Terug naar Nieuws
Educatieve inhoud

Het delen van klantgegevens en KYC: wat is wel en wat is niet toegestaan

Het delen van klantgegevens en KYC: wat is wel en wat is niet toegestaan

Het delen van KYC-gegevens is niet hetzelfde als het delen van AWW-verantwoordelijkheden: een juridisch onderscheid dat van belang is voor elke vastgoedtransactie

Bij vastgoedtransacties met meerdere partijen — waarbij makelaars, projectontwikkelaars, advocaten en notarissen elk onafhankelijke verplichtingen op het gebied van antiwitwasbeleid hebben — is er een vraag van toenemende praktische urgentie over de toelaatbaarheid van het delen van KYC-informatie tussen de betrokken entiteiten. Het juridische standpunt onder Verordening (EU) 2024/1624 (AMLR) wordt in de praktijk vaak verkeerd begrepen, en de gevolgen van dat misverstand werken in twee richtingen: sommige professionals weigeren gegevens te delen die volgens de verordening mogen – en zelfs moeten – worden gedeeld; anderen gaan ervan uit dat het ontvangen van KYC-gegevens van een derde partij hen ontslaat van hun eigen nalevingsverplichtingen, wat niet het geval is.

De juiste juridische positie is zowel duidelijk als ingrijpend. Dit artikel zet deze uiteen.

Het juridische kader: wat de AMLR daadwerkelijk zegt

De AMLR stelt drie basisprincipes vast die relevant zijn voor het delen van KYC-gegevens in de vastgoedsector:

1. Elke verplichte entiteit draagt onafhankelijke CDD-verantwoordelijkheid. Ongeacht wat een andere partij bij een transactie heeft gedaan, blijft elke verplichte entiteit — de makelaar, projectontwikkelaar, notaris en advocaat — onafhankelijk aansprakelijk voor haar eigen Customer Due Diligence. Verantwoordelijkheid is niet overdraagbaar.

2. Het vertrouwen op een andere verplichte entiteit is onder voorwaarden toegestaan. De bepalingen van de AMLR inzake het vertrouwen op derden staan toe dat een verplichte entiteit vertrouwt op de CDD die door een andere entiteit is uitgevoerd, maar de vertrouwende entiteit behoudt de volledige wettelijke verantwoordelijkheid voor de naleving ten opzichte van haar eigen toezichthouder. Vertrouwen is een procedurele vergemakkelijking, geen vrijstelling.

3. Het delen van informatie is toegestaan binnen vastgestelde wettelijke kaders. Overweging 147 van de AMLR stelt expliciet: "Verplichte entiteiten en bevoegde autoriteiten moeten informatie kunnen uitwisselen in het kader van een partnerschap voor informatie-uitwisseling." In dezelfde overweging wordt eveneens duidelijk gesteld dat verplichte entiteiten "zich niet uitsluitend mogen baseren op informatie die via de uitwisseling van informatie is verkregen om conclusies te trekken over het risico van witwassen en terrorismefinanciering van de klant."

Deze drie beginselen bakenen de wettelijke grenzen nauwkeurig af: documenten en geverifieerde feitelijke gegevens mogen worden gedeeld; risicobeoordelingen, EDD-beoordelingen, meldingsbeslissingen en doorlopende monitoringverplichtingen mogen dat niet.

Waar het misverstand in de praktijk ontstaat

Bij een typische vastgoedtransactie waarbij een makelaar, een projectontwikkelaar, een advocaat en een notaris betrokken zijn, mogen alle partijen rechtmatig gegevens over de identiteit van de klant, informatie over de uiteindelijke begunstigde (UBO), documentatie over de eigendomsstructuur van de onderneming, bewijs van de herkomst van de middelen en screeningresultaten uitwisselen — met inachtneming van de toepasselijke AVG-, vertrouwelijkheids- en AML-waarborgen.

Wat geen van deze partijen mag doen, is de ontvangst van die informatie beschouwen als een vervanging voor hun eigen onafhankelijke verplichtingen. Een notaris die het KYC-dossier van een makelaar accepteert zonder zelf een risicobeoordeling uit te voeren, heeft niet voldaan aan de AMLR — hij heeft zich, zonder onafhankelijke verificatie, gebaseerd op het oordeel van een andere partij. Een projectontwikkelaar die zich baseert op eerdere klantcontroles van een advocaat zonder zijn eigen risicoclassificatie toe te passen, heeft zijn eigen toezichtplicht verzaakt.

Zoals de analyse van DLA Piper van de bepalingen inzake informatie-uitwisseling in de AMLR bevestigt: "Als leden van partnerschappen voor informatie-uitwisseling mogen verplichte entiteiten informatie delen met het oog op klantonderzoek en het melden van vermoedens aan FIU's." Het nieuwe AML-pakket streeft naar meer samenwerking tussen verplichte entiteiten — niet naar één enkel aanspreekpunt voor nalevingsverantwoordelijkheid.

De wet verbiedt het delen van informatie niet. Het verbiedt de overdracht van verantwoordelijkheid.

Het structurele onderscheid: een architectuur met twee lagen

De hierboven beschreven juridische positie sluit naadloos aan bij een tweelagige architectuur voor elk compliant KYC-uitwisselingsmodel:

Toegestane kernlaag — deelbaar tussen verplichte entiteiten:

  • Identiteits- en adresverificatie

  • Identificatie en verificatie van de uiteindelijke begunstigde (UBO)

  • Eigendomsstructuren van ondernemingen

  • Documentatie over de herkomst van middelen

  • Transactiegeschiedenis van onroerend goed

  • Resultaten van screening op sancties, PEP en negatieve berichtgeving

Entiteitsspecifieke laag — niet-deelbaar, onafhankelijk bepaald door elke verplichte entiteit:

  • Risicobeoordeling en risicoclassificatie

  • Vereisten en resultaten van verscherpt zorgvuldig onderzoek

  • Beoordeling van vermoedens en beslissingen over het indienen van SAR/STR

  • Parameters en resultaten van doorlopende monitoring

  • Rapportage aan de nationale financiële inlichtingeneenheid

Dit is de architectuur waar de AMLR naartoe werkt: verzamel klantgegevens één keer, beoordeel het risico vele malen — onafhankelijk, door elke verplichte entiteit, aan de hand van de eigen wettelijke verplichtingen van elke entiteit.

De technologische vereiste: waarom standaard KYC-platforms dit niet kunnen waarmaken

Het bovenstaande juridische onderscheid creëert een precieze technologische vereiste waaraan de meeste KYC-platforms op de markt structureel niet kunnen voldoen. Standaardoplossingen voor identiteitsverificatie en KYC zijn gebouwd om gegevens te verzamelen en te delen. Ze zijn niet gebouwd om de juridische scheiding af te dwingen tussen gedeelde feitelijke klantgegevens en de onafhankelijke, niet-deelbare risicobeoordelingsverplichtingen die elke verplichte entiteit voor zichzelf moet nakomen.

Een generiek KYC-platform dat documenten verzamelt en deze tussen partijen deelt, behandelt alleen de eerste laag. Het biedt geen gestructureerd mechanisme waarmee elke partij onafhankelijk haar eigen risicoclassificatie, EDD-bepaling of verdachtebeoordeling kan uitvoeren en vastleggen binnen dezelfde omgeving. De gegevens en de nalevingsverplichting zijn ontkoppeld — en het wettelijk vereiste dossier om onafhankelijke naleving door elke verplichte entiteit aan te tonen, bestaat niet.

Dit is geen onbelangrijke operationele lacune. Volgens de AMLR is het onvermogen om een onafhankelijke risicobeoordeling door elke verplichte entiteit aan te tonen een nalevingsfout voor elke partij die gedeelde gegevens heeft ontvangen zonder een eigen gedocumenteerde beoordeling te produceren.

Immosurance: het enige platform dat beide lagen biedt in één GDPR-conforme omgeving

Immosurance is het enige AWW-complianceplatform in Europa dat speciaal is ontwikkeld voor de vastgoedsector en dat beide lagen van de conforme KYC-uitwisselingsarchitectuur levert binnen één geïntegreerde, GDPR-conforme omgeving.

De kernlaag — identiteitsverificatie, UBO-mapping, documentatie over bedrijfseigendom, bewijs van herkomst van middelen en continue screening op sancties, PEP en negatieve berichtgeving — kan eenmalig worden verzameld en beschikbaar worden gesteld aan meerdere verplichte entiteiten binnen het toegestane wettelijke en gegevensbeschermingskader. Dit elimineert de dubbel werk die kenmerkend is voor vastgoedcompliance met meerdere partijen en vermindert de last voor klanten die in het verleden gevraagd werden om hetzelfde verificatieproces te herhalen bij elke partij in hun transactie.

De entiteitsspecifieke laag wordt binnen het platform als structureel gescheiden gehandhaafd. Elke verplichte entiteit die Immosurance gebruikt, houdt haar eigen onafhankelijke compliance-dossier bij, haar eigen gedocumenteerde risicobeoordeling, haar eigen EDD-workflow en haar eigen rapportageverslag — die geen van alle toegankelijk zijn voor of worden gedeeld met andere partijen. De op rollen gebaseerde toegangsarchitectuur zorgt ervoor dat wat elke verplichte entiteit wettelijk verplicht is om onafhankelijk vast te stellen, ook daadwerkelijk onafhankelijk wordt vastgesteld.

Geen enkele generieke KYC-aanbieder, identiteitsverificatiedienst of platform voor het delen van documenten op de markt biedt deze combinatie. De scheiding tussen deelbare klantgegevens en de niet-deelbare verplichting tot risicobeoordeling — beide afgedwongen binnen hetzelfde platform, beide GDPR-conform, beide klaar voor audit — is uniek voor Immosurance.

Dit is geen toekomstige mogelijkheid. Immosurance is vandaag de dag operationeel, beschikbaar voor makelaars, projectontwikkelaars, advocaten en notarissen in heel Europa, in 14 talen, met een KYC-delingsarchitectuur die juridisch is afgestemd op de richting die de AMLR heeft bevestigd.

Het juridische onderscheid is duidelijk. De technologische vereisten die dit met zich meebrengt, zijn veeleisend. Immosurance is het antwoord.

Alle artikelen
Enkel voor Early Adopters

EARLY ADOPTER VOORWAARDEN

Er zijn uitzonderlijke voorwaarden beschikbaar voor Early Adopters die binnenkort niet meer beschikbaar zullen zijn. Verzeker u vandaag nog van deze exceptionele prijs.
Bekijk prijzen