futurelegacy.nl
RegPilot · Regulatory Compliance Platform
1
Instellingsprofiel
2
Regelgeving
3
Documenten
4
AI Analyse
5
Gap Rapport
6
Actielijst
7
Dashboard
🎯 Doel
Stel uw instellingsprofiel in. RegPilot gebruikt dit om te bepalen welke regelgevingen automatisch verplicht van toepassing zijn op uw specifieke situatie.
📋 Wat wordt uitgevraagd
Type instelling, vergunninghouder (AFM/DNB), omvang (FTE, AUM), actieve markten en huidige compliance-aanpak.
⚙️ Wat de engine doet
Koppelt uw profiel aan de regulatoire matrix (instelling × vergunning × markt × omvang) en geeft automatisch een verplichte regelgeving-scope terug. Drempelwaarden (zoals SFDR PAI-plicht bij AUM > €500M) worden direct meegewogen.
Uw instellingsprofiel
Uw profiel bepaalt welke regelgevingen verplicht van toepassing zijn én bij welke drempelwaarden specifieke verplichtingen gelden. Verfijn de selectie in stap 2.
Type instelling *
Toezichthouder / vergunning *
AFM
DNB
AFM + DNB
Geen vergunning
Aantal medewerkers (FTE)
Beheerd vermogen (AUM)
Actieve markten
Nederland
EU (overige)
Verenigd Koninkrijk
Wereldwijd
Huidige compliance-aanpak
Laatste compliance-audit
⚡ Automatisch bepaalde regelgeving-scope op basis van uw profiel
DORA MiFID II/III SFDR AMLD6 / AMLR AVG / GDPR AI Act (optioneel – 2025–2027)
5 verplichte regelgevingen van toepassing op basis van: AIFM-vergunning (AFM) · 11–50 FTE · AUM €100–500M · markten NL + EU. Let op: bij dit profiel geldt de SFDR PAI-verklaring op entiteitsniveau als comply-or-explain (verplichte drempel is AUM > €500M of > 500 FTE). MiCA en BCBS 239 zijn voor dit profiel niet van toepassing.
🎯 Doel
Bevestig of verfijn de scope: welke regelgevingen worden in deze analyse meegenomen. Verplichte regelgevingen zijn vergrendeld op basis van uw profiel.
📋 Wat wordt uitgevraagd
Verplichte regelgevingen zijn voorgeselecteerd. Optionele regelgevingen (bijv. AI Act, MiCA) kunt u naar eigen inzicht toevoegen. Elk kaartje toont de toepassingsstatus voor uw profiel.
⚙️ Wat de engine doet
Combineert de geselecteerde regelgevingen in één geïntegreerde vereisten-scope. Detecteert overlappende verplichtingen (bijv. DORA × AVG voor ICT-verwerkers) om dubbel werk te voorkomen.
Regelgeving-scope bevestigen
Groen vergrendeld = verplicht voor uw profiel. Grijs = optioneel op basis van uw activiteiten. Klik optionele kaartjes aan of uit om toe te voegen.
DORA
Digital Operational Resilience Act
ICT-risicobeheer, operationele weerbaarheid, incidentrapportage en beheer van ICT-derde partijen (TPP's).
Verplicht · Actief jan 2025
MiFID II / MiFIR
Markets in Financial Instruments Directive
Gedragsregels beleggingsdiensten, geschiktheid, klantclassificatie, productgovernance en kosten & lasten.
Verplicht · Actief · Doorlopend
SFDR
Sustainable Finance Disclosure Regulation
Duurzaamheidsdisclosures op entiteits- en productniveau. PAI comply-or-explain voor dit profiel (AUM < €500M, FTE < 500).
Verplicht · Actief · Doorlopend
AMLD6 / AMLR
Anti-Money Laundering Directive & Regulation
AML/KYC-verplichtingen, cliëntenonderzoek (CDD/EDD), transactiemonitoring, UBO-registratie. AIFM's zijn verplichte entiteiten (obliged entities).
Verplicht · Actief 2025
AVG / GDPR
Algemene Verordening Gegevensbescherming
Verwerking persoonsgegevens, verwerkersovereenkomsten, DPIA-plicht bij hoog-risico verwerkingen, datalekprotocol.
Verplicht · Actief · Doorlopend
AI Act
EU Artificial Intelligence Act
Vereisten voor AI-systemen die in uw dienstverlening worden ingezet. Hoog-risico classificatie bij gebruik in kredietbeoordeling of klantscreening.
Optioneel · Gefaseerd 2025–2027
Voeg toe als u AI-systemen inzet in bedrijfsprocessen.
CSRD
Corporate Sustainability Reporting Directive
Duurzaamheidsrapportage conform ESRS-standaarden, dubbele materialiteitsanalyse.
Optioneel · Niet van toepassing
Niet verplicht: uw instelling valt onder de omvangsdrempel (< 250 FTE, niet beursgenoteerd).
MiCA
Markets in Crypto-Assets Regulation
Regelgeving voor uitgifte en diensten rondom crypto-assets en stablecoins.
Optioneel · Niet van toepassing
Alleen relevant als u crypto-assets aanbiedt of beheert. Niet van toepassing op traditioneel vermogensbeheer.
Wft
Wet op het financieel toezicht
Nationale implementatie van EU-richtlijnen (incl. MiFID II, AIFMD). Gedragstoezicht, vergunningseisen en zorgplicht.
Optioneel · Nationaal kader
Voeg toe voor nationaal Wft-toezichtperspectief naast EU-regelgeving.
🎯 Doel
Upload bestaande beleid- en proceduurdocumentatie als analysebasis. Hoe vollediger de upload, hoe preciezer de gap-detectie en hoe minder conservatieve aannames de engine hoeft te maken.
📋 Wat wordt uitgevraagd
Beleid & procedures, ICT-contracten en SLA's, risico- en jaarverslagen, incidentregistraties, AML-dossiers, verwerkersovereenkomsten. Klik een type aan om toe te voegen.
⚙️ Wat de engine doet
NLP-extractie: relevante compliance-passages worden per document herkend en gemapt op specifieke regelgeving-artikelen. Ontbrekende documenten worden als gap gesignaleerd.
Upload uw documenten
Accepteert PDF, Word, Excel en tekstbestanden tot 50 MB. Documenten worden vertrouwelijk verwerkt op EU-servers en nooit gebruikt voor AI-training.
Selecteer documenttype om toe te voegen
📄Beleids- & procedurebeschrijvingen
🤝ICT-contracten & SLA's
📊Risicomanagement-rapportage
🚨Incidentenregister & BCM-plan
🔎AML- & KYC-beleid en -dossiers
🔐Verwerkersovereenkomsten (AVG)
☁️
Sleep bestanden hierheen of klik om te bladeren
PDF, DOCX, XLSX, TXT · max. 50 MB per bestand
📄
Compliance_Beleid_2025.pdf
2.4 MB
📋
ICT_Risicobeheer_Framework.docx
1.1 MB
🎯 Doel
Volledig automatische analyse: RegPilot vergelijkt uw documenten systematisch met alle specifieke artikel-vereisten van de 5 geselecteerde regelgevingen.
📋 Wat wordt uitgevraagd
Geen verdere invoer nodig. Klik "Start Analyse". De analyse duurt in productie gemiddeld 2–4 minuten afhankelijk van documentomvang.
⚙️ Wat de engine doet
5 opeenvolgende fases: documentparsering → artikel-mapping → gap-scoring per vereiste → risicocalculatie (boeterisico × deadline × impact) → actielijst- en template-generatie.
AI Compliance Analyse
RegPilot analyseert uw geüploade documenten tegen de vereisten van 5 regelgevingen (DORA · MiFID II · SFDR · AMLD6 · AVG)
📁
Documenten inladen & parseren
Tekstextractie, structuurherkenning, NLP-voorbereiding
Wacht...
🗂️
Regelgeving-artikelen mappen
Koppeling documentinhoud aan specifieke artikel-vereisten per regelgeving
Wacht...
🔍
Gap-detectie uitvoeren
Vergelijking aanwezig bewijs versus vereiste afdekking per artikel
Wacht...
⚠️
Risicoscore berekenen
Prioritering op basis van boeterisico, deadline-urgentie en operationele impact
Wacht...
📋
Actielijst & templates genereren
Geprioriteerde aanbevelingen met gekoppelde compliance-templates
Wacht...
Analyse duurt ca. 2–4 minuten in productie. Hier versneld voor demo.
🎯 Doel
Volledig inzicht in uw compliance-status per regelgeving, uitgesplitst naar individuele artikel-vereisten. Klik een bevinding aan voor details en aanbevolen actie.
📋 Wat wordt getoond
Per regelgeving: compliant / gedeeltelijk / niet-compliant vereisten op artikelniveau, voorzien van risicotoelichting, geschatte inspanning en template-koppeling.
⚙️ Wat de engine doet
Per bevinding: status, risicoscore, aanbevolen maatregel, geschatte doorlooptijd en gekoppeld compliance-template voor directe download.
Gap Analyse Resultaten
Klik een bevinding aan voor details en aanbevolen actie · 5 regelgevingen · 37 vereisten onderzocht
16
✓ Compliant (43%)
13
⚡ Gedeeltelijk (35%)
8
✗ Niet compliant (22%)
57%
⚠️ Aandacht vereist
DORA (10)
MiFID II (8)
SFDR (6)
AMLD6 (6)
AVG / GDPR (7)
DORA Art. 28 lid 1–3
Register kritieke ICT-derde partijen (TPP-register)
Geen gedocumenteerd register aangetroffen van ICT-leveranciers met risicoclassificatie, contractuele condities en exitstrategieën.
Wat ontbreekt
Formeel register met per TPP: naam, dienst, type (kritiek/niet-kritiek), contractdatum, risicobeoordeling en gedocumenteerde exitstrategie.
Aanbevolen actie
Aanmaken TPP-register conform DORA RTS-vereisten. Classificeer kritieke vs. niet-kritieke ICT-aanbieders. RegPilot levert een kant-en-klaar register-template.
Risico bij niet-naleving
Toezichthouder (AFM/DNB) kan administratieve sanctie opleggen. DORA is actief per januari 2025: direct adresseren.
Geschatte inspanning
2–4 weken. Template bevat alle verplichte velden; invullen per leverancier is het grootste werk.
Kritieke gap
DORA Art. 11 lid 1–5
ICT Business Continuity Plan met RTO/RPO-doelstellingen
BCP aanwezig maar niet specifiek gericht op ICT-verstoringen; hersteltijtdoelstellingen (RTO) en herstelpuntdoelstellingen (RPO) zijn niet gedocumenteerd.
Wat ontbreekt
ICT-specifiek BCP-hoofdstuk met concrete RTO/RPO-waarden, gedocumenteerde crisisscenario's en aantoonbaar uitgevoerde hersteltest (minimaal jaarlijks).
Aanbevolen actie
Bestaand BCP uitbreiden met ICT-bijlage. RTO en RPO vaststellen per kritiek systeem. Jaarlijkse BCP-test inplannen en vastleggen.
Kritieke gap
DORA Art. 25 lid 1–2
Dreigingsgestuurd penetratietestprogramma (TLPT)
Geen aantoonbaar penetratietestprogramma aangetroffen. DORA vereist periodieke TLPT voor financiële entiteiten met significante ICT-afhankelijkheden.
Wat ontbreekt
Gedocumenteerd penetratietestplan, uitgevoerde test door gekwalificeerde partij en vastgelegde bevindingen met opvolgacties.
Aanbevolen actie
Penetratietest inplannen met gecertificeerde aanbieder (minimaal eens per 3 jaar voor kleinere entiteiten). Bevindingen en herstelmaatregelen vastleggen.
Kritieke gap
DORA Art. 17 lid 1–3 & Art. 18
ICT-incidentclassificatiematrix conform DORA-criteria
Incidentproces aanwezig, maar classificatiecriteria niet in lijn met DORA Art. 18-drempelwaarden (impact × beschikbaarheid × duur × verspreiding).
Wat ontbreekt
Formele classificatiematrix op basis van de 7 DORA Art. 18-criteria, inclusief drempelwaarden voor meldplicht aan AFM/DNB.
Aanbevolen actie
Bestaand incidentproces updaten. Escalatiepad naar toezichthouder inrichten (eerste melding binnen 4 uur, tussentijds 72 uur, eindrapport 1 maand).
Gedeeltelijk
DORA Art. 8 lid 2
ICT-activa- en kwetsbaarhedenregister (volledigheid)
Hardware-inventaris aanwezig; softwareactiva, versie-informatie en systematische kwetsbarheidstracking ontbreken.
Wat ontbreekt
Volledig software-activa-register met versies, patchstatus en open kwetsbaarheden (CVE-tracking). Kwartaallijkse vulnerability-scan.
Aanbevolen actie
Uitbreiding bestaande inventaris met softwarelaag. Kwartaallijkse vulnerability-scan invoeren en resultaten vastleggen.
Gedeeltelijk
DORA Art. 13 lid 1–2
ICT-gerelateerde rapportage aan bestuur
Bestuur ontvangt ad-hoc updates; gestructureerde periodieke rapportage over ICT-risico's conform DORA-vereisten ontbreekt.
Wat ontbreekt
Formeel rapportageformat: kwartaalrapportage ICT-risico's, incidenten en TPP-status voor bestuursniveau.
Aanbevolen actie
Kwartaalrapportage-template opstellen en opnemen in bestaande bestuurscyclus.
Gedeeltelijk
DORA Art. 16 lid 1
Continuïteitstesten kritieke ICT-systemen
Testplan aanwezig maar geen aantoonbare uitvoering van continuïteitstesten in de afgelopen 12 maanden.
Wat ontbreekt
Bewijs van uitgevoerde tests (testrapport) en vastgelegde verbeteracties naar aanleiding van testresultaten.
Aanbevolen actie
Test inplannen, uitvoeren en testresultaten inclusief verbeteracties documenteren. Jaarlijkse herhaling in beleid verankeren.
Gedeeltelijk
DORA Art. 5 lid 1–2
ICT-risicobeheer-framework op bestuursniveau
Bestuursbesluit en ICT-risicobeleid aanwezig, ondertekend en gedocumenteerd. Voldoet aan DORA-vereisten.
Compliant
DORA Art. 6 lid 1–4
ICT-risicobeleid & -doelstellingen
Formeel ICT-risicobeleid aanwezig, actueel (herziening < 12 maanden) en aantoonbaar goedgekeurd door bestuur.
Compliant
DORA Art. 9 lid 1–3
Informatiebeveiliging & toegangsbeleid
Informatieclassificatie, toegangsbeheer en MFA-beleid gedocumenteerd en operationeel. Voldoet aan DORA Art. 9-vereisten.
Compliant
MiFID II Art. 9a (SFDR integratie) & Delegated Reg. 2017/565
ESG-integratie in beleggingsadvies- en beheerproces
Duurzaamheidsrisico's en -voorkeuren van cliënten worden niet systematisch uitgevraagd en niet aantoonbaar geïntegreerd in het beleggingsproces.
Wat ontbreekt
Cliëntvragenlijst uitgebreid met ESG-voorkeurenmodule (Art. 54 Delegated Regulation) en gedocumenteerde integratie in beleggingsbeleid en IPS-documenten.
Aanbevolen actie
Geschiktheidsformulier uitbreiden met ESG-preferentie-uitvraag. Beleggingsbeleid aanpassen om ESG-integratie te documenteren per strategie.
Kritieke gap
MiFID II Art. 25 lid 6 & Art. 54 Delegated Reg.
Periodieke geschiktheidsbeoordelingen (jaarlijkse suitability review)
Initiële geschiktheidstoets aanwezig; periodieke herziening (minimaal jaarlijks bij doorlopend beheer) niet aantoonbaar uitgevoerd voor bestaande cliënten.
Wat ontbreekt
Gedocumenteerde jaarlijkse herziening voor alle cliënten met doorlopende beheerovereenkomst, inclusief update van ESG-voorkeuren.
Aanbevolen actie
Jaarlijkse review-cyclus inrichten en vastleggen in CRM. Cliënten actief benaderen voor bijwerking profiel.
Gedeeltelijk
MiFID II Art. 24 lid 4 & Art. 50 Delegated Reg.
Kosten & lasten rapportage (ex ante & ex post)
Ex ante kostendisclosure aanwezig; ex post jaarlijkse kosten & lasten rapportage per cliëntportefeuille niet volledig gedocumenteerd voor alle cliënten.
Wat ontbreekt
Gestandaardiseerde ex post rapportage voor alle beheerklanten, inclusief aggregate kosten per jaar.
Aanbevolen actie
Jaarlijkse ex post rapportage structureel inrichten en automatiseren per cliëntaccount.
Gedeeltelijk
MiFID II Art. 25 lid 2
Geschiktheidstoets bij aanvang dienstverlening
Gestandaardiseerde geschiktheidsvragenlijst aanwezig, gedocumenteerd en aantoonbaar gebruikt bij alle vermogensbeheerklanten.
Compliant
MiFID II Art. 16 lid 3
Klachtenafhandelingsbeleid
Schriftelijk klachtenbeleid beschikbaar, gepubliceerd op website en actief gecommuniceerd aan cliënten.
Compliant
MiFID II Art. 16 lid 6 & Delegated Reg. Art. 37
Productgovernance (target market definitie)
Doelmarkten per beleggingsproduct gedocumenteerd, vastgelegd in productgovernance-dossiers en gecommuniceerd aan distributeurs.
Compliant
MiFID II Art. 18
Belangenconflictenbeleid
Formeel belangenconflictenbeleid aanwezig, gedocumenteerd en aantoonbaar vastgesteld door bestuur.
Compliant
MiFID II Art. 30 lid 1
Cliëntclassificatie (professioneel / retail)
Alle cliënten correct geclassificeerd, documentatie up-to-date en procedure voor opt-up/-down gedocumenteerd.
Compliant
SFDR Art. 10 & RTS (Delegated Reg. 2022/1288)
Productpagina's website niet conform RTS-template-vereisten
Fondspagina's bevatten ESG-informatie maar voldoen niet aan de verplichte template-structuur van de RTS per 1 januari 2023.
Wat ontbreekt
Website-disclosure conform de verplichte RTS-template voor Art. 8- en Art. 9-producten: gestandaardiseerde secties, grafische weergave en specifieke datavelden.
Aanbevolen actie
Fondspagina's herstructureren conform RTS-template per productcategorie. Prioriteit bij Art. 9-fondsen.
Kritieke gap
SFDR Art. 4 lid 1(a) & Art. 4 lid 1(b)
PAI-verklaring op entiteitsniveau (comply-or-explain)
Geen PAI-verklaring gepubliceerd. Voor dit profiel (AUM < €500M, FTE < 500) is publikatie niet verplicht maar geldt een comply-or-explain-plicht: u moet expliciet documenteren waarom u niet rapporteert.
Status voor dit profiel
Verplichte PAI-rapportage geldt voor beheerders met AUM > €500M of meer dan 500 medewerkers. Uw instelling valt hieronder. Echter: de keuze om niet te rapporteren moet aantoonbaar worden gemeld op de website.
Aanbevolen actie
Publiceer een "Principal Adverse Impacts not considered"-verklaring op uw website met toelichting. RegPilot levert een gevalideerde tekst-template.
Gedeeltelijk
SFDR Art. 8/9 & RTS Art. 14–23
Pre-contractuele ESG-informatie (RTS-template)
Prospectus en beheerovereenkomsten bevatten ESG-toelichting maar zijn niet geüpdatet naar de verplichte RTS-templates die per 1 januari 2023 gelden.
Wat ontbreekt
Pre-contractuele documenten conform de RTS-templates: gestandaardiseerde secties voor duurzaamheidsrisico, PAI-integratie en doelstelling per productcategorie.
Aanbevolen actie
Documenten actualiseren per fondscategorie (Art. 6 / Art. 8 / Art. 9). Prioriteit bij nieuwe cliëntovereenkomsten.
Gedeeltelijk
SFDR Art. 11 & RTS Art. 50–64
Periodieke rapportage duurzaamheidsdoelstellingen (Art. 9)
Jaarrapportage bevat kwalitatieve ESG-informatie; kwantitatieve KPI's conform de RTS Art. 11-template ontbreken voor Art. 9-fondsen.
Wat ontbreekt
Kwantitatieve rapportage inclusief de 18 verplichte PAI-indicatoren voor Art. 9-fondsen in het jaarverslag.
Aanbevolen actie
Jaarverslag aanvullen met RTS-conforme PAI-sectie voor Art. 9-fondsen. Template beschikbaar voor directe invulling.
Gedeeltelijk
SFDR Art. 3
Entiteitsdisclosure: integratie duurzaamheidsrisico's
Verklaring over integratie van duurzaamheidsrisico's in beleggingsbeslissingen gepubliceerd op website. Voldoet aan Art. 3-vereisten.
Compliant
SFDR Art. 6
Productclassificatie (Art. 6 / Art. 8 / Art. 9)
Alle fondsen correct geclassificeerd en productcategorie aantoonbaar vastgesteld en gedocumenteerd.
Compliant
AMLR Art. 11 / AMLD6 Art. 8
Gedocumenteerde instelling-brede risicoanalyse (IBRA)
Geen actuele instelling-brede risicoanalyse (IBRA) aangetroffen. AMLD6 vereist een gedocumenteerde analyse van de AML/CFT-risico's die de instelling loopt, periodiek herzien.
Wat ontbreekt
Formele IBRA gedocumenteerd per risicocategorie: cliënten, producten/diensten, landen en leveringskanalen. Met periodieke herziening (minimaal jaarlijks).
Aanbevolen actie
IBRA opstellen op basis van FATF-methodologie. RegPilot biedt een gestructureerd risicoanalyse-format met alle verplichte categorieën.
Kritieke gap
AMLD6 Art. 13 (EDD) & Art. 18a
Verscherpt cliëntenonderzoek (EDD) hoog-risico cliënten
Standaard CDD-procedure aanwezig; specifieke EDD-procedure voor hoog-risico cliënten (PEP's, hoog-risico landen) niet afzonderlijk gedocumenteerd.
Wat ontbreekt
Aparte EDD-procedure met aanvullende maatregelen voor PEP's, correspondent banking en cliënten uit hoog-risico derde landen (FATF-lijst).
Aanbevolen actie
EDD-sectie toevoegen aan bestaand KYC-beleid. Template bevat verplichte stappen conform AMLD6 en FATF-guidance.
Gedeeltelijk
AMLD6 Art. 8 lid 5
AML/CFT-beleid: actualiteit en bestuursgodkeuring
AML-beleid aanwezig maar niet herzien na de inwerkingtreding van AMLD6/AMLR in 2025. Formele bestuursgodkeuring van herziene versie ontbreekt.
Wat ontbreekt
Update van AML-beleid naar AMLD6/AMLR-vereisten inclusief AMLA-rapportagestructuur, met aantoonbare bestuursgodkeuring en versiedatum 2025/2026.
Aanbevolen actie
Beleid herzien, goedkeuren en herziening vastleggen. Volgende herziening plannen binnen 12 maanden.
Gedeeltelijk
AMLD6 Art. 11 & 12 (CDD)
Standaard cliëntenonderzoek (CDD) & KYC-procedure
CDD-procedure aanwezig en operationeel. Identificatie, verificatie en vastlegging van cliëntgegevens conform vereisten gedocumenteerd.
Compliant
AMLD6 Art. 30 & 31 / UBO-register
UBO-identificatie en registratie
UBO-identificatieproces operationeel, UBO's van cliëntentiteiten correct geregistreerd en geverifieerd in het KvK UBO-register.
Compliant
AMLD6 Art. 33 & 34 (STR)
Ongebruikelijke transactiemonitoring en meldplicht
Transactiemonitoringproces ingericht, meldplicht FIU-NL gedocumenteerd en aantoonbaar operationeel.
Compliant
AVG Art. 35
DPIA voor hoog-risico verwerkingen
Twee verwerkingen geïdentificeerd die een verplichte DPIA vereisen (profilering cliëntgedrag, grootschalige verwerking bijzondere categorieën). Geen DPIA-documentatie aangetroffen.
Wat ontbreekt
DPIA voor (1) geautomatiseerde profilering van cliëntgedrag en (2) verwerking van financiële gegevens van personen. Raadpleging FG indien aangesteld.
Aanbevolen actie
DPIA uitvoeren voor beide verwerkingen conform de 9-stappen-methode van de AP. RegPilot levert een volledig DPIA-stappenplan met template.
Kritieke gap
AVG Art. 13 & 14
Informatieplicht bij geautomatiseerde besluitvorming
Privacyverklaring bevat geen toelichting op geautomatiseerde verwerking en profilering, terwijl dit aantoonbaar plaatsvindt in het beleggingsproces.
Wat ontbreekt
Transparantieparagraaf in privacyverklaring: beschrijving van geautomatiseerde besluitvorming, logica, gevolgen en recht op menselijke tussenkomst (Art. 22).
Aanbevolen actie
Privacyverklaring aanvullen met Art. 13/14-verplichte informatie over profilerings- en besluitvormingsprocessen.
Kritieke gap
AVG Art. 28 lid 3
Verwerkersovereenkomsten (DPA's)
DPA's aanwezig voor 8 van 11 verwerkers. Drie partijen (CRM-leverancier, marketing-tool, IT-dienstverlener) hebben geen getekende overeenkomst.
Ontbrekende DPA's
CRM-systeem, e-mailmarketingtool en externe IT-beheerder. Alle drie verwerken persoonsgegevens van cliënten.
Aanbevolen actie
DPA's direct opvragen of afsluiten met deze drie partijen. RegPilot levert een AVG-conforme DPA-template.
Gedeeltelijk
AVG Art. 5 lid 1(e) & Art. 13
Bewaartermijnenbeleid
Bewaartermijnen vastgesteld voor primaire verwerkingen; voor archief- en back-up systemen ontbreken gedocumenteerde termijnen en verwijderprocedure.
Wat ontbreekt
Volledig bewaartermijnenregister met verwijderprocedure voor alle verwerkingscategorieën, inclusief back-up systemen en archieven.
Aanbevolen actie
Bewaartermijnenregister uitbreiden en automatische verwijderprocedure inrichten.
Gedeeltelijk
AVG Art. 30
Register van verwerkingsactiviteiten (RvV)
Volledig RvV aanwezig, actueel (herziening < 6 maanden) en ondertekend door verwerkingsverantwoordelijke. Voldoet aan Art. 30-vereisten.
Compliant
AVG Art. 33
Datalekprocedure en meldprotocol AP
Datalekprocedure gedocumenteerd, intern meldproces operationeel en melding Autoriteit Persoonsgegevens correct ingeregeld (72-uur termijn).
Compliant
AVG Art. 13
Privacyverklaring (basistransparantie)
Privacyverklaring aanwezig op website, actueel en bevat de verplichte AVG Art. 13-elementen. Zie separate bevinding voor geautomatiseerde besluitvorming.
Compliant
🎯 Doel
Een concrete, geprioriteerde actielijst om alle geïdentificeerde gaps te dichten. Geordend op risicoscore × deadline-urgentie. Direct bruikbaar als projectplan.
📋 Wat wordt getoond
Per actie: regelgeving, artikel-referentie, prioriteit (hoog/middel/laag), streefdatum, verantwoordelijke rol en gelinkte compliance-template voor directe download.
⚙️ Wat de engine doet
Rangschikt acties op gecombineerde score: boeterisico × deadline-urgentie × operationele impact. Koppelt per actie een downloadbare template om direct te starten.
Geprioriteerde Actielijst
9 acties · gesorteerd op prioriteit × deadline · Klik "Template" om direct te starten
Prioriteit Actie Streefdatum Eigenaar Template
Hoog
Aanmaken TPP-register kritieke ICT-leveranciers
DORA Art. 28 · Kritieke gap · Verplicht per jan 2025
15 apr 2026
 Compliance / IT
Hoog
ICT Business Continuity Plan uitbreiden (RTO/RPO)
DORA Art. 11 · Kritieke gap
30 apr 2026
 IT / Risk
Hoog
DPIA uitvoeren voor hoog-risico verwerkingen
AVG Art. 35 · Kritieke gap
31 mei 2026
 Privacy Officer
Hoog
Instelling-brede risicoanalyse (IBRA) opstellen
AMLD6 Art. 8 / AMLR · Kritieke gap · Obliged entity
30 jun 2026
 Compliance / AML
Middel
Penetratietestprogramma opzetten (TLPT)
DORA Art. 25 · Kritieke gap
31 aug 2026
 IT / CISO
Middel
SFDR-productpagina's website updaten naar RTS-template
SFDR Art. 10 & RTS (2022/1288) · Kritieke gap
30 sep 2026
 Compliance
Middel
ESG-voorkeurenmodule toevoegen aan geschiktheidsformulier
MiFID II Art. 9a / Delegated Reg. Art. 54 · Kritieke gap
31 okt 2026
 Compliance
Laag
Ontbrekende verwerkersovereenkomsten (DPA's) afsluiten
AVG Art. 28 · Gedeeltelijk (3 van 11 verwerkers)
Q3 2026
 Legal
Laag
AML-beleid actualiseren naar AMLD6/AMLR en bestuur laten goedkeuren
AMLD6 Art. 8 lid 5 · Gedeeltelijk
Q4 2026
 Compliance / AML
🎯 Doel
Permanent inzicht in uw compliance-status. Altijd up-to-date voor bestuur, compliance officers en toezichthouders. Score updatet automatisch bij afgeronde acties.
📋 Wat wordt getoond
Overall compliance-score (gewogen), voortgang per regelgeving, de meest urgente deadlines, openstaande acties per prioriteit en een snel-actie-paneel.
⚙️ Wat de engine doet
Herberekent score bij elke statuswijziging. Stuurt deadline-alerts, genereert bestuursrapportages op aanvraag en toont historische trend per kwartaal.
Overall Score
61% gewogen score
Compliant 43% (16)
Gedeeltelijk 35% (13)
Niet compliant 22% (8)
↑ +6% t.o.v. Q4 2025 meting
Openstaande acties
9
acties vereisen opvolging
4 Hoog
3 Middel
2 Laag
Meest urgente deadline
⚠️ URGENT — 15 april 2026
TPP-register aanmaken
DORA Art. 28 · Kritieke gap · Verplicht per jan 2025 · Toegewezen aan: Compliance / IT
Compliance voortgang per regelgeving
DORA
38%
MiFID II
72%
SFDR
54%
AMLD6
62%
AVG / GDPR
57%
DORA vereist onmiddellijke aandacht (38%): TPP-register, ICT-BCP en penetratietestplan ontbreken. MiFID II scoort het sterkst — focus op ESG-integratie in het adviesproces. AMLD6 en AVG zijn deels op orde; de IBRA en DPIA zijn de kritieke openstaande punten.
Aankomende deadlines
15 apr
TPP-register aanmaken
DORA · Hoog
30 apr
ICT-BCP uitbreiden (RTO/RPO)
DORA · Hoog
31 mei
DPIA hoog-risico verwerkingen
AVG · Hoog
30 jun
IBRA opstellen
AMLD6 · Hoog
31 aug
Penetratietestplan TLPT
DORA · Middel
Snelle acties
Stap 1 van 7 — Instellingsprofiel