De AFM heeft recent haar leidraad Wwft en Sanctiewet geactualiseerd. De oude leidraad was uit juli 2018 en sindsdien zijn de ontwikkelingen op het gebied van de bestrijding van witwassen versneld. De politieke ambities zijn groot want Nederland wil - met de Wet plan van aanpak witwassen - tot de internationale koplopers behoren en reeds daarom is het toezicht geïntensiveerd.
Ook de vijfde Europese anti-witwasrichtlijn is geïmplementeerd (met toezicht van DNB op cryptodienstverleners) en het UBO-register is een feit geworden. De AFM heeft deze ontwikkelingen aangrepen om haar leidraad te actualiseren en om bepaalde normen uit de Wwft te verduidelijken. Concrete guidance voor de markt dus. Hieronder een top 10 voor beleggingsondernemingen (en andere instellingen).
1. Risicobeoordeling
De Wwft vereist een risicobeoordeling. Dit betekent dat iedere instelling een analyse moet maken van de potentiele risico’s waarmee zij geconfronteerd kan worden op het gebied van witwassen en terrorismefinanciering. In de leidraad staat dat bij de risicobeoordeling rekening moet worden gehouden met de risicofactoren: cliënt, product, dienst, transactie- of leveringskanaalgebonden en geografische gebieden.
Er gelden twee vormvereisten. Ten eerste, de resultaten van de risicobeoordeling moeten worden vastgelegd en actueel gehouden. Ten tweede, een in algemene bewoordingen opgestelde beschrijving van de risico’s is niet (meer) voldoende. De risicobeoordeling moet ‘instellingspecifiek’ zijn. Een voorbeeld: de AFM geeft aan dat een omschrijving van het algemene potentiële risico van een PEP (‘politically exposed person’) niet volstaat. Een instelling moet tevens controleren of zij een PEP in haar cliëntbestand heeft, en zo ja, of dit een binnenlandse of buitenlandse PEP is en welke risico’s dat met zich brengt. In dit kader speelt natuurlijk ook het cliëntacceptatiebeleid een rol: of en zo ja, welke PEP’s worden als klant geaccepteerd?
2. Inrichting bedrijfsvoering
Iedere instelling moet een bestuurder aanwijzen die verantwoordelijk is voor de naleving van de Wwft. Het is dan intern, maar ook voor de toezichthouder duidelijk welke bestuurder op de naleving van de Wwft aangesproken moet worden.
De AFM verlangt aantoonbare betrokkenheid van de compliancefunctie bij het controleren van de naleving van de Wwft. Daarnaast vindt de AFM het voor de hand liggen dat toetsing en actualisering van de hiervoor bedoelde risicobeoordeling en het beleid om witwassen en financiering van terrorisme te beperken en effectief te beheersen door de compliancefunctie wordt uitgevoerd.
3. Cliëntenonderzoek
De hoofdregel dat het cliëntenonderzoek afgerond moet zijn voorafgaand aan de dienstverlening blijft uiteraard hetzelfde. Ten aanzien van cliënten die voor 25 juli 2018 zijn geaccepteerd, geldt dat een revisie moet plaatsvinden van (delen) van het cliëntenonderzoek. In essentie komt het erop neer dat bestaande cliëntendossiers op risico gebaseerde wijze worden herzien waarbij hoog risico cliëntendossiers als eerste worden herzien.
4. Identificatie van de cliënt
De discussie over het ‘kopietje paspoort’ is in die zin beslecht doordat de AFM verwijst naar de Richtsnoeren ‘identificatie en verificatie van persoonsgegevens’ van de Autoriteit Persoonsgegevens. Hierin is opgenomen dat een instelling – als bewijs van de identificatieverplichting (ook wel reconstructieplicht) – een kopie van het identiteitsdocument mag vastleggen. Het argument dat dit in strijd is met privacy regelgeving gaat dus niet op.
5. Doel en aard van de zakelijke relatie
Iedere instelling moet voorafgaand aan het aangaan van een relatie informatie inwinnen over het doel en aard van de relatie om eventuele risico’s van de dienstverlening aan de cliënt in te schatten. De AFM geeft in dat kader aan dat de afgenomen diensten of producten een indicatie kunnen zijn voor het doel en beoogde aard van de relatie.
Woont de klant buiten Nederland of is die buiten Nederland gevestigd dan moet de instelling aanvullende vragen stellen. Deze vragen moeten er in ieder geval op gericht zijn om na te gaan wat de reden is om producten of diensten in Nederland af te nemen.
6. Monitoring tijdens looptijd
Op iedere instelling rust een monitoringsplicht ten opzichte van de risicoclassificatie en de transacties van de cliënt. De AFM publiceert – in navolging van DNB – de frequentie waarmee de risicoclassificatie en daarmee de cliëntreview moet plaatsvinden. Deze review kent twee varianten: een event driven review en een periodieke review. Uitgangspunt is dat beide varianten worden gehanteerd.
Een event driven review betekent dat naar aanleiding van bepaalde triggers een review plaatsvindt. Deze triggers zullen per instelling verschillen. De AFM heeft een stramien opgesteld voor de periodieke review: hoog risico klanten tenminste één keer per jaar, gemiddeld risico tenminste één keer per twee jaar en laag risico binnen 5 jaar of op basis van een ‘event driven review’. Hoe en wanneer de beide reviews geschieden, moeten in het beleid en procedures worden vastgelegd.
7. Uitbesteding aan derden
Het uitsteden van het Wwft-cliëntenonderzoek aan derden mag. Het is dan wel zaak dat de instelling in kaart brengt waarom zij vertrouwt op het cliëntenonderzoek door deze derde. Mocht de uitbesteding een structureel karakter dragen dan is vereist dat een schriftelijke overeenkomst ten grondslag ligt aan deze dienstverlening.
8. Educatie
Instellingen moeten de opleidingsverplichtingen uit de Wwft serieus nemen. De AFM stelt daarom de volgende minimumeisen:
1. de opleiding wordt regelmatig aangeboden;
2. de opleiding is vormvrij, maar aangetoond moeten worden hoe aan de vereisten van de Wwft- opleiding wordt voldaan;
3. de inhoud, diepgang en frequentie van het aanbod wordt toegespitst op de functies en medewerkers binnen de instelling; en,
4. het aanbod, de gevolgde trainingen, de frequentie en wie de opleidingen hebben gevolgd, wordt vastgelegd.
Een algemene uiteenzetting van de verplichtingen uit de Wwft volstaat niet. Ook hier geen algemene praatjes maar een op de instelling toegespitste opleiding.
9. Naleving sanctieregelgeving
De leidraad heeft ook betrekking op de Sanctiewet. De AFM verwacht dat instellingen gebruik maken van een ‘doorlopend screeningssysteem’. Zo kunnen (potentiële) cliënten continu tegen het licht van de desbetreffende sanctielijsten gehouden worden. Het gaat dan om de Nationale sanctielijst terrorisme, de EU-sanctielijst en onder de aangepaste leidraad tegen de VN-sanctielijst.
De minimummomenten van screening zijn (i) bij aanvang van de cliëntenrelatie, (ii) bij wijzigingen van de relatie (zoals de UBO), (iii) bij wijzigingen op sanctielijsten en (iv) bij beëindiging van de relatie.
10. Identificatie van de UBO
Per 27 september zijn ondernemingen verplicht om hun eigenaren of de personen die zeggenschap hebben in het UBO-register in te schrijven.
Een instelling moet bij het aangaan van een nieuwe zakelijke relatie vaststellen of de (pseudo-)UBO van de cliënt is geregistreerd in het UBO-register. Bovendien moet de instelling zorg dragen dat het cliëntendossier een inschrijvingsbewijs van het UBO-register bevat. Dit ter aanvulling op de al op de instelling rustende verplichting om de UBO te identificeren en de identiteit van de UBO te verifiëren.
Ter afsluiting
De publicatie van deze leidraad voert de druk op instellingen verder op teneinde hun functie als ‘poortwachter’ nader in te vullen. Het is dus zaak om deze leidraad ter harte te nemen en aantoonbaar in de bedrijfsvoering te implementeren.
Casper Westerink is advocaat bij Hart Advocaten in Amsterdam, dat zich richt zich op de financiële markt. Cliënten zijn banken, verzekeraars, beleggingsinstellingen, beursfondsen, pensioenuitvoerders en trustkantoren.
Hart Advocaten is één van de kennispartners van Fondsnieuws en schrijft maandelijks een bijdrage over uiteenlopende thema’s. De andere kennispartners zijn AF Advisors, Ortec Finance en Willis Towers Watson.