht van de Europese Centrale Bank staan en banken die in meerdere landen binnen de EU actief zijn. De SRB stelt voor deze instellingen het resolutieplan vast en bepaalt of een bank in resolutie gaat. De uitvoering van resolutie gebeurt door DNB. Bij banken waarop DNB toezicht houdt en die alleen in Nederland actief zijn, liggen de bevoegdheden bij DNB. In Zwitserland gebeurt dit alles door de FINMA die zelfstandig kan besluiten om over te gaan tot resolutie op grond van art. 41 lid 1 Bankeninsolvenzverordnung-FINMA.

[5] Voor banken in de EU op grond van par. 78 en art. 15 lid 1 sub (g), 18 lid 5 en 22 lid 2 Verordening gemeenschappelijk afwikkelingsmechanisme. Onder het Zwitsers regime op grond van art. 40 lid 1 sub (a) Bankeninsolvenzverordnung-FINMA.

[6] Zie ook de ‘Introduction to resolution planning’ van de SRB (link).

[7] Par. 21 en art. 5 en 7 BRRD I; art. 64 lid 1 Bankenverordnung.

[8] Par. 28, 33 en 44 en art. 7 lid 2, 8 en 9 Verordening gemeenschappelijk afwikkelingsmechanisme.

[9] Art. 64 lid 2 Bankenverordnung.

[10] ‘FINMA considers recovery and resolution planning by the “too big to fail” institutions to be well on track –

but there are still gaps’, finma.ch, 24 maart 2022 (link).

[11] Enkele voorbeelden: ‘Exclusive: Credit Suisse sounds out investors about capital hike’, reuters.com, 23 september 2022, (link); ‘Credit Suisse Shares Tank As Capital Concerns Spark Reminders Of Lehman Brothers Failure: Here’s What We Know’, forbes.com, 3 oktober 2022 (link); ‘Credit Suisse Saw $88 Billion Outflows as Confidence Slumped’, bloomberg.com, 23 november 2022 (link).

[12] ‘FINMA and the SNB issue statement on market uncertainty’, finma.ch, 15 maart 2023 (link).

[13] ‘Credit Suisse Group takes decisive action to pre-emptively strengthen liquidity and announces public tender offers for debt securities’, credit-suisse.com, 16 maart 2023 (link).

[14] Art. 64 Bankenverordnung.

[15] ‘FINMA approves merger of UBS and Credit Suisse’, finma.ch, 19 maart 2023 (link).

[16] Art. 41 lid 2 Bankeninsolvenzverordnung-FINMA. Zie ook de website van FINMA waar resolutiebesluiten bekend worden gemaakt: (link).

[17] ’How the Swiss 'trinity' forced UBS to save Credit Suisse’, ft.com, 20 maart 2023 (link).

[18] Verordnung über zusätzliche Liquiditätshilfe-Darlehen und die Gewährung von Ausfallgarantien des Bundes für Liquiditätshilfe-Darlehen der Schweizerischen Nationalbank an systemrelevante Banken (Ordinance on Additional Liquidity Assistance Loans and the Granting of Federal Default Guarantees for Liquidity Assistance Loans from the Swiss National Bank to Systemically Important Banks), 16 maart 2023, AS 2023 135 (link origineel) (link vertaling).

[19] Verordnung über zusätzliche Liquiditätshilfe-Darlehen und die Gewährung von Ausfallgarantien des Bundes für Liquiditätshilfe-Darlehen der Schweizerischen Nationalbank an systemrelevante Banken (Ordinance on Additional Liquidity Assistance Loans and the Granting of Federal Default Guarantees for Liquidity Assistance Loans from the Swiss National Bank to Systemically Important Banks), 19 maart 2023, AS 2023 136 (link origineel) (link vertaling).

[20] ‘Safeguarding financial market stability: Federal Council welcomes and supports UBS takeover of Credit Suisse’, admin.ch, 19 maart 2023 (link).

[21] Art. 184 jo. 185 Bundesverfassung der Schweizerischen Eidgenossenschaft.

[22] Onder Zwitsers recht kan er sprake zijn van een Absorptionsfusion of Kombinationsfusion. Waar bij een Kombinationsfusion alle aan de fusie deelnemende entiteiten worden ontbonden en hun bedrijfsvoering over gaat in een nieuwe vennootschap, wordt bij een Absorptionsfusion de bedrijfsvoering overgedragen aan een reeds bestaande entiteit die als overlevende entiteit blijft voortbestaan. In het geval van de fusie van CS en UBS lijkt er daarom sprake te zijn van een Absorptionsfusion. Zie ook art. 3 Fusionsgesetz; Begg Peter F.C. (ed.), International Handbook - Corporate Acquisitions and Mergers: Switzerland, Wolters Kluwer 2022, par. 72.

[23] ‘Credit Suisse and UBS to Merge’, credit-suisse.com, 19 maart 2023 (link).

[24] Art. 3 lid 2 en 22 Fusionsgesetz; Begg Peter F.C. (ed.), International Handbook - Corporate Acquisitions and Mergers: Switzerland, Wolters Kluwer 2022, par. 73 e.v. ; ‘Acquisition of Credit Suisse by UBS’, lexology.com, 19 maart 2023 (link).

[25] ‘Safeguarding financial market stability: Federal Council welcomes and supports UBS takeover of Credit Suisse’, admin.ch, 19 maart 2023 (link).

[26]  ‘UBS acquiring Credit Suisse – Transcript’, ubs.com, 19 maart 2023 (link), p. 2.

[27] Art. 12 lid 2 en 18 Fusionsgesetz.

[28] Art. 10a sub (a) Gewijzigde Liquiditeitssteunverordening.

[29] Art. 10a sub (b) Gewijzigde Liquiditeitssteunverordening; art. 14, 15 en 16 Fusionsgesetz.

[30] ‘Safeguarding financial market stability: Federal Council welcomes and supports UBS takeover of Credit Suisse’, admin.ch, 19 maart 2023 (link); ‘UBS acquisition of Credit Suisse - transcript’, ubs.com, 19 maart 2023 (link).

[31] ’How the Swiss 'trinity' forced UBS to save Credit Suisse’, ft.com, 20 maart 2023 (link).

[32] ‘Credit Suisse Collapse Burns Saudi Investors’, wsj.com, 21 maart 2023 (link).

[33] Art. 5a Gewijzigde Liquiditeitssteunverordening; ‘FINMA approves merger of UBS and Credit Suisse’, finma.ch, 19 maart 2023 (link); ‘FINMA provides information about the basis for writing down AT1 capital instruments’, finma.ch, 23 maart 2023 (link).

[34] Art. 2:23b lid 1 BW; N.B. Pannevis, Achtergestelde vorderingen (Onderneming en recht nr. 114), Deventer: Wolters Kluwer 2019, par. 61 - 62.

[35] Art. 17 lid 1 Verordening gemeenschappelijk afwikkelingsmechanisme.

[36] Art. 15 lid 1 sub (g) Verordening gemeenschappelijk afwikkelingsmechanisme; L. Janssen, ‘The EU bank resolution rules and national insolvency law’, in: M. Haentjens e.a. (red.), Research handbook on cross-border bank resolution, Cheltenham: Edward Elgar Publishing 2019, p. 112.

[37] Art. 34 lid 1 sub (a) BRRD I en art. 15 lid 1 sub (a) Verordening gemeenschappelijk afwikkelingsmechanisme.

[38] Art. 47 lid 1 sub (a) Bankeninsolvenzverordnung-FINMA.

[39] Zo is bijvoorbeeld in een onderzoeksrapport over private equity investeringen in Nederland geadviseerd om in de wet te regelen dat aandeelhoudersleningen in geval van een faillissement als eigen vermogen worden aangemerkt, waardoor zij achtergesteld zouden worden ten opzichte van vorderingen van andere crediteuren, zie Kamerstukken II 2017/18, 34 267, nr. 11. Dit advies wordt ook meegenomen in het programma herijking faillissementsrecht, zie Kamerstukken II 2017/18, 33 695, nr. 17. Ook zijn er in de Tweede Kamer kritische vragen gesteld hierover, zie bijvoorbeeld Aanhangsel Handelingen II 2018/19, nr. 2273; Aanhangsel Handelingen II 2016/17, nr. 565 en nr. 815.

[40] ‘FINMA provides information about the basis for writing down AT1 capital instruments’, finma.ch, 23 maart 2023 (link).

[41] ‘FINMA provides information about the basis for writing down AT1 capital instruments’, finma.ch, 23 maart 2023 (link).

[42] ‘Credit Suisse AT1 bondholders consider possible legal action -law firm’, reuters.com, 20 maart 2023 (link).

[43] ‘EU regulators distance themselves from Credit Suisse bond writedowns’, srb.europa.eu, 30 maart 2023 (link)

[44] ‘Bank of England Statement: UK creditor hierarchy’, bankofengland.co.uk, 20 maart 2023 (link).

[45] Zie ’How the Swiss 'trinity' forced UBS to save Credit Suisse’, ft.com, 20 maart 2023 (link), waarin de Zwitserse jurisdictie wordt vergeleken met een (meer) dictatoriale staat.