CARF en DAC8: Crypto-rapportage compliance in 2026
CARF DAC8 crypto activa rapportage compliance 2026: verplichtingen voor aanbieders, KYC-eisen, tijdlijn en sancties. Praktische gids voor Nederlandse CASP's.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokVanaf 1 januari 2026 zijn aanbieders van cryptodiensten in Nederland verplicht klantgegevens te verzamelen die voldoen aan het Crypto-Asset Reporting Framework (CARF) van de OESO en de Europese DAC8-richtlijn. De eerste gegevensuitwisseling met de Belastingdienst moet plaatsvinden vóór 30 september 2027. Wie nu nog geen compliant KYC-proces heeft ingericht, riskeert substantiële boetes en operationele blokkades.
Dit artikel is uitsluitend informatief van aard en vormt geen juridisch, financieel of regelgevend advies. De regelgevende verwijzingen zijn actueel op de publicatiedatum. Raadpleeg een gekwalificeerde professional voor begeleiding die is afgestemd op uw situatie.
Wat is CARF en waarom zijn cryptobedrijven verplicht te rapporteren
CARF -- het Crypto-Asset Reporting Framework -- is een internationale belastingrapportagestandaard van de OESO die cryptobeurzen, custody-walletproviders en andere aanbieders van cryptodiensten verplicht om gebruikers- en transactiedata te delen met belastingautoriteiten.
De OESO publiceerde CARF in 2022 als aanvulling op de bestaande Common Reporting Standard (CRS), die al jaren van toepassing is op traditionele financiële instellingen. De kern van CARF is simpel: crypto-activa zijn een nieuwe vermogenscategorie die tot nu toe grotendeels buiten het internationale belastingtoezicht viel. CARF sluit die lacune door dezelfde rapportagelogica die voor bankrekeningen geldt, door te trekken naar digitale activa.
De rapportageplicht geldt voor transacties met crypto-activa die kunnen worden uitgewisseld voor geld of andere crypto-activa, en voor services waarbij dergelijke activa worden gehouden of overgedragen namens klanten. Daarmee raakt CARF een breed spectrum van de sector: van gecentraliseerde exchanges tot bepaalde DeFi-platforms die voldoende centrale controle uitoefenen om als rapporterende entiteit te worden beschouwd.
De juridische grondslag voor CARF in de EU is Richtlijn 2023/2226 (DAC8), die door alle lidstaten in nationaal recht diende te zijn omgezet. De Belastingdienst ontvangt de rapportages voor in Nederland geregistreerde platforms en wisselt vervolgens automatisch gegevens uit met belastingdiensten in andere CARF-deelnemende landen.
DAC8: de Europese implementatie van CARF in Nederland
DAC8 zet CARF om in bindend EU-recht en geldt in Nederland rechtstreeks via de omzetting in nationale belastingwetgeving. Het kader verplicht platforms om gebruikersgegevens en transactiesommen jaarlijks te rapporteren aan de Belastingdienst.
Richtlijn (EU) 2023/2226, aangenomen op 17 oktober 2023 door de Raad van de EU, wijzigt de eerder geldende Richtlijn 2011/16/EU (DAC) voor administratieve samenwerking op belastinggebied. DAC8 voegt een volledig nieuw rapportagesysteem toe dat specifiek is ontworpen voor crypto-activa.
In Nederland valt de implementatie van DAC8 onder de verantwoordelijkheid van het Ministerie van Financiën. De Belastingdienst is aangewezen als de bevoegde autoriteit die rapportages ontvangt van in Nederland geregistreerde aanbieders van cryptodiensten (CASP's) en deze vervolgens doorgeeft aan belastingdiensten in andere EU-lidstaten en OESO-partnerlanden.
Het samenspel tussen de bestaande Nederlandse toezichthouders is als volgt:
| Instantie | Rol onder CARF/DAC8 |
|---|---|
| De Nederlandsche Bank (DNB) | Registratie en prudentieel toezicht op CASP's; handhaving Wwft-verplichtingen |
| AFM (Autoriteit Financiële Markten) | Toezicht op MiCA-gecertificeerde CASP's; gedragstoezicht |
| Belastingdienst | Ontvanger van CARF/DAC8-rapportages; internationale gegevensuitwisseling |
| FIU-Nederland | Financial Intelligence Unit; ontvanger van meldingen ongebruikelijke transacties |
CARF en DAC8 staan niet op zichzelf. Ze vormen een aanvulling op de bestaande AML-verplichtingen onder de Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) en de nieuwe vereisten onder MiCA. Een platform dat al compliant is voor Wwft heeft een voorsprong, maar CARF introduceert additionele gegevensverplichtingen -- met name de collectie van belastingidentificatienummers -- die verder gaan dan wat traditionele AML-processen vereisen.
Welke entiteiten zijn rapportageplichtig onder CARF/DAC8
Rapporterende entiteiten onder CARF zijn in beginsel alle platforms en dienstverleners die transacties met crypto-activa faciliteren namens klanten, ongeacht of zij als financiële instelling zijn gereguleerd.
De DAC8-richtlijn definieert rapporterende crypto-activaoperators als entiteiten die crypto-activadiensten verlenen en daarvoor in een EU-lidstaat als CASP zijn geregistreerd of vergunningplichtig zijn. In de praktijk vallen de volgende categorieën onder de rapportageplicht:
- Cryptobeurzen (exchanges): Platforms waar gebruikers crypto-activa kunnen kopen, verkopen of wisselen tegen fiatgeld of andere digitale activa.
- Custody-walletproviders: Dienstverleners die private sleutels beheren namens klanten en daarmee transactiebevoegdheid uitoefenen.
- Crypto-makelaars en handelsplatformen: Tussenpersonen die orders uitvoeren of matchen namens klanten.
- Bepaalde DeFi-platforms: Gedecentraliseerde platforms die voldoende centrale controle uitoefenen -- bijvoorbeeld via upgradeable smart contracts of een centraal governance-team -- worden in de OESO-richtlijnen als rapportageplichtig aangemerkt.
Platforms die uitsluitend peer-to-peer-transacties faciliteren zonder enige centrale intermediair, of die uitsluitend niet-fungibele tokens (NFT's) voor verzameldoeleinden aanbieden zonder wisselcomponent, vallen in beginsel buiten de reikwijdte -- maar dit vereist een zorgvuldige juridische beoordeling per geval.
In Nederland zijn CASP's verplicht zich te registreren bij De Nederlandsche Bank en zijn zij na 1 juli 2026 onderworpen aan MiCA-autorisatie via de AFM. Dit toezichtkader en de DAC8-rapportageplicht overlappen: een platform dat MiCA-compliant is en bij DNB geregistreerd staat, is doorgaans ook een rapporterende entiteit onder DAC8.
Voor meer context over de MiCA-toezichtvereisten en de bijbehorende KYC-verplichtingen, zie ons artikel over MiCA-crypto-identiteitsverificatie in 2026.
Klaar om uw controles te automatiseren?
Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.
Gratis proefproject aanvragenKYC-gegevens vereist voor CARF-rapportage
CARF vereist dat rapporterende platforms voor elke rapporteerbare gebruiker een specifieke set persoonsgegevens verzamelen en valideren, inclusief het belastingidentificatienummer (TIN) van elk land waar de gebruiker belastingplichtig is.
Dit gaat verder dan standaard KYC-procedures. Traditionele AML-verificatie focust op identiteitsvaststelling en transactiecontrole. CARF voegt een belastingdimensie toe: het doel is niet alleen fraude- of witwaspreventie, maar ook het in kaart brengen van belastingverplichtingen over internationale grenzen heen.
De verplicht te verzamelen gegevens per individuele gebruiker zijn:
| Gegeven | Vereiste | Nederlandse context |
|---|---|---|
| Volledige naam | Verplicht | Zoals vermeld in identiteitsdocument |
| Woonadres | Verplicht | Inclusief postcode en land |
| Geboortedatum | Verplicht | Dag, maand en jaar |
| Verblijfsland (fiscaal) | Verplicht | Elk land waar gebruiker belastingplichtig is |
| TIN per verblijfsland | Verplicht | In Nederland: Burgerservicenummer (BSN); buitenlands TIN voor niet-ingezetenen |
| GIIN (voor rechtspersonen) | Verplicht voor entiteiten | Global Intermediary Identification Number |
| Jaaroverzicht transacties | Verplicht | Aan- en verkoopvolumes in fiatwaarde per activa |
Het Burgerservicenummer (BSN) fungeert als het Nederlandse TIN-equivalent. Platforms moeten het BSN opvragen bij Nederlandse ingezetenen en valideren dat het formaat klopt (9 cijfers, elfproef). Voor gebruikers met fiscale verplichtingen in meerdere landen moeten alle TIN's worden verzameld.
De "kill switch"-verplichting
Een van de meest ingrijpende onderdelen van CARF is de verplichting tot opschorting van dienstverlening wanneer een gebruiker weigert zijn TIN te verstrekken. Als een gebruiker na twee herinneringen nog steeds geen geldig belastingidentificatienummer heeft aangeleverd, moet het platform de ruilactiviteiten van die gebruiker blokkeren. Dit is geen optionele maatregel -- het is een wettelijke vereiste die direct invloed heeft op de onboarding- en account-management-workflows van elk platform.
Dit sluit aan bij de bredere trend van compliance-as-a-condition-of-service, waarbij niet-meewerking aan regulatoire verplichtingen leidt tot verlies van toegang. Platforms moeten hun gebruikerscommunicatie, herinnerings-workflows en blokkadeprocedures hierop inrichten vóórdat de gegevensverzameling per 1 januari 2026 van start gaat.
Voor een overzicht van de brede KYC-vereisten en documentcomplianceverplichtingen in Nederland, zie onze complete gids documentcompliance.
Tijdlijn en eerste rapportageverplichtingen
De gegevensverzameling onder CARF/DAC8 is per 1 januari 2026 van kracht. De eerste jaarlijkse rapportage aan de Belastingdienst moet plaatsvinden vóór 30 september 2027, op basis van transactiedata over het kalenderjaar 2026.
De tijdlijn kent de volgende mijlpalen:
| Datum | Mijlpaal |
|---|---|
| 17 oktober 2023 | DAC8 aangenomen door de Raad van de EU |
| Eind 2025 | Omzetting DAC8 in nationale wetgeving van alle EU-lidstaten |
| 1 januari 2026 | Aanvang verplichte gegevensverzameling door CASP's |
| Vóór 30 september 2027 | Eerste rapportage aan Belastingdienst over kalenderjaar 2026 |
| Jaarlijks daarna | Doorlopende rapportage vóór 30 september elk jaar |
Het is van belang te benadrukken dat de verplichting tot verzamelen per 1 januari 2026 ingaat. Platforms die op die datum nog geen compliant onboardingproces hebben -- met TIN-collectie, validatie en "kill switch"-functionaliteit -- lopen het risico dat hun data over het volledige jaar 2026 onvolledig is en de rapportage niet aan de vereisten voldoet.
Parallelle compliance-deadlines in 2026 verhogen de druk verder. De MiCA-overgangsperiode eindigt op 1 juli 2026, waarna platforms een volledige MiCA-autorisatie nodig hebben. Zie ons artikel over AMLD6 compliance voor de bredere AML-tijdlijn.
Sancties bij niet-naleving
Niet-naleving van CARF/DAC8 kan leiden tot bestuurlijke boetes opgelegd door de Belastingdienst, handhavingsacties door DNB of de AFM, en in ernstige gevallen intrekking van de registratie of vergunning.
DAC8 verplicht lidstaten om effectieve, evenredige en afschrikkende sancties te introduceren voor inbreuken op de rapportageverplichtingen. In Nederland zijn de volgende handhavingsinstrumenten van toepassing:
- Fiscale boetes: De Belastingdienst kan bestuurlijke boetes opleggen voor onjuiste, onvolledige of te late rapportage. De hoogte is afhankelijk van de ernst en duur van de overtreding.
- DNB-handhaving: Als de tekortkoming in CARF-naleving samenhangt met structurele KYC/Wwft-tekortkomingen, kan DNB aanvullende handhavingsmaatregelen treffen, waaronder boetes tot 5 miljoen euro per overtreding (conform de Wwft-maximumboetes).
- AFM-handhaving: Voor MiCA-gecertificeerde platforms kan de AFM bij ernstige schendingen de vergunning schorsen of intrekken.
- Strafrechtelijke risico's: Opzettelijke niet-naleving of het bewust verstrekken van onjuiste informatie kan leiden tot strafrechtelijke vervolging onder fiscale wetgeving.
De "kill switch"-verplichting heeft ook een indirect handhavingseffect: als platforms nalaten gebruikers zonder TIN te blokkeren, zijn zij zelf in overtreding -- ongeacht of de gebruiker kwaadwillig handelde. DNB heeft in 2024-2025 meer dan 80 formele handhavingsacties uitgevoerd voor Wwft-tekortkomingen bij crypto-aanbieders; CARF voegt een nieuwe laag toe aan dit handhavingslandschap.
KYC-documentverificatie automatiseren voor CARF-compliance
Platforms die hun CARF-compliance willen borgen, hebben een geautomatiseerd KYC-verificatieproces nodig dat identiteitsdocumenten valideert, BSN/TIN-informatie extracteert en de volledigheid van dossiers bewaakt -- zonder het onboardingproces te vertragen.
De handmatige verwerking van CARF-vereiste gegevens schaalt niet. Een platform met tienduizenden gebruikers moet niet alleen bij nieuwe klanten TIN's opvragen, maar ook de bestaande gebruikersbasis screenen op ontbrekende belastingidentificatienummers. Dat vereist geautomatiseerde workflows voor herinneringen, validatie en -- waar nodig -- blokkade.
CheckFile biedt documentverificatie-API's die de volledige KYC-cyclus voor CARF-compliance ondersteunen:
- Identiteitsdocumentverificatie: Automatische validatie van paspoorten, ID-kaarten en verblijfsvergunningen met echtheidscontrole en gegevensextractie.
- BSN-validatie: Geautomatiseerde elfproefcontrole voor Nederlandse belastingidentificatienummers en structuurvalidatie voor buitenlandse TIN's.
- Dossiercompleteness-monitoring: Dashboardfunctionaliteit die flagged accounts bijhoudt waarvan het KYC-dossier onvolledig is, inclusief ontbrekende TIN's.
- Audit trails: Automatisch gegenereerde audit logs die aantonen dat herinneringen zijn verstuurd en welke stappen zijn ondernomen vóór eventuele blokkade.
Voor banken en financiële instellingen die ook CARF-rapportage moeten verwerken voor crypto-gerelateerde producten, biedt CheckFile gespecialiseerde KYC-oplossingen voor de bancaire sector.
De beveiliging van KYC-data is een bijkomende complianceverplichting. CARF-data bevat gevoelige persoonsgegevens (BSN, geboortedatum, adres) die onder de AVG vallen. Zie onze beveiligingspagina voor details over hoe CheckFile gegevensbeveiliging borgt. Informatie over prijzen en volume-staffels is beschikbaar op de tariefpagina.
Geautomatiseerde verificatie via CheckFile maakt het mogelijk de CARF-gegevensverzameling te integreren in bestaande onboarding-flows zonder extra handmatige handelingen. CheckFile ondersteunt TIN-validatie en documentverificatie in 32 jurisdicties, in lijn met de OESO CARF-specificaties.
Veelgestelde vragen
Geldt CARF ook voor mijn platform als ik geen EU-vergunning heb maar wel EU-gebruikers bedien?
DAC8 kent een extraterritoriale werking voor platforms die EU-gebruikers bedienen. Als uw platform inwoners van EU-lidstaten als klant heeft en crypto-activatransacties voor hen faciliteert, bent u in beginsel rapportageplichtig -- ook als het platform zelf buiten de EU is gevestigd. De OESO-CARF-richtlijnen bevatten vergelijkbare regels voor niet-EU-jurisdicties die CARF hebben geadopteerd. Raadpleeg een specialist voor uw specifieke situatie.
Wat moet ik doen als een gebruiker zijn BSN weigert te verstrekken?
Onder CARF moet u de gebruiker minimaal twee keer herinneren aan zijn verplichting om een geldig belastingidentificatienummer (BSN voor Nederlandse ingezetenen, buitenlands TIN voor anderen) aan te leveren. Als de gebruiker na deze twee herinneringen nog steeds niet compliant is, bent u verplicht zijn ruilactiviteiten te blokkeren. U dient de communicatiehistorie en de blokkade te documenteren in het klantdossier voor auditdoeleinden.
Verschilt CARF-rapportage van wat ik al doe voor Wwft en MiCA?
Ja. Wwft en MiCA focussen op cliëntenonderzoek (CDD) voor AML/CFT-doeleinden: identiteitsvaststelling, risicobeoordeling en transactiemonitoring. CARF voegt een specifieke belastingrapportagedimensie toe: u rapporteert jaarlijkse transactiesommen per gebruiker aan de Belastingdienst. Bovendien vereist CARF expliciet de collectie van TIN's, wat buiten de standaard AML-scope valt. De systemen overlappen, maar zijn niet identiek.
Wanneer moet ik beginnen met de TIN-collectie voor bestaande klanten?
De gegevensverzamelingsplicht is ingegaan op 1 januari 2026. U moet voor alle klanten die in 2026 transacties uitvoeren een compleet CARF-dossier hebben, inclusief TIN. Voor bestaande klanten betekent dit dat u een retroactief TIN-verzamelingsproces moet starten -- met herinneringen en waar nodig de "kill switch" -- zodat uw rapportage over 2026 volledig is wanneer de deadline van 30 september 2027 nadert.
Blijf op de hoogte
Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.