Regulatory Update: de aandachtspunten over Q1 2026

In dit artikel:

Projective Group volgt met Ruler de Europese regelgevingsontwikkelingen en publiceert in de Regulatory Update (Q4 2025) de belangrijkste wijzigingen die financiële instellingen raken. Belangrijke EU-initiatieven uit november 2025 staan centraal: het Digital Omnibus-pakket, aanpassingen aan de AVG, een geharmoniseerd incidentmeldsysteem, versoepelingen in de AI Act, een voorlopig akkoord over opvolgers van PSD2 (PSR/PSD3) en een grondige herziening van de SFDR.

Digital Omnibus (19 november 2025)
De Europese Commissie legde een pakket voor dat bestaande digitale wetgeving moet vereenvoudigen en overlappingen wegneemt. Het doel is regels duidelijker en minder belastend te maken, zonder het beschermingsniveau te ondermijnen. De wijzigingen treffen meerdere kaders op EU-niveau en zijn bedoeld om toepassing en handhaving te stroomlijnen.

Wijzigingen in de AVG
De Commissie stelt verduidelijkingen voor rond wanneer gegevens daadwerkelijk als persoonsgegevens gelden (onherleidbare data zou buiten scope vallen) en beperkt enkele uitzonderingen voor verwerking van gevoelige data — bijvoorbeeld voor identiteitsverificatie met gezichtsherkenning onder strikte voorwaarden of incidentele opname van gevoelige data in AI-trainingsdata. Praktische aanpassingen betreffen minder actieve informatieplichten wanneer betrokkene waarschijnlijk reeds geïnformeerd is en het makkelijker kunnen weigeren of berekenen van manifest onterechte inzageverzoeken. Datalekmeldingen krijgen meer tijd (72 → 96 uur) en hoeven nog alleen aan de toezichthouder gemeld te worden als het incident een hoog risico voor betrokkenen inhoudt. DPIA-vereisten worden EU-breed geharmoniseerd en cookieregels worden rechtstreeks in de AVG opgenomen, inclusief browsergestuurde voorkeuren.

Centrale incidentmelding
De Commissie wil één centraal loket voor incidentmeldingen invoeren: organisaties doen één keer aangifte en het systeem distribueert de melding naar alle relevante toezichthouders (onder meer onder DORA en AVG). De inhoudelijke eisen blijven grotendeels gelijk, maar met gemeenschappelijke templates (gebaseerd op DORA-formats). Voor compliance-teams betekent dit minder dubbel werk, maar wel aanpassing van interne meldprocessen.

Aanpassingen AI Act
De AI-wetgeving wordt praktischer zonder lagere bescherming. Kenmerken: AI-geletterdheid wordt deels een overheidstaak, MKB krijgt vereenvoudigde documentatie-eisen, niet-hoogrisico-systemen hoeven niet in de EU-database te worden geregistreerd, en nalevingstermijnen voor hoog-risico systemen worden gekoppeld aan beschikbaarheid van Europese normen (ultimum data: december 2027 / augustus 2028). Bestaande systemen hoeven niet direct aangepast te worden tenzij substantieel gewijzigd en er komt een EU-breed testplatform onder toezicht van de AI Office.

Voorlopig akkoord PSR / PSD3 (november 2025)
Raad en Europees Parlement bereikten een voorlopig akkoord over opvolgers van PSD2, met sterke focus op fraudebestrijding en consumentenbescherming. Kernpunten: verplicht vergoeding van schade door APP-fraude binnen 15 werkdagen tenzij consument zeer onzorgvuldig handelde; uitbreiding van de IBAN-naamcheck; verplicht delen van fraudedata tussen betaaldienstverleners; en aansprakelijkheid voor grote online platforms die advertenties tonen van niet-gelicentieerde betaaldienstverleners. Verder: verplichte kostentransparantie bij geldautomaten, betere cash-toegankelijkheid buiten steden, en technische maatregelen om open banking concurrerender te maken. Definitieve teksten volgen na publicatie door Raad/Parlement.

SFDR 2.0 (november 2025)
De Commissie publiceerde een ingrijpende herziening van SFDR. De reikwijdte wordt versmald tot partijen die financiële producten ontwerpen, beheren of aanbieden (fondsbeheerders, verzekeraars, pensioenfondsen); beleggingsadvies en discretionary beheer vallen buiten en worden via MiFID II geregeld. Artikel 8/9-classificatie verdwijnt en maakt plaats voor drie nieuwe productcategorieën: voor elk geldt dat minimaal 70% van de beleggingen moet aansluiten op de duurzaamheidsstrategie; impactbeleggen wordt expliciet erkend. EU-brede uitsluitingen (controversiële wapens, tabak, ernstige mensenrechtenschendingen) gelden uniform, met de strengste set voor de meest duurzame categorie. Rapportageverplichtingen worden vereenvoudigd (kortere precontractuele informatie, minder indicatoren); entiteitsniveau‑PAI-verplichting vervalt deels omdat CSRD deze informatie opvangt. Overgangsregimes zijn beperkt: pensioen- en verzekeringsproducten krijgen 12 maanden extra; closed-end fondsen zijn buiten scope. Definitieve vaststelling vergt goedkeuring door EU-instellingen.

Wat dit betekent voor instellingen
De voorstellen zullen compliance-, legal- en IT-teams dwingen processen aan te passen: nieuwe meldroutes implementeren, DPIA’s en documentatie harmoniseren, AI-nalevingsplannen updaten en productclassificaties en rapportageprocessen herzien. Veel maatregelen bieden vereenvoudiging, maar brengen ook nieuwe technische en organisatorische keuzes met zich mee. Definitieve impact is afhankelijk van de uiteindelijke wetsteksten en invoeringsdata; raadpleeg relevante adviseurs en houd toekomstige publicaties in de gaten. Projective Group biedt op maat gemaakte Regulatory Updates voor verdere verdieping.