Het landschap van compliance onderzoeken: Integriteitsonderzoek

Integriteitsonderzoeken vormen een groot deel van de compliance onderzoeken. Ze gaan niet alleen over financiële fraude, maar bestrijken een breed spectrum aan kwesties: belangenverstrengeling, misbruik van positie, nevenactiviteiten en schendingen van gedragscodes. Waar een fraudeonderzoek vaak draait om harde cijfers en financiële sporen, zijn integriteitskwesties vaak subtieler. Het gaat om menselijke relaties, motieven en grijze gebieden waar regels en ethiek elkaar raken.  

Integriteit is de basis van vertrouwen in organisaties. Toch blijven integriteitsrisico’s soms onopgemerkt, met verstrekkende gevolgen voor reputatie, compliance en bedrijfscontinuïteit. In dit derde artikel van onze reeks staat niet de techniek van het onderzoek centraal, maar wat integriteitsonderzoek in de praktijk betekent: welke thema’s komen terug en welke patronen vallen op in recente casuïstiek. We bespreken niet alleen de bekende integriteitsrisico’s, maar ook de minder voor de hand liggende dreigingen.  

We kijken eerst kort naar de trends die integriteitsonderzoeken in 2025 vorm hebben gegeven. Ook duiden we even kort de verschillen met een fraudeonderzoek, besproken in het vorige artikel. Vervolgens duiken we in de praktijk: welke casussen komen terug, en hoe herkent u de signalen? We geven daarbij ook inzicht in een aantal onderbelichte indicatoren. 

Trends in integriteitsonderzoeken 

Integriteitskwesties verschuiven van louter corruptie en fraude naar bredere domeinen zoals botsing van belangen, reputatieschade en morele spanningen. Recente ontwikkelingen laten zien dat: 

  • Belangenverstrengeling en schijn daarvan steeds vaker worden gemeld, vaak rond nevenfuncties, aanbestedingen of besluitvorming waar persoonlijke relaties een rol spelen. 
  • Gedragscodes voor bestuurders, commissarissen en politieke ambtsdragers worden aangescherpt, met nadruk op transparantie over nevenbelangen en afkoelingsperiodes. 
  • Toezichthouders zoals de AFM en DNB-eisen betrouwbaarheidstoetsen voor bestuurders en commissarissen, met expliciete aandacht voor integriteitsantecedenten. 

Deze trends maken integriteitsonderzoeken actueler dan ooit, omdat ze niet alleen reactief zijn, maar ook preventief bijdragen aan goed bestuur en integere cultuur. Verderop in de casus zien we één van de trends ook terugkomen. 

Wat integriteitsonderzoek anders maakt dan fraudeonderzoek 

Ten opzichte van het forensische fraudeonderzoek uit ons tweede artikel zijn er een paar belangrijke verschillen: 

  • Meer normatieve discussie: Waar fraudeonderzoek vaak uitkomt op de vraag “is er financieel nadeel en wie is verantwoordelijk?”, draait integriteit veel vaker om normduiding: wat mocht van iemand verwacht worden, welke gedragsnormen golden, en hoe zwaar worden schijn en reputatierisico meegewogen? 
  • Minder harde cijfers, meer context: In integriteitscasussen spelen relaties, cultuur en machtsverhoudingen een grotere rol. Eén e-mail of declaratie vertelt zelden het hele verhaal; pas in combinatie met verklaringen, gedragspatronen en beleid ontstaat een beeld. 
  • Grotere gevoeligheid voor privacy en reputatie: Onderzoeken gaan vaak over individuele personen in zichtbare functies. Dat maakt zorgvuldigheid in omgang met persoonsgegevens, communicatie en hoor en wederhoor extra belangrijk. 

Juist die mix maakt integriteitsonderzoek voor bestuurders, HR en compliance spannend én waardevol: het dwingt organisaties concreet te worden over hun waarden. 

Integriteitsonderzoek: als gedrag onder het vergrootglas ligt

Waar fraudeonderzoek dus regelmatig draait om vervalste documenten, financiële benadeling en mogelijke strafrechtelijke elementen, beweegt een integriteitsonderzoek zich vaker in het grijze gebied. Het gaat om vragen als: welke belangen spelen hier mee, welke normen gelden, en wat mag je van een professional of leidinggevende verwachten? In de praktijk nemen meldingen over mogelijke belangenverstrengeling, nevenactiviteiten, omgangsvormen en schending van gedragscodes al jaren toe, zowel in publieke als private organisaties.​ Om het iets tastbaarder te maken volgt wat casuïstiek. 

“Jij wilt toch ook geen lastige werksfeer” 

Een groot familiebedrijf in de logistieke sector staat bekend om zijn betrouwbaarheid en klantgerichtheid. De rust wordt verstoord als er een anonieme melding binnenkomt bij de compliance-officer. Een medewerker van de inkoopafdeling zou regelmatig kostbare cadeaus accepteren van een leverancier – van dure diners tot tickets voor exclusieve evenementen. Op zichzelf misschien onschuldig, ware het niet dat deze medewerker verantwoordelijk is voor het toewijzen van transportcontracten. Bij nader onderzoek komt aan het licht dat hij ook een nevenfunctie heeft bij een startup die actief is in dezelfde markt. De startup blijkt gebruik te maken van concurrentiegevoelige data, die mogelijk via informele gesprekken met de medewerker zijn verkregen. 

Maar dat is niet alles. Uit diepgaander onderzoek blijkt dat de medewerker niet alleen cadeaus aannam, maar ook subtiel druk uitoefende op collega’s om “realistisch” om te gaan met de prestatiecijfers. Kleine aanpassingen in de rapportages, net genoeg om de bonustargets te halen. Collega’s hadden wel signalen opgemerkt, maar zwegen – “het was niet hun afdeling” en “je wilt ook geen lastige werksfeer creëren”. Wat begon als een eenvoudige melding over cadeaus, onthult al snel een web van belangenverstrengeling, een cultuur van wegkijken, en subtiele data-manipulatie om prestatiebonussen te rechtvaardigen. 

Deze casus is geen uitzondering. Het illustreert precies de trends die we eerder noemden en illustreert hoe integriteitsrisico’s zich vaak niet als dusdanig manifesteren, maar sluipenderwijs groeien in de dagelijkse routine van organisaties. Het toont ook aan hoe verschillende risico’s – belangenverstrengeling, nevenactiviteiten, groepsdruk en datafraude – met elkaar verweven kunnen zijn. 

In een onderzoek naar een dergelijke situatie wordt gekeken naar besluitvorming rond de aanbestedingen, documentatie over offertes en gunningsbesluiten, e-mail- of agendacontacten en publiek beschikbare informatie over nevenfuncties. Deze verschillende bronnen worden naast elkaar gelegd om drie kernvragen te beantwoorden: 

  1. Waren er persoonlijke of zakelijke belangen die een rol hadden kunnen spelen?
  2. Waren die belangen gemeld of transparant gemaakt, bijvoorbeeld via een nevenfunctieregister of integriteitsverklaring?
  3. Is er aantoonbaar anders besloten dan redelijkerwijs verwacht mocht worden, gegeven prijs, kwaliteit en beleid? 

Uitkomsten zijn zelden zwart-wit. Soms blijkt dat de formele regels niet zijn overtreden, maar dat er wel een schijn van belangenverstrengeling is ontstaan die vraagt om duidelijke afspraken of aanpassing van rollen. In andere gevallen komt naar voren dat beleid bewust is omzeild of informatie is achtergehouden, en is de normschending duidelijker. 

Indicatoren uit de praktijk 

Naast bovenstaande casus komen in integriteitsonderzoeken steeds weer andere typen kwesties terug. Enkele van de bekende boosdoeners: 

  • De cultuur van ‘niet vragen, niet vertellen’Misschien wel het meest schadelijke risico is de cultuur waarin medewerkers liever wegkijken dan vragen stellen. Vaak durven veel medewerkers nog steeds niet te spreken uit angst voor repercussies of omdat ze niet willen ‘zeuren’. Een typisch voorbeeld: een medewerker die signalen van fraude opmerkt, maar zwijgt omdat “het niet zijn afdeling is.” 
  • Datafraude: De stille saboteur: In de jacht naar targets en bonussen kan de verleiding groot zijn om cijfers net iets mooier voor te stellen dan ze zijn. Bij een financiële instelling in Rotterdam bleek een teamleider maandenlang klanttevredenheidscijfers te hebben bijgesteld. “Iedereen doet het,” was zijn verdediging. Maar de gevolgen waren te merken: het vertrouwen van klanten en toezichthouders was gekelderd, en de organisatie moest een dure hersteloperatie uitvoeren. Met de opkomst van AI-tools die data-analyses uitvoeren, wordt dit risico alleen maar groter. Wie controleert de controller? 
  • Omgangsvormen en machtsverhoudingen: Meldingen over grensoverschrijdend gedrag, ongepaste opmerkingen of druk vanuit leidinggevenden vallen formeel ook onder integriteit. Hier ontbreekt vaak een financiële component; het draait om sociale veiligheid, machtsgebruik en de vraag of gedrag past binnen de gedragscode en professionele normen. Onderzoek richt zich dan vooral op patronen: is dit incidenteel, of al jaren bekend? 
  • Omgang met vertrouwelijke informatie: Een oud-medewerker wordt ervan beschuldigd vertrouwelijke documenten te hebben meegenomen naar een nieuwe werkgever. De vraag is of geheimhoudingsafspraken zijn geschonden, of bestanden ongeoorloofd zijn gekopieerd en of gevoelige informatie ergens is opgedoken waar dat niet hoort. Ook hier kruisen juridische, technische en gedragsmatige vragen elkaar. 

Deze voorbeelden laten zien dat integriteitsonderzoek niet alleen maar over “regels” gaat. Het gaat over vertrouwen, voorbeeldgedrag en de geloofwaardigheid van afspraken over integriteit. Naast deze meer algemeen bekende integriteitskwesties willen we een aantal onderschatte kwesties benoemen. 

De onderschatte risico’s: Wat u niet ziet, maar wel tegenaan kunt lopen 

Een aantal minder bekende risico’s maar ons inziens wel degelijk noemenswaardig: 

  • Loyaliteitsconflicten: Het is een groeiend fenomeen: medewerkers die naast hun baan een eigen bedrijfje starten, advieswerk doen, of zelfs een bijbaan hebben bij een concurrent. Op zichzelf niet verkeerd, maar wel riskant als er sprake is van vertrouwelijke informatie of belangenconflicten. Denk aan de IT-medewerker die in zijn vrije tijd een app ontwikkelt met data uit zijn hoofdbaan, of de inkoper die ‘toevallig’ ook voor een concurrent werkt. Organisaties monitoren dit vaak onvoldoende, terwijl de gevolgen groot kunnen zijn: van datalekken tot juridische claims. 
  • Groepsdruk en ‘groupthink’: Beslissingen worden (doorgaans) in teams genomen, maar wat als kritische stemmen worden genegeerd? Bij een tech-startup in Amsterdam leidde de druk om snel te groeien ertoe dat ethische bezwaren tegen een nieuwe dataverkoopstrategie werden genegeerd. Het resultaat: een schending van de AVG en een boete van de Autoriteit Persoonsgegevens. Groepsdruk kan leiden tot tunnelvisie, waarbij alternatieven en risico’s niet meer worden overwogen. Een simpele, maar effectieve oplossing? Benoem tijdens vergaderingen bewust een ‘devil’s advocate’ die kritische vragen stelt. 
  • Greenwashing: De valkuil van maatschappelijke claims: Duurzaamheid en maatschappelijke verantwoordelijkheid zijn hot. Maar wat als de werkelijkheid achterblijft bij de beloftes? Een kledingmerk dat claimt ‘100% circulair’ te zijn, maar bij nader inzien slechts 10% gerecycled materiaal gebruikt, loopt niet alleen reputatieschade op, maar ook het risico op juridische stappen. Externe verificatie van duurzaamheidsrapportages is geen overbodige luxe meer, maar een noodzaak. 

Deze voorbeelden laten zien dat integriteitsrisico’s niet altijd zichtbaar zijn, maar wel degelijk impact hebben. Ze ontstaan vaak in grijze gebieden, waar regels en ethiek elkaar raken. Het gevaar is dat organisaties zich richten op de bekende risico’s, terwijl de echte dreigingen zich juist afspelen in de dagelijkse praktijk – in informele afspraken, onuitgesproken verwachtingen en goedbedoelde maar ondoordachte beslissingen.  

Het goede nieuws? Door bewust stil te staan bij deze onderschatte risico’s, en door een cultuur te creëren waarin medewerkers zich veilig voelen om vragen te stellen, kunt u veel problemen voorkomen. Een open dialoog, regelmatige risico-inventarisaties en duidelijke afspraken over nevenactiviteiten, besluitvorming en communicatie zijn essentieel. Want integriteit is geen kwestie van geluk, maar van alertheid en actie. Hoe eerder u deze risico’s herkent, hoe beter u ze kunt beheersen – voordat ze escaleren. 

Steeds meer aandacht voor Integriteit 

In recente rapporten en governance codes die in ons werk voorbijkomen valt op dat integriteit steeds vaker gekoppeld wordt aan concrete normen, toetsingen en handreikingen. Voorbeelden zijn: 

  • Aangescherpte gedragscodes voor bestuurders en commissarissen, met nadruk op transparante nevenfuncties en belangenregistratie; 
  • Lokale en sectorale gedragscodes (bijvoorbeeld voor gemeenten, onderwijs, woningcorporaties) waarin expliciet is vastgelegd hoe wordt omgegaan met geschenken, nevenfuncties en besluitvorming bij twijfelgevallen; 
  • Handreikingen voor veilige meldprocedures (klokkenluiders) en onafhankelijke afhandeling, juist om te zorgen dat melders zich beschermd weten en onderzoek niet “in de lijn” blijft hangen. 

Integriteitsonderzoek sluit daar direct op aan: het is het instrument waarmee wordt nagegaan of deze normen in de praktijk ook echt worden geleefd. 

Uitnodiging tot consultatie 

We kunnen ons voorstellen dat u na het lezen van dit artikel vragen heeft en graag van gedachte wilt wisselen over bepaalde onderwerpen. Of dat u met een concrete casus zit waarover u van gedachte wilt wisselen. We nodigen u uit om vrijblijvend contact met ons op te nemen om kennis te maken met u (en/of uw casus). Onze contactgegevens vindt u op onze website. 

Vooruitblik naar het vierde artikel 

De risico’s die we bespraken – van loyaliteitsconflicten tot groepsdruk – blijven vaak verborgen tot iemand de moed heeft om ze te melden. In het vierde artikel van onze reeks duiken we daarom dieper in klokkenluidersonderzoeken: hoe ga je om met meldingen van binnenuit (of buitenaf)? Hoe zorg je dat medewerkers wél spreken? En hoe vertaal je een melding en de resultaten van het onderzoek naar échte verandering? 

Kom in contact

Dennis van der Meer | +31618948848 | dennis.van.der.meer@compliancechamps.com

Boy Custers | +31649935735 | boy.custers@compliancechamps.com

 

Lees hier meer artikelen.

Het tegengaan van fragmentatie en het stimuleren van harmonisatie door EU-toezicht op crypto-assetdiensten

Crypto-assetactiviteiten zijn de afgelopen jaren snel gegroeid binnen de Europese Unie (EU). Deze groei heeft geleid tot een toename van het risico op witwassen en terrorismefinanciering (ML/TF), met name in situaties waarin het regelgevend toezicht gefragmenteerd of onvolledig was. De Europese Bankautoriteit (EBA) publiceerde in het najaar van 2025 een rapport waarin werd toegelicht hoe bepaalde crypto-assetbedrijven kwetsbaarheden hebben gecreëerd en hoe de Markets in Crypto-Assets Regulation (MiCA) en het Europees anti-witwaskader (AMLR en AMLD6) beogen het toezicht te verbeteren¹. Dit artikel biedt een beknopt overzicht van de belangrijkste bevindingen uit dit rapport. 

Toezichthouders constateerden dat sommige cryptobedrijven zonder vergunning opereerden, tussen EU-lidstaten verhuisden om toezicht te ontwijken, of misbruik maakten van wettelijke vrijstellingen. Veel van deze ondernemingen beschikten over zwakke systemen voor klantenonderzoek, het detecteren van verdachte transacties of het naleven van sanctieregimes. Daarnaast maakten sommige partijen gebruik van complexe eigendomsstructuren of samenwerkingsverbanden met partnerbedrijven om actief te blijven, ondanks eerdere toezichtsmaatregelen. Dit gedrag beperkte het vermogen van autoriteiten om risico’s effectief te beheersen en creëerde ruimte voor witwassen en terrorismefinanciering. 

MiCA en de nieuwe EU-anti-witwasregelgeving introduceren strengere waarborgen om deze problemen aan te pakken. Alle aanbieders van crypto-assetdiensten (Crypto-Asset Service Providers, CASPs) moeten voortaan één EU-brede vergunning aanvragen op basis van geharmoniseerde regels. Hiermee worden verschillen tussen lidstaten weggenomen en wordt voorkomen dat ondernemingen zich vestigen in jurisdicties met minder streng toezicht. Dienstverleners moeten aantonen dat zij beschikken over een transparante eigendomsstructuur, een solide interne governance en betrouwbare systemen voor klanten- en transactiemonitoring voordat zij hun activiteiten mogen starten. De AML-verordening en AMLD6 versterken daarnaast de samenwerking tussen nationale toezichthouders, vergroten de transparantie over uiteindelijk belanghebbenden en vereisen meer consistente risicobeoordelingen. De toekomstige Europese Anti-Witwasautoriteit (AMLA) zal bovendien direct toezicht houden op high-risk bedrijven, wat een extra dimensie aan toezicht toevoegt. 

Deze maatregelen dragen bij aan een veiliger en transparanter kader voor crypto-activiteiten binnen de EU. De belangrijkste les uit recente casussen is dat sterk, gecoördineerd toezicht en consistente regels in alle lidstaten noodzakelijk zijn om financiële-criminaliteitsrisico’s te beperken. Duidelijke standaarden, tijdige informatie-uitwisseling en strikte handhaving geven toezichthouders de middelen om problemen vroegtijdig te signaleren en ervoor te zorgen dat alleen integere en verantwoordelijke ondernemingen toegang krijgen tot actief worden en/of blijven binnen de Europese markt. De EBA formuleert negen aandachtsgebieden die moeten worden ingericht om het vergunningsproces daadwerkelijk als ‘poortwachter’ te laten functioneren, om mazen in de regelgeving te dichten en om sterke samenwerkingsmechanismen binnen de EU op te bouwen. 

Hoewel een deel van de taken van de EBA tegen het einde van 2025 zal worden overgedragen aan AMLA, zal de EBA onder haar MiCA-mandaat blijven bijdragen aan het bevorderen van toezichtconvergentie en het vroegtijdig signaleren van risico’s. 

 

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

Het landschap van compliance onderzoeken: fraudeonderzoek anno nu

Wat verstaan we onder forensisch fraudeonderzoek?

Als we het hebben over fraudeonderzoek, spreken we ook wel van forensisch onderzoek. Forensisch onderzoek in de private sector richt zich op het onafhankelijk en diepgaand analyseren van financiële, administratieve en digitale gegevens. Het doel is het vaststellen van mogelijke fraude, misstanden of onregelmatigheden binnen organisaties. Dit type onderzoek combineert boekhoudkundige en financiële expertise met onderzoeksvaardigheden. Zo kunnen onderzoekers feiten reconstrueren, patronen herkennen en oorzaken en gevolgen inzichtelijk maken. De uitkomsten dienen niet alleen om fraude aan te tonen of uit te sluiten, maar ook om organisaties te ondersteunen bij besluitvorming, interne beheersing en eventuele civielrechtelijke procedures.

Nieuwe realiteit en risico’s voor organisaties

Fraude vormt nog altijd een reëel en groeiend risico voor organisaties in de private sector. Digitalisering, hybride werken en internationale bedrijfsstructuren bieden kansen voor efficiëntie, maar vergroten tegelijkertijd de kwetsbaarheid voor financiële en andere vormen van fraude. Waar fraude zich vroeger vaak beperkte tot eenvoudige verduistering of valse declaraties, zien we tegenwoordig complexere constructies. Daarbij komen digitale sporen, interne processen en menselijke factoren (online) samen.

Onderzoeken laten zien dat online fraude en oplichting sinds 2014 sterk zijn toegenomen. Dit geldt met name voor aankoopfraude, misbruik van online betaalmiddelen en identiteitsfraude. Tegelijkertijd laten trendrapporten zien dat ruim driekwart van de bedrijven in de Benelux in de afgelopen twee jaar te maken kreeg met fraudepogingen. Daarbij neemt ook de financiële impact toe.

Fraude blijft één van de meest hardnekkige risico’s binnen organisaties. Opvallend genoeg verandert de manier waarop fraude wordt ontdekt al jaren nauwelijks. Uit verschillende internationale onderzoeken, waaronder het jaarlijkse ACFE Report to the Nations, blijkt dat nog steeds ongeveer 40% van de fraudezaken aan het licht komt dankzij tips en klokkenluidersmeldingen. Medewerkers, klanten en leveranciers spelen hierin een cruciale rol. Zij signaleren misstanden vaak eerder dan interne controles of audits.

Hoewel de manier van fraudedetectie nauwelijks is veranderd, ontwikkelt de uitvoering van forensisch onderzoek zich wel degelijk mee met de tijd. Het werk is vrijwel volledig digitaal geworden. eDiscovery (het juridisch doorzoeken van digitale data) en AI spelen daarbij een centrale rol. Tegelijkertijd zijn de eisen rondom privacy en bewijsbaarheid scherper dan ooit. Hieronder schetsen we eerst deze trends. Daarna volgt een uitgebreide beschrijving van hoe een forensisch onderzoek er in de hedendaagse praktijk uit kan zien: van opdrachtbevestiging tot rapportage.

Nieuwe trends in forensisch onderzoek

Fraude laat zich steeds minder vangen in simpele boekhoudfouten of losse transacties. Door digitale sporen, complexe organisatiestructuren en snel groeiende hoeveelheden data verandert ook het forensisch onderzoek in de private sector. Onderzoekers moeten sneller, slimmer en technologisch vaardiger werken om verborgen patronen en subtiele signalen te herkennen. Deze ontwikkelingen zorgen voor ingrijpende veranderingen in de manier waarop organisaties fraude opsporen, onderzoeken en proberen te voorkomen.

Binnen deze ontwikkeling tekenen zich drie duidelijke trends af:

  • Online en hybride fraudevormen nemen toe. Denk aan phishing en nep-betaalverzoeken, misbruik van online handelsplatformen, het verhullen van fraude via bv-structuren en het onterecht declareren binnen zorg- en subsidieregelingen. Deze vormen maken fraude complexer en vragen om een geïntegreerde aanpak. Daarbij combineren onderzoekers financieel onderzoek met digitale analyse en openbronnenonderzoek (OSINT) om verbanden, geldstromen en betrokken partijen zichtbaar te maken.
  • eDiscovery ontwikkelt zich tot een sleuteldiscipline voor het reduceren en analyseren van enorme hoeveelheden elektronische data. AI en taalmodellen helpen hierbij om snel relevante documenten, conversaties en patronen te identificeren.
  • ‘Forensic readiness’ krijgt een steeds prominentere plek op de agenda. Onderzoeken en praktijkcases laten zien dat organisaties zonder goede logging, passende bewaartermijnen, duidelijke toegangsrechten en heldere afspraken met externe IT-beheerders grote moeite hebben om achteraf een compleet en betrouwbaar beeld te reconstrueren.

Tegen deze achtergrond is het relevant om stap voor stap te bekijken hoe een forensisch fraudeonderzoek in de praktijk verloopt. Tegelijkertijd geven we u inzicht in hoe wij een dergelijk onderzoek benaderen.

Van opdrachtbevestiging tot onderzoeksplan

Een onderzoek start doorgaans met een signaal. Dit kan een interne constatering uit controles zijn, een melding via een klokkenluiderskanaal, een opmerkelijke transactie of een verzoek van een externe partij, zoals een toezichthouder of subsidieverstrekker. Het eerste (of tweede) contact met de fraudeonderzoeker vindt plaats tijdens een intakegesprek. In dit gesprek worden de feiten, de context en de juridische kaders scherp gesteld. Daarbij wordt gekeken naar wat er precies is geconstateerd, welke periode en systemen mogelijk zijn geraakt en of er risico is op strafrechtelijke implicaties of toezichthandhaving.

Op basis hiervan stellen partijen een opdrachtbevestiging en een onderzoeksplan op. Hierin worden de doelstelling, scope, rollen, planning en deliverables vastgelegd. Ook de randvoorwaarden voor gegevensverwerking en privacy komen aan bod. Denk hierbij aan de categorieën persoonsgegevens die waarschijnlijk worden verwerkt, de toepasselijke grondslag onder de AVG, eventuele beperkingen voor toegang tot mailboxen en privéapparaten en de vraag of een DPIA nodig is. In de praktijk blijkt juist dit onderdeel vaak een zwak punt. Organisaties willen wel onderzoek laten uitvoeren, maar beschikken niet altijd over een helder proces om bij een incident snel en rechtmatig te handelen, zeker wanneer IT deels is uitbesteed.

Financieel forensisch onderzoek

Financieel forensisch onderzoek vormt vaak de ruggengraat van het feitencomplex. Onderzoekers analyseren onder meer grootboekmutaties, projectadministraties, betaalstromen, inkoop- en verkoopdossiers, declaraties en contracten. Het doel is het herkennen van afwijkende patronen. In zaken rondom misbruik van steunregelingen of zorgbudgetten kijken onderzoekers bijvoorbeeld naar de aansluiting tussen gedeclareerde uren en feitelijk geleverde diensten. Ook onlogische geldstromen via tussenvennootschappen krijgen daarbij aandacht.

Met data-analyse sporen onderzoekers anomalieën op. Denk aan ongebruikelijke journaalposten, ronde bedragen vlak onder autorisatielimieten, fictieve of dubbel aangemaakte leveranciers, afwijkende marges en rondboekingen tussen gelieerde partijen. Visualisaties van geldstromen en netwerkanalyses van relaties tussen rechtspersonen en natuurlijke personen maken complexe constructies inzichtelijk. Dit is bijvoorbeeld relevant wanneer bedrijven worden gebruikt als dekmantel voor witwassen of btw-carrouselfraude.

Het is belangrijk dat onderzoekers de gebruikte analysemethoden goed documenteren en reproduceerbaar maken. Alleen dan houden bevindingen stand bij toetsing door accountants, toezichthouders of een rechter. Bij het inzetten van nieuwe AI-technieken is het daarom essentieel om ook de onderliggende modellen te begrijpen. Dit is nodig om te kunnen voldoen aan de eisen rondom reproduceerbaarheid van het onderzoek.

Digitaal forensisch onderzoek en eDiscovery

Digitale sporen spelen in bijna elk onderzoek een rol. Denk aan e-mailverkeer, chatberichten, toegangslogs, documentversies, CRM- of ERP-data, cloudopslag en soms ook mobiele telefoons. Digitaal forensisch onderzoek richt zich op het veiligstellen, analyseren en interpreteren van deze gegevens. Daarbij is er strikte aandacht voor chain of custody, data-integriteit en privacy.

Bij grootschalige datasets zetten onderzoekers eDiscovery in om grote hoeveelheden ‘user-generated’ bestanden te doorzoeken, met name e-mailverkeer. Dit proces reduceert het datavolume en brengt de meest relevante subset naar voren. eDiscovery is het proces waarbij digitaal opgeslagen informatie systematisch wordt geïdentificeerd, veiliggesteld, doorzocht en geanalyseerd voor gebruik in een onderzoek, geschil of juridische procedure. eDiscovery-platformen, zoals Relativity en Reveal, ondersteunen onder meer deduplicatie, filtering op metadata, keyword searches, concept- en topicclustering en steeds vaker AI-gestuurde prioritering van documenten en conversaties.

In de praktijk wordt hier regelmatig het ontbreken van goede forensic of litigation readiness zichtbaar. Wanneer mailboxen volledig bij een externe IT-dienstverlener draaien zonder duidelijke afspraken over incidenttoegang, ontstaat er een risico. Als logging is uitgeschakeld om opslagkosten te besparen of bewaartermijnen te kort zijn ingesteld, kunnen cruciale sporen simpelweg verdwenen zijn. Tegelijkertijd moeten onderzoekers zorgvuldig omgaan met privacy. Zij verzamelen alleen data die mogelijk relevant is, beperken de toegang tot een klein en geautoriseerd team, passen versleuteling en logging toe en verwijderen of anonimiseren waar mogelijk irrelevante persoonsgegevens.

Interviews en gesprekken

Naast het onderzoeken van de financiële gegevens en digitale data blijven interviews een essentieel onderdeel van forensisch onderzoek. Gesprekken met betrokken medewerkers, leidinggevenden, sleutelfiguren in processen en, waar relevant, externe partijen helpen om het verhaal achter de data te begrijpen. In onderzoeken naar bijvoorbeeld subsidiemisbruik of complexe declaratiefraude kan uit interviews blijken dat bepaalde handelingen “altijd al zo gingen”, dat er impliciete druk was om doelen te halen, of dat men vertrouwde op instructies van anderen zonder zelf te controleren.​

Vooraf wordt bepaald in welke volgorde personen worden gehoord, welke informatie zij krijgen over de aanleiding en scope, en hoe hun rechten en plichten worden toegelicht. Notities of opnames worden zorgvuldig vastgelegd en bewaard, met duidelijke afspraken over vertrouwelijkheid en gebruik. Verklaringen worden steeds getoetst aan de ‘harde’ data uit financieel, digitaal en openbronnenonderzoek; juist inconsistenties tussen verhaal en feitelijke sporen zijn vaak waardevolle aanknopingspunten, maar vragen tevens om behoedzame interpretatie. Hier speelt ervaring een zeer grote rol.

Openbronnenonderzoek (OSINT)

Openbronnenonderzoek is in fraudezaken vaak een vast onderdeel van het forensisch onderzoek. Onderzoekers raadplegen handelsregisters, sanctielijsten, rechtspraak, nieuwsarchieven, sectorpublicaties en publieke online informatie om relaties, bedrijfsstructuren en reputatie-indicatoren in beeld te brengen.

OSINT wordt altijd zorgvuldig gedocumenteerd: welke bronnen zijn geraadpleegd, welke filters zijn gebruikt en welke beperkingen gelden voor de betrouwbaarheid van gevonden informatie. Hierin kunnen tools een rol spelen om bijvoorbeeld bezochte websites vast te leggen en de aangetroffen informatie te indexeren.

Ook hier speelt privacy een rol: niet elke online gevonden persoonsinformatie is relevant of mag zonder meer in een onderzoek worden verwerkt.

Analyses naar alle verzamelde informatie

Een onderzoek is een iteratief proces, waarbij op basis van nieuwe informatie uit de eerder beschreven onderzoeksstappen analyses worden uitgevoerd en gekeken wordt of de informatie verder verrijkt kan worden. Het komt regelmatig voor dat je weer een stap terug moet doen in een onderzoek om van daaruit weer verder onderzoek uit te voeren. Zo kan een open bronnen onderzoek weer informatie opleveren over bijvoorbeeld nieuwe personen of entiteiten die een rol als ‘foute’ leverancier kunnen spelen, waardoor in de financiële administratie nader onderzoek kan worden gedaan met bepaalde transacties. Of die namen dienen als nadere zoektermen in een eDiscovery proces worden betrokken.

Rapportage: het samenbrengen van alle lijnen

Aan het eind van het onderzoek presenteren onderzoekers alle relevante feiten in een rapportage. Deze start met een heldere beschrijving van de opdracht, scope, gehanteerde methodiek en eventuele beperkingen. Vervolgens geven zij de feitelijke bevindingen per deelonderzoek gestructureerd weer. Het gaat daarbij om financieel onderzoek, digitaal onderzoek, interviews en openbronnenonderzoek. Daarna volgt een analyse waarin de verschillende lijnen met elkaar worden verbonden.

Zo kan financiële data laten zien dat geldstromen afwijken. Digitale logs tonen bijvoorbeeld aan dat bepaalde mutaties zijn uitgevoerd vanaf specifieke accounts of locaties. eDiscovery kan relevante communicatie tussen betrokkenen aan het licht brengen, terwijl OSINT bevestigt dat bepaalde entiteiten of personen eerder in verband zijn gebracht met vergelijkbare constructies. Samen vormt dit een samenhangend beeld, onderbouwd met data en duidelijke bronverwijzingen.

Een modern onderzoeksrapport bevat altijd een expliciete toelichting op de omgang met persoonsgegevens en vertrouwelijke informatie. Onderzoekers beschrijven welke data zij hebben verzameld, op welke grondslag dit is gebeurd en welke beperkingen daarbij golden. Ook leggen zij vast hoe de beveiliging is ingericht en welke vormen van dataminimalisatie zijn toegepast. Dit is niet alleen van belang voor toezichthouders en rechters, maar ook voor het vertrouwen van medewerkers en andere betrokkenen.

Niet altijd ’forensic ready’

Een belangrijke rode draad uit onze recente praktijkervaring is dat veel organisaties inhoudelijk wel willen meewerken aan onderzoek, maar technisch, contractueel en praktisch niet altijd klaar zijn voor een forensische aanpak.

Dat leidt niet alleen tot onnodige vertraging en hogere kosten, maar soms ook tot onherstelbare gaten in de reconstructie. Tegen die achtergrond is één les al duidelijk, nog voordat over verbetertrajecten wordt gesproken: een goed forensisch onderzoek begint lang voor het eerste signaal, bij de manier waarop data, IT, contracten en privacy vandaag zijn ingericht.

Uitnodiging tot consultatie

We kunnen ons voorstellen dat u na het lezen van dit artikel vragen heeft en graag van gedachte wilt wisselen over bepaalde onderwerpen. Of dat u met een concrete casus zit waarover u van gedachte wilt wisselen. We nodigen u uit om vrijblijvend contact met ons op te nemen om kennis te maken met u (en/of uw casus). Onze contactgegevens vindt u op onze website.

Vooruitblik: van fraude naar bredere integriteitsonderzoeken

In het volgende artikel in deze reeks verschuift de focus van strikt forensisch fraudeonderzoek naar bredere integriteitsonderzoeken. Daarbij ligt de aandacht niet alleen op financiële schade of duidelijke fraude-indicatoren, maar juist op een breder spectrum aan integriteitskwesties. Zo gaat het onder meer om belangenverstrengeling, misbruik van positie, nevenactiviteiten en ongewenst gedrag.

In dit derde deel laten we zien hoe feitenonderzoek bij integriteitsmeldingen eruitziet. Daarnaast gaan we in op de centrale onderzoeksvragen en laten we zien hoe organisaties de balans kunnen vinden tussen zorgvuldigheid, vertrouwelijkheid en transparantie.

Kom in contact

Dennis van der Meer | +31618948848 | dennis.van.der.meer@compliancechamps.com

Boy Custers | +31649935735 | boy.custers@compliancechamps.com

 

Lees hier meer artikelen.

Blockrise heeft zijn MiCAR-licentie behaald!

We willen Blockrise van harte feliciteren met het behalen van de MiCAR-licentie!

Dit is een grote mijlpaal en een prestatie om enorm trots op te zijn!
Wij willen graag Jos Lazet en Jasper Hu hiermee feliciteren.

We zijn erg blij dat we het afgelopen jaar ondersteuning hebben kunnen bieden en een rol mochten spelen in jullie traject naar deze prachtige mijlpaal.

Op naar nog meer innovatie en leiderschap binnen de sector!

Het landschap van compliance onderzoeken: een introductie 

Compliance-onderzoeken worden voor organisaties steeds belangrijker, zeker nu het compliance-werkgebied steeds uitgebreider wordt door nieuwe wet- en regelgeving. Daarom zijn betrouwbaarheid, integriteit en naleving van die wet- en regelgeving fundamenteel om het vertrouwen van klanten, toezichthouders en medewerkers te behouden.

Vanuit Compliance Champs bieden wij verschillende soorten compliance-onderzoeken aan. Deze onderzoeken hebben veel overeenkomsten, maar tegelijkertijd ook duidelijke verschillen.

Om die reden ontrafelen we in een blogserie stap voor stap de verschillende soorten compliance-onderzoeken: van verkennend tot forensisch, van data-gedreven tot mensgericht. Daarbij laten we zien wat ze opleveren en wanneer je ze het beste inzet.

Dit eerste artikel in de blogserie geeft daarom een overzicht van de verschillende soorten compliance-onderzoeken die vandaag de dag worden uitgevoerd. Daarnaast beschrijven we hun doelen en laten we zien hoe ze bijdragen aan een gezonde en toekomstbestendige organisatie.

Wat zijn compliance onderzoeken?

Compliance onderzoeken zijn gestructureerde trajecten om te achterhalen of en hoe regels, wetten, interne procedures en gedragsnormen binnen een organisatie worden nageleefd. Ze bieden inzicht in mogelijke schendingen, risico’s en verbeterpunten. Niet alleen de harde feiten (bijvoorbeeld fraude of verkeerde verslaglegging) staan centraal, maar ook zachte factoren zoals cultuur, gedrag en leiderschap komen in beeld. 

Typen compliance onderzoeken

Er zijn diverse typen onderzoeken die elk een specifieke focus en doel hebben: 

  • Fraudeonderzoeken: Gericht op het opsporen en vaststellen van fraude of financiële malversaties. Vaak beginnen deze door meldingen of onregelmatigheden en vereisen ze vaak een combinatie van data-analyse, interviews en forensische technieken. 
  • Integriteitsonderzoeken: Gericht op het onderzoeken van mogelijke belangenverstrengeling, corruptie, misbruik van positie of andere schendingen van integriteitsregels. Dit type onderzoek kijkt vaak ook naar gedragspatronen binnen de organisatie. 
  • Arbeidsrechtelijke compliance onderzoeken: Deze onderzoeken focussen op kwesties rond (ongewenst) gedrag binnen de werkvloer zoals concurrentiebedingen, ontvreemding van bedrijfsinformatie, of seksuele intimidatie, waarbij privacy en juridische kaders centraal staan. 
  • Due diligence en reputatieonderzoek: Voorafgaand aan fusies, overnames of investeringen wordt diepgaand onderzoek uitgevoerd om integriteitsrisico’s, sanctierisico’s en reputatievraagstukken te identificeren. 
  • AML- en KYC-onderzoeken: Voornamelijk voor organisaties in de financiële sector, gericht op het voorkomen van witwassen en het kennen van klanten, met intensieve cliëntenonderzoeken en monitoring. Maar zeker ook voor niet Wwft-plichtige ondernemingen. 
  • Compliance audits: Deze toetsen de naleving van regelgeving rond anti-witwassen (AML) en klantidentificatie (KYC). Ze beoordelen of processen effectief risico’s beheersen, zoals klantacceptatie, risicoclassificatie, transactie-monitoring en meldingsprocedures. De audit onderzoekt beleid, procedures en praktijk, en brengt lacunes in kaart om naleving en risicobeheersing te verbeteren. 
  • Klokkenluidersonderzoeken: Naar aanleiding van meldingen worden onafhankelijke feitenonderzoeken uitgevoerd met waarborgen voor anonimiteit en zorgvuldige opvolging. 
  • Cultuur- en gedragsmetingen: Onderzoeken die de effectiviteit van soft controls meten, zoals meldcultuur, ethisch gedrag en leiderschap, vaak via surveys en analyses. 

Samenhang en integrale aanpak

Organisaties kiezen er soms voor verschillende typen onderzoeken te combineren in integrale compliance- en governanceprogramma’s. Dit zorgt voor breed inzicht in risico’s en biedt aanknopingspunten om compliance structureel te versterken, op zowel procesmatig als cultureel vlak. 

Wat kun je verder verwachten?

In deze blogserie duiken we dieper in elk van deze typen compliance onderzoeken. We bespreken methodieken, best practices, actuele ontwikkelingen en lessons learned uit de praktijk. Zo helpen we je beter te navigeren in dit complexe en dynamische vakgebied. 


Kom in contact

Dennis van der Meer | +31618948848 | dennis.van.der.meer@compliancechamps.com

Boy Custers | +31649935735 | boy.custers@compliancechamps.com

 

Lees hier meer artikelen.

Compliance Champs is FD Gazelle 2025

Met trots mogen wij delen dat Compliance Champs behoort tot de snelst groeiende bedrijven van Nederland, in de regio West en categorie Klein.

Deze erkenning van Het Financieele Dagblad onderstreept onze sterke groei en gezamenlijke impact, mogelijk gemaakt door de expertise van ons team, het vertrouwen van onze klanten en partners, en onze toewijding om organisaties op een eerlijke manier verder te brengen op het gebied van compliance risk management.

We kijken ernaar uit om op 25 november tijdens de officiële uitreiking van de FD Gazellen Awards 2025 deze prestatie samen te vieren.

 

Implementatiewet ter voorkoming van witwassen en terrorismefinanciering – Impactanalyse voor trustkantoren

1. Introductie

De ‘Implementatiewet ter voorkoming van witwassen en terrorismefinanciering’ (Iwt) heeft significante gevolgen voor trustkantoren in Nederland. In dit artikel zullen we ingaan op de achtergrond en status van de Iwt en een overzicht geven van een aantal belangrijke wijzigingen voor trustkantoren.

2. Achtergrond en status implementatiewet

De zesde anti-witwasrichtlijn (hierna “AMLD6”) maakt deel uit van een omvattend wetgevingspakket dat op 30 mei 2024 door de Europese Raad is goedgekeurd en op 10 juli 2024 in werking is getreden. Het pakket bestaat, naast AMLD6, uit verordering ter invoering van de Anti-Money Laundering Authority (AMLA) en de Anti-Money Laundering Regulation (AMLR).

AMLD6 heeft tot doel de bestaande anti-witwaswetgeving te moderniseren en te harmoniseren binnen de Europese Unie, waarbij de focus ligt op het sluiten van mazen in het regelgevingskader en het versterken van de samenwerking tussen lidstaten.

Omdat de AMLR een Europese verordening is, heeft zij rechtstreekse werking en is vanaf 10 juli 2027 van toepassing. Hierdoor geldt de regeling zonder nationale omzetting direct in alle EU-lidstaten. Dit vervangt grote delen van de nationale Wet ter voorkoming van witwassen en terrorismefinanciering (Wwft) en zorgt voor een uniforme toepassing van anti-witwasregels in de hele EU.

Daarnaast komt er een nieuwe Nederlandse wet: de Implementatiewet ter voorkoming van witwassen en terrorismefinanciering (Iwt). Samen met de AMLR zal deze wet op 10 juli 2027 de huidige Wwft volledig vervangen en daarmee AMLD6 implementeren.

Het ontwerpwetsvoorstel voor de Iwt is van 4 juli tot 29 augustus 2025 in internetconsultatie geweest. Er zijn 45 openbare reacties ontvangen van diverse organisaties. De wet wordt verder uitgewerkt in een implementatiebesluit dat ook te zijner tijd geconsulteerd zal worden. De uiteindelijke datum waarop de wet en de Europese verordeningen van toepassing worden is 10 juli 2027.

3. Harmonisering en toezicht

Door de Europese harmonisatie ontstaat meer consistentie in regelgeving binnen de EU. Voor trustkantoren die grensoverschrijdend actief zijn, betekent dit duidelijkere en meer voorspelbare regels. Tegelijkertijd wordt het toezicht geïntensiveerd, met een grotere rol voor de nieuwe Europese autoriteit AMLA en verbeterde samenwerking tussen nationale toezichthouders.

4. Impact van de Implementatiewet voor trustkantoren

De Iwt heeft een aanzienlijke impact voor trustkantoren, wij hebben hier een aantal belangrijke wijzigingen uitgelicht en zullen kort een toelichting geven op de wijziging en de impact voor trustkantoren.

Vervallen van nationale regelgeving

Een groot deel van hoofdstuk 4 van de Wet toezicht trustkantoren 2018 (Wtt 2018) komt te vervallen. Dit komt doordat de verplichtingen voortaan rechtstreeks uit de EU antiwitwasverordening voortvloeien. Waar de eerdere antiwitwasrichtlijnen minimumharmonisatie kenden, brengt de antiwitwasverordening maximumharmonisatie. Dit houdt in dat Nederland dus niet langer strengere nationale regels stellen. De bepalingen uit hoofdstuk 4 Wtt hebben betrekking op het clientenonderzoek dat trustkantoren moeten uitvoeren en is daarom een van de meest belangrijke onderdelen van de huidige Wtt 2018.

Behoud verscherpte cliëntenonderzoeksmaatregelen

Ondanks het vervallen van nationale regels blijft de trustsector onderworpen aan verscherpte eisen. Nederland maakt namelijk gebruik van een lidstaatoptie in artikel 34 van de antiwitwasverordening om aanbieders van trust- en vennootschappelijke diensten te verplichten altijd verscherpte cliëntenonderzoeksmaatregelen toe te passen. Dit is gerechtvaardigd gezien de inherente hoge risico’s op witwassen in de trustsector, zoals blijkt uit Nationale Risico Analyses en diverse andere onderzoeken.

Registratieplicht voor domicilieverleners

Een nieuwe ontwikkeling is de registratieplicht voor domicilieverleners. Dit zijn partijen die alleen een postadres, statutaire zetel of administratief adres verstrekken. Waar dit type dienstverlening voorheen niet als zelfstandige trustdienst werd gezien onder de Wtt 2018, valt dit wel onder de antiwitwasverordening. De registratieplicht wordt bij de Minister van Financiën ingevoerd om risico’s beter in kaart te brengen en het zogenaamde “opknippen” van trustdiensten tegen te gaan.

Het opknippen van trustdiensten is een vorm van omzeiling van de Wet toezicht trustkantoren 2018 (Wtt 2018), waarbij een of meer dienstverleners hun werkzaamheden kunstmatig splitsen om buiten de vergunningplicht van De Nederlandsche Bank (DNB) te blijven.

Uiteindelijk belanghebbenden

De antiwitwasverordening introduceert een fundamentele wijziging in de werkwijze voor het identificeren van uiteindelijk begunstigden. Een belangrijke verandering is dat zeggenschap nu onafhankelijk en parallel aan eigendomsbelang moet worden vastgesteld.

Daarnaast wordt de drempel voor eigendomsbelang verlaagd van “meer dan 25%” naar “25% of meer” van de aandelen of stemrechten. Hierdoor vallen voortaan ook belanghebbenden met een belang van 25% onder de definitie.

Een andere belangrijke wijziging betreft de situatie waarin geen uiteindelijk begunstigde kan worden vastgesteld. De antiwitwasverordening bepaalt dat als er na uitputting van alle identificatiemogelijkheden geen uiteindelijk begunstigde kan worden vastgesteld, er geen uiteindelijk begunstigde is. In plaats van het begrip “pseudo-UBO” worden nu de gegevens van hogere leidinggevenden geregistreerd. De definitie van hogere leidinggevenden is bovendien uitgebreider dan die van hoger leidinggevend personeel onder de huidige wetgeving.

Behoud van specifieke nationale eisen

Een aantal belangrijke waarborgen uit de Wtt 2018 blijven behouden, te denken valt aan:

  • De vergunningsvereisten
  • De personentoetsingen (betrouwbaarheid van leidinggevenden)
  • De eisen voor integere en beheerste bedrijfsvoering
  • Het verbod op belastingadvies en optreden als doorstroomvennootschap

Deze eisen vallen buiten de reikwijdte van de antiwitwasverordening en kunnen daarom nationaal gehandhaafd blijven. Trustkantoren moeten daarnaast nog steeds bijzondere aandacht hebben voor fiscale integriteitsrisico’s.

De implementatiewet zorgt dus enerzijds voor vereenvoudiging door harmonisatie en het vervallen van dubbele regelgeving, maar anderzijds blijven trustkantoren onderworpen aan strenge eisen vanwege de hoge integriteitsrisico’s die inherent zijn aan hun dienstverlening.

5. Voorbereiding op aanstaande wijzigingen

De aanstaande wijzigingen zullen impact hebben op de bedrijfsvoering van trustkantoren en daarom is het aan te bevelen om tijdig te inventariseren welke maatregelen genomen moeten worden om te voldoen aan het gewijzigde wettelijk kader. Zo zal onder andere gekeken moeten worden welk beleidsstukken en procedures geactualiseerd moeten worden. Om effectief in te spelen de deze wijzigingen naar aanleiding zou een trustkantoor de volgende stappen moeten doorlopen.

a. Impactanalyse

b. Opstellen van een Implementatieplan

c. Aanpassen van beleid en procedures

d. Training en communicatie

e. Technologische ondersteuning waar nodig

f. Evaluatie en periodieke review

Door bovenstaande stappen systematisch te doorlopen, garandeert u dat uw trustkantoor compliant blijft, ook na de wijzigingen op basis van de Iwt.

Wilt u meer weten over hoe u op een effectieve manier uw kantoor kunt voorbereiden op deze aanstaande wijzigingen? Compliance Champs beschikt over uitgebreide kennis, ervaring en expertise om te adviseren over en ondersteunen bij de implementatie. Neem contact op voor een vrijblijvend kennismakingsgesprek.

 

 

Zoekt u ondersteuning bij de impactanalyse van uw trustkantoor?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

De kloof overbruggen tussen decentralisatie en gegevensbescherming

Blockchaintechnologie biedt transparantie en veiligheid dankzij haar onveranderlijke aard. Zodra gegevens op de blockchain zijn vastgelegd, kan niemand ze meer wijzigen of verwijderen. Deze eigenschap wekt vertrouwen in het systeem, maar brengt ook grote juridische uitdagingen met zich mee. De Algemene Verordening Gegevensbescherming (AVG) is een voorbeeld van wetgeving die met deze technologie botst. 

De immutabiliteit van blockchaintechnologie staat rechtstreeks op gespannen voet met artikel 17 van de AVG, dat individuen het recht geeft om vergeten te worden. Zelfs technische maatregelen zoals versleuteling of hashing kunnen dit probleem niet oplossen, aangezien gegevens nog steeds als persoonlijk kunnen worden beschouwd als ze herleidbaar zijn. 

Omdat blockchains gedecentraliseerd en wereldwijd zijn, is het moeilijk te bepalen wie verantwoordelijk is voor naleving van de AVG. Welke partij in het systeem moet worden aangemerkt als gegevensbeheerder en/of gegevensverwerker? Dit roept vragen op over aansprakelijkheid en handhaving, aangezien geen enkele entiteit gezag heeft over het systeem. Daarnaast maken nationale wetten over gegevensbewaring en controleerbaarheid eventuele geschillenbeslechting nog complexer. Het resultaat is een regelgevend grijs gebied waarin juridische verantwoordelijkheid gefragmenteerd raakt. 

Is het dan onmogelijk om blockchaintechnologie te verzoenen met de AVG? Er zijn inspanningen geleverd die hebben geleid tot gedeeltelijke technische oplossingen, zoals off-chain opslag, gegevensminimalisatie en cryptografische verwijdering. Toch bereiken deze benaderingen zelden volledige naleving, omdat ze het fundamentele uitgangspunt uitdagen dat gegevens altijd kunnen worden gewijzigd of verwijderd. Het probleem is daarom niet alleen technisch maar ook conceptueel: de gedecentraliseerde logica van blockchain botst met het mensgerichte model van de AVG, dat uitgaat van een beheersbaar gegevenssysteem. Zonder aanpassing van deze juridische principes blijft naleving vooralsnog een juridische ambitie. 

 

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

Stablecoins: Een compliance-gedreven basis voor 24/7 financiële infrastructuur

Stablecoins zijn inmiddels voorbij de experimentele fase. Tegenwoordig worden ze breed ingezet in het financiële systeem voor transparante en efficiënte afwikkeling. Banken en financiële instellingen integreren stablecoins in uiteenlopende activiteiten, van liquiditeitsbeheer tot grensoverschrijdende betalingen.

Gegevens van Visa’s Onchain Analytics Dashboard bevestigen de omvang van deze verschuiving. Er is meer dan 45 biljoen dollar aan stablecoin-transactievolume geregistreerd op openbare blockchains. Er zijn meer dan 300 miljoen unieke actieve adressen, en het gemiddelde stablecoin-aanbod bedraagt meer dan 200 miljard dollar. Deze cijfers tonen aan dat stablecoins al een centrale rol spelen in wereldwijde betalingsstromen en blockchain-gebaseerde financiële diensten. 

Een van de belangrijkste infrastructuurontwikkelingen is het besluit van SWIFT om een op blockchain gebaseerd gedeeld grootboek op te nemen in zijn wereldwijde systeem. SWIFT vormt de financiële berichtgevingsruggengraat voor meer dan 11.000 banken in ruim 200 landen. Hoewel SWIFT zelf geen geld verplaatst, is het essentieel voor het verzenden van beveiligde financiële gegevens. Met de toevoeging van een blockchain-grootboek zal SWIFT nu gereguleerde stablecoins, getokeniseerde activa en digitale valuta van centrale banken (CBDC’s) in staat stellen om in real time te worden vereffend over interoperabele netwerken. 

De regelgevende duidelijkheid ontwikkelt zich parallel. In de Europese Unie is de Markets in Crypto-Assets Regulation (MiCAR) nu van kracht. Deze wetgeving verplicht uitgevers van Electronic Money Tokens (EMT’s) en Asset Referenced Tokens (ART’s) — twee verschillende soorten stablecoins — om volledig gedekte reserves aan te houden, aan openbaarmakingsvereisten te voldoen en zich te registreren bij financiële toezichthouders. In de Verenigde Staten biedt de GENIUS Act een federaal kader waarmee instellingen hun eigen stablecoins kunnen uitgeven onder vastgestelde juridische en risiconormen. Andere regio’s, waaronder Singapore en Hongkong, bouwen aan vergelijkbare regelgevingsregimes. 

Bij Compliance Champs werken wij samen met financiële instellingen en crypto-activadienstverleners om deze ontwikkelingen te vertalen naar concrete strategieën. Of het nu gaat om het voorbereiden op vergunningverlening, het opbouwen van interne risicokaders of het voldoen aan toezichtseisen — onze focus ligt op het helpen van klanten om innovatie in overeenstemming te brengen met regelgeving. 

Stablecoins gaan niet alleen over technologische innovatie. Ze draaien om operationele betrouwbaarheid en juridische zekerheid. De instellingen die slagen in deze volgende fase van digitale financiën, zijn degenen die compliance vanaf het begin integreren. Als uw organisatie zich voorbereidt om stablecoins uit te geven, te adopteren of het gebruik ervan uit te breiden, staan wij klaar om u te ondersteunen. 

 

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

Crypto ATMs: Een brug tussen twee werelden of een vluchtwagen voor criminelen?

In ons recente artikel in het tijdschrift Compliance, Ethics & Sustainability (“From inadequate oversight to effective regulation?”) benadrukten wij hoe de crypto-industrie steeds volwassener wordt onder invloed van Europese regelgeving. Tegelijkertijd blijven risico’s rond witwassen, fraude en sanctieontwijking bestaan.

Een concreet voorbeeld van deze risico’s zijn crypto-automaten (ATMs). In het tijdschrift bespraken we reeds het risico op sanctieontwijking middels crypto ATMs. Kort samengevat staat er in Polen meer dan 280 crypto-automaten, vaak strategisch gelegen nabij de grenzen met Belarus en Rusland. Hier kan contant geld eenvoudig worden omgezet in crypto, de grens over worden gebracht via een mobiele wallet of voucher, en elders weer worden geliquideerd. Dit alles buiten de traditionele financiële kanalen en sanctietoezicht.

In dit artikel zoomen we verder in op de werking van deze crypto ATMs, de risico’s die ze met zich meebrengen en welke rol regelgeving en handhaving speelt in het beperken van misbruik.

Van contant geld naar crypto- buiten de banken om

Crypto ATMs bieden gebruikers een directe en vertrouwde toegangspoort waarmee contant geld kan worden omgezet in cryptovaluta en omgekeerd, zonder dat een traditioneel account bij een (crypto) exchange nodig is. Het gebruik van crypto ATMs is eenvoudig: gebruikers kiezen kopen of verkopen, voeren een bedrag in en verifiëren – afhankelijk van de regelgeving – hun identiteit via ID, telefoonnummer of een andere vorm van vereenvoudigde KYC. Daarna wordt het bedrag in crypto of contanten uitbetaald.

Voor mensen in regio’s met beperkte bancaire infrastructuur of voor minder digitaal vaardige gebruikers lijken deze terminals een uitkomst. Maar juist de combinatie van toegankelijkheid en anonimiteit maakt crypto-automaten aantrekkelijk voor crimineel misbruik.[1]

Een magneet voor oplichting en witwassen

Wereldwijd signaleren toezichthouders toenemend misbruik van crypto ATMs voor witwassen en fraude. Het klassieke witwasproces (plaatsing, gelaagdheid en integratie) kan via automaten eenvoudig worden uitgevoerd: in de meest eenvoudige vorm kan cash worden ingevoerd, verdeeld over meerdere terminals, omgezet in crypto en later opnieuw terug gewisseld naar contanten.[2]

In 2025 rapporteerde de Amerikaanse Financial Crimes Enforcement Network (FinCEN) dat slachtoffers ruim $247 miljoen verloren via crypto-automaten, met een opvallende concentratie boven de 60.[3] Slachtoffers worden vaak telefonisch onder druk gezet door oplichters die zich voordoen als bankmedewerker of overheidsfunctionaris en hen instrueren grote sommen geld via een ATM te storten.

Daarnaast zijn er automaten die bedragen tot €15.000 (of $25.000) per dag accepteren zonder strikte identiteitsverificatie.[4] De transactiekosten liggen fors boven die van gereguleerde exchanges (>5% vs. <1%). Sommige terminals printen papieren vouchers die als anonieme toonderinstrumenten functioneren.

Internationale verschillen in toezicht

De regulering van crypto ATMs verschilt sterk per jurisdictie. Nieuw-Zeeland verbood de automaten volledig,[5] terwijl Australië een risico gebaseerd model hanteert met limieten en strengere KYC.[6] In de VS gaan waarschuwingen gepaard met vervolging van niet-gereguleerde exploitanten.[7]

Binnen de EU wordt meer duidelijkheid geboden door de Markets in Crypto-Assets Regulation (MiCAR). Crypto-automaten vallen daarin onder de categorie “Crypto-Asset Service Providers” (CASP’s) en zijn niet verboden, maar exploitanten moeten voldoen aan vergunningseisen, KYC-verplichtingen, transactiemonitoring en risico-gebaseerd klantonderzoek.[8] Ondanks dat het overgangsregime van MiCAR in Nederlands reeds is verlopen, constateerden wij dat enkele crypto-automaten ook na deze deadline nog actief zijn geweest.

Regelgeving alleen is dus onvoldoende. Effectieve handhaving is essentieel – iets dat Nederlandse jurisprudentie onderstreepte. [9]

Nederlandse jurisprudentie: crypto-ATM als witwasvehikel

In een recente uitspraak van het Gerechtshof Arnhem-Leeuwarden (ECLI:NL:GHARL:2025:237) oordeelde het hof over een exploitant van crypto-automaten die herhaaldelijk en bewust de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) had overtreden. [10]

Uit bewijs in de rechtszaal bleek dat de automaten herhaaldelijk werden gebruikt voor transacties die verband hielden met criminele opbrengsten, waaronder drugshandel. Onderzoek wees uit dat de exploitant het proces bewust had ingericht om herleidbaarheid te minimaliseren: er werd geen identiteitscontrole uitgevoerd bij transacties onder de € 10.000, en stortingen werden vaak verdeeld over meerdere automaten om detectie te vermijden. Zelfs bij hogere bedragen waren de KYC-procedures oppervlakkig en werd het uiteindelijk belang bij de wallets niet geverifieerd.

Het hof oordeelde dat deze werkwijze neerkwam op willens en wetens faciliteren van witwassen. De exploitant kreeg een meerjarige gevangenisstraf en apparatuur werd in beslag genomen. Deze zaak toont dat Nederlandse rechters crypto ATM-overtredingen als ernstig strafbaar feit behandelen en dat nationale handhaving een belangrijke rol speelt naast EU-regelgeving.

Casus Athena Bitcoin Inc. – een wake-up call

In februari 2025 spande de Attorney General van het District of Columbia een rechtszaak aan tegen Athena Bitcoin Inc., een van de grootste exploitanten van crypto ATMs in de VS. Uit het onderzoek bleek dat in de eerste vijf maanden van hun activiteiten in Washington D.C. maar liefst 93% van alle transacties frauduleus was, met een gemiddeld verlies van $8.000 per transactie en slachtoffers met een gemiddelde leeftijd van 71 jaar. Slachtoffers storten onder druk van oplichters herhaaldelijk geld naar dezelfde reeds bekende scam-wallets.[11]

Athena wordt beschuldigd van het willens en wetens profiteren van deze praktijken door verborgen kosten tot wel 26% te hanteren, zonder dit duidelijk aan klanten te communiceren. Bovendien weigerde het bedrijf structureel om slachtoffers te compenseren, zelfs wanneer duidelijk was dat de transacties richting eerder misbruikte wallets gingen. In plaats daarvan eiste Athena in sommige gevallen een vrijwaringsverklaring van de slachtoffers die alsnog probeerden een deel van hun verliezen terug te krijgen.

Deze casus toont aan dat slecht gereguleerde crypto-automaten niet alleen een risico vormen voor integriteit van het financiële stelsel, maar ook een structurele bedreiging zijn voor financieel kwetsbare groepen, met name ouderen.

 Van signaal naar structurele actie

De komst van MiCAR schept een noodzakelijk kader, maar regelgeving zonder consequente toepassing blijft tandeloos. Crypto-automaten bevinden zich op het snijvlak van financiële inclusie en financieel-economische criminaliteit. Juist daarom is een gezamenlijke én daadkrachtige aanpak essentieel. Zolang exploitanten profiteren van ondoorzichtige kostenstructuren en criminelen vrij spel krijgen, blijven crypto ATMs eerder een vluchtwagen voor criminelen dan een brug voor financiële inclusie.

Wat moet er gebeuren?

  • Exploitanten moeten volledige transparantie bieden over tarieven en limieten, structureel monitoren van transacties en actief verdachte wallets blokkeren.
  • Toezichthouders moeten verder te kijken dan registratie-eisen en te investeren in effectieve monitoring en handhaving.
  • Financiële instellingen moeten alert zijn op ongebruikelijke cashstromen die mogelijk via crypto-automaten verdwijnen en daar risico-gebaseerd op acteren.
  • Consumenten moeten beter beschermd worden middels educatie, waarschuwingen en laagdrempelige meldpunten.

CASPs zijn wettelijk verplicht transacties te monitoren. Niet-legitieme geldstromen, onder meer vanuit crypto ATMs, worden vaak al gedetecteerd via tools zoals Cense, Chainalysis, TRM Labs en Elliptic. Van CASPs wordt actieve monitoring én rapportage verwacht.

Samen met onze partner Cense publiceren wij binnenkort een vervolgartikel waarin wij dieper ingaan op de inzet van deze tools en hoe organisaties hun detectie- en beheerscapaciteiten verder kunnen versterken.

Bij Compliance Champs volgen wij deze ontwikkelingen met een kritische blik. Wij begeleiden organisaties om hun processen en controles in lijn te brengen met MiCAR, de Wwft en internationale standaarden. Door middel van kennisdeling, training en advies helpen wij professionals risico’s tijdig te herkennen, te mitigeren en duurzame compliance in te bedden.

 

Zoekt u ondersteuning bij het versterken van uw Crypto Compliance Framework?

Neem contact met ons op via: info@compliancechamps.com

Lees hier meer artikelen.

[1] The Record. (2025). Crypto ATMs fueling cybercrime.

[2] Sanction Scanner. (2025). How to ensure AML compliance on Bitcoin ATMs in the US. https://www.sanctionscanner.com/blog/how-to-ensure-aml-compliance-on-bitcoin-atms-in-the-us-448.

[3] FinCEN. (2025). FinCEN Notice on crypto kiosk scams. https://www.fincen.gov/sites/default/files/shared/FinCEN-Notice-CVCKIOSK.pdf

[4] Europol. (2022). Cryptocurrencies – Tracing the evolution of criminal finances. Europol.

[5] Rahman Ravelli. (2024). New Zealand to ban crypto ATMs. https://www.rahmanravelli.co.uk.

[6] CryptoNews. (2025). Tasmania joins nationwide crackdown on crypto ATMs as scam losses hit $1.6 million. https://cryptonews.com

[7] FinCEN. (2025). FinCEN Notice on crypto kiosk scams. https://www.fincen.gov/sites/default/files/shared/FinCEN-Notice-CVCKIOSK.pdf

[8] European Parliament and Council. (2023). Markets in Crypto-Assets Regulation (MiCAR).

[9] Bitomat. (2024). MiCA impact on Bitcoin ATMs. https://www.bitomat.com.

[10] Gerechtshof Arnhem-Leeuwarden. (2025). ECLI:NL:GHARL:2025:237.

[11] Office of the Attorney General for the District of Columbia. (2025, February). Attorney General Schwalb Sues Athena Bitcoin for Failing to Protect Consumers from Scams . https://lnkd.in/eb8qGmqP.