KYC staat voor Know Your Customer. Het is het proces waarbij een organisatie de identiteit van haar klant vaststelt, het risicoprofiel beoordeelt en deze informatie vastlegt. KYC is bedoeld om witwassen, fraude en terrorismefinanciering te voorkomen.
Voor veel organisaties is KYC geen losse stap. Het bepaalt hoe snel iemand door onboarding komt en hoe goed je later kunt onderbouwen waarom een klant is geaccepteerd. In dit artikel: wat KYC betekent, hoe het proces eruit ziet, hoe het zich verhoudt tot CDD, AML en de WWFT, en waar het in de praktijk vaak vastloopt.
Wat betekent KYC?
KYC is de afkorting van Know Your Customer, in het Nederlands vaak vertaald als ‘Ken Uw Klant’. Het is een verzamelnaam voor de stappen waarmee een organisatie haar klant identificeert, verifieert en doorlopend monitort.
Het begrip ontstond in de financiële sector, waar banken in de jaren ’90 verplicht werden om klanten beter te kennen om witwassen tegen te gaan. Inmiddels is KYC veel breder verspreid: niet alleen banken, ook accountants, notarissen, advocaten, vermogensbeheerders, vastgoedbemiddelaars en aanbieders van betaaldiensten voeren KYC uit.
KYC bestaat in de praktijk meestal uit drie onderdelen:
- Identificatie — wie is de klant?
- Verificatie — klopt het wat de klant beweert?
- Risicobeoordeling — wat is het risico op fraude, witwassen of terrorismefinanciering?
Wat is een KYC-proces?
Een KYC-proces is het geheel aan controles en handelingen waarmee een organisatie haar klant kent en blijft kennen. Het start bij onboarding en loopt door zolang de zakelijke relatie bestaat.
Een goed ingericht KYC-proces is meer dan een eenmalige identiteitscheck. Het omvat:
- het verzamelen van klantgegevens en documenten;
- het verifiëren van de identiteit (en bij zakelijke klanten van de UBO’s);
- het beoordelen van het risicoprofiel;
- het vastleggen van bevindingen in een dossier;
- het monitoren van wijzigingen en transacties.
In de praktijk is het KYC-proces vaak versnipperd. Documenten komen binnen via verschillende kanalen, controles gebeuren deels handmatig en dossiers blijven onvolledig. Daardoor vertraagt onboarding en ontstaat discussie achteraf over wat er nu precies is beoordeeld.
De KYC-procedure in 5 stappen
Een KYC-procedure volgt in de meeste organisaties dezelfde basisstappen. De diepgang per stap hangt af van het risicoprofiel van de klant.
1. Identificatie
Verzamel de basisgegevens van de klant. Bij particulieren: volledige naam, adres, geboortedatum en BSN. Bij zakelijke klanten: KvK-uittreksel, statuten en informatie over de eigendomsstructuur.
2. Verificatie
Controleer of de klant is wie hij zegt te zijn. Bij online onboarding wordt het ID-document op echtheid gecontroleerd (chip, hologrammen, MRZ) en wordt via face match en liveness-detectie vastgesteld dat de persoon ook daadwerkelijk aanwezig is.
3. Risicobeoordeling
Bepaal het risicoprofiel: laag, gemiddeld of hoog. Hierbij worden sanctie- en PEP-lijsten gecheckt. Bij verhoogd risico volgt aanvullend onderzoek naar herkomst van middelen en doel van de relatie.
4. UBO-onderzoek (zakelijke klanten)
Identificeer alle uiteindelijk belanghebbenden (Ultimate Beneficial Owners) vanaf 25% belang. Raadpleeg het UBO-register bij de KvK en verifieer de identiteit van elke UBO. Bij complexe structuren kost dit vaak de meeste tijd.
5. Doorlopende monitoring
KYC stopt niet bij onboarding. Houd transacties in de gaten, herbeoordeel de relatie periodiek (jaarlijks bij hoog risico) en meld ongebruikelijke activiteiten bij de FIU-Nederland.
KYC, CDD, AML en WWFT: wat is het verschil?
Deze termen worden vaak door elkaar gebruikt. Toch heeft elk een eigen rol binnen klantacceptatie en compliance.
| Term | Wat is het? | Niveau |
|---|---|---|
| KYC Know Your Customer | Het operationele proces: klant identificeren, verifiëren en risico’s beoordelen bij onboarding. | Operationeel proces |
| CDD Customer Due Diligence | Het bredere cliëntenonderzoek inclusief risicobeoordeling en doorlopende monitoring. KYC is hier onderdeel van. | Compliance-kader |
| AML Anti-Money Laundering | Internationale regelgeving om witwassen en terrorismefinanciering te voorkomen. KYC en CDD zijn de uitvoering van AML. | Internationale wetgeving |
| WWFT Wet ter voorkoming van witwassen en financieren van terrorisme | De Nederlandse implementatie van AML. Verplicht organisaties tot cliëntenonderzoek, risicobeoordeling en meldplicht. | Nederlandse wet |
Kort gezegd: AML is het ‘waarom’, WWFT is het ‘moet’ (in Nederland), CDD is het ‘wat’ en KYC is het ‘hoe’.
Wanneer is KYC verplicht?
Voor veel organisaties is KYC niet optioneel. De Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT) verplicht een groot aantal organisaties tot cliëntenonderzoek. Het gaat onder andere om:
- banken, verzekeraars en betaaldienstverleners;
- accountants, belastingadviseurs en administratiekantoren;
- notarissen, advocaten en trustkantoren;
- makelaars en vastgoedbemiddelaars;
- aanbieders van crypto-diensten.
Ook buiten een directe wettelijke verplichting kiezen veel organisaties bewust voor KYC. Niet alleen om fraude en reputatieschade te voorkomen, maar ook omdat investeerders, partners en klanten steeds vaker aantoonbare compliance verwachten.
Wie onder de WWFT valt en geen aantoonbaar KYC-proces heeft, riskeert sancties van toezichthouders zoals DNB, AFM of het BFT, naast reputatieschade en verstoring van de bedrijfsvoering.
Wat is KYC-verificatie?
KYC-verificatie is het verifiërende onderdeel van het KYC-proces: vaststellen of de aangeleverde identiteit en gegevens kloppen. Dit gebeurt op verschillende manieren:
- Documentverificatie — controle van een paspoort, ID-kaart of rijbewijs op echtheid;
- Biometrische verificatie — face match tussen pasfoto en de live persoon;
- Liveness-detectie — controle of het om een echte, levende persoon gaat (geen foto, video of deepfake);
- Databasechecks — sanctielijst, PEP-lijst, UBO-register;
- Adresverificatie — controle van het opgegeven adres.
Het niveau van verificatie wordt vaak afgestemd op het risicoprofiel. Voor laagrisicoklanten volstaat een lichte check, voor hoogrisicoklanten zijn meerdere lagen verificatie nodig. Dit framework heet Levels of Assurance (LOA).
Waar loopt KYC in de praktijk vast?
De theorie achter KYC is helder. De uitvoering is dat vaak niet.
Veel organisaties werken nog met losse documenten, e-mailverkeer en handmatige controles. Daardoor ontstaat afhankelijkheid van individuele acties in plaats van een vast proces. Dat zie je terug in:
- onvolledige dossiers — een document mist, een verificatie is niet vastgelegd;
- inconsistente controles — collega A doet het anders dan collega B;
- vertraging in klantacceptatie — onboarding van dagen of weken;
- beperkte audittrail — bij een audit niet kunnen onderbouwen wat er is beoordeeld;
- AVG-risico’s — identiteitsdocumenten die rondzwerven in e-mailboxen of WhatsApp.
Het probleem zit dus niet in wat er moet gebeuren, maar in hoe het gebeurt.
Conclusie
KYC is nodig omdat organisaties moeten weten met wie zij zakendoen en welke risico’s daarbij horen. Het is de basis van zorgvuldige klantacceptatie en in veel sectoren wettelijk verplicht via de WWFT.
In de praktijk zit de uitdaging vooral in de uitvoering. Versnipperde informatie, handmatig werk en gebrekkige dossiervorming maken KYC traag, foutgevoelig en lastig te onderbouwen bij audits.
Wil je weten hoe je KYC kunt automatiseren en aantoonbaar maken? Bekijk hoe DataChecker bij KYC ondersteunt.
Veelgestelde vragen over KYC
Is KYC verplicht?
Voor veel organisaties is KYC verplicht, vooral wanneer zij onder de Wwft vallen.
In dat geval moeten zij cliëntenonderzoek uitvoeren, risico’s beoordelen en kunnen onderbouwen met wie zij zakendoen. Ook buiten een directe wettelijke verplichting kiezen organisaties voor KYC om fraude, reputatieschade en zwakke dossiervorming te voorkomen.
Wat is de KYC-procedure?
De KYC-procedure begint meestal met het identificeren en verifiëren van de klant.
Daarna volgt het verzamelen van relevante informatie, zoals bedrijfsgegevens of eigendomsstructuren, en een beoordeling van het risicoprofiel. Bij hogere risico’s kan aanvullend onderzoek nodig zijn. Een goed KYC-proces stopt bovendien niet na onboarding, maar vraagt ook om periodieke herbeoordeling.
Wat is een KYC-onderzoek?
Een KYC-onderzoek is het proces waarbij een organisatie een klant identificeert, verifieert en het risicoprofiel beoordeelt.
Het omvat het verzamelen van identiteitsgegevens, het controleren van documenten op echtheid en bij zakelijke klanten het in kaart brengen van eigendomsstructuren (UBO’s). Voor organisaties die onder de WWFT vallen is dit onderzoek wettelijk verplicht.
Welke documenten zijn vereist voor KYC?
Welke documenten nodig zijn voor KYC hangt af van het type klant en het risicoprofiel.
Bij particulieren gaat het vaak om een identiteitsbewijs en adresgegevens. Bij zakelijke klanten kunnen ook uittreksels, eigendomsinformatie, UBO-gegevens en aanvullende bedrijfsdocumenten nodig zijn. Het doel is altijd hetzelfde: voldoende informatie verzamelen om de klant en de risico’s goed te beoordelen.
Waarom vraagt mijn bank om KYC-gegevens?
Een bank vraagt om KYC-gegevens om vast te stellen wie de klant is en of de relatie risico’s met zich meebrengt.
Dat hoort bij zorgvuldig klantonderzoek en is voor veel financiële instellingen onderdeel van wettelijke verplichtingen. De bank wil niet alleen identiteit controleren, maar ook begrijpen of de klant past binnen het risicobeleid en of extra onderzoek nodig is.
Wat is het verschil tussen KYC en CDD?
KYC richt zich vooral op het kennen en verifiëren van de klant.
CDD, oftewel Customer Due Diligence, is breder en omvat het volledige cliëntenonderzoek, inclusief risicobeoordeling en de afweging of een klantrelatie verantwoord is. Je kunt KYC dus zien als een belangrijk onderdeel binnen CDD.
Wat is het verschil tussen KYC en AML?
AML (Anti-Money Laundering) is de internationale regelgeving om witwassen en terrorismefinanciering tegen te gaan. KYC (Know Your Customer) is een van de processen die organisaties gebruiken om aan AML te voldoen. AML is dus het ‘waarom’, KYC is het ‘hoe’. In Nederland is AML geïmplementeerd via de WWFT.
Hoelang duurt een KYC onderzoek?
De duur van een KYC-onderzoek verschilt per organisatie en per risicoprofiel.
Een eenvoudige controle kan snel worden afgerond, terwijl complexere dossiers meer tijd vragen door aanvullende documentatie of extra beoordeling. In de praktijk hangt de doorlooptijd vaak niet alleen af van de inhoud, maar ook van hoe goed het proces is ingericht en hoe compleet informatie wordt aangeleverd.