Verscherpt Cliëntenonderzoek (EDD): Complete Compliance Gids
Praktische gids verscherpt cliëntenonderzoek (EDD) voor Nederlandse instellingen: Wwft-verplichtingen, triggers, documentatievereisten, DNB-toezicht en automatisering.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokVerscherpt cliëntenonderzoek (Enhanced Due Diligence, EDD) is de intensievere variant van het standaard KYC-onderzoek die Wwft-plichtige instellingen verplicht moeten uitvoeren wanneer een cliënt of transactie een verhoogd risico op witwassen of terrorismefinanciering vertoont. De wettelijke grondslag is artikel 8(2) van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), nader uitgewerkt in de DNB Leidraad Wwft en Sanctiewet en de bijbehorende Q&A's en Good Practices. Instellingen die onvoldoende invulling geven aan hun EDD-verplichting riskeren bestuurlijke boetes tot 5 miljoen euro of 10% van de jaaromzet, opgelegd door DNB of AFM.
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch, financieel of regelgevend advies. De regelgevende verwijzingen zijn actueel op de publicatiedatum. Raadpleeg een gekwalificeerde professional voor begeleiding die is afgestemd op uw situatie.
Wat is verscherpt cliëntenonderzoek (EDD)?
Verscherpt cliëntenonderzoek is een stelsel van aanvullende maatregelen bovenop het standaard cliëntenonderzoek. Waar het standaard cliëntenonderzoek (CDD) vereist dat een instelling de identiteit van de cliënt vaststelt, de aard van de zakelijke relatie begrijpt en de herkomst van gelden verifieert, gaat EDD verder: de instelling moet aanvullende informatie over de cliënt verzamelen, de bron van het vermogen en de bron van de middelen expliciet vaststellen, en de zakelijke relatie met verhoogde frequentie monitoren.
Het onderscheid tussen het standaard cliëntenonderzoek en EDD is niet enkel kwantitatief — meer documenten opvragen — maar ook kwalitatief. Bij EDD moet een instelling begrijpen waarom een cliënt de vastgestelde transactiepatronen vertoont, wie uiteindelijk de begunstigde is van de middelen, en welk economisch doel de zakelijke relatie dient. DNB formuleert dit in haar leidraad als het beginsel van "substance over form": de instelling mag niet volstaan met het afvinken van een documentatielijst, maar moet een werkelijk begrip van het risico opbouwen.
De Europese regelgeving verscherpt dit kader verder. De Verordening (EU) 2024/1624 (AMLR), van toepassing per 1 juli 2027, harmoniseert de EDD-verplichtingen op Europees niveau en voorziet in direct toepasselijke normen die de beoordelingsruimte van nationale toezichthouders beperken. Richtlijn (EU) 2024/1640 (AMLD6), met implementatiedeadline 10 juli 2027, versterkt de bevoegdheden van de toezichthouders en verhoogt de sanctieniveaus.
Voor een brede context over het Nederlandse compliance-landschap verwijzen wij naar de complete gids documentcompliance.
Wanneer is verscherpt cliëntenonderzoek verplicht?
Artikel 8(2) Wwft bepaalt exhaustief de situaties die verscherpt cliëntenonderzoek verplicht stellen. De wettelijke triggers zijn niet optioneel: zodra een van de onderstaande situaties zich voordoet, moet de instelling EDD uitvoeren, ongeacht de uitkomst van haar eigen risicoanalyse. Dit is een fundamenteel verschil met de algemene risicogebaseerde aanpak, waarover hieronder meer.
| Trigger | Wettelijke grondslag | Toelichting |
|---|---|---|
| Politiek Prominente Persoon (PEP) en directe familieleden of naasten | Art. 8(2)(a) Wwft, FATF-aanbeveling 12 | Huidige en voormalige PEPs; familieleden tot eerste graad; personen die bekend staan als nauwe zakelijke relaties |
| Hoog-risico derde landen | Art. 8(2)(b) Wwft, EU-lijst hoog-risicolanden | Landen op de EU-lijst van hoog-risicolanden én op de FATF grijze of zwarte lijst |
| Correspondentbankingrelaties | Art. 8(2)(c) Wwft | Relaties met correspondentbanken buiten de EU/EER |
| Niet-face-to-face transacties met verhoogd risico | Art. 8(2)(d) Wwft | Specifiek bij elektronische onboarding die aanvullende risicofactoren combineert |
| Complexe eigendomsstructuren | Art. 8(2) Wwft, DNB Good Practices | Trusts, stichtingen, houdsterstructuren met meerdere lagen zonder duidelijk economisch doel |
| Ongebruikelijke of verdachte transacties | Art. 8(2) Wwft jo. art. 16 Wwft (meldplicht) | Transacties die geen logische verklaring kennen op basis van de bekende achtergrond van de cliënt |
| Specifieke sectoren met verhoogd risico | Art. 8(2) Wwft, DNB-leidraad | Crypto-aanbieders, casino's, handelaren in hoogwaardige goederen |
Het verschil tussen de risicogebaseerde aanpak en de EDD-verplichting: Practitioners op Nederlandse complianceplatformen stellen regelmatig de vraag wat het onderscheid is tussen de algemene risicogebaseerde aanpak (art. 2b Wwft) en de specifieke verplichting tot verscherpt onderzoek van art. 8(2) Wwft. Het antwoord is dat de risicogebaseerde aanpak een discretionair karakter heeft — de instelling bepaalt zelf de proportionele maatregelen op basis van haar risicoprofiel. De EDD-triggers van art. 8(2) zijn echter dwingend: ze activeren een minimumniveau van verhoogde maatregelen dat niet door een eigen risicoanalyse kan worden teruggebracht. Een instelling mag op basis van haar risicoanalyse besluiten dat een PEP een relatief laag risico vertegenwoordigt, maar dat ontslaat haar niet van de verplichting om het wettelijk voorgeschreven EDD-pakket te doorlopen (DNB, Leidraad Wwft en Sanctiewet 2025).
Het EDD-proces: 7 stappen voor compliance
Een robuust EDD-proces volgt een gestructureerde aanpak die door DNB als good practice wordt aangemerkt.
Stap 1 — Risico-identificatie en triggerbepaling
Stel bij de intake of bij een signaal uit de doorlopende monitoring vast of een van de art. 8(2) Wwft-triggers van toepassing is. Dit vereist screening op PEP-lijsten, sanctielijsten en de EU-lijst van hoog-risicolanden. Automatisering is hier onmisbaar: handmatige screening mist 63% van relevante treffers door verouderde lijsten of naamsvarianten (ACFE Report to the Nations 2024).
Stap 2 — Senior management-goedkeuring
Art. 8(2) Wwft vereist bij PEPs en correspondentbankingrelaties expliciet de goedkeuring van het senior management voordat de zakelijke relatie wordt aangegaan of voortgezet. Dit is een procesmatige eis: de beslissing moet worden gedocumenteerd, inclusief de naam van de beslisser en de datum.
Stap 3 — Uitgebreide identiteitsverificatie
Verifieer de identiteit aan de hand van meerdere onafhankelijke bronnen. Voor rechtspersonen: uittreksels uit handelsregisters, UBO-verklaringen (verificatie in het UBO-register) en eventueel notariële akten. Voor natuurlijke personen: meerdere identiteitsdocumenten, aangevuld met adresbewijzen.
Stap 4 — Vaststelling van de bron van vermogen en middelen
Dit is het meest onderscheidende element van EDD ten opzichte van standaard CDD. De instelling moet niet alleen de identiteit kennen, maar ook begrijpen hoe de cliënt zijn vermogen heeft opgebouwd en waaruit de specifieke middelen in de zakelijke relatie afkomstig zijn. Documenten die dit aantonen zijn onder meer belastingaangiften, notariële verklaringen bij erfenissen, jaarrekeningen bij ondernemingen en verklaringen bij onroerend-goedtransacties.
Stap 5 — Begrip van het doel en de aard van de zakelijke relatie
Leg het expliciete doel van de relatie vast. Waarom kiest de cliënt voor uw instelling? Welke transactieomvang is te verwachten? Welk product of welke dienst is van toepassing? DNB verwacht dat instellingen een individueel risicoprofiel opstellen dat als baseline dient voor de doorlopende monitoring.
Stap 6 — Doorlopende monitoring met verhoogde frequentie
Voor hoog-risicoclanten moet de monitoring intensiever zijn dan voor standaardcliënten. Dit omvat minimaal een jaarlijkse herbeoordeling van het cliëntdossier, realtime transactiemonitoring en periodieke screening op gewijzigde PEP-status of sancties.
Stap 7 — Documentatie en bewaarplicht
Alle EDD-maatregelen en bevindingen moeten worden gedocumenteerd en bewaard gedurende ten minste vijf jaar na het einde van de zakelijke relatie (art. 33 Wwft). De documentatie moet aantonen dat de instelling haar verplichtingen daadwerkelijk heeft nageleefd, niet slechts dat ze de juiste procedures heeft.
Klaar om uw controles te automatiseren?
Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.
Gratis proefproject aanvragenVereiste documentatie bij EDD
De vereiste documentatie varieert naar cliënttype en trigger. De onderstaande tabel geeft een niet-uitputtend overzicht van de minimale documentatievereisten.
| Documentcategorie | Aard van het document | Van toepassing bij |
|---|---|---|
| Identiteitsbewijs | Geldig paspoort of rijbewijs (meerdere exemplaren bij ontbreken face-to-face) | Alle EDD-situaties |
| UBO-documentatie | Uittreksel UBO-register + aanvullende bewijsstukken aandeelhoudersstructuur | Rechtspersonen, trusts, stichtingen |
| Bron van vermogen | Belastingaangiften, jaarrekeningen, notariële akten, salarisstroken | Alle EDD-situaties |
| Bron van middelen | Bankafschriften, contracten bij transacties, verklaringen van herkomst | Hoog-risico transacties |
| PEP-status en -verklaring | Ondertekende PEP-verklaring, screeningsresultaat met datum | PEPs en familieleden |
| Senior management-goedkeuring | Intern goedkeuringsformulier, naam beslisser, datum en motivering | PEPs, correspondentbanken |
| Transactiepatroon | Historische transactieoverzichten, verwachte versus werkelijke volumes | Alle EDD-cliënten |
| Risicobeoordeling | Intern opgesteld risicobeoordeling met scores en onderbouwing | Alle EDD-cliënten |
| Screeningsresultaten | PEP-screeningsrapport, sanctiescreeningsrapport met datum | Alle EDD-situaties |
DNB verwacht dat instellingen de documentatie ordenen op een manier die audits faciliteert. Een logische dossierstructuur per cliënt, met versiegeschiedenis van risicobeoordelingen, is een minimum. Zie ook de klantenonderzoek checklist per sector voor sectorspecifieke vereisten.
Standaard vs verscherpt cliëntenonderzoek: de verschillen
Een helder begrip van de verschillen tussen standaard CDD en EDD voorkomt zowel ondercompliance (EDD-triggers worden gemist) als overcompliance (onnodige EDD-last bij laagrisicocliënten).
| Aspect | Standaard CDD | Verscherpt CDD (EDD) |
|---|---|---|
| Wettelijke grondslag | Art. 3-7 Wwft | Art. 8(2) Wwft |
| Trigger | Risicogebaseerd (discretionair) | Wettelijk bepaald (dwingend) |
| Identiteitsverificatie | Één identiteitsdocument + basisverificatie | Meerdere bronnen, aanvullende verificaties |
| Bron van vermogen | Niet verplicht standaard | Expliciet vereist |
| Bron van middelen | Niet verplicht standaard | Expliciet vereist bij transacties |
| Senior management-goedkeuring | Niet vereist | Verplicht bij PEPs en correspondentbanken |
| Doorlopende monitoring | Risicogebaseerde frequentie | Verhoogde frequentie, minimaal jaarlijks |
| Documentatielast | Beperkt | Uitgebreid, inclusief motivering |
| Herbeoordeling | Risicogebaseerd | Minimaal jaarlijks |
Het FATF-kader, meer specifiek Aanbeveling 10 (CDD) en Aanbeveling 12 (PEPs), biedt de internationale standaard waarop zowel de Wwft als de Europese AMLR zijn gebaseerd. De FATF-aanbevelingen zijn beschikbaar via fatf-gafi.org en zijn een nuttig referentiekader voor multinationale instellingen die hun beleid willen harmoniseren.
Doorlopende monitoring bij hoog-risicoclanten
Verscherpt cliëntenonderzoek is geen eenmalige activiteit bij de intake. DNB benadrukt in haar leidraad dat de doorlopende monitoring van hoog-risicoclanten een structureel onderdeel moet zijn van het compliance-programma.
Triggers voor tussentijdse herbeoordeling zijn onder meer:
- Wijziging van de PEP-status (aantreden of vertrek uit een politieke functie)
- Opname van de cliënt of van gelieerde partijen op een sanctielijst
- Ongebruikelijke transacties die afwijken van het vastgestelde profiel
- Wijziging van de eigendomsstructuur of de UBO
- Ontvangst van een extern signaal (rechtshulpverzoek, publicatie in de media, melding van een andere instelling)
- Periodieke herbeoordeling (minimaal jaarlijks voor EDD-cliënten)
De doorlopende monitoring vereist real-time toegang tot actuele PEP-lijsten en sanctielijsten. DNB verwacht dat instellingen lijsten dagelijks actualiseren. Handmatige monitoring met kwartaalfrequentie voldoet niet aan de DNB-vereisten voor hoog-risicoclanten.
Transactiemonitoring bij EDD-cliënten moet gebaseerd zijn op het individuele risicoprofiel van de cliënt, niet op generieke drempelwaarden. Afwijkingen van het verwachte transactiepatroon — in omvang, frequentie, geografie of tegenpartij — moeten een automatisch signaal genereren dat door een compliance officer wordt beoordeeld.
Bij een positief resultaat op een monitoringsignaal moet de instelling een van de volgende stappen overwegen: verzoek om aanvullende informatie bij de cliënt, interne escalatie naar een compliance committee, herbeoordeling van het risicoprofiel, of in ernstige gevallen het overwegen van een ongebruikelijke transactiemeldingen aan FIU-Nederland op grond van art. 16 Wwft.
De volledige gids over AML-compliance en transactiemonitoring is beschikbaar in onze gids anti-money laundering compliance.
EDD automatiseren met CheckFile
Handmatige EDD-processen zijn arbeidsintensief, foutgevoelig en schaars schaalbaar. ACFE 2024 stelt dat slechts 37% van fraude handmatig wordt gedetecteerd; de overige 63% komt aan het licht via technologische detectiemechanismen of externe signalen. Voor instellingen met een groot volume aan EDD-plichtige cliënten is automatisering geen luxe maar een operationele noodzaak.
CheckFile biedt een geïntegreerd platform voor de automatisering van EDD-processen:
- Geautomatiseerde documentverificatie: verificatie van paspoorten, rijbewijzen, UBO-documenten, bedrijfsuittreksels en financiële overzichten in meer dan 3.200 documenttypen uit 32 jurisdicties
- Real-time PEP- en sanctiescreening: continue screening tegen actuele internationale lijsten, inclusief OFAC, EU-sanctielijsten, VN-sanctielijsten en nationale lijsten
- Geautomatiseerde risicoscoringmodellen: op basis van de verzamelde documentatie wordt een gestructureerde risicoscore gegenereerd die als input dient voor de compliance officer
- Audittrail en bewaarfunctie: alle verificatiestappen worden automatisch gelogd en bewaard conform de Wwft-bewaarplicht van vijf jaar
- Workflow-automatisering: EDD-dossiers worden automatisch gerouteerd naar de juiste beslisser op basis van risicoscore en trigger-type
Voor instellingen die hun KYC- en EDD-processen willen stroomlijnen, bieden onze KYC-oplossingen voor banken een volledig overzicht van de beschikbare functies. Zie ook de beveiligingspagina voor informatie over gegevensbescherming en encryptie, en de tarievenpagina voor een overzicht van de beschikbare abonnementsvormen.
Een pilotimplementatie bij een middelgrote Nederlandse betaalinstelling liet een reductie van 68% in de gemiddelde doorlooptijd van EDD-dossiers zien, terwijl het aantal door DNB geconstateerde tekortkomingen in de monitoring bij de volgende inspectie met nul werd afgerond.
Meer informatie over automatisering van compliance-workflows is beschikbaar op de startpagina.
Veelgestelde vragen
Wat is het verschil tussen verscherpt cliëntenonderzoek en het standaard cliëntenonderzoek?
Standaard cliëntenonderzoek (CDD) omvat identificatie, verificatie en risicoanalyse op basis van de algemene risicogebaseerde aanpak van art. 2b Wwft. Verscherpt cliëntenonderzoek (EDD) is een wettelijk verplichte intensivering die wordt geactiveerd door de specifieke triggers van art. 8(2) Wwft — zoals een PEP-status of een hoog-risico derde land. EDD vereist aanvullend de vaststelling van de bron van vermogen en middelen, goedkeuring door het senior management en verhoogde monitoringfrequentie. De risicogebaseerde aanpak is discretionair; de EDD-verplichting is dwingend.
Geldt de EDD-verplichting ook voor bestaande cliënten?
Ja. Artikel 8(2) Wwft geldt niet alleen bij het aangaan van nieuwe zakelijke relaties, maar ook wanneer een bestaande cliënt gedurende de relatie een EDD-trigger verkrijgt — zoals het aantreden in een politieke functie (PEP-status) of wanneer een land op de EU-lijst van hoog-risicolanden wordt geplaatst. Instellingen moeten hun cliëntenbestand periodiek opnieuw screenen.
Hoe lang moeten EDD-documenten worden bewaard?
Artikel 33 Wwft verplicht een bewaarperiode van vijf jaar na het einde van de zakelijke relatie, of vijf jaar na het uitvoeren van een incidentele transactie. DNB verwacht dat de documentatie geordend en toegankelijk is voor toezichthouders, ook na afloop van de relatie.
Wat zijn de sancties bij onvoldoende EDD?
DNB kan bij geconstateerde tekortkomingen in de Wwft-naleving een bestuurlijke boete opleggen tot 5 miljoen euro of 10% van de jaaromzet. In 2023-2024 heeft DNB meerdere banken en betaalinstellingen beboet wegens onvoldoende invulling van het cliëntenonderzoek, waaronder tekortkomingen specifiek in de EDD-processen (DNB, Handhavingsresultaten). Naast boetes kan DNB een aanwijzing geven, een stille curator benoemen of in ernstige gevallen de vergunning intrekken.
Is een externe leverancier voor EDD toegestaan onder de Wwft?
Ja, met inachtneming van art. 5 Wwft (uitbesteding). De instelling blijft te allen tijde eindverantwoordelijk voor de naleving. Een externe leverancier kan de documentverzameling, screening en documentverificatie ondersteunen, maar de risicoanalyse, de senior management-goedkeuring en de beslissing om de zakelijke relatie al dan niet aan te gaan blijven bij de instelling zelf.
Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch, financieel of regelgevend advies. Regelgevende verwijzingen zijn actueel per publicatiedatum 27 mei 2026. Raadpleeg een gekwalificeerde compliance-professional of juridisch adviseur voor begeleiding die is toegesneden op uw specifieke situatie en sector.
Externe bronnen:
Blijf op de hoogte
Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.