• Lennart Cattel, Partner |

Dure appjes: boete van de toezichthouder voor gebruik Whatsapp

Op 22 september jl. deelde de Amerikaanse Futures Trading and Options Commission (CFTC) bijna 700 miljoen dollar aan boetes uit aan banken in de VS voor het niet vastleggen van de communicatie met cliënten. Met name ten tijde van de COVID-19-pandemie nam het gebruik van apps, zoals SMS, Whatsapp en Signal, voor interne en externe communicatie met cliënten een hoge vlucht. De CFTC constateerde dat de communicatie via deze apps niet adequaat werd geregistreerd, terwijl dat wel vereist is. Kunnen we dezelfde maatregelen verwachten van Europese toezichthouders?

Uit de mediaberichten blijkt dat ook de Britse toezichthouder Financial Conduct Authority (FCA) en de Duitse toezichthouder Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) banken en asset managers over deze kwestie hebben benaderd. Ook de Europese toezichthouder ESMA heeft in 2020 een statement over dit onderwerp naar buiten gebracht, waarin wordt onderkend dat het opnemen van communicatie met cliënten onverminderd belangrijk is, maar in de bijzondere omstandigheden van een pandemie een uitdaging kan vormen. Vooralsnog zijn er geen berichten over handhaving door Europese toezichthouders, maar gezien de onderzoeken van Bafin en de FCA lijkt dat een kwestie van tijd.

Waarom vinden toezichthouders dit thema zo belangrijk?  

Op grond van MiFID moet iedere beleggingsonderneming in Europa ervoor zorgen “dat gegevens die worden bijgehouden over alle door haar verleende of verrichte diensten, activiteiten en transacties, toereikend zijn om de bevoegde autoriteit in staat te stellen haar toezichttaken te vervullen en handhavingsacties uit te oefenen. Voor telefoongesprekken of elektronische communicatie omvat deze verplichting “het opnemen van telefoongesprekken of elektronische communicatie die ten minste met in het kader van handel voor eigen rekening gesloten transacties en het verstrekken van diensten betreffende het ontvangen, doorgeven en uitvoeren van cliëntorders verband houden”. De verplichting geldt ongeacht of er een transactie tot stand komt.

We onderscheiden drie redenen waarom het opnemen van ordercommunicatie met cliënten belangrijk is. Ten eerste vanwege handhaving en/of onderzoek door toezichthouders. Toezichthouders maken gebruik van opgeslagen interne communicatie over bijvoorbeeld de intentie van cliëntorders of de vaststelling van de kennis en ervaring van cliënten (APT). Daarnaast is het opslaan van ordercommunicatie met cliënten belangrijk om compliance met vereisten van MiFID of op het gebied van marktmisbruik te kunnen toetsen, omdat deze communicatie vaak de enige bron is waarover de toezichthouder beschikt. Ten slotte is het bij geschillen met cliënten over bijvoorbeeld de uitvoering van orders van belang voor de bewijsvoering.

enforcement-image

Is er onderscheid in private of company device?

Sinds de pandemie is gebleken dat medewerkers steeds vaker gebruikmaken van een private device voor zakelijke doeleinden. Vanuit de wettelijk vereisten is dit niet verboden, maar de onderneming moet alle mogelijke maatregelen nemen om te voorkomen dat relevante berichten worden ontvangen of verzonden op devices die de onderneming niet kan vastleggen of kopiëren. Het feit dat gebruik wordt gemaakt van een private device staat de verplichting tot vastlegging niet in de weg. Bijgevolg zijn de registratieverplichtingen ook van toepassing op een private device.

Is er guidance van toezichthouders beschikbaar?

Vooralsnog is er geen aanvullende guidance van toezichthouders. In de berichtgeving wordt slechts verwezen naar bestaande wettelijke vereisten en bijvoorbeeld Q&A’s. Wij merken dat de markt op zoek is naar praktische oplossingen om het vastleggen van communicatie te borgen. Steeds meer ondernemingen maken gebruik van speciale apps om bijvoorbeeld Whatsapp-communicatie vast te leggen, zodat gesprekken alsnog worden opgenomen, ongeacht of er gebruik wordt gemaakt van een company of private device.

Maar met het installeren van een dergelijk app ben je er nog niet. Medewerkers kunnen daarnaast nog steeds gebruikmaken van devices of apps waarvan de communicaties niet worden vastgelegd. Ten aanzien van het voorkomen van het gebruik van devices die niet worden vastgelegd, geldt de vereiste dat ondernemingen alle mogelijke maatregelen treffen om dit te voorkomen. Daarbij kan bijvoorbeeld worden gedacht aan:

  • het opnemen van maatregelen in beleid en procedures;
  • integratie in het organisatiebrede interne en externe marketing-/communicatiebeleid;
  • bewustmaking van medewerkers middels training en interne communicatie;
  • integratie van dit onderwerp in risk assessments;
  • externe communicatie met cliënten over de wijze van communiceren met medewerkers van uw onderneming;
  • het delen van ervaringen en practices met peers en brancheorganisaties en deze vertalen naar uw eigen situatie.

Naast deze preventieve maatregelen zal de toezichthouder ook verwachten dat de onderneming alles in het werk stelt om overtredingen te identificeren. Denk bijvoorbeeld aan het controleren van de vastlegging van communicatie op basis van vastgelegde orders. Maar ook bijvoorbeeld door middel van questionnaires onder medewerkers om vast te stellen hoe medewerkers daadwerkelijk omgaan met communicatie via bijvoorbeeld Whatsapp.

Tot slot

We verwachten dat dit onderwerp de komende tijd aandacht blijft krijgen in de media en op de agenda van de toezichthouder blijft staan en wij volgen het dan ook op de voet. Heeft u vragen over dit onderwerp en hoe u dit goed kunt inrichten, neemt u dan contact met ons op.