Risicogebaseerde Aanpak AML: Klantrisicoscoring Opbouwen 2026

De risicogebaseerde aanpak vormt de kern van elke doeltreffende anti-witwasaanpak. Instellingen die de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) moeten naleven, zijn niet langer verplicht om iedere cliënt op identieke wijze te behandelen. In plaats daarvan vraagt de wetgever om een gedifferentieerde aanpak: meer aandacht en middelen richten op cliënten en transacties met een hoog risicoprofiel, minder intensieve procedures toepassen bij aantoonbaar lage risico's. Wie deze balans niet aantoonbaar en gedocumenteerd weet te leggen, loopt het risico op toezichtsmaatregelen die kunnen oplopen tot administratieve boetes van meerdere miljoenen euro.

Dit artikel is uitsluitend informatief en vormt geen juridisch advies. Regelgeving kan veranderen. Raadpleeg een gekwalificeerde professional voor advies dat specifiek is voor uw situatie.

Wat is de risicogebaseerde aanpak in de Wwft en waarom is die verplicht?

De risicogebaseerde aanpak in de Wwft houdt in dat elke meldingsplichtige instelling verplicht is haar eigen risico's op witwassen en terrorismefinanciering systematisch in kaart te brengen en te documenteren, als vertrekpunt voor alle cliëntenonderzoekmaatregelen. Artikel 3 van de Wwft schrijft voor dat iedere instelling die onder de werkingssfeer van de wet valt — van bank tot notaris, van accountantskantoor tot vastgoedmakelaar — een interne risicoanalyse opstelt die aansluit op de specifieke aard van de bedrijfsactiviteiten en de samenstelling van de cliëntenportefeuille.

De verplichting is niet vrijblijvend. De DNB Wwft-leidraad maakt helder dat toezichthouders bij een boekenonderzoek verwachten een schriftelijk vastgelegde risicomethodologie aan te treffen. Dit document moet de risicocategorieën benoemen die relevant zijn voor de instelling, de gehanteerde weging van die categorieën motiveren en de vertaling naar cliëntenonderzoeksmaatregelen inzichtelijk maken. Ontbreekt deze documentatie, dan is dat op zichzelf al een Wwft-overtreding, ongeacht of er feitelijk witwasactiviteiten plaatsvinden binnen de portefeuille.

Internationaal is de risicogebaseerde aanpak verankerd in FATF Aanbeveling 1, de standaard die de basis vormt voor anti-witwasregelgeving wereldwijd. De FATF schrijft voor dat landen en instellingen risico's identificeren, beoordelen en begrijpen, en vervolgens maatregelen nemen die evenredig zijn aan de vastgestelde risico's. Voor Nederland vertaalt dit zich in de Wwft en de aanverwante Europese richtlijnen, met de Vierde en Vijfde Anti-witwasrichtlijn als meest recente implementatiegrondslag.

"Artikel 3 van de Wwft verplicht alle instellingen een interne risicoanalyse op te stellen die de witwas- en terrorismefinancieringsrisico's van hun specifieke activiteiten en cliëntportefeuille in kaart brengt." De DNB kan bij geconstateerde tekortkomingen ter plekke boekenonderzoeken uitvoeren en bij ernstige overtredingen bestuurlijke maatregelen opleggen, waaronder een formele aanwijzing, een last onder dwangsom of een bestuurlijke boete. Compliance officers die de risicogebaseerde aanpak als bureaucratische formaliteit beschouwen, onderschatten daarmee de toezichtsrealiteit die de afgelopen jaren aanzienlijk strenger is geworden.

De vier risicodimensies bij cliëntenonderzoek onder de Wwft

Bij cliëntenonderzoek onderscheidt de Wwft vier primaire risicodimensies die gezamenlijk het integrale risicoprofiel van een cliënt bepalen. Elke dimensie draagt bij aan de totaalscore en bepaalt mede welk niveau van cliëntenonderzoek van toepassing is.

1. Geografisch risico betreft het land van herkomst, vestiging of transactie. Landen op de FATF-grijze of -zwarte lijst, landen die de EU in haar gedelegeerde verordening aanmerkt als hoog-risicolanden voor witwassen en terrorismefinanciering, en landen waarop EU- of VN-sancties rusten, trekken automatisch een verhoogde risicoclassificatie. Instellingen moeten de relevante landenlijsten actief bijhouden en hun cliëntenportfolio periodiek opnieuw beoordelen wanneer lijsten worden bijgewerkt. De DNB publiceert periodiek bijgewerkte richtsnoeren over landen die verhoogde aandacht vereisen.

2. Cliëntrisico omvat de kenmerken van de cliënt zelf. Politiek prominente personen (PEP's), inclusief binnenlandse PEP's die per AMLD6 ook in Nederland volledige PEP-behandeling vereisen, scoren inherent hoog. Hetzelfde geldt voor cliënten met een ondoorzichtige uiteindelijk begunstigde (UBO)-structuur, entiteiten die gebruik maken van stichtingen, trusts of andere vehikels die eigendomstransparantie bemoeilijken, en beroepsgroepen met een historisch verhoogd witwasrisico zoals handelaren in hoogwaardige goederen of cryptoactivaplatforms.

3. Product- en dienstrisico hangt samen met de aard van de aangeboden dienstverlening. Cryptoactiva vallen expliciet onder de Wwft via de VASP-registratieplicht bij DNB. Grensoverschrijdende betalingstransacties, private banking voor vermogende particulieren en correspondentbankrelaties brengen elk hun eigen, inherent verhoogde risicofactoren mee die een structurele rol in het scoringsmodel dienen te spelen.

4. Kanaalrisico refereert aan de manier waarop de zakelijke relatie tot stand is gekomen. Een niet-fysieke relatie waarbij de cliënt nooit in persoon wordt geïdentificeerd, draagt een hoger risico dan een face-to-face onboarding. Introducties via een tussenpersoon zonder eigen reguleringsstatuut verhogen het risico verder, omdat de instelling in dat geval minder directe controle heeft over de informatiestroom bij het cliëntenonderzoek.

De noodzaak van systematische scoring blijkt uit onderzoeksdata: het ACFE Report to the Nations 2024 stelt dat 37% van fraude- en witwasgevallen via handmatige signalen wordt ontdekt, terwijl de gemiddelde detectievertraging 87 dagen bedraagt. Dit cijfer onderstreept waarom een reproduceerbaar, geautomatiseerd scoringsmodel onmisbaar is voor Wwft-instellingen die hun detectiecapaciteit willen versterken en tegelijkertijd kunnen aantonen dat hun risicoanalyse consistent en gedocumenteerd is uitgevoerd.

Een klantrisicoscoringmatrix opbouwen voor Wwft-instellingen

Een klantrisicoscoringmatrix biedt instellingen een gestructureerde methodologie om de vier risicodimensies samen te brengen in één reproduceerbare eindscore die de intensiteit van het cliëntenonderzoek bepaalt. De bouw van zo'n matrix start met het toekennen van gewichten aan de afzonderlijke dimensies, op basis van de specifieke risicobereidheid en bedrijfsaard van de instelling.

Een bewezen weging die aantoonbaar aansluit bij de Wwft-systematiek ziet er als volgt uit:

Elke dimensie wordt gescoord op een schaal van 0 tot 100. De gewogen gemiddelde eindscore bepaalt vervolgens in welk risicoklasse de cliënt wordt ingedeeld. De vier scoretiers sluiten direct aan bij de Wwft-niveaus van cliëntenonderzoek:

• Laag (0–30): vereenvoudigd cliëntenonderzoek conform Wwft Art. 6 is toepasbaar
• Gemiddeld (31–60): standaard cliëntenonderzoek conform Wwft Art. 3
• Hoog (61–80): verscherpt cliëntenonderzoek conform Wwft Art. 8
• Zeer hoog (81–100): verscherpt cliëntenonderzoek met verplichte directie-goedkeuring vóór aanvang of voortzetting van de zakelijke relatie

Voor compliance officers is het essentieel dat de matrix niet als statisch instrument wordt behandeld. Risicoscores moeten periodiek worden herzien wanneer nieuwe informatie beschikbaar komt, wanneer de cliënt van activiteiten verandert of wanneer de externe omgeving — zoals een wijziging in de FATF-landenlijsten — aanleiding geeft tot herclassificatie. Zie ook onze compliance risicobeoordeling gids voor aanvullende methodologische kaders.

De DNB verwacht bij inspectiebezoeken dat de instelling niet alleen een matrix kan tonen, maar ook kan aantonen dat deze matrix consequent wordt toegepast, dat scorings reproduceerbaar zijn en dat afwijkingen van de matrix expliciet worden gemotiveerd en gedocumenteerd in het cliëntdossier. Een matrix zonder aantoonbare toepassing heeft voor toezichthouders geen waarde.

Vereenvoudigd, standaard en verscherpt cliëntenonderzoek: de Wwft-kaders

De Wwft onderscheidt drie niveaus van cliëntenonderzoek, elk met eigen toepassingsvoorwaarden, minimumvereisten en documentatieverplichtingen die in de risicogebaseerde aanpak een centrale rol spelen.

Vereenvoudigd cliëntenonderzoek (Wwft Art. 6) is uitsluitend toepasbaar wanneer zowel de cliënt als het product of de dienst objectief laag risico vertonen. De wet noemt als voorbeelden van objectief laag-risico cliënten: beursgenoteerde ondernemingen waarvan de effecten zijn toegelaten tot de handel op een gereglementeerde markt, overheidsinstanties en organen van de openbare sector, en onder toezicht staande financiële instellingen. Belangrijk: vereenvoudigd cliëntenonderzoek betekent niet nul onderzoek. Identiteitsverificatie blijft vereist; alleen de diepgang en documentatie-intensiteit mogen worden gereduceerd. Bij het minste teken van verhoogd risico — ook tijdens de looptijd van de relatie — moet de instelling onmiddellijk opschalen naar standaard of verscherpt onderzoek.

Standaard cliëntenonderzoek (Wwft Art. 3) is de norm voor het merendeel van de retail- en MKB-cliëntenportefeuille. Dit omvat volledige identiteitsverificatie van de cliënt en, bij rechtspersonen, verificatie van de UBO conform de UBO-registerverplichting. Daarnaast vereist standaard onderzoek dat de instelling het doel en de beoogde aard van de zakelijke relatie begrijpt en documenteert. Periodieke herziening van het cliëntprofiel is minimaal jaarlijks vereist, maar de risicoscore bepaalt of een hogere frequentie aangewezen is.

Verscherpt cliëntenonderzoek (Wwft Art. 8) is dwingend voorgeschreven voor PEP's — inclusief binnenlandse PEP's en hun directe familieleden en bekende nauwe geassocieerden — voor cliënten uit derde landen die door de EU zijn aangewezen als hoog-risicolanden, voor correspondentbankrelaties en voor niet-fysieke zakelijke relaties die op andere gronden een verhoogd risicoprofiel hebben. Verscherpt onderzoek vereist altijd directie-goedkeuring vóór het aangaan of voortzetten van de relatie, en omvat aanvullende verificatie van de herkomst van het vermogen en de herkomst van de fondsen die in de relatie worden gebruikt.

"Artikel 28 van de Wwft machtigt de DNB en AFM bestuurlijke boetes op te leggen tot 4 miljoen euro of 10% van de jaaromzet bij ernstige overtredingen van de Wwft-verplichtingen." De recente DNB-handhavingspraktijk laat zien dat toezichthouders niet terughoudend zijn in het opleggen van significante sancties. In de periode 2022–2025 heeft de DNB meerdere instellingen formele maatregelen opgelegd wegens tekortkomingen in de risicogebaseerde aanpak, waaronder gevallen waarbij de matrix weliswaar op papier bestond maar aantoonbaar niet systematisch werd toegepast. De AFM hanteert dezelfde bevoegdheden voor instellingen die onder haar toezicht vallen, zoals beleggingsdienstverleners en beheerders van beleggingsinstellingen.

Risicobeoordeling Automatiseren met Technologie

Handmatige risicoscoring is structureel inconsistent. Twee analisten die dezelfde cliëntinformatie beoordelen, komen regelmatig tot verschillende risicoklassificaties — afhankelijk van ervaring, interpretatie van de richtlijnen en de beschikbare tijd op het moment van beoordeling. Deze inconsistentie is niet alleen onwenselijk vanuit kwaliteitsoogpunt, maar vormt ook een concreet Wwft-risico: toezichthouders verwachten een reproduceerbare methodologie, geen ad-hoc-oordelen die per analist verschillen.

Automatisering van de risicogebaseerde aanpak begint bij de documentverificatiefase. Een cliënt die bij onboarding een identiteitsdocument, een bewijs van adres en een uittreksel uit het handelsregister aanlevert, biedt de instelling een eerste datalayer voor risicoscoring. De kwaliteit, authenticiteit en consistentie van die documenten zijn echter niet met het blote oog te beoordelen op schaal. Het CheckFile platform ondersteunt meer dan 3.200 documenttypen in 32 jurisdicties en voert bij elk document een meerlaagse analyse uit: structuurvalidatie, metadatacontrole, cross-documentconsistentie en optische kenmerkvergelijking. Hierdoor is het mogelijk om bij onboarding onmiddellijk te signaleren of een document afwijkingen vertoont die relevant zijn voor de risicoclassificatie.

Voor bancaire instellingen en betaaldienstverleners met grote klantenvolumes is geautomatiseerde documentverificatie niet langer een luxe maar een operationele noodzaak. Handmatige verificatie van honderden of duizenden cliëntdossiers per maand introduceert vertragingen die directe business-impact hebben, en vergroot tegelijkertijd de kans op menselijke fouten die bij inspectie niet te verdedigen zijn. De bancaire KYC-oplossingen van CheckFile zijn specifiek ontworpen om de risicogebaseerde aanpak te ondersteunen met traceerbare, gedocumenteerde verificatieresultaten die direct kunnen worden ingevoegd in het cliëntdossier.

Gegevensbeveiliging en privacyregelgeving vormen bij automatisering een kritisch aandachtspunt. Cliëntdocumenten bevatten persoonsgegevens die onder de Algemene Verordening Gegevensbescherming (AVG) vallen. De beveiligingsarchitectuur van CheckFile is opgezet conform de vereisten van de AVG en voldoet aan de verwerkingsgrondslagen die van toepassing zijn op Wwft-verplichte gegevensverwerking. Gegevens worden verwerkt op Europese servers, retentieperioden worden ingesteld conform de Wwft-bewaartermijn van vijf jaar, en toegangslogs zijn beschikbaar voor audit purposes.

Voor instellingen die overwegen hun risicoscoringproces te automatiseren, biedt onze AML gids een breder kader voor de technologieselectie en implementatie. Automatisering is geen doel op zich, maar een middel om de risicogebaseerde aanpak consistent, schaalbaar en toezichtsbestendig te maken. De documentcompliance gids behandelt aanvullend hoe documentverificatie integreert in bredere complianceprogramma's. Een overzicht van de beschikbare diensten en bijbehorende investeringsniveaus is te vinden op de tariefpagina van CheckFile.

De returnon-investment van automatisering is meetbaar. Instellingen die handmatige risicobeoordelingen vervangen door geautomatiseerde workflows rapporteren gemiddeld een verkorting van de onboarding-doorlooptijd met 40 tot 60 procent, een verlaging van het aantal herbeoordelingsronden met een analist en — cruciaal voor toezichtsdoeleinden — een volledige audittrail van elk scoringsbesluit. Die audittrail is precies wat DNB-inspecteurs bij een boekenonderzoek als eerste opvragen.

Veelgestelde vragen

Is de risicogebaseerde aanpak verplicht voor alle Wwft-instellingen?

Ja. Artikel 3 van de Wwft verplicht alle aangewezen instellingen — banken, betaaldienstverleners, verzekeraars, notarissen, accountants, makelaars, handelaren in cryptoactiva en andere categorieën die in de wet worden opgesomd — een interne risicoanalyse op te stellen en actueel te houden. Ontbreken van een gedocumenteerde risicoanalyse is op zichzelf een overtreding van de Wwft, ongeacht of er feitelijk witwasactiviteiten zijn gesignaleerd binnen de portefeuille. DNB en AFM kunnen op basis van dit gebrek zelfstandig handhavingsmaatregelen initiëren, zonder dat er sprake hoeft te zijn van een concreet witwasincident.

Wat is het verschil tussen vereenvoudigd en verscherpt cliëntenonderzoek onder de Wwft?

Vereenvoudigd cliëntenonderzoek (Wwft Art. 6) mag uitsluitend worden toegepast wanneer zowel de cliënt als het product of de dienst objectief aan lage-risicovereisten voldoen — denk aan beursgenoteerde ondernemingen of overheidsinstanties — en reduceert de verificatiediepgang maar schrapt identiteitsverificatie niet volledig. Verscherpt cliëntenonderzoek (Wwft Art. 8) is daarentegen verplicht bij inherent hoog-risicocliënten zoals PEP's, cliënten uit aangewezen hoog-risicolanden of correspondentbankrelaties, en vereist aanvullende stappen zoals verificatie van vermogensherkomst en directie-goedkeuring vóór aanvang van de relatie. Het onderscheid is niet gradueel maar kwalitatief: bij verscherpt onderzoek zijn aanvullende bevoegdheden en documentatievereisten van toepassing die bij vereenvoudigd onderzoek niet aan de orde zijn.

Hoe vaak moet een klantrisicoprofiel worden herzien?

De Wwft stelt geen uniforme herzieningsfrequentie vast, maar vereist dat het cliëntprofiel actueel blijft en overeenkomt met de feitelijke situatie van de cliënt en de zakelijke relatie. In de praktijk hanteert de DNB als uitgangspunt dat laag-risicoprofielen minimaal jaarlijks worden herzien, middelmatig-risicoprofielen elk halfjaar en hoog- en zeer-hoog-risicoprofielen minimaal elk kwartaal. Trigger-based herziening is aanvullend verplicht: zodra een significante transactie, een structuurwijziging bij de cliënt of een wijziging in externe omstandigheden — zoals een nieuwe FATF-landenclassificatie — daartoe aanleiding geeft, moet de instelling direct een tussentijdse herbeoordeling uitvoeren.

Welke sancties kan DNB opleggen bij Wwft-overtredingen?

De DNB beschikt over een breed instrumentarium voor de handhaving van de Wwft. Op grond van Artikel 28 van de Wwft kan de toezichthouder een bestuurlijke boete opleggen tot 4 miljoen euro, of tot 10% van de jaaromzet als dat een hoger bedrag oplevert bij ernstige overtredingen. Naast boetes kan de DNB een formele aanwijzing geven, een last onder dwangsom opleggen of — in de meest ernstige gevallen — overgaan tot intrekking van de vergunning van de instelling. Deze bevoegdheden worden actief ingezet: de DNB heeft in de afgelopen jaren meerdere significante boetes opgelegd aan instellingen die tekortschoten in hun risicogebaseerde aanpak of cliëntenonderzoekprocessen.

Hoe ondersteunt technologie de risicogebaseerde aanpak in de praktijk?

Technologie maakt de risicogebaseerde aanpak consistent, schaalbaar en toezichtsbestendig door handmatige subjectiviteit te vervangen door geautomatiseerde, reproduceerbare verificatiestappen. Platforms die documentverificatie, sanctiescreening en PEP-checks geautomatiseerd uitvoeren, genereren tegelijkertijd een volledige audittrail die bij DNB-inspectiebezoeken direct beschikbaar is als bewijs van systematische toepassing van de risicomethodologie. De combinatie van snelheid, consistentie en documentatie maakt technologie niet alleen een efficiëntietool maar een integraal onderdeel van een Wwft-conform complianceprogramma.

---

Disclaimer: Dit artikel is uitsluitend informatief en vormt geen juridisch advies. Regelgeving kan veranderen. Raadpleeg een gekwalificeerde professional voor advies dat specifiek is voor uw situatie.