Vanuit de Wwft ben je als accountant verplicht onderzoek te doen naar de identiteit van klanten. Dit onderzoek vergt nauwkeurigheid en de juiste kennis. We hebben alle informatie gebundeld en een stappenplan opgesteld. In dit blog ontdek je welke 7 stappen je moet doorlopen voor een Wwft-proof cliëntenonderzoek binnen jouw kantoor.  

Stap 1. Klantacceptatie-beleid

Een beleid opstellen, dat is stap 1. In het beleid staan concrete werkinstructies om klanten vooraf goed te screenen op witwaspraktijken, belastingontduiking en terrorismefinanciering. We geven een voorbeeld van een werkinstructie. Een klant moet een verklaring afleggen van welk land hij fiscaal inwoner is. Bij deze werkinstructie komen concrete vragen kijken, zoals: Wanneer vragen wij om een verklaring? Hoe kan de klant een verklaring geven? Is dit digitaal, schriftelijk of op afspraak op kantoor.

Waarom een klantacceptatiebeleid?

Het is belangrijk om concrete werkinstructies vast te leggen in een beleid. Met een gedegen vastlegging is het namelijk eenvoudig om te achterhalen in hoeverre de werkinstructies worden nageleefd binnen je kantoor. Met deze stuurinformatie is jouw kantoor in staat om het beleid nog meer aan te scherpen en waar nodig bij te sturen. Niet alleen is een vast beleid handig om snel en eenvoudig bij te sturen, het zorgt ook dat iedereen in het bedrijf weet wanneer en hoe de klantacceptatie-procedure uitgevoerd moet worden. De consequenties liegen er niet om. Reputatieschade en hoge boetes. En wat betreft de boetes, deze zijn niet voor de medewerker in kwestie die nalatig is geweest. Het kantoor is uiteindelijk aansprakelijk. Verder zorgt een eenduidig beleid dat je als organisatie niet afhankelijk bent van één medewerker voor het uitvoeren van de klantacceptatie-procedure. Kortom, zorg er in de basis voor dat er regelmatig intern een auditproces plaatsvindt om te controleren of het beleid goed wordt nageleefd. Nadat het beleid is opgesteld en iedereen hiervan op de hoogte is gebracht, start je met de eerste stap van de klantacceptatie-procedure: De identificatie en verificatie van een (nieuwe) klant.

Stap 2. Identificatie van de klant

Over de identificatie, verificatie en het bewaartermijn

Stap 1 van het klantacceptatie-proces is het identificeren en verifiëren van de klant. Met identificeren wordt bedoeld dat je stappen zet om de identiteit van een (nieuwe) klant in beeld te brengen. Verifiëren houdt in dat je vaststelt dat de opgegeven identiteit daadwerkelijk overeenkomt met de werkelijke identiteit. In artikel 33 lid 2 Wet ter voorkoming van witwassen en financieren van terrorisme staat vermeld met welke gegevens je een natuurlijk persoon en rechtspersoon identificeert. Op grond van de Wwft moeten de gegevens waarmee je de klant identificeert en verifieert gedurende 5 jaar na het tijdstip van het beëindigen van de zakelijke relatie bewaren. Maar wie is de klant precies? Volgens de Wwft is dit een natuurlijk persoon of een rechtspersoon. Alleen is het in sommige gevallen niet geheel duidelijk of een klant ten behoeve van zichzelf optreedt of ten behoeve van een derde. Het is dus zaak om uit te zoeken namens wie de klant handelt. Is dit een derde? Dan is de derde ook klant. De volgende vraag is dan; Op basis waarvan identificeer je de klant?

Schematische weergave identificatie klanten

Ontdek in onderstaand schema met welke middelen je de klant identificeert, verifieert en welke gegevens je vastlegt. Controleer wel of dat de informatie waarmee je de identiteit verifieert uit een betrouwbare en onafhankelijke bron komt.

 

 

Wat als de identificatie niet fysiek plaats kan vinden?

Artikel 8, lid 2 van de Wwft stelt vast wanneer de identificatie niet in persoon plaats kan vinden, het risico op witwassen of terrorismefinanciering hoger is en er dus aanvullende maatregelen genomen moeten worden. Mocht een fysieke afspraak écht niet mogelijk zijn, kun je het risico verminderen door de volgende maatregelen in acht te nemen:

  • Een kopie identiteit vanuit de cliënt is niet geldig. Wel geldig is een gewaarmerkt kopie. Het waarmerken van een identiteitsbewijs kan bij een notaris of een gemeente. 
  • Check de identiteit door middel van een IBAN-naam check. De klant maakt dan €0,01 over via zijn of haar bank. Een eerste betaling dient wel gedaan te worden vanaf een bankrekening in de EU of een door de minister aangewezen staat.
  • Maak een printscreen van een zoomgesprek waarin de cliënt zijn paspoort toont.
  • Als de identificatie en verificatie is uitgevoerd door een Wwft-plichtige instelling, dan kun je deze gegevens overnemen. Maar let op, je dient altijd te controleren of de identificatie of verificatie goed is uitgevoerd.
  • Het is mogelijk om een aanvullende verklaring van een getuige als bewijsstuk te gebruiken. Deze documenten moeten wel op echtheid beoordeeld worden.

Wat als de identificatie al door een ander kantoor is gedaan?

Het kan voorkomen dat een nieuwe klant recent nog is geïdentificeerd door een andere organisatie. In dit geval is het mogelijk om voor het cliëntenonderzoek gebruik te maken van de identificatie en verificatiegegevens van deze onderneming. Dit is vermeld in artikel 5 van de Wwft. Uitgangspunt blijft wel dat jouw kantoor verantwoordelijk blijft voor het cliëntenonderzoek en de risicobeoordeling van een cliënt.

Wat je moet weten over identificatie en de AVG

De boetes zijn hoog wanneer je de Wwft overtreedt. Dit geldt evengoed voor de AVG. Overtreedt je als organisatie de AVG, dan kan de autoriteit persoonsgegevens een boete opleggen ter hoogte van 4% van de wereldwijde jaaromzet of van maximaal 12 miljoen euro. Aangezien de Wwft verplicht stelt om identiteitsgegevens 5 jaar te bewaren ben je dan niet in strijd met de AVG? Het antwoord is nee. De Wwft heeft voorrang op de AVG. In het recht geldt namelijk dat specifieke wetgeving voorrang heeft op algemene wetgeving. De Wwft is een bijzondere wet en de AVG een algemene wet. Maar let op! De Wwft heeft geen grondslag voor bijzondere gegevens, zoals het BSN-nummer en de pasfoto op een identiteitsbewijs. Deze bijzondere gegevens mag je dan ook niet bewaren. Ook niet als de cliënt deze aan jou heeft overhandigd. Dus zorg bij een kopie van een identiteitsbewijs er altijd voor dat het BSN-nummer en de pasfoto zijn afgeschermd.

Stap 3. Check de UBO

De volgende stap is de UBO (Ultimate Beneficial Owner) checken. De UBO is de uiteindelijk belanghebbende van een organisatie. Dit is een natuurlijk persoon die zeggenschap heeft over een organisatie of een economisch belang heeft van meer dan 25% bij een organisatie. Een organisatie kan meerdere UBO’s hebben. 

Hoe check ik de UBO? 

Vanuit de Wwft ben je als accountants- of administratiekantoor verplicht om een KVK uittreksel UBO-register als hulpmiddel te raadplegen bij een cliëntenonderzoek om de identiteit van de UBO vast te stellen. Dit register is up-to-date, want vóór 27 maart 2022 moesten alle entiteiten, zoals de bv en vof hun UBO’s inschrijven bij de Kamer van Koophandel. Een aantal manieren waarop je de UBO verifieert:

  • Onderzoek laten verrichten door een externe partij. 
  • Zelf achterhalen van de UBO middels een audit-onderzoek.
  • De klant vragen wie de UBO is. Bijvoorbeeld door een mail te sturen met de vraag wie er meer dan 25% economisch belang/ zeggenschap heeft over de organisatie én een organigram opvragen van de organisatie.
  • Data verhalen vanuit het KVK UBO-register. Om een KVK-uittreksel UBO-register te verkrijgen moet je hier wel een bedrag voor betalen en het KVK-nummer van de betreffende organisatie bij de hand hebben.  

Over het UBO-register

Het UBO-register biedt transparantie. Dit register maakt deel uit van de handelsregister van de KvK. Het maakt in een oogopslag duidelijk wie er achter de schermen aan de touwtjes trekt. Criminelen kunnen zich hierdoor niet meer verschuilen achter een rookgordijn met veel bedrijven. In het openbare deel van het register zie je de volgende informatie over de UBO:

  • Naam;
  • Geboortemaand en geboortejaar;
  • Nationaliteit;
  • Woonland;
  • Aard en omvang van het belang. 

Er zijn ook gegevens die enkelt openbaar zijn voor bevoegde autoriteiten, zoals het Openbaar Ministerie. Niet-openbare gegevens zijn: geboorteplaats, geboortedag en woonadres. 

Welke gegevens over de UBO leg ik vast?

Bij het vastleggen van de UBO blijft het belangrijk dat je inzichtelijk maakt hoe je aan de UBO-gegevens bent gekomen. Hoe je deze gecontroleerd en geverifieerd hebt. Als je niet zwart op wit duidelijk kunt maken wat je hebt gedaan en welke bronnen je hebt geraadpleegd, dan kan de (AFM) Autoriteit Financiële Markten jouw kantoor een forse boete opleggen. Voorkom dit en leg ten alle tijden de volgende gegevens van de UBO vast in je administratie:

  • Identiteitsgegevens, waaronder de geslachtsnaam en voornamen van de uiteindelijk belanghebbende;
  • en de gegevens en documenten die zijn vergaard om de identiteit van de uiteindelijk belanghebbende te verifiëren.

Stap 4. Controleer wie de PEP is

Dan volgt het PEP-onderzoek. PEP staat voor Politically Exposed Person, ook wel een politiek prominent persoon genoemd. Omdat een PEP een invloedrijke positie heeft, wordt er vanuit de Wwft uitgegaan dat er sprake is van een hoger risico op witwaspraktijken. Denk aan belastingontduiking of steekpenning. Het is dan ook vanuit de wet verplicht om een PEP-check uit te voeren. Wie allemaal PEP-personen zijn? Bekijk onderstaande voorbeelden.

Voorbeelden van PEP-personen

  • Ambassadeurs, zaakgelastigde of hoge officieren van strijdkrachten
  • Staatshoofden, regeringsleiders, (onder)ministers en staatssecretarissen
  • Parlementsleden
  • Lid van bestuur van politieke partij
  • Bestuurders van internationale organisaties
  • Lid van hooggerechtshof en constitutioneel hof
  • Leden van rekenkamers
  • Lid van Raad van bestuur van centrale bank
  • Lid van toezichthoudend of leidinggevend lichaam of bestuurslichaam van staatsbedrijf

Naast bovengenoemde personen behoren ook directe familieleden of bekenden tot de groep PEP-personen. Voor de groep bekenden geldt niet een uitgebreid en actief onderzoek. Dit volgt uit de woorden ‘van wie/waarvan bekend is’ stelt de NBA. Zowel de belastingdienst en de ministeries van Financiën houden de lijst van politiek prominente functies actueel. Vind hier de meest actuele lijst.

Stap 5. Vastleggen klantinformatie

Nadat je de klant hebt geïdentificeerd en geverifieerd is het belangrijk dat je nog eens extra controleert of je alle informatie goed hebt vastgelegd. De informatie dient namelijk als bewijs mocht er een controle komen vanuit het BFT (Bureau Financieel Toezicht). Heb je de informatie niet op orde, dan zijn de gevolgen: een bestuurlijke boete, een tuchtklacht of een last onder dwangsom. Dat laatste is om te bereiken dat de Wwft alsnog volledig en juist wordt nageleefd binnen het kantoor. Zie het als een nieuwe kans.

Stap 6. Opstellen van een risicoprofiel

In deze stap vorm je een oordeel over het doel en de aard van de zakelijke relatie. Dus welke diensten en producten wil de klant afnemen? En wie is exact deze (nieuwe) klant? Door de eerder genoemde stappen te doorlopen, kun je goed inschatten welk risico je kantoor loopt door de klant een risicoprofiel mee te geven. Kortom, wat is jouw oordeel na het identificeren en verifiëren van de identiteit? Er zijn 2 risicoprofielen, waarin je een klant kunt classificeren: 1. Een verlaagd risico. 2. Een verhoogd risico. In bijlage 2 van de Wwft vind je een niet-limitatieve lijst van factoren en soorten bewijs die vallen onder een verlaagd of verhoogd risico.

Stap 7. Continue monitoren van de klantgegevens

Het kan voorkomen dat klantinformatie wijzigt. Bijvoorbeeld een wijziging van de UBO. In zo’n geval moet de UBO-registratie wel worden aangepast. Continue monitoring van de gegevens is dan ook van belang. De inzet van slimme software maakt continue monitoren op Wwft-risico’s mogelijk. Je ontvangt automatisch meldingen wanneer er wijzigen plaatsvinden in het KVK-register. Klanten met een verhoogd risico moeten minstens één keer per jaar gecontroleerd worden. Klanten met een verlaagd risico minstens één keer per twee jaar.

Leg klantinformatie eenvoudig vast met AdminPulse

Met AdminPulse maak je de administratieve procedure van het cliëntenonderzoek eenvoudig en inzichtelijk. Met een handig overzichtsscherm zie je in één oogopslag welke klantinformatie nog ontbreekt en welke klantinformatie nog opgevraagd en vastgelegd moet worden. Via een geautomatiseerde opmaak van de klantacceptatie-procedure leg je digitaal de identificatie, risicobeoordeling en verklaring begunstigde vast. Het centraal vastleggen van alle gegevens in AdminPulse, brengt als voordeel met zich mee dat gegevens altijd direct benaderbaar zijn bij vertrek van een medewerker en een bezoek van het BFT.

Download direct

Kortom, deze 7 stappen helpt je een Wwft-proof cliëntenonderzoek uit te voeren. Wil je dat het cliëntenonderzoek een vaste procedure wordt binnen jouw organisatie? Download dan onze checklist: In 6 stappen een Wwft-compliant klantenonderzoek. Deze praktische checklist is een handige leidraad voor jou en collega's bij de uitvoering van het cliëntenonderzoek. Download de checklist via onderstaande button.

Download Checklist