Skip to content
KlantverhaalTarievenBeveiligingVergelijkingBlog

Europe

Americas

Oceania

Compliance8 min leestijd

KYC: complete gids voor bedrijven in 2026

Wat is KYC? Definitie, wettelijke verplichtingen, processtappen en best practices voor Nederlandse bedrijven. Bijgewerkte gids met DNB- en AFM-vereisten 2026.

Erik van den Berg, Compliance specialist
Erik van den Berg, Compliance specialist·
Illustration for KYC: complete gids voor bedrijven in 2026 — Compliance

Dit artikel samenvatten met

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

KYC — Know Your Customer — is het proces waarmee bedrijven de identiteit van hun klanten vaststellen en verifiëren, hun risicoprofiel beoordelen en de zakelijke relatie doorlopend monitoren. In Nederland vloeit deze verplichting voort uit de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), onder toezicht van De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM).

Als van februari 2026 telt de DNB minstens 75 aangekondigde bijzondere onderzoeken bij financiële instellingen, met een expliciete focus op KYC-procedures en cliëntrisicoclassificatie. Overtredingen van de Wwft kunnen leiden tot boetes tot 5 miljoen euro of 10% van de jaaromzet. KYC-compliance is geen formaliteit — het is een wettelijke verplichting met directe financiële en reputationele gevolgen.

Dit artikel is uitsluitend informatief van aard en vormt geen juridisch, financieel of regelgevend advies. Raadpleeg een gekwalificeerde professional voor begeleiding op maat.

Wat is KYC?

KYC (Know Your Customer) is de verplichting voor instellingen om de identiteit van hun cliënten vast te stellen en te verifiëren, de aard en het doel van de zakelijke relatie te begrijpen, en het witwas- en terrorismefinancieringsrisico te beoordelen. Dit proces geldt vóór het aangaan van een zakelijke relatie en gedurende de gehele looptijd ervan.

Vanaf 19 juni 2024 is het Europese Verordening (EU) 2024/1620 in werking getreden, dat de oprichting van de Europese anti-witwasautoriteit AMLA regelt, met directe gevolgen voor de toezichtpraktijk van DNB en AFM (Verordening (EU) 2024/1620, PbEU 19 juni 2024).

Het KYC-proces bestaat uit drie kernonderdelen:

  • Identificatie: verzamelen van cliëntgegevens (naam, geboortedatum, adres, BSN voor particulieren)
  • Verificatie: controleren van de authenticiteit van aangeleverde documenten
  • Risicobeoordeling: classificeren van de cliënt en vaststellen van passende cliëntenonderzoeksmaatregelen

Voor welke bedrijven geldt KYC in Nederland?

De Wwft is van toepassing op alle instellingen die zijn opgenomen in artikel 1a van die wet. Het toepassingsgebied reikt verder dan alleen banken.

Sector Voorbeelden van meldingsplichtige instellingen
Banken en krediet Banken, kredietunies, betalingsinstellingen
Beleggingen Beleggingsondernemingen, beheerders van beleggingsinstellingen
Verzekering Levensverzekeraars en -bemiddelaars
Juridisch en accountancy Notarissen, advocaten, belastingadviseurs, accountants
Vastgoed Makelaars en verhuurders (transacties > € 10.000)
Crypto-assets Cryptodienstverleners geregistreerd bij DNB
Handelaren Handelaren in goederen bij contante betalingen > € 10.000

Voor handelaren in goederen zoals juweliers, kunsthandelaars en autohandelaren geldt de Wwft-verplichting bij contante transacties boven € 10.000. De volledige lijst van meldingsplichtige instellingen is te raadplegen op de website van FIU-Nederland.

De DNB Leidraad Wwft en Sanctiewet is de operationele referentie voor financiële instellingen bij de uitvoering van hun KYC-verplichtingen.

De stappen van het KYC-proces

Identificatie en documentenverzameling

De identificatie vindt plaats vóórdat de zakelijke relatie wordt aangegaan. Voor particulieren geldt als minimum: een geldig identiteitsbewijs (paspoort, rijbewijs of identiteitskaart) en bewijs van woonadres. Voor ondernemingen zijn aanvullende documenten vereist: uittreksel uit het Handelsregister (niet ouder dan drie maanden), statuten, vertegenwoordigingsbevoegdheden en de identificatie van de uiteindelijk belanghebbende (UBO — Ultimatieve Begunstigde Eigenaar).

Iedere UBO die direct of indirect meer dan 25% van de aandelen of stemrechten houdt, moet worden geïdentificeerd en geverifieerd, conform artikel 3 lid 6 van de vierde anti-witwasrichtlijn en artikel 10b Wwft.

Verificatie van authenticiteit

De verificatie kan plaatsvinden aan de hand van fysieke documenten of via elektronische verificatiemethoden. eKYC-oplossingen gebruiken OCR-technologie voor gegevensextractie, biometrische gezichtsherkenning met levendigheidsdetectie (liveness detection) en real-time controle op sanctielijsten.

De geautomatiseerde documentverificatieoplossing van CheckFile verwerkt meer dan 200 documentsoorten — waaronder Nederlandse rijbewijzen, paspoorten en Europese identiteitskaarten — in minder dan 10 seconden, met geïntegreerde vervalsingsdetectie. Bekijk onze tarieven en abonnementsvormen.

Cliëntenonderzoek en risicoclassificatie

De Wwft vereist een risicogericht cliëntenonderzoek (Customer Due Diligence). Er zijn drie niveaus:

Niveau Wanneer van toepassing Vereiste maatregelen
Vereenvoudigd cliëntenonderzoek Laagrisico cliënten (beursgenoteerde ondernemingen, overheidsinstanties) Vereenvoudigde identificatie toegestaan
Standaard cliëntenonderzoek Reguliere zakelijke relaties Volledige identificatie en doorlopende monitoring
Verscherpt cliëntenonderzoek Politiek prominente personen, hoogrisicolanden, ongebruikelijke transacties Onderzoek naar herkomst van vermogen en fondsen

Een Politiek Prominente Persoon (PEP) is een persoon die een prominente publieke functie bekleedt of heeft bekleed — minister, parlementslid, rechter in een hoog rechtscollege, directeur van een staatsbedrijf — evenals hun familieleden en naaste medewerkers. Verscherpt cliëntenonderzoek is voor deze categorie verplicht op grond van artikel 8 Wwft.

Doorlopende monitoring

Het KYC-proces eindigt niet bij de cliëntacceptatie. Instellingen moeten de zakelijke relatie voortdurend monitoren, wijzigingen in cliëntgegevens bijhouden en ongebruikelijke transacties detecteren. Hoogrisicocliënten worden jaarlijks herzien; standaardcliënten doorgaans elke twee à drie jaar.

Meldplicht: ongebruikelijke transacties aan FIU-Nederland

Alle instellingen die onder de Wwft vallen, zijn verplicht ongebruikelijke transacties te melden bij de Financial Intelligence Unit Nederland (FIU-Nederland). In 2023 ontving FIU-Nederland ruim 2,1 miljoen meldingen van ongebruikelijke transacties, waarvan het merendeel afkomstig was van banken en betaalinstellingen.

Het niet melden van een ongebruikelijke transactie is een economisch delict en kan leiden tot strafrechtelijke vervolging en boetes tot € 5 miljoen.

KYC en crypto-assets in Nederland (2026)

De volledige implementatie van het Europese MiCA-kader (Markets in Crypto-Assets) in 2026 verscherpt de KYC-vereisten voor cryptodienstverleners in Nederland. Het registratieproces bij DNB verschuift naar een volledig vergunningsstelsel, waarbij strengere KYC- en AML-procedures gelden. Onze gids over KYC-vereisten 2026 belicht de impact van MiCA op de Nederlandse praktijk.

KYC versus KYB: verificatie van zakelijke cliënten

Wanneer de cliënt een rechtspersoon is, wordt KYC uitgebreid met KYB (Know Your Business). Dit omvat verificatie van de juridische structuur, de UBO-keten en de bedrijfsactiviteiten. Voor een uitgebreide behandeling, zie onze gids over KYB-documentverificatie bij onboarding.

Voor een breed overzicht van documentaire complianceverplichtingen raadpleegt u onze gids voor documentaire conformiteit.

KYC en de UBO-registratie in Nederland

Naast de Wwft-verplichtingen moeten Nederlandse rechtspersonen hun uiteindelijk belanghebbenden (UBO's) registreren in het UBO-register, beheerd door de Kamer van Koophandel. Dit register is ingesteld op grond van de vierde anti-witwasrichtlijn (AMLD4) en is openbaar toegankelijk voor een deel van de gegevens.

De verplichte UBO-registratie geldt voor alle vennootschappen, personenvennootschappen, stichtingen en verenigingen met volledige rechtsbevoegdheid die in Nederland zijn opgericht. Niet-naleving van de registratieplicht is een economisch delict en kan leiden tot een geldboete of zelfs gevangenisstraf. Financiële instellingen zijn verplicht te controleren of de door de cliënt opgegeven UBO-informatie overeenkomt met het UBO-register bij het uitvoeren van cliëntenonderzoek.

KYC in de praktijk: veelgemaakte fouten

Gebruikers op gespecialiseerde complianceforums wijzen op een aantal terugkerende fouten die bij DNB-controles aan het licht komen:

  • Verouderde cliëntdossiers: Instellingen die de driejaarlijkse review van standaardcliënten consequent uitvoeren maar vergeten om bij significante wijzigingen (aandeelhouderswijziging, nieuw adres) ook tussentijds te actualiseren.
  • Onduidelijke risicodrempel: Geen gedocumenteerde en goedgekeurde methode voor de risicoclassificatie van cliënten, waardoor gelijke gevallen ongelijk worden behandeld.
  • Onvolledige UBO-identificatie: Bij complexe holdingstructuren wordt de definitie van «uiteindelijk belanghebbende» te beperkt uitgelegd en wordt de directe aandeelhouder gelijkgesteld aan de UBO, terwijl de achterliggende persoon niet wordt geïdentificeerd.
  • Ontbrekend audittrail: Geen aantoonbare documentatie van de stappen die zijn gezet bij de beoordeling van verdachte transacties die uiteindelijk niet zijn gemeld.

Een solide KYC-programma vereist niet alleen goede processen, maar ook een gedocumenteerde governance-structuur waarbij de verantwoordelijkheden van de compliance officer, de MLRO (Money Laundering Reporting Officer) en het management duidelijk zijn vastgelegd.

Praktische checklist voor KYC-compliance

Een effectieve KYC-implementatie vereist aandacht voor vier operationele pijlers:

Pijler Concrete maatregel Beoordelingsfrequentie
Beleid en procedures Schriftelijk Wwft-beleid met risicodrempels en escalatieprocedures Jaarlijkse herziening
Training Opleidingsprogramma voor medewerkers met cliëntcontact Bij aanvang + jaarlijks
Technologie eKYC-systeem voor documentverificatie en sanctiescreening Continue monitoring
Audit Onafhankelijke toetsing van KYC-dossiers Minimaal één keer per jaar

Gevolgen van niet-naleving

DNB en AFM beschikken over vergaande handhavingsbevoegdheden:

  • Bestuurlijke boetes: tot € 5 miljoen of 10% van de jaaromzet
  • Aanwijzing: verplichting om tekortkomingen binnen een bepaalde termijn te herstellen
  • Intrekking vergunning: in geval van structurele of ernstige overtredingen
  • Strafrechtelijke vervolging: via het Openbaar Ministerie bij grove nalatigheid

Recente DNB-handhavingsacties laten zien dat instellingen ook worden aangesproken op systemische tekortkomingen in hun risicobeheersingsraamwerk, niet alleen op individuele fouten in cliëntdossiers. DNB publiceert een jaarlijkse samenvatting van haar integriteitstoezicht die concrete aandachtspunten bevat voor verplichtendeninstellingen.

Veelgestelde vragen

Wat is een KYC-check?

Een KYC-check is de verificatieprocedure waarmee een instelling de identiteit van een (potentiële) cliënt vaststelt en het bijbehorende risico op witwassen of terrorismefinanciering beoordeelt. Deze check vindt plaats vóór het aangaan van de zakelijke relatie en wordt periodiek herhaald.

Welke documenten zijn vereist voor KYC?

Voor particulieren: een geldig identiteitsbewijs (paspoort, identiteitskaart of rijbewijs) en een recent adresbewijs (bankafschrift, nutsrekening). Voor bedrijven: Kamer van Koophandel-uittreksel, statuten, volmachten en gegevens van de UBO.

Geldt KYC ook voor kleine bedrijven in Nederland?

Ja, wanneer een kleiner bedrijf valt onder de Wwft-categorieën — zoals een administratiekantoor, makelaar of juwelier — gelden dezelfde KYC-verplichtingen als voor grote instellingen. Wel past u de intensiteit aan op basis van uw risicoprofiel en cliëntenaantal.

Wat is het verschil tussen KYC en CDD?

KYC is de brede term voor het geheel van klantidentificatie en risicobeheersing. CDD (Customer Due Diligence) is de uitvoeringsstandaard: de concrete maatregelen — identificatie, verificatie, risicobeoordeling — die onder KYC worden verstaan. In de Wwft-terminologie spreekt men doorgaans van cliëntenonderzoek, wat gelijkstaat aan CDD.

Hoe lang moeten KYC-documenten worden bewaard?

Op grond van artikel 33 van de Wwft moeten identificatiegegevens en verificatiedocumenten minimaal vijf jaar na het beëindigen van de zakelijke relatie worden bewaard. Bij vermoeden van witwassen kan de bewaartermijn worden verlengd op last van de bevoegde autoriteit.

Verdiep u in het onderwerp

Ontdek onze praktische gidsen en bronnen over documentcompliance.

Gerelateerde artikelen

Compliance9 min

Third-Party Risk Management (TPRM): complete gids 2026

Complete gids third-party risk management (TPRM): DORA-verplichtingen, DNB-toezicht, leveranciersbeoordeling, doorlopende monitoring en compliance in Nederland 2026.

Lezen
Compliance15 min

Compliance risicobeoordeling: praktische gids voor Nederlandse organisaties

Hoe u regelgevingsrisico's identificeert, beoordeelt en beperkt. Stapsgewijze compliance risk management gids afgestemd op DNB, AFM en de Wwft.

Lezen
Compliance8 min

GRC: governance, risicobeheer en compliance — complete gids 2026

Wat is governance risk management compliance (GRC)? De drie pijlers, DNB- en AFM-vereisten in Nederland, en hoe u een effectief GRC-kader implementeert.

Lezen