MiCA 2026: Crypto-KYC en Identiteitsregels
MiCA-verordening en de Travel Rule: KYC-verplichtingen voor cryptodienstverleners, identiteitsverificatiedrempels en de compliance-deadline van juli 2026.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokOp 1 juli 2026 eindigt de overgangsperiode voor bestaande cryptodienstverleners onder de Markets in Crypto-Assets Regulation. CASP's die opereren onder nationale registraties -- waaronder het Nederlandse DNB-registratieregime -- moeten op die datum een volledige MiCA-autorisatie hebben of hun activiteiten staken. In combinatie met de Transfer of Funds Regulation (de "Travel Rule") creëert dit het meest veeleisende identiteitsverificatiekader waarmee de crypto-industrie ooit is geconfronteerd. Als uw platform gebruikers onboardt, transfers verwerkt of activa in bewaring houdt in de EU, tikt de compliance-klok -- naast andere grote deadlines in 2026 zoals de verplichte elektronische facturering.
MiCA: Het Geharmoniseerde EU-Cryptokader
Wat MiCA Dekt
Verordening (EU) 2023/1114, de Markets in Crypto-Assets Regulation, stelt één regulatoir kader vast voor crypto-activa in alle 27 EU-lidstaten. Vóór MiCA paste elk land zijn eigen regels toe -- Nederland had het DNB-registratieregime, Duitsland het BaFin-vergunningenstelsel en veel lidstaten hadden helemaal geen cryptospecifieke regelgeving. Dat lappendeken is voorbij.
MiCA dekt drie categorieën crypto-activa:
| Categorie | Definitie | Toezichthouder |
|---|---|---|
| Asset-referenced tokens (ARTs) | Tokens gestabiliseerd door verwijzing naar meerdere activa, grondstoffen of valuta's | Nationale bevoegde autoriteit; EBA voor significante ARTs |
| E-money tokens (EMTs) | Tokens gestabiliseerd door verwijzing naar één officiële valuta | DNB (Nederland) of equivalente nationale autoriteit; EBA voor significante EMTs |
| Overige crypto-activa | Alle crypto-activa die niet als ARTs of EMTs zijn geclassificeerd, inclusief utility tokens | AFM (Nederland) of equivalente nationale bevoegde autoriteit |
De verordening definieert en vergunningpicht ook crypto-asset service providers (CASPs) -- elke entiteit die bewaar-, wissel-, transfer-, bemiddelings-, advies- of portefeuillebeheerdiensten verleent voor crypto-activa. CASPs moeten een autorisatie onder MiCA verkrijgen om ergens in de EU te opereren, en die autorisatie fungeert als paspoort voor alle lidstaten.
De Kritieke Tijdlijn
De toepassing van MiCA is gefaseerd. De bepalingen voor stablecoins (ARTs en EMTs) zijn van toepassing sinds 30 juni 2024. Het volledige CASP-vergunningsregime geldt sinds 30 december 2024. Maar de overgangsbepaling in artikel 143 geeft bestaande CASPs -- die opereerden onder nationaal recht vóór 30 december 2024 -- een respijtperiode van maximaal 18 maanden, afhankelijk van de lidstaat.
| Datum | Mijlpaal | Impact |
|---|---|---|
| 30 juni 2024 | ART- en EMT-bepalingen van toepassing | Stablecoin-uitgevers moeten compliant zijn of uitgifte staken |
| 30 december 2024 | Volledige MiCA-toepassing voor CASPs | Nieuwe CASPs moeten MiCA-autorisatie verkrijgen vóór operatie |
| 1 juli 2026 | Overgangsperiode eindigt (maximum) | Bestaande CASPs onder nationale regimes moeten MiCA-autorisatie hebben |
| 30 december 2025 | Vereenvoudigd autorisatievenster sluit | CASPs met bestaande nationale vergunningen konden tot deze datum via vereenvoudigde procedure aanvragen |
Nederland heeft de maximale overgangsperiode van 18 maanden aangenomen. CASPs die geregistreerd zijn bij De Nederlandsche Bank (DNB) kunnen blijven opereren tot 1 juli 2026, mits zij hun MiCA-autorisatieaanvraag vóór de deadline voor de vereenvoudigde procedure hebben ingediend. Na 1 juli 2026 is een DNB-registratie alleen niet langer geldig.
KYC-Verplichtingen Onder MiCA
MiCA legt expliciete cliëntenonderzoek-vereisten (CDD) op aan CASPs die ver uitstijgen boven wat de meeste nationale cryptoregimes eerder vereisten. Deze verplichtingen gelden bij het openen van een account, gedurende de zakelijke relatie en op transactieniveau.
Accountopening en Klant-Onboarding
Elke CASP moet de identiteit van zijn cliënten verifiëren vóór het aangaan van een zakelijke relatie. Artikel 68 van MiCA vereist dat CASPs voldoen aan de AML/CFT-verplichtingen uit de Anti-Money Laundering Regulation (EU) 2024/1624. In de praktijk betekent dit:
- Volledige naamverificatie tegen een door de overheid uitgegeven identiteitsdocument (paspoort, identiteitskaart, verblijfsvergunning). Naarmate de eIDAS 2.0 EU Digitale Identiteitswallet wordt uitgerold in lidstaten, zal cryptografische credential-verificatie geleidelijk de traditionele document-gebaseerde identiteitscontroles aanvullen -- en voor sommige toepassingen vervangen.
- Geboortedatum en nationaliteit verzamelen en kruisverwijzen.
- Woonadres verifiëren via een energierekening, bankafschrift of officiële correspondentie.
- Uniek identificatienummer extraheren uit het identiteitsdocument (BSN bij Nederlandse ingezetenen, paspoortnummer).
- Sanctie- en PEP-screening tegen de geconsolideerde EU-sanctielijsten, nationale toezichtlijsten en databases van politiek prominente personen.
- Beoordeling van de herkomst van middelen voor relaties met verhoogde risico-indicatoren.
Voor zakelijke cliënten (rechtspersonen die het platform gebruiken) strekken de verplichtingen zich uit tot volledige KYB-verificatie: KVK-uittreksels, statuten, bewijs van geregistreerd adres, identificatie van bestuurders en uiteindelijk belanghebbenden (UBO's), en verificatie van de vennootschapsstructuur.
Doorlopend Toezicht
KYC is geen eenmalige controle bij onboarding. MiCA en de AMLR vereisen doorlopend toezicht gedurende de zakelijke relatie:
- Transactiepatroonanalyse om gedrag te detecteren dat inconsistent is met het opgegeven cliëntprofiel.
- Periodieke herziening van cliëntinformatie, met een frequentie bepaald door de risicoklassificatie van de cliënt.
- Triggergebaseerde herzieningen bij detectie van ongebruikelijke activiteit (plotselinge volumepieken, transfers naar hoog-risicojurisdicties, structureringspatronen).
- Sanctielijst-herscreening bij elke lijstupdate -- minimaal dagelijks voor EU- en OFAC-lijsten.
CASPs die geen effectief doorlopend toezicht handhaven riskeren dezelfde sancties als bij gebreken bij onboarding: boetes tot € 5 miljoen voor individuen of tot 12,5% van de jaaromzet voor rechtspersonen onder het eigen sanctiekader van MiCA, naast de AMLD6-sancties die gelden voor alle meldingsplichtige instellingen.
De Travel Rule: Identiteitsgegevens bij Elke Transfer
Wat de Travel Rule Vereist
De Transfer of Funds Regulation -- Verordening (EU) 2023/1113, aangenomen samen met MiCA -- breidt de bestaande overschrijvingsregels uit naar crypto-activatransfers. Vaak de "Travel Rule" genoemd (de term komt uit het FATF-kader), vereist deze dat identiteitsgegevens "meereizen" met elke cryptotransactie, net als bij traditionele bankoverschrijvingen.
Voor elke crypto-activatransfer moet de CASP van de opdrachtgever de volgende gegevens verzamelen en verzenden:
| Gegevenselement | Opdrachtgever | Begunstigde |
|---|---|---|
| Volledige naam | Vereist | Vereist |
| Rekeningnummer / wallet-adres | Vereist | Vereist |
| Adres, nationaal ID-nummer (BSN) of geboortedatum | Vereist | Vereist |
| LEI of BIC (bij rechtspersoon) | Vereist indien beschikbaar | Vereist indien beschikbaar |
Deze gegevens moeten worden verzonden aan de CASP van de begunstigde vóór of gelijktijdig met de transfer. De ontvangende CASP moet de ontvangen informatie verifiëren en transfers met onvolledige of inconsistente opdrachtgevergegevens afwijzen.
De EUR 1.000-Drempel en Wallet-Verificatie
De Travel Rule geldt voor alle crypto-activatransfers ongeacht het bedrag -- er is geen de-minimisuitzondering. Transfers boven € 1.000 activeren echter een aanvullende vereiste: wallet-eigendomsverificatie.
Wanneer een cliënt crypto-activa verstuurt naar of ontvangt van een unhosted (zelfbeheerde) wallet en de transfer € 1.000 overschrijdt, moet de CASP verifiëren dat de wallet toebehoort aan de aangegeven partij. In de praktijk gebeurt dit via:
- Cryptografische berichtondertekening: de cliënt ondertekent een bericht met de privésleutel van de wallet om eigendom te bewijzen.
- Microtransfer-verificatie: de cliënt verstuurt een klein, vooraf afgesproken bedrag vanuit de wallet om controle aan te tonen.
- Technische attestatie: de CASP kan een protocol-niveau oplossing gebruiken (bijv. verifieerbare credential of on-chain attestatie) om wallet-adresbinding te bevestigen.
Voor transfers onder € 1.000 naar of van unhosted wallets moet de CASP nog steeds opdrachtgever- en begunstigdegegevens verzamelen maar is wallet-eigendomsverificatie niet verplicht. Als de CASP echter witwassen of terrorismefinanciering vermoedt, is volledige verificatie vereist ongeacht het transferbedrag.
Impact op CASP-Operaties
De Travel Rule creëert een gegevensuitwisselingsverplichting tussen CASPs die eerder niet bestond in de crypto-industrie. Anders dan bij traditioneel bankieren, waar SWIFT-berichten gestandaardiseerde opdrachtgever-/begunstigdegegevens bevatten, ontbreekt in de cryptosector een universele berichtenstandaard. Diverse industrieoplossingen zijn ontstaan -- waaronder TRISA, OpenVASP en Notabene -- maar interoperabiliteit blijft een uitdaging.
CASPs moeten systemen implementeren die in staat zijn opdrachtgevergegevens te verzamelen, deze veilig te verzenden naar de tegenpartij-CASP, inkomende gegevens te ontvangen en valideren, alle partijen in realtime te screenen tegen sanctielijsten, transfers met onvolledige gegevens of sanctietreffers af te wijzen, en alle transferrecords minimaal vijf jaar te bewaren.
CASPs in Nederland: De Transitie van DNB-Registratie naar MiCA
DNB en AFM: Duaal Toezicht
In Nederland is het cryptotoezicht verdeeld over twee toezichthouders:
| Toezichthouder | Reikwijdte Onder MiCA | Kerntaken |
|---|---|---|
| AFM (Autoriteit Financiële Markten) | Crypto-activa exclusief EMTs; CASP-autorisatie en toezicht | Vergunningverlening, gedragsregels, marktmisbruiktoezicht, goedkeuring whitepapers |
| DNB (De Nederlandsche Bank) | E-money tokens; AML/CFT-toezicht op alle CASPs | Prudentieel toezicht EMT-uitgevers, antiwitwascontroles, lopende compliance-inspecties |
Dit duale toezichtmodel betekent dat een Nederlandse CASP zowel de AFM (voor vergunning en gedragsnormen) als DNB (voor Wwft-compliance, inclusief alle KYC-vereisten) tevreden moet stellen. DNB staat bekend om haar strenge Wwft-inspecties van cryptodienstverleners, en deze strengheid zal alleen maar toenemen onder MiCA.
Wat Verandert voor Bestaande Geregistreerde CASPs
CASPs die momenteel geregistreerd zijn bij DNB moeten overgaan naar volledige MiCA-autorisatie -- een uitgebreide aanvraag die governance, prudentiële vereisten, bedrijfscontinuïteit en Wwft-procedures omvat. Een vereenvoudigde procedure was beschikbaar tot 30 december 2025 voor CASPs met bestaande nationale vergunningen, waarbij de AFM eerdere documentatie in overweging kon nemen bij het verifiëren van MiCA-compliance.
CASPs die er niet in slagen om vóór 1 juli 2026 MiCA-autorisatie te verkrijgen, moeten hun activiteiten afbouwen. Er is geen tweede respijtperiode.
Documentaire Vereisten: Wat CASPs Moeten Verzamelen en Bewaren
Het gecombineerde effect van MiCA, de Travel Rule en de AMLR creëert een aanzienlijke documentaire last voor zowel klant-onboarding als transactiemonitoring.
Documenten bij Klant-Onboarding
| Documenttype | Natuurlijke Personen | Rechtspersonen |
|---|---|---|
| Identiteitsdocument | Paspoort, identiteitskaart of verblijfsvergunning | N.v.t. |
| Adresbewijs | Energierekening, bankafschrift (< 3 maanden) | Bewijs geregistreerd kantooradres |
| KVK-uittreksel | N.v.t. | Uittreksel Kamer van Koophandel (< 3 maanden) |
| Statuten | N.v.t. | Actuele gewaarmerkte kopie |
| UBO-verklaring | N.v.t. | Identificatie van alle UBO's boven 25% |
| Bestuurders-identificatie | N.v.t. | ID-documenten van alle bestuurders |
| Herkomst middelen | Ondersteunend bewijs voor hoog-risicoprofielen | Jaarrekeningen, financieringsdocumentatie |
Transactiegegevens en Bewaartermijnen
Voor elke crypto-activatransfer moeten CASPs bewaren: identiteitsgegevens van opdrachtgever en begunstigde, transactiebedrag en crypto-activatype, blockchain-transactiehash, wallet-adressen, resultaten van wallet-eigendomsverificatie (transfers > € 1.000), resultaten van sanctiescreenings en alertoplossingsverslagen. Alle gegevens moeten minimaal vijf jaar worden bewaard na het einde van de zakelijke relatie of de transactiedatum, welke later is. Dit is in lijn met de bewaartermijnen onder de Wwft.
Hoe Automatisering MiCA-Compliance Adresseert
De documentaire verplichtingen onder MiCA maken handmatige verificatie onhoudbaar voor elke CASP die op schaal opereert. Elke nieuwe gebruiker vereist verificatie van identiteitsdocumenten, validatie van adresbewijs, sanctiescreening en risicoklassificatie vóór het uitvoeren van een enkele transactie. Elke transfer boven € 1.000 naar een unhosted wallet vereist wallet-eigendomsverificatie.
Documentverificatie bij Onboarding
Geautomatiseerde documentvalidatie verwerkt identiteitsdocumenten in seconden: gegevensvelden extraheren (naam, geboortedatum, documentnummer, vervaldatum), documentauthenticiteit verifiëren (MRZ-validatie, detectie van beveiligingskenmerken, manipulatieanalyse), en geëxtraheerde gegevens kruisverwijzen met opgegeven informatie. Voor CASPs die duizenden onboarding-aanvragen per maand verwerken, is dit het verschil tussen een 48-uurs handmatige beoordelingswachtrij en een realtime onboardingflow.
KYB voor Zakelijke Cliënten
Zakelijke onboarding onder MiCA vereist verificatie van KVK-uittreksel, statuten, UBO-identificatie en bestuurdersverificatie. Geautomatiseerde KYB-workflows extraheren en kruisverwijzen gegevens over deze documenten, signaleren inconsistenties (niet-overeenkomende bestuurdersnamen, verlopen registraties, overschreden UBO-drempels) vóórdat een compliance officer het dossier beoordeelt.
Audittrail-Generatie
Elke verificatiestap -- document ontvangen, controles uitgevoerd, resultaten verkregen, beslissing genomen -- genereert een met tijdstempel voorziene audittrail. Wanneer DNB of de AFM tijdens een inspectie bewijs van uw Wwft-controles opvraagt, produceren geautomatiseerde systemen volledige, machineleesbare auditlogs. Handmatige processen produceren spreadsheets, e-mailthreads en gereconstrueerde tijdlijnen die zelden inspecteurs tevreden stellen.
Sanctiescreening-Integratie
Geautomatiseerde systemen screenen elke cliënt en tegenpartij in realtime tegen sanctielijsten. Bij updates van lijsten wordt automatisch hergescreend -- waarmee zowel aan de doorlopend toezichtvereiste van MiCA als aan de DORA-vereiste voor systematische, auditeerbare controles wordt voldaan.
Veelgestelde Vragen
Wat is MiCA en wanneer geldt het volledig?
MiCA (Markets in Crypto-Assets Regulation, EU 2023/1114) is het geharmoniseerde EU-regelgevingskader voor crypto-activa en cryptodienstverleners. De stablecoin-bepalingen gelden sinds 30 juni 2024. Het volledige CASP-vergunningsregime geldt sinds 30 december 2024. De overgangsperiode voor bestaande CASPs onder nationale regimes (zoals de Nederlandse DNB-registratie) eindigt op 1 juli 2026. Na die datum mogen alleen CASPs met een MiCA-autorisatie legaal opereren in de EU.
Wat is de Travel Rule en hoe beïnvloedt het cryptotransfers?
De Travel Rule (Transfer of Funds Regulation, EU 2023/1113) vereist dat identiteitsgegevens -- volledige naam, wallet-adres en een uniek identificatienummer zoals het BSN -- elke crypto-activatransfer tussen CASPs vergezellen. Voor transfers boven € 1.000 met unhosted wallets moet de CASP ook wallet-eigendom verifiëren via cryptografische berichtondertekening of equivalente methoden. Er is geen minimumdrempel: de gegevensverzamelingsverplichting geldt voor alle transfers ongeacht het bedrag.
Welke KYC-documenten moet een CASP verzamelen bij onboarding?
Minimaal moet een CASP een door de overheid uitgegeven identiteitsdocument (paspoort of identiteitskaart), een adresbewijs gedateerd binnen de laatste drie maanden, en een uniek identificatienummer (BSN) verzamelen. Voor zakelijke cliënten zijn aanvullende documenten vereist, waaronder een KVK-uittreksel, statuten, UBO-verklaring en identificatie van alle bestuurders. Alle documenten moeten worden geverifieerd op authenticiteit en gekruisrefereerd met de door de cliënt opgegeven informatie.
Hoe verhoudt MiCA zich tot AMLD6?
MiCA stelt het vergunnings- en gedragskader vast voor CASPs, terwijl AMLD6 en de Anti-Money Laundering Regulation (AMLR) de Wwft-verplichtingen definiëren die CASPs als meldingsplichtige instellingen moeten volgen. CASPs zijn expliciet opgenomen als meldingsplichtige instellingen onder de AMLR, onderworpen aan dezelfde cliëntenonderzoek-, meldings- en bewaarverplichtingen als banken en andere financiële instellingen. De € 1.000-drempel voor verscherpte verificatie van cryptotransacties is vastgesteld door de AMLR en geoperationaliseerd via de Travel Rule. Aan beide kaders moet gelijktijdig worden voldaan.
Bereid Uw Platform Voor op Juli 2026
De deadline van 1 juli 2026 is geen zachte streefwaarde. CASPs die er niet in slagen MiCA-autorisatie te verkrijgen, verliezen het recht om te opereren in de EU-markt van 450 miljoen personen. De identiteitsverificatieverplichtingen -- bij onboarding, op transactieniveau en via doorlopend toezicht -- vereisen systemen die documenten betrouwbaar kunnen verwerken, in realtime tegen sanctielijsten kunnen screenen en de audittrails kunnen genereren die toezichthouders eisen tijdens inspecties.
CheckFile biedt geautomatiseerde documentvalidatie specifiek gebouwd voor crypto-platform-onboarding: identiteitsdocumentverificatie, zakelijke KYB-controles, gegevensextractie en kruisverwijzing, en volledige audittrailgeneratie. Ons platform verwerkt verificatiedossiers in seconden met elke stap gelogd en traceerbaar, conform de documentaire standaarden die DNB en de AFM verwachten van MiCA-geautoriseerde CASPs. Bekijk onze tarieven voor het plan dat past bij uw transactievolume.
Verder lezen: Voor het bredere KYC-kader dat deze verplichtingen aandrijft, zie onze KYC 2026-vereistengids. Voor zakelijke klant-onboarding onder MiCA, lees onze KYB bedrijfsdocumentverificatiegids. Voor de operationele weerbaarheidsvereisten die gelden voor uw verificatiesystemen, zie onze DORA 2026-gids.