An innovative, cloud native, model-driven content and archiving solution, with a transparent policy-based and attribute-based access control (ABAC), that scales effortlessly with your organization.
Content migration, integration and distribution
Robust, high-performance and secure platform that empowers organizations to distribute content across multiple systems and monitor information flows.
Available for all Documentum user interfaces, AmeXio myInsight is fully certified by OpenText and is a powerful add-on to help you generate custom dashboards and reports in a wide variety of formats.
AmeXio Cloud provides a multi-cloud IaaS, DaaS, PaaS and SaaS offering on 3 levels (public, private and hybrid), which is fully hosted and operated in the EU.
Wat de ECB-rem op Revolut blootlegt voor elke financiële instelling
auteur: Alain van Hove
3–5 minuten
Hoe toezichthouders de lat hebben verlegd van controles hebben naar controles kunnen bewijzen, en waarom gevestigde instellingen die verschuiving onderschatten.
TL;DR. De ECB beperkte Revolut niet omdat de controles ontbraken, maar omdat de bank niet kon laten zien dat ze werkten. Die lat ligt intussen voor de hele sector hoger. En gevestigde instellingen zijn daarbij vaak kwetsbaarder dan neobanken, want hun bewijs zit verspreid over legacy-systemen, schijven en mailboxen. De vraag die telt is simpel. Krijg je het verantwoordingsspoor rond op het moment dat een toezichthouder erom vraagt?
Vorige zomer legde de Europese Centrale Bank (ECB) de neobank Revolut tijdelijk beperkingen op bij het lanceren van nieuwe producten. Waarom precies, raakte pas deze maand bekend. De interne controle hield geen gelijke tred met het tempo waarmee de bank nieuwe producten uitbracht.(bron: VRT NWS)
De voor de hand liggende lezing is snel gemaakt. Een fintech die te hard van stapel liep. Een waarschuwing voor wie snelheid boven zorgvuldigheid kiest. Een verhaal over iemand anders. En precies daar zit de denkfout.
Wat de ECB echt vroeg
Wie het dossier leest, ziet geen snelheidsprobleem. De ECB vroeg niet alleen of de controles er waren. Die waren er. Ze wilde dat Revolut kon aantonen dat die controles ook echt werkten, en legde daarvoor zelfs een externe doorlichting op. Dat is geen incident. Het toezicht beweegt al jaren die kant op. De vraag verschuift van “hebben jullie de juiste controles?” naar “toon maar aan dat ze werken, op het moment dat wij erom vragen”. Die verwachting staat niet in één bepaling verstopt. Ze loopt door het hele kader waarbinnen elke financiële instelling vandaag werkt.
De toezichtsprioriteiten van de ECB hameren al jaren op governance en op betrouwbare, aantoonbare risicodata. (Check de actuele editie en citeer ze letterlijk in de finale versie.)
DORA (Digital Operational Resilience Act) verplicht instellingen sinds begin 2025 om operationeel weerbaar te zijn én dat te kunnen tonen.
BCBS 239, de Basel-principes voor risk data aggregation, zegt het in feite al jaren. Je moet je risicogegevens accuraat, volledig en tijdig kunnen reproduceren. Het principe is niet nieuw. De strengheid waarmee het wordt gehandhaafd wel.
Dichter bij huis bewaken de Nationale Bank (NBB) en de FSMA dezelfde verwachting, in lijn met de EBA-richtlijnen rond interne governance.
Het patroon is overal hetzelfde. Kunnen aantonen dat je controles werken is intussen een basisverwachting geworden, geen pluspunt meer.
Waarom gevestigde instellingen hier kwetsbaar zijn
Dit lijkt een probleem voor jonge, snelle techbedrijven, en een gevestigde bank of verzekeraar met dertig jaar procedures lijkt vanzelf op orde. In de praktijk zien we vaak het tegendeel. Bij een fintech zit veel in één moderne, doorzoekbare omgeving. Bij een gevestigde instelling zit het bewijs verspreid over legacy-systemen, gedeelde schijven, mailboxen en processen die deels nog handwerk zijn. De controle bestaat meestal wel. De echte test is of je binnen 24 uur kunt reconstrueren wie wat wanneer mocht inzien, wijzigen, bewaren of verwijderen, en dat ook kunt laten zien. Die test wordt steeds vaker afgenomen. Snelheid en innovatie zijn dus geen excuus meer. De vraag die de zaak-Revolut blootlegt, geldt voor iedereen. Kun je het bewijzen?
Vier vragen voor uw risk- en complianceteam
Kunnen we voor elk gevoelig document binnen één dag tonen wie er toegang toe had, wie het wijzigde en wanneer?
Weten we van onze meest kritische informatie precies waar ze staat, en waar overal kopieën circuleren?
Kunnen we een bewaar- en verwijderbeleid niet alleen formuleren, maar ook aantoonbaar afdwingen?
Hoeveel van ons bewijs hangt vandaag af van iemand die het handmatig bij elkaar zoekt?
Wie hier twijfelt, heeft zelden een gebrek aan controles. Wat ontbreekt, is de bewijsbaarheid. En dat is net wat een toezichthouder vandaag als eerste opmerkt.
Van controle naar aantoonbare controle
Dit is het werk dat wij bij AMEXIO met banken en verzekeraars doen: governance zo inrichten dat ze op verzoek aantoonbaar is, voor een auditor, een toezichthouder of de raad van bestuur.
In de praktijk betekent dat werken waar het bewijs echt ligt: in de documenten en content zelf, niet in een rapportagelaag die erbovenop is geplakt. Wij helpen instellingen controleren wie een gevoelig document mag inzien, wijzigen, bewaren of verwijderen, en we onderhouden een audittrail die tegen controle bestand is. Zodat “wie deed wat, en wanneer” binnen uren kan worden geproduceerd in plaats van manueel over dagen te worden gereconstrueerd. We kaarten in kaart waar kritieke informatie ligt opgeslagen en waar kopieën rondcirculeren, classificeren het, en zetten een bewaar- en verwijderbeleid om in iets wat het systeem afdwingt, niet in een beleid dat alleen op papier bestaat.
Dezelfde logica strekt zich uit buiten uw eigen organisatie. In een toeleveringsketen draait het om één vraag: wie is waarvoor verantwoordelijk, en kunt u dat bewijzen? Het draait altijd om hetzelfde: een verantwoordingsketen die helder, verifieerbaar en direct beschikbaar is, nog voordat iemand erom vraagt.
