CDD · KYC · WWFT Compliance

CDD en KYC compliance — specialist inschakelen of uitbesteden

De WWFT stelt concrete eisen aan klantonderzoek, risicoclassificatie en doorlopende monitoring. Een generieke aanpak volstaat niet meer: DNB treedt actief handhavend op en verwacht aantoonbare, gedocumenteerde procedures. Finaxis levert auditgereed CDD en KYC — van standaard onboarding tot enhanced due diligence op hoog-risico relaties.

Vraag een vrijblijvend gesprek aan

Al vertrouwd door 9 Europese financiële organisaties — waaronder Stellantis, Generali en Ayvens.

Wat is Customer Due Diligence (CDD)?

Customer Due Diligence (CDD) is het geheel van maatregelen dat een financiële instelling of aangewezen instelling onder de WWFT verplicht is te treffen om de identiteit van een klant vast te stellen, de zakelijke relatie te begrijpen en het risico op witwassen of terrorismefinanciering te beoordelen. CDD is geen eenmalige handeling bij onboarding — het is een doorlopende verplichting gedurende de gehele klantrelatie.

De WWFT en de Europese AML-richtlijnen (AMLD5 en AMLD6) onderscheiden drie niveaus van klantonderzoek, elk gekoppeld aan het risicoprofiel van de klant en de zakelijke relatie.

Vereenvoudigd klantonderzoek (SDD)

Van toepassing bij klanten en transacties met een aantoonbaar laag risico. Identiteitsverificatie volstaat met een beperkte set documenten; doorlopende monitoring is minder intensief. SDD is de uitzondering, niet de standaard — de instelling moet het lagere risico kunnen onderbouwen.

Standaard klantonderzoek (CDD)

Het basisniveau voor de meeste zakelijke relaties. Dit omvat identificatie en verificatie van de klant, vaststelling van de uiteindelijk belanghebbende (UBO), begrip van het doel en de aard van de relatie, en doorlopende transactiemonitoring. Documentatie moet actueel worden gehouden en regelmatig worden gereviewed.

Verscherpt klantonderzoek (EDD)

Verplicht bij hoog-risico klanten: PEP's (Politically Exposed Persons), klanten in hoog-risico landen, zakelijke relaties met complexe eigendomsstructuren of atypische transactiepatronen. EDD vereist diepgaander onderzoek, aanvullende bronnen en expliciete goedkeuring van senior management voor het aangaan of voortzetten van de relatie.

WWFT-verplichtingen in 2026

De WWFT (Wet ter voorkoming van witwassen en financieren van terrorisme) legt aangewezen instellingen — waaronder banken, leasemaatschappijen, verzekeringstussenpersonen, accountants en notarissen — een reeks concrete verplichtingen op. In 2026 staat de praktische toepassing van deze verplichtingen nadrukkelijk in de aandacht van de toezichthouder.

Wat DNB verwacht

DNB heeft in de afgelopen jaren consistent hogere eisen gesteld aan de diepgang en aantoonbaarheid van CDD-procedures. Instellingen worden beoordeeld op meer dan de aanwezigheid van een beleidsdocument: toezichthouders verwachten dat procedures daadwerkelijk worden gevolgd, dat afwijkingen worden gedocumenteerd en dat de organisatie kan aantonen dat het risicobewustzijn is ingebed in de dagelijkse operatie.

Veelgemaakte fouten die DNB bij inspecties aantreft: incomplete UBO-documentatie, verouderde klantdossiers die niet zijn herbeoordeeld na risicowijzigingen, het ontbreken van een gedocumenteerde escalatieprocedure voor hoog-risico signalen, en een te brede toepassing van het SDD-regime zonder onderbouwing.

Praktische verplichtingen in 2026

Elke aangewezen instelling is in 2026 verplicht te beschikken over: een gedocumenteerde en actuele integriteitrisicoanalyse (SIRA), klantacceptatiebeleid met expliciete risicoclassificatie, procedures voor doorlopende monitoring en periodieke hertoetsing, een interne meldingsprocedure en escalatielijn naar de compliance officer, en een gedocumenteerde WWFT-training voor relevante medewerkers.

Voor een uitgebreide praktische gids verwijzen wij u naar ons artikel WWFT-verplichtingen 2026 in de kennisbank.

KYC-onboarding — de risico's van een generieke aanpak

Veel organisaties hanteren een KYC-procedure die bestaat uit een standaard vragenlijst, een identiteitscontrole via een geautomatiseerde tool en een handtekening onder een verklaring. Dit werkt voor laag-risico relaties in een stabiele omgeving — maar het is onvoldoende voor de meeste B2B-relaties in gereguleerde sectoren, en het voldoet structureel niet aan de EDD-verplichting.

Waarom template-KYC faalt

Een generieke aanpak mist sectorspecifiek risicobewustzijn. De risicofactoren die relevant zijn voor een leasemaatschappij die zakelijke klanten financiert, zijn fundamenteel anders dan die voor een retailverzekeraar of een fintech-platform. Een template herkent deze nuances niet en produceert dossiers die formeel compleet lijken, maar inhoudelijk onvoldoende zijn om een toezichthouder tevreden te stellen.

Bovendien zijn generieke tools slecht uitgerust voor complexe eigendomsstructuren: holdings, joint ventures, buitenlandse entiteiten, UBO's in jurisdicties met beperkte transparantievereisten. Precies de structuren die in automotive finance en institutionele leasing frequent voorkomen.

Wat institutionele KYC er anders uitziet

Kwalitatieve KYC-onboarding begint met een risicogestuurde aanpak: niet elke klant verdient dezelfde diepgang, maar de beslissing over het niveau van onderzoek moet onderbouwd en gedocumenteerd zijn. De specialist stelt niet alleen vast wie de klant is, maar begrijpt het economische doel van de relatie, de herkomst van vermogen waar relevant, en de transactiepatronen die verwacht mogen worden.

Het eindproduct is een dossier dat stand houdt bij een audit: gestructureerd, reproduceerbaar, met een heldere beslissingsratio. Meer over KYC-onboarding in de praktijk leest u in ons kennisbankartikel KYC-onboarding stap voor stap.

Enhanced Due Diligence (EDD) en PEP-screening

Enhanced Due Diligence is verplicht zodra een klant of zakelijke relatie kenmerken vertoont die wijzen op verhoogd risico. De WWFT noemt een aantal situaties waarin EDD altijd verplicht is; daarnaast moet de instelling zelf op basis van haar risicoanalyse bepalen wanneer aanvullend onderzoek noodzakelijk is.

Wanneer is EDD verplicht?

De meest voorkomende situaties die EDD vereisen: de klant is een Politically Exposed Person (PEP) of een directe familielid of naaste geassocieerde van een PEP; de klant is gevestigd in of actief in een hoog-risico land op de FATF-lijst; de zakelijke relatie of transactie heeft geen duidelijk economisch of rechtmatig doel; of de eigendomsstructuur van de klant is ongebruikelijk complex zonder duidelijke verklaring.

Wat EDD inhoudt

EDD gaat verder dan standaard identiteitsverificatie. Het omvat het verifiëren van de herkomst van vermogen en middelen, het raadplegen van aanvullende externe bronnen (handelsregisters, rechtbankdatabases, adverse media), het vaststellen van een versterkt monitoringprofiel voor de relatie, en het verkrijgen van expliciete goedkeuring van senior management of een compliance committee.

PEP-screening vereist toegang tot actuele, betrouwbare databanken en de analytische capaciteit om resultaten te interpreteren. Een geautomatiseerde match is een signaal, geen conclusie — de specialist beoordeelt de context en beslist of aanvullend onderzoek noodzakelijk is. Dit is een vakgebied waar ervaring en oordeel het verschil maken.

Voor onze volledige aanpak zie ook de WWFT-checklist en het artikel over CDD in automotive finance.

Samenwerking met Finaxis — auditgereed van dag één

Finaxis levert CDD en KYC als beheerde dienst of als ingebedde compliance-specialist in uw organisatie. Beide modellen starten snel en produceren onmiddellijk auditgereed werk — geen aanloopperiode, geen leertraject op kosten van uw dossiers.

Onze documentatiestandaard

Elk dossier dat wij produceren bevat: een gedocumenteerde risicoclassificatie met onderbouwing, een compleet identiteitsverificatiedossier conform WWFT-vereisten, UBO-vaststelling met bronvermelding, vastlegging van het doel en de aard van de zakelijke relatie, en bij EDD een volledige uitwerking van het aanvullende onderzoek inclusief geraadpleegde bronnen en de goedkeuringsnotitie.

Dit niveau van documentatie is niet alleen noodzakelijk voor compliance — het beschermt uw organisatie ook in geval van een klacht, een toezichthouderinspectie of een interne audit. Auditgereed eindproduct is bij ons geen toevoeging maar de standaard.

Integratie in uw bestaande processen

Wij werken binnen uw KYC-platform, CRM of document management systeem. Platformmigratie is geen vereiste. Wij passen onze methoden aan uw omgeving aan — niet omgekeerd. Alle gegevensverwerking geschiedt op basis van een AVG-artikel 28-conforme verwerkersovereenkomst.

Heeft u behoefte aan een ingebedde KYC-specialist in uw team in plaats van een beheerde dienst? Zie onze freelance-pagina. Voor bredere compliance-vraagstukken verwijzen wij u naar onze pagina over acceptatie uitbesteden. De volledige WWFT-checklist is beschikbaar als gratis download.

Veelgestelde vragen over CDD en KYC uitbesteden

Wat is het verschil tussen CDD en KYC?

KYC (Know Your Customer) is het proces van het vaststellen en verifiëren van de identiteit van een klant. CDD (Customer Due Diligence) is breder: het omvat niet alleen identificatie, maar ook risicobeoordeling, begrijpen van zakelijke relaties en doorlopende monitoring. CDD is de wettelijke verplichting onder de WWFT; KYC is de praktische invulling daarvan.

Zijn wij verplicht een CDD-specialist in te huren?

Niet per se een externe specialist, maar de WWFT legt u de verplichting op tot afdoende CDD-procedures. Veel organisaties schakelen een specialist in omdat de interne kennis ontbreekt of omdat de regulatoire complexiteit te groot is voor generieke HR-capaciteit.

Wat kost CDD/KYC uitbesteden?

Afhankelijk van het aantal te onboarden klanten, de risicocategorie en de vereiste diepgang van het onderzoek. Wij werken op per-dossier-, retainer- of projectbasis. Transparante tarieven worden vastgelegd in het opdrachtvoorstel.

Hoe lang duurt een KYC-onboarding procedure bij Finaxis?

Voor standaard-KYC (SDD/CDD) doorgaans twee tot vijf werkdagen per dossier, afhankelijk van de beschikbaarheid van documentatie. EDD-trajecten voor hoog-risico klanten of PEP-screeningen kunnen één tot twee weken vergen.

Werkt Finaxis ook met bestaande KYC-software of tooling?

Ja. Wij opereren binnen uw bestaande tooling — of dat nu een gespecialiseerd KYC-platform, CRM of document management systeem is. Platformmigratie is geen vereiste.

Hoe zorgt Finaxis voor GDPR-compliance bij klantonderzoek?

Alle verwerkingen worden uitgevoerd op basis van een AVG-artikel 28-conforme verwerkersovereenkomst. Klantgegevens worden verwerkt conform de minimale bewaartermijnen en worden nooit buiten de opdrachtscope bewaard.