Bewaring van AML-gegevens in België: 10-jaarsduur, formaat en GDPR-articulatie
Alles over bewaring van AML-gegevens in België: wettelijke duur van 10 jaar (artikel 60), startpunt van de telling, aanvaard formaat (PDF/A getimestampt), GDPR-articulatie, gecontroleerde verwijdering en geschilgevolgen.
In het kort
Artikel 60 van de wet van 18 september 2017 verplicht alle Belgische onderworpen beroepen AML-gegevens 10 jaar te bewaren vanaf het einde van de zakelijke relatie (niet vanaf de opening van het dossier). Het aanbevolen formaat is PDF/A met TSA-tijdstempel ter garantie van de integriteit. Bewaring is een wettelijke verplichting in de zin van artikel 6.1.c GDPR, wat het weigeren van het recht op vergetelheid gedurende de volledige bewaartermijn rechtvaardigt.
De bewaarverplichting in 1 minuut
Artikel 60 van de wet van 18 september 2017 verplicht elke onderworpen beroep om gedurende 10 jaar te bewaren:
- De identificatiedocumenten van de cliënt en zijn UBO
- De interne analyses (AMLCO-nota's, risicobeoordelingen)
- De stukken van elke significante verrichting
- De door monitoring gegenereerde alerts (gemeld of niet)
- De CFI-meldingen en hun ontvangstbevestigingen
- De gemotiveerde niet-meldingen (vaak vergeten punt)
- De uitwisselingen met de cliënt over AML-aspecten
- Het register van AMLCO-beslissingen
- De gegeven opleidingen (programma, attesten, scores)
Voor de gedetailleerde inhoud van het te bewaren KYC-dossier, zie ons toegewijd artikel.
Startpunt van de telling
Hier vergissen velen zich. De 10 jaar starten op:
- Het einde van de zakelijke relatie voor KYC en globale analyses
- De datum van de laatste significante verrichting voor transactionele stukken
- De CFI-meldingsdatum voor stukken bij die melding
Voorbeeld: een cliënt aangevangen op 1 januari 2010, vertrokken op 30 juni 2026. De telling start op 30 juni 2026. U moet alles bewaren tot 30 juni 2036 — in werkelijkheid 26 jaar sinds dossier-opening.
Aanvaard formaat
De wet schrijft geen specifiek formaat voor, maar vereist:
Criterium 1 — Leesbaarheid
Het document moet gedurende de hele duur leesbaar zijn. Vermijd:
- Eigen formaten (oude DOCX, bestanden specifiek voor verouderde software)
- Magnetische dragers (diskettes, cassettes)
- Papierbewaring op thermisch papier (vervaagt)
Verkies PDF/A (norm ISO 19005), erkend voor langetermijnarchivering.
Criterium 2 — Integriteit
Geen wijziging na creatie. Bij wijziging, getraceerde historiek:
- TSA-tijdstempel (Time Stamping Authority) bij archivering
- Apart bewaarde cryptografische hash
- Gekwalificeerde elektronische eIDAS-handtekening indien handtekening vereist
Criterium 3 — Authenticiteit
U moet kunnen bewijzen dat een document destijds verzameld werd. Methode:
- Creatiemetadata (auteur, datum, bron)
- Bewaringsketen (wie heeft gemanipuleerd, wanneer)
- AMLCO elektronische handtekening voor interne stukken
Criterium 4 — Toegankelijkheid
Op verzoek autoriteiten opvraagbaar binnen 48 uur. Indien uw archivering op offsite-banden staat, wordt de termijn krap.
Aanbevolen praktijkformaat
| Type stuk | Formaat | Tijdstempel | Handtekening |
|---|---|---|---|
| ID-kopie cliënt | PDF (scan) | Ja | Nee |
| KBO-uittreksel | Ja | Nee | |
| UBO-cascade | Gegenereerd PDF | Ja | Nee |
| AMLCO-nota | Ja | eIDAS | |
| Risicobeoordeling | PDF/A | Ja | eIDAS directie |
| Domiciliëringscontract | PDF/A | Ja | gekwalificeerde eIDAS |
| CFI-melding | Kopie goAML XML + PDF | Ja | Nee (afgeschermd) |
| Beslissingsregister | Versleutelde DB + PDF-export | Ja | Nee |
Articulatie met GDPR
AML en GDPR kunnen tegenstrijdig lijken:
- AML vereist 10 jaar bewaring
- GDPR vereist bewaring beperkt tot doel
De oplossing: AML-bewaring is een wettelijke verplichting in de zin van artikel 6.1.c GDPR. Ze primeert op het recht op vergetelheid.
Te documenteren in uw register van verwerkingen GDPR:
- Wettelijke basis: artikel 6.1.c GDPR (wettelijke verplichting) + artikel 60 van de wet 18/09/2017
- Doel: AML/CFT-conformiteit
- Betrokken categorieën personen: cliënten, UBO, bestuurders, lasthebbers
- Datacategorieën: identiteit, adres, foto (ID), financiële informatie
- Ontvangers: autoriteiten (CFI, FOD Economie, NBB, FSMA), dienstverleners (RegTech, hoster)
- Duur: 10 jaar na einde relatie
- Beveiligingsmaatregelen: AES-256-versleuteling, beperkte toegang voor geautoriseerden, toegangslogboek
Beperkte cliëntrechten
De cliënt behoudt zijn GDPR-rechten maar beperkt:
- ✅ Toegang: hij kan vragen welke gegevens u over hem hebt
- ❌ Verwijdering: geweigerd zolang AML-verplichting geldt
- ❌ Beperking: geweigerd voor gegevens nuttig voor onderzoek
- ✅ Rechtzetting: mogelijk voor feitelijke fouten
- ❌ Info over CFI-melding: tipping-off-verbod
Informatienota
De cliënt moet worden geïnformeerd bij KYC:
- Van het AML-doel van de verzameling
- Van de 10-jaarsduur
- Van zijn beperkte rechten
- Van de mogelijkheid tot CFI-melding (niet-specifieke vermelding)
Formaat: geïntegreerd in het domiciliëringscontract of als bijlage.
Gecontroleerde verwijdering na termijn
Na 10 jaar is verwijdering verplicht (behalve lopende geschillen). Methode:
Bij geschil: verlengde bewaring tot oplossing + 5 jaar marge.
Wat precies bewaren
Volledige lijst per categorie:
Identificatie
- ID-kopieën (recto-verso)
- Gedateerde KBO/BCE-uittreksels
- Vennootschapsstatuten
- Vertegenwoordigingsbevoegdheden
- Gedocumenteerde UBO-cascade
- Vergelijking Belgisch UBO-register
Risicobeoordeling
- Gebruikte matrix (versie)
- Door AMLCO ondertekende risiconota per dossier
- Schriftelijke criteriajustificatie
Monitoring
- Lijst van gegenereerde alerts
- Interne analyses
- Beslissingen (al dan niet melden, motivering)
CFI
- Kopie goAML-melding (XML)
- CFI-ontvangstbevestiging
- Doorgegeven contextstukken
Doorlopend toezicht
- Logboek van jaarlijkse herzieningen
- Gemelde gebeurtenissen (UBO-, bestuurders-, sanctie-wijziging)
- Schriftelijke uitwisselingen met cliënt (beperkt tot AML-aspect)
Governance en opleiding
- Versie van de AML-policy
- AMLCO-benoemings-PV
- Opleidingsprogramma + attesten
- Jaarlijkse auditrapporten
Vaak voorkomende fouten
Hoe Company Belgium bewaring beheert
De archiveringsmodule van Company Belgium:
- Automatische PDF/A voor elk kritiek stuk
- TSA-tijdstempel op AMLCO-documenten
- AES-256-versleuteling in rust, TLS 1.3 in transit
- EU-hosting (GDPR-conform)
- Toegangslogboek per gebruiker, stuk, datum
- Automatische 10-jaarstelling vanaf einde relatie
- Gecontroleerde verwijdering na termijn met bewijs
- Geïntegreerde GDPR-articulatie: cliëntnota, verwerkingsregister
- Volledige export op verzoek autoriteiten in < 48 uur
Zie ook ons RegTech-overzicht en de Company Belgium-begeleiding.
Samenvatting
AML-databewaring rust op 3 pijlers: 10 jaar vanaf einde relatie, getimestampt PDF/A-formaat, GDPR-articulatie via artikel 6.1.c (wettelijke verplichting).
De klassieke valkuil: denken dat de telling start bij dossier-opening (terwijl ze start bij sluiting). De juiste reflex: telling automatiseren in uw RegTech-tool, elke verwijdering na termijn documenteren, en cliëntnota actueel houden.
Veelgestelde vragen
Vanaf wanneer lopen de 10 jaar voor bewaring van AML-gegevens in Belgie ?
De telling van 10 jaar start op het einde van de zakelijke relatie, niet op de opening van het dossier. Voor transactionele stukken is het de datum van de laatste significante verrichting. Voor stukken gekoppeld aan een CFI-melding is het de datum van die melding. Een relatie geopend in 2010 en gesloten in 2026 vereist bewaring tot 2036, of 26 jaar na de opening.
In welk formaat moeten AML-gegevens worden bewaard in Belgie ?
De wet schrijft geen specifiek formaat voor maar vereist leesbaarheid, integriteit, authenticiteit en toegankelijkheid gedurende de hele periode. PDF/A (norm ISO 19005) wordt aanbevolen voor langetermijnarchivering. Elk document moet worden getimestampt door een Time Stamping Authority (TSA), en belangrijke documenten (risicobeoordeling, AMLCO-beslissingen) moeten elektronisch worden ondertekend conform de eIDAS-norm.
Is er een conflict tussen AML-gegevensbewaring en GDPR ?
Nee, beide zijn verzoenbaar. AML-bewaring is een wettelijke verplichting in de zin van artikel 6.1.c GDPR, die primeert op het recht op vergetelheid van de klant. Gedurende de 10 jaar kan de onderworpene elk verwijderingsverzoek wettig weigeren. Hij moet de klant bij KYC echter informeren over de bewaarduur, het AML-doel en zijn beperkte rechten.
Wat moet er gebeuren na de 10-jarige bewaartermijn van AML-gegevens ?
Verwijdering is verplicht tenzij een geschil loopt of een autoriteit een toegangsverzoek heeft ingediend. De verwijdering moet beveiligd zijn (cryptografische wissing voor digitaal, vermalen voor papier), gedocumenteerd (wie heeft wat verwijderd, wanneer, op welke basis) en gemeld in het GDPR-verwerkingsregister. Bij een geschil wordt de bewaring verlengd tot oplossing plus 5 jaar marge.
Reacties
Gerelateerde artikelen

Notarissen: uiteindelijke begunstigden verifiëren vóór een authentieke akte
De notaris staat in de eerste lijn om witwasconstructies via vennootschappen te blokkeren. Oprichting, fusie, aandelenoverdracht, vastgoedverkoop: elke akte vereist verscherpte UBO-waakzaamheid. Hier de volledige checklist om een authentieke akte te beveiligen zonder de praktijk te verzwaren.

Terugkeer van de proefperiode in België: wat de hervorming Clarinval verandert voor kmo's vanaf dag één
Op 21 mei 2026 stemde de Kamer het herstel van een proefregime tijdens de eerste zes maanden van het arbeidscontract. Opzegtermijn beperkt tot één week, schriftelijke motivering, enkel nieuwe contracten: wat Belgische werkgevers moeten begrijpen voor de publicatie in het Staatsblad.

Bijkantoor in België en UBO-register: wat de buitenlandse vennootschap moet doen
Een buitenlandse vennootschap die een bijkantoor in België opent, is geen Belgische vennootschap: het bijkantoor heeft geen eigen rechtspersoonlijkheid. Dat verandert alles voor het UBO-register. Ontdek wie wat moet aangeven en waarom een Belgische BV-dochter een overzichtelijker kader biedt.
