KYC-onboarding — het proces waarmee een financiële instelling een nieuwe klant accepteert en doorlicht — is een van de meest risicogevoelige operationele processen die een instelling heeft. Het combineert regulatoire verplichting (de WWFT, EU AML-richtlijnen) met commerciële druk (klant snel aan boord, minimale wrijving) en juridische aansprakelijkheid (de instelling is verantwoordelijk voor de kwaliteit van haar eigen dossiers).
Fouten in dit proces worden pas zichtbaar op het slechtst mogelijke moment: tijdens een DNB-inspectie, bij een intern compliance-audit, of wanneer een klant betrokken blijkt bij financieel misbruik. Op dat moment is het repareren van een slecht opgezet KYC-proces duur, tijdrovend en reputatieschadelijk.
In dit artikel bespreken wij de vijf meest voorkomende fouten bij KYC-onboarding — en hoe een specialist ze voorkomt. De inzichten zijn gebaseerd op onze praktijkervaring bij meerdere Nederlandse en Europese financiële instellingen.
Fout 1 — Een generieke risicoklassificatie gebruiken
De meest fundamentele fout bij KYC-onboarding is het hanteren van een risicoklassificatie die niet is afgestemd op de specifieke sector, het producttype en de klantpopulatie van de instelling. Een één-op-één overgenomen risicomodel van een andere sector, of een generiek model van een adviesbureau, is zelden geschikt voor direct gebruik.
Wat sectorspecifiek risico betekent in de praktijk: een leasemaatschappij die personenwagens financiert aan mkb-bedrijven, heeft andere risicofactoren dan een bank die hypotheken verstrekt aan particulieren. De relevante variabelen — dealernetwerk als intermediair, cross-border eigendomsstructuren bij internationale fleet-klanten, UBO-complexiteit bij holdingconstructies — zijn specifiek voor de context en moeten expliciet zijn opgenomen in het risicomodel.
Een goed risicoklassificatiemodel bevat minimaal:
- Klanttype (particulier, mkb, corporate, financiële instelling, overheid)
- Geografische risicofactoren (herkomst klant, vestigingslocatie, tegenpartijlanden)
- Productrisico (aard van het financieel product, omvang, complexiteit)
- Distributierisico (directe klant of via intermediair/dealer)
- PEP- en sanctiestatus
Het model moet zijn goedgekeurd door de compliance officer of MLO, schriftelijk zijn vastgelegd, en jaarlijks worden geëvalueerd op adequaatheid.
Fout 2 — Onvolledige UBO-identificatie
De verplichting om de uiteindelijk belanghebbende (UBO) van een rechtspersoon te identificeren en te verifiëren is een kernverplichting onder de WWFT. In de praktijk zijn de tekortkomingen op dit punt aanzienlijk. De meest voorkomende vormen:
- Vertrouwen op het UBO-register als enige bron. Het UBO-register is een administratief hulpmiddel, maar bevat fouten en verouderde informatie. De WWFT verplicht instellingen aanvullend bewijs te verzamelen — doorgaans aandeelhoudersregisters, statuten, of een accountantsverklaring.
- Stopzetten bij de eerste laag van eigendom. Bij complexe houdingstructuren met meerdere lagen vennootschappen wordt de UBO-analyse regelmatig gestopt bij de eerste rechtspersoon in de keten. Dit is onvoldoende: de instelling moet tot de uiteindelijke natuurlijke persoon doordringen.
- Geen verificatie bij UBO met minder dan 25% belang. Wanneer geen enkele aandeelhouder de drempel van 25% haalt, schrijft de WWFT voor dat de persoon met feitelijke zeggenschap als UBO wordt aangemerkt — in de praktijk doorgaans een bestuurder. Dit wordt regelmatig over het hoofd gezien.
- Geen actualisatie bij gewijzigde eigendomsstructuur. Een UBO-identificatie die bij onboarding correct was, kan verouderd zijn na een aandeelhouderswijziging, fusie of herstructurering. Doorlopende monitoring op dit punt is verplicht.
Fout 3 — Documentatie die niet aansluit op de risicocategorie
De WWFT kent drie niveaus van cliëntenonderzoek, elk met bijbehorende documentatievereisten. In de praktijk zien wij regelmatig een mismatch tussen de toegewezen risicocategorie en het niveau van documentatie dat is verzameld.
Vereenvoudigd cliëntenonderzoek (SDD) is alleen toegestaan bij een beperkte categorie klanten met objectief laag risico — denk aan beursgenoteerde ondernemingen of overheidsinstanties. De vereenvoudiging betreft de omvang van verificatie, niet de identificatieverplichting. SDD mag nooit worden toegepast zonder schriftelijke onderbouwing van waarom de klant in aanmerking komt.
Standaard cliëntenonderzoek (CDD) geldt voor de meerderheid van de klanten. Minimaal vereist: identiteitsverificatie van de klant en UBO, doel en aard van de relatie, en bronvermelding indien relevant.
Verscherpt cliëntenonderzoek (EDD) is verplicht bij klanten met een hoog risicoprofiel — PEPs, klanten uit hoog-risico landen (FATF-lijst), complexe eigendomsstructuren, of transacties met ongebruikelijke kenmerken. EDD vereist aanvullende informatie over de bron van vermogen, aanvullende verificatie van de UBO, en in veel gevallen senior management goedkeuring voor acceptatie.
Een praktisch probleem: veel instellingen passen EDD-criteria te smal toe. Een klant die afkomstig is uit een land op de FATF-grijze lijst wordt soms toch als standaard CDD geclassificeerd omdat het volume van de transactie relatief klein is. De FATF-status is echter een objectieve EDD-trigger die niet door andere factoren kan worden gecompenseerd.
Fout 4 — Onboarding als éénmalige actie behandelen
KYC is geen eenmalige handeling bij aanvang van de relatie. De WWFT verplicht instellingen tot doorlopend cliëntenonderzoek: het cliëntdossier moet actueel blijven, en de instelling moet alert zijn op veranderingen die het risicoprofiel van een klant wijzigen.
Wat doorlopend onderzoek in de praktijk inhoudt:
- Periodieke review van het cliëntdossier — frequentie afhankelijk van risicocategorie. Hoog-risico klanten: jaarlijks of vaker. Standaard klanten: driejaarlijks als minimum.
- Trigger-gebaseerde review bij specifieke gebeurtenissen: UBO-wijziging, fusie, uitbreiding naar nieuwe landen, ongebruikelijke transactiepatronen, of publieke nieuwsfeiten over de klant.
- Transactiemonitoring als doorlopend signaalproces: transacties die afwijken van het verwachte patroon moeten worden onderzocht en gedocumenteerd, ook als ze niet leiden tot een FIU-melding.
Instellingen die onboarding als eindpunt behandelen, raken hun compliance-positie kwijt zodra de eerste wijziging in een klantprofiel zich voordoet — en dat is doorgaans sneller dan verwacht.
Fout 5 — Onvoldoende aandacht voor PEP- en sanctiescreening
Een Politically Exposed Person (PEP) is een natuurlijke persoon die een prominente publieke functie bekleedt of heeft bekleed — of een directe familielid of bekende zakenrelatie van zo iemand is. Denk aan ministers, parlementsleden, topfunctionarissen van staatsondernemingen, centrale bankiers, en senior militaire functionarissen. De definitie is breed en omvat ook de naaste omgeving van deze personen.
De WWFT verplicht instellingen om bij acceptatie en doorlopend te screenen op PEP-status. Voor PEPs geldt automatisch EDD — ongeacht het overige risicoprofiel. Typische tekortkomingen op dit punt:
- Geen systematische screening bij onboarding (handmatig, ad hoc, of niet gedocumenteerd)
- Geen periodieke rescreening van bestaande klanten — iemand kan na onboarding PEP worden
- Onvoldoende scope van de screening: alleen de directe klant screenen, maar niet de UBO of bestuurders van de klantentiteit
- Geen escalatieprotocol wanneer een PEP wordt geïdentificeerd — wie neemt de beslissing tot acceptatie, en hoe wordt dit gedocumenteerd?
Hetzelfde geldt voor sanctiescreening: EU-sanctielijsten, OFAC en VN-sanctielijsten worden regelmatig bijgewerkt. Instellingen die alleen bij onboarding screenen en niet doorlopend, lopen het risico een bestaande klant te bedienen die op een sanctielijst terecht is gekomen.
Hoe een KYC-specialist het anders aanpakt
Bij Finaxis benaderen wij KYC-onboarding als een gestructureerd operationeel proces — niet als een compliance-checkbox. Dat betekent in de praktijk:
- Sectorspecifiek risicomodel dat aansluit op de klantpopulatie, het productportfolio en de distributiestructuur van de instelling
- Gedocumenteerde beslisboom voor CDD-niveau toewijzing, zodat medewerkers consistent beslissingen nemen en die beslissingen aantoonbaar zijn
- Geïntegreerde PEP- en sanctiescreening met doorlopende werking en een helder escalatieprotocol
- Trigger-register voor periodieke reviews zodat geen enkel klantprofiel onbeheerd veroudert
- Dossierstandaard per risicocategorie: welke documenten zijn minimaal vereist, wat is de maximale geldigheidsduur, en wie tekent voor volledigheid
Het resultaat is een KYC-proces dat bestand is tegen inspectie, schaalbaar is met de groei van uw portefeuille, en medewerkers in staat stelt consistent correct te handelen — ook zonder dagelijkse begeleiding van de compliance officer.
Wilt u uw KYC-onboarding doorlichten of opnieuw inrichten? Bekijk onze CDD / KYC Compliance diensten of download onze WWFT-checklist voor een eerste zelfbeoordeling.