Documentcompliance in Nederland: complete gids 2026
Documentcompliance voor Nederlandse bedrijven: Wwft, KYC, AVG, AMLD6, DORA en eIDAS 2. Verplichtingen, sancties en automatisering. Bijgewerkte gids 2026.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokDocumentcompliance omvat alle wettelijke verplichtingen die Nederlandse bedrijven dwingen om documenten van klanten, partners en transacties te verzamelen, te verifiëren en te bewaren. In Nederland vormt de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) de kern van dit kader, aangevuld door de AVG, en een groeiend pakket Europese verordeningen: AMLD6, DORA, eIDAS 2 en MiCA. Niet-naleving leidt tot boetes die kunnen oplopen tot miljoenen euro's en tot strafrechtelijke vervolging.
In 2024 en 2025 heeft DNB meer dan 80 formele handhavingsacties uitgevoerd wegens tekortkomingen in Wwft-complianceprocedures, met boetes tot 5 miljoen euro per overtreding (DNB, Toezichtresultaten Wwft). De AFM heeft in dezelfde periode meerdere vergunningen ingetrokken bij beleggingsondernemingen die hun cliëntenonderzoek niet op orde hadden.
Dit artikel is uitsluitend informatief van aard en vormt geen juridisch, financieel of regelgevend advies. Raadpleeg een gekwalificeerde professional voor begeleiding op maat.
KYC: de basis van cliëntidentificatie in Nederland
KYC (Know Your Customer) verplicht elke Wwft-plichtige instelling om de identiteit van cliënten vast te stellen voordat een zakelijke relatie wordt aangegaan. De Wwft definieert drie pijlers: identificatie, verificatie van de authenticiteit van documenten en risicobeoordeling. De verplichting geldt voor banken, verzekeraars, betaaldienstverleners, trustkantoren, notarissen, advocaten, accountants en makelaars.
Het KYC-proces vergt gemiddeld 3 tot 5 fte bij een middelgrote financiële instelling voor uitsluitend de handmatige dossierbehandeling. Het afwijzingspercentage van dossiers wegens documentaire gebreken bedraagt 15 tot 25%, afhankelijk van de sector. De kosten per volledig KYC-dossier liggen bij handmatige verwerking tussen 30 en 80 euro, hoofdzakelijk door de tijdsbesteding aan het opvragen, controleren en archiveren van documenten.
In Nederland houdt DNB toezicht op de naleving van de Wwft door financiële instellingen, terwijl de AFM toezicht houdt op beleggingsondernemingen. Het Bureau Financieel Toezicht (BFT) controleert de naleving door notarissen, accountants en belastingadviseurs. De deken van de Orde van Advocaten ziet toe op advocatenkantoren. Elk van deze toezichthouders kan zelfstandig boetes en maatregelen opleggen bij geconstateerde tekortkomingen.
Verordening (EU) 2024/1620 tot oprichting van de Europese anti-witwasautoriteit AMLA is op 1 januari 2026 in werking getreden, waarmee KYC-praktijken op Europees niveau worden geharmoniseerd (Verordening (EU) 2024/1620). Voor een volledig overzicht van het KYC-proces verwijzen wij naar onze complete KYC-gids voor bedrijven en de actualisering over KYC-vereisten in 2026.
AMLD6: het nieuwe Europese anti-witwaskader
De Zesde Anti-witwasrichtlijn (AMLD6, Richtlijn 2024/1640) harmoniseert de verplichtingen ter bestrijding van witwassen en terrorismefinanciering op Europees niveau. De omzettingstermijn voor lidstaten loopt tot juli 2027. AMLD6 verbreedt de lijst van meldingsplichtige instellingen, verscherpt de due-diligencevereisten en dwingt meer transparantie af over uiteindelijk belanghebbenden (UBO's).
De belangrijkste veranderingen betreffen drie assen: uitbreiding van de onderliggende delicten bij witwassen, aanscherping van strafrechtelijke sancties (tot 4 jaar gevangenisstraf voor natuurlijke personen) en harmonisatie van UBO-registers. De drempel die de meldingsplicht activeert blijft vastgesteld op 25% van het kapitaal of de stemrechten.
Voor Nederlandse instellingen betekent AMLD6 concreet dat het cliëntenonderzoek moet worden geïntensiveerd bij grensoverschrijdende transacties, dat de screening tegen sanctielijsten continu moet plaatsvinden (niet slechts bij intake) en dat er een directe meldlijn naar FIU-Nederland moet bestaan voor verdachte transacties. Trustkantoren en betaaldienstverleners vallen onder verscherpt toezicht, gezien hun rol als doorvoerkanaal voor internationale geldstromen.
Onze AMLD6-compliancegids voor meldingsplichtige instellingen behandelt het volledige tijdspad en de maatregelen die nu al moeten worden voorbereid. De specifieke kwestie van UBO-verificatievereisten onder AMLD6 verdient bijzondere aandacht, aangezien het gecentraliseerde Europese register uiterlijk in 2028 operationeel moet zijn.
Anti-witwassen en due diligence: de waakzaamheidsverplichtingen
De bestrijding van witwassen en terrorismefinanciering rust in Nederland op een drieledig waakzaamheidsstelsel: vereenvoudigd, standaard en verscherpt. Artikel 3 tot en met 8 van de Wwft bepalen de gevallen waarin verscherpt cliëntenonderzoek noodzakelijk is, met name bij politiek prominente personen (PEP's), landen met een hoog risico en transacties die ongebruikelijk complex zijn of een opvallend hoog bedrag betreffen.
| Niveau van waakzaamheid | Triggercriteria | Vereiste maatregelen |
|---|---|---|
| Vereenvoudigd | Cliënt met laag risico, standaardproduct | Verlichte identificatie, periodieke controle |
| Standaard | Reguliere zakelijke relatie | Identiteitsbewijs + bewijsstukken + risicobeoordeling |
| Verscherpt | PEP, derde land met hoog risico, atypische transacties | Uitgebreide documentatie, hiërarchische goedkeuring, doorlopende monitoring |
De documentaire due diligence vormt het operationele onderdeel van deze waakzaamheid: het verzamelen, verifiëren en archiveren van bewijsstukken voor elke zakelijke relatie. Bij verscherpt cliëntenonderzoek moeten instellingen aanvullende documenten opvragen, zoals de herkomst van het vermogen, de aard van de beoogde transacties en een verklaring over het doel van de zakelijke relatie.
FIU-Nederland ontving in 2024 meer dan 1,9 miljoen meldingen van ongebruikelijke transacties en verklaarde daarvan ruim 95.000 als verdacht (FIU-Nederland, Jaaroverzicht 2024). Het merendeel van de verdachte transacties betrof documentaire inconsistenties bij zakelijke betalingen boven 15.000 euro en contante transacties boven 10.000 euro.
Onze gids anti-money laundering compliance behandelt de grondslagen, en de due-diligence-checklist voor bedrijven biedt een concreet uitvoeringskader.
Volgens Europol vertegenwoordigen de geïdentificeerde witwasstromen binnen de EU tussen 0,7% en 1,28% van het jaarlijkse Europese bbp, oftewel 133 tot 245 miljard euro (Europol, Financial Crime Threat Assessment 2024).
KYB en onboarding: de identiteit van zakenpartners verifiëren
KYB (Know Your Business) is het documentverificatieproces dat wordt toegepast op rechtspersonen. Het omvat de authenticiteitscontrole van het KVK-uittreksel, de verificatie van de statuten, de identificatie van bestuurders en uiteindelijk belanghebbenden (UBO's), en de raadpleging van internationale sanctielijsten.
De doorlooptijd van B2B-onboarding bedraagt in handmatige verwerking 5 tot 20 werkdagen. De documenten die het vaakst ontbreken of niet conform zijn: een KVK-uittreksel ouder dan 3 maanden (31% van de afwijzingen), een verlopen verklaring arbeidsrelatie of loonheffing (26%) en een onvolledige UBO-opgave (22%).
Het KVK Handelsregister biedt via API-toegang de mogelijkheid om bedrijfsgegevens in real time te verifiëren: statutaire naam, vestigingsadres, bestuurders en bedrijfsactiviteiten. Het UBO-register, beheerd door de KVK, bevat de gegevens van uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten. Beide bronnen zijn essentieel voor geautomatiseerde kruiscontrole bij zakelijke onboarding.
Voor een gestructureerde onboarding verwijzen wij naar onze gids over KYB-bedrijfsdocumentverificatie bij onboarding. De specifieke verplichting rond SNA-keurmerk en leverancierscompliance-verificatie verdient bijzondere aandacht: de ketenaansprakelijkheid bij inschakeling van onderaannemers maakt grondige documentcontrole onmisbaar.
AVG en identiteitsdocumenten: persoonsgegevens beschermen
De Algemene verordening gegevensbescherming (AVG, EU 2016/679) stelt specifieke eisen aan het verzamelen en verwerken van identiteitsdocumenten. Artikel 5 bepaalt het beginsel van dataminimalisatie: uitsluitend gegevens verzamelen die strikt noodzakelijk zijn voor het aangegeven doel. Artikel 17 garandeert het recht op vergetelheid. Artikel 32 vereist technische beveiligingsmaatregelen die evenredig zijn aan het risico.
Bij documentverificatie dwingt de AVG drie afwegingen af: de bewaartermijn (5 jaar na beëindiging van de zakelijke relatie voor Wwft-verplichtingen), de reikwijdte van de verzameling (geen kopie van het identiteitsbewijs als een nummer volstaat) en de beveiliging van de opslag (versleuteling, beperkte toegang, traceerbaarheid).
De Autoriteit Persoonsgegevens (AP) heeft meermaals geoordeeld dat het standaard kopiëren van een compleet identiteitsbewijs bij reguliere dienstverlening disproportioneel is. Bedrijven mogen uitsluitend die gegevens vastleggen die noodzakelijk zijn voor het doel van de verwerking. Bij Wwft-plichtige instellingen is het vastleggen van een kopie wettelijk verplicht, maar ook dan geldt dat de bewaring beveiligd moet zijn en dat de gegevens na de wettelijke termijn moeten worden vernietigd.
De Autoriteit Persoonsgegevens (AP) heeft in 2024 verscherpte handhaving aangekondigd op het kopiëren en bewaren van identiteitsbewijzen door bedrijven die daartoe geen wettelijke grondslag hebben (Autoriteit Persoonsgegevens, Jaarverslag 2024). Ons artikel over AVG-compliance bij identiteitsdocumenten biedt een operationeel kader om verificatieverplichtingen en gegevensbescherming te verzoenen.
eIDAS 2: de Europese digitale identiteitswallet
Verordening eIDAS 2 (EU 2024/1183) verplicht lidstaten om iedere burger uiterlijk in 2026-2027 een digitale identiteitswallet (EUDI Wallet) ter beschikking te stellen. Deze wallet maakt het mogelijk om identiteitsbewijzen, attestaties en officiële documenten digitaal op te slaan en te delen, met een hoog betrouwbaarheidsniveau.
Voor bedrijven transformeert eIDAS 2 het documentverificatieproces: in plaats van kopieën van identiteitsbewijzen te verzamelen, kunnen zij gecertificeerde attributen (leeftijd, nationaliteit, fiscaal nummer) verifiëren via verifieerbare presentaties. De verwachte tijdwinst bedraagt 40% tot 60%.
In Nederland bouwt de implementatie voort op DigiD en de ontwikkeling van de Nederlandse EUDI Wallet, in lijn met het Europese referentiekader. Onze gedetailleerde analyse van eIDAS 2 en de Europese digitale identiteitswallet behandelt het tijdspad, de technische specificaties en de gevolgen voor onboardingprocessen. Het artikel over DigiD en digitale identiteit in Nederland illustreert de huidige toepassingen.
DORA en de financiële sector: digitale operationele weerbaarheid
De DORA-verordening (Digital Operational Resilience Act, EU 2022/2554), van toepassing sinds 17 januari 2025, legt financiële instellingen een kader op voor het beheer van ICT-risico's. Dit geldt voor kredietinstellingen, beleggingsondernemingen, verzekeringsmaatschappijen, vermogensbeheerders en hun kritieke ICT-dienstverleners.
DORA bestrijkt vijf pijlers: ICT-risicobeheer, incidentbeheer en -melding, weerbaarheidstests, beheer van risico's bij derde partijen en informatie-uitwisseling. Voor documentverificatie is het effect direct: geautomatiseerde verificatieoplossingen moeten voldoen aan de eisen van continuïteit, controleerbaarheid en beveiliging die de verordening stelt.
DORA voorziet in boetes tot 2% van de wereldwijde jaaromzet voor financiële instellingen die de verordening overtreden (Verordening (EU) 2022/2554, artikel 50). Onze gids over DORA 2026 en documentverificatie in de financiële sector beschrijft de te nemen maatregelen.
Elektronische facturering: het keerpunt van 2026
De hervorming van elektronische facturering in de EU krijgt in 2026 concrete vorm. De Europese richtlijn 2014/55/EU verplicht al tot acceptatie van elektronische facturen bij overheidsopdrachten. Nederland loopt hierin voorop met Peppol als standaard uitwisselingsnetwerk. De verwachting is dat de verplichting tot e-facturering voor B2B-transacties in Nederland tussen 2026 en 2028 gefaseerd wordt ingevoerd, in lijn met het ViDA-voorstel (VAT in the Digital Age).
De geaccepteerde formaten (UBL-OEBL, SI-UBL 2.0, Peppol BIS) vereisen een strikte gegevensstructurering. Dienstverleners die via het Peppol-netwerk opereren, verzorgen de routering en wettelijke archivering van facturen.
| Mijlpaal | Verplichting |
|---|---|
| 2024-heden | Ontvangst e-factuur verplicht bij overheidsopdrachten |
| 2026-2027 (verwacht) | Uitbreiding naar B2B-transacties (grote ondernemingen) |
| 2027-2028 (verwacht) | Uitbreiding naar mkb |
Ons artikel over elektronische facturering 2026 en documentvalidatie behandelt het tijdspad, de formaten en de stappen naar naleving.
MiCA en cryptoactiva: identiteitsverificatie van digitale spelers
De MiCA-verordening (Markets in Crypto-Assets, EU 2023/1114), volledig van toepassing sinds 30 december 2024, legt een uniform regelgevend kader op voor aanbieders van cryptoactivadiensten (CASP's) in de Europese Unie. De KYC-verplichtingen voor CASP's zijn gelijkgesteld aan die van de traditionele financiële sector: cliëntidentificatie, documentverificatie en witwasrisicobeoordeling.
MiCA vervangt het nationale registratiestelsel bij DNB door een Europese vergunning. Bestaande CASP's beschikken over een overgangsperiode om de MiCA-vergunning te verkrijgen; in Nederland is deze termijn vastgesteld op 18 maanden.
De documentverificatievereisten onder MiCA zijn stringent: CASP's moeten de identiteit van klanten verifiëren bij elke transactie boven 1.000 euro (voor niet-gehoste wallets) en doorlopend cliëntenonderzoek uitvoeren conform dezelfde standaarden als banken. DNB heeft aangekondigd dat het toezicht op crypto-dienstverleners in 2026 wordt geïntensiveerd, met bijzondere aandacht voor de kwaliteit van de KYC-procedures en de screening tegen sanctielijsten.
Onze analyse van de MiCA-verplichtingen voor crypto-identiteitsverificatie in 2026 beschrijft de specifieke eisen voor deze sector.
Compliance bij leasing en financiering
De leasing- en financieringssector combineert verplichtingen uit meerdere regelgevende kaders: Wwft, AVG, consumentenrecht en sectorspecifieke regelgeving. Elk financieringsdossier vereist het verzamelen en verifiëren van gemiddeld 8 tot 15 documenten: identiteit van de aanvrager, financiële draagkracht, compliance van het object en bijbehorende zekerheden.
Het afwijzingspercentage wegens documentaire gebreken in de leasingsector bedraagt 20 tot 30%, met extra verwerkingstijd van 5 tot 10 werkdagen per afwijzing. De meest voorkomende fouten: een verlopen KVK-uittreksel, een onvolledige jaarrekening en een niet-conforme verzekeringspolis.
De combinatie van Wwft-verplichtingen en consumentenbeschermingseisen maakt de leasingsector bijzonder kwetsbaar voor documentaire fouten. Leasemaatschappijen moeten niet alleen de identiteit en financiële positie van de aanvrager verifiëren, maar ook de eigendomssituatie en het verzekeringsstatuut van het te financieren object. Een automatische controle bij het moment van indiening voorkomt naar schatting 65% van de afwijzingen en verkort de gemiddelde doorlooptijd van 18 naar 5 werkdagen.
Onze gids over leasing-compliance en documentvereisten beschrijft de specifieke eisen voor deze sector.
Arbeidswetgeving: de verificatie van het recht om te werken
De verificatie van het recht om in Nederland te werken is een wettelijke verplichting voor iedere werkgever. De Wet arbeid vreemdelingen (Wav) verbiedt de tewerkstelling van buitenlandse werknemers zonder geldige tewerkstellingsvergunning of verblijfsdocument met aantekening "arbeid vrij toegestaan". De controle moet plaatsvinden vóór aanvang van de werkzaamheden en het document moet worden bewaard in het personeelsdossier.
De te controleren documenten variëren naar nationaliteit: verblijfsvergunning met tewerkstellingsvergunning, EU/EER-identiteitskaart of paspoort, of een kennismigrantenvergunning. De boete voor tewerkstelling zonder geldig document bedraagt 8.000 euro per werknemer bij een eerste overtreding (Inspectie SZW). Bij herhaalde overtredingen kan de boete oplopen tot 12.000 euro per werknemer, en bij ernstige gevallen riskeert de werkgever strafrechtelijke vervolging.
De Inspectie SZW voert jaarlijks duizenden controles uit bij bedrijven in risicosectoren zoals de bouw, horeca, landbouw en schoonmaak. Naast de directe boete kan een overtreding leiden tot stillegging van werkzaamheden, uitsluiting van overheidsopdrachten en reputatieschade. Het bijhouden van een actueel personeelsdossier met kopieën van identiteitsbewijzen en werkvergunningen is de eerste verdedigingslinie bij een inspectie.
Onze gids right-to-work-check voor werkgevers behandelt alle scenario's en best practices.
Overzicht regelgeving per sector
| Regelgeving | Betrokken sectoren | Belangrijke termijn | Maximale sanctie |
|---|---|---|---|
| KYC / Wwft | Financiën, verzekeringen, vastgoed, juridische beroepen | Doorlopend | 5 mln EUR of 10% omzet (DNB) |
| AMLD6 | Alle Wwft-plichtige instellingen | Omzetting juli 2027 | 4 jaar gevangenisstraf + boetes |
| AVG | Alle bedrijven | Van toepassing | 20 mln EUR of 4% wereldwijde omzet |
| eIDAS 2 | Alle bedrijven (identiteitsverificatie) | 2026-2027 | Nationale sancties |
| DORA | Financiële instellingen en ICT-dienstverleners | 17 januari 2025 | 2% wereldwijde omzet |
| MiCA | CASP's / cryptodienstverleners | 30 december 2024 | Intrekking vergunning + boetes |
| Elektronische facturering | Alle btw-plichtige bedrijven | 2026-2028 (gefaseerd) | Per factuur (oplopend) |
Hoe CheckFile documentcompliance automatiseert
CheckFile.ai is een documentverificatieplatform op basis van kunstmatige intelligentie dat alle verplichtingen uit deze gids afdekt. De analyse-engine automatiseert de verificatie van identiteitsbewijzen, KVK-uittreksels, UBO-opgaven, jaarrekeningen en facturen in minder dan 30 seconden per document.
De integratie verloopt via REST API of native ERP/CRM-connectoren. Het compliance-dashboard centraliseert waarschuwingen (verlopen documenten, ontbrekende stukken, gedetecteerde afwijkingen) en genereert de audit trails die toezichthouders vereisen.
Bedrijven die CheckFile gebruiken, verkorten hun onboardingtijd met gemiddeld 70% en verlagen hun dossierafwijzingspercentage met 85%. Het platform voldoet aan de AVG-vereisten (versleuteling, automatische verwijdering, recht op inzage) en de DORA-standaarden (controleerbaarheid, continuïteit, weerbaarheidstests).
De documentdekking omvat alle in Nederland gangbare documenttypen: identiteitsbewijzen (paspoort, identiteitskaart, verblijfsvergunning), bedrijfsdocumenten (KVK-uittreksel, statuten, jaarrekeningen), fiscale en sociale verklaringen (verklaring betalingsgedrag, loonstroken), financiële documenten (bankafschriften, IBAN-verificatie) en facturen (conformiteit met wettelijke vereisten en e-factureringsformaten). Het tariefmodel is op basis van gebruik, zonder minimale afname.
Bekijk onze tarieven afgestemd op uw sector.
Lees ook complete AML-compliance gids en Wat Verandert er in 2026-2027.
FAQ
Wat zijn de belangrijkste complianceverplichtingen voor documentverificatie in Nederland in 2026?
De verplichtingen omvatten KYC/KYB (identificatie en verificatie van cliënten en partners conform de Wwft), anti-witwasmaatregelen (Wwft en AMLD6), de AVG (bescherming van persoonsgegevens), DORA (operationele weerbaarheid voor de financiële sector), elektronische facturering (gefaseerde uitrol) en eIDAS 2 (Europese digitale identiteit). Elk kader stelt specifieke eisen aan het verzamelen, verifiëren en bewaren van documenten.
Welke sancties riskeert een bedrijf dat zijn documentverificatieverplichtingen niet nakomt?
De sancties variëren per regelgevend kader: tot 5 miljoen euro of 10% van de jaaromzet voor Wwft-overtredingen (DNB), 20 miljoen euro of 4% van de wereldwijde omzet voor AVG-inbreuken (Autoriteit Persoonsgegevens), en strafrechtelijke sancties tot 4 jaar gevangenisstraf voor witwasdelicten (AMLD6). DNB en de AP publiceren hun sanctiebesluiten, wat een aanzienlijk reputatierisico toevoegt.
Hoe verzoent u documentverificatieverplichtingen met AVG-gegevensbescherming?
Het beginsel van dataminimalisatie (artikel 5 AVG) verplicht tot het uitsluitend verzamelen van strikt noodzakelijke gegevens. In de praktijk betekent dit: de voorkeur geven aan attribuutverificatie (leeftijd, geldigheid van een document) boven het kopiëren van volledige documenten, wettelijke bewaartermijnen hanteren (5 jaar voor de Wwft), gegevens versleutelen in rust en tijdens transport, en granulaire toegangsrechten instellen. Geautomatiseerde verificatieoplossingen zoals CheckFile maken verificatie mogelijk zonder opslag van documentafbeeldingen.
Hoe automatiseert u documentcompliance zonder de menselijke controle te verliezen?
AI-automatisering verwerkt de standaardgevallen (80% van de dossiers) in enkele seconden, terwijl complexe of hoogrisicozaken worden doorgestuurd naar een menselijke analist met een voorbewerkt dossier. Dit hybride model handhaaft een nalevingspercentage van meer dan 99% en verkort tegelijkertijd de verwerkingstijd met 70%. Het compliance-dashboard biedt de volledige traceerbaarheid die toezichthouders vereisen.
Vervangt de eIDAS 2 digitale identiteitswallet de klassieke documentverificatie?
Niet onmiddellijk. eIDAS 2 voorziet in de geleidelijke uitrol van de EUDI Wallet tot 2026-2027, maar de coëxistentie met fysieke documenten zal meerdere jaren duren. Bedrijven moeten zich voorbereiden op een hybride model: verifieerbare presentaties uit de digitale wallet accepteren en tegelijkertijd de capaciteit behouden om traditionele documenten te verifiëren. CheckFile ondersteunt beide verificatiemodi.