RegTech-landschap in Nederland

Customer Due Diligence

Financiële dienstverleners zijn wettelijk verplicht om nieuwe klanten zorgvuldig te identificeren, om zo financiële misdaad te detecteren en te voorkomen. In Nederland is deze verplichting vastgelegd in de Wet financieel toezicht (Wft), de Wet voorkomen van witwassen en financieren van terrorisme (Wwft) en de Sanctiewet (Sw). Indien financiële instellingen hier niet aan voldoen, riskeren deze bedrijven torenhoge boetes of zelfs het verlies van hun licentie.

Identificatie en ID-verificatie is een belangrijk onderdeel van het Customer Due Diligence (CDD) en het Know-Your-Customer/Ken-uw-Klant (KYC) proces. In Nederland identificeren, screenen, analyseren en berekenen zo’n 8000 goed getrainde compliancemedewerkers dagelijks de risico’s die klanten kunnen vormen voor hun bedrijf en op basis van vastgelegde risicocriteria worden nieuwe klanten geclassificeerd en geweigerd of geaccepteerd.

De uitkomst van dit CDD/KYC-proces resulteert in veel gevallen tot klantacceptatie, het z.g. ‘onboarding’. De relatie kan echter ook worden afgewezen, op grond van de risicoscore die tijdens het z.g. ‘risk assessment’ is berekend. Er kan bijvoorbeeld sprake zijn van een hit op een nationale of internationale sanctielijst, de identiteit die de klant opgeeft kan niet worden geverifieerd en bevestigd of er is sprake van een verdacht transactiepatroon. Het versturen of ontvangen van hoge bedragen uit als hoogrisico gecategoriseerde landen is ook van invloed op het risicoprofiel. Er kan sprake zijn van een relatie met criminelen of met bedrijven die op een PEP-, OFAC- of op andere sanctielijsten staan.

Handmatige identificatie, screening en een zorgvuldige risico-inschatting kan dagen of zelfs weken in beslag kan nemen. Dit brengt veel personeelskosten met zich mee. Vooral nu wet- en regelgeving verandert op nationaal, maar ook op EU-niveau, voelen veel bedrijven zich gedwongen steeds meer compliance-analisten aan te nemen. Handmatige risicoprofilering is niet altijd even efficiënt en leidt tot extreem veel zogenaamde vals-positieve resultaten, foutieve inschattingen of alerts die ertoe leiden dat een klant wordt geweigerd op basis van valse verdenkingen. Een negatieve uitkomst moet zorgvuldig worden geanalyseerd en heronderzocht en ook dit kost weer veel tijd.

Dankzij innovatieve technologieën kunnen deze procedures enorm worden versneld en geoptimaliseerd. Data-analyse, aangestuurd door kunstmatige intelligentie (AI) en machine learning (ML) verifieert de identiteit van nieuwe klanten of business relaties pijlsnel. De risicoscore wordt berekend op basis van vooraf configureerbare parameters, waardoor vals-positieven tot een minimum kunnen worden beperkt.

Behalve dat de druk op compliance-afdelingen enorm afneemt, kan de financiële instelling zich weer richten op haar kerntaak; financiële diensten verlenen op een zo klantvriendelijk mogelijke wijze. Het versnellen van een efficiënt klant-acceptatieproces versterkt de concurrentiepositie van de dienstverlener in een digitale eeuw.

Risk Management

Skimming, Phishing, ID-roof en steeds vernuftigere vormen van interne en externe fraude bedreigen de reputatie en de financiële stabiliteit van financiële dienstverleners.

Risk Management afdelingen moeten risico’s identificeren, afwegen, voorkomen en personeel moet worden getraind in het herkennen van verdachte activiteiten. Het bestuur heeft de taak om processen aan te sturen die risico’s tot een minimum beperken d.m.v. een proactieve risk management strategie.

Over welke vormen van risico spreken we?

• financiële risico’s;


• reputatieschade;


• witwassen;


• fraude;


• non-compliance;


• cyberaanvallen;


• chargebacks;


• andere vormen van risico’s.

Banken, verzekeringsmaatschappijen en hypotheekverstrekkers waren de eerste financiële dienstverleners die zich gedwongen zagen te investeren in risicobeheer en verrijkten hun Risk Management afdelingen met ervaren rechercheurs en analisten om fraude vroegtijdig te detecteren en te voorkomen. Naarmate het geldverkeer digitaliseerde, zagen ook bedrijven die zich richten op het online verwerken van betalingen (Payment Service Providers, Merchant Acquirers) zich gedwongen om te investeren in compliance en risk management om zo financiële schade en reputatieverlies – of het verliezen van licenties – te voorkomen.

Risk Management steunt op verschillende pilaren: risico’s moeten worden geïdentificeerd, gewogen, beheerd, gemonitord en gerapporteerd. Dit gebeurt o.a. door het analyseren, scoren en monitoren van risico’s.

Regtech biedt bedrijven een veelheid aan innovatieve Cloud-gebaseerde oplossingen die, op basis van blockchain en verrijkt met kunstmatige intelligentie (AI) en machine learning, financiële misdaad tijdig detecteren en helpen voorkomen. Geautomatiseerde data-analyse herkent ongebruikelijke (verdachte) patronen en relaties die handmatig onmogelijk boven water komen. Regtech-oplossingen die risicobeheer kunnen ondersteunen:

• Biometrics wordt steeds vaker ingezet om fraude te voorkomen. Persoons-unieke eigenschappen, zoals een vingerafdruk, een stem of een iris kunnen niet zo gemakkelijk worden gekopieerd voor ID-roof als creditkaartgegevens.


• Link analysis brengt verborgen relaties tussen personen, adressen, telefoonnummers, bankrekeningen en bedrijven in kaart, hetgeen helpt bij het detecteren van bijvoorbeeld verzekeringsfraude of fraude door een interne medewerker en een externe partner-in-crime.


• Device fingerprinting en IP-lokalisatie brengen discrepanties aan het licht tussen de data die een klant opgeeft en zijn/haar werkelijke locatie aan de hand van het device dat de persoon gebruikt. Computers, mobiele telefoons en portables (iPads, etc.) laten een spoor van unieke kenmerken achter. Zo kan Regtech voorkomen dat een klant via e-commerce grote inkopen doet vanaf een locatie die niet overeenkomt met de (valse) gegevens die hij opgeeft.


• Gebruikersvriendelijke rapportagetools die volledig geïntegreerd zijn met de data-analytische oplossingen zorgen ervoor dat de resultaten van het risico assessment direct zichtbaar worden in intuïtieve tabellen, grafieken en modellen, die kunnen worden doorgestuurd naar toezichthouders. Analytische rapportagetools stellen management in de gelegenheid processen tijdig aan te passen om risico’s proactief te beheren.

Transaction Monitoring

Risk Monitoring is een doorlopende fase aan het einde van een risk management proces.

Nadat de risico’s geïdentificeerd, berekend, afgewogen en zorgvuldig geclassificeerd zijn en de klant is geaccepteerd, zullen de financiële geldstromen van klanten worden bijgehouden op basis van risicoprofielen om financiële schade en reputatieschade te voorkomen. Er volgen periodieke controles en evaluaties, als onderdeel van het risicobeheerproces. Dit wordt ook wel Enhanced Due Diligence (EDD) genoemd.

De frequentie van deze periodieke controles hangt af van het (laag, medium, hoog) risicoprofiel van de klant of van het bedrijf waar het bedrijf een relatie mee is aangegaan. Een uitgebreide risicoberekening resulteert in een risicoscore op basis waarvan een risicoprofiel is aangemaakt, afhankelijk van het zogenaamde ‘risk appetite’ van de financiële dienstverlener. Wat voor het ene bedrijf een hoog risico vormt met grote gevolgen, kan een ander bedrijf namelijk classificeren als een medium risico.

De criteria verschillen per financiële instelling en zijn mede afhankelijk van de lokale compliancewetgeving, die per land verschilt. Zelf in de EU, waar de lidstaten zich moeten houden aan door Brussel opgelegde richtlijnen, mogen de landen deze richtlijnen toepassen naar gelang hun nationale regelgeving. Hierdoor is er binnen de EU ook sprake van subtiele verschillen in de interpretatie van EU-richtlijnen, zoals bijvoorbeeld de 5th EU AML Directive ter voorkoming van witwassen en terreurfinanciering. Ondanks de verschillen in interpretatie heeft Risk Monitoring eenzelfde doel:

• Ervoor zorgen dat de controles effectief en efficiënt zijn;


• Nieuwe potentiële risico-indicatoren identificeren;


• Op basis van veranderde wetgeving, fraude- en witwastrends, etc. de beschikbare data opnieuw analyseren;


• Detecteren van contextuele veranderingen, waardoor het (laag, medium, hoog) risicoprofiel moet worden aangepast;


• Nieuwe risico’s identificeren en afwegen;


• Impact van potentiele risico’s evalueren;


• Risicostrategie aanpassen en optimaliseren a.d.h.v. de opgedane kennis.

Een verhoogd risicoprofiel vereist meer periodieke controles dan een laagrisicoprofiel. De resultaten moeten worden vastgelegd en, waar nodig, extern en intern worden gerapporteerd.

Dit tijdrovende proces wordt nog te vaak handmatig uitgevoerd en dit kost financiële instellingen erg veel tijd en personeel. Nederland telt ongeveer 8000 compliancemedewerkers die zich fulltime bezig houden met complianceprocedures. Dit is twee keer de hoeveelheid wijkagenten in Nederland.

Regtech biedt een veelvoud aan oplossingen om Risk Monitoring en Enhanced Due Diligence (EDD) accurater en efficiënter te laten verlopen. Dit scheelt overhead en bespaart een financiële instelling op de lange termijn veel kost en risico’s.

Regulatory Reporting

Onderzoekers en analisten op Compliance en Risk Management afdelingen van banken, hypotheekverstrekkers, verzekeringsmaatschappijen, betalingsverwerkers en accountancy-kantoren moeten behalve onderzoek doen naar ongebruikelijke activiteiten, ook rapportages bijhouden. Daarin worden de resultaten van hun onderzoeken en analyses verwerkt en gedeeld met beslissingsnemers binnen hun bedrijf, met interne en externe auditors, plaatselijke autoriteiten en financiële toezichthouders.

Relevante data moet op correcte wijze worden verwerkt. Hiervoor is het opslaan en archiveren van schone en kwalitatief hoogwaardige data cruciaal. Wie toegang heeft tot welke data is juridisch vastgelegd en moet zorgvuldig worden geclassificeerd. Het uitlezen en uitwerken van geanalyseerde documentbestanden kost erg veel tijd en personeel.

Data moet worden verzameld, correct worden geïnterpreteerd en getransformeerd in heldere statistieken, grafieken en tabellen. Dit vereist een goede integratie en samenwerking tussen een DMS- en een rapportageoplossing.

Grote financiële instellingen hebben gedurende decennia miljoenen papieren en digitale documenten opgeslagen. Vaak zijn deze documenten slecht leesbaar, op verschillende locaties gearchiveerd en betreft het incorrecte, onvolledige, oude data en bestaat deze data uit elementen die volgens de huidige privacy wetgeving niet voor iedere medewerker toegankelijk mogen zijn. Digitalisering is een eerste stap, maar er komt veel meer kijken bij efficiënt en accuraat DMS. Data moet goed doorzoekbaar zijn.

Met behulp van de nieuwste technologieën kan veel tijd worden bespaard. Relevante data wordt automatisch gescreend d.m.v. data mining en data-analyse en verwerkt in overzichtelijke grafieken. Rapportagetools kunnen worden geconfigureerd naar de wensen van het bedrijf en haar compliance-afdeling.

Als de data correct is opgeslagen, in compliance met de laatste privacyregelgeving en goed doorzoekbaar is, kunnen door AI en ML aangestuurde Regtech-oplossingen de documentbronnen accuraat analyseren. Ongebruikelijke of opvallende, relevante patronen die aan de aandacht van een handmatig onderzoek ontsnappen, worden dankzij kunstmatige intelligentie ontdekt en verwerkt in handige, intuïtieve rapportagetools. Rapporten kunnen worden geëxporteerd als Word Doc, PDF, XBRL of iXBRL en in elk ander formaat dat gebruikt wordt door autoriteiten en toezichthouders.

Regtech aangestuurde rapportagetools maken het werk van compliance officers veel gemakkelijker en biedt een enorme uitkomst voor financiële dienstverleners die zich geen zorgen willen maken over non-compliance.