Know Your Supplier (KYS): verificatiechecklist leveranciers 2026
Volledige KYS-gids voor inkoopteams: 12-stappenverificatiechecklist, Nederlandse Wwft-vereisten, DNB/AFM-kader, risicosignalen en automatisering leveranciersbeheer.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokKnow Your Supplier (KYS) is het gestructureerde due diligence-proces waarmee inkoopteams en compliancefuncties de identiteit, rechtmatigheid en het nalevingsprofiel van hun leveranciers systematisch verifiëren — vóór én gedurende de handelsrelatie. KYS is de leverancierskant van KYC (Know Your Customer) en KYB (Know Your Business), en is uitgegroeid tot een essentieel onderdeel van het derde-partijrisicobeheer in elke bedrijfstak.
In Nederland zijn de verplichtingen voor leveranciersverificatie verankerd in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), die het cliëntenonderzoek en de doorlopende monitoring regelt voor meldingsplichtige instellingen, en in de Wet op het financieel toezicht (Wft). De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) handhaven deze regels en kunnen bestuurlijke boetes opleggen van maximaal € 10 miljoen voor ernstige overtredingen (DNB — Wwft-leidraad).
Inkoopteams die hun KYS-verificatieproces automatiseren, reduceren de verwerkingstijd met 83 % en de kosten per leveranciersdossier met 67 % (CheckFile-platformdata, interne analyse 2026).
Wat is Know Your Supplier (KYS)?
KYS omvat drie complementaire dimensies: verificatie van de juridische identiteit van de leverancier, authenticatie van de bankgegevens, en doorlopende risicobeoordeling gedurende de gehele handelsrelatie. KYS verschilt van een eenmalige onboarding-controle doordat het een continu programma is met geplande beoordelingscycli op basis van het risiconiveau van de leverancier.
Een volledig KYS-programma omvat:
- Verificatie van juridisch bestaan en bedrijfsstatus (actief, faillissement, ontbinding)
- Identificatie van uiteindelijk belanghebbenden (UBO — Ultimate Beneficial Owners)
- Screening op internationale sanctielijsten (EU-geconsolideerde lijst, OFAC SDN, VN)
- Detectie van Politiek Prominente Personen (PEP) in directie en eigendomsstructuur
- Adverse media-screening op strafrechtelijke, regulatoire en reputatierisico's
- Authenticatie van bankrekening ter voorkoming van IBAN-wijzigingsfraude
Vanaf 1 januari 2025 verplicht de herziene Wwft-leidraad van DNB alle meldingsplichtige instellingen tot het uitvoeren van verscherpt cliëntenonderzoek (EDD) bij leveranciers met een verhoogd risicoprofiel, met een maximale boete van € 10 miljoen bij ernstige overtredingen (DNB Wwft-leidraad 2024).
Nederlands regelgevingskader voor KYS
Vier regelgevingskaders bepalen de leveranciersverificatieverplichtingen in Nederland:
Wwft (2008, gewijzigd 2020 en 2023): meldingsplichtige instellingen (banken, accountants, notarissen, advocaten, belastingadviseurs, makelaars) zijn verplicht cliëntenonderzoek toe te passen op relaties die betrokken zijn bij meldingsplichtige diensten. De wet schrijft specifieke procedures voor identificatie, verificatie en doorlopende monitoring voor.
Wet op het UBO-register (2020): alle BV's, NV's, stichtingen en verenigingen moeten hun UBO's registreren in het UBO-register bij de Kamer van Koophandel. Verificatie van UBO-gegevens is een verplicht onderdeel van het KYS-proces voor elke zakelijke relatie met een entiteit die aan de registratieplicht is onderworpen.
AVG (Algemene Verordening Gegevensbescherming): de verwerking van persoonsgegevens in het kader van KYS moet voldoen aan de AVG (Verordening (EU) 2016/679) en wordt gecontroleerd door de Autoriteit Persoonsgegevens (AP).
EU-Richtlijn CSDDD — Implementatie verwacht 2026–2027: de Richtlijn (EU) 2024/1760 inzake gepaste zorgvuldigheid voor bedrijven op het gebied van duurzaamheid vereist van grote Europese ondernemingen — inclusief Nederlandse — due diligence over de gehele waardeketen vanaf 2027, met sancties tot 5 % van de wereldwijde netto-omzet.
| Regelgeving | Toepassingsdrempel | Primaire KYS-verplichting |
|---|---|---|
| Wwft (2023) | Meldingsplichtige instellingen | Cliëntenonderzoek voor meldingsplichtige diensten |
| UBO-registerverordening (2020) | Alle BV's, NV's, stichtingen | Registratie en verificatie uiteindelijk belanghebbenden |
| AVG | Alle organisaties | Gegevensbescherming in verificatieprocessen |
| CSDDD (vanaf 2027) | >1.000 werknemers, >€ 450 mln omzet | Gepaste zorgvuldigheid gehele waardeketen |
KYS-verificatiechecklist: 12 verplichte stappen
Inkoop- en complianceprofessionals signaleren dat de twee meest overgeslagen stappen in de praktijk UBO-verificatie en sanctiescreening zijn — beide kunnen de onderneming blootstellen aan aanzienlijke regelgevingsboetes.
Stap 1–4: Verificatie juridische identiteit
| Document | Officiële bron | Controlefrequentie |
|---|---|---|
| KvK-uittreksel (Handelsregister) | Kamer van Koophandel | Bij onboarding + jaarlijks |
| Statuten en oprichtingsakte | KvK / Notariaat | Bij onboarding |
| UBO-register uittreksel | KvK — UBO-register | Bij onboarding + bij wijzigingen |
| BTW-nummer (actief en niet gesanctioneerd) | Belastingdienst | Bij elke betaling > € 5.000 |
Stap 5–6: Verificatie van bankgegevens
Authenticatie van IBAN en rekeninghouder is de meest effectieve maatregel tegen IBAN-wijzigingsfraude (ook bekend als Business Email Compromise). Dit type aanval vertegenwoordigt 31 % van alle leveranciersfraudes die op ons platform zijn gedocumenteerd. Verificatie moet worden herhaald bij elke gecommuniceerde bankwijziging, ongeacht het communicatiekanaal. Telefonische of per e-mail gecommuniceerde wijzigingen mogen nooit worden doorgevoerd zonder onafhankelijke documentaire bevestiging.
Stap 7–9: Sanctiescreening, PEP-detectie en adverse media
Screening moet de EU-geconsolideerde sanctielijst, de OFAC SDN-lijst en de VN-Veiligheidsraadslijsten omvatten. PEP-detectie moet worden uitgebreid tot bestuurders, meerderheidsaandeelhouders en UBO's. Adverse media-onderzoek omvat strafrechtelijke veroordelingen, AFM- of DNB-handhavingsacties, reputatieschandalen en betrokkenheid bij georganiseerde criminaliteit.
Stap 10–12: Sectorspecifieke verificaties
Afhankelijk van de sector van de leverancier: vakbekwaamheidseisen en vergunningen, ISO-certificeringen (9001, 27001, 14001), aansprakelijkheidsverzekeringen, en aansluiting bij relevante brancheverenigingen of beroepsregisters.
Klaar om uw controles te automatiseren?
Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.
Gratis proefproject aanvragenRisicoscoringmodel
Een uniform verificatieniveau voor alle leveranciers is operationeel onhoudbaar in grote portefeuilles. Een risicotiermodel concentreert verscherpt onderzoek waar het het meest noodzakelijk is.
| Risiconiveau | Criteria | Beoordelingsfrequentie |
|---|---|---|
| Laag | In NL/EU geregistreerde leverancier, < € 50K/jaar, niet-gereguleerde sector | Jaarlijks |
| Middel | Buiten EU, € 50K–€ 500K/jaar, of gereguleerde sector | Halfjaarlijks |
| Hoog | > € 500K/jaar, FATF-grijs-/zwartelijstland, of gereguleerde diensten | Kwartaal + EDD |
| Kritiek | Strategische leverancier, activiteiten in gesanctioneerde gebieden | Continue monitoring |
Volgens de CheckFile Documentaire Risico-index scoren leveranciersdossiers in sectoren met een hoog transactievolume gemiddeld 6,2/10, wat de automatisering van controles rechtvaardigt om de volledigheid in grote portefeuilles te waarborgen.
KYS, KYC en KYB: de kernverschillen
| Proces | Doelgroep | Primaire context |
|---|---|---|
| KYC (Know Your Customer) | Klanten, investeerders, particulieren | Bankwezen, verzekeringen, financiële diensten |
| KYB (Know Your Business) | Zakelijke partners, distributeurs | B2B-onboarding, aanbestedingen |
| KYS (Know Your Supplier) | Leveranciers, onderaannemers, dienstverleners | Inkoop, toeleveringsketen, crediteurenadministratie |
Raadpleeg onze gids over KYB bedrijfsdocumentverificatie bij onboarding voor het volledige bedrijfsverificatieproces. De due diligence-checklist voor bedrijven biedt een aanvullend kader voor het evalueren van financieel en reputatierisico van leveranciers.
Rode vlaggen bij leveranciersverificatie
Inkoop- en complianceprofessionals signaleren regelmatig deze waarschuwingssignalen die verscherpte due diligence vereisen:
- IBAN-wijziging gecommuniceerd via informele e-mail, zonder officieel bedrijfsbriefhoofd
- Geen verifieerbare online aanwezigheid (geen website, geen KvK-inschrijving, geen LinkedIn)
- Ondoorzichtige eigendomsstructuur met tussenholdings in risicovolle jurisdicties (BVI, Cayman)
- Discrepantie tussen opgegeven KvK-nummer en geregistreerde handelsnaam
- Weigering om een recent KvK-uittreksel of UBO-registeruittreksel te verstrekken
- Factuuradres verschilt van het geregistreerde vestigingsadres of statutaire zetel
- Symbolisch aandelenkapitaal in verhouding tot de voorgestelde contractwaarde
KYS-proces automatiseren
Handmatig KYS-beheer voor een portfolio van 100 actieve leveranciers betekent 200–300 individuele verificaties per jaar, met exponentieel toenemend foutrisico naarmate het portfolio groeit. Organisaties met meer dan 200 actieve leveranciers kunnen de volledigheid zelden waarborgen met handmatige processen.
CheckFile automatiseert de volledige KYS-workflow: documentverzameling, verificatie aan de hand van officiële registers (KvK, Belastingdienst, UBO-register, sanctielijsten), PEP-screening en generatie van tijdgestempelde auditrails. Raadpleeg de documentverificatiegids voor een uitgebreide verificatiemethodologie.
Dit artikel is uitsluitend bedoeld voor informatieve doeleinden en vormt geen juridisch, financieel of regelgevingsadvies. Raadpleeg een gekwalificeerde complianceprofessional voor situatiespecifiek advies.
Veelgestelde vragen
Wat is Know Your Supplier (KYS)?
Know Your Supplier (KYS) is het due diligence-proces waarbij een organisatie de juridische identiteit, financiële positie, sanctieprofiel en bankgegevens van haar leveranciers verifieert voor en tijdens de handelsrelatie. Het breidt de KYC-principes uit van klanten naar de bevoorradingskant van het bedrijf.
Is KYS verplicht in Nederland?
Gedeeltelijk. KYS is verplicht voor Wwft-meldingsplichtige instellingen met betrekking tot leveranciers die meldingsplichtige diensten verlenen. De UBO-registerverordening verplicht tot registratie en verificatie van UBO's voor alle entiteiten die eraan onderworpen zijn. De CSDDD zal vanaf 2027 due diligence-verplichtingen opleggen over de hele waardeketen voor grote Europese ondernemingen.
Hoe vaak moet leveranciersverificatie worden hernieuwd?
De frequentie hangt af van het risiconiveau. Laagrisico-leveranciers vereisen jaarlijkse beoordeling. Middelrisico-leveranciers halfjaarlijks. Hoogrisicoleveranciers vereisen kwartaalcontroles plus verscherpte due diligence en continue sanctiemonitoring. Elke wijziging in eigendom, bankgegevens of vestigingsadres activeert een onmiddellijke buitencyclus-beoordeling.
Welke documenten moet ik verzamelen voor KYS?
Het basis KYS-documentdossier bevat: KvK-uittreksel (<3 maanden), statuten, UBO-registeruittreksel, bankrekeningbevestiging op officieel bedrijfsbriefhoofd, BTW-registratiebewijs en eventuele sectorspecifieke vergunningen of certificeringen. Elk document moet worden geverifieerd aan de hand van de gezaghebbende bron.
Wat is het verschil tussen KYS en KYB?
KYB (Know Your Business) verwijst naar due diligence op zakelijke partners of klanten in een B2B-context, met name bij onboarding in gereguleerde sectoren. KYS is specifiek voor leveranciers — de bedrijven waarvan u goederen of diensten koopt. De verificatiestappen zijn vergelijkbaar, maar de richting van de handelsrelatie en de bijbehorende regelgevingsverplichtingen zijn anders.
Blijf op de hoogte
Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.