WWFT compliance digitaliseren: de complete gids voor accountants en administratiekantoren

Het wettelijk kader: Wwft artikelen 1-5 en het Uitvoeringsbesluit

De Wwft is van toepassing op accountants, belastingadviseurs en administratiekantoren op grond van artikel 1a lid 4 sub c van de wet. Dit betekent dat je als accountant een zogenaamde instelling bent in de zin van de Wwft, ongeacht de omvang van je kantoor of het type werkzaamheden dat je verricht. Zelfs een eenpersoonskantoor dat uitsluitend samenstellingsopdrachten uitvoert, valt volledig onder de Wwft.

De kernverplichtingen zijn vastgelegd in de artikelen 3 tot en met 5 van de Wwft. Artikel 3 verplicht tot clientonderzoek: je moet de identiteit van je client vaststellen en verifieren, de uiteindelijk belanghebbende (UBO) identificeren, het doel en de beoogde aard van de zakelijke relatie vaststellen, en een voortdurende controle uitoefenen op de zakelijke relatie. Artikel 4 regelt het verscherpt clientonderzoek bij verhoogd risico, en artikel 5 het vereenvoudigd clientonderzoek bij verlaagd risico.

Het Uitvoeringsbesluit Wwft 2018 geeft nadere invulling aan de open normen in de wet. Bijlage I van het Uitvoeringsbesluit bevat de factoren die wijzen op een potentieel lager risico (bijvoorbeeld: client is een beursgenoteerde vennootschap, of een overheidsinstelling). Bijlage II bevat de factoren die wijzen op een potentieel hoger risico: complexe of ongebruikelijk grote transacties, clienten uit hoog-risicolanden (door de Europese Commissie aangewezen), of contant-intensieve sectoren.

Belangrijk is dat de Wwft een principle-based wet is: de wet schrijft niet exact voor hoe je je clientonderzoek moet inrichten, maar wel wat het resultaat moet zijn. Dit geeft je als accountant ruimte om je procedures af te stemmen op je praktijk, maar legt ook de verantwoordelijkheid bij jou om aan te tonen dat je procedures effectief zijn. Het BFT beoordeelt niet alleen of je een checklist hebt afgevinkt, maar of je daadwerkelijk hebt begrepen welke risico's je client met zich meebrengt.

Clientonderzoek: standaard, vereenvoudigd en verscherpt

De Wwft kent drie niveaus van clientonderzoek. Het standaard clientonderzoek (Customer Due Diligence, CDD) is de basis en omvat: identiteitsverificatie van de client aan de hand van een geldig identiteitsdocument, verificatie van de identiteit van de UBO, vaststelling van het doel en de aard van de zakelijke relatie, en voortdurende controle op de zakelijke relatie inclusief de herkomst van middelen. Bij rechtspersonen controleer je daarnaast het KvK-uittreksel, de statuten en de eigendomsstructuur.

Vereenvoudigd clientonderzoek (Simplified Due Diligence, SDD) is toegestaan wanneer er aantoonbaar een laag risico is op witwassen of terrorismefinanciering. Artikel 6 Wwft somt de situaties op, en Bijlage I van het Uitvoeringsbesluit geeft aanvullende factoren. Voorbeelden: beursgenoteerde vennootschappen in de EU, Nederlandse overheidsinstellingen, of financiele instellingen met een Wft-vergunning. Let op: vereenvoudigd betekent niet dat je geen onderzoek doet. Je moet nog steeds de identiteit vaststellen en de zakelijke relatie monitoren, maar je mag vereenvoudigde verificatiemethoden gebruiken.

Verscherpt clientonderzoek (Enhanced Due Diligence, EDD) is verplicht bij verhoogd risico. Artikel 8 Wwft noemt specifieke situaties: de client is een PEP (Politically Exposed Person), de client is gevestigd in een hoog-risicoland, de transactie is ongebruikelijk complex of groot zonder duidelijk economisch doel, of er zijn andere factoren die wijzen op een verhoogd risico. Bij EDD moet je aanvullende maatregelen treffen: meer gedetailleerde informatie verzamelen over de herkomst van middelen, de achtergrond van de client onderzoeken, goedkeuring van het hoger management (partner/directie) verkrijgen, en de frequentie van monitoring verhogen.

In de praktijk classificeert een gemiddeld accountantskantoor circa 70-80% van de clienten als standaard risico, 10-15% als laag risico (vereenvoudigd onderzoek) en 5-15% als hoog risico (verscherpt onderzoek). Deze percentages varieren sterk per kantoorprofiel: een kantoor dat gespecialiseerd is in internationale structuren zal een hoger percentage EDD-clienten hebben dan een kantoor dat uitsluitend Nederlandse ZZP'ers bedient.

Digitalisering maakt het verschil bij het consistent uitvoeren van deze drie niveaus. Een digitaal systeem kan automatisch het juiste niveau van clientonderzoek activeren op basis van de risicoclassificatie, de bijbehorende checklists tonen, en ervoor zorgen dat bij EDD-clienten de goedkeuring van het hoger management wordt vastgelegd met een digitale handtekening en tijdstempel.

UBO-identificatie en het UBO-register

De identificatie van de uiteindelijk belanghebbende (Ultimate Beneficial Owner, UBO) is een van de meest complexe onderdelen van het clientonderzoek. Een UBO is de natuurlijke persoon die direct of indirect meer dan 25% van het eigendomsbelang houdt, of op andere wijze feitelijke zeggenschap uitoefent over de client. Bij een BV is dit doorgaans de aandeelhouder met meer dan 25% van de aandelen. Bij een stichting of vereniging is het de persoon die feitelijke zeggenschap uitoefent.

Het UBO-register bij de KvK is sinds 27 september 2020 operationeel en verplicht de meeste rechtspersonen om hun UBO's te registreren. Let op: het Europese Hof van Justitie heeft in november 2022 geoordeeld dat de openbare toegankelijkheid van het UBO-register in strijd is met het Handvest van de Grondrechten van de EU. Sindsdien is het register niet meer publiek toegankelijk. Accountants hebben als Wwft-instelling echter nog steeds toegang tot het register voor het uitvoeren van clientonderzoek, mits zij kunnen aantonen dat de raadpleging plaatsvindt in het kader van hun Wwft-verplichtingen.

Belangrijk: het UBO-register is een hulpmiddel, geen vervanging voor je eigen clientonderzoek. Je mag niet blind vertrouwen op de registratie in het UBO-register. De Wwft verplicht je om zelfstandig vast te stellen wie de UBO is, en de informatie uit het register te verifieren aan de hand van aanvullende bronnen zoals aandeelhoudersregisters, notariele aktes en jaarrekeningen. Wanneer je discrepanties constateert tussen het UBO-register en je eigen bevindingen, ben je verplicht dit als terugmelding door te geven aan de KvK.

Bij complexe structuren — holdingmaatschappijen, trusts, buitenlandse entiteiten — kan UBO-identificatie een aanzienlijke tijdsinvestering vergen. Je moet de gehele eigendomsketen doorlopen tot aan de natuurlijke persoon die uiteindelijk het belang houdt. Als er geen UBO is te identificeren (bijvoorbeeld bij een stichting zonder aandeelhouders en met een diffuus bestuur), moet je het hoger leidinggevend personeel als pseudo-UBO registreren en documenteren waarom je geen echte UBO hebt kunnen vaststellen.

PEP-screening: methodologie en bronnen

Een Politically Exposed Person (PEP) is een persoon die een prominente publieke functie bekleedt of heeft bekleed. De Wwft onderscheidt drie categorieen: binnenlandse PEP's (Nederlandse politici, hoge ambtenaren, bestuurders van staatsdeelnemingen), buitenlandse PEP's (idem in andere landen), en PEP's bij internationale organisaties (directeuren en bestuursleden van organisaties als de VN, EU, Wereldbank). Familieleden en naaste geassocieerden van PEP's vallen eveneens onder de PEP-definitie.

PEP-screening moet plaatsvinden bij het aangaan van de zakelijke relatie en periodiek gedurende de relatie. De frequentie hangt af van je risicobeoordeling: voor clienten in hoog-risicosectoren of met internationale connecties is jaarlijkse screening het minimum. Voor een standaard Nederlandse MKB-client kan screening bij intake en bij significante wijzigingen (bestuurswisseling, aandeelhouderswijziging) volstaan, mits je dit onderbouwt in je risicobeleid.

Voor de screening gebruik je PEP-databases. Commerciele aanbieders zijn onder meer Dow Jones Risk & Compliance, World-Check (Refinitiv) en Bureau van Dijk (Moody's). Deze databases combineren PEP-lijsten met sanctielijsten en adverse media. De kosten varieren van €50-150 per screening (pay-per-use) tot €3.000-10.000 per jaar (abonnement). Voor kleinere kantoren kan een pay-per-use-model kosteneffectiever zijn.

Een digitaal Wwft-systeem integreert PEP-screening in je clientopnameproces: bij het aanmaken van een nieuwe client wordt automatisch een PEP-check uitgevoerd en het resultaat vastgelegd in het dossier. Bij een positieve hit (de client is een PEP of geassocieerde) wordt automatisch het verscherpt clientonderzoek geactiveerd en moet een partner of compliance officer goedkeuring verlenen voordat de relatie wordt aangegaan.

Let op: een PEP-relatie is geen reden om de zakelijke relatie te weigeren. Het betekent wel dat je verscherpt clientonderzoek moet uitvoeren, de herkomst van middelen extra moet vaststellen, en goedkeuring moet verkrijgen van het hoger management. Na beeindiging van de publieke functie blijft iemand nog minimaal 12 maanden als PEP aangemerkt — sommige kantoren hanteren een termijn van 18-24 maanden.

Risicobeoordeling: de SIRA en clientrisicomatrix

De Wwft verplicht elke instelling om een Systematische Integriteitsrisico Analyse (SIRA) uit te voeren. De SIRA is een kantoor-brede risicoanalyse waarin je identificeert welke witwas- en terrorismefinancieringsrisico's relevant zijn voor jouw specifieke praktijk. De SIRA vormt de basis voor je risicobeleid en bepaalt hoe je het clientonderzoek per risicocategorie inricht.

Een goede SIRA voor een accountantskantoor beoordeelt risico's op vier dimensies: clientrisico (wie zijn je clienten, in welke sectoren opereren zij), productrisico (welke diensten bied je aan — samenstellingsopdrachten, fiscaal advies, trustdiensten), landenrisico (opereren je clienten internationaal, in welke landen), en distributiekanaalrisico (hoe worden je diensten afgenomen, face-to-face of op afstand). Per dimensie identificeer je risicofactoren en beoordeel je de waarschijnlijkheid (laag/midden/hoog) en de impact (laag/midden/hoog).

Op basis van de SIRA stel je een clientrisicomatrix op. Een praktisch model werkt met een puntensysteem: elke risicofactor krijgt een score van 1 (laag risico) tot 5 (hoog risico). De totaalscore bepaalt de risicocategorie van de client. Voorbeeld: branche is detailhandel met veel contante betalingen (+3), rechtsvorm is eenmanszaak (+1), gevestigd in Nederland (+1), geen PEP (+0), geen complexe structuur (+0) = totaalscore 5 = gemiddeld risico. Een client met internationale holdingstructuur (+4), gevestigd in een hoog-risicoland (+5), complexe transacties (+4) = totaalscore 13 = hoog risico.

De NBA Practice Note 1140 biedt sectorspecifieke guidance voor accountants. De Practice Note bevat onder meer een lijst van risico-indicatoren die specifiek relevant zijn voor de accountancysector, zoals: client weigert informatie te verstrekken over de herkomst van middelen, significante afwijkingen tussen aangegeven omzet en waargenomen bedrijfsactiviteiten, onverklaarbare contante stortingen, en het gebruik van tussenpersonen zonder duidelijke economische reden. Neem deze indicatoren op in je risicomatrix.

Digitalisering van de risicobeoordeling betekent dat je de risicomatrix inbouwt in je clientopnameproces. Bij het aanmaken van een nieuwe client vul je de risicofactoren in, het systeem berekent automatisch de risicoscore en classificatie, en activeert het bijbehorende niveau van clientonderzoek. Bij elke periodieke review wordt de risicoscore herberekend. Veranderingen in de classificatie (bijvoorbeeld van gemiddeld naar hoog) triggeren automatisch aanvullende onderzoeksverplichtingen.

Het FIU-meldingsproces via goAML

Wanneer je een ongebruikelijke transactie signaleert, ben je op grond van artikel 16 Wwft verplicht om dit onverwijld te melden bij de Financial Intelligence Unit Nederland (FIU-Nederland). Onverwijld betekent in de praktijk: zo snel als redelijkerwijs mogelijk, doorgaans binnen 14 dagen na het moment dat je de transactie als ongebruikelijk hebt beoordeeld. Melding geschiedt via het goAML-portaal van FIU-Nederland.

Om te melden via goAML moet je kantoor geregistreerd zijn als meldende instelling. De registratie doe je eenmalig via de website van FIU-Nederland. Na registratie ontvang je inloggegevens voor het goAML-portaal. Een melding bevat: gegevens van de meldende instelling, gegevens van de betrokken client(en) en transactie(s), de reden waarom je de transactie als ongebruikelijk beschouwt, en eventuele ondersteunende documentatie.

De subjectieve indicator is voor accountants de belangrijkste meldgrond: je meldt wanneer je aanleiding hebt om te vermoeden dat een transactie verband houdt met witwassen of terrorismefinanciering. Daarnaast bestaan er objectieve indicatoren, vastgelegd in de Uitvoeringsregeling Wwft. Voor accountants zijn relevant: contante transacties boven €15.000, transacties met landen op de sanctielijst, en transacties waarbij het vermoeden bestaat dat ze verband houden met belastingontduiking of belastingfraude.

Het tipping-off-verbod (artikel 23 Wwft) verbiedt je om de client of derden te informeren over het feit dat je een melding hebt gedaan of overweegt te doen. Dit is een lastige verplichting in de praktijk, vooral wanneer een client vraagt waarom je aanvullende vragen stelt over een transactie. Je mag algemene uitleg geven over je Wwft-verplichtingen, maar je mag niet specifiek verwijzen naar een melding of een vermoeden.

Na het indienen van een melding ontvang je een bevestiging van FIU-Nederland. De FIU analyseert de melding en besluit of deze wordt doorgestuurd naar opsporingsdiensten als een verdachte transactie. Je wordt doorgaans niet geinformeerd over de uitkomst van de analyse. Bewaar de meldingsbevestiging in het Wwft-dossier van de betreffende client. Het is raadzaam om per jaar een overzicht bij te houden van alle meldingen die je hebt gedaan — het BFT vraagt hier bij inspecties naar.

BFT-toezicht: wat inspecteurs controleren en hoe je je voorbereidt

Het Bureau Financieel Toezicht (BFT) is de toezichthouder voor accountants, belastingadviseurs en administratiekantoren op het gebied van de Wwft. Het BFT voert zowel reguliere inspecties als thema-onderzoeken uit. Reguliere inspecties worden doorgaans aangekondigd met een termijn van 2-4 weken. Thema-onderzoeken (bijvoorbeeld gericht op een specifieke sector of risicofactor) kunnen ook onaangekondigd plaatsvinden.

Bij een reguliere inspectie beoordeelt het BFT typisch de volgende onderdelen: je Wwft-beleidsplan en procedures, je SIRA, een steekproef van clientdossiers (doorgaans 5-10 dossiers), je opleidingsplan en -registratie voor medewerkers, je meldingsoverzicht (FIU-meldingen), en je compliance-organisatie (wie is de compliance officer, hoe is de governance ingericht). De inspectie duurt 1-2 dagen, afhankelijk van de omvang van je kantoor.

De meest voorkomende tekortkomingen die het BFT constateert zijn: onvolledig clientonderzoek (geen UBO-identificatie, geen verificatie van identiteitsdocumenten), ontbrekende of verouderde risicoclassificaties, geen of onvoldoende monitoring van de zakelijke relatie, geen SIRA of een SIRA die niet is afgestemd op de specifieke risico's van het kantoor, en onvoldoende opleiding van medewerkers op het gebied van de Wwft. Bij herhaalde tekortkomingen kan het BFT een last onder dwangsom opleggen, een bestuurlijke boete (tot €5.000.000 of 10% van de jaaromzet), of in ernstige gevallen een aanwijzing of tuchtklacht indienen.

Voorbereiding op een BFT-inspectie begint niet twee weken voor de inspectie maar is een doorlopend proces. Voer minimaal jaarlijks een interne audit uit op je Wwft-dossiers. Controleer per dossier: is de identiteit geverifieerd, is de UBO geidentificeerd, is de risicoclassificatie actueel, is de monitoring uitgevoerd, en zijn alle documenten aanwezig en niet verlopen. Documenteer de resultaten van je interne audit en de opvolgacties die je hebt ondernomen.

Een digitaal Wwft-systeem is bij een BFT-inspectie je beste bondgenoot. Het systeem toont in een overzicht de status van al je dossiers: hoeveel zijn compleet, hoeveel zijn verlopen, welke missen documenten. De audit trail bewijst dat je onderzoek hebt uitgevoerd op een specifiek moment. De automatische herinneringen tonen aan dat je monitoring actief is. Inspecteurs zijn doorgaans positief over kantoren die een gestructureerd digitaal systeem hanteren — het straalt professionaliteit uit en maakt de inspectie efficienter voor beide partijen.

Sector-specifieke risico-indicatoren voor accountants

De NBA heeft in haar Practice Notes en handreikingen een aantal risico-indicatoren geidentificeerd die specifiek relevant zijn voor accountants. Deze indicatoren helpen je bij het identificeren van ongebruikelijke transacties in de context van je dagelijkse werkzaamheden. Het is essentieel dat je deze indicatoren kent en dat je medewerkers getraind zijn om ze te herkennen.

Financiele indicatoren omvatten: significante afwijkingen tussen de aangegeven omzet en het waargenomen niveau van bedrijfsactiviteiten, onverklaarbare contante stortingen of opnames, transacties die geen zichtbaar economisch doel dienen, leningen van of aan gerelateerde partijen zonder zakelijke grond, en een onverklaarbare toename van het eigen vermogen. Bij samenstellingsopdrachten val je deze indicatoren op bij het beoordelen van de administratie — je hebt een unieke positie om financiele afwijkingen te signaleren.

Gedragsindicatoren zijn minstens zo belangrijk: een client die ongewoon veel haast heeft bij het oprichten van een rechtspersoon, een client die aandringt op een specifieke juridische structuur zonder duidelijke zakelijke reden, een client die afhoudend reageert op vragen over de herkomst van middelen, een bestuurder die geen kennis lijkt te hebben van de activiteiten van zijn eigen onderneming, en een client die veelvuldig wisselt van accountant of adviseur.

Structuurindicatoren verdienen aandacht bij clienten met complexe juridische structuren: het gebruik van tussenvennootschappen zonder operationele activiteiten, het gebruik van trusts of stichtingen particulier fonds, eigendomsstructuren die lopen via jurisdicties met een hoog geheimhoudingsrisico (zoals de Britse Maagdeneilanden, Panama of de Kaaimaneilanden), en het gebruik van nominee-aandeelhouders of -bestuurders.

Train je medewerkers minimaal jaarlijks op het herkennen van deze indicatoren. De NBA biedt PE-cursussen aan die specifiek gericht zijn op Wwft-compliance voor accountants. Documenteer de opleidingsactiviteiten in een opleidingsregister — het BFT controleert of je medewerkers voldoende zijn opgeleid. Een goede vuistregel is dat elke medewerker die clientcontact heeft, minimaal 4 uur per jaar aan Wwft-gerelateerde opleiding besteedt.

Bewaarplicht en dataretentie: Wwft versus AVG

De Wwft schrijft voor dat je alle gegevens en documenten met betrekking tot het clientonderzoek bewaart tot vijf jaar na het beendigen van de zakelijke relatie of het uitvoeren van de transactie (artikel 33 Wwft). Dit omvat: kopieen van identiteitsdocumenten, UBO-verificatiedocumenten, risicoclassificaties, monitoringsrapportages, en correspondentie over het clientonderzoek.

Hier ontstaat een spanning met de AVG, die het recht op vergetelheid (artikel 17 AVG) en het beginsel van opslagbeperking (artikel 5 lid 1 sub e AVG) kent. Een ex-client kan je verzoeken om zijn persoonsgegevens te verwijderen. Je mag dit verzoek weigeren voor zover de gegevens noodzakelijk zijn om te voldoen aan de Wwft-bewaarplicht — de wettelijke verplichting op grond van artikel 6 lid 1 sub c AVG prevaleert. Maar je moet wel alle gegevens verwijderen die niet onder de Wwft-bewaarplicht vallen.

In de praktijk betekent dit dat je na beeindiging van een clientrelatie het Wwft-dossier bewaart (5 jaar), maar overige gegevens die niet onder een wettelijke bewaarplicht vallen, verwijdert. Denk aan marketinggegevens, gespreksnotities die geen betrekking hebben op het clientonderzoek, en persoonlijke aantekeningen. Maak dit onderscheid expliciet in je privacybeleid en informeer clienten bij het aangaan van de relatie over de bewaartermijnen.

Vergeet ook niet de fiscale bewaarplicht: de fiscale bewaarplicht (artikel 52 AWR) is 7 jaar voor de basisadministratie en 10 jaar voor vastgoedgerelateerde gegevens. Deze bewaarplicht geldt voor de administratie van je client, niet voor je Wwft-dossier — maar in de praktijk overlappen de documenten deels.

Een digitaal Wwft-systeem kan automatisch bewaartermijnen berekenen per client (5 jaar na beeindiging relatie), documenten markeren die de retentieperiode hebben bereikt, en een vernietigingsoverzicht genereren dat je periodiek reviewt en accordeert. Dit maakt compliance met zowel de Wwft als de AVG beheersbaar, zelfs bij honderden clientdossiers.

Sancties en handhaving: concrete boetes en tuchtrechtelijke gevolgen

Het niet naleven van de Wwft kan leiden tot bestuursrechtelijke, strafrechtelijke en tuchtrechtelijke sancties. Het BFT heeft de bevoegdheid om bestuurlijke boetes op te leggen tot €5.000.000 (of 10% van de jaaromzet indien dat meer is) voor ernstige overtredingen. In de praktijk liggen boetes voor accountantskantoren doorgaans tussen €2.500 en €200.000, afhankelijk van de ernst en de omvang van de overtreding.

Recente handhavingsacties illustreren de aanpak van het BFT. In 2024 werd een administratiekantoor in Rotterdam beboet met €25.000 voor het niet uitvoeren van clientonderzoek bij 12 van de 45 clienten. Een accountantskantoor in Amsterdam ontving een boete van €100.000 voor het structureel niet melden van ongebruikelijke transacties bij clienten in de vastgoedsector. In beide gevallen speelde het ontbreken van een SIRA en onvoldoende opleiding van medewerkers een verzwarende rol.

Naast bestuursrechtelijke sancties kan het BFT een tuchtklacht indienen bij de Accountantskamer (voor RA's en AA's) of het tuchtcollege van de NOAB (voor administratiekantoren). Tuchtrechtelijke maatregelen varieren van een waarschuwing tot doorhaling uit het register, wat effectief een beroepsverbod betekent. De Accountantskamer heeft in recente uitspraken bevestigd dat ernstige Wwft-tekortkomingen kunnen leiden tot tijdelijke doorhaling van 3-6 maanden.

Strafrechtelijke vervolging is mogelijk bij opzettelijke overtredingen. Het niet melden van ongebruikelijke transacties is een economisch delict op grond van de Wet op de economische delicten. Bij opzet kan een gevangenisstraf van maximaal 2 jaar worden opgelegd.

De boodschap is helder: Wwft-compliance is geen administratieve last maar een existentieel risico voor je kantoor. De kosten van compliance (software, opleiding, tijd) zijn een fractie van de potentiele sancties. Een jaarabonnement op een digitaal Wwft-systeem kost €1.000-5.000 per jaar. Een boete van het BFT kan je jaarwinst elimineren. De business case voor digitalisering van je Wwft-compliance schrijft zichzelf.

Digitalisering in de praktijk: van papier naar systeem

De transitie van papieren of Excel-gebaseerde Wwft-dossiers naar een digitaal systeem vergt een gestructureerde aanpak. Begin met een nulmeting: hoeveel clientdossiers heb je, hoeveel zijn compleet, hoeveel zijn verlopen, en hoeveel missen essentiele documenten? Deze nulmeting geeft je een realistisch beeld van de achterstand die je moet inhalen.

De implementatie van een digitaal Wwft-systeem volgt idealiter vier fasen. Fase 1 (week 1-2): inrichting van het systeem, configuratie van je risicomatrix en checklists, importeren van clientgegevens. Fase 2 (week 3-6): inhaalslag op bestaande dossiers — begin met hoog-risico-clienten, dan gemiddeld risico, dan laag risico. Fase 3 (week 7-10): nieuw beleid en procedures formaliseren, medewerkers trainen, compliance officer aanwijzen. Fase 4 (doorlopend): periodieke reviews, monitoring en continue verbetering.

De inhaalslag op bestaande dossiers is doorgaans het meest arbeidsintensieve onderdeel. Reken op 30-60 minuten per dossier voor het opnieuw verifieren van identiteitsdocumenten, het identificeren van UBO's, het vaststellen van de risicoclassificatie en het uploaden van ondersteunende documenten. Voor een kantoor met 200 clienten is dat 100-200 uur — een investering die je kunt spreiden over 2-3 maanden.

Essentiele features van een digitaal Wwft-systeem omvatten: een configureerbare risicomatrix met automatische scoring, checklists per risiconiveau (standaard, vereenvoudigd, verscherpt), automatische verloopdatums met herinneringen, een audit trail die vastlegt wie wanneer welke actie heeft uitgevoerd, documentopslag met automatische retentieperioden, PEP- en sanctielijstscreening (native of via integratie), en rapportagemogelijkheden voor interne audits en BFT-inspecties.

De ROI van digitalisering is snel meetbaar. Een medewerker besteedt gemiddeld 15-20 minuten minder per clientdossier bij periodieke reviews wanneer het systeem automatisch verloopdatums bijhoudt, checklists toont en documenten centraliseert. Bij 200 clienten en twee reviews per jaar bespaart dat 100-130 uur per jaar. Tel daarbij op de risicoreductie: de kans op een BFT-boete daalt significant wanneer je dossiers aantoonbaar op orde zijn.