Skip to content
AI & Deepfake-detectieNieuw

AI-signalen, synthetisch, deepfakes

KlantverhaalTarievenBeveiligingVergelijkingBlog
WoordenlijstLandgidsenChecklistsROI Calculator

Europe

Americas

Oceania

Compliance7 min leestijd

Know Your Supplier (KYS): leveranciersverificatie en compliance

Volledige gids over KYS in Nederland: wettelijke verplichtingen, Wwft, toeleveringsketen due diligence en praktische stappen voor leveranciersverificatie in 2026.

Het CheckFile-team
Het CheckFile-team·
Illustration for Know Your Supplier (KYS): leveranciersverificatie en compliance — Compliance

Dit artikel samenvatten met

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Know Your Supplier (KYS) omvat alle due diligence-procedures die een organisatie toepast op haar leveranciers, aannemers en ketenpartners vóór en tijdens een zakelijke relatie. Net als KYC (Know Your Customer) in de financiële sector heeft KYS tot doel de juridische, financiële en reputatierisico's van elke derde partij te identificeren. In Nederland creëren de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), de Wet handhaving consumentenbescherming en de EU-richtlijn inzake gepaste zorgvuldigheid in de toeleveringsketen (CSDDD) gezamenlijk een gelaagde verplichting om derde partijen te screenen.

Leveranciersfraude — waarbij criminelen zich voordoen als legitieme leveranciers om betalingen om te leiden — neemt ook in Nederland sterk toe. Volgens rapportages van de Nederlandse Vereniging van Banken (NVB) betrof een significant deel van de Business Email Compromise (BEC)-fraude in 2024 nep-leveranciersscams, met schades die gemiddeld tienduizenden euro's per geval bedragen. Een gestructureerd KYS-programma is een van de meest effectieve maatregelen om deze verliezen te voorkomen.

Wat KYS omvat en waarom het noodzakelijk is in Nederland

Een robuust KYS-programma richt zich op drie risicodimensies: de juridische identiteit van de leverancier (KvK-nummer, uittreksel Kamer van Koophandel, uiteindelijk belanghebbenden), de financiële soliditeit (gepubliceerde jaarrekeningen, kredietrating, afwezigheid van faillissementsprocedures) en de regulatoire reputatie (sanctielijsten, negatieve media, verbindingen met politiek prominente personen).

De Wwft verplicht financiële instellingen, notarissen, advocaten en andere meldingsplichtige instellingen tot identificatie en verificatie van hun cliënten en, in bepaalde gevallen, van de derde partijen waarmee zij transacties uitvoeren. De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) houden toezicht op de naleving. Sancties bij overtreding kunnen oplopen tot 10% van de jaaromzet of maximaal 5 miljoen euro voor ernstige overtredingen.

De CSDDD (Corporate Sustainability Due Diligence Directive), aangenomen door het Europees Parlement in 2024, verplicht grote Europese ondernemingen tot ketendue diligence op het gebied van mensenrechten en milieu. Nederland werkt aan de omzetting ervan in nationale wetgeving gedurende 2025-2026.

Wetgeving Toepassingsgebied Primaire KYS-verplichting
Wwft (2018, gewijzigd 2022) Meldingsplichtige instellingen (banken, notarissen, accountants) Identificatie en verificatie van cliënten en derde partijen
Wet toezicht accountantsorganisaties (Wta) Accountantskantoren Cliëntacceptatieprocedures, incl. leveranciersrisico
CSDDD (omzetting 2025-2026) Ondernemingen >500 medewerkers en >150M€ omzet Duurzaamheidsdue diligence in de toeleveringsketen
AVG / UAVG Alle ondernemingen Gegevensbescherming bij verwerking van leveranciersgegevens

De 5 stappen van een effectief KYS-proces

Stap 1 — Initiële documentenverzameling. Vraag vóór elke opdracht of contractuele verplichting systematisch op: een KvK-uittreksel van minder dan drie maanden oud (via kvk.nl), BTW-nummer (te verifiëren via de VIES-tool van de EU), de meest recente gepubliceerde jaarrekening, de gegevens van de uiteindelijk belanghebbende(n) uit het UBO-register, en IBAN-gegevens met een bankbevestigingsbrief.

Stap 2 — Verificatie van juridische gegevens. Controleer het KvK-nummer in het Handelsregister op actieve status, inschrijfdatum en vestigingsadres. Raadpleeg het UBO-register via het KvK voor de identificatie van uiteindelijk belanghebbenden. Controleer bij de Kamer van Koophandel of er sprake is van een surseance van betaling of faillissement.

Stap 3 — Sanctie- en PEP-screening. De screening moet minimaal de EU-sanctielijsten (via sanctionsmap.eu), de OFAC SDN-lijst voor transacties in US-dollars en de VN-Veiligheidsraadlijsten omvatten. De identificatie van Politiek Prominente Personen (PEP) is verplicht voor Wwft-instellingen onder artikel 8 Wwft. Gebruik bij voorkeur geautomatiseerde screening die realtime updates verwerkt.

Stap 4 — Negatieve media- en ESG-screening. Voer gestructureerde negatieve media-checks uit op corruptie, arbeidsschendingen en milieu-incidenten. Integreer voor leveranciers die onder de CSDDD vallen een duurzaamheidsvragenlijst conform ISO 20400:2017 (Maatschappelijk verantwoord inkopen).

Stap 5 — Continue monitoring. Stel automatische alerts in voor KvK-wijzigingen (bestuurswisselingen, fusies), publicaties in het BRIS (Business Registers Interconnection System) en updates van sanctielijsten. Elke aanvraag tot wijziging van bankgegevens moet een onafhankelijk verificatieprotocol activeren — dit is het moment waarop leveranciersfraude het vaakst plaatsvindt.

Leveranciersfraude: het meest onderschatte risico

Op compliance- en treasuryforums klinkt steeds dezelfde vraag: "Hoe valideren wij een IBAN-wijziging van een leverancier zonder het risico te lopen dat we naar een fraudeur overboeken?"

Drie operationele maatregelen voorkomen de meeste gevallen van leveranciersfraude:

  1. Verplichte terugbelcontrole. Bel bij elke bancaire wijzigingsaanvraag via e-mail terug op het telefoonnummer dat in uw ERP is geregistreerd — nooit op een nummer dat in de e-mail is vermeld.
  2. Dubbele autorisatie. Elke wijziging van bankgegevens vereist goedkeuring van twee afzonderlijke personen, waarvan minimaal één financieel verantwoordelijke.
  3. Geautomatiseerde IBAN-verificatie. Gebruik een geautomatiseerde documentverificatiedienst die de rekeninghouder-identiteit koppelt aan juridische bedrijfsgegevens. CheckFile ondersteunt meer dan 3.200 documenttypen in 32 jurisdicties, inclusief Nederlandse bedrijfsdocumenten.

De AMLD6-richtlijn (Richtlijn (EU) 2024/1640), met gefaseerde inwerkingtreding vanaf 2027, versterkt de due diligence-verplichtingen van financiële instellingen ten aanzien van hun dienstverleners en tegenpartijen met een hoog risico.

Lees meer over het herkennen van frauduleuze documenten in ons artikel over AI-technieken voor documentfraude-detectie.

Klaar om uw controles te automatiseren?

Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.

Gratis proefproject aanvragen

KYS, KYC en KYB: de verschillen

De drie afkortingen dekken verschillende maar complementaire gebieden:

  • KYC (Know Your Customer): Verplichte cliëntidentificatie voor Wwft-instellingen. Omvat identiteitsverificatie, uiteindelijk belanghebbenden en doorlopende transactiemonitoring.
  • KYB (Know Your Business): Toegepast bij B2B-klant-onboarding om de juridische status, eigendomsstructuur en nalevingspositie van een bedrijf te verifiëren. Zie onze KYB-onboarding-gids.
  • KYS (Know Your Supplier): Toegepast op leveranciers en onderaannemers, gericht op ketenrisico, anticorruptie en duurzaamheidsverplichtingen. Niet beperkt tot gereguleerde sectoren.

Een volwassen Third-Party Risk Management (TPRM)-programma integreert alle drie dimensies binnen één framework, doorgaans gezamenlijk beheerd door Compliance, Juridische zaken en Inkoop.

Opbouwen en bewaren van het KYS-dossier

De Wwft (artikel 33) schrijft voor dat meldingsplichtige instellingen identificatiedocumenten en verificatieresultaten bewaren gedurende vijf jaar na het einde van de zakelijke relatie. Voor niet-meldingsplichtige ondernemingen is de aanbeveling het KYS-dossier te bewaren gedurende de looptijd van het contract plus vijf aanvullende jaren.

Het KYS-dossier bevat minimaal:

  • Verzamelde documenten met datum van verificatie
  • Screeningresultaten (sancties, PEP, negatieve media) met datum en leverancier
  • Identiteit van degene die de verificatie heeft uitgevoerd en goedgekeurd
  • Wijzigingslog van bankgegevens met bijbehorend verificatiebewijs

CheckFile bewaart alle verificatierecords in een manipulatiebestendig audittrail conform ISO 27001, ter ondersteuning van uw KYS-dossier zonder extra handmatige inspanning. Bekijk de prijsplannen voor leveranciersverificatieworkflows.

Veelgestelde vragen

Is KYS verplicht voor alle Nederlandse bedrijven?

De Wwft legt directe verplichtingen op aan meldingsplichtige instellingen. Voor overige bedrijven vloeien verplichtingen voort uit de CSDDD (due diligence voor grote ondernemingen) en indirecte druk van klanten die leveranciers screenen. MKB-bedrijven die werken voor grote opdrachtgevers ontvangen toenemend KYS-vragenlijsten als kwalificatievereiste.

Hoe verifieer ik de uiteindelijk belanghebbenden van een leverancier in Nederland?

Het UBO-register bij de Kamer van Koophandel bevat de gegevens van uiteindelijk belanghebbenden van in Nederland ingeschreven rechtspersonen. Toegang is beperkt tot bevoegde autoriteiten en meldingsplichtige instellingen na de uitspraak van het Hof van Justitie van de EU in 2022; andere partijen kunnen via een geaccrediteerde dienstverlener toegang verkrijgen.

Wat is het verschil tussen leverancierskwalificatie en KYS?

Leverancierskwalificatie beoordeelt technische capaciteit, kwaliteit en commerciële voorwaarden. KYS richt zich specifiek op juridische identiteit, financiële soliditeit, uiteindelijk belanghebbenden en regulatoir risico (sancties, anticorruptie, witwassen). Beide kunnen worden geïntegreerd in een unified vendor management proces, maar adresseren andere risicodimensies.

Hoe vaak moet KYS-verificatie worden vernieuwd?

Minimaal eenmaal per jaar voor alle actieve leveranciers, en direct bij elke triggerende gebeurtenis: bestuurswijziging, aanpassing van bankgegevens, contractverlenging of negatieve media-alerts. Hoog-risico leveranciers (gevoelige sectoren, FATF-hoogrisico jurisdicties) vereisen continue monitoring met automatische alerts.

Wat te doen als een leverancier de KYS-check niet doorstaat?

Documenteer de bevindingen, escaleer naar management en juridisch adviseur en neem een risicogebaseerde beslissing: versterkte due diligence voor grensgevallen, betalingsopschorting bij bancaire anomalieën, en beëindiging van de relatie bij bewezen sanctieschendingen. In dat laatste geval zijn meldingsplichtige instellingen verplicht een ongebruikelijke transactie te melden bij de Financiële inlichtingen eenheid (FIU-Nederland) op grond van artikel 16 Wwft.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Wettelijke verplichtingen variëren per sector, bedrijfsomvang en aard van de zakelijke relaties. Raadpleeg een gespecialiseerde juridisch adviseur voor een analyse die is afgestemd op uw situatie.

Blijf op de hoogte

Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.

Klaar om uw controles te automatiseren?

Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.

Gerelateerde artikelen

Compliance8 min

AML-naleving voor vermogensbeheerders en beleggingsadviseurs 2026

Volledige gids voor Wwft-verplichtingen van vermogensbeheerders en beleggingsadviseurs in Nederland 2026: KYC, verscherpt cliëntenonderzoek, FIU-meldingen en documentautomatisering.

Lezen
Compliance7 min

EU Klokkenluidersrichtlijn 2019/1937: compliance en documentatieverplichtingen 2026

Volledige documentatieverplichtingen voor de Wet bescherming klokkenluiders (Wbk): meldkanalen, bewaartermijnen, datalekken en sancties voor Nederlandse bedrijven.

Lezen
Compliance6 min

Ongebruikelijke Transacties Melden bij FIU-Nederland: Wwft-Gids 2026

Hoe meld je ongebruikelijke transacties aan FIU-Nederland in 2026? Wwft-verplichtingen, subjectieve en objectieve indicatoren, het meldportaal en de nieuwe opschortingsbevoegdheid per 1 juli 2026.

Lezen