Vereisten met betrekking tot cliëntenonderzoek voor aanbieders van cryptodiensten

Bij aanbieders van wisseldiensten tussen virtuele en fiduciaire valuta zal dit over het algemeen ook gelden. Bij incidentele transacties onder de €15.000 is cliëntenonderzoek echter niet altijd verplicht, tenzij sprake is van indicaties dat de cliënt betrokken is bij witwassen of financieren van terrorisme. Ook in gevallen waarin sprake is van een aangetoonde incidentele transactie wordt echter verwacht dat de identiteit van de klant wordt vastgesteld en geverifieerd.

Uit de Memorie van Toelichting bij het wetsvoorstel blijkt dat indien de aanbieder meteen bij de eerste dienstverlening aanleiding heeft om te veronderstellen dat een cliënt in de toekomst vaker van zijn dienstverlening gebruik zal maken, of er twijfel bestaat over het incidentele karakter, of de aanbieder niet kan achterhalen of de cliënt zich presenteert als nieuwe cliënt, er ook sprake is van een zakelijke relatie. Het is de verantwoordelijkheid van de aanbieder om bij een transactie onderbouwd te beoordelen of er sprake is van een incidentele transactie.

De eisen aan cliëntenonderzoek volgen voorts uit Hoofdstuk 2 Wwft. Het cliëntenonderzoek stelt de instelling in staat om:

a. de cliënt te identificeren en diens identiteit te verifiëren;
b. de uiteindelijk belanghebbende van de cliënt te identificeren en redelijke maatregelen te nemen om zijn identiteit te verifiëren, en indien de cliënt een rechtspersoon is, redelijke maatregelen te nemen om inzicht te verwerven in de eigendoms- en zeggenschapsstructuur van de cliënt;
c. het doel en de beoogde aard van de zakelijke relatie vast te stellen;
d. een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen, teneinde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel, met zo nodig een onderzoek naar de bron van de middelen die bij de zakelijke relatie of de transactie gebruikt worden;
e. vast te stellen of de natuurlijke persoon die de cliënt vertegenwoordigt daartoe bevoegd is en in voorkomend geval de natuurlijke persoon te identificeren en diens identiteit te verifiëren;
f. redelijke maatregelen te nemen om te verifiëren of de cliënt ten behoeve van zichzelf optreedt dan wel ten behoeve van een derde

Bij cryptodienstverlening zal in veel gevallen verscherpt cliëntenonderzoek moeten worden toegepast. Zie meer op deze pagina.

Identificatie en verificatie

Bij het identificeren verstrekt de cliënt gegevens over zijn identiteit. Dit is vormvrij, dit kan bijvoorbeeld door het invullen van een (web)formulier.

Bij het verifiëren van de identiteit gaat het om het vaststellen dat de opgegeven identiteit overeenkomt met de werkelijke identiteit. Aan de hand van documenten, gegevens of inlichtingen uit betrouwbare en onafhankelijke bron controleert de instelling de juistheid van de door de cliënt opgegeven identiteit. In artikel 4 van de Uitvoeringsregeling Wwft wordt een aantal documenten genoemd die hiervoor gebruikt kunnen worde, dit betreft onder andere een paspoort, identiteitskaart, rijbewijs, reisdocument of vreemdelingendocument.

Er kunnen in aanvulling hierop ook andere documenten, inlichtingen of gegevens worden geaccepteerd ten behoeve van de verificatie van de identiteit van een natuurlijk persoon, mits deze afkomstig zijn uit een betrouwbare en onafhankelijke bron. Dit laatste wordt overgelaten aan de risicobeoordeling van de instelling die de betreffende persoon als cliënt wil accepteren, waarbij verwacht mag worden dat de instelling heeft vastgelegd welke documenten, inlichtingen of gegevens acceptabel zijn voor de instelling, en waarom.

Bij documenten die niet afkomstig zijn van overheidsinstanties of rechterlijke instanties, moet de instelling zich afvragen of de documenten voldoende betrouwbaar zijn. Dergelijke documenten zijn op zichzelf onvoldoende om de identiteit op een adequate wijze te verifiëren. Documenten waarvan niet vaststaat dat daaraan adequate identificatie en verificatie vooraf is gegaan, zoals studentenpassen, werknemerspassen en afschriften van bijvoorbeeld nuts- of telecombedrijven, volstaan over het algemeen niet om de identiteit te verifiëren. Ook bij de zogenoemde 1-cent betaling die door sommige instellingen wordt gebruikt ter verificatie van de identiteit staat niet vast dat daaraan een adequate identificatie en verificatie door een andere instelling vooraf is gegaan. Deze kan daarom niet zonder meer dienen als verificatie van de identiteit van een cliënt.

Ook is van belang dat de aanbieder de overlegde documenten en andere bronnen controleert op echtheid en daarbij rekening houdt met het risico op vervalsingen en pogingen tot misleiding.

Veel aanbieders van cryptodiensten zullen in de praktijk identificatie op afstand toepassen via innovatieve oplossingen. Dergelijke oplossingen kunnen intern zijn of via een externe partij worden toegepast. Dit is niet verboden. Wel dient de aanbieder zich bewust te zijn van de risico’s die dit met zich meebrengt en zich ervan te verzekeren dat de bronnen voldoen aan betrouwbaarheidsniveau substantieel als bedoeld in artikel 8 van de eIDAS Verordening. In de praktijk zal dit kunnen betekenen dat de aanbieder aanvullende maatregelen neemt om de risico’s te mitigeren.

De risico’s zullen onderdeel zijn van de risicoanalyse en gaan gepaard met een adequaat beheersingsregime. Daarnaast is het van belang dat de instelling voldoende kennis heeft over de innovatieve oplossing en beschikt over een noodplan indien er sprake is van storingen. Vanzelfsprekend worden in geval van uitbesteding afspraken gemaakt over de toepassing van de oplossing in het kader van de naleving van de Wwft. Zie in dit verband ook de ‘Opinion on the use of innovative solutions by credit and financial institutions when complying with their customer due diligence (CDD) obligations’ van de ESAs.