Skip to content
KlantverhaalTarievenBeveiligingVergelijkingBlog

Europe

Americas

Oceania

Compliance9 min leestijd

Een documentcompliance-programma opbouwen van nul

Stappenplan voor het opbouwen van een documentcompliance-programma: 5-niveaus maturiteitsmodel, Wwft-verplichtingen, AVG, KYC en automatisering.

Erik van den Berg, Compliance specialist
Erik van den Berg, Compliance specialist·
Illustration for Een documentcompliance-programma opbouwen van nul — Compliance

Dit artikel samenvatten met

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Een documentcompliance-programma bouw je niet in een dag op. Het vereist een methodische aanpak: vertrekken vanuit een diagnose van de huidige situatie, heldere beleidslijnen definiëren en vervolgens controles uitrollen die in verhouding staan tot de werkelijke risico's van de organisatie. In Nederland vloeien de verplichtingen voort uit de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), de Algemene verordening gegevensbescherming (AVG), en sectorspecifieke regelgeving. DNB en AFM legden in 2024 gezamenlijk 22 bestuurlijke boetes en aanwijzingen op voor tekortkomingen in cliëntenonderzoek en documentbeheer, met boetes tot 1,75 miljoen euro in een enkel geval (DNB, Handhavingsoverzicht 2024).

Deze gids beschrijft een vijfstappenplan voor het opbouwen van een robuust documentcompliance-programma, met een maturiteitsmodel waarmee u uw voortgang kunt evalueren en prioriteiten kunt stellen.

Dit artikel is uitsluitend informatief en vormt geen juridisch, financieel of regelgevend advies.

Waarom een gestructureerd compliance-programma

Documentverificatie is geen losstaande handeling. Het is een doorlopend proces dat de hele waardeketen raakt: cliëntonboarding, KYC, leveranciers due diligence, HR-beheer en contractbeheer. Zonder geformaliseerd programma stelt een organisatie zich bloot aan drie categorieën risico.

Het eerste is het regelgevingsrisico. Artikel 1a van de Wwft definieert de meldingsplichtige instellingen. DNB en AFM houden toezicht op de kwaliteit van de verificatieprocessen. Sancties kunnen oplopen tot 5 miljoen euro of tweemaal het met de overtreding behaalde voordeel.

Het tweede is het operationeel risico. Handmatige, ongedocumenteerde en niet-gestandaardiseerde processen leiden tot inconsistenties. Een afgewezen dossier door ontbrekende documentatie verlengt de doorlooptijd met gemiddeld 5 tot 15 werkdagen.

Het derde is het reputatierisico. Een organisatie die de traceerbaarheid van haar documentcontroles niet kan aantonen, verliest het vertrouwen van bancaire partners, toezichthouders en cliënten. Voor een uitgebreide analyse van het regelgevend kader, zie onze gids documentcompliance.

Het maturiteitsmodel in 5 niveaus

Voordat u een actieplan definieert, is het zaak het huidige maturiteitsniveau van het systeem te beoordelen. De onderstaande tabel presenteert vijf niveaus, van ad hoc tot geoptimaliseerd, met waarneembare kenmerken en prioritaire acties per niveau.

Niveau Benaming Kenmerken Prioritaire acties
1 Ad hoc Geen geschreven procedures. Verificatie hangt af van individueel initiatief. Geen audittrail. Documenten worden lokaal opgeslagen zonder bewaartermijnbeleid. Een compliance-verantwoordelijke benoemen. Alle verzamelde documenten en bijbehorende wettelijke verplichtingen in kaart brengen. Een minimaal documentbeleid opstellen.
2 Reactief Procedures bestaan maar worden niet uniform toegepast. Controles worden getriggerd door incidenten of toezichtbezoeken. Bewaring wordt handmatig beheerd. Checklists standaardiseren per dossietype. Een centraal verificatieregister opzetten. Medewerkers trainen op de geschreven procedures.
3 Gedefinieerd Processen zijn gedocumenteerd, gecommuniceerd en worden consistent toegepast. Er bestaan KPI's (volledigheidsgraad, doorlooptijd). Non-conformiteiten worden vastgelegd. Cross-documentconsistentiecontroles automatiseren. Documentverificatie integreren in bedrijfsworkflows. Periodieke reviews van het framework uitvoeren.
4 Beheerst KPI's worden real-time gemonitord. Afwijkingen leiden tot automatische alerts. Het framework wordt periodiek door een onafhankelijke partij geauditeerd. Bewaartermijnen worden automatisch afgedwongen. Een geautomatiseerde documentverificatie-oplossing met risicoscoring implementeren. Controles koppelen aan ERP of CRM. Documentvernietiging automatiseren conform AP-termijnen.
5 Geoptimaliseerd Het programma is continu in verbetering. Geleerde lessen voeden beleidsupdates. De organisatie anticipeert op regelgevingswijzigingen. Controles zijn afgestemd op het werkelijke risicoprofiel van elk dossier. Een regelgevingshorizon-scanningfunctie opzetten. Analytics gebruiken om risicodrempels te verfijnen. Best practices delen met de sector.

Dit model is niet lineair. Een organisatie kan op niveau 3 zitten voor cliëntonboarding maar op niveau 1 voor leveranciersverificatie. De beoordeling moet per domein worden uitgevoerd (onboarding, HR, inkoop, contracten) om de meest kritieke hiaten te identificeren.

Stap 1: verplichtingen en documenten in kaart brengen

De eerste stap bestaat uit het opstellen van een uitputtende inventarisatie van alle documenten die de organisatie verzamelt, verwerkt en bewaart, en deze te koppelen aan de bijbehorende wettelijke verplichtingen.

Toepasselijke regelgeving identificeren

In Nederland zijn de voornaamste bronnen van documentgerelateerde verplichtingen:

  • Wwft: cliëntenonderzoek, identificatie van de cliënt en de UBO, bewaring van documenten gedurende vijf jaar na beëindiging van de zakelijke relatie
  • AVG en UAVG (Uitvoeringswet AVG): dataminimalisatie, proportionele bewaartermijnen, rechten van betrokkenen op inzage en verwijdering
  • Arbeidswetgeving: documentverplichtingen bij indiensttreding (identiteitsbewijs, verblijfsvergunning, WAB-documenten)
  • Belastingwetgeving: bewaring van financiële administratie gedurende zeven jaar

Voor een gedetailleerd overzicht van de AML-verplichtingen, zie onze AML-compliancegids. De AVG-specifieke eisen voor documentbeheer worden behandeld in onze AVG-gids.

Een documentregister opbouwen

Maak per bedrijfsproces een overzicht van elk verzameld document, de wettelijke grondslag, de bewaartermijn en de verantwoordelijke voor verificatie. Dit register vormt de enige bron van waarheid voor het hele programma. Het moet toegankelijk zijn voor alle relevante stakeholders en minimaal jaarlijks worden herzien.

Stap 2: beleid en procedures definiëren

Verplichtingen moeten worden vertaald in operationele regels die medewerkers consistent kunnen volgen.

Het documentbeleid

Het documentbeleid is het referentiedocument dat de algemene principes vastlegt: welke documenten worden geaccepteerd, welke formaten zijn geldig (originelen, gewaarmerkte kopieën, digitale documenten), wat zijn de bewaartermijnen en de voorwaarden voor vernietiging. Het moet worden goedgekeurd door de directie en verspreid onder alle betrokken medewerkers.

Operationele procedures

Elk proces (cliëntonboarding, indiensttreding, leveranciers due diligence) moet beschikken over een gedetailleerde procedure die de verzamelstappen, verificatiepunten, acceptatie- en afwijzingscriteria en escalatietrajecten bij afwijkingen specificeert. Een KYC-dossier vereist bijvoorbeeld specifieke controles zoals beschreven in onze KYC-gids.

Verantwoordelijkheidsmatrices

Wie verzamelt, wie verifieert, wie keurt goed, wie archiveert. Een RACI-matrix (Responsible, Accountable, Consulted, Informed) per documentproces elimineert grijze gebieden en voorkomt hiaten of dubbele controles.

Stap 3: controles en tooling implementeren

Documentcontroles worden op drie niveaus uitgevoerd, in lijn met het three lines of defence-model zoals aanbevolen door het Institute of Internal Auditors.

Eerstelijnscontrole

Dit is de operationele controle door de medewerker die het dossier behandelt: volledigheidscheck, visuele inspectie van het identiteitsbewijs, kruiscontrole van gegevens tussen documenten. Dit niveau kan grotendeels worden geautomatiseerd met documentvalidatie-tools die inconsistenties, verlopen documenten en vervalsingen detecteren.

Tweedelijnscontrole

De compliance-functie of een leidinggevende beoordeelt een steekproef van verwerkte dossiers om te verifiëren of procedures correct worden gevolgd. Bevindingen voeden een corrigerend actieplan.

Derdelijnscontrole

Interne audit of een extern bureau evalueert periodiek de algehele effectiviteit van het systeem. Conclusies worden gerapporteerd aan het auditcomité of de directie. Het COSO-framework biedt een referentiekader voor het structureren van deze drie controleniveaus.

Stap 4: medewerkers opleiden en bewust maken

Een compliance-programma werkt alleen als de mensen die het uitvoeren het waarom en het hoe begrijpen. Opleiding moet drie dimensies beslaan.

De regelgevingsdimensie legt de wettelijke verplichtingen uit, de risico's bij niet-naleving en de toepasselijke sancties. Medewerkers moeten begrijpen waarom ze een bepaald document opvragen en niet een ander.

De procedurele dimensie behandelt de praktische vaardigheden: hoe de authenticiteit van een identiteitsbewijs te verifiëren, hoe een inconsistentie tussen een loonstrook en een belastingaangifte te herkennen, wanneer een verdacht dossier te escaleren.

De instrumentele dimensie traint medewerkers in het gebruik van de verificatiesoftware, validatieworkflows en monitoringdashboards.

Opleiding mag geen eenmalig evenement zijn. De FATF beveelt een minimale jaarlijkse frequentie aan, met gerichte updates bij regelgevings- of procedurewijzigingen.

Stap 5: sturen, meten en verbeteren

Kernprestatie-indicatoren

Een documentcompliance-programma moet worden gestuurd door objectieve, meetbare indicatoren:

  • Volledigheidsgraad van dossiers bij eerste indiening (doel: boven 85 %)
  • Gemiddelde doorlooptijd van een compleet dossier (doel: minder dan 48 uur)
  • Detectiegraad van afwijkingen bij eerstelijnscontroles
  • Aantal non-conformiteiten uit tweede- en derdelijnsreviews
  • Opleidingsdekkingsgraad (doel: 100 % van relevant personeel jaarlijks getraind)

Periodieke review

Het programma moet minimaal jaarlijks formeel worden herzien, waarbij de toereikendheid van procedures tegen actuele verplichtingen wordt beoordeeld, incidenten en non-conformiteiten worden geanalyseerd, de relevantie van KPI's wordt getoetst en regelgevingswijzigingen worden verwerkt. Deze review levert een actieplan op dat de volgende verbetercyclus voedt.

Automatisering als maturiteitsversneller

De overgang van niveau 3 naar niveau 4 hangt grotendeels af van automatisering. AI-gestuurde documentverificatie-oplossingen verwerken grote volumes met een consistentie die handmatige controle alleen niet kan bieden. CheckFile.ai biedt validatietools die zijn afgestemd op de eisen van gereguleerde bedrijven. Voor een kosten-batenanalyse, zie onze prijspagina.

Veelgestelde vragen

Hoe lang duurt het om een documentcompliance-programma op te zetten?

De doorlooptijd hangt af van het startniveau en de organisatiecomplexiteit. Een organisatie die van niveau 1 (ad hoc) vertrekt, moet rekenen op 6 tot 12 maanden om niveau 3 (gedefinieerd) te bereiken, met een toegewijde projectleider en een gefaseerde aanpak per bedrijfsdomein. Het bereiken van niveau 4 (beheerst) vergt doorgaans 12 tot 18 extra maanden, inclusief de implementatie van geautomatiseerde tools.

Wat zijn de sancties bij een ontbrekend compliance-programma in Nederland?

Op grond van de Wwft kan DNB bestuurlijke boetes opleggen tot 5 miljoen euro of tweemaal het met de overtreding behaalde voordeel (artikel 27). Bij ernstige overtredingen kan de toezichthouder een aanwijzing geven of de vergunning intrekken. De Autoriteit Persoonsgegevens kan AVG-overtredingen sanctioneren met boetes tot 20 miljoen euro of 4 % van de wereldwijde jaaromzet. Strafrechtelijke vervolging is mogelijk bij bewezen witwassen.

Moet er een specifieke compliance-functionaris worden benoemd?

De Wwft (artikel 2d) vereist dat meldingsplichtige instellingen een compliance-functie inrichten. Daarnaast is het benoemen van een verantwoordelijke voor het documentcompliance-programma, verbonden aan de compliance- of juridische afdeling, een onmisbare best practice voor samenhang en aansturing.

Kan het compliance-programma (deels) worden uitbesteed?

Operationele taken zoals scanning, data-extractie en eerstelijnscontrole kunnen worden uitbesteed, maar de instelling blijft volledig verantwoordelijk voor de naleving. DNB benadrukt dat uitbesteding de meldingsplichtige instelling niet ontslaat van haar Wwft-verplichtingen. Het contract met de dienstverlener moet serviceniveaus, controlemogelijkheden en auditvoorwaarden specificeren.

Hoe combineer je documentcompliance met gegevensbescherming?

Het compliance-programma moet AVG-vereisten vanaf het ontwerp integreren (privacy by design). Dit betekent: alleen de strikt noodzakelijke documenten verzamelen (dataminimalisatie), proportionele bewaartermijnen definiëren, toegang en overdracht beveiligen, en procedures inrichten voor het afhandelen van verzoeken van betrokkenen (inzage, rectificatie, wissing). Onze AVG-gids behandelt deze vereisten in detail.

Klaar om uw controles te automatiseren?

Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.

Gerelateerde artikelen

Compliance9 min

Third-Party Risk Management (TPRM): complete gids 2026

Complete gids third-party risk management (TPRM): DORA-verplichtingen, DNB-toezicht, leveranciersbeoordeling, doorlopende monitoring en compliance in Nederland 2026.

Lezen
Compliance15 min

Compliance risicobeoordeling: praktische gids voor Nederlandse organisaties

Hoe u regelgevingsrisico's identificeert, beoordeelt en beperkt. Stapsgewijze compliance risk management gids afgestemd op DNB, AFM en de Wwft.

Lezen
Compliance8 min

GRC: governance, risicobeheer en compliance — complete gids 2026

Wat is governance risk management compliance (GRC)? De drie pijlers, DNB- en AFM-vereisten in Nederland, en hoe u een effectief GRC-kader implementeert.

Lezen