WWFT-verplichtingen in 2026: wat verandert er voor financiële instellingen?

De Wet ter voorkoming van witwassen en financieren van terrorisme — de WWFT — is geen statische wet. Regelgeving wordt aangescherpt, toezichthouders publiceren nieuwe richtsnoeren, en de drempel voor handhavend optreden daalt. Voor financiële instellingen die in 2026 opereren in Nederland, is een actueel en werkend WWFT-nalevingsprogramma geen nice-to-have: het is een wettelijke verplichting met directe consequenties bij tekortschieten.

Deze gids biedt een praktisch overzicht van de kernverplichtingen, de meest voorkomende nalevingsfouten, de handhavingstrends van de DNB, en concrete stappen om uw organisatie in 2026 compliant te houden. De inhoud is geschreven vanuit de praktijk: wij begeleiden financiële instellingen — van leasemaatschappijen tot betalingsdienstverleners — bij de implementatie en doorlichting van hun WWFT-processen.

De kernverplichtingen onder de WWFT

De WWFT legt instellingen een reeks verplichtingen op die samen een risicogericht nalevingsraamwerk vormen. De volgende vijf elementen zijn de kern van elk compliant programma.

1. Cliëntenonderzoek (CDD)

Iedere instelling is verplicht om bij aanvang van een zakelijke relatie een cliëntenonderzoek (Customer Due Diligence) uit te voeren. Dit onderzoek omvat minimaal de identificatie en verificatie van de identiteit van de cliënt, de aard en het doel van de beoogde zakelijke relatie, en — bij rechtspersonen — de identificatie van de uiteindelijk belanghebbende (UBO). De diepgang van het onderzoek is afhankelijk van het risicoprofiel: standaard (CDD), vereenvoudigd (SDD) of verscherpt (EDD).

2. Risicoclassificatie

Instellingen moeten een gedocumenteerd risicobeoordelingsbeleid hebben dat cliënten indeelt op basis van hun risicoprofiel. Relevante factoren zijn de aard van de klant (particulier, bedrijf, PEP), de sector, geografische herkomst, transactievolume en het type product of dienst. Een generieke, niet-gedifferentieerde risicoclassificatie is onvoldoende en zal bij inspectie worden aangemerkt als een tekortkoming.

3. UBO-registratie en -verificatie

Iedere juridische entiteit heeft een of meer uiteindelijk belanghebbenden (Ultimate Beneficial Owners). De WWFT verplicht instellingen om deze UBO's te identificeren, te verifiëren en te registreren. Een UBO is in principe iedere natuurlijke persoon die meer dan 25% van de aandelen, stemrechten of eigendomsbelang houdt, of anderszins feitelijke zeggenschap uitoefent. Het UBO-register is een hulpmiddel, maar vormt geen afdoende verificatiebron op zichzelf — instellingen zijn verplicht aanvullend bewijs te verzamelen.

4. Doorlopende monitoring

WWFT-naleving eindigt niet bij onboarding. Instellingen zijn verplicht de zakelijke relatie doorlopend te monitoren: transacties moeten worden getoetst op consistentie met het bekende risicoprofiel van de klant, en het cliëntdossier moet periodiek worden geactualiseerd. De frequentie van herziening hangt af van de risicocategorie. Klanten in de hoge risicoklasse vereisen frequentere reviews dan standaardklanten.

5. Meldplicht ongebruikelijke transacties

Instellingen zijn verplicht ongebruikelijke transacties te melden bij de Financial Intelligence Unit Nederland (FIU-NL). Een transactie is ongebruikelijk als er een objectieve of subjectieve indicator van toepassing is. Instellingen mogen geen informatie over een melding verstrekken aan de betrokken klant (tipping off). Het achterwege laten van een verplichte melding kan leiden tot strafrechtelijke vervolging.

Veelgemaakte fouten bij WWFT-naleving

In de praktijk zien wij bij audits en doorlichtingen steeds dezelfde terugkerende tekortkomingen. Dit zijn de vijf meest voorkomende fouten:

Fout 1: Verouderde of onvolledige cliëntdossiers

Het cliëntdossier is het bewijs dat de instelling haar verplichtingen is nagekomen. Een dossier dat niet is bijgewerkt na een UBO-wijziging, fusie, of veranderd risicoprofiel is juridisch kwetsbaar. Toezichthouders hanteren het principe: als het niet gedocumenteerd is, is het niet gedaan.

Fout 2: Risicoklassificatie zonder onderbouwing

Veel instellingen classificeren cliënten als laag risico op basis van buikgevoel of sectorconventie, zonder schriftelijke onderbouwing. De WWFT vereist een gedocumenteerde methodologie. Een simpele scoring in een spreadsheet zonder formele goedkeuring en periodieke herziening voldoet niet aan de norm.

Fout 3: Onvoldoende PEP- en sanctiescreening

PEP-screening wordt bij onboarding vaak wel uitgevoerd, maar de doorlopende screening — ook bij bestaande klanten — schiet er regelmatig bij in. Iemand die bij onboarding geen PEP was, kan dat later worden. Hetzelfde geldt voor sanctielijsten: deze worden frequent bijgewerkt en vereisen automatische of geplande rescreening.

Fout 4: Onboarding als eenmalig proces behandelen

De WWFT verplicht tot doorlopend cliëntenonderzoek, maar in de praktijk stopt de aandacht na de initiële acceptatie. Periodieke reviews — zeker voor klanten in hogere risicocategorieën — worden overgeslagen vanwege capaciteitsgebrek of gebrek aan geautomatiseerde triggers. Dit is een veelgenoemde bevinding in DNB-inspecties.

Fout 5: Beleid zonder aantoonbare implementatie

Een goed geschreven WWFT-beleidsdocument is noodzakelijk maar onvoldoende. De DNB toetst niet alleen of het beleid bestaat, maar of het ook daadwerkelijk wordt nageleefd in de dagelijkse praktijk. Discrepanties tussen beleid en uitvoering — zoals een beleid dat EDD voorschrijft voor bepaalde klantcategorieën, maar dossiers die dit niet bevestigen — leiden vrijwel altijd tot een formele bevinding.

DNB-handhaving in 2025–2026

De Nederlandsche Bank heeft de afgelopen jaren haar toezicht op WWFT-naleving aanzienlijk geïntensiveerd. De volgende trends zijn waarneembaar:

Hogere boetes en publieke bekendmaking

DNB maakt handhavingsbeslissingen steeds vaker openbaar. Boetes in de range van €1 tot €4 miljoen zijn voor middelgrote instellingen inmiddels realiteit. Naast de financiële impact is reputatieschade bij een publieke bekendmaking voor veel instellingen de grootste zorg. In 2024 en 2025 zijn meerdere Nederlandse betaalinstellingen en financieringsmaatschappijen beboet voor tekortkomingen in hun CDD-processen.

Thematisch toezicht

De DNB werkt met thematische inspecties waarbij een sector of risicotype centraal staat. Recente thema's waren onder andere UBO-identificatie bij complexe eigendomsstructuren, de kwaliteit van transactiemonitoring, en de effectiviteit van PEP-screeningprocessen. Instellingen in sectoren die als verhoogd risico worden gezien — zoals automotive finance, crypto en betaaldiensten — krijgen extra aandacht.

Wat een inspectie triggert

Inspecties worden uitgelokt door een combinatie van factoren: meldingen via FIU-NL, signalen uit de sector, periodieke toezichtscycli, of klachten. Een laag meldvolume bij FIU-NL — terwijl de instelling actief is in sectoren met inherent hogere risico's — kan ook een trigger zijn: het suggereert dat monitoring niet effectief is.

Een instelling die geen ongebruikelijke transacties meldt in een sector met objectief verhoogd witwasrisico, heeft niet minder werk te doen — zij heeft minder werk gedaan. Dat onderscheid maakt de DNB in haar toezicht.

Praktische stappen voor naleving in 2026

Op basis van onze praktijkervaring bij financiële instellingen adviseren wij de volgende aanpak voor een robuust WWFT-nalevingsprogramma in 2026:

1. Voer een interne gap-analyse uit. Toets uw huidige beleid en uitvoering aan de actuele WWFT-tekst en DNB-richtsnoeren. Documenteer de bevindingen en prioriteer op risico.
2. Actualiseer uw risicobeoordelingsbeleid. Zorg dat de risicocriteria zijn gedocumenteerd, goedgekeurd door het juiste niveau en periodiek worden herzien — minimaal jaarlijks.
3. Implementeer getriggerde reviews voor bestaande klanten. Stel een proces in waarbij wijzigingen in klantprofiel (UBO-wijziging, nieuw product, geografische uitbreiding) automatisch leiden tot een CDD-review.
4. Investeer in PEP- en sanctiescreening met doorlopende werking. Eenmalige screening bij onboarding is onvoldoende. Gebruik een screeningsoplossing met periodieke herscreening en escalatieprotocollen.
5. Train uw medewerkers jaarlijks. WWFT-training is wettelijk verplicht. Zorg dat training aantoonbaar is uitgevoerd, relevant is voor de functie en actuele cases omvat.
6. Test uw transactiemonitoringsysteem. Valideer periodiek of de alerts die uw systeem genereert representatief zijn voor het werkelijke transactieprofiel. Te weinig alerts is een even groot risico als te veel.
7. Documenteer alles. Beslissingen — ook negatieve, zoals een beslissing om geen melding te doen — moeten worden vastgelegd met motivering. Dit beschermt uw organisatie bij een inspectie.

WWFT-naleving is een continu proces, geen jaarlijkse audit. Instellingen die dit begrijpen en hun compliance als operationeel systeem inrichten — in plaats van als papieren beleid — zijn aanzienlijk beter beschermd tegen handhaving.

Finaxis ondersteunt financiële instellingen bij de implementatie en doorlichting van WWFT-processen. Wilt u weten waar uw organisatie staat? Bekijk onze CDD / KYC Compliance diensten of neem direct contact op voor een vrijblijvend gesprek.