FATF Travel Rule crypto VASPs: KYC-compliance gids 2026

Sinds 30 december 2024 verplicht Verordening (EU) 2023/1113 — de zogenoemde TFR (Transfer of Funds Regulation) — alle aanbieders van cryptoactivadiensten (CASP) die in de Europese Unie actief zijn om de FATF Travel Rule toe te passen op alle overdrachten tussen gehoste wallets, zonder minimumdrempel voor CASP-naar-CASP-transacties. In Nederland is De Nederlandsche Bank (DNB) de toezichthouder die CASP's registreert en toezicht houdt op naleving van de Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT). Elke aanbieder van cryptodiensten die in Nederland actief is, moet beschikken over een werkend Travel Rule-transmissiesysteem vóór de eerste overdracht tussen platforms. Deze gids legt de documentatieverplichtingen, drempelwaarden en implementatiestappen uit.

Dit artikel is uitsluitend bedoeld voor informatieve doeleinden en vormt geen juridisch, financieel of regulatoir advies. Regelgevingsverwijzingen zijn juist op de publicatiedatum. Raadpleeg een gekwalificeerde professional voor begeleiding die specifiek is voor uw situatie.

Wat is de FATF Travel Rule?

De Travel Rule is de toepassing van FATF Aanbeveling 16 op overdrachten van virtuele activa. VASP's/CASP's zijn verplicht identificerende informatie van de opdrachtgever en de begunstigde te verzamelen, te verifiëren en te verzenden bij elke overdracht van cryptoactiva, op dezelfde manier als traditionele financiële instellingen dat doen bij SWIFT-betalingen. Begin 2026 hadden 85 van de 117 FATF-lidstaten (73%) Travel Rule-wetgeving ingevoerd, tegenover 65 in 2024 (FATF Targeted Update 2025).

Vereiste gegevens per overdracht

Bij elke overdracht tussen twee CASP's moeten de volgende gegevens worden verzonden:

Toepassingsgebied in de EU

Artikel 1 van Verordening (EU) 2023/1113 bepaalt dat de TFR van toepassing is op alle CASP's die cryptoactiva-overdrachten uitvoeren, ongeacht of zij al dan niet beschikken over een volledige MiCA-vergunning. De Europese Bankautoriteit (EBA) publiceerde in juli 2024 de richtsnoeren EBA/GL/2024/11 met gedetailleerde technische specificaties voor de implementatie.

Regelgevend kader in Nederland: DNB, AFM en WWFT

In Nederland is de Autoriteit Financiële Markten (AFM) verantwoordelijk voor gedragstoezicht, terwijl DNB prudentieel toezicht houdt en CASP's registreert. De WWFT (Wet ter voorkoming van witwassen en financieren van terrorisme) verplicht aanbieders van cryptodiensten tot cliëntenonderzoek en het melden van ongebruikelijke transacties bij de Financial Intelligence Unit-Nederland (FIU-Nederland).

Elke CASP die in Nederland actief is — ook platforms die uitsluitend diensten aan Nederlandse klanten aanbieden — moet vanaf 30 december 2024 beschikken over een werkend Travel Rule-systeem.

Drempelwaarden in Nederland en de EU

Deze drempelwaarden zijn strenger dan de FATF-basisnorm (USD 1.000) en plaatsen de EU samen met het Verenigd Koninkrijk (nuldrempel) in de strengste categorie wereldwijd.

KYC-documentatieverplichtingen voor CASP's

De Travel Rule werkt alleen als de verzonden gegevens correct zijn — wat een robuust KYC-proces vooraf vereist. Identificatie en documentverificatie zijn het fundament van de gehele complianceketen.

Geaccepteerde identiteitsdocumenten

Voor natuurlijke personen moeten CASP's verzamelen en verifiëren:

• Geldig rijbewijs, paspoort of identiteitskaart (EU-burger)
• Bewijs van adres van minder dan drie maanden (voor gevallen van verscherpt cliëntenonderzoek)
• Voor uiteindelijk begunstigden (drempel 25% op grond van AMLD6): gelijkwaardige documenten

Voor rechtspersonen:

• Uittreksel uit het Handelsregister (Kamer van Koophandel), niet ouder dan drie maanden
• Statuten van de rechtspersoon
• KvK-nummer en BTW-identificatienummer
• Identiteitsdocumenten van bestuurders en uiteindelijk begunstigden

CheckFile verwerkt meer dan 3.200 documenttypen in 32 rechtsgebieden met OCR-ondersteuning voor 24 talen, waardoor complianceteams internationale dossiers kunnen verwerken in één werkstroom, zonder handmatige verwerkingsvertraging. Bekijk de KYC-oplossingen van CheckFile.

Verificatie van niet-gehoste wallets (self-hosted wallets)

Artikel 19 van Verordening (EU) 2023/1113 verplicht CASP's te verifiëren dat het walletadres daadwerkelijk toebehoort aan hun cliënt wanneer de overdracht de €1.000 overschrijdt. Geaccepteerde verificatiemethoden zijn:

1. Testmicrobetaling (kleine rondgaande transactie die controle over de wallet bewijst)
2. Cryptografische handtekening als bewijs van bezit van de privésleutel
3. Verklaring op eer met aanvullend documentair bewijs

De richtsnoeren EBA/GL/2024/11 specificeren dat de gekozen verificatiemethode evenredig moet zijn aan het risiconiveau van de transactie.

Technische implementatie: berichtgevingsprotocollen

De technische laag van Travel Rule-compliance vereist een berichtgevingsprotocol om gegevens veilig tussen CASP's te verzenden. In 2026 domineren drie oplossingen de markt:

De keuze van het protocol heeft directe invloed op het vermogen om grensoverschrijdende overdrachten te verwerken. CASP's die nog geen berichtgevingsoplossing hebben geïmplementeerd, lopen het risico dat hun overdrachtsorders worden geblokkeerd door conforme tegenpartijen die niet-geïdentificeerde stromen weigeren.

Omgaan met ontbrekende of onvolledige Travel Rule-gegevens

In de praktijk komt het regelmatig voor dat een ontvangende CASP een overdracht ontvangt zonder dat de verzendende CASP volledige Travel Rule-gegevens heeft verstrekt. De EBA-richtsnoeren EBA/GL/2024/11 voorzien in een getrapt escalatieproces:

Stap 1 — Ontbrekende maar opvraagbare gegevens: De ontvangende CASP moet de ontbrekende informatie onmiddellijk bij de verzendende CASP opvragen. Fondsen mogen tijdelijk worden vastgehouden om dit verzoek te faciliteren. De termijn wordt risicogebaseerd bepaald.

Stap 2 — Structureel niet-overdraagbare gegevens (sunrise-probleem): Wanneer de verzendende CASP is gevestigd in een jurisdictie die de Travel Rule nog niet heeft ingevoerd — het zogenoemde "sunrise-probleem" — moet de ontvangende CASP een eigen risicobeoordeling uitvoeren. Relevante factoren zijn: jurisdictierisico, transactiebedrag, cliëntprofiel en oorsprong van de middelen.

Stap 3 — Structurele niet-naleving door tegenpartij: Bij herhaalde Travel Rule-schendingen door dezelfde verzendende CASP kan de ontvangende CASP de zakelijke relatie beperken of beëindigen. Deze beslissing moet worden gedocumenteerd en vermeld in de jaarlijkse WWFT-risicoanalyse.

Gevolgen van niet-naleving in Nederland

DNB heeft in haar toezichtsprioriteiten voor 2026 aangegeven dat Travel Rule-naleving een prioriteit vormt bij inspecties van geregistreerde cryptodienstverleners. CASP's die geen aantoonbare Travel Rule-procedure hebben geïmplementeerd, riskeren een aanwijzing van DNB, een openbare waarschuwing of — in ernstige gevallen — intrekking van de registratie. De maximale bestuurlijke boete voor overtreding van de WWFT bedraagt op grond van artikel 28 WWFT €4 miljoen of 10% van de jaaromzet, afhankelijk van welk bedrag hoger is.

Travel Rule compliance-checklist

Een volledige compliance vereist zowel de documentaire (KYC) als de technische (berichtgeving) dimensie:

• Travel Rule-gegevensverzameling integreren in het cliëntenregistratieproces (onboarding)
• Een berichtgevingsprotocol selecteren en hierop aansluiten (TRISA, OpenVASP of Notabene)
• Walletbezitverificatie implementeren voor niet-gehoste wallets boven €1.000
• Een beleid definiëren voor overdrachten naar of van niet-conforme CASP's (sunrise-probleem)
• Escalatieprocedure voor onvolledige Travel Rule-gegevens documenteren
• Travel Rule-risico's opnemen in de WWFT-risicobeoordeling
• Complianceteam trainen in de nieuwe vereisten en waarschuwingssignalen
• Travel Rule-gegevens minimaal vijf jaar bewaren

Voor een uitgebreid overzicht van het cryptoregelgevingskader, zie onze artikelen over MiCA en crypto-identiteitsverificatie, AML-transactiemonitoring en de gids voor documentaire compliance.

Veelgestelde vragen

Geldt de Travel Rule voor peer-to-peer (P2P) overdrachten tussen privéwallets?

Nee. De Travel Rule is uitsluitend van toepassing wanneer een gelicentieerde CASP of VASP betrokken is bij de overdracht — als opdrachtgever of als begunstigde. Directe overdrachten tussen twee niet-gehoste wallets zonder tussenkomst van een tussenpersoon vallen buiten het toepassingsgebied van Verordening (EU) 2023/1113.

Wat gebeurt er als de begunstigde CASP geen Travel Rule-protocol ondersteunt?

De verzendende CASP moet de Travel Rule-gegevens bewaren en het risico beoordelen vóór het vrijgeven van de fondsen. De richtsnoeren EBA/GL/2024/11 adviseren risicogebaseerde mitigatiemaatregelen toe te passen — zoals het opvragen van aanvullende informatie of het invoeren van een verwerkingsvertraging — in plaats van de overdracht automatisch te weigeren.

Is de Travel Rule van toepassing op overdrachten van stablecoins?

Ja. Verordening (EU) 2023/1113 is van toepassing op alle cryptoactiva zoals gedefinieerd door MiCA, inclusief e-geldbonnen (EMT) en activagerelateerde tokens (ART). Een CASP die stablecoins uitgeeft of overdraagt voor rekening van cliënten is onderworpen aan dezelfde Travel Rule-verplichtingen als een conventionele crypto-exchange.

Hoe lang moeten Travel Rule-gegevens worden bewaard?

Op grond van het Europese AML-kader (AMLD6) en de WWFT moeten CASP's Travel Rule-gegevens — inclusief informatie over de opdrachtgever en begunstigde en verificatiebewijs — minimaal vijf jaar bewaren vanaf de datum van de transactie of het einde van de zakelijke relatie, afhankelijk van welke datum later is.

Is een vóór MiCA geregistreerde VASP onderworpen aan de TFR?

Ja. Verordening (EU) 2023/1113 is vanaf 30 december 2024 van toepassing op alle CASP's die overdrachten van cryptoactiva uitvoeren voor cliënten, inclusief aanbieders die onder nationale voorMiCA-regelingen opereerden tijdens de overgangsperiode.