Skip to main content

Online identificatie conform de Wwft

Hoe kunt u het cliëntenonderzoek digitaliseren? En voldoet dit wel aan de voorschriften van de Wwft? De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) bevat de Nederlandse wetgeving voor Anti Money Laundering (AML) en Counter Terrorism Financing (CTF). Voor het behoud van een veilig en betrouwbaar financieel systeem, worden nieuwe maar ook bestaande klanten van financiële instellingen onderworpen aan een cliëntenonderzoek. Het digitaliseren van zo’n onderzoek kan kosten verlagen, de doorlooptijd verkorten en de betrouwbaarheid van verkregen gegevens verhogen.

Wwft cliëntenonderzoek: met wie doet u zaken?

Doel van het cliëntenonderzoek is het leren kennen van de klant, alle relevante risico’s in beeld brengen en vaststellen of de gewenste financiële diensten passend zijn voor de klant.  Als de relatie eenmaal tot stand gekomen is, worden ook transacties gemonitord om afwijkingen te signaleren. Ongebruikelijke transacties die aan bepaalde voorwaarden voldoen, moeten worden gemeld aan de Finance Intelligence Unit Nederland (FIU-Nederland) voor nader onderzoek.

Het uitvoeren van een cliëntenonderzoek kan erg tijdrovend zijn. Vooral als het een handmatig proces betreft of de organisatiestructuur van de zakelijke klant complex is. Immers, van een zakelijke klant moeten vertegenwoordigers en uiteindelijke belanghebbenden worden geïdentificeerd en geverifieerd.  Digitalisering van het cliëntenonderzoek kan de kosten verlagen, de doorlooptijd verkorten en de betrouwbaarheid van verkregen gegevens verhogen.

De Wwft schrijft onder andere voor dat: 

  • De cliënt wordt geïdentificeerd 
  • Diens identiteit wordt geverifieerd 
  • De uiteindelijke belanghebbende (ultimate beneficial owner, UBO) wordt geïdentificeerd en diens identiteit wordt geverifieerd.
  • Het doel en beoogde aard van de zakelijke relatie wordt vastgesteld 
  • De zakelijke relatie en zijn transacties worden gemonitord  
  • Wordt vastgesteld of de natuurlijke persoon die de cliënt vertegenwoordigt daartoe bevoegd is en deze persoon te identificeren en diens identiteit te verifiëren. 

Controles of de UBO van de cliënt op een sanctielijst staat of een politically-exposed person (PEP) is, horen ook bij het (verscherpt) cliëntenonderzoek. Het begrip PEP beperkt zich niet langer tot buitenlandse PEP’s: ook binnenlandse PEP’s vallen nu onder dit begrip. 

Verschillende gradaties van het cliëntenonderzoek

Met onze digitale identificatiediensten richten we ons op het onderzoek dat moet worden uitgevoerd als een persoon of organisatie klant wil worden (onboarding) of als klanten gebruik willen maken van financiële diensten. Met deze diensten kunnen organisaties de identiteit van hun klant of een vertegenwoordiger verifiëren. Op basis van die vastgestelde identiteit kunnen aanvullende onderzoeken worden uitgevoerd. Bijvoorbeeld of de betreffende persoon bevoegd is om de gewenste dienst te gebruiken. Dit geheel komt samen in het cliëntenonderzoek dat wordt voorgeschreven door de Wwft.

“Stop met het onveilig uitwisselen en opslaan van een kopietje paspoort.”

Het cliëntenonderzoek kent verschillende gradaties, afhankelijk van het risico op witwassen en terrorisme financiering van de betreffende financiële dienst. Naast het standaard cliëntenonderzoek is er een vereenvoudigd en een verscherpt cliëntenonderzoek. Een vereenvoudigd cliëntenonderzoek richt zich op cliënten met een laag risico. Een verscherpt cliëntenonderzoek is vereist als een zakelijke relatie of transactie naar haar aard een hoger risico vertegenwoordigt. De wetgever heeft benoemd in welke gevallen er altijd sprake is van een hoger risico.

De rode draad in het cliëntenonderzoek: identiteitsverificatie

De rode draad in elk cliëntenonderzoek is dat de identiteit van een persoon moet worden geverifieerd: is de persoon degene die hij of zij claimt te zijn?

Voor het verifiëren van iemands identiteit is een tweede bron nodig. Als iemand zich aanmeldt voor een financiële dienst via bijvoorbeeld een formulier op een website, wordt dat gezien als de identificatie van de klant. Identiteitsverificatie vindt plaats door de opgegeven gegevens te vergelijken met gegevens uit een (betrouwbare) tweede bron. Hierdoor weten we precies met welke persoon we te maken hebben.

Of het de juiste persoon is, wordt pas duidelijk als andere bronnen worden geraadpleegd. Dit zijn bronnen die kunnen bevestigen of een bankrekening bij de persoon hoort, of de persoon bevoegd is namens een bedrijf op te treden, of dat de persoon daadwerkelijk woonachtig is op het opgegeven adres. Er zijn dus meerdere bronnen nodig om vast te stellen dat we met de juist persoon te maken hebben. 

Er zijn allerlei aanbieders van dergelijke bronnen, elk met hun eigen specialiteit, geschiktheid en technische aansluiting. Signicat heeft het vinden en ontsluiten van deze bronnen voor organisaties vereenvoudigd door ze op één platform samen te brengen, de technische aansluiting te standaardiseren en als enige contractpartij voor organisaties op te treden.  Dit beperkt de beheerlast tot een absoluut minimum.

Wij verdelen de digitale identificatiediensten in drie categorieën: 

  1. Online identificatie 
  2. Register lookups 
  3. Authenticatie  

Deze digitale identificatiediensten worden op hun beurt gebruikt bij het digitaal ondertekenen van documenten. 

De bouwstenen van een digitaal cliëntenonderzoek

Online identificatie

Om te voldoen aan de voorschriften van de Wwft biedt ons Digital Identity platform verschillende online identificatiediensten waarmee u het cliëntenonderzoek kunt uitvoeren. Denk aan elektronische identiteitsbewijzen (eID’s) als iDIN voor een gemakkelijke en gebruiksvriendelijke online identificatie. Wanneer een eID niet geschikt is voor de use case kunt u door middel van identiteitsdocumentverificatie (eIDV) gebruikmaken van een identiteitsdocument als tweede bron. Het is mogelijk om identiteitsdocumenten zoals een paspoort, identiteitskaart of rijbewijs uit te lezen met verschillende eIDV technieken.

Welke bron wordt gebruikt hangt onder af andere van de wettelijke eisen. De verificatie van een identiteit gebeurt aan de hand van attributen zoals naam, geboortedatum en nationaliteit. Een tweede bron moet de verkregen attributen dus wel (betrouwbaar) kunnen delen ter verificatie.

Register lookups

Met register lookups kunt u volledig automatisch aanvullende checks uitvoeren op de geïdentificeerde persoon. Voor het cliëntenonderzoek is het onder andere van belang om te controleren of de geïdentificeerde persoon een politiek prominent persoon (PEP) betreft; want dit kan een verhoogd risico inhouden. Van een verhoogd risico of zelfs uitsluiting van dienstverlening is sprake wanneer de persoon op een sanctielijst staat. Daarom wordt de geïdentificeerde persoon gecheckt tegen verschillende internationale sanctielijsten. In een B2B use case moet u ook de ultimate beneficial owners (UBO) identificeren. Voor de UBO wordt in Europese landen een UBO-register gevuld. Zolang deze registers nog niet zijn gevuld, kan een UBO-verklaring digitaal worden ondertekend en opgeslagen in het dossier voor controle door de toezichthouder.

“Naast de wettelijke eisen is het ook raadzaam na te denken over de herkenning van dezelfde klant bij terugkerend bezoek: de authenticatie.”

Gebruikersauthenticatie

Hoewel het cliëntenonderzoek zich richt op het voldoen aan de Wwft, is het tegelijkertijd het proces waarmee een klant zich aanmeldt voor een financiële dienst. Wanneer klanten vervolgens weer inloggen bij uw online services, willen zij niet wéér het volledige identificatieproces doorlopen. Dit vraagt om een veilige en klantvriendelijke oplossing voor gebruikersauthenticatie ofwel het inlogproces voor terugkerende klanten.

Een eID zoals iDIN kent bijvoorbeeld ook een authenticatiefunctie: een al geïdentificeerd persoon kan zich in het vervolg weer met met iDIN aanmelden. Het grote voordeel voor de eindgebruiker is dat deze bij het gebruik van iDIN geen gebruikersnaam en wachtwoord hoeft te onthouden, maar de bekende en vertrouwde inlogmethode voor online bankieren kan gebruiken.

Logt iemand zeer regelmatig in en/of worden er extra eisen gesteld aan de sterkte van de authenticatie zoals in een PSD2 casus, dan biedt een biometrische authenticatie (vingerafdruk/gezichtsherkenning) via de eigen mobiele app uitkomst.

Key take aways

  • Het cliëntenonderzoek vanuit de Wwft draagt bij aan een veilig en betrouwbaar betalingsverkeer 
  • Een handmatig cliëntenonderzoek kan tijdrovend zijn maar door digitalisering worden kosten verlaagd, doorlooptijden verkort en neemt de betrouwbaarheid van de verificatie toe 
  • Door het combineren van verschillende online identificatieoplossingen kan worden voldaan aan internationale AML/CTF wet- en regelgeving.
  • Het Digital Identity platform van Signicat stelt organisaties in staat om het 'klant worden'-proces (onboarding) naar eigen inzicht en behoefte in te richten met de gestandaardiseerde en genormaliseerde API’s die toegang geven tot een uitgebreid en gevarieerd portfolio van digitale identificatiediensten.