CompanyBelgium

AML vs KYC: verschillen, complementariteit en verplichtingen in België (2026)

AML en KYC worden vaak verward. Toch kadert het ene de preventie van witwassen als geheel (AML / WWFT), terwijl het andere focust op cliëntkennis (KYC). Het onderscheid begrijpen is de voorwaarde voor échte compliance — vooral in België, waar de wet van 18 september 2017, CFI, NBB, FSMA en het UBO-register een veeleisend ecosysteem vormen.

15 mei 202610 min leestijd

In het kort

AML (Anti-Money Laundering) is het globale kader ter bestrijding van witwassen: risicobeoordeling, KYC, transactiemonitoring, CFI-meldingen, bewaring 10 jaar en opleiding. KYC is een onderdeel van AML, gericht op de identificatie van de client bij aanvang van de relatie. In Belgie kaderen de wet van 18 september 2017, CFI, NBB, FSMA, FOD Economie en het UBO-register de twee samen.

AML en KYC: twee acroniemen, één doel

AML (Anti-Money Laundering — *bestrijding van witwassen*) en KYC (Know Your Customer — *cliëntkennis*) zijn twee complementaire begrippen die vaak worden verward. De verwarring is begrijpelijk: beide komen voor in dezelfde regelgeving, worden door dezelfde autoriteiten gecontroleerd en steunen op dezelfde instrumenten (UBO-register, KBO/BCE, transactiemonitoring).

Maar het zijn twee verschillende zaken:

  • AML is het algemene kader: het geheel van wettelijke, organisatorische en technische maatregelen om witwassen en financiering van terrorisme te voorkomen, op te sporen en te melden (WWFT).
  • KYC is een onderdeel van AML: de eerste stap, namelijk identificeren en verifiëren wie de cliënt is voordat een zakelijke relatie wordt aangegaan.

Anders gezegd: KYC beantwoordt de vraag *"wie is mijn cliënt?"* — AML beantwoordt *"wat doet mijn cliënt, en is dat normaal?"*

Vergelijkingstabel AML vs KYC

CriteriumKYC (Know Your Customer)AML (Anti-Money Laundering)
DoelDe identiteit van de cliënt identificeren en verifiërenWitwassen en terrorismefinanciering voorkomen
ReikwijdteSubset van het AML-dispositiefGlobaal kader (beleid, controles, meldingen)
TimingVóór het aangaan van de relatie (onboarding)Doorlopend gedurende de hele relatie
KernactiviteitenDocumenten verzamelen, identiteit verifiëren, uiteindelijk begunstigde (UBO) identificerenTransactiemonitoring, detectie van verdachte verrichtingen, melding aan de CFI, bewaring 10 jaar
Geproduceerde documentenKYC-dossier, cliëntfiche, UBO-cascadeWWFT-beleid, register van risicobeoordelingen, meldingen, auditrapporten
Belgische rechtsgrondslagArtikelen 21 tot 34 van de wet van 18/09/2017Wet van 18 september 2017 in zijn geheel + KB 30/07/2018
ToezichthouderFOD Economie, NBB, FSMA volgens sectorCFI (meldingen), FOD Economie, NBB, FSMA, ITAA (controles)
FrequentieBij onboarding + periodieke herzieningPermanent

KYC is de toegangshandeling. AML is alles wat daarna komt om te garanderen dat de cliënt binnen wettelijke verrichtingen blijft.

AML, volledig dispositief: 5 verplichte componenten

De Belgische AML — gekaderd door de wet van 18 september 2017 die de Europese richtlijnen 4AMLD, 5AMLD en nu 6AMLD omzet — steunt op vijf pijlers:

1. Risicobeoordeling

Vóór al het andere moet elke onderworpene een globale risicobeoordeling uitvoeren (artikel 16): welke cliënttypes, welke geografische zones, welke producten, welke kanalen? De beoordeling bepaalt de intensiteit van de controles.

2. KYC: cliëntidentificatie (waakzaamheid bij toegang)

Artikelen 21 tot 34. Hier speelt KYC in strikte zin: de identiteit van de cliënt verzamelen, deze verifiëren met bewijsdocumenten, de uiteindelijk begunstigde identificeren, en het doel van de relatie begrijpen. Zie onze gids KYC in België.

3. Doorlopende transactiemonitoring

Artikel 35. Na onboarding moeten de verrichtingen van de cliënt het voorwerp uitmaken van een doorlopende monitoring: detectie van ongewone bewegingen, drempelscenario's, vergelijking met het aangegeven profiel. Hier verlaten we de KYC en betreden de operationele AML.

4. Melding aan de CFI

Artikelen 47 tot 54. Elke verrichting die een vermoeden van witwassen wekt, moet worden gemeld aan de CFI (Cel voor Financiële Informatieverwerking). Zie onze gids melding aan de CFI.

5. Bewaring, opleiding, audit

Artikelen 60 tot 66. Bewaring van dossiers gedurende 10 jaar, periodieke opleiding van de teams, regelmatige interne audits. Zonder deze fundamenten valt het dispositief om bij de eerste controle.

KYC is dus één — essentieel — stuk van een grotere puzzel.

Waarom KYC de meest zichtbare stap is

Als de verwarring tussen AML en KYC zo vaak voorkomt, is dat omdat KYC het zichtbare deel van het dispositief is:

  • Het is de stap waarbij de cliënt rechtstreeks betrokken is (hij levert stukken aan, ondertekent het formulier)
  • Het is het eerste wat de toezichthouder bij een inspectie bekijkt
  • Het is ook het meest gemakkelijk te verwijten: een ontbrekend document, een niet-gedocumenteerde UBO-cascade, en de sanctie valt

Maar een uitstekend KYC volstaat niet. Als de transactiemonitoring na onboarding gebrekkig is, of als atypische verrichtingen niet aan de CFI worden gemeld, is het AML-dispositief eveneens in gebreke — zelfs als het toegangsdossier perfect is.

Wie is in België betrokken?

De wet van 18/09/2017 wijst een twintigtal categorieën onderworpen entiteiten aan. Voor elke daarvan zijn AML en KYC verplicht:

  • Kredietinstellingen en beleggingsondernemingen (gecontroleerd door NBB en FSMA)
  • Levensverzekeringsmaatschappijen (FSMA)
  • Notarissen, advocaten, gerechtsdeurwaarders, bedrijfsrevisoren
  • Boekhouders, accountants, belastingadviseurs (ITAA)
  • Vastgoedmakelaars (BIV)
  • Dienstverleners aan vennootschappen: domicilieerders, fiduciairen
  • Handelaars in goederen van hoge waarde (goud, edelstenen, kunstwerken boven drempelbedragen)
  • Casino's en exploitanten van kansspelen
  • Dienstverleners op virtuele activa (crypto, sinds 2020)

Aan elke categorie hangt een aparte toezichthouder: NBB, FSMA, FOD Economie, ITAA, BIV, enz. Maar het eindpunt blijft uniek: de CFI, die alle meldingen ontvangt, ongeacht sector of oorsprong.

Het Belgische kader: wat internationale concurrenten niet zeggen

De meeste generieke AML/KYC-artikelen spreken over de Amerikaanse Bank Secrecy Act of het Franse Tracfin. In België heeft het ecosysteem eigen actoren en instrumenten:

  • CFI (Cel voor Financiële Informatieverwerking) — de Belgische financiële inlichtingeneenheid, equivalent van het Franse Tracfin. Alle meldingen lopen er samen. Verplicht formaat: goAML XML sinds 2020.
  • NBB (Nationale Bank van België) — houdt toezicht op kredietinstellingen, levensverzekeraars, beursvennootschappen, wisselkantoren en dienstverleners op virtuele activa.
  • FSMA (Autoriteit voor Financiële Diensten en Markten) — houdt toezicht op verzekeringsbemiddelaars, sociale en "andere" kredietgevers, ICB-beheersvennootschappen.
  • FOD Economie — houdt toezicht op domicilieerders, fiduciairen, handelaars in waardevolle goederen en andere niet-financiële onderworpenen.
  • ITAA (Instituut van de Belastingadviseurs en Accountants) — houdt toezicht op boekhouders en accountants.
  • Belgisch UBO-register — nationaal centraal register van uiteindelijk begunstigden van Belgische vennootschappen, beheerd door de FOD Financiën. Verplichte raadpleging voor elk KYC van een vennootschap.
  • KBO/BCE (Kruispuntbank van Ondernemingen) — de officiële bron voor de identificatie van elke Belgische entiteit: ondernemingsnummer, benaming, zetel, bestuurders, NACE-codes, vestigingen.

Dit mozaïek maakt de Belgische AML complexer om te orchestreren dan een puur Frans of Anglo-Saksisch dispositief. Maar het biedt ook een voordeel: alles is gecentraliseerd in toegankelijke officiële registers, en de bronnen zijn canoniek.

Levenscyclus van een cliëntdossier: waar KYC ophoudt, waar AML begint

Om de grens te verduidelijken, de typische stappen:

  • Prospect / contact — nog geen verplichting, gewone commerciële uitwisseling.
  • Beslissing om de relatie aan te gaan — activeert het initieel KYC: cliëntidentificatie, documentverificatie, UBO-cascade, risicobeoordeling.
  • Interne beslissing: aanvaarden, weigeren, of verscherpte maatregelen opleggen als de cliënt PEP is of een hoog risico vertoont.
  • Effectieve onboarding — de zakelijke relatie start. Het KYC wordt in het dossier vastgelegd.
  • Leven van de relatie — AML-monitoring neemt het over: opvolging van verrichtingen, periodieke bijwerking van het KYC (het dossier moet *levend* blijven), waarschuwingen bij wijzigingen (nieuwe uiteindelijk begunstigde, zetelwijziging, enz.).
  • Verdachte verrichting gedetecteerd → overschakeling naar actieve AML: analyse, interne escalatie en eventueel melding aan de CFI.
  • Einde van de relatie — bewaring van het dossier gedurende 10 jaar (KYC + AML-journaal), voor het geval een latere onderzoek wordt geopend.
  • KYC is dus een gebeurtenis; AML is een stroom.

    Technische instrumenten: waar beide samenkomen

    Een modern AML/KYC-dispositief steunt op dezelfde gereedschapskist:

    • KBO/BCE-API om de identiteit van Belgische vennootschappen voor in te vullen (KYC) en realtime wijzigingen op te sporen (doorlopende AML)
    • UBO-register-API voor de cascade van uiteindelijk begunstigden (KYC) en hun periodieke herziening (AML)
    • Sanctielijsten (EU, VN, OFAC) geraadpleegd bij KYC en daarna periodiek
    • Regelmotor voor transactiemonitoring en detectie van atypische verrichtingen
    • Versleutelde, getimestampede digitale kluis met traceerbare toegang voor de bewaring 10 jaar

    De huidige RegTech-oplossingen integreren al deze bouwstenen. Op de Belgische markt is directe toegang tot KBO/BCE het punt dat een lokale oplossing onderscheidt van een generiek instrument.

    Sancties: wat de verwarring kost

    AML en KYC in de praktijk verwarren leidt tot twee sanctioneerbare fouttypen:

    • Perfect KYC, gebrekkige AML: uitstekende toegangsdossiers, maar geen doorlopende monitoring → tekortkoming aan artikel 35. Administratieve sanctie tot 1 250 000 € per inbreuk voor rechtspersonen (en hoger volgens de NBB/FSMA-schalen), met mogelijke publicatie van de sanctie.
    • Theoretische AML, slordige KYC: geschreven beleid maar onvolledige cliëntdossiers → tekortkoming aan artikelen 21 tot 34. Sanctie van dezelfde grootte-orde, en omkering van de bewijslast als de autoriteit oordeelt dat de organisatie haar waakzaamheid niet heeft aangetoond.

    In beide gevallen kan de persoonlijke aansprakelijkheid van de aangewezen AML-verantwoordelijken (vaak de bestuurders) in het geding komen. De wet viseert rechtspersonen én de verantwoordelijke natuurlijke personen.

    FAQ: meest gestelde vragen

    Wat is het verschil tussen KYC en AML?

    KYC is de stap van identificatie en verificatie van de cliënt bij onboarding (wie is deze cliënt? is hij wel die hij beweert? wie is zijn uiteindelijk begunstigde?). AML is het globale kader van bestrijding van witwassen, waarvan KYC slechts een component is: het omvat ook doorlopende monitoring, detectie van verdachte verrichtingen, melding aan de CFI, bewaring en opleiding.

    Wat is AML-compliance?

    AML-compliance is de naleving van alle verplichtingen opgelegd door de wet van 18 september 2017 en haar uitvoeringsbesluiten: risicobeoordeling, KYC, monitoring, meldingen aan de CFI, bewaring 10 jaar, opleiding van de teams, interne audit. Elke onderworpen entiteit (bank, notaris, boekhouder, domicilieerder, enz.) moet haar dispositief aan de toezichthouder kunnen aantonen.

    Wat is KYC-compliance?

    Het is de naleving van artikelen 21 tot 34 van de wet van 18/09/2017: voor elke cliënt een volledig identificatiedossier hebben, geverifieerd met bewijsdocumenten, met UBO-cascade en risicobeoordeling, bewaard gedurende 10 jaar. Het is een subset van AML-compliance.

    Welke zijn de KYC-verplichtingen in België?

    De cliënt identificeren (naam, geboortedatum, adres, rijksregisternummer voor particulieren; benaming, KBO-nummer, rechtsvorm, zetel voor vennootschappen), deze informatie verifiëren met bewijsdocumenten (identiteitskaart, KBO-uittreksel, UBO-register), de uiteindelijk begunstigde identificeren, het doel van de relatie begrijpen, het dossier 10 jaar bewaren en periodiek herzien.

    Wie controleert AML/KYC in België?

    Meerdere autoriteiten naargelang de sector: de NBB voor banken en levensverzekeringen, de FSMA voor financiële tussenpersonen en ICB's, de FOD Economie voor domicilieerders en handelaars in waardevolle goederen, het ITAA voor boekhouders en accountants, het BIV voor vastgoedmakelaars. Alle meldingen komen samen bij de CFI.

    Volstaat KYC om AML-conform te zijn?

    Nee. Een uitstekend KYC zonder doorlopende monitoring, zonder detectie van verdachte verrichtingen, zonder melding aan de CFI bij vermoeden, en zonder bewaring/opleiding blijft een onvolledig — dus sanctioneerbaar — AML-dispositief.

    Hoelang moet een KYC-dossier in België worden bewaard?

    Tien jaar na het einde van de zakelijke relatie (artikel 60 van de wet van 18/09/2017). Deze verplichting geldt voor het KYC-dossier, de identiteitsstukken, de UBO-cascade, het verrichtingenregister en eventuele CFI-meldingen.

    Hoe Company Belgium AML en KYC verbindt

    Company Belgium bundelt de AML/KYC-keten voor Belgische onderworpen beroepen:

    • Versneld KYC: automatische voorinvulling vanuit een KBO/BCE-nummer — benaming, rechtsvorm, zetel, bestuurders, NACE-codes, geschiedenis
    • UBO-cascade opgehaald op 3 niveaus en automatisch vergeleken met het Belgische UBO-register — afwijkingen gesignaleerd
    • Identificatie op afstand afgestemd op de erkende Belgische standaarden (eID, itsme®, eIDAS)
    • Doorlopende monitoring: realtime waarschuwingen bij KBO-wijzigingen (nieuwe bestuurder, zetelwijziging, neerlegging van rekeningen, ontbinding)
    • Geïntegreerde risicobeoordeling — matrix cliënt/product/geografie om vereenvoudigde of verscherpte waakzaamheid te sturen
    • Versleutelde en getimestampede bewaring op 10 jaar, toegankelijk bij audit
    • Volledig audittraject — elke raadpleging, beslissing en wijziging wordt gejournaliseerd

    Het doel: een advocaat, notaris, boekhouder, domicilieerder of fiduciair toelaten om in enkele minuten van een ondernemingsnummer naar een volledig KYC-dossier over te gaan, en dat dossier levend te houden doorheen de relatie — zonder zelf de mechaniek van doorlopende monitoring te moeten bouwen en onderhouden.

    Samenvatting

    • KYC = wie is mijn cliënt? Toegangsstap, artikelen 21 tot 34 van de wet van 18/09/2017.
    • AML = mijn globaal dispositief tegen witwassen. Bevat KYC, maar ook doorlopende monitoring, melding aan de CFI, bewaring, opleiding en audit.
    • In België betrekt het ecosysteem CFI, NBB, FSMA, FOD Economie, ITAA, BIV, UBO-register en KBO/BCE — een meer specifiek kader dan internationale algemeenheden.
    • Beide verwarren stelt bloot aan zware administratieve sancties en de persoonlijke aansprakelijkheid van bestuurders.

    De juiste reflex: KYC zien als de fundament van AML, en evenveel investeren in de kwaliteit van het toegangsdossier als in de monitoring die volgt. De instrumenten bestaan — ze moeten enkel zijn afgestemd op het Belgische kader, en dat is precies het werkveld van Company Belgium.

    Veelgestelde vragen

    Wat is het verschil tussen AML en KYC in Belgie?

    KYC is de stap van identificatie en verificatie van de client bij onboarding: wie is deze client, is hij wel wie hij beweert, wie is zijn uiteindelijk begunstigde. AML is het globale kader van bestrijding van witwassen waarvan KYC slechts een onderdeel is: het omvat ook doorlopende transactiemonitoring, detectie van verdachte verrichtingen, melding aan de CFI, bewaring van dossiers gedurende 10 jaar en teamopleiding. KYC beantwoordt de vraag wie is mijn client, AML beantwoordt wat doet mijn client en is dat normaal.

    Welke KYC-verplichtingen gelden voor onderworpen entiteiten in Belgie in 2026?

    Onderworpen entiteiten moeten de client identificeren (naam, geboortedatum, adres, KBO-nummer of rijksregisternummer), deze informatie verifiëren met bewijsdocumenten, de uiteindelijk begunstigde via de UBO-cascade op 3 niveaus identificeren, het doel van de relatie begrijpen, het risico beoordelen en het dossier 10 jaar bewaren. Voor PEP of hoog-risicoclienten zijn verscherpte waakzaamheidsmaatregelen van toepassing. De rechtsgrondslag staat in artikelen 21 tot 34 van de wet van 18 september 2017.

    Welke autoriteiten controleren AML en KYC in Belgie?

    De NBB houdt toezicht op banken en levensverzekeraars, de FSMA op financiele tussenpersonen en ICB's, de FOD Economie op domicilieerders en handelaars in waardevolle goederen, het ITAA op boekhouders en accountants, het BIV op vastgoedmakelaars. Alle meldingen van verdachte verrichtingen worden bij de CFI gecentreerd ongeacht de toezichthouder. Vanaf 2027 worden de technische standaarden op Europees niveau geharmoniseerd door AMLA vanuit Frankfurt.

    Volstaat een uitstekend KYC om AML-conform te zijn in Belgie?

    Nee. Een perfect toegangsdossier zonder doorlopende transactiemonitoring, zonder detectie van verdachte verrichtingen en zonder melding aan de CFI bij vermoeden blijft een onvolledig en sanctioneerbaar AML-dispositief. De administratieve sanctie kan voor rechtspersonen oplopen tot 1 250 000 euro per inbreuk, en de persoonlijke aansprakelijkheid van bestuurders kan in het geding komen. AML is een permanente stroom, KYC is alleen de toegangshandeling.

    Klaar om te beginnen?

    Maak gratis een account aan en ontvang uw API-sleutels in enkele minuten.

    Reacties

    Reacties laden…

    Laat een reactie achter

    Niet gepubliceerd — alleen om u te verwittigen.

    Reacties worden gemodereerd voor publicatie.

    Gerelateerde artikelen