TL;DR:
- KYC is een wettelijk verplicht proces waarbij organisaties de identiteit van klanten vaststellen en beoordelen op risico’s. Het bestaat uit vijf stappen: gegevensverzameling, documentverificatie, biometrische controle, screening en risicobeoordeling, inclusief verscherpt onderzoek bij hoog risico. Continue monitoring gedurende de klantrelatie is essentieel om compliance en risicobeheer te waarborgen.
KYC (Know Your Customer) is het wettelijk verplichte proces waarbij organisaties de identiteit van hun klanten vaststellen, verifiëren en beoordelen op risico’s, zodat zij voldoen aan de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). Zonder een afgerond KYC-traject mag geen zakelijke relatie gestart worden onder de Wwft. Voor ondernemers en financiële professionals in Nederland is de uitleg van het KYC-proces niet alleen een compliance-kwestie, maar ook een directe bescherming van de eigen reputatie en bedrijfscontinuïteit. Dit artikel legt het volledige proces uit, van de eerste gegevensverzameling tot continue monitoring, inclusief de actuele eisen voor 2026.
Inhoudsopgave
Welke stappen omvat het KYC-proces in Nederland?
Een volledig KYC-onboardingproces bestaat uit vijf opeenvolgende stappen die samen de wettelijke basis vormen voor een verantwoorde klantrelatie. Elke stap bouwt voort op de vorige en samen vormen ze een sluitend systeem voor identiteitscontrole en risicobeheer. De Wwft schrijft voor dat meldingsplichtige entiteiten, zoals banken, accountants, notarissen en bepaalde ondernemers, dit proces volledig doorlopen voordat zij een klant accepteren.
Stap 1: Gegevensverzameling
De klant levert persoonsgegevens aan: naam, geboortedatum, adres en de aard van de zakelijke relatie. Bij rechtspersonen vraagt u ook naar de eigendomsstructuur en de uiteindelijk belanghebbende (UBO). Deze informatie vormt de basis voor alle vervolgstappen en bepaalt welk risiconiveau van toepassing is.
Stap 2: Documentverificatie
Identiteitsdocumenten zoals paspoorten, rijbewijzen of verblijfsvergunningen worden gecontroleerd op echtheid. Moderne systemen gebruiken optische tekenherkenning (OCR) en gegevensextractie om documenten automatisch te vergelijken met officiële sjablonen. Handmatige controle volstaat niet meer bij schaalbare processen.
Stap 3: Biometrische verificatie en levendigheidscontrole
Biometrische controle gecombineerd met documentverificatie voorkomt geavanceerde fraudetechnieken zoals deepfakes en videoaanvallen. De klant maakt een selfie of korte video, waarna het systeem de gezichtskenmerken vergelijkt met het identiteitsdocument. Zonder levendigheidscontrole verzwakt de risicobeheersing van het gehele KYC-traject aanzienlijk.
Stap 4: Screening op AML, sancties en PEP-lijsten
De klantgegevens worden automatisch vergeleken met internationale sanctielijsten (zoals die van de EU en OFAC), lijsten van politiek prominente personen (PEP’s) en bronnen voor negatieve media. KYC is onderdeel van een breder AML-raamwerk, waarbij KYC zich richt op identificatie en verificatie, en AML op gedetailleerde monitoring en rapportages. Een treffer op een sanctielijst blokkeert de onboarding direct.
Stap 5: Risicobeoordeling en besluitvorming
Op basis van de verzamelde data krijgt de klant een risicoscore: laag, normaal of hoog. Bij een hoge score volgt verscherpt cliëntenonderzoek (EDD). Bij een lage score kan de relatie worden gestart met standaard monitoring. De beslissing wordt gedocumenteerd en vormt de basis voor de audit-trail.
Pro-tip: Leg bij elke stap vast welke bronnen u heeft geraadpleegd en welke beslissing daaruit volgde. Dit is niet alleen goed praktijk, maar ook wettelijk vereist voor een aantoonbare audit-trail tegenover toezichthouders zoals De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM).
Hoe werkt risicoclassificatie en verscherpt cliëntenonderzoek?
Risicoclassificatie is de kern van een risicogebaseerde benadering van KYC, zoals de Wwft voorschrijft. De Wwft onderscheidt drie risiconiveaus: laag, normaal en hoog. Dit onderscheid bepaalt de diepgang van het onderzoek en de frequentie van hercontroles. Organisaties die alle klanten op hetzelfde niveau behandelen, voldoen niet aan de wet en lopen het risico op hoge boetes van toezichthouders.
Bij een laag risiconiveau volstaat een vereenvoudigd cliëntenonderzoek. Denk aan klanten met een transparante eigendomsstructuur, gevestigd in een EU-land met een laag corruptierisico, zonder PEP-status. De documentatie is beperkt, maar de beslissing moet nog steeds worden vastgelegd.
Bij een normaal risiconiveau geldt het standaard KYC-traject zoals hierboven beschreven. De meeste zakelijke klanten vallen in deze categorie. Periodieke herverificatie is vereist, maar de frequentie is lager dan bij hoog risico.
Bij een hoog risiconiveau is verscherpt cliëntenonderzoek (EDD) verplicht. Verscherpt cliëntenonderzoek is een verplicht, intensief traject bij verhoogd risico en geen optionele extra stap. De volgende criteria leiden automatisch tot EDD:
- De klant is een politiek prominent persoon (PEP) of heeft directe familieleden met PEP-status
- De klant is gevestigd in of heeft zakelijke banden met een hoogrisicoland op de FATF-lijst
- De eigendomsstructuur is complex, met meerdere lagen van holdingmaatschappijen of trusts
- De transacties of het bedrijfsmodel zijn ongebruikelijk of moeilijk te verklaren
EDD vereist aanvullende verificaties, zoals het opvragen van herkomst van vermogen, extra referenties en bewijs van zakelijke activiteiten. Bovendien is goedkeuring op directieniveau vereist voordat de relatie wordt gestart of voortgezet. Audit-proof KYC vereist gedetailleerde documentatie per stap, inclusief gebruikte bronnen, risicoberekeningen en beslisprocessen.
Pro-tip: Gebruik een gestandaardiseerd EDD-formulier met vaste velden voor bronvermelding, risicomotivering en directiegoedkeuring. Dit verkort de doorlooptijd en maakt uw dossier direct controleerbaar door externe auditors of toezichthouders.
De rol van toezichthouders zoals DNB en AFM is hierbij niet te onderschatten. Zij kunnen op elk moment inzage vragen in uw KYC-dossiers en beoordelen of uw risicoclassificatie aantoonbaar en consistent is toegepast.
Waarom stopt KYC niet na de onboarding?
KYC is geen eenmalige handeling bij het aangaan van een klantrelatie. Continue monitoring is wettelijk vereist en omvat transactiescreening, periodieke herverificatie en controle op negatieve media gedurende de volledige levenscyclus van de klant. Dit is een van de meest onderschatte aspecten van compliance in de praktijk. Organisaties die hun KYC-dossiers na onboarding niet bijhouden, lopen het risico op sancties, zelfs als de initiële onboarding correct was uitgevoerd.
Continue monitoring omvat de volgende onderdelen:
- Transactiescreening: Elke transactie wordt getoetst aan het verwachte gedragsprofiel van de klant. Een plotselinge toename van grote overboekingen naar hoogrisicolanden is een direct signaal voor nader onderzoek.
- Periodieke herverificatie: Afhankelijk van het risiconiveau worden klantdossiers jaarlijks, tweejaarlijks of driejaarlijks herzien. Bij hoog risico is jaarlijkse herverificatie de norm.
- Screening op negatieve media: Geautomatiseerde systemen scannen nieuwsbronnen op vermeldingen van de klant in verband met fraude, corruptie of andere strafbare feiten.
- Wijzigingen in klantprofiel: Een klant die een nieuwe directeur aanstelt, een bedrijfsactiviteit wijzigt of een vestiging opent in een hoogrisicoland, vereist een herbeoordeling van het risicoprofiel.
Continue monitoring is van cruciaal belang om veranderende klantinformatie en risico’s zichtbaar te houden en zo compliance-hiaten te voorkomen. De praktijk leert dat klantrisico’s vaker veranderen na onboarding dan tijdens het initiële traject. Een klant die bij aanvang laag risico was, kan door gewijzigde omstandigheden binnen een jaar in de hoog-risicocategorie vallen.
De Wwft verplicht meldingsplichtige entiteiten ook tot het melden van ongebruikelijke transacties bij de Financial Intelligence Unit Nederland (FIU-Nederland). Falende monitoring leidt niet alleen tot compliance-risico’s, maar ook tot strafrechtelijke aansprakelijkheid voor bestuurders.
Welke technologieën worden ingezet in moderne KYC-processen?
Digitale KYC-technologieën hebben het proces fundamenteel veranderd. Automatische documentverificatie, biometrische liveness-checks en geïntegreerde screening op AML, PEP en sanctielijsten zijn nu standaard in professionele compliance-workflows. Deze technieken verminderen fraude en verbeteren de klantbeleving door het proces aanzienlijk te versnellen. Waar een handmatig KYC-traject vroeger dagen kon duren, is een volledig digitaal traject in minuten afgerond.
Hybride KYC-processen combineren documentverificatie met biometrische authenticatie om identiteitsfraude effectief tegen te gaan. Dit is de huidige standaard voor financiële instellingen en steeds vaker ook voor grotere mkb-ondernemingen. De digitalisering van het mkb maakt dat ook kleinere organisaties toegang hebben tot professionele KYC-tools die voorheen alleen voor grote banken beschikbaar waren.
| Technologie | Functie | Voordeel |
|---|---|---|
| OCR-documentverificatie | Automatisch uitlezen en controleren van ID-documenten | Snelheid en consistentie, minder menselijke fouten |
| Biometrische liveness-check | Gezichtsherkenning met deepfake-detectie | Bescherming tegen identiteitsfraude en videoaanvallen |
| AML/PEP/sanctiescreening | Real-time vergelijking met internationale lijsten | Direct signaleren van risicoprofielen bij onboarding |
| Continue transactiemonitoring | Analyse van transactiepatronen gedurende klantrelatie | Vroegtijdig detecteren van ongebruikelijk gedrag |
| Geautomatiseerde risicoscoring | Berekening van risicoscore op basis van klantdata | Consistente en aantoonbare besluitvorming |
Pro-tip: Kies bij de selectie van een KYC-platform voor een oplossing die alle vijf bovenstaande functies in één workflow integreert. Losse tools voor documentverificatie, screening en monitoring verhogen de kans op fouten bij de overdracht van data tussen systemen en maken uw audit-trail moeilijker te reconstrueren.
KYC en CDD (Customer Due Diligence) zijn complementair. KYC richt zich op identiteitscontrole, terwijl CDD een breder integriteits- en risicobeheerproces omvat. Moderne platforms combineren beide in één geïntegreerde workflow, zodat compliance-teams niet tussen meerdere systemen hoeven te schakelen. Voor ondernemers die zakelijke risico’s willen beperken, biedt een goed ingericht KYC-systeem ook bescherming tegen reputatieschade en aansprakelijkheid. Meer over de bredere context van zakelijke risico’s in 2026 leest u bij gespecialiseerde bronnen voor ondernemers.
Belangrijkste inzichten
Het KYC-proces is alleen effectief als identificatie, risicoclassificatie, verscherpt onderzoek en continue monitoring samen als één aaneengesloten compliance-systeem worden ingericht en gedocumenteerd.
| Punt | Details |
|---|---|
| Vijf verplichte stappen | Gegevensverzameling, documentverificatie, biometrie, screening en risicobeoordeling vormen samen het wettelijk vereiste KYC-traject. |
| Risicoclassificatie is bepalend | Laag, normaal of hoog risiconiveau bepaalt de diepgang van het onderzoek en de frequentie van hercontroles. |
| EDD is verplicht, niet optioneel | Bij PEP-status, hoogrisicolanden of complexe structuren is verscherpt cliëntenonderzoek met directiegoedkeuring wettelijk vereist. |
| Monitoring stopt niet na onboarding | Transactiescreening, herverificatie en profielwijzigingen vereisen doorlopende aandacht gedurende de volledige klantrelatie. |
| Audit-trail is uw bewijs | Elke beslissing, bron en risicomotivering moet gedocumenteerd zijn om aantoonbaar compliant te zijn tegenover DNB en AFM. |
KYC in de praktijk: wat ik na jaren compliance-werk heb geleerd
Na jaren van werken met compliance-processen in de financiële sector valt mij één ding steeds op: de meeste organisaties investeren serieus in de onboarding van klanten, maar laten de continue monitoring sloffen. Het initiële KYC-traject is zichtbaar, meetbaar en heeft een duidelijk eindpunt. Monitoring heeft dat niet. Het is een doorlopend proces zonder afvinkmoment, en dat maakt het psychologisch lastig om er prioriteit aan te geven.
Wat ik ook zie, is dat de audit-trail structureel wordt onderschat. Organisaties documenteren wél dat een klant is geaccepteerd, maar niet waaróm. Welke bronnen zijn geraadpleegd? Welke risicofactoren zijn afgewogen? Welke directeur heeft goedkeuring gegeven voor een EDD-dossier? Toezichthouders vragen precies naar dit soort motivering, en een dossier zonder onderbouwing is in hun ogen geen dossier.
Een andere valkuil is het behandelen van KYC als een IT-project in plaats van een compliance-proces. Technologie maakt het proces sneller en consistenter, maar de verantwoordelijkheid voor de kwaliteit van de beslissingen blijft bij mensen. Een geautomatiseerde risicoscore is een hulpmiddel, geen eindoordeel. De compliance-officer die blind vertrouwt op een algoritme zonder de uitkomst te interpreteren, mist het punt volledig.
Mijn verwachting voor de komende jaren is dat de regelgeving strenger wordt, niet soepeler. De Europese Anti-Money Laundering Authority (AMLA) neemt in 2025 en 2026 steeds meer bevoegdheden over van nationale toezichthouders. Organisaties die nu investeren in gedegen databeheer, gestructureerde audit-trails en geïntegreerde monitoringtools, staan straks sterker. Wie wacht tot de toezichthouder klopt, betaalt altijd meer.
— Mike
Blijf op de hoogte van compliance en risicobeheer
De regelgeving rond KYC en de Wwft verandert regelmatig. Nieuwe FATF-aanbevelingen, aanpassingen in de Europese AML-richtlijnen en uitspraken van DNB en AFM hebben directe gevolgen voor uw compliance-processen. Informatiegidsen-nederland volgt deze ontwikkelingen continu en vertaalt ze naar praktische informatie voor ondernemers en financiële professionals. Op de homepage van Informatiegidsen-nederland vindt u actueel nieuws over regelgeving, risicobeheer en zakelijke ontwikkelingen in Nederland en daarbuiten. Zo blijft u altijd een stap voor op veranderingen die uw organisatie raken.
FAQ
Wat is KYC precies en voor wie geldt het?
KYC (Know Your Customer) is het proces van klantidentificatie, verificatie en risicobeoordeling dat wettelijk verplicht is onder de Wwft. Het geldt voor meldingsplichtige entiteiten zoals banken, accountants, notarissen, belastingadviseurs en bepaalde ondernemers in Nederland.
Welke documenten zijn vereist voor KYC-verificatie?
Voor natuurlijke personen zijn een geldig identiteitsbewijs en adresverificatie vereist. Bij rechtspersonen vraagt u ook naar een uittreksel uit het Handelsregister van de Kamer van Koophandel en documentatie over de uiteindelijk belanghebbende (UBO).
Wanneer is verscherpt cliëntenonderzoek verplicht?
Verscherpt cliëntenonderzoek (EDD) is verplicht bij klanten met PEP-status, zakelijke banden met hoogrisicolanden op de FATF-lijst, of complexe eigendomsstructuren. EDD vereist aanvullende verificaties en goedkeuring op directieniveau voordat de relatie wordt gestart.
Hoe lang moet u KYC-documentatie bewaren?
Onder de Wwft bent u verplicht KYC-documentatie minimaal vijf jaar te bewaren na het einde van de zakelijke relatie. Dit geldt voor alle stappen van het proces, inclusief de risicomotivering en de gebruikte bronnen.
Wat zijn de gevolgen van onvoldoende KYC-compliance?
Toezichthouders zoals DNB en AFM kunnen bij onvoldoende KYC-compliance bestuurlijke boetes opleggen, aanwijzingen geven of in ernstige gevallen de vergunning intrekken. Bestuurders kunnen ook persoonlijk aansprakelijk worden gesteld bij aantoonbare nalatigheid.
