De Europese anti witwasautoriteit AMLA zet een nieuwe stap richting datagedreven toezicht: de verplichte testuitvraag voor het AMLA risicomodel is gestart. Dat klinkt technisch, maar voor Nederlandse banken, asset managers en fintechs onder AFM toezicht is dit vooral een praktische opdracht met directe consequenties. U moet data aanleveren, intern governance inregelen en aantoonbaar kunnen uitleggen hoe uw organisatie witwas en terrorismefinancieringsrisico’s beheerst. Wie te laat, onvolledig of inconsistent aanlevert, loopt niet alleen reputatierisico, maar ook een grotere kans op intensiever toezicht en hogere compliance kosten.
Waarom AMLA dit doet en waarom dit anders is
AMLA ontwikkelt een risicomodel dat op basis van gestandaardiseerde data risicoprofielen van financiële ondernemingen kan vergelijken en prioriteren. Het doel is dat risico’s op witwassen en terrorismefinanciering sneller en consistenter zichtbaar worden, ook grensoverschrijdend. Voor u betekent dit dat “local judgement” minder ruimte krijgt: data en definities worden leidend, en afwijkingen vallen eerder op.
De AFM meldt dat ook ondernemingen onder haar toezicht deelnemen en dat invulling verplicht is. De testuitvraag is daarmee geen vrijblijvende pilot, maar een oefening die u moet behandelen als toezichtrapportage: volledig, reproduceerbaar en controleerbaar.
Welke Nederlandse ondernemingen raken dit concreet?
Het raakt vooral financiële ondernemingen die onder AFM toezicht vallen en een poortwachtersrol hebben of klantstromen faciliteren. Denk aan:
- Beleggingsondernemingen en vermogensbeheerders met onboarding en transactierelaties.
- Fintechs met betaaldiensten, crypto gerelateerde dienstverlening of platformmodellen met veel klantvolume.
- Fondsen en beheerders waar distributieketens, tussenpersonen en UBO transparantie een rol spelen.
Ook als u processen heeft uitbesteed, bijvoorbeeld screening of transactie monitoring, blijft u verantwoordelijk voor de datakwaliteit en tijdigheid richting toezichthouders.
Wat moet u aanleveren: denk in datapakketten
De AFM wijst erop dat AMLA met data risico’s “naar boven” wil halen. In de praktijk gaat het bij dit type risicomodellen doorgaans om een combinatie van volume, kwaliteit en uitkomsten van uw AML CFT keten. Verwacht dat u data moet kunnen opleveren in de volgende categorieën:
1) Klant en productrisico
- Segmentatie van klanttypen, inclusief hoog risico categorieën.
- Geografische blootstelling, bijvoorbeeld klanten en tegenpartijen met herkomst of activiteiten in hogere risicolanden.
- Product en kanaalgegevens, zoals online onboarding, gebruik van tussenpersonen en complexiteit van structuren.
2) Proces en controleresultaten
- Uitkomsten van customer due diligence, zoals aantallen versterkte onderzoeken en periodieke reviews.
- Transactie monitoring indicatoren, bijvoorbeeld alerts, afhandelingstijden en escalaties.
- Meldingen en opvolging, waaronder aantallen ongebruikelijke transacties en interne beslissingen.
3) Governance en incidenten
- Capaciteit en bezetting binnen compliance en financial crime teams.
- Training, beleid en exceptions, inclusief backlogs en herstelacties.
- Relevante incidenten, bevindingen en auditresultaten die duiden op beheersingsniveau.
Cruciaal is dat definities consistent zijn. Als u bijvoorbeeld “hoog risico” anders classificeert dan eerder, moet u dat kunnen onderbouwen en herleidbaar vastleggen.
Deadlines: behandel dit als een toezichtrapportageproject
De AFM publicatie maakt duidelijk dat de uitvraag is gestart en dat deelname verplicht is. De exacte aanleverdata en technische specificaties volgen doorgaans via de uitvraagdocumentatie en instructies. Uw praktische aanpak: ga ervan uit dat u korte doorlooptijd heeft en richt een projectstructuur in alsof het een kwartaalrapportage is, met dagelijkse voortgang op dataverzameling, validatie en management sign off.
Wie wacht tot de laatste week, loopt tegen bekende knelpunten aan: data verspreid over systemen, definities die niet aansluiten, en beperkte capaciteit bij IT en compliance.
Governance die u nú moet neerzetten
Een goede response staat of valt met eigenaarschap. Wij zien in de markt dat toezichthouders scherp zijn op “wie tekent waarvoor” en op datakwaliteit. Minimaal nodig:
- Een accountable owner op directieniveau die prioriteit en middelen borgt.
- Een data owner per datapakket, met duidelijke definities en lineage naar bronsystemen.
- Een onafhankelijke kwaliteitscheck, bijvoorbeeld door risk of internal audit, vóór verzending.
- Documentatie: aannames, mappingtabellen, correcties en reconciliaties vastleggen.
Risico’s bij non compliance: meer dan een tik op de vingers
Onvolledige of inconsistente aanlevering kan leiden tot vervolgvragen, heraanlevering en een zwaarder toezichtbeeld. De risico’s die u moet meewegen:
- Toenemende toezichtintensiteit: meer dataverzoeken, diepere dossierreviews en thematische onderzoeken.
- Operationele druk: extra werk, herprioritering van change budgetten en mogelijke verstoring van reguliere projecten.
- Reputatierisico: bij signalen van onvoldoende beheersing kan dit doorwerken in relaties met partners en investeerders.
Voor beursgenoteerde partijen en snelgroeiende fintechs kan dit indirect ook de waardering raken, omdat compliance volwassenheid een factor is in risico inschatting.
Wat dit doet met kosten en processen in 2026
De testuitvraag versnelt een trend die al liep: AML CFT wordt meetbaar en vergelijkbaar. Dat betekent dat u investeringen naar voren haalt in data governance, reporting automation en eenduidige taxonomieën. Op korte termijn stijgen kosten door projectteams, datacleansing en tooling. Op middellange termijn kan het ook efficiënter worden, mits u de rapportage structureel inricht en niet ad hoc blijft repareren.
Wie dit slim aanpakt, gebruikt de testuitvraag als stresstest: waar zitten datagaten, welke KPI’s zijn onvoldoende hard, en waar is de lijnverantwoordelijkheid te diffuus?
Meer achtergrond en de actuele stand van zaken vindt u bij de Autoriteit Financiële Markten.
