De toezichtagenda’s van de Autoriteit Financiële Markten (AFM), De Nederlandsche Bank (DNB) en de Autoriteit Persoonsgegevens (AP) laten een duidelijk en consistent beeld zien: het toezicht in 2026 (en verder) wordt intensiever, meer data gedreven en nadrukkelijker gericht op structurele risico’s. Waar eerdere jaren vaak draaiden om afzonderlijke thema’s, ligt de nadruk nu op samenhang. Technologie, integriteit, data, duurzaamheid en geopolitieke ontwikkelingen grijpen steeds sterker in elkaar.
Voor financiële instellingen betekent dit dat traditionele silo’s tussen compliance, risk, IT en legal niet langer volstaan. Toezichthouders verwachten dat risico’s integraal worden beheerst en dat dit aantoonbaar terugkomt in governance, besluitvorming en uitvoering. Voor compliance professionals betekent dit een duidelijke rolverschuiving: van een primair toetsende functie naar een positie waarin actief wordt bijgedragen aan risicobeheersing, inrichting en strategische keuzes. En aantoonbaarheid van die beheersing niet te vergeten.
Dit overzicht zet de belangrijkste generieke toezichtthema’s voor 2026 uiteen, aangevuld met een uitsplitsing naar sector. De gevolgen voor de compliancefunctie vormen de afsluiting.
Generieke toezichtthema’s: de basis aantoonbaar op orde
De toezichthouders zijn vooral unaniem in hun uitgangspunten: de basis moet op orde zijn. En dat is niet nieuw; die had al jaren op orde moeten zijn. Hieronder 5 thema’s waarop de toezichthouders nadruk leggen. Thema’s die op zichtzelf staan, maar ook een sterke samenhang met elkaar hebben.
-
- Digitale weerbaarheid en ICT‑risico’s
Zowel AFM als DNB benadrukken dat digitale weerbaarheid geen IT‑vraagstuk meer is, maar een kernonderdeel van de bedrijfsvoering en governance. De implementatie van DORA fungeert hierbij als belangrijke katalysator. Toezichthouders kijken nadrukkelijk verder dan beleid en kaders: zij willen zien dat instellingen inzicht hebben in hun kritieke processen, afhankelijkheden en herstelcapaciteit, en dat deze ook daadwerkelijk zijn getest. Voor compliance professionals betekent dit dat DORA niet kan worden overgelaten aan IT of outsourcingmanagement alleen. Compliance wordt geacht zicht te hebben op de samenhang tussen ICT‑risico’s, governance en uitbesteding, en moet kunnen uitleggen hoe risico’s worden geïdentificeerd, gemitigeerd en besproken op bestuursniveau. De vraag “werkt het in de praktijk?” staat hierbij centraal.
- AI en data gedreven besluitvorming
De inzet van algoritmes en AI is een expliciet toezichtthema bij zowel AFM als AP. In haar Jaarplan 2026 maakt de AP duidelijk dat zij zich richt op AI‑toepassingen met grote maatschappelijke impact, waarbij preventief toezicht (ex ante) zwaarder weegt dan handhaving achteraf. Thema’s als bias, uitlegbaarheid en governance staan daarbij centraal. Voor compliance professionals betekent dit dat AI‑toepassingen niet langer uitsluitend als technisch vraagstuk kunnen worden gezien. Van compliance wordt verwacht dat zij betrokken is bij de inrichting van AI‑governance, begrijpt welke modellen worden gebruikt en welke risico‑afwegingen daaraan ten grondslag liggen. Compliance moet bovendien het gesprek kunnen voeren over waar automatisering wenselijk is, waar aanvullende waarborgen nodig zijn en hoe transparantie richting klanten en toezichthouders wordt geborgd.
- Integriteit en financiële criminaliteit
Integriteit blijft een hoeksteen van toezicht. AFM en DNB signaleren dat risico’s toenemen door digitalisering, nieuwe spelers en complexere ketens. Tegelijkertijd verschuift de nadruk nadrukkelijk van formele naleving naar effectiviteit. Dit raakt de kern van de compliance functie. Het is niet langer voldoende om aan te tonen dat processen bestaan; toezichthouders verwachten inzicht in de werking ervan. Voor compliance professionals betekent dit dat zij moeten kunnen onderbouwen waarom integriteitsmaatregelen daadwerkelijk risico’s mitigeren, waar beperkingen zitten en welke restrisico’s bewust worden geaccepteerd. Dat vraagt om meer data gedreven monitoring, kritische reflectie en een stevige dialoog met de business en het bestuur.
- Duurzaamheid en ESG
Duurzaamheid ontwikkelt zich van een rapportageverplichting naar een integraal onderdeel van risicomanagement. DNB benadert ESG vooral vanuit financiële risico’s, terwijl AFM de nadruk legt op transparantie en marktgedrag. Voor compliance betekent dit dat ESG niet meer kan worden gezien als een losstaand dossier. De betrouwbaarheid van ESG‑data, de onderbouwing van claims en het voorkomen van greenwashing raken direct aan de integriteit van de instelling. Compliance professionals worden geacht mee te kijken naar governance, datakwaliteit en communicatie, en te bewaken dat duurzaamheidsambities realistisch en toetsbaar zijn.
- Geopolitieke en macro‑economische risico’s
DNB wijst expliciet op de impact van geopolitieke ontwikkelingen op financiële stabiliteit en operationele continuïteit. Instellingen worden geacht vooruit te kijken en scenario’s te ontwikkelen voor verstoringen in markten, ketens en funding. Voor compliance professionals betekent dit dat zij betrokken moeten zijn bij scenario‑analyses en stress testing, en dat zij begrijpen hoe geopolitieke risico’s doorwerken in andere toezichtthema’s, zoals uitbesteding, sancties en integriteit. Compliance krijgt hiermee een meer strategische rol in de risicodialoog binnen de instelling.
- Privacy en gegevensgebruik
De AP richt zich in 2026 nadrukkelijk op grootschalige dataverwerking en structurele risico’s voor burgers, waarbij privacy expliciet wordt verbonden met technologie en governance. Voor compliance betekent dit dat privacy niet langer een specialistisch nevenonderwerp is, maar een integraal onderdeel van bredere governance‑ en technologievragen. Compliance professionals moeten zicht hebben op datastromen, DPIA’s en proportionaliteitsafwegingen, en kunnen beoordelen of keuzes rondom data‑gebruik verdedigbaar zijn. Dat betekent ook samenwerking met de privacy professionals in de organisatie: wat is ieders scope?
Sectorale accenten
Vooral DNB en AFM leggen voor de verschillende sectoren binnen financiële sectorspecifieke sectorale accenten. Hieronder zijn de accenten voor de grootste sectoren beschreven.
-
-
- Banken
Gezien hun systeemfunctie ligt bij banken de nadruk op operationele en digitale weerbaarheid, mede in het licht van DORA en geopolitieke risico’s. Van banken wordt verwacht dat zij aantoonbaar volwassen ICT‑governance hebben ingericht en hun poortwachtersfunctie effectief invullen. Voor compliance professionals in banken betekent dit een hoge mate van betrokkenheid bij ICT‑risico’s, uitbesteding en integriteit. De lat ligt hoog: banken moeten kunnen laten zien dat zij structureel in control zijn en dat compliance een actieve rol speelt in het signaleren en adresseren van risico’s.
- Verzekeraars
Bij verzekeraars ligt het zwaartepunt op productontwikkeling en het gebruik van data in pricing en acceptatie. Het toezicht bevindt zich hier op het snijvlak van gedrag (AFM) en soliditeit (DNB) en gegevensbescherming (AP). Voor compliance betekent dit dat product governance, fairness en datagebruik nadrukkelijker onderdeel worden van het compliance‑domein. Compliance professionals moeten kunnen beoordelen of keuzes juridisch houdbaar zijn én passen binnen bredere toezichtverwachtingen rond klantbelang.
- Pensioenfondsen
De pensioentransitie blijft het dominante thema. AFM benadrukt dat deelnemers centraal moeten staan en dat communicatie begrijpelijk en evenwichtig moet zijn. Voor compliance professionals betekent dit dat zij intensief betrokken zijn bij communicatie‑ en besluitvormingsprocessen rondom de transitie. De kernvraag van het toezicht – kan de deelnemer een goed geïnformeerde beslissing nemen – raakt direct aan de rol van compliance.
- Beleggingsinstellingen
AFM en DNB richten zich toenemend op risico’s buiten het bankwezen, waar complexiteit en transparantie een belangrijke rol spelen. Voor compliance professionals betekent dit een grotere focus op liquiditeits‑ en leverage‑risico’s, marktmisbruik en de betrouwbaarheid van ESG‑informatie. Het vermogen om complexe structuren te doorgronden en hierover het gesprek aan te gaan met de toezichthouder wordt steeds belangrijker.
- Overige instellingen
Voor fintechs, crypto‑aanbieders en betaaldienstverleners ligt de focus op innovatie en nieuwe Europese regelgeving, zoals MiCA en de AI Act. Compliance professionals in deze sectoren krijgen te maken met een snel veranderend toezichtlandschap, waarin vergunningplicht, businessmodel en compliance by design centraal staan. Wendbaarheid en vroegtijdige betrokkenheid bij productontwikkeling zijn hierbij essentieel.
Wat betekent dit voor de compliance professionals
De toezichtagenda’s laten weinig ruimte voor vrijblijvende interpretatie. Van compliance professionals wordt verwacht dat zij niet alleen toetsen, maar actief bijdragen aan risicobeheersing en besluitvorming. De kern is niet langer of beleid bestaat, maar of aantoonbaar wordt gemaakt dat het werkt.
Dit vraagt om een verschuiving van reactief naar proactief, van controle naar beheersing en van silo’s naar integrale governance. Van bureaugeleerde naar gesprekspartner, van beoordelaar naar adviseur/meedenker. Misschien ook wel een beetje opschuiven van onafhankelijk naar betrokken.
Compliance professionals die deze rol oppakken, zijn niet alleen beter voorbereid op toezicht in 2026, maar leveren ook zichtbare waarde voor hun organisatie.
