Wij vallen onder de Wwft, wat betekent dat voor onze IT?
De Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme) verplicht client onderzoek, transactiemonitoring en bewaartermijnen. In IT zit dat in identificatie, dossiervorming, monitoring en logging.
support/compliance-en-wetgeving/wwft-it-implicatiesstappen: 5
Probeer dit eerst zelf
- Implementeer een ID-en-V-proces. Identiteitsvaststelling van klanten via betrouwbare bron, vastgelegd in een dossier dat herleidbaar is per natuurlijke persoon en uiteindelijk belanghebbende.
- Richt transactiemonitoring in. Regels op afwijkende patronen, escalatieproces naar de compliance-officer en een vaste manier om ongebruikelijke transacties te melden bij FIU-Nederland.
- Bewaartermijnen. Wwft kent een eigen bewaarplicht voor cliententgegevens en transacties; lees de actuele tekst, niet je geheugen, voor de juiste termijn.
- Logging en autorisatie. Niet iedereen mag bij Wwft-dossiers, en handelingen moeten logbaar zijn. Combineer dat met je AVG-eisen.
- Doe regelmatig een SIRA (systematische integriteitsrisicoanalyse) en update je IT-controls daarop. DNB en BFT verwachten een levend proces, geen los document.
Wanneer ons inschakelen
Crypto-dienstverleners en trustkantoren kennen aanvullende regimes. Sla die richtlijnen niet in het wild op, vraag je toezichthouder of compliance-jurist na.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.