Uitbesteding van het cliëntenonderzoek onder de AMLR

6 minuten

Uitbesteding van het cliëntenonderzoek onder de AMLR; een einde aan het Nederlandse uitbestedingsverbod

 

10 juli 2027 gaat een gedenkwaardige dag zijn. Vanaf die dag is de nieuwe Anti-witwasverordening (hierna: de AMLR) rechtstreeks van toepassing in de lidstaten van de Europese Unie (waaronder Nederland). De regels met betrekking tot, onder meer, governance, uitbesteding, cliëntenonderzoek en transactiemonitoring inclusief het melden van ‘verdachte’ transacties zijn vanaf dan terug te vinden in de AMLR (en niet meer in de Wwft). De nationale implementaties van de Europese anti-witwasrichtlijnen (AMLD1-AMLD5), inclusief eventuele nationale koppen, komen waar mogelijk te vervallen. Hierbij gaan de gedachten snel naar de Nederlandse keuze om ongebruikelijke transacties te melden in plaats van verdachte transacties. In het publieke debat blijft echter een andere Nederlandse specialis bijna altijd onbesproken, namelijk het uitbestedingsverbod. Kort en goed volgt uit artikel 10 Wwft dat een groot deel van het cliëntenonderzoek kan worden uitbesteed aan een derde, behalve het onderdeel dat ziet op de voortdurende controle van de zakelijke relatie.

De oorsprong van dit nationale verbod is niet geheel duidelijk. De wetgever heeft daar ooit zelf in de consultatie van de (gewraakte) wet Plan van aanpak witwassen het volgende over gezegd:

Uit de wetsgeschiedenis wordt niet duidelijk waarom uitbesteding van transactiemonitoring niet mogelijk is. Dit betekent dat transactiemonitoring in alle gevallen door de instellingen zelf gedaan moet worden en dus niet uitbesteed kan worden aan bijvoorbeeld een gespecialiseerd bedrijf. Dit terwijl bijvoorbeeld voor cliëntenonderzoek geen verbod op uitbesteding geldt. De (gewijzigde) vierde anti-witwasrichtlijn verbiedt uitbesteding bij transactiemonitoring niet en stelt alleen regels over het kunnen afgaan op cliëntenonderzoek verricht door een derde.”

Het lijkt er dan ook op dat op dit punt sprake is geweest van een slechte implementatie door Nederland. Hoe dan ook: met de introductie van de AMLR komt (ook) deze specifieke Nederlandse uitzondering te vervallen. Hieronder bespreek ik het huidige wettelijke regime voor uitbesteding onder de Wwft, en ga ik vervolgens in op het nieuwe wettelijke kader onder de AMLR waarmee het Nederlandse kader wordt vervangen. Hierbij is het goed om te vermelden dat ik de mogelijkheid onder de AMLR om partnerschappen voor informatie-uitwisselingen aan te gaan (zie artikel 75 AMLR) onbesproken laat. Dat is wellicht voer voor een volgende blog.

Huidige regime onder de Wwft (artikel 10 Wwft)

Naar Nederlands recht is het mogelijk om het cliëntenonderzoek dat ziet op: (i) de identificatie en verificatie van de cliënt; (ii) de identificatie en verificatie van de UBO; (iii) het vaststellen van het doel en de beoogde aard van de zakelijke relatie; (iv) het vaststellen van de vertegenwoordigingsbevoegdheid en de identificatie en verificatie van de vertegenwoordiger van de cliënt; en (v) het verifiëren of een cliënt voor zichzelf optreedt, dan wel ten behoeve van een derde, uit te besteden aan een derde partij. De partij aan wie de taken worden uitbesteed hoeft overigens geen entiteit te zijn die zelf ook onder de reikwijdte van de Wwft valt. Let wel: de uitbestedende partij is en blijft altijd (eind)verantwoordelijk voor de uitbestede taken. Als de uitbesteding een structureel karakter heeft, dan dient een uitbestedingsovereenkomst te worden opgesteld. De algemene uitbestedingsregels uit hoofde van sectorale wetgeving zoals bijvoorbeeld de Wft gaan ook op, voor zover een Wwft-instelling – natuurlijk – aan dergelijke regels moet voldoen.

Het uitbesteden van het deel van het cliëntenonderzoek dat ziet op de voortdurende controle van de zakelijke relatie, waaronder transactiemonitoring, mag dus niet worden uitbesteed. AFM en DNB maken hierbij een uitzondering voor de situatie waarin de voortdurende controle wordt uitbesteed aan een andere entiteit binnen dezelfde groep. In een dergelijk geval gaat deze verbodsbepaling niet op (en kan dus het transactiemonitoringsdeel van het cliëntenonderzoek wel worden uitbesteed), maar blijven de sectorale uitbestedingsregels wel van toepassing.

Toekomstmuziek onder de AMLR (artikel 18 AMLR)

In de AMLR staat een uitgebreid artikel opgenomen over uitbesteding. Hiermee wordt een stevig fundament gelegd onder de (toekomstige) uitbestedingsrelaties die vallen onder de reikwijdte van de AMLR. Hierbij valt (ook) op dat de AMLR een aantal governance vereisten met betrekking tot uitbesteding introduceert. Hieronder bespreek ik kort de belangrijkste ontwikkelingen ten opzichte van het huidige raamwerk onder de Wwft:

 

  • Een instelling mag pas overgaan tot het uitbesteden van bepaalde taken nadat de relevante toezichthouder daarover is geïnformeerd. Bij een uitbesteding moet een instelling waarborgen dat geen afbreuk wordt gedaan aan het vermogen van de toezichthouder om toezicht op de instelling zelf te houden. De instelling blijft vanzelfsprekend zelf verantwoordelijk voor de naleving van de AMLR (net zoals dat geldt onder de Wwft);

 

  • De volgende taken mogen in geen geval worden uitbesteed door de instelling:

 

    • Het voorstel en goedkeuring van de bedrijfsbrede risicoanalyse;
    • De goedkeuring van beleid, gedragslijnen en procedures;
    • De vaststelling van een risicoprofiel van een cliënt;
    • Het besluit om een zakelijke relatie aan te gaan, dan wel een transactie uit te voeren;
    • Het melden van verdachte transacties aan de FIU; en
    • De criteria die gebruikt worden in de transactiemonitoring.

 

De overige taken mogen dus in beginsel wel worden uitbesteed onder de AMLR, waaronder dus transactiemonitoring. Dit is dus een aanzienlijke verruiming ten opzichte van het huidige uitbestedingsverbod onder de Wwft. De AMLR schrijft overigens expliciet voor dat de taken niet mogen worden uitbesteed aan een dienstverlener in – kort gezegd – een derde land met een hoog risico, tenzij het gaat om een entiteit die onderdeel uitmaakt van dezelfde groep als de instelling, de groep AML/CFT-maatregelen toepast die op zij minst gelijkwaardig zijn aan de regels in de AMLR, en er op groepsniveau toezicht wordt gehouden op de naleving van de regels in de AMLR.

 

  • Voor elke uitbestede taak moet een instelling aan de toezichthouder kunnen aantonen dat zij snapt hoe de (externe) dienstverlener de uitbestede taak verricht, en dat de diensten die de worden verleend daadwerkelijk bijdragen aan het verlagen van de toepasselijke risico’s (lees: of de dienstverlener goed werk levert);

 

  • De instelling moet ook toezien op dat de dienstverlener, inclusief een eventuele onderaannemer, haar taken goed uitvoert. Dit moet ook door de instelling regelmatig worden gecontroleerd, waarbij de frequentie van de controles afhangt van de kritieke aard van de uitbestede taken. De voorwaarden van de uitbestedingsrelatie inclusief de monitoringsverplichtingen moeten zijn vastgelegd in een schriftelijke overeenkomst;

 

  • De AMLR maakt (ook) niet expliciet dat intra-groep uitbesteding mogelijk is, maar verbiedt het aan de andere kant ook niet expliciet. Wij zien dat toezichthouders zoals DNB in ieder geval ervan uitgaan dat de intra-groep uitbesteding onder de AMLR mogelijk blijft. Wij nemen vooralsnog aan dat bij een dergelijke intra-groep uitbesteding de hierboven beschreven regels onverkort van toepassing zijn. Het laatste past ook in een breder Europees (en Nederlands) perspectief waarin de sectorale uitbestedingsregels ook van toepassing zijn op intra-groep uitbestedingen. Op uiterlijk 10 juli 2027 komt de recent opgerichte Europese AML-toezichthouder (AMLA) met richtsnoeren over uitbesteding, inclusief – hopelijk – meer duidelijkheid op dit punt.

 

Afronding

Gesteld moet worden dat de AMLR aan de ene kant meer verplichtingen voor instellingen in het leven roept wat betreft de vormgeving van de uitbesteding. Eerlijkheid gebiedt wel te zeggen dat financiële ondernemingen aan de meeste regels al moeten voldoen uit hoofde van de sectorale uitbestedingsregels. Deze vereisten gaan dan ook voor met name partijen die niet bekend zijn met een dergelijk regelend kader een verzwaring behelzen. Aan de andere kant is het voor (Nederlandse) instellingen straks ook makkelijker om grotere delen van het cliëntenonderzoek uit te besteden, inclusief transactiemonitoring. Dat laatste lijkt mij een welkome ontwikkeling, zeker ook omdat in de sector behoefte bestaat om dat deel van het cliëntenonderzoek aan (meer) professionele partijen te kunnen uitbesteden. Vanuit dat oogpunt kan het einde van het uitbestedingsverbod niet snel genoeg komen.