KYC voor betaaldienstverleners (PSP): AML/CTF-vereisten 2026

Betaaldienstverleners (PSP's) in Nederland zijn onderworpen aan verplichtingen op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Wet op het financieel toezicht (Wft). De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) zijn de primaire toezichthouders. In 2026 is een extra aandachtspunt: aanbieders van cryptoassetdiensten (CASP's) die elektronisch-geldtoken-betalingsdiensten aanbieden, moeten vanaf 1 maart 2026 over een aanvullende PSP-vergunning van DNB beschikken. Verder moeten PSP's zich voorbereiden op de EU-antiwitwasverordening (AMLR, Verordening (EU) 2024/1624) en de herziene AML-richtlijn (AMLD6, Richtlijn (EU) 2024/1640), met omzettingsdeadline 10 juli 2027.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch, financieel of regelgevend advies. Raadpleeg een gekwalificeerde professional voor uw specifieke situatie.

Welke PSP's zijn onderworpen aan KYC-verplichtingen in Nederland?

De Wwft en de Wft definiëren het toepassingsgebied. Voor betaaldienstverleners omvat dit:

Artikel 3 Wwft verplicht betaaldienstverleners tot cliëntenonderzoek vóór het aangaan van een zakelijke relatie of bij het uitvoeren van een incidentele transactie van 15.000 euro of meer. DNB verwacht van betaalinstellingen dat zij beschikken over een gedocumenteerd risicobeleid en aantoonbaar effectieve beheersmaatregelen. Bron: Wwft, wetten.nl

Vanaf 1 maart 2026 geldt een aanvullende vereiste voor CASP's die betalingsdiensten aanbieden op basis van elektronisch-geldtokens: zij moeten ook een vergunning als betaalinstelling aanvragen bij DNB. Dit volgt uit de MiCA-verordening (Verordening (EU) 2023/1114) en de toepassing van PSD2 op deze diensten.

Regelgevend kader: Wwft, Verordening (EU) 2023/1113 en EU-ontwikkelingen

Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) De Wwft verplicht PSP's tot het uitvoeren van cliëntenonderzoek, voortdurende monitoring, sanctiescreening en melding van ongebruikelijke transacties aan FIU-Nederland. Artikel 8 regelt het standaard cliëntenonderzoek; artikel 8a regelt vereenvoudigd cliëntenonderzoek voor laagrisicoproducten; de artikelen 9 en 10 regelen verscherpt cliëntenonderzoek voor hoogrisicosituaties, waaronder politiek prominente personen (PEP's) en klanten uit hoog-risicolanden.

Verordening (EU) 2023/1113 betreffende bij geldovermakingen te voegen informatie Van kracht vanaf 26 december 2024, vervangt Verordening (EG) nr. 1781/2006. Deze verordening verplicht PSP's om bij alle elektronische overmakingen — ongeacht de valuta en het bedrag — informatie over de betaler en de begunstigde mee te sturen. PSP's die directe overmakingen aanbieden, moeten hun klantendatabases onmiddellijk filteren na elke wijziging van EU- of nationale sanctielijsten, en minimaal dagelijks. Bron: Verordening (EU) 2023/1113, EUR-Lex

AMLD6 (Richtlijn (EU) 2024/1640) en AMLR (Verordening (EU) 2024/1624) Met omzettingsdeadline 10 juli 2027 breiden deze teksten het toepassingsgebied uit naar aanvullende cryptoasset-dienstverleners, harmoniseren zij de CDD-drempels op Europees niveau en vestigen zij de Europese Autoriteit voor de bestrijding van witwassen en terrorismefinanciering (AMLA), die begin 2026 operationeel is geworden. Bron: Richtlijn (EU) 2024/1640, EUR-Lex

PSD3 en Betalingsdiensten Verordening (PSR) Een voorlopig politiek akkoord over PSD3 en de PSR werd bereikt op 27 november 2025. Nationale omzetting in Nederland is voorzien voor 2027-2028. PSD3 introduceert verplichte IBAN/naam-verificatie voor SEPA-overmakingen en herschikt de aansprakelijkheid bij fraude.

Voor een volledig overzicht van AMLD6-nalevingsvereisten, raadpleeg onze AMLD6-nalevingsgids voor meldingsplichtige instellingen.

KYC-verplichtingen in de praktijk voor Nederlandse PSP's

Standaard cliëntenonderzoek (CDD)

Artikel 3 lid 2 Wwft verplicht PSP's tot identificatie en verificatie van de identiteit van de cliënt vóór het aangaan van een zakelijke relatie. Voor natuurlijke personen omvat dit:

• Volledige naam, geboortedatum, nationaliteit en adres
• Geldig identiteitsbewijs — paspoort, rijbewijs of identiteitskaart
• BSN (Burgerservicenummer) bij Nederlandse ingezetenen, waar van toepassing
• Aard en beoogd doel van de zakelijke relatie

Voor rechtspersonen strekken de verplichtingen zich uit tot de identificatie van uiteindelijk belanghebbenden (UBO's) — natuurlijke personen die direct of indirect meer dan 25 % van de aandelen of stemrechten bezitten, of op een andere wijze feitelijke zeggenschap uitoefenen — via het UBO-register van de Kamer van Koophandel.

De meerlaagse aanpak van CheckFile — die OCR-extractie, metadataverificatie en kruisdocumentvalidatie combineert — stelt PSP's in staat deze controles te automatiseren op een niveau dat voldoet aan DNB-vereisten.

Verscherpt cliëntenonderzoek: wanneer en hoe toe te passen

De artikelen 9 en 10 Wwft bepalen de situaties die verscherpt onderzoek vereisen:

• Politiek prominente personen (PEP's): senior politieke functionarissen, ministers, leden van hogere rechtbanken en hun naaste familieleden
• Klanten met banden in hoog-risicolanden van de FATF: landen op de FATF-zwarte lijst of grijze lijst (FATF hoog-risicolanden)
• Complexe of ongebruikelijk grote transacties zonder duidelijk economisch doel
• Op afstand aangegane zakelijke relaties: klanten die uitsluitend digitaal zijn geïntegreerd

Bij verscherpt onderzoek zijn aanvullende maatregelen verplicht, waaronder het verkrijgen van informatie over de herkomst van het vermogen en de fondsen, en de goedkeuring van het senior management vóór het aangaan van een relatie met een PEP.

Voortdurende monitoring van transacties

PSP's zijn verplicht tot permanente bewaking van zakelijke relaties op grond van artikel 3 lid 2 sub d Wwft:

Drempelwaarden voor Nederlandse PSP's

Fysiek transport van contanten van 10.000 euro of meer moet worden gemeld bij de Douane.

Melding aan FIU-Nederland: meldplicht voor ongebruikelijke transacties

FIU-Nederland (Financiële inlichtingeneenheid Nederland) is de nationale financiële inlichtingeneenheid die meldingen van ongebruikelijke transacties ontvangt, analyseert en doorgeeft aan bevoegde autoriteiten. Alle meldingsplichtige PSP's zijn verplicht ongebruikelijke transacties te melden via het goAML-portaal van FIU-Nederland.

Kernverplichtingen:

• Melding vóór uitvoering van de transactie wanneer dat mogelijk is
• Absolute geheimhouding — het informeren van de klant over de melding is strafbaar
• Bewaring van alle documentatie die aanleiding gaf tot de melding gedurende vijf jaar
• Aanwijzing van een compliancefunctionaris verantwoordelijk voor de meldingen

Bron: FIU-Nederland, meldplicht

DNB-handhaving: wat niet-naleving kost

DNB beschikt over uitgebreide handhavingsbevoegdheden op grond van de Wft en de Wwft:

• Bestuurlijke boetes: tot 10 % van de jaaromzet of 10 miljoen euro (hoogste bedrag) voor ernstige overtredingen
• Openbare waarschuwing: gepubliceerd op de website van DNB
• Aanwijzing: een dwangmaatregel waarbij de instelling specifieke corrigerende maatregelen moet nemen
• Intrekking van de vergunning: ultieme sanctie die het einde van de bedrijfsactiviteiten betekent

KYC-compliance automatiseren met CheckFile

Geautomatiseerde documentverificatie is een operationele noodzaak voor PSP's die grote volumes klantonboarding verwerken. CheckFile biedt een API die direct integreert in onboardingworkflows:

• Verificatie van meer dan 3 200 documenttypen uit 32 rechtsgebieden, inclusief Nederlandse en EU-identiteitsbewijzen en verblijfsvergunningen
• Geautomatiseerde extractie van biografische gegevens met veldoverstijgende consistentiecontroles
• Detectie van gewijzigde, AI-gegenereerde of metadata-gemanipuleerde documenten
• Conforme opslag van verificatie-evidentiemateriaal gedurende vijf jaar voor DNB-audits
• Directe integratie met risicobeheer-, CRM- en core-bankingsystemen

Om uw risicogebaseerde aanpak voor AML-klantsegmentatie te versterken, kent CheckFile automatisch risico-indicatoren toe aan elk geverifieerd dossier. Zie onze tariefgids voor API-toegangsopties.

Veelgestelde vragen

Moet een PSP de identiteit van alle klanten verifiëren?

Ja, maar de intensiteit van het onderzoek varieert naargelang het risicoprofiel. Vereenvoudigd onderzoek is van toepassing op laagrisicoproducten (bv. niet-herlaadbare prepaidkaarten ≤ 150 €). Standaard CDD geldt voor de meeste klanten. Verscherpt onderzoek is verplicht voor PEP's, klanten met banden in FATF-hoog-risicolanden en complexe transacties zonder duidelijke economische rechtvaardiging.

Hoe vaak moet het KYC-dossier van een klant worden vernieuwd?

Het dossier moet worden bijgewerkt bij materiële wijzigingen in de situatie van de klant en met periodieke tussenpozen op basis van het risicoprofiel. DNB verwacht: jaarlijkse herziening voor hoogrisico-klanten en PEP's, tweejaarlijks voor gemiddeld risico, en vijfjaarlijks voor laag risico.

Zijn neobanken en fintech-bedrijven onderworpen aan dezelfde regels als traditionele banken?

Ja, voor de diensten die onder hun vergunning vallen. Een door DNB vergunde betaalinstelling heeft dezelfde Wwft-verplichtingen als een bank voor de betaaldiensten die zij aanbiedt. Het verschil zit in het toepassingsbereik van de vergunning, niet in het nalevingsniveau.

Wat verandert PSD3 aan de KYC-vereisten van PSP's?

PSD3 en de PSR versterken voornamelijk de governancevereisten en de verplichte IBAN/naam-verificatie voor SEPA-overmakingen. De meest ingrijpende KYC-wijzigingen komen van AMLD6 en de AMLR, met omzettingsdeadline 10 juli 2027.

Wat is de CASP-PSP-licentieverplichting per 1 maart 2026?

Aanbieders van cryptoassetdiensten (CASP's) die op grond van MiCA betalingsdiensten aanbieden op basis van elektronisch-geldtokens, moeten naast hun CASP-registratie ook over een PSP-vergunning van DNB beschikken. Deze verplichting is van kracht vanaf 1 maart 2026 en volgt uit de gecombineerde toepassing van MiCA en PSD2/PSD3.