De Autoriteit Financiële Markten (AFM) breidt zijn digitale toezichtcapaciteit uit met nieuwe it-experts in Nederland. Accenture en Google Cloud hebben in Europa een soeverein it-centrum geopend voor organisaties die data en algoritmen onder EU-regels willen beheren. Deze stappen spelen in op strengere eisen uit de AI-verordening en DORA. Ze raken direct aan Europese digitalisering gevolgen bedrijfsleven en de veiligheid van financiële markten.
AFM zoekt it-experts
De AFM wil meer specialisten aantrekken voor data-analyse, cybersecurity en toezicht op algoritmen. Daarmee wil de toezichthouder beter inspelen op digitalisering in financiële diensten. Denk aan geautomatiseerde handel, robo-advies en gebruik van generatieve AI bij klantcontact.
De nieuwe profielen richten zich op het doorlichten van modellen, broncode en datastromen. Ook versterken ze incidentrespons en toetsing van uitbestedingen aan it-leveranciers. Zo kan de AFM sneller ingrijpen bij verstoringen of misbruik van data.
De wervingsslag sluit aan op Europese verplichtingen die de lat hoger leggen. De AFM moet kunnen beoordelen of instellingen voldoen aan regels over dataminimalisatie, versleuteling en modelrisico’s. Dat vraagt mensen die techniek én toezichtstaal spreken.
Druk door nieuwe EU-regels
De Digital Operational Resilience Act (DORA) geldt vanaf 2025 voor financiële instellingen en hun it-leveranciers. De wet stelt eisen aan weerbaarheid, testprocedures en contracten met cloudproviders. Toezichthouders hebben daarom meer digitale slagkracht nodig.
De AI-verordening (AI Act) voegt daar risicoklassen aan toe voor algoritmen, met strengere eisen voor hoog-risico-toepassingen in finance. Denk aan documentatie, uitlegbaarheid en menselijk toezicht. Overtredingen kunnen leiden tot forse boetes.
Daarnaast breidt NIS2 de zorgplicht voor cybersecurity uit naar meer sectoren en ketenpartners. Dat heeft impact op hoe bedrijven inkopen, monitoren en rapporteren. Samen vergroten deze kaders de vraag naar it-kennis bij zowel bedrijven als toezichthouders.
Accenture en Google openen centrum
Accenture en Google Cloud openen een soeverein it-centrum om Europese klanten te helpen met cloud, data en AI onder EU-recht. Het centrum richt zich op datalocatie, toegangscontrole en encryptie met eigen sleutelbeheer. Zo behouden organisaties meer zeggenschap over gevoelige informatie.
Google Cloud biedt hiervoor Sovereign Controls en EU-dataroute-opties; Accenture levert implementatie, sectorkennis en beheer. Confidential computing, waarbij data versleuteld blijft tijdens verwerking, speelt hierbij een rol. Dit verkleint het risico op ongeautoriseerde inzage.
Voor publieke sector, zorg en financiële instellingen is deze opzet relevant vanwege AVG en sectorregels. Het centrum moet migraties versnellen zonder de compliance uit het oog te verliezen. Tegelijk blijven interoperabiliteit en exit-strategie belangrijke aandachtspunten.
Waarom soevereine cloud telt
Veel Europese organisaties willen zeker weten dat data binnen de EU blijft en onder Europese wet valt. Zij willen ook grip op wie toegang kan krijgen, inclusief supportmedewerkers van leveranciers. Soevereine cloudoplossingen beloven die controle te bieden.
Een soevereine cloud houdt data, toegang en ondersteuning binnen een gekozen rechtsgebied, met afdwingbare technische en contractuele waarborgen.
Daarmee verklein je juridische risico’s, bijvoorbeeld rond extraterritoriale wetgeving. Ook wordt due diligence bij uitbesteding eenvoudiger, omdat eisen explicieter zijn. Wel kunnen kosten en complexiteit hoger uitvallen dan bij standaardoplossingen.
Belangrijk is dat organisaties niet alleen op papier, maar ook technisch afdwingen wat nodig is. Denk aan klantbeheerde sleutels, logging en strikte identiteits- en toegangsbeheer (IAM). Zonder die basis blijft soevereiniteit vooral een belofte.
Gevolgen voor Nederlandse organisaties
Bedrijven die nu keuzes maken over cloud en AI moeten compliance vroeg in het ontwerp opnemen. Begin met een gegevensregister, dataclassificatie en een plan voor dataminimalisatie. Koppel hieraan technische controles zoals encryptie, key management en monitoring.
Voor financiële instellingen wordt afstemming met DORA cruciaal, inclusief testen van weerbaarheid en leveranciersrisico’s. Contracten met cloudaanbieders moeten rechten op audit en exit vastleggen. Ook is het aan te raden om modelrisicobeheer te standaardiseren voor AI-toepassingen.
Niet alle organisaties hebben de mensen of middelen om dit zelf te doen. Managed services vanuit een soeverein it-centrum kunnen helpen, maar let op lock-in en portabiliteit. Een gefaseerde migratie met meetbare controles beperkt de risico’s en kosten.
Wat dit verandert in de praktijk
Toezicht en bedrijfsvoering schuiven steeds meer op naar technische details. Documentatie, testbaarheid en uitlegbaarheid worden net zo belangrijk als functionaliteit. Dat geldt voor interne systemen én voor wat leveranciers leveren.
De rol van de it-afdeling verandert daarmee van uitvoerder naar risicopartner van bestuur en compliance. Security- en datateams moeten vroeg aan tafel bij innovatieprojecten. Zo voorkom je dure herbouw achteraf.
Voor burgers en klanten betekent dit meer transparantie over data en algoritmen. In ruil daarvoor mogen zij hogere betrouwbaarheid en snellere incidentafhandeling verwachten. Dat is precies het doel van de nieuwe Europese kaders.