Openstaande vragen: AMLA-richtsnoeren en nadere uitwerking
AMLA · Iwt · RTS
F — Reflectie en uitkijkpunten
Stappenplan voor oprichting van een art. 75-partnerschap
Praktisch stappenplan — chronologisch overzicht van alle modals
Dit stappenplan bundelt de inhoud van alle 13 inhoudelijke modals tot een chronologisch traject voor de Nederlandse bank die overweegt deel te nemen aan — of het initiatief te nemen tot oprichting van — een art. 75-partnerschap. Het is bewust uitgebreid van opzet (14 fasen verdeeld over vier hoofdfasen, plus randvoorwaarden) omdat een art. 75-partnerschap juridisch en operationeel een complex traject is. Per fase wordt verwezen naar de relevante modal(s) waar de uitwerking is te vinden.
Tijdspad indicatie: Een zorgvuldig opgezet art. 75-traject van strategische oriëntatie tot go-live duurt naar mijn mening tussen de 12 en 24 maanden, afhankelijk van de complexiteit van het partnerschap, de mate van bestaande samenwerking met de mede-deelnemers en de bereidheid van toezichthouders om vroegtijdig mee te denken. Dit stappenplan vooronderstelt deze tijdshorizon.
Voorbereidende fase
Fase 0 — Bestuurlijke oriëntatie en strategische positiekeuze
Voordat een instelling tijd en budget investeert in concrete oprichting, dient op bestuursniveau een gemotiveerde positiekeuze te worden gemaakt: toeschouwer, behoedzame deelnemer, of ambitieuze koploper. Deze keuze bepaalt de toon en het tempo van alle volgende fasen. Zie de modal Openstaande vragen voor de uitwerking van de drie posities.
Bestuursdocument met motivering van de gekozen positie
Vaststelling indicatief budget en tijdspad door de Raad van Bestuur
Aanwijzing van een interne projectleider met mandaat over juridische, compliance en IT-disciplines
Fase 1 — Partnerselectie en selectiememorandum
Beoordeel welke andere meldingsplichtige entiteiten als mede-deelnemer in aanmerking komen, op basis van de vijf selectiecriteria (datakwaliteit en -volume, complementariteit cliëntbasis, AML/CTF- en AVG-volwassenheid, geografische scope en jurisdictionele samenhang, reputatie en governance). Leg de selectiebeslissing vast in een selectiememorandum. Zie de modal Reikwijdte en deelnemers, advies-blok.
Conceptlijst van potentiële partners met voorlopige beoordeling per criterium
Eerste oriënterend gesprek met meest waarschijnlijke partners
Vastlegging in selectiememorandum, voorgelegd aan compliance en juridische afdeling
Fase 2 — Pre-overleg met DNB
Plan een eerste pre-overleg met DNB ruim vóór formele kennisgeving — typisch zes tot twaalf maanden vóór beoogde go-live. Bespreek op hoofdlijnen: deelnemers, scope, beoogde informatiecategorieën, beoogde technische infrastructuur. Zie de modal Kennisgeving en verificatie door de toezichthouder(s), advies-subsectie B.
Voorbereidingsdossier op hoofdlijnen (geen detailuitwerking)
Vastlegging van het pre-overleg: datum, deelnemers, besproken onderwerpen, ontvangen signalen
Identificatie van DNB als primair aanspreekpunt; afspraken over coördinatie met AP, AFM en (vanaf medio 2028) AMLA
Ontwerpfase
Fase 3 — MoU-onderhandeling
Onderhandel met de geselecteerde partners over een Memorandum of Understanding dat de gedeelde belangen, afwijkende belangen, datapreparatie, gedeelde datastandaarden en impasseprocedure vastlegt. Hier ligt ook de keuze voor het opstellen van een gezamenlijk AML/CTF-beleid (zie advies-criterium 3 uit de modal Reikwijdte en deelnemers). Zie de modal Oprichting van het partnerschap.
Conceptueel MoU met paragrafen over rol, belangen, datastandaarden, impasse
Beslissing over gezamenlijk AML/CTF-beleidskader (kostenbesparing + uniformiteit)
Juridische review en bestuurlijke goedkeuring per partner
Fase 4 — DPIA opbouwen en data framework opstellen
Voer de DPIA uit langs de vijf fasen (beschrijving, noodzaak/proportionaliteit met Wegner-ladder-koppeling, risicobeoordeling, AP-pre-consultatie, onderhoud). Bouw parallel het data framework op als integraal fundament — per art. 75 lid 3-categorie de zeven elementen (data, AVG-grondslag, vorm, proportionaliteit en doelbinding, bewaartermijn, controller, betrokkenenrechten). Zie de modal AVG en gegevensbescherming, advies-subsecties A en D.
DPIA-document met onderbouwing per datacategorie
Data framework met sjabloon per art. 75 lid 3-categorie
Voorbereiding pre-consultatie AP (ingepland in fase 9)
Fase 5 — Joint controllership-overeenkomst
Werk de joint controllership-overeenkomst uit conform art. 26 AVG: aangewezen contactpunt voor betrokkenen, taakverdeling jegens betrokkenen, regresafspraken tussen partners, en informatie-tekst voor opname in de privacyverklaring. Integreer in het MoU. Zie de modal AVG en gegevensbescherming, advies-subsectie B.
Joint controllership-overeenkomst als bijlage bij MoU
Aanwijzing van centraal contactpunt voor betrokkenenrechten
Aangepaste teksten voor de privacyverklaring van elke deelnemer
Fase 6 — Cliëntcategorie-keuze (interpretatie lid 4(f))
Maak op bestuursniveau de strategische keuze tussen nauwe en brede lezing van lid 4(f). Werk dit uit in een scope-matrix die per cliëntsegment de juridische grondslag vastlegt (vier criteria: bestaande risicoclassificatie, objectieve AMLR-categorieën, trigger-gebaseerde scope, uitsluitende afbakening). Zie de modal Welke cliënten? De reikwijdte van lid 4 onder f, advies-subsecties A, B en D.
Bestuursbesluit met motivering van de gekozen interpretatie
Scope-matrix met cliëntsegmentatie
Documentatie op drie niveaus: beleid, casus-specifiek, periodieke evaluatie
Fase 7 — Inrichting waarborgen, doorgifte-protocol en SAR-spoor
Werk de operationele waarborgen uit: het centraal registratieframework, de vijf-stappen-procedure voor lid 4(b)(c)(d), de de-risking-zorgvuldigheid (vier maatregelen), en het doorgifte-protocol per uitzondering onder lid 5. Richt parallel het gescheiden SAR-spoor in (zes elementen). Zie de modals Waarborgen bij de uitwisseling, Doorgifte-verbod en uitzonderingen en Welke informatie mag worden uitgewisseld?.
Operationeel handboek met alle procedures en autorisatieflows
IT-inrichting voor centraal registratieframework en SAR-spoor
Trainingen voor KYC-medewerkers en compliance-team
Verankeringsfase
Fase 8 — Beleidsmatige verankering (lid 6)
Breng alle voorgaande bouwstenen samen in interne beleidsdocumenten conform art. 9 AMLR. Mijn voorkeur is een zelfstandige bijlage bij het hoofdbeleid (geen volledige integratie in het bestaande beleid). Adresseer de drie vereisten van lid 6 (a/b/c) met concrete bepalingen. Zie de modal Interne beleidsvoering, advies-subsecties A en B.
Beleidsbijlage met versiebeheer
Goedkeuring door compliance, juridische afdeling en senior management
Communicatie naar betrokken eerste-, tweede- en derde-lijnsmedewerkers
Fase 9 — Pre-consultatie Autoriteit Persoonsgegevens
Op grond van art. 36 AVG bij hoog restrisico — vrijwel altijd aangewezen voor een art. 75-partnerschap. Plan dit ruim vóór de formele kennisgeving aan DNB, zodat eventuele AP-zorgpunten kunnen worden verwerkt. Zie de modal AVG en gegevensbescherming, advies-subsectie A (fase 4).
Indiening DPIA en aanvullende documentatie bij AP
Verwerking AP-bevindingen in DPIA en operationele inrichting
Documentatie van het AP-traject voor latere toezichtsverantwoording
Fase 10 — Kennisgeving aan toezichthouder(s) (lid 2)
Lever het volledige kennisgevingsdossier bij DNB, met afschrift aan AFM (waar relevant) en — vanaf medio 2028 — AMLA. Het dossier bevat alle eerder genoemde bouwstenen. Zie de modal Kennisgeving en verificatie door de toezichthouder(s), advies-subsectie A.
Compleet kennisgevingsdossier (acht onderdelen)
Wachtperiode op verificatie door toezichthouder(s)
Iteratief werken met deelproducten en eventuele bijstellingen op basis van toezichthoudersfeedback
Operationele fase
Fase 11 — Go-live met monitoring
Na positieve verificatie door de toezichthouder(s) gaat het partnerschap live. Stel direct een doorlopende monitoringstructuur in: KPI's voor uitwisselingsvolume, eigen-beoordelingsdiscipline, tipping-off-incidenten, betrokkenenrechten-verzoeken, de-risking-uitkomsten. Zie de modals Waarborgen bij de uitwisseling en AVG en gegevensbescherming.
Eerste live uitwisselingen met versterkte interne monitoring
Maandelijkse evaluatie tussen partners gedurende eerste zes maanden
Quick-fix-procedure voor gesignaleerde knelpunten
Fase 12 — Audit-paraatheid en periodieke evaluatie
Richt audit-paraatheid in als permanente werkwijze (centraal audit-dossier real-time, vooraf vastgelegde audit-trails, aangewezen audit-coördinator, periodieke interne pre-audits). Voer minimaal jaarlijks een pre-audit uit. Zie de modal Onafhankelijke audit, advies-subsectie A.
Centraal audit-dossier met alle relevante documenten actueel beschikbaar
Jaarlijkse interne pre-audit door tweede of derde lijn
Vooraf vastgelegde auditor-profielen voor verschillende scenario's
Fase 13 — Iwt- en AMLA-RTS-monitoring
Volg actief de ontwikkelingen rond de Nederlandse Implementatiewet (Iwt), de AMLA-RTS op art. 16 lid 4 (groepsdoorgifte), de CDD-RTS op art. 28(1), eventuele AMLA-richtsnoeren op art. 75, en de eerste HvJ EU-jurisprudentie. Wijs een verantwoordelijke aan binnen juridische afdeling of compliance. Zie de modal Openstaande vragen.
Aangewezen verantwoordelijke voor monitoring AMLA-publicaties en Iwt-traject
Halfjaarlijkse impactanalyse op het partnerschap-arrangement
Beleidsmatige bijstellingen via versiebeheer (zie fase 8)
Randvoorwaarden
De volgende randvoorwaarden moeten gedurende het hele traject — niet pas in een specifieke fase — geborgd zijn. Zonder deze randvoorwaarden raakt het stappenplan in elke fase in de problemen.
Bestuurlijk commitment. Continue betrokkenheid van de Raad van Bestuur, niet alleen bij de positiekeuze in fase 0 maar ook bij elke materiële beslissing daarna. Een art. 75-partnerschap is een strategisch traject, geen operationeel project.
Multidisciplinair projectteam. Permanente deelname van compliance, juridische afdeling, AML/CTF-operations, IT, AVG-functionaris en risicomanagement. Bij multinationale banken ook de groepsfuncties.
Documentatiediscipline van begin af aan. Elke beslissing, vergadering en wijziging wordt vastgelegd in een centraal projectarchief. Achteraf reconstrueren is operationeel kostbaar en juridisch riskant.
Open communicatie met toezichthouders. DNB, AP en (waar relevant) AFM en AMLA worden niet pas in fase 9 of 10 betrokken, maar gedurende het hele traject geconsulteerd op cruciale momenten.
Realistische tijdsplanning. Onderschat de doorlooptijd niet. Een uitgebreid stappenplan vraagt om realistische marges per fase en een buffertijd voor onverwachte issues — met name in de juridisch complexere fasen 4, 5, 6 en 9.
Wendbaarheid voor toekomstige uitwerking. Houd alle bouwstenen modulair: AMLA-richtsnoeren, HvJ EU-jurisprudentie en de Nederlandse Iwt kunnen inhoudelijke bijstellingen vragen. Beleid, procedures en IT-inrichting moeten zonder volledige herinrichting kunnen worden aangepast.
Bronnen
Overzicht van alle 13 inhoudelijke modals in deze flowchart · Art. 75 AMLR (volledig) · Art. 9, 16, 26, 28, 49 en 77 AMLR · Art. 12 AMLAR · Art. 26, 35 en 36 AVG · Awb · Wwft (relevante artikelen) · Wegner (2025) · Cusack (2024) · Deloitte (2024) · EBA (2025) · EDPB (2023, 2025) · AMLA SPD 2026–2028 · Concept-Iwt (in consultatie)
Achtergrondschets artikel 75 AMLR — Partnerschappen voor informatie-uitwisseling
1. Aanleiding
Waarom een Europese grondslag voor informatie-uitwisseling tussen meldingsplichtige entiteiten?
Het probleem
Witwassen en terrorismefinanciering zijn bij uitstek grensoverschrijdende fenomenen die zich niet beperken tot de cliëntenportefeuille van één instelling. Criminele netwerken opereren bewust via meerdere banken en jurisdicties om onder de individuele detectieradar te blijven. Onder het regime van de vierde en vijfde antiwitwasrichtlijn (AMLD4/5) was er geen Europese grondslag die meldingsplichtige entiteiten toestond om onderling — buiten groepsverband — persoonsgegevens en transactie-informatie uit te wisselen ten behoeve van cliëntenonderzoek en transactiemonitoring. Elke instelling opereerde als een silo.
Het Nederlandse TMNL-traject
In Nederland hebben vijf banken (ABN AMRO, ING, Rabobank, Triodos en de Volksbank) in 2020 Transactie Monitoring Nederland (TMNL) opgericht als private joint venture voor gezamenlijke transactiemonitoring. Het doel was om via gebundelde transactiedata patronen en netwerken te detecteren die individuele banken niet konden zien. Op 1 juli 2024 hebben de deelnemende banken aangekondigd dat TMNL haar activiteiten in de huidige vorm afbouwt ter voorbereiding op de inwerkingtreding van de AMLR per 10 juli 2027. De officiële verklaring is dat het bedrijfsmodel wordt heringericht binnen het nieuwe Europese kader. De werkelijkheid was naar mijn mening gelaagder: het stopzettingsbesluit moet worden geplaatst tegen de bredere achtergrond van langdurige proportionaliteits- en schaal-kritiek van de Autoriteit Persoonsgegevens en de Raad van State, de juridische opinie van Prakken d'Oliveira waarin TMNL als "criminal endeavour" werd gekwalificeerd, en de door Wegner (2025) gesignaleerde "differing interests and motivations" tussen de deelnemende banken. Voor de uitgewerkte analyse van deze AP-, EDPB- en wetenschappelijke kritiek, zie de modal Kritisch spoor.
De Wet plan van aanpak witwassen
De Wet plan van aanpak witwassen (wetsvoorstel 36.228) had de nationale grondslag voor TMNL moeten creëren. Na de aanhoudende kritiek van de Autoriteit Persoonsgegevens en de Raad van State, en in het licht van het Europese AML-pakket dat dit terrein volledig harmoniseert, heeft de Minister de bepalingen over gezamenlijke transactiemonitoring en de navraagplicht via nota van wijziging uit het wetsvoorstel geschrapt.
De Europese oplossing: artikel 75 AMLR
Verordening (EU) 2024/1624 (de Anti-Money Laundering Regulation, AMLR) is op 19 juni 2024 in het Publicatieblad verschenen en wordt op 10 juli 2027 algemeen van toepassing. Artikel 75 — het enige artikel van Hoofdstuk VI — biedt een directe Europeesrechtelijke grondslag voor partnerschappen voor informatie-uitwisseling. Nederland, Denemarken en Duitsland hebben via een gezamenlijk non-paper en in de daaropvolgende Raads- en triloogonderhandelingen gepleit voor een lidstaatoptie waarmee lidstaten eigen gezamenlijke voorzieningen voor gegevensdeling hadden kunnen blijven oprichten (zoals TMNL), maar deze optie is door het Europees Parlement in de triloog van tafel geveegd onder verwijzing naar het harmoniserende karakter van de verordening. Overweging 148 AMLR laat lidstaten wel een smalle restruimte om — in lijn met de AVG — specifiekere bepalingen vast te stellen voor de verwerking van persoonsgegevens binnen een art. 75-partnerschap.
De Fintell Alliance NL als bestaand fundament
Naast TMNL bestaat er in Nederland de Fintell Alliance NL: een publiek-private samenwerking (PPS) tussen FIU-Nederland en zes banken — ABN AMRO, ING, Knab, Rabobank, Triodos en de Volksbank — formeel bekrachtigd op 11 februari 2021. Deze zes banken werken samen met analisten van FIU-Nederland op één fysieke locatie (FIU-Nederland Jaaroverzicht 2024). Dit samenwerkingsverband is relevant als referentiemodel: het toont aan dat er bij deze banken reeds een operationeel fundament ligt — werkrelaties, processen, vertrouwen, analytische capaciteit — waarop een toekomstig art. 75-partnerschap kan voortbouwen. Het wezenlijke verschil is dat de Fintell Alliance NL een PPS is met FIU-Nederland als kernpartner. Bij een art. 75-partnerschap kán de FIU als deelnemer worden opgenomen — art. 75 lid 4 onder i en j AMLR erkennen expliciet dat bevoegde autoriteiten lid kunnen zijn van een partnerschap — maar naar mijn mening is dit naar de aard van de informatie-uitwisseling in beginsel niet zonder meer wenselijk. Het waarborgenregime van art. 75 lid 4 AMLR is primair toegesneden op private informatie-uitwisseling tussen meldingsplichtige entiteiten onderling, met afzonderlijke voorzieningen voor deelname van bevoegde autoriteiten (lid 4 onder i en j) en voor uitwisseling van SAR-informatie (lid 4 onder k, FIU-instemming vereist). Structurele FIU-deelname in een art. 75-partnerschap zou de scheiding tussen private analyse en publieke verdachtsverklaring kunnen vertroebelen, terwijl die scheiding juridisch wezenlijk is — zie de modal Welke informatie mag worden uitgewisseld? en de modal Waarborgen bij de uitwisseling voor de drielagige analyse van SAR-uitwisseling en de FIU-instemmingsvereiste van lid 4(k). De deelname van kleinere banken als Triodos en Knab toont aan dat deze vorm van samenwerking in principe ook voor kleinere banken haalbaar is; voor de ruim vijftig overige NVB-leden buiten de Fintell Alliance NL ontbreekt dit fundament echter en is de drempel voor deelname aan een art. 75-partnerschap aanzienlijk hoger.
De NVB als faciliterende brancheorganisatie
De Nederlandse Vereniging van Banken (NVB) telt tussen 60 en 65 leden — waaronder vooral kleinere binnenlandse banken en buitenlandse vestigingen die niet aan de Fintell Alliance NL deelnemen en evenmin bij TMNL betrokken waren — en is zelf geen operationeel partnerschap in de zin van art. 75 AMLR, maar faciliteert wel sectorcoördinatie, collectieve AML-projecten en belangenbehartiging. Mijns inziens kan de NVB-infrastructuur dienen als potentiële wieg voor sectorbrede art. 75-partnerschappen, met name voor de grote groep NVB-leden die buiten de bestaande samenwerkingsverbanden valt.
De bedoeling van de wetgever: overwegingen 146–149 AMLR
De overwegingen (recitals) bij art. 75 AMLR verduidelijken de bedoeling van de Europese wetgever. Overweging 146 stelt dat criminelen illegale opbrengsten via een groot aantal tussenpersonen wegsluizen en dat het daarom belangrijk is meldingsplichtige entiteiten toe te staan in bepaalde gevallen informatie uit te wisselen tussen kredietinstellingen, financiële instellingen en andere entiteiten die binnen netwerken actief zijn, met inachtneming van de gegevensbeschermingsregels. Overweging 147 benadrukt dat informatie-uitwisseling tussen meldingsplichtige entiteiten en, in voorkomend geval, bevoegde autoriteiten de mogelijkheden voor het opsporen van illegale geldstromen kan vergroten, mits strenge voorwaarden gelden ten aanzien van vertrouwelijkheid, gegevensbescherming, gebruik van informatie en strafrechtelijke procedures; tevens mag toegang tot financiële basisdiensten niet worden geweigerd op basis van uitgewisselde informatie. Overweging 148 schrijft voor dat de toezichthouders de naleving controleren — risicogebaseerd, maar in elk geval vóór de start van de partnerschapsactiviteiten — en dat een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is omdat partnerschapsverwerking een hoog risico voor de rechten en vrijheden van betrokkenen kan opleveren; toezichthouders raadplegen daarbij in voorkomend geval de gegevensbeschermingsautoriteiten. Overweging 149 — de kernoverweging voor de juridische afbakening — bepaalt dat partnerschappen voor informatie-uitwisseling de meldplicht aan de FIU niet vervangen: wanneer een meldingsplichtige entiteit op basis van partnerschapsinformatie verdachte activiteiten identificeert, blijft melding aan de FIU in de eigen lidstaat verplicht. Informatie die wijst op verdachte activiteiten is bovendien onderworpen aan strengere regels die de openbaarmaking ervan verbieden, en mag alleen worden gedeeld voor zover noodzakelijk voor de bestrijding van witwassen, basisdelicten en terrorismefinanciering, met inachtneming van de grondrechten, de vertrouwelijkheid van FIU-werkzaamheden en de integriteit van rechtshandhavingsonderzoeken.
Het AMLA-werkprogramma 2026–2028
AMLA SPD 2026–2028 AMLA verwijst in haar Single Programming Document 2026–2028 expliciet naar art. 75 AMLR en bevestigt dat deze bepaling het kader biedt voor meldingsplichtige entiteiten in de private sector om partnerschappen op te richten. AMLA kondigt aan dat zij de private sector en publieke autoriteiten zal benaderen om de noodzakelijke stappen te identificeren en te nemen teneinde de succesvolle oprichting van deze partnerschappen te faciliteren — in de woorden van de SPD: "engage with the private sector and public authorities to identify and take the necessary steps to facilitate the successful setting up of these partnerships". Daarnaast heeft AMLA onder de AMLAR een faciliterende en coördinerende rol bij grensoverschrijdende samenwerking tussen meldingsplichtige entiteiten en bij de gezamenlijke analyse van grensoverschrijdende zaken door nationale FIU's (FIU Support and Coordination Mechanism). Dit is het meest actuele signaal (4 februari 2026) dat AMLA actief werkt aan de operationalisering van art. 75.
Wettelijk kader: meldingsplichtige entiteiten ex art. 3 AMLR
Art. 75 AMLR voorziet in een directe Europeesrechtelijke grondslag voor partnerschappen voor informatie-uitwisseling tussen meldingsplichtige entiteiten. Het begrip "meldingsplichtige entiteit" wordt gedefinieerd in art. 3 AMLR en omvat een breed spectrum: kredietinstellingen, overige financiële instellingen (zoals beleggingsondernemingen, betaaldienstverleners en cryptodienstverleners) en diverse niet-financiële poortwachters — waaronder notarissen, advocaten, accountants, belastingadviseurs, trustdienstverleners, vastgoedmakelaars, handelaren in waardevolle goederen, kansspelaanbieders, kredietbemiddelaars, marktdeelnemers in investeringsmigratie, voetbalmakelaars en professionele voetbalclubs. Binnen het kader van art. 75 zijn drie soorten samenstellingen mogelijk:
Tussen meldingsplichtige entiteiten van dezelfde categorie (bijvoorbeeld bank-bank)
Tussen meldingsplichtige entiteiten van verschillende categorieën (cross-sectorieel)
Met bevoegde autoriteiten als deelnemer (een PPS-variant; vergelijk de Fintell Alliance NL als bestaand Nederlands voorbeeld)
Praktische focus voor Nederlandse banken: bank-bank
In de Nederlandse context ligt het primair voor de hand dat banken onderling een art. 75-partnerschap oprichten, gezien de bestaande Fintell Alliance NL- en TMNL-infrastructuur, de eerdere bank-bank-werkrelaties die daaruit voortkomen, en het feit dat banken in Nederland over de grootste datavolumes en analytische capaciteit beschikken om een dergelijk partnerschap operationeel zinvol te maken. Deze samenstelling kan voortbouwen op de werkrelaties tussen de zes banken (ABN AMRO, ING, Knab, Rabobank, Triodos en de Volksbank) die binnen de Fintell Alliance NL onderling al samenwerken — zij het binnen een PPS-context met FIU-Nederland als kernpartner. De modal Oprichting van het partnerschap beschrijft hoe een dergelijk partnerschap kan voortbouwen op die bestaande infrastructuur, met inachtneming van de juridische afbakening tussen Fintell Alliance NL en een art. 75-partnerschap.
Combinaties binnen de financiële sector: theoretisch wel, praktisch nog beperkt
Art. 75 AMLR maakt ook combinaties tussen verschillende typen financiële instellingen juridisch mogelijk. Vanuit een AML/CTF-perspectief zijn drie met name relevant:
Banken + cryptodienstverleners — cryptodienstverleners hebben uniek zicht op transactietypen die banken juist niet zien (on-chain transacties, conversies fiat-crypto, cross-border crypto-flows). Voor banken kan dit waardevol zijn bij cliënten met crypto-exposure.
Banken + betaaldienstverleners en e-money-instellingen — relevant gezien instant payments en virtual IBAN's, waarbij betaaldienstverleners specifieke zicht hebben op transactiepatronen die door banken niet volledig worden waargenomen.
Banken + neobanken — neobanken bedienen vaak een specifiek klantsegment (jongere generaties, gig-economy-werkers) waarbij grootbanken slechts een deelbeeld hebben.
Mijns inziens is deze combinatievorm binnen de huidige Nederlandse infrastructuur nog grotendeels theoretisch — de bestaande PPS-structuren zijn bank-georiënteerd. Art. 75 AMLR creëert echter wel het juridische kader om dergelijke partnerschappen op te zetten. Voor de toekomst is dit een relevante uitbreidingsroute, met name nu de CDD-RTS uniforme datastandaarden voor financiële én niet-financiële meldingsplichtige entiteiten harmoniseert (zie de modal Openstaande vragen).
PPS-variant: deelname van bevoegde autoriteiten
Art. 75 lid 4 onder i en j AMLR erkennen dat bevoegde autoriteiten lid kunnen zijn van een partnerschap. Daarmee biedt art. 75 AMLR een Europeesrechtelijke grondslag voor publiek-private samenwerking (PPS), zowel nationaal als grensoverschrijdend.
Naar mijn opvatting dient deze mogelijkheid echter met aanzienlijke voorzichtigheid te worden benaderd. Een art. 75-partnerschap is naar zijn aard een vrijwillige horizontale uitwisseling tussen private meldingsplichtige entiteiten, terwijl de FIU, toezichthouder en opsporingsdienst opereren binnen publiekrechtelijke regimes met eigen juridische waarborgen, kwalificaties en sanctieregimes — denk aan de meldplicht (art. 16 Wwft / art. 69 AMLR), het informatieverzoek van de FIU (art. 17 Wwft / art. 69 lid 1 onder b AMLR), de opschortingsbevoegdheid van de FIU (art. 17a Wwft per 1 juli 2026; per 10 juli 2027 geregeld in art. 3.6 Iwt als implementatie van AMLD6) en het tipping-off-verbod (art. 23 Wwft / art. 73 AMLR). Zodra een bevoegde autoriteit als structurele deelnemer toetreedt tot een art. 75-partnerschap, kan dezelfde informatie tegelijk onder beide regimes vallen — een juridisch grijs gebied. De modal Oprichting van het partnerschap werkt deze afbakening verder uit aan de hand van het concrete voorbeeld van de Fintell Alliance NL en kwalificeert vermenging van beide informatiestromen daar als juridisch niet houdbaar. Een PPS-variant onder art. 75 AMLR is daarom theoretisch toegestaan, maar in de praktijk juridisch uiterst complex: zonder een strikt gescheiden governance-laag waarin onderscheid wordt gemaakt tussen wat onder welk regime valt, is een dergelijke samenstelling niet houdbaar.
Niet-financiële meldingsplichtige entiteiten — onder andere notarissen, advocaten, accountants, belastingadviseurs, vastgoedmakelaars, handelaren in cultuurgoederen en goederen met hoge waarde, voetbalmakelaars, professionele voetbalclubs en marktdeelnemers in investeringsmigratie — mogen op grond van art. 75 AMLR in beginsel deelnemen aan een partnerschap. Twee kanttekeningen verdienen echter expliciete aandacht.
Praktische haalbaarheid verschilt sterk. De meeste niet-financiële meldingsplichtige entiteiten beschikken niet over de datavolumes, technische infrastructuur of analytische capaciteit die een art. 75-partnerschap operationeel zinvol maken. Voor een grote bank levert een partnerschap met enkele notariskantoren of makelaars vermoedelijk weinig nieuwe inzichten op — de motivatieasymmetrie die in de modal Oprichting van het partnerschap nader wordt uitgewerkt voor de bank-bank-context, werkt hier in versterkte vorm door. Tegelijk biedt de horizontale aanpak van AMLA in de CDD-RTS — één gemeenschappelijk regime voor financiële én niet-financiële sector — wel de regelgevingsbasis om dergelijke partnerschappen op termijn juridisch beter werkbaar te maken.
Verschoningsrecht — een principieel struikelblok voor advocaten en notarissen. Voor advocaten en notarissen ligt deelname aan een art. 75-partnerschap in het bijzonder minder voor de hand. Hun beroepsuitoefening wordt beheerst door een wettelijke geheimhoudingsplicht (art. 11a Advocatenwet respectievelijk art. 22 Wet op het notarisambt) en een daaruit voortvloeiend verschoningsrecht (art. 218 Sv en art. 165 lid 2 onder b Rv) dat fundamenteel verschilt van de bedrijfsmatige vertrouwelijkheid die banken kennen. Dit verschoningsrecht raakt het recht op een eerlijk proces (art. 6 EVRM) en is binnen het AML/CTF-regime reeds gerespecteerd via de uitzondering op de meldplicht voor procesbijstand (art. 70 lid 2 AMLR). Het delen van cliëntinformatie binnen een partnerschap — zelfs in gepseudonimiseerde vorm — kan op gespannen voet staan met dit verschoningsrecht, juist omdat de informatie die kwalificeert als toevertrouwd in de hoedanigheid van advocaat of notaris naar haar aard niet voor derden is bestemd. In een grensoverschrijdende context wordt dit aanzienlijk gecompliceerder doordat lidstaten het verschoningsrecht verschillend invullen, wat het juridisch en operationeel risico op onbedoelde doorbreking vergroot.
Wetenschappelijke kanttekening — de motivatieparadox (Wegner)
Wegner (2025) signaleert dat de triloogpartners er bij het ontwerp van art. 75 AMLR stilzwijgend vanuit zijn gegaan dat meldingsplichtige entiteiten intrinsiek gemotiveerd zijn om aan een partnerschap deel te nemen. In de praktijk zal die motivatie echter per use case sterk verschillen. Met name het opsporen van zogenoemde 'unknown unknowns' via netwerkanalyse — de oorspronkelijke TMNL-insteek — ligt volgens Wegner niet in het directe zakelijke belang van instellingen omdat het kosten toevoegt zonder directe kostenbesparing. Wegner suggereert daarom dat AMLA via richtsnoeren op art. 26 lid 5 AMLR (transactiemonitoring) gezamenlijke transactiemonitoring indirect verplicht zou kunnen stellen — een route die de wettelijke vrijwilligheid van art. 75 AMLR formeel intact laat, maar in de uitvoering nader inhoud geeft.
Naar mijn mening verklaart Wegner's observatie waarom de in lid 2 verankerde vrijwilligheid in de praktijk onder druk komt te staan (zie de volgende kanttekening over praktische uitholling van vrijwilligheid).
Art. 75 AMLR vraagt om een praktische kanttekening. Hoewel de wet ruimte laat aan instellingen om al dan niet deel te nemen aan een partnerschap, ontstaat in de praktijk een feitelijk verwachtingspatroon zodra nationale of Europese concurrenten wél deelnemen. Drie mechanismen versterken die druk:
Toezichthouders zullen tijdens reguliere toezichtsgesprekken vragen waarom een instelling níet aansluit bij beschikbare informatie-uitwisselingsstructuren.
Correspondentbankrelaties kunnen vergelijkbare vragen oproepen wanneer counterparties wél deelnemen — niet-aansluiten kan in de de-risking-praktijk (waarbij correspondentbanken compliance-zwakheden bij counterparties laten meewegen voor de voortzetting van de relatie) worden gelezen als compliance-tekortkoming en aanleiding zijn voor aanvullende vragen of bijstelling van de relatie.
Het uitblijven van deelname kan in publieke perceptie of in interactie met opsporingsautoriteiten worden uitgelegd als een onvoldoende bijdrage aan de bestrijding van financiële criminaliteit.
Mijn analyse is dat de wettelijke vrijwilligheid daarmee juridisch intact maar praktisch uitgehold is: de keuze is in formele zin vrij, maar de prijs van niet-deelname kan substantieel zijn voor een instelling met internationale uitstraling. Voor kleinere, regionaal opererende instellingen is die druk aanzienlijk minder: hun correspondentbankrelaties zijn beperkter, hun publieke profiel minder zichtbaar, en zij worden door toezichthouders niet primair op internationale peer-groep gespiegeld.
Tegelijk werkt reputatie ook in tegengestelde richting: een instelling die zonder voldoende AVG-waarborgen aansluit en deelt, kan reputatieschade oplopen langs een andere as — toezicht door de Autoriteit Persoonsgegevens, kritiek van maatschappelijke organisaties en mogelijke schadeclaims van betrokkenen. De bestuurlijke afweging om deel te nemen is daarmee niet binair, maar een zorgvuldige weging tussen reputatierisico bij niet-deelname enerzijds en reputatie- en compliance-risico bij ondoordachte deelname anderzijds.
Advies — selectiecriteria voor partnerkeuze
Wanneer een bank besluit deel te nemen aan een art. 75-partnerschap — of zelf het initiatief neemt tot oprichting — rijst de vraag welke andere instellingen wenselijk zijn als partner. Naar mijn mening dient deze selectie expliciet en gemotiveerd plaats te vinden, vóórdat MoU-gesprekken (zie modal Oprichting van het partnerschap) worden geopend. Vijf criteria verdienen daarbij prioriteit.
1. Datakwaliteit en -volume
Sluit aan op het "what you bring to the table"-principe dat in de modal Oprichting van het partnerschap nader wordt uitgewerkt. Beoordeel of de potentiële partner over voldoende gestructureerde, kwalitatief goede data beschikt om binnen het partnerschap waarde toe te voegen. Een partner zonder ordentelijke datahuishouding belast het partnerschap zonder wederkerigheid.
2. Risicoprofiel van de cliëntbasis: complementariteit boven overlap
Beoordeel of de cliëntportefeuille van de potentiële partner complementair is aan die van de eigen instelling, in plaats van puur overlappend. Een partner met dezelfde cliëntsegmenten levert vooral bevestigend signaal, zoals uit de TMNL-praktijk bleek (zie modal Oprichting van het partnerschap, advies-subsectie 1); een partner met juist andere segmenten (bijvoorbeeld een cryptodienstverlener of een neobank naast een traditionele grootbank) levert nieuwe inzichten — al brengt complementariteit ook operationele complexiteit met zich mee, want partners met verschillende cliëntsegmenten hanteren doorgaans verschillende datastructuren en risicokwalificaties.
3. AML/CTF- en AVG-volwassenheid
Een partnerschap is zo sterk als zijn zwakste schakel. Een partner die operationeel en juridisch onvoldoende volwassen is op het terrein van AML/CTF (gedragslijnen, procedures, transactiemonitoring, sanctiescreening) of AVG (DPIA-praktijk, dataminimalisatie, beveiliging) introduceert bij het partnerschap een kwetsbaarheid die op de andere partners afstraalt — zowel reputationeel als juridisch (gezamenlijke verwerkingsverantwoordelijkheid speelt hier).
Een gezamenlijk AML/CTF-beleid als instrument. Mijn voorkeur is om een art. 75-partnerschap juist op dit punt te benutten als een unieke kans — en lost zo de spanning op tussen criterium 2 (complementariteit) en criterium 3 (volwassenheid): in plaats van enkel toetsen of de potentiële partner voldoende volwassen is, kunnen de deelnemende banken ervoor kiezen een gezamenlijk AML/CTF-beleid op te stellen dat door alle deelnemers wordt onderschreven. Vrijwel alle universele Nederlandse banken bieden dezelfde kerndiensten en -producten (betaalrekeningen, spaarrekeningen, hypotheken, consumptief krediet, beleggingsrekeningen). Daarmee kennen zij — op hun eigen specifieke productaanbod en cliëntsegmenten na — vergelijkbare ML/TF-risico's en CDD-vraagstukken. Een gezamenlijk beleid biedt drie soorten voordelen tegelijk:
Operationeel en financieel: kostenbesparing door schaalvoordelen, gedeelde investeringen in detectie- en monitoringstools, en uniforme werkwijzen die de operationele lasten verlagen.
Kwalitatief: alle deelnemers hanteren dezelfde minimumstandaarden, waardoor de "zwakste schakel"-problematiek structureel wordt geadresseerd in plaats van per partner getoetst.
Juridisch en bestuurlijk: een gezamenlijk beleid is beter uitlegbaar en auditbaar richting toezichthouders (DNB, AMLA, AP) en versterkt de positie van de Nederlandse banksector als geheel — een vorm van industry standard die de gehele sector optilt.
Juridische randvoorwaarde. Een gezamenlijk AML/CTF-beleid mag de eigen verantwoordelijkheid van elke deelnemende bank op grond van de AMLR en het nationale toezichtsregime niet uitschakelen. Banken blijven individueel verantwoordelijk voor hun cliëntenonderzoek, transactiemonitoring en sanctiescreening. Het gezamenlijke beleid functioneert als gemeenschappelijke onderkant (minimum baseline) waar individuele banken wel boven mogen handhaven, maar niet onder. Dit is een soortgelijke constructie als bij brancherichtlijnen via de NVB, maar dan met een formele juridische verankering binnen het partnerschap. Zorg dat dit beleidskader expliciet in het MoU wordt opgenomen, met een eenduidige procedure voor periodieke herziening en geschillenbeslechting bij interpretatieverschillen.
4. Geografische scope en jurisdictionele samenhang
Beoordeel of de potentiële partner overwegend in dezelfde jurisdicties opereert of juist in andere. Bij overwegend Nederlandse partners is het juridische kader eenvoudiger te beheersen (één AML-toezichthouder, één AVG-toezichthouder, één strafrechtelijk regime). Bij grensoverschrijdende partners moet vooraf worden uitgewerkt hoe verschillen in nationale wetgeving (verschoningsrecht, tipping-off, opschortingsregimes) worden gehanteerd.
5. Reputatie en governance
Beoordeel de reputatie en governance-structuur van de potentiële partner: bestuursintegriteit, eerdere AML-handhavingstrajecten, kwaliteit van interne controles, openheid richting toezichthouders. Een partner met een gespannen verhouding tot de toezichthouder kan het hele partnerschap in een ongunstig licht plaatsen.
Mijn aanbeveling is om de selectiebeslissing expliciet vast te leggen in een selectiememorandum dat aan het MoU-proces voorafgaat. In dat memorandum wordt per criterium gemotiveerd waarom de betreffende partner is geselecteerd, en welke risico's of beperkingen daarbij worden onderkend. Daarmee wordt zowel de eigen interne besluitvorming als de externe verantwoording (richting DNB, AMLA en — bij latere geschillen — ook richting de civiele rechter) versterkt.
De vrijwilligheid van deelname en de daarmee samenhangende motivatieparadox (Wegner) zijn behandeld in de modal Reikwijdte en deelnemers. De huidige modal richt zich op de praktische uitwerking van de oprichtingsfase voor instellingen die — gegeven die kaders — daadwerkelijk besluiten een art. 75-partnerschap op te zetten of daaraan deel te nemen.
Oprichtingsstappen (Deloitte-interpretatie)
Deloitte 2024 Deloitte schetst in haar paper een vierstappenproces om een art. 75-partnerschap op te richten: (1) meldingsplichtige entiteiten zijn voornemens vrijwillig deel te nemen; (2) alle deelnemers stellen hun respectieve AML-toezichthouders in kennis; (3) de AML-toezichthouders beoordelen de aanvraag, in onderling overleg met elkaar en met de AVG-toezichthouder, en verifiëren of de DPIA is uitgevoerd — waarbij de FIU's worden geraadpleegd indien het partnerschap van plan is SAR-gerelateerde data te delen; (4) zo nodig gelast de AML-toezichthouder een onafhankelijke audit. Deloitte presenteert dit als haar eigen interpretatie van het procedurele kader.
Fintell Alliance NL als startpositie
Zoals reeds toegelicht in de modals Achtergrondschets en Reikwijdte en deelnemers, biedt de Fintell Alliance NL voor de zes deelnemende banken een waardevol fundament: werkrelaties, gedeelde locatie, analytische capaciteit en vertrouwen zijn al opgebouwd. Een toekomstig art. 75-partnerschap kan op deze fundamenten voortbouwen — zij het dat de Fintell Alliance een PPS is met de FIU als kernpartner, terwijl een art. 75-partnerschap in zijn primaire variant privaat is (de PPS-variant blijft mogelijk; zie modal Reikwijdte en deelnemers). Voor de ruim vijftig overige NVB-leden buiten de Fintell Alliance NL ontbreekt dit fundament en is de drempel voor deelname aan een art. 75-partnerschap aanzienlijk hoger; de NVB-infrastructuur kan voor deze groep fungeren als coördinatieplatform om alsnog art. 75-deelname binnen de bredere bankensector te bevorderen.
Kanttekening — juridische afbakening tussen Fintell Alliance NL en art. 75-partnerschap. Bij het voortbouwen op de Fintell Alliance NL dient naar mijn mening scherp onderscheid te worden gemaakt tussen de informatiestromen die binnen beide structuren plaatsvinden. Binnen de Fintell Alliance NL figureert FIU-Nederland als structurele partner. De huidige werkwijze van de Fintell Alliance NL opereert binnen de bestaande wettelijke kaders: de uitgewisselde informatie (trends, typologieën, gezamenlijke inzichten) raakt in die opzet niet aan de meldplicht voor ongebruikelijke transacties (art. 16 Wwft / art. 69 AMLR), het informatieverzoek van de FIU (art. 17 Wwft / art. 69 lid 1 onder b AMLR) of de opschortingsbevoegdheid van de FIU (art. 17a Wwft per 1 juli 2026; per 10 juli 2027 geregeld in art. 3.6 Iwt als implementatie van AMLD6). Zodra echter informatie die onder art. 75 AMLR tussen private meldingsplichtige entiteiten zou worden gedeeld óók wordt ingebracht in een structuur waar FIU-Nederland meeleest, ontstaat een juridisch grijs gebied: dezelfde informatie kan dan tegelijk onder het vrijwillige horizontale regime van art. 75 AMLR én onder de publiekrechtelijke regimes (meldplicht, informatieverzoek, opschorting) vallen — twee regimes met fundamenteel verschillende rechtsgevolgen en juridische waarborgen. Aan de publiekrechtelijke regimes kleven specifieke procedurele waarborgen (zoals rechterlijke of FIU-toetsing, gefixeerde termijnen, wettelijke uitzonderingen op betrokkenenrechten) die niet automatisch gelden voor een vrijwillige horizontale uitwisseling tussen private partijen. De aard van de gedeelde informatie kan identiek zijn; het rechtsregime waaronder zij valt — en daarmee de consequenties — is dat niet. Wel geldt het tipping-off-verbod (art. 23 Wwft / art. 73 AMLR) onverkort voor de deelnemende meldingsplichtige entiteiten ook binnen een art. 75-partnerschap; zie de modal Welke informatie mag worden uitgewisseld? voor de uitwerking.
Overweging 149 AMLR bevestigt deze juridische afbakening uitdrukkelijk: partnerschappen mogen de meldplicht niet vervangen — wanneer meldingsplichtige entiteiten verdachte activiteiten identificeren via partnerschapsinformatie, moeten zij dat vermoeden alsnog melden aan de FIU — en informatie die wijst op verdachte activiteiten is "onderworpen aan strengere regels die de openbaarmaking ervan verbieden". Naar mijn mening is het daarom juridisch niet houdbaar om dezelfde informatie die men voornemens is binnen een art. 75-partnerschap te delen óók in een structuur met FIU-betrokkenheid (zoals de Fintell Alliance NL) te delen: dat schuurt te zeer aan het meldregime, het bevragingsregime en de opschortingsbevoegdheid, waarvan de juridische rechtsgevolgen fundamenteel anders zijn dan die van een vrijwillige horizontale uitwisseling. Bij oprichting van een art. 75-partnerschap verdient het daarom aanbeveling om de governance, de datastromen en de documentatie van beide samenwerkingsvormen strikt gescheiden in te richten, ook wanneer de deelnemende instellingen aan beide structuren deelnemen.
Advies — motivatieasymmetrie, Memorandum of Understanding en datapreparatie
1. Verdiep de motivatieasymmetrie aan de hand van de TMNL-praktijk
De motivatieparadox van Wegner is in algemene zin behandeld in de modal Reikwijdte en deelnemers (wetenschappelijke kanttekening). Hier wordt deze verdiept aan de hand van de TMNL-praktijk en de operationele consequenties voor de oprichtingsfase.
Uit mijn eigen ervaring bij het afhandelen van TMNL-signalen was het eerder regel dan uitzondering dat een TMNL-signaal niet tot nieuwe inzichten leidde bij grotere banken: de betreffende cliënt was via de eigen ML/TF-controls al in beeld, en het signaal fungeerde vooral als bevestiging. Voor kleinere instellingen was de toegevoegde waarde van exact hetzelfde signaal juist hoog. Deze asymmetrie is mijns inziens structureel verklaarbaar uit twee samenhangende oorzaken. Ten eerste fungeren grotere banken vaak als huisbankier en hebben zij daardoor een completer transactiebeeld van een cliënt, terwijl bij kleinere instellingen slechts een deelbeeld van het transactiepatroon zichtbaar is. Ten tweede beschikken grotere banken over aanzienlijk meer budget en daarmee meer capaciteit om hun detectie-framework en controls zo in te richten dat een significant deel van de ML/TF-risico's reeds intern wordt geïdentificeerd — voordat er überhaupt een extern signaal binnenkomt.
Wegner benoemt dat "differing interests and motivations" tussen de deelnemende banken mogelijk een factor zijn geweest bij het stopzetten van TMNL. Mijn analyse is dat de hierboven geschetste asymmetrie dit bevestigt: wanneer het ene deelnemende lid structureel andere waarde aan dezelfde signalen ontleent dan het andere lid, ligt een onderliggend verschil in motivatie voor de hand. Dit vraagt in de oprichtingsfase om expliciete adressering — niet als reden om kleinere banken uit te sluiten (zie de drie tegenargumenten hieronder), maar als startpunt voor een Memorandum of Understanding waarin uiteenlopende belangen vooraf worden vastgelegd.
Deze constatering dient echter met nuance te worden gehanteerd. Het is géén argument om kleinere banken buiten een partnerschap te houden, om drie redenen. Ten eerste kan een grotere bank wel degelijk baat hebben bij signalen van kleinere banken wanneer een cliënt transacties uitvoert via rekeningen die bij de grotere bank niet zichtbaar zijn. Ten tweede is bij netwerkanalyse — de oorspronkelijke TMNL-doelstelling rond het opsporen van "unknown unknowns" — zelfs een klein puzzelstukje van een kleinere bank soms doorslaggevend om een crimineel netwerk zichtbaar te krijgen. Ten derde beschikken nieuwe spelers zoals cryptodienstverleners, betaaldienstverleners en neobanken over uniek zicht op specifieke transactietypen die traditionele grootbanken juist niet in beeld hebben. De motivatieasymmetrie moet dus worden erkend en geadresseerd, niet gebruikt als selectiecriterium om kleinere of nieuwe spelers buiten te sluiten.
2. Sluit een Memorandum of Understanding (MoU) af voordat het partnerschap wordt opgericht
Mijn aanbeveling is om voorafgaand aan de formele oprichting van een partnerschap tussen instellingen van uiteenlopende omvang een Memorandum of Understanding (MoU) af te sluiten, waarin in ieder geval wordt vastgelegd: (i) welke rol iedere instelling binnen het partnerschap zal vervullen, (ii) welke belangen gedeeld zijn en welke onderling verschillen, en (iii) op welke wijze wordt omgegaan met situaties waarin uiteenlopende belangen tot een impasse kunnen leiden (geschillenbeslechtings- en escalatieprocedure).
Door deze spanning expliciet en vooraf te adresseren, wordt voorkomen dat de "differing interests and motivations" waaraan Wegner refereert bij TMNL zich binnen het nieuwe partnerschap opnieuw manifesteren — ditmaal als onderliggend conflict dat pas zichtbaar wordt wanneer de samenwerking operationeel is. Het alternatief — uiteenlopende verwachtingen pas adresseren wanneer zij concrete gevolgen krijgen voor de besluitvorming — heeft bij TMNL mogelijk bijgedragen aan de stopzetting en is een les die bij de oprichting van art. 75-partnerschappen niet mag worden herhaald.
3. Breng vooraf in kaart "what you bring to the table"
Een effectief partnerschap onder art. 75 AMLR vereist dat deelnemende instellingen in staat zijn kwalitatief goede, bruikbare data aan te leveren. Kwalitatief goede data vereist echter dat de interne datahuishouding van de instelling op orde is. Mijn advies is daarom om voorafgaand aan MoU-gesprekken met potentiële partnerschapspartners intern in kaart te brengen: welke relevante data een instelling aan andere deelnemers kan leveren, welke waarde die data voor de ontvangende partij kan hebben, welke data zij van anderen nodig heeft, en welke meerwaarde dat oplevert voor de eigen risicobeoordeling.
Concreet voorbeeld — geanonimiseerde datapropositie die een bank vóór de MoU-gesprekken klaar zou kunnen hebben:
Bank Y heeft x particuliere cliënten. Hiervan zijn x gekwalificeerd als PEP met risicoclassificatie hoog vanwege inkomende geldstromen uit hoogrisicojurisdicties. Van deze PEP-groep boekt x aantal cliënten ontvangen gelden door naar eigen rekeningen bij Bank Z, Q en S. In de periode x t/m y heeft Bank Z in totaal EUR 2,5 miljoen ontvangen (verdeeld over cliënt A: …, cliënt B: …), Bank Q EUR 4,5 miljoen, Bank S EUR 1,5 miljoen.
Voor de ontvangende banken Z, Q en S kan deze informatie waardevol zijn: zij waren mogelijk niet bekend met het feit dat de bron van deze middelen zich in een hoogrisicojurisdictie bevindt — al dan niet met een plausibele reden — en die kennis kan de risicobeoordeling van dezelfde cliënten bij Z, Q en S wezenlijk beïnvloeden. Door de data op deze wijze vooraf intern gestructureerd te hebben, wordt het uiteindelijk delen (in geanonimiseerde vorm, zoals besproken in de modal AVG en gegevensbescherming) aanmerkelijk eenvoudiger: de inbrengende bank weet vooraf hoe relevant de informatie kan zijn voor de ontvangende partij, en vice versa in vergelijkbare gevallen.
Deze aanpak heeft iets van een "mag ik van jou, in de kleur rood, dit en dat"-structuur: de inbrengende bank kent de kenmerken al, de ontvangende bank moet vervolgens op basis van die kenmerken en de transactieperiode zelf intern achterhalen om welke cliënten het in haar eigen administratie gaat. Juridisch is dit echter geen pragmatische gemakzucht maar een AVG-conforme privacy-by-design-benadering (art. 25 AVG): de inbrengende bank identificeert bij de ontvanger niet onnodig individuele cliënten, wat aansluit op het beginsel van dataminimalisatie (art. 5 lid 1 onder c AVG) en op Wegner's ladder-model (de privacy-preserverende niveau 2: granulaire statistische uitwisseling op een afgebakend hoog-risicocohort). Het voorbeeld laat zich volledig anonimiseren zonder dat de operationele bruikbaarheid verloren gaat.
Kanttekening bij het op orde brengen van de datahuishouding. De instelling dient er rekening mee te houden dat de Regulatory Technical Standards op art. 28(1) AMLR (CDD-RTS) — die de harmonisatie van CDD-data Europees regelt — per 9 februari 2026 in consultatie zijn gegaan. De consultatieperiode loopt tot 8 mei 2026; AMLA dient de finale versie uiterlijk 10 juli 2026 bij de Europese Commissie in; toepassing valt samen met de AMLR-toepassingsdatum van 10 juli 2027. Een datahuishouding die nu wordt ingericht op basis van de huidige Wwft-normen, zal op onderdelen mogelijk opnieuw moeten worden gealigneerd zodra de CDD-RTS definitief is. Houd de inrichting daarom voldoende modulair om later te kunnen overschakelen zonder volledige herinrichting.
Een juridisch relevant aandachtspunt voor het MoU-proces is dat AMLA in de CDD-RTS bewust heeft gekozen voor principle-based drafting: de RTS stelt criteria (zoals "betrouwbare en onafhankelijke informatiebronnen" in art. 8 van de draft RTS) in plaats van prescriptieve voorschriften (zoals "gebruik bron X"). Dit biedt instellingen flexibiliteit, maar heeft als keerzijde dat deelnemende partners binnen een art. 75-partnerschap zelf expliciet moeten vastleggen welke concrete bronnen, documentatiestandaarden en verificatiemethoden worden gehanteerd. Mijns inziens dient het MoU daarom — als onderdeel van de afspraken over rol en belangen — ook een paragraaf te bevatten over gedeelde datastandaarden: zonder een dergelijke paragraaf ontstaat kwaliteitsasymmetrie tussen wat partners inbrengen, wat de operationele bruikbaarheid van gedeelde informatie ondermijnt en uiteenlopende interpretaties faciliteert over wat "voldoende CDD" is binnen het partnerschap.
Overigens is relevant dat AMLA in deze CDD-RTS art. 75 AMLR niet expliciet adresseert. De RTS regelt welke informatie per meldingsplichtige entiteit moet worden verzameld, niet hoe die informatie tussen entiteiten mag worden gedeeld. Indirect schept de CDD-RTS niettemin een belangrijke voorwaarde voor het deelregime binnen partnerschappen: door uniformiteit in de wijze waarop cliëntinformatie wordt verzameld en gestructureerd, wordt de onderlinge uitwisseling tussen deelnemers aanzienlijk vergemakkelijkt en wordt de operationele bruikbaarheid van gedeelde informatie versterkt.
Samenvattend advies: een instelling dient te weten waar haar klantportefeuille uit bestaat, welke inherente risico's er spelen en hoe deze zijn gemitigeerd, voordat zij aan de oprichting van een partnerschap begint. Zodra deze interne kennis op orde is, wordt niet alleen de onderhandelingspositie binnen het partnerschap sterker, maar ook de toepassing van AVG-regels bij het daadwerkelijk delen van data aanzienlijk eenvoudiger — precies omdat anonimisering dan mogelijk wordt op een wijze die voor de ontvangende bank nog steeds operationeel bruikbaar is.
Kennisgeving en verificatie door de toezichthouder(s) — Art. 75 lid 2 AMLR
B — Procedurele en juridische randvoorwaarden
Kennisgevingsplicht (lid 2)
Meldingsplichtige entiteiten die voornemens zijn deel te nemen aan een partnerschap voor informatie-uitwisseling zijn verplicht hun respectieve toezichthouders daarvan in kennis te stellen (art. 75 lid 2 AMLR). De AML-toezichthouders verifiëren vervolgens — in voorkomend geval in onderling overleg en in overleg met de autoriteit die belast is met de naleving van de AVG — of het partnerschap over mechanismen beschikt om aan de vereisten van art. 75 te voldoen en of de verplichte DPIA (lid 4 onder h) is uitgevoerd. Deze verificatie vindt plaats vóór de aanvang van de activiteiten.
Raadpleging van de FIU's
In voorkomend geval raadplegen de AML-toezichthouders ook de FIU's (Financial Intelligence Units). In de Nederlandse context is dit FIU-Nederland. De raadpleging is met name relevant wanneer het partnerschap voornemens is SAR-gerelateerde informatie uit te wisselen — lid 4 onder k vereist daarvoor instemming van de FIU. Zie de modal Welke informatie mag worden uitgewisseld? voor de drielagige juridische analyse van SAR-uitwisseling binnen een partnerschap.
Meerdere toezichthouders — ook bij bank-bank
Bij een zuiver bank-bank-partnerschap kan sprake zijn van meerdere toezichthouders. Op grond van art. 12 AMLAR kan AMLA kredietinstellingen en financiële instellingen die in ten minste zes lidstaten actief zijn onder direct toezicht nemen. De selectieprocedure begint uiterlijk 1 juli 2027 en wordt binnen zes maanden afgerond; het feitelijke direct toezicht begint zes maanden na publicatie van de selectielijst, dus naar verwachting medio 2028 (art. 13 lid 4 AMLAR). Indien in een art. 75-partnerschap de ene bank onder DNB-toezicht valt en de andere bank onder direct AMLA-toezicht, moeten beide toezichthouders de opzet verifiëren. Daarnaast kan bij grensoverschrijdende partnerschappen — bijvoorbeeld een Nederlandse bank met een Duitse bank — sprake zijn van betrokkenheid van de toezichthouders van beide lidstaten.
Eindverantwoordelijkheid
De eindverantwoordelijkheid voor de naleving van het Unierecht of het nationale recht blijft bij de deelnemers aan het partnerschap zelf (art. 75 lid 2, tweede alinea). Verificatie door de toezichthouder ontslaat de deelnemers dus niet van hun eigen compliance-verantwoordelijkheid; de toetsing is geen vrijwaring.
De Nederlandse toezichtkaart voor een art. 75-partnerschap
Voor een Nederlandse bank-bank-partnerschap raken concreet vijf autoriteiten in beeld, elk met een eigen rol en juridische grondslag:
De Nederlandsche Bank (DNB) — primair Wwft-toezichthouder voor banken (art. 1d en 30 Wwft). DNB toetst de mechanismen die het partnerschap heeft om aan art. 75 AMLR te voldoen en blijft na go-live de doorlopende AML/CTF-toezichthouder voor elke deelnemende bank.
AMLA — vanaf medio 2028 op grond van art. 12 AMLAR direct toezicht op kredietinstellingen en financiële instellingen die in ten minste zes lidstaten actief zijn. Voor de drie Nederlandse grootbanken die in voldoende lidstaten opereren (ABN AMRO, ING, Rabobank) is dit zeer waarschijnlijk de toepasselijke route. AMLA en DNB werken samen via een joint supervisory team-structuur, vergelijkbaar met de SSM-systematiek bij ECB.
Autoriteit Persoonsgegevens (AP) — als nationale AVG-toezichthouder (art. 51 AVG). De AP is via lid 2 — als nationale AVG-toezichthouder — aangewezen als consultatiepartner van de AML-toezichthouder, met specifieke aandacht voor de DPIA (lid 4 onder h). Zie de modal AVG en gegevensbescherming.
Autoriteit Financiële Markten (AFM) — AFM raakt aan elk partnerschap waar effectenrekeningen, beleggingsfondsen of MiFID-cliënten in beeld zijn. Wanneer de scope van het partnerschap zich uitstrekt tot beleggingsdienstverlening of vermogensbeheer, dient AFM eveneens kennis te krijgen van de opzet en betrokken te worden bij de verificatie.
FIU-Nederland — geen toezichthouder in strikte zin, maar via de "in voorkomend geval"-clausule van lid 2 structureel betrokken bij partnerschappen die voornemens zijn SAR-gerelateerde informatie uit te wisselen. De instemming van FIU-Nederland is dan op grond van lid 4 onder k een aparte rechtsgrondvoorwaarde. Zie de modal Welke informatie mag worden uitgewisseld?.
Advies — vroeg betrekken, kennisgevingsdossier en omgaan met negatief oordeel
Het advies bestaat uit drie samenhangende subsecties: (A) de inhoud van het procedurele kennisgevingsdossier, (B) de strategische positionering van de toezichthouder — vroeg in het traject, zodat verrassingen worden vermeden, en (C) handelingsopties wanneer een toezichthouder tot een negatief oordeel komt.
A. Het procedurele kennisgevingsdossier — inhoud en aanlevering
Art. 75 lid 2 noemt twee verificatiepunten: (i) of het partnerschap over mechanismen beschikt om aan art. 75 te voldoen en (ii) of de DPIA is uitgevoerd. In de praktijk zal de toezichthouder echter het hele bouwwerk willen zien voordat zij verifieert. Mijn aanbeveling is dat het kennisgevingsdossier daarom ten minste de volgende onderdelen bevat:
Het Memorandum of Understanding tussen de partners (zie modal Oprichting van het partnerschap) — met daarin rolverdeling, gedeelde belangen, afwijkende belangen, impasseprocedure en gedeelde datastandaarden.
De Data Protection Impact Assessment (DPIA) op grond van art. 35 AVG en art. 75 lid 4 onder h AMLR (zie modal AVG en gegevensbescherming).
De governance-structuur en gegevensstromen — wie verwerkt wat, waar, met welke grondslag, en hoe wordt de gemeenschappelijke verwerkingsverantwoordelijkheid (joint controllership) belegd?
Beleid voor SAR-uitwisseling — het gescheiden verwerkingsspoor zoals uitgewerkt in de modal Welke informatie mag worden uitgewisseld?, inclusief de FIU-instemmingsprocedure en de tipping-off-discipline.
Het cliëntcategorieën-kader — hoe is lid 4 onder f geoperationaliseerd; over welke cliënten wordt informatie uitgewisseld en hoe worden hoogrisico-categorieën onderscheiden van standaardrisico-categorieën (zie modal Welke cliënten?).
Beleid voor het doorgifte-verbod — hoe wordt geborgd dat informatie binnen het partnerschap blijft en niet ongeautoriseerd naar derden vloeit (zie modal Doorgifte-verbod en uitzonderingen).
Plan voor onafhankelijke audit — een vooropgezette structuur waarmee een audit op verzoek van de toezichthouder snel kan worden uitgevoerd (zie modal Onafhankelijke audit).
Selectiememorandum partnerkeuze — de gemotiveerde selectiebeslissing van mede-deelnemers (zie modal Reikwijdte en deelnemers).
B. Strategische positionering — neem de toezichthouder vroeg mee
Naar mijn opvatting is het cruciaal om de toezichthouder niet pas bij formele kennisgeving te betrekken, maar al gedurende de oprichtingsfase. Een formele kennisgeving die de toezichthouder als verrassing bereikt, komt op het moment dat de bank al maanden heeft geïnvesteerd in voorbereiding — en dat creëert druk aan beide kanten waar geen van beide partijen iets aan heeft. Drie principes:
Pre-overleg ruim vóór formele kennisgeving. Plan een eerste pre-overleg zodra de partnerselectie en de hoofdlijnen van het MoU vorm krijgen — typisch zes tot twaalf maanden vóór beoogde go-live. Bespreek dan op hoofdlijnen: deelnemers, scope, beoogde informatiecategorieën, beoogde technische infrastructuur. Dit stelt de toezichthouder in staat om in een vroeg stadium signalen af te geven over zorgpunten, voordat die zorgpunten in beton zijn gegoten.
Continu betrekken in de ontwerpfase. Behandel de toezichthouder als ontwerppartner gedurende de DPIA-fase, de governance-uitwerking en de inrichting van het SAR-spoor. Dat betekent niet dat de toezichthouder meeschrijft — wel dat de bank periodiek (bijvoorbeeld eens per kwartaal) tussentijdse versies deelt en concrete vragen stelt waarop de toezichthouder kan reageren. Voor een Nederlandse bank-bank-partnerschap ligt het voor de hand DNB als primair aanspreekpunt aan te wijzen, die op zijn beurt de coördinatie met AP, AFM en — vanaf medio 2028 — AMLA voert. Dit voorkomt dat de bank zelf vier of vijf parallelle toezichthouder-trajecten moet onderhouden.
Documentatie van het pre-overleg. Leg per pre-overleg vast: datum, deelnemers, besproken onderwerpen, gestelde vragen en ontvangen signalen. Deze documentatie dient een tweeledig doel: (i) bewijs van proces-zorgvuldigheid bij eventuele latere geschillen, en (ii) interne kennisborging zodat opvolgers en auditors de besluitvorming kunnen reconstrueren. Bij grensoverschrijdende partnerschappen vraagt dit extra aandacht — verwerk de pre-overleggen met buitenlandse toezichthouders in dezelfde structuur.
C. Wat te doen bij een negatief oordeel?
Art. 75 lid 2 AMLR regelt niet wat er gebeurt wanneer een toezichthouder tot een negatief oordeel komt. De wet noemt geen verificatietermijn, geen bezwaarprocedure, geen criteria voor wat "voldoet niet aan art. 75" precies betekent, en evenmin een herstelmechanisme voor partnerschappen die op onderdelen zouden kunnen worden bijgesteld. Hier ligt een wettelijke lacune die in de praktijk substantiële rechtsonzekerheid kan opleveren voor instellingen die maanden hebben geïnvesteerd in voorbereiding.
Mijns inziens is de beste mitigatie van deze lacune preventief: door het strategische advies onder subsectie B serieus te nemen, wordt een negatief oordeel achteraf voorkomen doordat zorgpunten in een vroeg stadium worden onderkend en geadresseerd. Mocht er ondanks alle voorbereiding toch een negatief oordeel volgen, dan zijn drie aanbevelingen relevant:
Werk in iteraties met deelproducten. Lever de toezichthouder geen "big bang"-dossier, maar deelproducten die afzonderlijk kunnen worden beoordeeld — bijvoorbeeld eerst de DPIA, dan de governance-structuur, dan het SAR-beleid. Wanneer een onderdeel afgekeurd wordt, is bijstelling beheersbaar; bij een totale afkeuring achteraf is de schade groter.
Vraag schriftelijke motivering en concrete remediatie-eisen. Een negatief oordeel zonder motivering biedt geen aangrijpingspunt voor herstel. Verzoek de toezichthouder om de specifieke gronden waarop het oordeel is gebaseerd én om de concrete maatregelen die zouden leiden tot een positief oordeel. Dit dwingt de toezichthouder tot transparantie en biedt een werkbaar herstelpad.
Toets bestuursrechtelijke route bij weigering tot motivering. Wanneer de toezichthouder weigert te motiveren of geen herstelpad biedt, kan de bank — afhankelijk van de juridische kwalificatie van de verificatiebeslissing onder Awb — een bezwaar- en beroepsprocedure overwegen. Deze route is juridisch onverkend voor art. 75 lid 2 AMLR; raadpleeg in dat geval de juridische afdeling én extern advocaat met bestuursrechtelijke ervaring. Mijns inziens is dit echt een laatste redmiddel — de schade aan de werkrelatie met de toezichthouder is bij een procedure substantieel en werkt door op andere toezichtdossiers.
Praktijkreflectie. De wettelijke lacune rond het negatieve oordeel illustreert dat art. 75 AMLR is geschreven met de aanname dat verificatie in de regel positief uitvalt. In de praktijk zal die aanname niet altijd kloppen, vooral in de eerste jaren wanneer toezichthouders en banken gezamenlijk leren wat "voldoet aan art. 75" in de praktijk betekent. De combinatie van vroege betrokkenheid (subsectie B) en iteratief werken (subsectie C) is daarom geen overdreven voorzichtigheid, maar een proportionele reactie op een lacune in het wettelijke regime. Het is de verwachting dat AMLA-richtsnoeren op termijn de procedurele uitwerking van de verificatie zullen verduidelijken — zie de modal Openstaande vragen.
AVG en gegevensbescherming — Art. 75 lid 4(e)(g)(h)(i)(j) AMLR · AVG
B — Procedurele en juridische randvoorwaarden
Inhoudelijke regels uit lid 4(e)(g)(h)(i)(j)
DPIA-verplichting (lid 4 onder h)
Art. 75 lid 4(h) AMLR Vóór de verwerking van persoonsgegevens in het kader van een partnerschap voor informatie-uitwisseling moet een gegevensbeschermingseffectbeoordeling (DPIA) zijn uitgevoerd op grond van art. 35 AVG. Dit is een harde voorwaarde: de toezichthouder verifieert op grond van lid 2 of de DPIA is uitgevoerd (zie modal Kennisgeving en verificatie door de toezichthouder(s)). Volgens Deloitte's voorlopige inschatting hoeft de DPIA niet per uitwisseling opnieuw te worden uitgevoerd, maar volstaat één DPIA per partnerschap die vervolgens wordt onderhouden zolang het doel van het partnerschap ongewijzigd blijft.
Pseudonimisering en technische maatregelen (lid 4 onder e)
Art. 75 lid 4(e) AMLR De meldingsplichtige entiteiten nemen passende technische en organisatorische maatregelen, waaronder maatregelen voor pseudonimisering, om een beveiligings- en vertrouwelijkheidsniveau te waarborgen dat evenredig is aan de aard en de omvang van de uitgewisselde informatie.
Het ladder-model van Wegner
Wegner 2025 Wegner stelt voor om de proportionaliteitseisen van art. 75 lid 4(e) concreet te maken via een drietrapsmodel. Niveau 1: geaggregeerde statistische informatie via secure multi-party computation (SMPC), waarbij conclusies over individuele cliënten onwaarschijnlijk zijn — volgens Wegner altijd toelaatbaar. Niveau 2: meer granulaire statistische data, nog steeds via SMPC, maar met hoger risico op herleidbaarheid — volgens Wegner beperkt tot hoog-risicogevallen. Niveau 3: open uitwisseling van persoonsgegevens (namen, rekeninggegevens, transactiedetails) — voorbehouden aan situaties waarin een verdachte-transactie-melding onvermijdelijk is. Dit model biedt concrete handen en voeten voor het data-minimalisatiebeginsel van de AVG (art. 5 lid 1 onder c).
AI-clausule: adequate human oversight (lid 4 onder g)
Art. 75 lid 4(g) AMLR Informatie die is gegenereerd door technologieën voor artificiële intelligentie, machinaal leren of algoritmen mag uitsluitend worden gedeeld wanneer die processen zijn onderworpen aan passend menselijk toezicht. Naar mijn beoordeling is dit een zelfstandige materieelrechtelijke voorwaarde die parallelle waarborgen kent in art. 76 lid 5 AMLR (beduidende menselijke tussenkomst bij geautomatiseerde besluitvorming en AI-systemen) en raakt aan de bredere discussie over algoritmische besluitvorming in het financieel toezicht.
Bevoegde autoriteiten en strafrechtelijke gegevens (lid 4 onder i en j)
Bevoegde autoriteiten die deelnemen aan een partnerschap mogen informatie uitsluitend verkrijgen, verstrekken of uitwisselen voor zover dat noodzakelijk is voor de uitvoering van hun taken op grond van het toepasselijke Unie- of nationale recht (lid 4 onder i). Voor de subset bevoegde autoriteiten als bedoeld in art. 2 lid 1 punt 44 onder c AMLR — overheidsinstanties belast met onderzoek of vervolging van witwassen, basisdelicten of terrorismefinanciering, en asset recovery offices — geldt een aanvullend regime: zij verkrijgen, verstrekken of wisselen persoonsgegevens en operationele informatie uitsluitend uit in overeenstemming met de nationale wetgeving tot omzetting van Richtlijn (EU) 2016/680 en de toepasselijke bepalingen van het nationale strafprocesrecht, met inbegrip van voorafgaande rechterlijke toestemming of andere nationale procedurele waarborgen indien vereist (lid 4 onder j).
AVG-juridische verdieping
AVG-grondslag voor verwerking — een genuanceerde lezing
Art. 75 AMLR creëert een Unierechtelijk kader voor de uitwisseling van persoonsgegevens binnen een partnerschap. De AVG-rechtsgrond voor de "gewone" verwerking is in beginsel art. 6 lid 1 onder c AVG (verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting), in samenhang met art. 75 AMLR die de verwerking faciliteert. Voor twee aparte categorieën gelden zwaardere regimes met elk een eigen Unierechtelijke schakelbepaling in art. 76 AMLR. Voor bijzondere categorieën persoonsgegevens in de zin van art. 9 lid 1 AVG (denk aan gegevens over gezondheid, religie of biometrische gegevens) is art. 9 lid 2 onder g AVG (zwaarwegend algemeen belang) van toepassing, in samenhang met art. 76 lid 1 en lid 2 AMLR. AMLR overweging 150 bevestigt dat de bestrijding van witwassen en terrorismefinanciering door alle lidstaten als zwaarwegend algemeen belang wordt erkend. Voor persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (een eigen, van art. 9 te onderscheiden categorie in art. 10 AVG) geldt het regime van art. 10 AVG in samenhang met art. 76 lid 1 en lid 3 AMLR, met aanvullende waarborgen rondom het onderscheid tussen beschuldigingen, onderzoeken, procedures en veroordelingen.
Nuancering bij private horizontale uitwisseling. Naar mijn mening is de juridische analyse hier niet zo eenduidig als zij op het eerste gezicht lijkt. Art. 75 AMLR staat toe dat partijen onderling delen, maar verplicht hen daar niet toe (lid 1 verankert vrijwilligheid: deelnemers "kunnen" uitwisselen, niet "moeten"). De vraag is dan of "noodzakelijk om te voldoen aan een wettelijke verplichting" een sluitende grondslag biedt voor een uitwisseling die juridisch optioneel is. Het antwoord ligt mijns inziens in de combinatie van: (i) de wettelijke verplichtingen tot AML/CTF-naleving — met name hoofdstuk III AMLR over cliëntenonderzoek en art. 69 AMLR over de melding van verdachte transacties — waarvoor de partnerschap-route een toelaatbaar instrument is; en (ii) de specifieke proportionaliteitsvereisten en waarborgen die art. 75 lid 4 zelf oplegt. Het is daarom van belang dat de instelling in haar verwerkingsregister én DPIA expliciet motiveert waarom de partnerschap-route in het concrete geval noodzakelijk is voor de naleving van de AML/CTF-verplichtingen — niet enkel verwijzen naar art. 75 AMLR volstaat. Voor een kritische blik op deze grondslag-discussie en de positie van de Autoriteit Persoonsgegevens, zie de modal Kritisch spoor.
Verwerkingsverantwoordelijkheid: joint controllership of separate controllers?
Een partnerschap waarin meerdere meldingsplichtige entiteiten gezamenlijk persoonsgegevens verwerken roept onmiddellijk de vraag op naar de inrichting van de verwerkingsverantwoordelijkheid ex AVG. Art. 75 AMLR zwijgt hierover. Drie modellen zijn juridisch denkbaar:
Separate controllers — elke deelnemer is afzonderlijk verwerkingsverantwoordelijke voor de eigen verwerking; gegevens worden uitgewisseld op basis van wederzijdse rechtsgrondslagen. Geschikt wanneer iedere deelnemer eigen, gescheiden verwerkingsdoelen behoudt.
Joint controllers (art. 26 AVG) — meerdere deelnemers stellen gezamenlijk doel en middelen vast en zijn samen verwerkingsverantwoordelijke. Vereist een onderling akkoord (joint controllership-overeenkomst) waarin de verdeling van verantwoordelijkheden — met name jegens betrokkenen — wordt vastgelegd.
Controller en verwerker (art. 28 AVG) — één partij is verwerkingsverantwoordelijke en huurt anderen in als verwerker. Voor een gelijkwaardig partnerschap tussen banken zelden passend, maar denkbaar voor de inzet van een gezamenlijk technisch platform.
Naar mijn mening leent een art. 75-partnerschap zich het meest natuurlijk voor joint controllership tussen de deelnemende meldingsplichtige entiteiten, omdat zij gezamenlijk doel en middelen bepalen voor de uitwisseling. Deze lezing wordt ondersteund door de ruime uitleg van het joint-controllership-begrip in HvJ EU-rechtspraak (onder meer C-210/16Wirtschaftsakademie/Facebook fanpages en C-25/17Jehova's Getuigen): wanneer meerdere partijen feitelijk invloed hebben op doel of middelen, ontstaat al snel gezamenlijke verantwoordelijkheid. Deze keuze heeft substantiële operationele consequenties: een joint controllership-overeenkomst moet worden vastgelegd vóór de start van de verwerking, de wezenlijke inhoud van die regeling wordt aan betrokkenen beschikbaar gesteld (art. 26 lid 2 AVG), betrokkenen kunnen hun rechten jegens en ten aanzien van iedere joint controller uitoefenen (art. 26 lid 3 AVG), en bij schade is iedere joint controller voor de gehele schade hoofdelijk aansprakelijk (art. 82 lid 4 AVG). Deze afspraken zijn naar mijn mening een natuurlijk onderdeel van het Memorandum of Understanding (zie modal Oprichting van het partnerschap); voor het MoU betekent dit zowel een operationele koppeling voor afhandeling van betrokkenen-rechten als een regresregeling voor schadeverhaal tussen deelnemers.
Rechten van betrokkenen — de stille zone van art. 75 AMLR
De AMLR zwijgt grotendeels over de operationele inrichting van betrokkenenrechten binnen een partnerschap; alleen overweging 157 adresseert het vraagstuk en signaleert dat uitzonderingen op het inzage-recht via art. 23 AVG gerechtvaardigd kunnen zijn waar het de melding van verdachte transacties raakt. De rechten van betrokkenen onder de AVG (art. 12–22) gelden buiten die uitzonderingen onverkort, óók wanneer de verwerking plaatsvindt op grond van een AML/CTF-verplichting. Drie rechten zijn in de praktijk het meest urgent:
Recht van inzage (art. 15 AVG) — een cliënt kan vragen welke persoonsgegevens over hem worden verwerkt, met welk doel, en met wie ze zijn gedeeld. Voor een partnerschap betekent dit dat per cliënt traceerbaar moet zijn: welke gegevens zijn binnen het partnerschap gedeeld, met welke deelnemers, op welk moment, en op welke grondslag. Deze traceerbaarheid sluit aan bij de registerplicht van art. 30 AVG.
Recht van rectificatie (art. 16 AVG) — wanneer een cliënt een correctie eist op zijn gegevens, moet die correctie ook doorwerken in de gegevens die binnen het partnerschap zijn gedeeld. Hier komt joint controllership concreet tot leven: alle deelnemers moeten in staat zijn de correctie door te voeren in hun lokale registers.
Recht op beperking van verwerking (art. 18 AVG) — bij verwerking op basis van art. 6 lid 1 onder c AVG (wettelijke verplichting), zoals in deze modal aangenomen, bestaat geen zelfstandig bezwaarrecht ex art. 21 lid 1 AVG; dat bezwaarrecht is voorbehouden aan verwerking op art. 6 lid 1 onder e of f AVG. Wél kan de cliënt op de voet van art. 18 AVG onder voorwaarden om beperking van de verwerking verzoeken, bijvoorbeeld bij betwisting van de juistheid van gegevens of bij twijfel over de rechtmatigheid. Een dergelijk verzoek moet per individueel geval worden beoordeeld en gemotiveerd. Mocht in een concreet geval voor een art. 6 lid 1 onder e-grondslag worden gekozen — wat onder bepaalde lidstaatrechtelijke configuraties denkbaar is — dan herleeft het bezwaarrecht ex art. 21 lid 1 AVG, met de bekende uitzondering "dwingende gerechtvaardigde gronden" (tweede volzin) die in het AML/CTF-kader vrijwel altijd zal slagen.
De grootste praktische uitdaging is de tipping-off-spanning: de cliënt mag op grond van art. 23 Wwft / art. 73 AMLR niet worden geïnformeerd over een eventuele SAR-melding, maar heeft tegelijk in beginsel recht op informatie over de verwerking van zijn gegevens. De Unierechtelijke schakelbepaling die deze uitzondering rechtvaardigt is art. 23 AVG, expliciet bevestigd in AMLR overweging 157 (uitzonderingen op het inzagerecht zijn gerechtvaardigd waar verstrekking de strijd tegen witwassen ernstig zou ondermijnen). De praktische oplossing ligt in een gelaagde communicatiestructuur waarin algemene informatie over de partnerschap-deelname wel wordt verstrekt, maar specifieke informatie over een eventuele SAR-context niet. De Autoriteit Persoonsgegevens heeft hier een kritische opvatting over die in de modal Kritisch spoor nader wordt toegelicht.
Advies — DPIA, joint controllership, betrokkenenrechten en het data framework
Het advies bestaat uit vier samenhangende subsecties: (A) de opbouw van een DPIA voor een art. 75-partnerschap, (B) de joint controllership-keuze en de daaraan ten grondslag liggende afwegingen, (C) de operationele inrichting van betrokkenenrechten, en (D) — als integraal fundament — het data framework dat alle voorgaande elementen bindt en waarop DPIA, MoU en kennisgevingsdossier kunnen worden gebouwd.
A. DPIA-stappenplan
Mijn aanbeveling is om de DPIA voor een art. 75-partnerschap niet als een eenmalige document-exercitie te behandelen, maar als een levend instrument dat het ontwerp van het partnerschap stuurt. Vijf fasen:
Fase 1 — Beschrijving van de verwerking (art. 35 lid 7 onder a AVG). Beschrijf welke persoonsgegevens worden verwerkt, met welk doel, met welke categorieën van ontvangers en op welke grondslag. Sluit aan bij de zeven informatiecategorieën van art. 75 lid 3 AMLR (zie modal Welke informatie mag worden uitgewisseld?) en bij de cliëntcategorieën van lid 4(f) (zie modal Welke cliënten?).
Fase 2 — Noodzaak en proportionaliteit (art. 35 lid 7 onder b AVG). Motiveer per datacategorie waarom de verwerking noodzakelijk is voor de AML/CTF-doelstelling en waarom geen minder ingrijpend alternatief beschikbaar is. Verwijs hierbij expliciet naar de Wegner-ladder: kan het doel ook met niveau 1 (geaggregeerd, SMPC) worden bereikt? Zo nee, motiveer waarom niveau 2 of 3 noodzakelijk is.
Fase 3 — Risicobeoordeling voor betrokkenen (art. 35 lid 7 onder c en d AVG). Beoordeel per datacategorie het risico voor de betrokkenen — onbedoelde de-risking, reputationele schade, financiële uitsluiting, onevenredige beperking van rechten. Werk per geïdentificeerd risico mitigerende maatregelen uit.
Fase 4 — Pre-consultatie met de Autoriteit Persoonsgegevens. Op grond van art. 36 AVG moet bij hoog restrisico de AP worden geconsulteerd vóór de start van de verwerking. Mijn voorkeur is om dit voor een art. 75-partnerschap vrijwel altijd aangewezen te beschouwen, gezien de schaal en gevoeligheid van de verwerking. Plan deze consultatie in vóór de formele kennisgeving aan de AML-toezichthouder, zodat eventuele AP-zorgpunten kunnen worden verwerkt voordat de AML-toezichthouder de DPIA toetst.
Fase 5 — Onderhoud en herziening (art. 35 lid 11 AVG). De DPIA wordt onderhouden zolang het partnerschap operationeel is. Plan een halfjaarlijkse review-cyclus en een ongeplande herziening bij elke materiële scopewijziging. Documenteer alle wijzigingen, in lijn met het accountability-beginsel van art. 5 lid 2 AVG.
B. Joint controllership-keuze
Mijns inziens is de joint controllership-vraag een van de meest onderschatte aspecten van een art. 75-partnerschap. De keuze tussen separate of joint controllership is geen technicaliteit, maar bepaalt direct de aansprakelijkheidsverdeling, de communicatie naar betrokkenen en de operationele inrichting van de gegevensverwerking. Mijn advies:
Kies bewust voor joint controllership als het partnerschap gezamenlijk doel en middelen bepaalt voor de uitwisseling — dit is bij een art. 75-partnerschap meestal het geval, ook gelet op de ruime HvJ EU-uitleg (C-210/16, C-25/17). Werk de afspraken uit in een joint controllership-overeenkomst conform art. 26 AVG, en integreer deze in het MoU.
Verdeel de taken jegens betrokkenen expliciet. Wijs één deelnemer aan als contactpunt voor betrokkenen die inzageverzoeken (art. 15), rectificatieverzoeken (art. 16) en verzoeken tot beperking van de verwerking (art. 18 AVG) in eerste instantie afhandelt. Deze rol kan rouleren of bij de grootste partner worden belegd, afhankelijk van wat operationeel het meest werkbaar is. De aanwijzing van een contactpunt doet niet af aan art. 26 lid 3 AVG: de betrokkene kan zijn rechten jegens en ten aanzien van iedere joint controller blijven uitoefenen — alle deelnemers moeten dus operationeel in staat zijn een verzoek door te geleiden of zelfstandig af te handelen.
Leg aansprakelijkheidsafspraken vast tussen partners. Hoewel jegens betrokkenen iedere joint controller voor de gehele schade hoofdelijk aansprakelijk is (art. 82 lid 4 AVG), kunnen partners onderling regresafspraken maken. Documenteer deze in het MoU, samen met afspraken over kostenverdeling bij geschillen of toezichtsprocedures.
Informeer betrokkenen op het juiste moment. Art. 26 lid 2 AVG verplicht dat de wezenlijke inhoud van de joint controllership-overeenkomst aan betrokkenen ter beschikking wordt gesteld. Werk dit niet uit als losstaand traject, maar verwerk het in de bestaande privacyverklaring van elke deelnemende bank. Stem de teksten tussen partners af om consistente communicatie te borgen.
C. Betrokkenenrechten in de praktijk
Naar mijn opvatting dient elke deelnemende bank een specifiek betrokkenenrechten-protocol in te richten dat is afgestemd op de partnerschap-context. Vier elementen:
Centraal inzage-loket binnen het partnerschap. Wanneer een betrokkene een inzageverzoek indient, moet de aangezochte bank in staat zijn binnen de wettelijke termijn (één maand, eventueel verlengd met twee maanden — art. 12 lid 3 AVG) een volledig overzicht te leveren, inclusief gegevens die binnen het partnerschap zijn gedeeld. Richt hiervoor een centraal logboek in, gekoppeld aan het in de modal Welke informatie? beschreven gescheiden SAR-spoor.
Tipping off-filter bij inzageverzoeken. Wanneer een inzageverzoek raakt aan SAR-gerelateerde gegevens, moet vóór beantwoording getoetst worden of de informatie het tipping-off-verbod activeert. In dat geval wordt het inzagerecht beperkt: de Unierechtelijke schakelbepaling is art. 23 AVG (zoals bevestigd in AMLR overweging 157), met als materieelrechtelijke grondslag art. 23 Wwft / art. 73 AMLR. Documenteer deze afweging schriftelijk in het cliëntdossier, in lijn met het accountability-beginsel van art. 5 lid 2 AVG.
Rectificatie-doorwerking binnen partnerschap. Bij een rectificatieverzoek moet de bank niet alleen haar eigen registers bijwerken, maar ook actief de andere partners informeren zodat zij hun afgeleide gegevens kunnen bijwerken — uitwerking van de kennisgevingsplicht van art. 19 AVG. Richt hiervoor een gestandaardiseerde notificatieprocedure in tussen partners.
Gemotiveerde afhandeling van verzoek tot beperking. Bij verwerking op art. 6 lid 1 onder c AVG (zoals in deze modal aangenomen) is het primaire instrument een verzoek tot beperking ex art. 18 AVG; in een AML/CTF-context zal toewijzing in beginsel beperkt zijn, maar elke afhandeling — al dan niet honorerend — moet schriftelijk en gemotiveerd plaatsvinden. Stel een standaardmotivering op die per geval wordt toegesneden, zodat consistente afhandeling wordt geborgd én eventuele AP-bezwaren kunnen worden weerlegd. Mocht in een concreet geval voor een art. 6 lid 1 onder e-grondslag worden gekozen, dan herleeft het bezwaarrecht ex art. 21 lid 1 AVG en geldt dezelfde motiveringsplicht — met de uitzondering "dwingende gerechtvaardigde gronden" (tweede volzin) die in het AML/CTF-kader vrijwel altijd zal slagen.
D. Het data framework als integraal fundament
Tot slot — en naar mijn mening is dit het belangrijkste element van het advies — adviseer ik om naast de DPIA, het MoU en het kennisgevingsdossier een centraal data framework op te stellen dat al deze documenten met elkaar verbindt. Met data framework bedoel ik een gestructureerd inrichtingsdocument dat per datacategorie de juridisch-operationele keuzes vastlegt waarop de eerste lijn (KYC, transactiemonitoring) dagelijks kan terugvallen. Het is complementair aan de DPIA, niet duplicatief: waar de DPIA als toetsings- en risicodocument beoordeelt of een verwerking AVG-conform en proportioneel is en welke restrisico's mitigatie behoeven, is het data framework de operationele neerslag van die afwegingen — voorschrijvend en uitvoeringsgericht in plaats van beoordelend. De DPIA stelt vragen ("is dit proportioneel? wat zijn de restrisico's?"); het data framework geeft antwoorden ("voor cliëntinformatie geldt niveau 1 in regulier gebruik; bewaartermijn vijf jaar; rectificatie binnen vooraf in het MoU vastgelegde termijn"). Hetzelfde geldt voor het MoU (juridische afspraken tussen partners) en kennisgevingsdossier (presentatie aan de toezichthouder): het data framework is hun gemeenschappelijke bron, zodat dezelfde keuzes niet op verschillende plekken inconsistent worden vastgelegd — een risico dat in een complexe joint-controllership-setting reëel is.
Mijn advies is om in het data framework per art. 75 lid 3-categorie zeven elementen vast te leggen: (i) welke specifieke data, (ii) op welke AVG-grondslag, (iii) in welke vorm (Wegner-niveau 1, 2 of 3), (iv) onder welke proportionaliteits- en doelbindingsvoorwaarden, (v) met welke bewaartermijn (gekoppeld aan art. 77 lid 1 AMLR), (vi) onder welke verwerkingsverantwoordelijkheidsstructuur (joint of separate), en (vii) hoe betrokkenenrechten ten aanzien van die specifieke datacategorie worden gefaciliteerd. Hieronder werk ik dat sjabloon uit voor één van de zeven categorieën als concreet voorbeeld; de overige zes categorieën volgen dezelfde structuur.
(i) Specifieke data: NAW-gegevens, geboortedatum, nationaliteit, identificatienummer, UBO-informatie waar relevant. (ii) AVG-grondslag: art. 6 lid 1 onder c AVG (wettelijke verplichting), in samenhang met art. 75 AMLR en de onderliggende CDD-verplichtingen uit Hoofdstuk III AMLR. (iii) Vorm: in beginsel niveau 1 (geaggregeerde statistiek via SMPC) voor reguliere portfolio- of patroonanalyse; niveau 2 (granulaire statistiek via SMPC) voor hoog-risico-cliëntcohorten met expliciete motivering; niveau 3 (open uitwisseling van identificeerbare persoonsgegevens) uitsluitend wanneer een SAR-melding onvermijdelijk is. (iv) Proportionaliteit en doelbinding (art. 5 lid 1 onder b en c AVG): uitsluitend gedeeld voor het concreet omschreven AML/CTF-doel; geen secundair gebruik voor commerciële, marketing- of risicoclassificatie-doeleinden buiten de partnerschap-scope. (v) Bewaartermijn: gekoppeld aan art. 77 lid 1 AMLR (vijf jaar na beëindiging zakelijke relatie); kortere termijn waar de partnerschap-doelstelling dat toelaat, in lijn met dataminimalisatie. (vi) Verwerkingsverantwoordelijkheid: joint controllership tussen alle partnerschap-deelnemers; aangewezen contactpunt voor betrokkenen is [partner X]; aansprakelijkheidsverdeling conform MoU, sectie [Y]. (vii) Betrokkenenrechten: centraal inzage-loket (art. 15 AVG) bij contactpunt [partner X], met tipping-off-filter via art. 23 AVG (AMLR overweging 157); rectificatie-doorwerking via gestandaardiseerde notificatieprocedure binnen een vooraf in het MoU vastgelegde termijn, als uitwerking van art. 19 AVG; verzoek tot beperking van de verwerking (art. 18 AVG) afgehandeld via standaardmotivering AML/CTF-uitzondering, schriftelijk per cliënt.
Vanuit drie perspectieven biedt deze structuur voordelen. Ten eerste juridisch: alle AVG-vereisten worden per datacategorie expliciet afgewogen, waardoor verantwoording naar AP en AML-toezichthouder wordt vereenvoudigd. Ten tweede operationeel: medewerkers in de eerste lijn (KYC, transactiemonitoring) hebben één bronlocatie waar zij de juiste behandeling per datatype kunnen opzoeken. Ten derde governance-technisch: bij scopewijzigingen van het partnerschap wordt het framework als geheel herzien, in plaats van losse aanpassingen in DPIA, MoU en kennisgevingsdossier afzonderlijk — wat het risico op inconsistenties vermindert.
Praktische plaatsing. Het data framework hoort als bijlage bij het MoU en wordt gedeeld in het kennisgevingsdossier richting de toezichthouders (zie modal Kennisgeving en verificatie door de toezichthouder(s)). Voor banken die reeds deelnemen aan de Fintell Alliance NL adviseer ik bovendien om in het data framework expliciet de afbakening te markeren tussen wat onder het art. 75-regime valt en wat onder de publiekrechtelijke regimes (zie de juridische kanttekening in de modal Oprichting van het partnerschap).
Bronnen
Art. 2 lid 1 punt 44 onder c AMLR · Art. 69 AMLR (melding verdachte transacties) · Hoofdstuk III AMLR (cliëntenonderzoek) · Art. 75 lid 1, 3 en 4(e)(f)(g)(h)(i)(j) AMLR · Art. 76 lid 1, 2, 3 en 5 AMLR · Art. 77 lid 1 AMLR (bewaartermijn) · AMLR overwegingen 150 (zwaarwegend algemeen belang) en 157 (uitzonderingen rechten betrokkene in SAR-context) · Art. 4 lid 7, art. 5 lid 1 onder b en c, art. 5 lid 2 (accountability), art. 6 lid 1 onder c, art. 9 lid 2 onder g, art. 10, art. 12–22 (i.h.b. art. 15, 16, 18, 19 en 21), art. 23, art. 26 (lid 1, 2 en 3), art. 28, art. 30, art. 35, art. 36 en art. 82 lid 4 AVG · Art. 23 Wwft / art. 73 AMLR (tipping-off) · Richtlijn (EU) 2016/680 · HvJ EU 5 juni 2018, C-210/16 (Wirtschaftsakademie/Facebook fanpages) · HvJ EU 10 juli 2018, C-25/17 (Jehova's Getuigen) · Wegner (2025), Enhancing AML/CTF through Private Sector Data Exchange, ladder-model · Deloitte (2024), Article 75: A new opportunity to fight crime more effectively, par. over DPIA · Autoriteit Persoonsgegevens
Welke informatie mag worden uitgewisseld? — Art. 75 lid 3 AMLR
C — Inhoudelijke scope
De zeven informatiecategorieën
De binnen een partnerschap uit te wisselen informatie is limitatief beperkt tot de volgende categorieën:
(a) informatie over de cliënt, waaronder alle informatie verkregen bij identificatie en verificatie van de identiteit, en — waar relevant — over de uiteindelijk begunstigde;
(b) informatie over het doel en de beoogde aard van de zakelijke relatie of occasionele transactie tussen de cliënt en de meldingsplichtige entiteit, en — waar relevant — de bron van het vermogen en de bron van geldmiddelen van de cliënt;
(c) informatie over cliëntentransacties;
(d) informatie over hogere en lagere risicofactoren die aan de cliënt verbonden zijn;
(e) de analyse door de meldingsplichtige entiteit van de aan de cliënt verbonden risico's op grond van art. 20 lid 2 AMLR;
(f) informatie in het bezit van de meldingsplichtige entiteit op grond van art. 77 lid 1 AMLR (bewaartermijnbepaling);
(g) informatie over vermoedens op grond van art. 69 AMLR (verdachte-transactie-meldingen).
De informatie mag uitsluitend worden gedeeld voor zover dit noodzakelijk is voor de uitvoering van de activiteiten van het partnerschap.
SAR-informatie (lid 3 onder g + lid 4 onder k) — een eigen juridisch regime binnen het partnerschap
Van de zeven categorieën onder lid 3 verdient categorie (g) — informatie over vermoedens op grond van art. 69 of art. 70 AMLR, ofwel SAR-informatie — bijzondere aandacht. Deze categorie staat juridisch op een fundamenteel andere basis dan de andere zes en vereist een afzonderlijk verwerkingsspoor binnen het partnerschap.
Drie juridische lagen. De juridische positie van SAR-informatie binnen een art. 75-partnerschap moet naar mijn mening in drie lagen worden begrepen:
Laag 1 — Tipping off-verbod blijft staan. Het tipping-off-verbod van art. 73 AMLR (en in Nederland art. 23 Wwft) verbiedt in beginsel het verstrekken van informatie over een verdachte-transactie-melding aan derden, inclusief andere meldingsplichtige entiteiten. Dit verbod wordt door art. 75 AMLR niet algemeen opzij gezet. Voor de volledigheid: art. 73 zelf kent in lid 3 t/m 5 reeds enkele zelfstandige uitzonderingen — onder meer voor groepsinterne uitwisseling (lid 3) en voor uitwisseling tussen kredietinstellingen of financiële instellingen die bij dezelfde transactie betrokken zijn (lid 5) — die los staan van het partnerschap-regime van art. 75 AMLR.
Laag 2 — Lid 4 onder k creëert een voorwaardelijke uitzondering.Art. 75 lid 4(k) AMLR SAR-informatie mag binnen een art. 75-partnerschap uitsluitend circuleren wanneer de FIU waaraan de melding op grond van art. 69 of art. 70 AMLR is gedaan daarmee uitdrukkelijk heeft ingestemd. Zonder die instemming is uitwisseling op grond van lid 3 onder g niet toegestaan.
Laag 3 — De juridische afbakening uit de modal Oprichting werkt onverkort door. Zodra SAR-informatie het partnerschap binnenkomt, voegt zich daarmee een element met publiekrechtelijke kwalificatie (meldplicht art. 69 AMLR) toe aan een verder vrijwillige horizontale uitwisseling. Daarmee ontstaan binnen één partnerschap twee verschillende informatiestromen met juridisch verschillende regimes — vergelijkbaar met de spanning die in de modal Oprichting van het partnerschap is geanalyseerd ten aanzien van de Fintell Alliance NL en die in de modal Reikwijdte en deelnemers is uitgewerkt voor de PPS-variant.
Operationele consequentie. Mijn analyse is dat SAR-informatie niet "even bijgevoegd" kan worden aan een normale informatie-uitwisseling binnen het partnerschap. Een partnerschap dat onder lid 4(k) SAR-informatie wenst uit te wisselen, ontmoet dezelfde governance-eis als de PPS-variant: een strikt gescheiden verwerkingsspoor met aparte logging, aparte toegangscontrole en aparte deelnemerskring (alleen die KYC-medewerkers die juridisch bevoegd zijn SAR-informatie te zien). De praktische uitwerking hiervan staat in het advies-blok hieronder.
Secundaire meldplicht na SAR-uitwisseling (Finnius). Finnius signaleert dat een instelling die op basis van binnen het partnerschap gedeelde informatie tot de conclusie komt dat een eigen transactie eveneens als ongebruikelijk moet worden bestempeld, deze nieuwe transactie zelfstandig aan de FIU moet melden — ook wanneer de eerder gedeelde verdachte transactie bij die FIU nog niet bekend is. SAR-uitwisseling binnen het partnerschap vervangt de eigen meldplicht dus niet, maar kan hem juist activeren.
Verhouding tot de CDD-RTS (art. 28(1) AMLR)
De scope van wat in een partnerschap kan circuleren wordt mede bepaald door de Regulatory Technical Standards die AMLA op grond van art. 28(1) AMLR uiterlijk 10 juli 2026 ter goedkeuring aan de Commissie moet voorleggen. Deze RTS specificeert welke informatie meldingsplichtige entiteiten überhaupt moeten verzamelen in het kader van het cliëntenonderzoek. AMLA heeft het ontwerp van EBA (30 oktober 2025) overgenomen en op 9 februari 2026 een eigen consultation paper gepubliceerd; de consultatieperiode loopt tot 8 mei 2026. Voor de overgangsregeling voor bestaande cliënten regelt art. 33 van de draft RTS dat de update-termijnen van art. 26 lid 2 AMLR (1 respectievelijk 5 jaar) pas gaan lopen vanaf de toepassingsdatum van deze RTS — die naar verwachting samenvalt met de AMLR-toepassingsdatum van 10 juli 2027. Voor partnerschappen betekent dit dat de invulling van de informatiecategorieën onder lid 3 in 2026–2027 nog inhoudelijk kan worden bijgesteld.
Advies — informatieselectie en SAR-governance
Het advies bestaat uit twee samenhangende subsecties: (A) welke van de zeven informatiecategorieën zich lenen voor structureel delen versus delen op verzoek, en (B) hoe de SAR-uitwisseling juridisch en operationeel gescheiden moet worden ingericht binnen het partnerschap.
A. Praktische dataselectie — structureel delen versus op verzoek
Niet alle zeven informatiecategorieën onder lid 3 lenen zich voor dezelfde behandeling. Mijn aanbeveling is om bij oprichting van een partnerschap expliciet vast te leggen welke categorieën structureel binnen het partnerschap circuleren en welke alleen op verzoek worden gedeeld. Een aanvaardbare basisindeling is:
Structureel delen (profielmatige, statische data):
(a) Cliëntinformatie en UBO-informatie
(b) Doel en beoogde aard van de zakelijke relatie, bron van het vermogen en de bron van geldmiddelen van de cliënt
(d) Hogere en lagere risicofactoren die aan de cliënt verbonden zijn
(e) De analyse van de aan de cliënt verbonden risico's op grond van art. 20 lid 2 AMLR
Deze categorieën beschrijven het profiel en risicoprofiel van een cliënt en zijn relatief stabiel. Structureel delen — bijvoorbeeld in de vorm van geanonimiseerde patroon- en profielinformatie — sluit aan bij de privacy-by-design-benadering (art. 25 AVG) en bij Wegner's ladder-model: niveau 1 (geaggregeerde statistiek via secure multiparty computation, SMPC) voor portfolio-brede patronen, of niveau 2 (granulaire statistiek bij hoog-risicocohorten, zoals het PEP-voorbeeld in de modal Oprichting van het partnerschap) waar passend.
Op verzoek delen (zaakspecifieke, volume-intensieve data):
(c) Cliëntentransacties
(f) Informatie op grond van de bewaarverplichting van art. 77 lid 1 AMLR
Deze categorieën zijn volume-intensief, kunnen op cliëntniveau identificerend zijn, en lenen zich daarom voor delen op verzoek wanneer een specifieke casus dit vraagt — bijvoorbeeld nadat structurele patroondata een indicatie hebben opgeleverd. Een nuance: cliëntentransacties (c) kunnen ook structureel worden gedeeld in geanonimiseerde of geaggregeerde vorm (bijvoorbeeld typologieën, transactiestromen tussen sectoren), passend bij het "mag ik van jou in de kleur rood"-principe uit de modal Oprichting. De individuele transactie zelf — met identificeerbare partijen — blijft echter een op-verzoek-categorie.
Met FIU-instemming én apart spoor:
(g) Informatie over vermoedens op grond van art. 69 of art. 70 AMLR (SAR-informatie) — zie subsectie B
B. Governance van SAR-uitwisseling — een gescheiden verwerkingsspoor
Naar mijn opvatting dient een art. 75-partnerschap dat SAR-informatie wil uitwisselen onder lid 4(k) een gescheiden verwerkingsspoor in te richten, juridisch en operationeel onderscheiden van de reguliere informatie-uitwisseling. Dit volgt rechtstreeks uit de hierboven beschreven drielagige juridische analyse: SAR-informatie introduceert een publiekrechtelijke kwalificatie binnen een verder vrijwillige horizontale uitwisseling, en die regimes mogen niet vermengen.
Een dergelijk gescheiden spoor bestaat naar mijn mening uit zes elementen:
FIU-instemmingsprocedure. Leg expliciet vast hoe per casus instemming bij de FIU wordt aangevraagd, binnen welke termijn, in welk format, en hoe weigering wordt geregistreerd. Stem dit proces vooraf af met FIU-Nederland (en bij grensoverschrijdende meldingen met de buitenlandse FIU's) zodat het instemmingstraject niet ad hoc hoeft te worden ingericht.
Aparte deelnemerskring. Beperk binnen het partnerschap de toegang tot SAR-informatie tot specifieke, met naam aangewezen KYC-medewerkers die juridisch bevoegd zijn deze informatie te ontvangen en die zijn opgeleid in het tipping-off-verbod (art. 73 AMLR). Andere partnerschapsdeelnemers — ook andere medewerkers van dezelfde bank — krijgen geen toegang. Dit is een directe uitwerking van het lid 6 AMLR-vereiste tot gedifferentieerde of beperkte toegang in de interne gedragslijnen.
Aparte logging en audit-trail. Zorg dat alle SAR-uitwisselingen apart worden gelogd — uitwerking van de registratieplicht in art. 75 lid 4(a) AMLR — met vermelding van: wie heeft de informatie ingebracht, wie heeft ingestemd vanuit de FIU, wie heeft de informatie ontvangen, op welk moment, en met welk doel. Dit is essentieel voor latere verantwoording richting AP en AML-toezichthouder en — bij geschillen — de civiele of strafrechter.
Aparte fysieke of logische infrastructuur. SAR-informatie mag technisch niet vermengd worden met reguliere partnerschapsdata. Dit kan via een afzonderlijke applicatieomgeving, een afgeschermde dataruimte binnen één applicatie, of via cryptografische scheiding — afhankelijk van wat technisch haalbaar is en passend onder het lid 4(e) AMLR-vereiste van passende technische en organisatorische maatregelen. De keuze daarvoor wordt vooraf bij de DPIA gemotiveerd (zie de modal AVG en gegevensbescherming).
Tipping off-discipline binnen het partnerschap. De ontvangende deelnemers mogen het feit van de SAR-melding niet — direct of indirect — communiceren naar hun cliënten of naar de cliënt waarop de melding betrekking heeft. Borg dit in werkinstructies en in de MoU (zie de modal Oprichting van het partnerschap).
Secundaire meldplicht actief monitoren. Zoals Finnius signaleert: ontvangst van SAR-informatie kan bij de ontvangende bank een eigen meldplicht activeren ten aanzien van vergelijkbare transacties in haar eigen administratie. Richt een procedure in waarin elke ontvangst van SAR-informatie automatisch wordt doorgeleid naar de KYC-afdeling die beoordeelt of een eigen melding aan de FIU geboden is.
Praktijkreflectie. Het inrichten van een gescheiden verwerkingsspoor lijkt op het eerste gezicht een operationele complicatie, maar is in werkelijkheid een juridische noodzakelijkheid. Zonder die scheiding lopen alle deelnemers het risico dat zij — ongewild — buiten de grenzen van lid 4(k) treden, waardoor zowel het tipping-off-verbod als de juridische afbakening uit de Oprichting-modal in het geding komen. De investering in een gescheiden spoor verdient zich terug in de vorm van rechtszekerheid en in een uitlegbare positie richting toezichthouders. Mijn standpunt is dat deze inrichting expliciet onderdeel moet zijn van het MoU-proces en van de op grond van art. 35 AVG en art. 75 lid 4(h) AMLR voorafgaand aan de verwerking uit te voeren DPIA.
Welke cliënten? De reikwijdte van lid 4 onder f — Art. 75 lid 4(f) AMLR
C — Inhoudelijke scope
Wettelijke basis
De wettelijke afbakening
Art. 75 lid 4 onder f beperkt de informatiedeling tot drie categorieën cliënten. Deze afbakening is het hart van de wetgevingstechnische discussie over de daadwerkelijke reikwijdte van art. 75 AMLR.
Nauwe lezing — (i) en (ii)
(i) Cliënten wier gedragingen of transactieactiviteiten verband houden met een hoger risico van witwassen, daarmee verband houdende basisdelicten of terrorismefinanciering, op basis van de risicobeoordeling op Unieniveau en de nationale risicobeoordeling (art. 7 en 8 Richtlijn (EU) 2024/1640 / AMLD6)
(ii) Cliënten die vallen onder art. 29–31 en 36–46 AMLR (hoog-risicolanden, correspondentbanking, PEP's, golden passports, crypto naar self-hosted wallets, etc.)
Bij deze lezing is art. 75 beperkt tot vooraf geïdentificeerde hoog-risicocliënten — een afgebakende groep
Brede lezing — (iii)
(iii) Cliënten voor wie de meldingsplichtige entiteit aanvullende informatie moet verzamelen om te bepalen of sprake is van een hoger risico van witwassen, basisdelicten of terrorismefinanciering
Bij deze lezing is art. 75 potentieel zeer breed: van elke cliënt kan in beginsel aanvullende informatie nodig zijn om het risiconiveau te bepalen
Een TMNL-achtige brede netwerkanalyse zou onder deze lezing in beginsel toelaatbaar zijn
Art. 29–31 en 36–46 AMLR — blik op (ii)
Lid 4(f)(ii) verwijst naar een aanzienlijk artikelenbereik dat juridisch een patchwork is van uiteenlopende risicocategorieën. Voor een AML/CTF-specialist is een overzicht hieronder behulpzaam:
Art. 29 AMLR — Hoog-risico-derdelanden met aanzienlijke strategische tekortkomingen. Identificatie van derde landen met aanzienlijke strategische tekortkomingen in hun nationale AML/CFT-regelingen, op basis van de FATF-lijst Call for Action (informeel: zwarte lijst) en de EU-eigen lijst.
Art. 30 AMLR — Derde landen met nalevingstekortkomingen. Identificatie van derde landen waar de naleving van het eigen AML/CFT-regime tekortschiet — deze landen staan onder FATF-Increased Monitoring (informeel: grijze lijst), zonder dat sprake is van aanzienlijke strategische tekortkomingen op systeemniveau.
Art. 31 AMLR — Derde landen die een specifieke en ernstige bedreiging vormen voor het EU-financiële stelsel. Een aparte EU-landenlijst voor situaties die buiten de FATF-systematiek vallen.
Art. 36–38 AMLR — Grensoverschrijdende correspondentrelaties. Verscherpte zorgvuldigheid bij correspondentrelaties met kredietinstellingen (art. 36) en aanbieders van cryptoactivadiensten (art. 37) uit derde landen, plus specifieke maatregelen voor individuele respondentinstellingen (art. 38).
Art. 39 AMLR — Verbod op correspondentrelaties met legehulsinstellingen (shell banks). Absoluut verbod, ook geldend voor cryptoaanbieders.
Art. 40 AMLR — Transacties met een zelfgehost crypto-adres. Risicobeperkende maatregelen voor cryptoactiva-overdrachten naar of vanuit self-hosted wallets.
Art. 41 AMLR — Beleggingsregelingen voor verblijfsvergunning (golden visas / golden passports). Aanvragers die een verblijfs- of nationaliteitsrecht hebben verkregen via investeringsroutes.
Art. 42 AMLR — Politiek prominente personen (PEP's). Specifieke verscherpte zorgvuldigheid voor buitenlandse en binnenlandse PEP's en functionarissen van internationale organisaties.
Art. 43 AMLR — Lijst van prominente publieke functies. Lidstatelijke en EU-lijsten van functies die als PEP-functie kwalificeren.
Art. 44 AMLR — PEP's als begunstigde van een verzekeringspolis. Specifieke maatregelen wanneer een PEP begunstigde is van een levensverzekering.
Art. 45 AMLR — Voormalige PEP's. Maatregelen voor personen die niet langer een PEP-functie vervullen, gedurende een afkoelperiode.
Art. 46 AMLR — Familieleden en naaste geassocieerden van PEP's. Specifieke bepalingen voor deze van PEP's afgeleide categorie.
Mijn beoordeling is dat de breedte van deze opsomming illustreert dat de "nauwe lezing" toch al een aanzienlijke groep cliënten omvat — de groep is in absolute zin niet klein, maar wel vooraf afgebakend. Het verschil met de brede lezing zit in de afbakeningssystematiek: nauw is op basis van objectief vastgestelde categorieën, breed is open en in beginsel grenzeloos.
Verdiepende analyse van (iii) — hoe ruim is "ruim"?
Lid 4(f)(iii) maakt het mogelijk om informatie te delen over cliënten voor wie de meldingsplichtige entiteit aanvullende informatie moet verzamelen om te bepalen of sprake is van een hoger risico van witwassen, basisdelicten of terrorismefinanciering. Deze formulering raakt direct aan de risicoanalyse-verplichting van art. 20 lid 2 AMLR — elke cliënt moet bij onboarding (art. 22 e.v. AMLR) en periodiek daarna (art. 26 lid 2 AMLR: één jaar hoog-risico, vijf jaar overig) risicogeclassificeerd worden, en die classificatie kan veranderen op basis van nieuwe informatie of gewijzigde omstandigheden.
Mijn analyse is dat de brede lezing dus juridisch niet "arbitrair breed" is maar wel structureel ruim: in theorie kan van vrijwel elke cliënt in een dynamisch risicokader op enig moment de vraag opkomen of een herclassificatie naar hoger risico geïndiceerd is. De formulering "moet bepalen" suggereert echter wel een proportionaliteitsdrempel: er moet aanleiding zijn om de classificatie kritisch te beoordelen, niet enkel een theoretische mogelijkheid van verandering. Drie afbakeningscriteria komen mijns inziens uit deze formulering naar voren:
Concrete trigger. Er moet een specifieke aanleiding zijn (transactiesignaal, externe melding, gewijzigde cliëntomstandigheid) die de instelling in beweging zet om aanvullende informatie te verzamelen — niet enkel een algemene wens tot herijking.
Doelgerichtheid. De aanvullende informatie moet specifiek gericht zijn op het beoordelen of een hoger risiconiveau geïndiceerd is — niet op het verzamelen van een breed informatiepakket dat verder reikt dan de risicoclassificatievraag.
Tijdelijkheid. Zodra de risicoclassificatie is heroverwogen — naar hoger of niet — vervalt de grondslag voor verdere uitwisseling onder (iii) voor díé cliënt; voortdurende uitwisseling vereist een andere grondslag, zoals (i) of (ii).
Wetenschappelijke analyse en kritiek
Wetenschappelijke analyse
Wegner 2025 Wegner oordeelt dat de open formule van lid 4 onder f (iii) het resultaat is van een compromis in de triloogonderhandelingen: de beperking onder (i) en (ii) wordt in feite ongedaan gemaakt door (iii), omdat strikt genomen van elke cliënt aanvullende informatie kan leiden tot een hoog-risicoclassificatie. Volgens Wegner hebben de triloogpartners daarmee de rechtspolitieke keuze over de daadwerkelijke reikwijdte bij de praktijk en uiteindelijk bij de rechter — in laatste instantie het Hof van Justitie — gelegd.
Cusack / FCN 2024 Cusack (Financial Crime News) signaleert dat art. 75 geen bold innovation bevat, juist omdat de informatie voornamelijk post-suspicion of voor hoog-risicocliënten gedeeld mag worden — hetgeen de preventieve werking beperkt. Tegelijkertijd erkent hij dat de open formule van (iii) wellicht voldoende is om bredere doelstellingen, zoals die van TMNL, te rechtvaardigen — mits de toezichthouder dit ondersteunt.
EBA 2025 In haar Final Response op de Call for Advice van de Europese Commissie (30 oktober 2025) heeft EBA een meer proportionele, risicogebaseerde benadering gekozen voor de CDD-vereisten. EBA verwijderde ongeveer 15% van de oorspronkelijke datapoints en voegde interpretatieve verduidelijkingen toe. Hoewel deze RTS primair gaat over CDD-data en niet rechtstreeks over de partnerschap-reikwijdte van art. 75 AMLR, signaleert EBA's keuze voor proportionaliteit een bredere richting binnen het AMLR-pakket: naar mijn mening is de verwachting dat AMLA bij toekomstige richtsnoeren over art. 75 een vergelijkbare proportionele lijn zal volgen, wat steun zou bieden aan een meer afgebakende lezing van (iii).
EDPB 2023 / 2025 De European Data Protection Board uitte in haar brief van 4 april 2023 aan de triloogpartners ernstige zorgen over de proportionaliteit van wat toen art. 54(3a), 55(5) en 55(7) van de Raadspositie waren — voorlopers van het uiteindelijke art. 75 lid 3 en 4. EDPB stelde dat de bepalingen onvoldoende specificeerden onder welke voorwaarden verwerking gerechtvaardigd is, en geen voldoende waarborgen boden tegen risico's van "blacklisting and exclusion from financial services". In haar bijdrage van 8 juli 2025 aan de EBA-consultatie over de CDD-RTS herhaalde EDPB deze zorgen, met specifieke kritiek op het gebruik van "at least"-formuleringen die de scope van verwerking onbepaald maken. Mijns inziens versterkt dit kritisch standpunt de juridische druk om voor (iii) een afgebakende interpretatie te hanteren.
Let op: De interpretatie van lid 4 onder f bepaalt de levensvatbaarheid van TMNL-achtige samenwerkingsverbanden onder art. 75 AMLR. Zolang er geen richtsnoeren van AMLA of jurisprudentie van het HvJ EU zijn, is de daadwerkelijke reikwijdte onzeker. Een instelling die een partnerschap opricht doet er goed aan vooraf met de AML-toezichthouder af te stemmen welke interpretatie wordt gehanteerd (zie modal Kennisgeving en verificatie door de toezichthouder(s)).
Advies — pragmatische strategie, operationele criteria, bewijslast en de strategische interpretatiekeuze
Het advies bestaat uit vier samenhangende subsecties: (A) een pragmatische strategie om smal te beginnen en geleidelijk uit te bouwen, (B) operationele selectiecriteria om per cliëntsegment te bepalen of het binnen de partnerschap-scope valt, (C) hoe de cliëntcategoriekeuze wordt gedocumenteerd en gemotiveerd richting AML-toezichthouder, en (D) een praktijkreflectie op de strategische — niet puur juridische — aard van de interpretatiekeuze tussen nauwe en brede lezing.
A. Pragmatische strategie — begin smal, bouw geleidelijk uit
Mijn aanbeveling is om bij oprichting van een art. 75-partnerschap te beginnen met de nauwe lezing (categorieën i en ii), en pas in latere fasen — wanneer de AML-toezichthouder ervaring heeft opgedaan en AMLA-richtsnoeren aanwezig zijn — geleidelijk uit te bouwen naar (iii)-cliënten. Drie redenen onderbouwen deze defensieve startstrategie:
Juridische rechtszekerheid. De nauwe lezing is in lijn met de objectief afgebakende risicocategorieën in art. 29–31 en 36–46 AMLR — een uitlegging die voor AML-toezichthouder, AP en de civiele rechter direct herleidbaar is. Bij eventuele toekomstige geschillen biedt deze lezing een sterk verdedigingsspoor.
Operationele beheersbaarheid. De groep onder (i) en (ii) is in absolute zin aanzienlijk maar wel afgebakend en in de bestaande risicoclassificatiesystemen al herkenbaar. Dit maakt de operationele uitrol haalbaar zonder onmiddellijke en grootschalige systeem- of procesaanpassingen.
Strategische ruimte voor uitbreiding. Door smal te beginnen behoudt de instelling de mogelijkheid om — wanneer de partnerschap-werkrelatie volwassen is en AMLA-richtsnoeren beschikbaar zijn — gerichte uitbreidingen naar (iii)-cliënten te bespreken met de AML-toezichthouder. Een omgekeerde route (breed beginnen, later versmallen na kritiek) is operationeel en reputationeel veel kostbaarder.
B. Operationele selectiecriteria — wanneer valt een cliënt binnen scope?
Mijns inziens dient de instelling per cliëntsegment expliciet vast te stellen of het binnen de partnerschap-scope valt. Mijn advies is om dit uit te werken in een scope-matrix die per cliëntsegment de juridische grondslag vastlegt. Vier operationele criteria:
Criterium 1 — Bestaande risicoclassificatie. Cliënten die in het interne risicoclassificatiesysteem zijn aangemerkt als hoog-risico op grond van vooraf vastgestelde indicatoren vallen automatisch onder (i). Documenteer per indicator welke risicobeoordelingsregels (EU- en nationale risicobeoordeling op grond van art. 7 en 8 AMLD6) van toepassing zijn.
Criterium 2 — Objectieve AMLR-categorieën. Cliënten die — los van het eigen risicoclassificatiesysteem — vallen onder een van de objectieve categorieën van art. 29–31 of 36–46 AMLR vallen onder (ii). Implementeer een geautomatiseerde flagging die nieuwe cliënten en bestaande cliënten op deze categorieën scant.
Criterium 3 — Trigger-gebaseerde scope onder (iii). Voor de optie van (iii) geldt een trigger-gebaseerde benadering: alleen cliënten waarvoor een concrete trigger (transactiesignaal, externe melding, gewijzigde cliëntomstandigheid) aanleiding heeft gegeven om de risicoclassificatie te heroverwegen vallen binnen scope, en uitsluitend voor de duur van die heroverweging. Werk per type trigger uit welke aanvullende informatie binnen het partnerschap kan worden gedeeld.
Criterium 4 — Uitsluitende afbakening. Documenteer expliciet welke cliëntsegmenten niet binnen scope vallen — bijvoorbeeld retailcliënten met een laag-risico-classificatie en zonder triggers. Deze uitsluitende afbakening is essentieel voor de uitleg richting AML-toezichthouder en AP, en voorkomt ongecontroleerde uitbreiding over de tijd.
C. Documentatie en bewijslast — bewijslast richting AML-toezichthouder
De bewijslast voor de juistheid van de cliëntcategoriekeuze ligt bij de instelling zelf. Naar mijn opvatting dient deze bewijslast op drie niveaus te worden vastgelegd, zodat bij elke toets — door AP en AML-toezichthouder of bij geschillen — direct de onderbouwing beschikbaar is:
Niveau 1 — Beleidsmatige verankering. Leg in het beleidsdocument van het partnerschap (de scope-matrix uit subsectie B) vast welke cliëntcategorieën binnen scope vallen, met expliciete koppeling aan de drie subleden van art. 75 lid 4(f). Dit document maakt deel uit van het MoU en het kennisgevingsdossier (zie modals Oprichting van het partnerschap en Kennisgeving en verificatie door de toezichthouder(s)).
Niveau 2 — Casus-specifieke motivering. Leg per cliënt die binnen scope valt vast op welke grond — (i), (ii) of (iii) — dat is en welke concrete indicatoren of triggers daaraan ten grondslag liggen. Bij (iii)-cliënten: registreer de specifieke trigger, de aanvullende informatie die wordt verzameld, en het moment waarop de risicoclassificatie definitief is herzien (waarna de (iii)-grondslag vervalt).
Niveau 3 — Periodieke evaluatie. Toets jaarlijks de scope-matrix op consistentie met de bestaande risicoclassificatiesystemen en de uitkomsten van de onafhankelijke audit (zie modal Onafhankelijke audit). Documenteer eventuele scope-aanpassingen met motivering en bestuurlijke goedkeuring. Deze periodieke evaluatie is tevens een natuurlijk moment om de scope-keuze tegen het licht te houden van inmiddels gepubliceerde AMLA-richtsnoeren of jurisprudentie.
D. De interpretatiekeuze als strategische keuze — niet puur juridisch
Naar mijn mening — en dit is een praktijkreflectie die ik expliciet wil maken — is de keuze tussen nauwe en brede lezing van lid 4(f) in de praktijk geen puur juridische beslissing maar een strategische. De juridische ruimte laat beide lezingen toe; welke lezing een instelling kiest, hangt af van haar bredere positionering ten aanzien van AML/CTF-effectiviteit, AVG-zorgvuldigheid, reputationeel risicobeheer en commerciële strategie. Twee tegenovergestelde profielen tekenen zich af:
Profiel "voorzichtig — AVG-prudent". Instellingen die zwaar tillen aan de AP-kritiek op TMNL en aan de EDPB-zorgen over "blacklisting and exclusion from financial services" (zie modal Kritisch spoor), zullen kiezen voor de nauwe lezing. Dit profiel minimaliseert AVG-risico, maar accepteert dat de partnerschap-effectiviteit beperkter is — vooral op het terrein van netwerkanalyse en "unknown unknowns".
Profiel "ambitieus — TMNL-effectiviteit". Instellingen die de oorspronkelijke TMNL-doelstelling rond brede netwerkanalyse willen voortzetten, zullen kiezen voor de brede lezing van (iii). Dit profiel maximaliseert preventieve effectiviteit, maar accepteert daarbij verhoogd AVG-risico, mogelijke spanning met de AP en grotere afhankelijkheid van AMLA-richtsnoeren die de scope nader zullen invullen.
Beide profielen zijn juridisch verdedigbaar; geen van beide is "fout". Mijn standpunt is dat de keuze daarom expliciet en gemotiveerd op bestuursniveau moet worden gemaakt — niet als impliciete uitkomst van operationele keuzes verderop in het proces. De keuze raakt direct aan: de inrichting van de DPIA (zie modal AVG en gegevensbescherming), de cliëntcategorieën die in het MoU worden vastgelegd (zie modal Oprichting van het partnerschap), het kennisgevingsdossier voor de AML-toezichthouder (zie modal Kennisgeving en verificatie door de toezichthouder(s)), en de informatiecategorieën die structureel worden gedeeld (zie modal Welke informatie mag worden uitgewisseld?).
Mijn aanbeveling is om de strategische keuze te baseren op een gestructureerde afweging tussen drie elementen: (i) de risicotolerantie van de instelling op AVG-vlak, gegeven de reputatiecontext na TMNL, (ii) de feitelijke meerwaarde van de brede lezing voor het AML/CTF-doel — gezien de motivatieasymmetrie tussen grote en kleine partnerschap-deelnemers (zie modal Reikwijdte en deelnemers), en (iii) de bereidheid van de toezichthouder om de gekozen lezing te ondersteunen — wat alleen kan worden vastgesteld via vroeg pre-overleg met de AML-toezichthouder. Voor de meeste Nederlandse banken zal deze afweging mijns inziens uitkomen op een nauwe-lezing-start met een expliciet uitbreidingspad richting (iii)-toepassing zodra AMLA-richtsnoeren beschikbaar zijn (zie modal Openstaande vragen).
Waarborgen bij de uitwisseling — Art. 75 lid 4(a)(b)(c)(d)(k) AMLR
D — Operationele waarborgen
De vijf wettelijke waarborgen
Registratieplicht (lid 4 onder a)
De meldingsplichtige entiteiten registreren alle gevallen van informatie-uitwisseling binnen het partnerschap.
Verbod op blind vertrouwen (lid 4 onder b)
De meldingsplichtige entiteiten vertrouwen niet uitsluitend op de in het kader van het partnerschap ontvangen informatie om aan de vereisten van de AMLR te voldoen.
Eigen beoordeling vóór besluitvorming (lid 4 onder c)
De meldingsplichtige entiteiten trekken geen conclusies of besluiten die de zakelijke relatie met de cliënt of de verrichting van occasionele transacties voor de cliënt beïnvloeden op basis van ontvangen partnerschapsinformatie, zonder die informatie eerst zelf te hebben beoordeeld. Indien partnerschapsinformatie wordt gebruikt in een beoordeling die leidt tot de weigering of beëindiging van een zakelijke relatie of tot de uitvoering van een occasionele transactie, wordt deze informatie opgenomen in de registers op grond van art. 21 lid 3 AMLR, met vermelding van het feit dat zij afkomstig is uit een partnerschap voor informatie-uitwisseling.
Eigen transactie-analyse (lid 4 onder d)
De meldingsplichtige entiteiten voeren hun eigen beoordeling uit van cliëntentransacties om vast te stellen welke daarvan verband kunnen houden met witwassen, terrorismefinanciering of opbrengsten van criminele activiteiten.
SAR-informatie uitsluitend met FIU-instemming (lid 4 onder k)
De uitwisseling van informatie over verdachte transacties (lid 3 onder g) vindt uitsluitend plaats wanneer de FIU waaraan de verdachte-transactie-melding op grond van art. 69 of art. 70 AMLR is ingediend daarmee heeft ingestemd. Voor de drielagige juridische analyse van SAR-uitwisseling en het gescheiden verwerkingsspoor binnen het partnerschap, zie de modal Welke informatie mag worden uitgewisseld?.
Juridische verdieping
De vijf waarborgen als geïntegreerd raamwerk
De vijf waarborgen onder lid 4(a)(b)(c)(d)(k) zijn naar mijn mening niet vijf losse regels maar één geïntegreerd procesraamwerk dat de levenscyclus van iedere informatie-uitwisseling beheerst. De samenhang loopt langs vier momenten:
Vóór de uitwisseling — bij SAR-gerelateerde informatie geldt eerst de FIU-instemmingsvereiste van lid 4(k); zonder instemming is uitwisseling niet toegestaan.
Tijdens de uitwisseling — elke uitwisseling moet worden geregistreerd op grond van lid 4(a); zonder registratie is achteraf niet aantoonbaar wat is gedeeld, met wie, en met welk doel.
Na ontvangst — de ontvangende entiteit mag de informatie niet blindelings overnemen (lid 4(b)) en moet eigen transactie-analyse blijven uitvoeren (lid 4(d)).
Bij gebruik in besluitvorming — voordat partnerschapsinformatie de cliëntrelatie beïnvloedt, vereist lid 4(c) een eigen beoordeling én registratie ex art. 21 lid 3 AMLR met vermelding van de partnerschap-herkomst.
Dit raamwerk werkt door op het bredere lid-4-cluster: de waarborgen onder (e)(g)(h) raken AVG en pseudonimisering (zie modal AVG en gegevensbescherming), (f) bepaalt de cliëntreikwijdte (zie modal Welke cliënten?), en (i)(j) regelen de positie van bevoegde autoriteiten. Voor de praktijkbeoefenaar die het partnerschap inricht, vormt lid 4 dus één coherent waarborgenpakket dat als geheel moet worden geoperationaliseerd. Voor de doorlopende toetsing van naleving zie de modal Onafhankelijke audit.
De paradox van lid 4(b) — verbod op blind vertrouwen
Lid 4(b) bevat naar mijn mening een operationeel ongemakkelijke paradox: een partnerschap dat informatie deelt om de partners te helpen mag tegelijkertijd niet uitsluitend op die informatie vertrouwen. Juridisch is deze bepaling begrijpelijk — de eigen verantwoordelijkheid van iedere meldingsplichtige entiteit blijft onverkort overeind, ook binnen een partnerschap (zie ook lid 2, laatste volzin). Operationeel ontstaat echter de vraag hoe een proces kan worden ontworpen waarin ontvangen informatie waardevol is zonder dat erop wordt vertrouwd.
Mijn oplossing is om deze paradox te ondervangen door partnerschapsinformatie te kwalificeren als signaal, niet als bewijs. Een ontvangen signaal activeert eigen onderzoek, maar vervangt dat onderzoek niet. Dit is een wezenlijk verschil met bijvoorbeeld interbancaire informatie-uitwisseling onder andere kaders, waar de informatie soms direct in compliance-besluitvorming wordt verwerkt. De juridische kwalificatie als signaal heeft drie operationele consequenties: (i) ontvangen partnerschapsinformatie wordt nooit het enige fundament voor een beslissing, (ii) na ontvangst wordt eigen onderzoek opgestart waarvan de uitkomsten zelfstandig worden gedocumenteerd, en (iii) de uiteindelijke beslissing wordt gemotiveerd op basis van de eigen onderzoeksbevindingen, met de partnerschapsinformatie als trigger maar niet als grond.
Art. 21 lid 3 AMLR-doorwerking en de-risking-spanning
Lid 4(c) verwijst voor de registratieplicht bij weigering of beëindiging van een zakelijke relatie naar art. 21 lid 3 AMLR. Deze cross-reference is meer dan een technische verwijzing: zij plaatst het partnerschap-regime midden in de bredere de-risking-discussie die in de afgelopen jaren onder druk is komen te staan van zowel de Autoriteit Persoonsgegevens (in haar TMNL-kritiek) als de European Data Protection Board. AMLR overweging 53 maakt op dit punt expliciet dat AML/CFT-redenen in geen geval mogen worden aangevoerd om commerciële beslissingen ten aanzien van potentiële of bestaande cliënten te rechtvaardigen — een principiële richtinggever voor de afweging die elke instelling bij elk uitsluitingsbesluit moet maken.
De juridische kern is deze: wanneer een bank op basis van partnerschapsinformatie besluit een zakelijke relatie te weigeren of te beëindigen, moet zij dat besluit registreren met vermelding dat de onderbouwing (mede) afkomstig is uit een partnerschap. Deze transparantieverplichting werkt twee kanten op. Aan de ene kant biedt zij betrokkenen — bij toekomstige inzageverzoeken (art. 15 AVG) — meer inzicht in de feitelijke gronden van het besluit, wat een belangrijke AVG-waarborg is. Aan de andere kant maakt zij het partnerschap-mechanisme zichtbaar voor de toezichthouder en voor de cliënt zelf, wat de instelling onder vergrote verantwoordingslast plaatst bij de motivering van het besluit.
Mijn standpunt is dat deze verantwoordingslast actief moet worden aanvaard, niet ontlopen. De verleiding kan ontstaan om partnerschapsinformatie wel te gebruiken in interne risicobeoordeling maar niet expliciet als onderbouwing van een weigerings- of beëindigingsbesluit te vermelden — om zo de art. 21 lid 3-registratie en de daarmee samenhangende uitlegbaarheid te omzeilen. Dat is juridisch niet houdbaar en operationeel risicovol: zodra een toezichthouder of een betrokkene het besluitvormingsproces reconstrueert, wordt de impliciete rol van partnerschapsinformatie zichtbaar — met als gevolg dat zowel het de-risking-besluit als de registratiepraktijk kunnen worden aangevochten. Voor het bredere AP-/EDPB-perspectief op de-risking en partnerschap-uitwisseling, zie de modal Kritisch spoor.
Advies — operationele uitwerking, de-risking-zorgvuldigheid, registratieframework en de kostenkant
Het advies bestaat uit vier samenhangende subsecties: (A) de operationalisering van het verbod op blind vertrouwen, de eigen beoordeling en de eigen transactie-analyse, (B) de inrichting van de-risking-zorgvuldigheid zonder ongerechtvaardigde uitsluiting, (C) de opzet van het centrale registratieframework, en (D) een praktijkreflectie op de operationele en financiële last van het waarborgenpakket en de mogelijkheden om die via gezamenlijk AML/CTF-beleid te dragen.
A. Operationele uitwerking van lid 4(b)/(c)/(d)
De drie waarborgen onder lid 4(b)(c)(d) — verbod op blind vertrouwen, eigen beoordeling vóór besluitvorming, eigen transactie-analyse — vormen samen het kernproces dat een ontvangende entiteit moet inrichten. Mijn aanbeveling is om dit proces langs vijf praktische stappen te operationaliseren:
Stap 1 — Ontvangst en kwalificatie als signaal. Bij ontvangst van partnerschapsinformatie wordt deze in het casemanagement systeem gekwalificeerd als signaal, niet als bewijs (zie de paradox-analyse hierboven). De medewerker die de informatie ontvangt, kent géén directe besluitvormingsbevoegdheid op basis van de informatie alleen.
Stap 2 — Eigen onderzoek opstarten. Het signaal activeert een event-driven review (EDR) volgens de bestaande KYC-procedure. De partnerschapsinformatie vormt input voor het onderzoek, naast eigen transactiedata, eigen cliëntinformatie en relevante externe bronnen.
Stap 3 — Eigen beoordeling documenteren. De uitkomsten van het eigen onderzoek worden zelfstandig gedocumenteerd in het cliëntdossier — met expliciete vermelding van welke conclusies voortvloeien uit eigen analyse en welke uit ontvangen partnerschapsinformatie. Deze scheiding is bewijstechnisch essentieel.
Stap 4 — Bevoegdheid tot besluitvorming. De besluitvorming over de cliëntrelatie (continuering, herclassificatie, weigering, beëindiging) wordt belegd bij een aangewezen tweede-lijns-medewerker die niet de oorspronkelijke ontvanger van de partnerschapsinformatie is. Deze functie-scheiding borgt dat de eigen-beoordelingsplicht van lid 4(c) niet door de feitelijke gang van zaken wordt ondermijnd.
Stap 5 — Eigen transactie-analyse parallel. Onafhankelijk van de partnerschapsinformatie blijft de eigen transactiemonitoring (art. 26 AMLR — doorlopende monitoring van de zakelijke relatie) toezicht houden op de cliënt. Lid 4(d) verplicht expliciet tot eigen transactie-analyse — partnerschapsinformatie mag deze analyse versterken, maar nooit vervangen of beperken.
B. De-risking-zorgvuldigheid — voorkom ongerechtvaardigde uitsluiting
Mijns inziens is dit de juridisch meest gevoelige subsectie van het advies. De combinatie van partnerschap-uitwisseling en eigen besluitvorming op basis daarvan kan — zonder bewuste zorgvuldigheid — leiden tot ongerechtvaardigde de-risking (in AMLR-terminologie: risicoverminderingspraktijken), met als gevolg financiële uitsluiting van betrokkenen. AMLR onderkent deze problematiek expliciet: art. 21 lid 4 AMLR voorziet in gezamenlijke AMLA-/EBA-richtsnoeren (uiterlijk 10 juli 2027) over zakelijke relaties die het zwaarst worden getroffen door risicoverminderingspraktijken, in samenhang met de basisbetaalrekening-regeling van Richtlijn 2014/92/EU. Dit is precies het scenario waarvoor de EDPB in haar brief van 4 april 2023 expliciet waarschuwde ("blacklisting and exclusion from financial services") en waarover de Autoriteit Persoonsgegevens haar TMNL-kritiek heeft geformuleerd. Vier maatregelen:
Maatregel 1 — Proportionaliteitstoets bij elke beslissing. Uitsluiting is in het Nederlandse en EU-rechtskader géén default-reactie maar een uitzonderingsmaatregel: zij is gereguleerd door de bijzondere zorgplicht van banken — recent toegespitst op de toetsing van bankrelatie-opzegging in Hof Amsterdam 28 april 2026, ECLI:NL:GHAMS:2026:1271, waarin het hof oordeelde dat opzegging "naar maatstaven van redelijkheid en billijkheid onaanvaardbaar" kan zijn — de basisbetaalrekening-regeling van Richtlijn 2014/92/EU voor consumenten en het verbod uit AMLR overweging 53 om AML/CFT-redenen als commerciële rechtvaardiging te gebruiken. Voorafgaand aan een weigerings- of beëindigingsbesluit op grond van mede partnerschap-informatie, dient daarom een proportionaliteitstoets te worden uitgevoerd: is de uitsluiting evenredig aan het concreet vastgestelde risico, en zijn minder ingrijpende alternatieven — verscherpte monitoring, beperkte productenset, herclassificatie naar hoog-risico met aanvullende waarborgen — eerst overwogen en gedocumenteerd?
Maatregel 2 — Vier-ogen-principe bij beëindigingsbesluiten. Beëindiging van een zakelijke relatie op grond waarvan partnerschap-informatie een rol heeft gespeeld, vereist altijd vier-ogen-controle door een tweede compliance officer of senior medewerker. Documenteer beide goedkeuringen met motivering.
Maatregel 3 — Klant-spiegelmoment. Bouw in het besluitvormingsproces een moment in waarin het besluit wordt "gespiegeld" tegen de hypothese: zou hetzelfde besluit zijn genomen zónder de partnerschap-informatie? Indien het antwoord "nee" is, dient de motivering scherper te worden — partnerschap-informatie als signaal mag niet de doorslaggevende factor zijn zonder eigen onderbouwing.
Maatregel 4 — Periodieke evaluatie van de-risking-uitkomsten. Toets jaarlijks de uitkomsten van besluiten waarin partnerschap-informatie een rol speelde: hoeveel weigeringen, hoeveel beëindigingen, welke cliëntsegmenten worden disproportioneel geraakt, welke geografische of demografische clusters vallen op? Deze evaluatie is tevens een onderdeel van de onafhankelijke audit (zie modal Onafhankelijke audit) en biedt input voor toezichtsdialoog met AP en AML-toezichthouder.
C. Centraal registratieframework — operationele invulling van lid 4(a)
De registratieplicht van lid 4(a) lijkt op het eerste gezicht een formaliteit, maar is in de praktijk de spil waaromheen het hele waarborgenpakket draait. Naar mijn opvatting dient een centraal registratieframework te worden ingericht dat zowel de uitwisseling zelf als het gebruik daarvan in besluitvorming traceerbaar maakt. Vier elementen:
Element 1 — Uniek dossiernummer per uitwisseling. Elke informatie-uitwisseling krijgt bij verzending én bij ontvangst een uniek dossiernummer dat door alle deelnemende partijen wordt gehanteerd. Dit nummer fungeert als de "rode draad" waarmee bij latere toetsing kan worden gereconstrueerd welke informatie wanneer is gedeeld.
Element 2 — Vastgelegde metadata per uitwisseling. Per uitwisseling worden ten minste de volgende velden geregistreerd: tijdstip, verzendende entiteit, ontvangende entiteit(en), datacategorie (gerelateerd aan art. 75 lid 3), cliëntcategorie (gerelateerd aan lid 4(f)), grondslag voor uitwisseling, juridisch regime (regulier dan wel het gescheiden SAR-spoor uit de modal Welke informatie mag worden uitgewisseld? subsectie B), en eventuele FIU-instemming bij SAR-uitwisseling.
Element 3 — Koppeling met art. 21 lid 3-registratie. Wanneer partnerschap-informatie leidt tot een weigerings- of beëindigingsbesluit, dan wel tot een besluit over de uitvoering van een occasionele transactie, wordt het dossiernummer van de uitwisseling geregistreerd in de art. 21 lid 3-registratie van de cliënt. Hierdoor is de keten van informatie-uitwisseling tot uiteindelijk besluit volledig traceerbaar — wat zowel voor toezichtsverantwoording als voor inzageverzoeken (art. 15 AVG) essentieel is.
Element 4 — Bewaartermijn afgestemd op art. 77 AMLR. Het registratieframework hanteert dezelfde bewaartermijn als de bredere CDD-administratie (vijf jaar na beëindiging zakelijke relatie, art. 77 lid 1 AMLR), zodat consistentie met de overige Wwft-/AMLR-bewaarverplichtingen geborgd is.
D. Operationele last en kosten — de gezamenlijk-AML/CTF-beleid-route
Naar mijn mening — en dit is een praktijkreflectie die ik bewust expliciet maak — vormen de vijf waarborgen samen een operationeel zware last die voor iedere deelnemende bank substantiële kosten met zich meebrengt. Het gaat niet alleen om systemen (casemanagement, registratieframework, vier-ogen-procedure) maar ook om processen (event-driven review, proportionaliteitstoets, klant-spiegelmoment), governance (functie-scheiding, periodieke evaluatie) en capaciteit (extra compliance officers, tweede-lijns-toets). Voor een gemiddelde bank kan dit oplopen tot een aanzienlijke jaarlijkse investering — en de operationele last blijft voor alle deelnemers nagenoeg gelijk, ongeacht hun grootte.
Hier ligt naar mijn mening een directe verbinding met de aanbeveling uit de modal Reikwijdte en deelnemers (advies-criterium 3) om een gezamenlijk AML/CTF-beleid op te stellen waaraan alle deelnemers zich committeren. Een dergelijk gezamenlijk beleid biedt drie voordelen die juist op het terrein van de waarborgen tastbaar zijn:
Kostenspreiding. Operationele componenten — zoals het registratieframework, de standaardprocedure voor eigen beoordeling, de vier-ogen-procedure en de periodieke de-risking-evaluatie — kunnen via een gemeenschappelijke infrastructuur of gedeelde dienstverlening worden opgezet en onderhouden, in plaats van dat elke deelnemer dat afzonderlijk doet. Dit verlaagt de kosten substantieel, vooral voor kleinere deelnemers.
Uniforme uitvoering. Wanneer alle deelnemers dezelfde minimumstandaard hanteren voor de uitwerking van lid 4(b)(c)(d), neemt de juridische voorspelbaarheid binnen het partnerschap toe. Een ontvangende bank weet dan vooraf hoe de verzendende bank de informatie heeft samengesteld en welke eigen-beoordelingsdiscipline deze hanteert — wat de waarde van de uitwisseling vergroot zonder het verbod op blind vertrouwen te schenden.
Audit- en toezichts-uitlegbaarheid. Een gezamenlijk beleid is voor de onafhankelijke auditor (zie modal Onafhankelijke audit) en voor de AML-toezichthouder gemakkelijker te toetsen dan vijf afzonderlijke afgeleide beleidsdocumenten. Dit reduceert de toezichtslast aan beide kanten.
Mijn aanbeveling is daarom om bij het opstellen van het Memorandum of Understanding (zie modal Oprichting van het partnerschap) expliciet vast te leggen welke onderdelen van het waarborgenpakket gemeenschappelijk worden ingericht en welke door elke deelnemer zelfstandig worden uitgevoerd. De juridische randvoorwaarde uit het Reikwijdte-advies blijft daarbij onverkort gelden: gezamenlijk beleid functioneert als gemeenschappelijke onderkant (minimum baseline), waar individuele banken wel boven mogen handhaven, maar niet onder. De eigen verantwoordelijkheid van elke deelnemer onder lid 2 laatste volzin AMLR blijft daarbij intact.
Doorgifte-verbod en uitzonderingen — Art. 75 lid 5 AMLR
D — Operationele waarborgen
Wettelijke regel en uitzonderingen
Hoofdregel: niet verder doorgeven
Informatie die in het kader van een partnerschap voor informatie-uitwisseling is ontvangen, mag in beginsel niet verder worden doorgegeven buiten het partnerschap (art. 75 lid 5 AMLR).
Vier uitzonderingen
(a) de informatie wordt verstrekt aan een andere meldingsplichtige entiteit op grond van art. 49 lid 1 AMLR (steunen op een andere instelling);
(b) de informatie moet worden opgenomen in een melding aan de FIU of wordt verstrekt in antwoord op een verzoek van de FIU op grond van art. 69 lid 1 AMLR;
(c) de informatie wordt verstrekt aan AMLA op grond van art. 93 AMLAR;
(d) de informatie wordt opgevraagd door rechtshandhavings- of gerechtelijke autoriteiten, onder voorbehoud van voorafgaande toestemming of andere procedurele waarborgen die volgens het nationale recht vereist zijn.
Juridische verdieping
De vier uitzonderingen als asymmetrische stromen
Naar mijn beoordeling is het van belang om te onderkennen dat de vier uitzonderingen onder lid 5 juridisch zeer verschillende stromen openzetten — zij zijn niet vier varianten van hetzelfde, maar vier afzonderlijke regimes met eigen waarborgen en eigen rechtsgevolgen. Het verschil loopt langs twee assen: horizontaal versus verticaal, en private sfeer versus overheidssfeer.
Uitzondering (a) — Horizontaal binnen private sfeer. Verstrekking aan een andere meldingsplichtige entiteit op grond van art. 49 lid 1 AMLR. Dit is de enige horizontale uitzondering: de informatie verlaat het partnerschap maar blijft binnen de private compliance-keten. Het juridische kader is hier beperkt tot de art. 49-vereisten (steunen op cliëntenonderzoek van een andere instelling), zonder formele toezichthouderbetrokkenheid voor de doorgifte zelf.
Uitzondering (b) — Verticaal naar de FIU. Opname in een melding aan FIU-Nederland of verstrekking in reactie op een FIU-verzoek (art. 69 lid 1 AMLR). De informatie verlaat de private sfeer en gaat naar het publiekrechtelijke regime. Dit is juridisch een doorgifte met een sterk beschermend kader: de FIU is gehouden aan haar eigen vertrouwelijkheidsregime en de informatie valt vanaf dat moment onder de FIU-rechtsorde.
Uitzondering (c) — Verticaal naar AMLA. Verstrekking aan AMLA op grond van art. 93 AMLAR (kader voor AMLA's deelname aan grensoverschrijdende partnerschappen voor informatie-uitwisseling, dat in samenhang met art. 75 lid 5 onder c AMLR de basis biedt voor informatieverstrekking aan AMLA). Vergelijkbare structuur als (b), maar op EU-niveau. Voor Nederlandse banken die direct onder AMLA-toezicht komen te vallen (vanaf medio 2028, zie modal Kennisgeving en verificatie door de toezichthouder(s)) is dit de natuurlijke route.
Uitzondering (d) — Verticaal naar opsporing en justitie. Verstrekking op opvraag van rechtshandhavings- of gerechtelijke autoriteiten, onder voorbehoud van procedurele waarborgen uit nationaal recht. Dit is juridisch het zwaarst beladen regime: hier raakt de doorgifte aan strafvordering, bewijsverkrijging, rechterlijke machtigingen en — bij lopende SAR-zaken — aan het tipping-off-verbod (zie het blok hieronder).
Naar mijn mening vereist elke uitzondering een eigen toetsings- en autorisatieproces — een uniforme procedure onderschat de juridische verschillen tussen de vier regimes. Lid 5 vormt samen met lid 4 (zie modal Waarborgen bij de uitwisseling) één samenhangend waarborgenpakket dat het gebruik van partnerschap-informatie afbakent.
Groepsdoorgifte — de EBA-brug uitgewerkt
EBA 2025 In paragraaf 91 van het EBA-advies van 30 oktober 2025 schrijft EBA dat acceptable uses van persoonsgegevens die in groepsverband zijn verkregen, onder meer omvatten: "the onward sharing of information obtained through membership of a partnership for information-sharing, if specific conditions are met". Dit punt is het scharnierpunt tussen art. 16 lid 4 AMLR (group-wide policies) en art. 75. Projective Group, een Europees AML/CTF-consultancy, signaleert dat het op dit moment onduidelijk is of en onder welke voorwaarden een entiteit die aan een partnerschap deelneemt de verkregen informatie mag delen met andere entiteiten binnen dezelfde groep. De AMLA-RTS op art. 16 lid 4 zal dit moeten verduidelijken (zie modal Openstaande vragen).
Wat staat er feitelijk op het spel? Voor multinationale banken is dit een centrale operationele vraag: een Nederlandse partnerschap-deelnemer ontvangt informatie en wil die delen met haar Belgische, Duitse of Britse zustermaatschappij — bijvoorbeeld omdat de cliënt ook daar bediend wordt of omdat de risicoanalyse op groepsniveau wordt gevoerd. Mijn analyse onderscheidt drie scenario's:
Scenario 1 — Zustermaatschappij is zelf partnerschap-deelnemer. Wanneer de zustermaatschappij rechtstreeks deelneemt aan hetzelfde art. 75-partnerschap, blijft de informatie binnen het partnerschap en is lid 5 niet aan de orde. Dit is juridisch het schoonst.
Scenario 2 — Zustermaatschappij is geen deelnemer maar valt onder dezelfde groeps-AML/CTF-policy. Hier raakt de groepsdoorgifte direct aan de art. 16 lid 4-RTS. Tot AMLA dit nader regelt, is de juridische ruimte beperkt en risicovol. Naar mijn mening is doorgifte in dit scenario nu niet zonder meer toelaatbaar — de uitzonderingen (a)–(d) van lid 5 zien hier niet op, en EBA's signaal in par. 91 is een richtingaanwijzer voor toekomstige regelgeving, geen huidige juridische basis.
Scenario 3 — Zustermaatschappij in derde land buiten EU. Hier komt naast lid 5 ook het AVG-doorgifte-regime (Hoofdstuk V AVG) in beeld: derde-land-doorgifte vereist een eigen rechtsgrond (adequaatheidsbesluit, passende waarborgen, of specifieke afwijking ex art. 49 AVG). Dit verzwaart de juridische analyse aanzienlijk.
Tipping off-spanning bij uitzondering (d)
Wanneer rechtshandhavings- of gerechtelijke autoriteiten informatie opvragen onder uitzondering (d), kan dit raken aan een lopende SAR-zaak waarbij het tipping-off-verbod (art. 73 AMLR / art. 23 Wwft) onverkort actief is. De wettekst van lid 5 zwijgt over deze samenloop, maar in de praktijk doet zij zich regelmatig voor: een opsporingsdienst vordert informatie over een cliënt waarover binnen het partnerschap SAR-gerelateerde informatie is uitgewisseld op basis van FIU-instemming ex lid 4 onder k.
Mijn aanbeveling is om in een dergelijk geval drie disciplines te hanteren: (i) de SAR-context van de informatie wordt niet ongevraagd aan de vorderende autoriteit medegedeeld, tenzij dit expliciet in de vordering wordt gevraagd of ervoor noodzakelijk is, (ii) de cliënt wordt niet geïnformeerd over de vordering wanneer dit het tipping-off-verbod zou schenden — de vorderende autoriteit zal in een dergelijk geval doorgaans zelf een geheimhoudingsplicht opleggen, en (iii) bij twijfel over de afweging wordt voorafgaand aan voldoening aan de vordering juridisch advies ingewonnen, met name wanneer de vordering raakt aan SAR-informatie waarvoor binnen het partnerschap een gescheiden verwerkingsspoor geldt (zie modal Welke informatie mag worden uitgewisseld?).
Advies — doorgifte-protocol, ongecontroleerde uitbreiding, groepsdoorgifte en de relativering van vertrouwelijkheid
Het advies bestaat uit vier samenhangende subsecties: (A) de inrichting van een toetsings- en autorisatieprotocol per uitzondering, (B) voorkoming van ongecontroleerde uitbreiding via de art. 49-route, (C) handelingsopties in afwachting van AMLA-RTS art. 16 lid 4 over groepsdoorgifte, en (D) een praktijkreflectie op de relativering van vertrouwelijkheid die de vier uitzonderingen tezamen creëren.
A. Doorgifte-protocol — eigen toetsing per uitzondering
Mijns inziens dient het partnerschap een doorgifte-protocol vast te stellen dat per uitzondering een afzonderlijk toetsings- en autorisatietraject voorschrijft — een uniforme procedure voor alle vier uitzonderingen onderschat de juridische verschillen. Vier protocollen:
Protocol uitzondering (a) — Art. 49-doorgifte. Voorafgaand aan elke verstrekking aan een andere meldingsplichtige entiteit moet worden getoetst: (i) of er sprake is van een geldige steunrelatie ex art. 48-49 AMLR (de ontvangende entiteit steunt op de doorgevende voor cliëntenonderzoek), (ii) of de specifieke informatie valt binnen de scope van art. 49 lid 1 (informatie betreffende cliëntenonderzoeksmaatregelen van art. 20 lid 1 onder a, b en c, of de voorgestelde bedrijfsactiviteit), en (iii) of er een schriftelijke overeenkomst ex art. 49 lid 4 AMLR is gesloten (binnen een groep mag deze ex art. 49 lid 5 worden vervangen door een interne groepsprocedure). Leg deze toets vast in een standaardformulier dat door een tweede compliance officer wordt geaccordeerd.
Protocol uitzondering (b) — FIU-melding of FIU-verzoek. Doorgifte naar de FIU loopt via het bestaande meldportaal en het bestaande informatieverzoek-proces (art. 17 Wwft, dat aansluit op art. 69 lid 1 AMLR). Belangrijke aanvulling: bij doorgifte van partnerschap-informatie wordt expliciet vermeld dat de informatie afkomstig is uit een art. 75-partnerschap. Dit is nodig voor de FIU-werkprocessen én voor de transparantieverplichting richting betrokkenen (zie discussie art. 21 lid 3 AMLR in modal Waarborgen bij de uitwisseling).
Protocol uitzondering (c) — AMLA-verstrekking. Uitzondering (c) verwijst via art. 93 AMLAR specifiek naar de situatie waarin AMLA zelf deelneemt aan het partnerschap. Daarnaast verloopt verstrekking aan AMLA via de toezichtkanalen: voor banken onder direct AMLA-toezicht (vanaf medio 2028 voor selected obliged entities ex art. 13 AMLAR) als routinemechanisme, voor banken onder DNB-toezicht uitsluitend op verzoek (waarvoor in uitzonderlijke omstandigheden art. 14 AMLAR de grondslag biedt). Leg vast wie binnen de instelling bevoegd is om AMLA-verzoeken te beoordelen en te beantwoorden.
Protocol uitzondering (d) — Vorderingen rechtshandhaving en justitie. Een vordering van een rechtshandhavings- of gerechtelijke autoriteit moet altijd langs de juridische afdeling, vóór voldoening. Toets per vordering: (i) bevoegdheid van de vorderende autoriteit en juridische grondslag, (ii) eventuele voorafgaande toestemming of andere procedurele waarborgen die volgens het nationale recht vereist zijn, (iii) tipping-off-spanning bij SAR-gerelateerde informatie, (iv) de scope van de gevraagde informatie ten opzichte van wat strikt noodzakelijk is voor de vordering. Documenteer per vordering de afweging en de uiteindelijk verstrekte informatie.
B. Voorkom ongecontroleerde uitbreiding via de art. 49-route
Naar mijn opvatting verdient uitzondering (a) bijzondere aandacht omdat zij potentieel een ongecontroleerde uitbreiding van de informatiestroom mogelijk maakt: partnerschap-informatie kan via de art. 49-route doorstromen naar andere meldingsplichtige entiteiten die zelf geen deelnemer zijn aan het partnerschap — buiten zicht van de andere partnerschap-deelnemers, hoewel art. 49 zelf wel een schriftelijke overeenkomst, registratie en toezicht op de steunrelatie voorschrijft. Hierdoor kan de feitelijke vertrouwelijkheid van het partnerschap onder druk komen te staan, terwijl elke individuele doorgifte juridisch toelaatbaar lijkt. Drie aanbevelingen om dit te beheersen:
Aanbeveling 1 — Inventariseer art. 49-relaties vóór deelname. Stel bij toetreding tot het partnerschap een inventaris op van alle bestaande art. 49-overeenkomsten waaronder partnerschap-informatie potentieel kan doorstromen. Deel deze inventaris binnen het partnerschap zodat alle deelnemers zicht hebben op de mogelijke uitstralingsroute van hun gedeelde informatie.
Aanbeveling 2 — Markeringsplicht bij art. 49-doorgifte. Wanneer informatie via art. 49 wordt doorgegeven die mede afkomstig is uit een art. 75-partnerschap, wordt deze herkomst expliciet vermeld in de doorgifte. Dit waarschuwt de ontvangende art. 49-partij dat de informatie onder een specifiek vertrouwelijkheidsregime is verkregen en zorg vereist bij verder gebruik.
Aanbeveling 3 — Afspraken vooraf in het MoU. Leg in het Memorandum of Understanding (zie modal Oprichting van het partnerschap) vast dat deelnemers elkaar informeren wanneer zij voornemens zijn partnerschap-informatie via art. 49 verder door te geven. Dit creëert geen vetorecht maar wel een transparantiemoment dat ongecontroleerde uitbreiding zichtbaar maakt en bespreekbaar houdt.
C. Groepsdoorgifte-strategie — in afwachting van AMLA-RTS art. 16 lid 4
Voor multinationale banken is de groepsdoorgifte-vraag een acute operationele kwestie zonder eenduidig antwoord. Mijn advies is om — totdat AMLA-RTS art. 16 lid 4 hierover duidelijkheid biedt — een defensieve en gedocumenteerde lijn te volgen:
Defensief uitgangspunt. Behandel groepsdoorgifte van partnerschap-informatie buiten de gevallen van Scenario 1 (zustermaatschappij is zelf deelnemer) als niet zonder meer toelaatbaar. Dit beschermt de instelling tegen retroactieve toezichts- of AVG-handhaving wanneer AMLA-RTS art. 16 lid 4 strikter blijkt dan verwacht.
Documentatieverplichting. Leg per voorgenomen groepsdoorgifte vast: het scenario (1, 2 of 3 uit het inhoudelijke blok hierboven), de juridische beoordeling van toelaatbaarheid, en — bij twijfel — het besluit om de doorgifte uit te stellen of via een alternatieve route te organiseren.
Volg AMLA-ontwikkelingen actief. Wijs een verantwoordelijke aan binnen de juridische of compliance-functie die de AMLA-publicaties over art. 16 lid 4 actief volgt en het partnerschap proactief informeert zodra concept-RTS of definitieve regelgeving beschikbaar komt. Bouw in het MoU een herzieningsmoment in waarop de groepsdoorgifte-discipline wordt geactualiseerd op basis van nieuwe richtsnoeren.
Derde-land-doorgifte (Scenario 3) altijd via formele AVG-route. Wanneer doorgifte naar een zustermaatschappij in een derde land is voorzien, wordt naast lid 5 altijd het AVG Hoofdstuk V doorlopen (adequaatheidsbesluit, Standard Contractual Clauses, of specifieke afwijking ex art. 49 AVG). Documenteer deze beoordeling expliciet in het cliënt- en datadossier.
D. De relativering van vertrouwelijkheid — een praktijkreflectie
Tot slot — en dit is een praktijkreflectie die ik bewust expliciet maak — creëren de vier uitzonderingen onder lid 5 tezamen een grijs gebied waarin partnerschap-informatie via legitieme routes uiteindelijk veel verder kan reizen dan binnen het partnerschap zelf. Dit relativeert de feitelijke vertrouwelijkheid van het partnerschap op een manier die voor potentiële deelnemers vooraf duidelijk moet zijn.
Concreet: informatie die binnen een art. 75-partnerschap wordt gedeeld, kan via uitzondering (a) doorstromen naar andere meldingsplichtige entiteiten (binnen het steunkader ex art. 48-49 AMLR maar buiten zicht van de andere partnerschap-deelnemers), via (b) terechtkomen bij FIU-Nederland en uiteindelijk bij andere FIU's via FIU.NET (het beveiligde EU-uitwisselingsnetwerk tussen Financial Intelligence Units, sinds 2025 onder AMLA-beheer), via (c) bij AMLA en daarmee in de bredere EU-toezichtsketen, en via (d) bij opsporingsdiensten en gerechtelijke autoriteiten. Het partnerschap is dus juridisch geen "gesloten" structuur, maar een afgebakende ruimte met gereguleerde uitstroomroutes.
Naar mijn mening heeft deze relativering drie implicaties die direct raken aan het vertrouwen tussen partners en daarmee aan de levensvatbaarheid van het partnerschap. Ten eerste: de motivatieparadox uit Wegner's analyse (zie modal Reikwijdte en deelnemers) krijgt hier extra reliëf — een deelnemer die informatie inbrengt moet erop kunnen vertrouwen dat de uitstroomroutes voorspelbaar en gedisciplineerd worden gehanteerd, anders verzwakt de bereidheid om volgende keer informatie in te brengen. Ten tweede: de partnerschap-deelnemers moeten elkaar transparant informeren over door hen geactiveerde uitzonderingen — niet als juridische verplichting, maar als governance-keuze die het wederzijdse vertrouwen beschermt. Ten derde: bij het opstellen van het MoU dient expliciet aandacht te zijn voor de vraag hoe deelnemers omgaan met de spanning tussen hun individuele uitzonderings-gebruik en het collectieve belang van het partnerschap als vertrouwelijke samenwerking. Naar mijn mening is dit een onderwerp dat in subsectie B van het Reikwijdte-advies (selectiecriteria voor partnerkeuze) en in het MoU-proces uit de Oprichting-modal expliciet aan de orde moet komen — een partnerschap met deelnemers die de uitzonderingen lichtvaardig hanteren is op termijn niet houdbaar.
Bronnen
Art. 75 lid 5 AMLR · Art. 75 lid 4 onder k AMLR · Art. 48-49 AMLR (steunen op derden) · Art. 49 lid 1, 4 en 5 AMLR · Art. 20 lid 1 onder a-c AMLR · Art. 21 lid 3 AMLR · Art. 16 lid 4 AMLR · Art. 69 lid 1 AMLR · Art. 73 AMLR (tipping-off) · Art. 13 AMLAR · Art. 14 AMLAR · Art. 93 AMLAR · Hoofdstuk V AVG (doorgifte naar derde landen) · Art. 49 AVG (specifieke afwijkingen) · Art. 17 Wwft · Art. 23 Wwft · EBA (2025), Final Response to EC Call for Advice on Six AMLA Mandates, par. 91 · Projective Group (2025) — EU AML Package Alert
Interne beleidsvoering — Art. 75 lid 6 AMLR
E — Doorlopend beheer
Gedragslijnen en procedures vóór deelname
Meldingsplichtige entiteiten die aan een partnerschap voor informatie-uitwisseling deelnemen, moeten in hun krachtens art. 9 AMLR opgestelde interne gedragslijnen en procedures specifieke bepalingen opnemen voor het delen van informatie. Deze bepalingen moeten worden vastgesteld vóór de deelname aan het partnerschap (art. 75 lid 6, laatste alinea).
Drie vereisten
Dergelijke gedragslijnen en procedures:
(a) specificeren de beoordeling die moet worden uitgevoerd om de omvang van de te delen informatie te bepalen en, indien nodig gezien de aard van de informatie of de toepasselijke gerechtelijke waarborgen, te voorzien in gedifferentieerde of beperkte toegang tot informatie voor leden van het partnerschap;
(b) beschrijven de rol en verantwoordelijkheden van de deelnemende partijen aan het partnerschap voor informatie-uitwisseling;
(c) identificeren de risicobeoordelingen waarmee de meldingsplichtige entiteit rekening zal houden bij het bepalen van situaties met een hoger risico waarin informatie kan worden gedeeld.
Lid 6 — waar de bouwstenen samenkomen
Naar mijn mening is lid 6 niet zozeer een zelfstandige inhoudelijke regel, maar een integratieverplichting: alles wat in de voorgaande leden van art. 75 wordt vereist — en wat in de eerdere modals van deze flowchart is uitgewerkt — moet in interne beleidsdocumenten worden samengebracht voordat aan het partnerschap wordt deelgenomen. Lid 6 is daarmee het schakelpunt tussen ontwerp en uitvoering: zonder beleidsmatige verankering geen partnerschap.
De inhoudelijke bouwstenen van het beleid komen rechtstreeks uit alle voorgaande modals:
Uit de modal Reikwijdte en deelnemers komt het selectiememorandum (welke partners, welke samenstelling, welke selectiecriteria) en — wanneer die route wordt gekozen — het gezamenlijke AML/CTF-beleidskader.
Uit de modal Oprichting van het partnerschap komt het Memorandum of Understanding (rolverdeling, gedeelde belangen, datapreparatie, impasseprocedure) en de juridische afbakening tussen het art. 75-regime en eventuele andere samenwerkingsverbanden zoals Fintell Alliance NL.
Uit de modal Kennisgeving en verificatie door de toezichthouder(s) komt het kennisgevingsdossier en de governance van de toezichthouder-relatie.
Uit de modal AVG en gegevensbescherming komen de DPIA, de joint controllership-overeenkomst, het betrokkenenrechten-protocol en — als integraal fundament — het data framework.
Uit de modal Welke informatie mag worden uitgewisseld? komt de dataselectie (structureel/op verzoek) en het gescheiden verwerkingsspoor voor SAR-informatie.
Uit de modal Welke cliënten? De reikwijdte van lid 4 onder f komt de scope-matrix en de strategische interpretatiekeuze tussen nauwe en brede lezing.
Uit de modal Waarborgen bij de uitwisseling komt de operationele uitwerking van lid 4(a)(b)(c)(d)(k), de de-risking-zorgvuldigheid en het centrale registratieframework.
Uit de modal Doorgifte-verbod en uitzonderingen komt het doorgifte-protocol per uitzondering, het voorkomen van ongecontroleerde uitbreiding via de art. 49-route en de groepsdoorgifte-strategie.
Voor de praktijkbeoefenaar die het beleid ontwerpt, is het herkennen van deze integratiefunctie belangrijk: lid 6 is niet "extra werk" bovenop wat in de eerdere modals is uitgewerkt, maar de plek waar al dat werk samenkomt in een uitvoerbaar beleidsdocument.
Verdieping van de drie vereisten
De drie vereisten onder lid 6 zijn juridisch onderscheidend en raken elk aan een specifiek aspect van het partnerschap. Op het eerste gezicht lijken zij generiek; bij nadere beschouwing vormen zij tezamen echter het kerngebied van de beleidsverplichting.
Vereiste (a) — Scope-vaststelling én rol-afhankelijke toegang. Het beleid moet specificeren hoe de instelling vaststelt welke informatie binnen het partnerschap wordt gedeeld, en moet — waar relevant voor de aard van de informatie of voor gerechtelijke waarborgen — voorzien in rol-afhankelijke of beperkte toegang. Dit raakt direct aan het data framework uit de modal AVG en gegevensbescherming (welke datacategorie, welke vorm, welke grondslag) en aan het gescheiden verwerkingsspoor voor SAR-informatie uit de modal Welke informatie mag worden uitgewisseld? (alleen specifiek aangewezen KYC-medewerkers krijgen toegang).
Vereiste (b) — Rollen en verantwoordelijkheden. Het beleid moet de rollen en verantwoordelijkheden van de partnerschap-deelnemers beschrijven. Dit raakt rechtstreeks aan de joint controllership-overeenkomst uit de modal AVG en gegevensbescherming (verdeling van AVG-verantwoordelijkheden, contactpunt voor betrokkenen) en aan de MoU-afspraken uit de modal Oprichting van het partnerschap (gedeelde belangen, afwijkende belangen, impasseprocedure). Vereiste (b) maakt deze afspraken niet alleen tussen partners zichtbaar, maar legt ze ook intern binnen elke deelnemer vast — wat essentieel is voor consistente uitvoering.
Vereiste (c) — Risicobeoordelingen voor hoger-risico-uitwisseling. Het beleid moet identificeren welke risicobeoordelingen de instelling in aanmerking neemt om te bepalen in welke situaties van hoger risico informatie kan worden gedeeld. Dit raakt direct aan de scope-matrix uit de modal Welke cliënten? De reikwijdte van lid 4 onder f en aan de strategische interpretatiekeuze tussen nauwe en brede lezing van lid 4(f). Vereiste (c) verankert deze keuze in het beleid, zodat zij niet impliciet maar expliciet wordt gemaakt — een juridisch belangrijk punt voor zowel toezichts-uitlegbaarheid als voor de bewijslast bij geschillen.
Advies — beleidsopzet, uitwerking van de drie vereisten en beleid-onderhoud
Het advies bestaat uit vier samenhangende subsecties: (A) de inrichting van de opzet van het beleidsdocument — geïntegreerd of als bijlage bij het bestaande art. 9-beleid, (B) de operationalisering van elk van de drie vereisten in concrete beleidsbepalingen, (C) het actueel houden van het beleid gegeven veranderende AMLA-richtsnoeren, scope-wijzigingen en audit-uitkomsten, en (D) een praktijkreflectie op lid 6 als integratiemoment.
A. Beleidsopzet — geïntegreerd of als bijlage?
Mijn aanbeveling is dat de instelling vooraf een bewuste keuze maakt hoe het partnerschap-beleid wordt geplaatst binnen het bredere art. 9 AMLR-beleidskader. Twee opties — beide juridisch verdedigbaar:
Optie 1 — Volledig geïntegreerd in het hoofdbeleid. Het partnerschap-element wordt verweven in de bestaande beleidsdocumenten (cliëntenonderzoek, transactiemonitoring, meldplicht, sanctiescreening). Voordeel: één coherent beleidskader voor de hele AML/CTF-functie. Nadeel: bij scopewijzigingen van het partnerschap moeten alle betrokken hoofdstukken worden geactualiseerd; bij beëindiging van het partnerschap moet het beleid worden teruggedraaid.
Optie 2 — Als zelfstandige bijlage bij het hoofdbeleid. Het partnerschap-element wordt in een afzonderlijke bijlage of een eigen beleidsdocument vastgelegd, dat verwijst naar de hoofdstukken van het hoofdbeleid waar het op aansluit. Voordeel: scopewijzigingen en eventuele beëindiging zijn beheersbaar in één document; de afbakening met het reguliere beleid blijft zichtbaar. Nadeel: risico op fragmentatie als de bijlage onvoldoende is gekoppeld aan de hoofdstukken van het hoofdbeleid.
Een derde opzet-vraag — die los staat van de keuze tussen Optie 1 en Optie 2 — speelt wanneer binnen het partnerschap een gezamenlijk AML/CTF-beleidskader is overeengekomen (zie modal Reikwijdte en deelnemers). Naar mijn opvatting dient het individuele beleidsdocument in dat geval expliciet de verhouding tot het gezamenlijke kader te regelen: welke onderdelen worden integraal overgenomen, welke worden lokaal aangepast, en hoe worden afwijkingen tussen partners besproken. Deze afbakening voorkomt dat het individuele beleid en het gezamenlijke kader op divergerende koersen komen — wat zowel intern (consistente uitvoering) als extern (uitlegbaarheid voor toezichthouders) problematisch is.
Mijn voorkeur is Optie 2 — een zelfstandige bijlage bij het hoofdbeleid — om twee redenen. Ten eerste maakt deze opzet de partnerschap-bijdrage als afzonderlijk onderdeel zichtbaar voor de toezichthouder (DNB, AMLA), wat de uitlegbaarheid bij verificatie ex art. 75 lid 2 vergemakkelijkt. Ten tweede maakt het de afbakening tussen art. 75-uitwisseling en bredere CDD-/transactiemonitoring-werkzaamheden expliciet — een afbakening die juridisch wezenlijk is, gezien de discussies over ongecontroleerde uitbreiding van de informatiestroom (zie modal Doorgifte-verbod en uitzonderingen) en de juridische afbakening met andere samenwerkingsverbanden zoals Fintell Alliance NL (zie modal Oprichting van het partnerschap).
B. Uitwerking van de drie vereisten in concrete beleidsbepalingen
Voor elk van de drie vereisten onder lid 6 dient het beleid concrete bepalingen te bevatten die operationeel toetsbaar zijn. Mijns inziens is een minimumset:
Voor vereiste (a) — Scope-vaststelling én rol-afhankelijke toegang:
Verwijzing naar het data framework (zie modal AVG en gegevensbescherming) als bron voor de zeven-elementen-vaststelling per datacategorie
Beschrijving van het toegangsbeheer voor regulier verkeer en — afzonderlijk — voor het SAR-spoor
Procedure voor periodieke herziening van de scope, inclusief de besluitvormingsbevoegdheid voor scopewijzigingen
Voor vereiste (b) — Rollen en verantwoordelijkheden:
Verwijzing naar de joint controllership-overeenkomst voor de AVG-rolverdeling
Beschrijving van de interne rolverdeling: ontvanger van uitwisselingen, eerste-lijns-beoordelaar, tweede-lijns-besluitvormer, juridische escalatiepartner
Vastlegging van het centraal aangewezen contactpunt voor betrokkenenverzoeken (art. 26 AVG)
Procedure voor escalatie binnen het partnerschap en richting toezichthouder
Voor vereiste (c) — Risicobeoordelingen voor hoger-risico-uitwisseling:
Verwijzing naar de scope-matrix uit de modal Welke cliënten? De reikwijdte van lid 4 onder f als bron voor de cliëntcategoriekeuze
Expliciete vastlegging van de gekozen interpretatie (nauwe lezing of brede lezing van lid 4(f), of een specifiek tussentraject)
Beschrijving van de triggers die aanleiding geven tot uitwisseling onder lid 4(f)(iii) — concreet, doelgericht en tijdelijk
Procedure voor de proportionaliteitstoets en de de-risking-zorgvuldigheid (zie modal Waarborgen bij de uitwisseling)
C. Beleid-onderhoud — leven met veranderende richtsnoeren
Een beleidsdocument voor partnerschap-deelname is geen statisch product. Mijn advies is om het beleid te onderwerpen aan een gestructureerd actualiseringsproces dat drie soorten triggers onderkent:
Reguliere periodieke herziening — jaarlijks. Toets jaarlijks of het beleid nog actueel is, gegeven nieuwe AMLA-richtsnoeren, gewijzigde nationale wetgeving (waaronder de Iwt-implementatie van AMLR), en gewijzigde interpretaties door DNB of AP. Documenteer wijzigingen met motivering.
Ad hoc herziening bij scope-wijzigingen. Wanneer het partnerschap zelf van scope verandert (nieuwe deelnemers, nieuwe informatiecategorieën, andere cliëntreikwijdte), wordt het beleid direct geactualiseerd. Voorkom dat operationele wijzigingen vooruitlopen op de beleidsbasis — dit creëert toezichtsrisico.
Ad hoc herziening na audit-bevindingen. Wanneer de onafhankelijke audit (zie modal Onafhankelijke audit) tekortkomingen identificeert, worden remedierende maatregelen niet alleen operationeel maar ook beleidsmatig verankerd. Dit voorkomt herhaling en draagt bij aan de uitlegbaarheid bij volgende toetsing.
Mijn aanbeveling is dat het beleid expliciet versiebeheer bevat waaruit blijkt wanneer welke wijziging is doorgevoerd, op welke aanleiding, en met welke goedkeuring (compliance, juridische afdeling, senior management). Bij grootschalige wijzigingen — bijvoorbeeld het overschakelen van de nauwe naar de brede lezing van lid 4(f) zodra AMLA-richtsnoeren dat ondersteunen — is voorafgaande toezichtsdialoog met DNB — en, voor selected obliged entities onder direct AMLA-toezicht, met AMLA — raadzaam.
D. Lid 6 als integratiemoment — een praktijkreflectie
Tot slot — en dit is de praktijkreflectie die ik bewust expliciet maak — staat lid 6 niet "los" van de andere bepalingen, maar vormt het inhoudelijke eindproduct van alles wat in de eerdere modals is besproken. De selectiememoranda, MoU's, kennisgevingsdossiers, DPIA's, joint controllership-overeenkomsten, data frameworks, scope-matrices, het gescheiden verwerkingsspoor voor SAR-informatie, registratieframeworks en doorgifte-protocollen zijn elk waardevolle bouwstenen — maar zij komen pas tot operationele werking wanneer zij in het interne beleid van elke deelnemende bank zijn verankerd.
Dit heeft mijns inziens drie implicaties die de praktijkbeoefenaar niet uit het oog mag verliezen. Ten eerste: de beleidsmatige integratie is geen formaliteit aan het eind van het ontwerptraject, maar een toets op de samenhang van wat eerder is uitgewerkt. Een onverenigbaarheid tussen bijvoorbeeld het data framework (AVG-modal) en de scope-matrix (Welke cliënten-modal) wordt bij beleidsmatige integratie zichtbaar — en moet dan worden opgelost vóór go-live, niet daarna. Ten tweede: de uitlegbaarheid van het partnerschap richting toezichthouders, betrokkenen en — bij geschillen — de civiele of bestuursrechter staat of valt met de kwaliteit van het beleidsdocument. Wat niet in het beleid staat, valt onder de bewijslast van de instelling om alsnog aan te tonen. Ten derde: bij beëindiging van een partnerschap of bij toetreding van een nieuwe deelnemer biedt een goed beleidsdocument het uitgangspunt voor een gecontroleerd transitieproces — dossiers afsluiten, gegevens vernietigen of bewaren conform art. 77 AMLR, betrokkenen informeren waar nodig. Mijn standpunt is dat dit overgangsaspect aandacht verdient in het beleid, ook al regelt lid 6 het niet expliciet.
Bronnen
Art. 75 lid 6 AMLR · Art. 9 AMLR · Art. 75 lid 2 AMLR (verificatie toezichthouder) · Art. 75 lid 4 onder f en f(iii) AMLR · Art. 77 AMLR (bewaartermijn) · Art. 13 AMLAR (selected obliged entities) · Art. 26 AVG (joint controllership) · Iwt (Implementatiewet AMLR)
Onafhankelijke audit — Art. 75 lid 7 AMLR
E — Doorlopend beheer
Bevoegdheid van de toezichthouder
Indien de toezichthoudende autoriteiten dit nodig achten, geven de meldingsplichtige entiteiten die deelnemen aan een partnerschap voor informatie-uitwisseling opdracht tot een onafhankelijke audit van de werking van dat partnerschap en delen zij de resultaten met de toezichthoudende autoriteiten (art. 75 lid 7 AMLR).
Kosten
Art. 75 lid 7 AMLR regelt niet expliciet wie de audit-kosten draagt. Naar mijn mening volgt uit de opdrachtverlening door de deelnemende entiteiten zelf dat zij — gezamenlijk in het partnerschap — de kosten dragen. Hoe deze kosten over de deelnemers worden verdeeld, zal in de interne governance van het partnerschap moeten worden geregeld.
Signalering Deloitte
Deloitte 2024 Deloitte signaleert dat het onduidelijk is onder welke omstandigheden toezichthoudende autoriteiten een onafhankelijke audit zullen gelasten. Het artikel spreekt van "where supervisory authorities deem it necessary" zonder nadere criteria. Dit laat ruimte voor uiteenlopende toezichtpraktijken tussen lidstaten.
Wat betekent "onafhankelijk" in de Nederlandse compliance-praktijk?
De wettekst schrijft een "onafhankelijke audit" voor zonder te specificeren wat onafhankelijk in deze context betekent. In de Nederlandse compliance-praktijk kan dit op verschillende manieren worden ingevuld, elk met eigen kenmerken en juridische zwaarte:
Tweede lijn (compliance-functie). Onafhankelijk van de eerste lijn (KYC, transactiemonitoring) maar wel binnen de organisatie. Voor lid 7 naar mijn mening niet voldoende: de tweede lijn beoordeelt doorlopend of de eerste lijn naleeft, maar valt onder dezelfde juridische entiteit en is daarmee niet "onafhankelijk" in de strikte zin van het woord.
Derde lijn (interne audit). Onafhankelijk van zowel eerste als tweede lijn, met een eigen rapportagelijn naar het bestuur. In de bancaire praktijk vaak gekwalificeerd als voldoende onafhankelijk. Voor lid 7 een verdedigbare keuze, mits de audit wordt uitgevoerd door een team dat geen eerdere betrokkenheid had bij het ontwerp van het partnerschap.
Externe accountant of AML/CTF-adviesbureau. Volledig externe onafhankelijkheid, vergelijkbaar met de jaarrekeningcontrole of een DNB-onderzoek. Voor lid 7 het meest robuust qua onafhankelijkheidsgarantie, maar ook het kostbaarst en het minst bekend met de operationele context van het partnerschap.
Mijn beoordeling is dat de keuze afhankelijk is van twee variabelen: (i) de mate waarin de toezichthoudende autoriteiten bij het audit-verzoek onafhankelijkheid expliciet specificeren, en (ii) de aard van de aanleiding voor de audit. Bij een audit naar aanleiding van een concrete incident- of klachtprocedure ligt externe onafhankelijkheid voor de hand; bij een routinematige cyclische audit kan de derde lijn doorgaans volstaan. Voor het partnerschap is het verstandig om in het Memorandum of Understanding (zie modal Oprichting van het partnerschap) reeds vast te leggen welk auditor-profiel in welk scenario passend is.
Audit-triggers in afwezigheid van wettelijke criteria
Lid 7 bevat geen objectieve criteria voor wanneer een audit "noodzakelijk" is. Mijn analyse identificeert vijf typen triggers die in de praktijk als aanleiding kunnen fungeren — geen van alle is in de wettekst expliciet, maar elk past binnen de beoordelingsvrijheid van de toezichthoudende autoriteiten ex lid 7:
Trigger 1 — Incidenten of meldingen. Een datalek binnen het partnerschap, een klacht van een betrokkene over informatiedeling, een melding van een klokkenluider, of een formele klacht bij de Autoriteit Persoonsgegevens. In dergelijke gevallen kunnen de toezichthoudende autoriteiten een audit gelasten om de oorzaak en de bredere implicaties te onderzoeken.
Trigger 2 — Routinematige cyclische audit. Toezichthouders kunnen kiezen voor een vaste cyclus (bijvoorbeeld eens per drie of vijf jaar) waarin elk partnerschap regulier wordt getoetst. Dit volgt geen incident maar een planmatige toezichtspraktijk.
Trigger 3 — Substantiële scope- of governancewijzigingen. Wanneer het partnerschap een nieuwe deelnemer toelaat, een nieuwe informatiecategorie binnen scope brengt, of de cliëntreikwijdte wijzigt (bijvoorbeeld van nauwe naar brede lezing van lid 4(f) — zie modal Welke cliënten? De reikwijdte van lid 4 onder f), kan dit aanleiding geven tot een audit naar de vraag of de aangepaste werking nog binnen art. 75 valt.
Trigger 4 — Bevindingen uit andere toezichtsdossiers. Wanneer DNB, AMLA of AP bij andere toezichtsdossiers van een deelnemer (bijvoorbeeld een ander Wwft-toezichtsdossier of een AVG-zaak) zorgen vaststelt over de governance, kan dit doorwerken naar het partnerschap-toezicht — een audit kan dan worden gelast om vast te stellen of vergelijkbare zorgen ook binnen het partnerschap aanwezig zijn.
Trigger 5 — AMLA-richtsnoeren of jurisprudentie. Wanneer AMLA toekomstige richtsnoeren publiceert of het Hof van Justitie EU jurisprudentie wijst die de interpretatie van art. 75 nader invult, kunnen toezichthouders een audit gelasten om te toetsen of bestaande partnerschappen zich tijdig naar de nieuwe norm hebben aangepast.
Wat een audit feitelijk toetst — relatie met lid 6 en de andere bepalingen
De audit toetst per definitie tegen iets — zonder beleid en procedures (lid 6) is er geen toetssteen. Mijns inziens is dat het sterkste argument om de modal Interne beleidsvoering serieus te nemen: een instelling die haar lid 6-beleid goed heeft uitgewerkt, levert daarmee feitelijk de blueprint voor wat de audit zal toetsen. Een audit op grond van lid 7 zal typisch de volgende gebieden bestrijken:
Naleving van de waarborgen onder lid 4(a)(b)(c)(d) — registreert de instelling daadwerkelijk elke uitwisseling, en voert zij eigen beoordeling uit voordat partnerschap-informatie de cliëntrelatie beïnvloedt? Zie de modal Waarborgen bij de uitwisseling.
Naleving van het doorgifte-verbod en de uitzonderingen onder lid 5 — wordt informatie correct binnen het partnerschap gehouden, en zijn de uitzonderingen via een doorgifte-protocol gedocumenteerd? Zie de modal Doorgifte-verbod en uitzonderingen.
Naleving van de DPIA en het data framework onder lid 4(e)(g)(h) — is de DPIA actueel, wordt het data framework consistent toegepast, en worden betrokkenenrechten effectief gefaciliteerd? Zie de modal AVG en gegevensbescherming.
Naleving van de scope-matrix onder lid 4(f) — worden uitsluitend cliënten binnen de gekozen interpretatie (nauw, breed, of tussentraject) in scope opgenomen, en is de bewijslast op casusniveau aantoonbaar? Zie de modal Welke cliënten? De reikwijdte van lid 4 onder f.
Naleving van de SAR-discipline onder lid 4(k) — wordt het gescheiden verwerkingsspoor consequent gehanteerd, en is de FIU-instemming voor elke SAR-uitwisseling gedocumenteerd? Zie de modal Welke informatie mag worden uitgewisseld?
Coherentie tussen beleid (lid 6) en uitvoering — komt het feitelijke partnerschap-handelen overeen met wat in het beleidsdocument is vastgelegd, of zijn er afwijkingsmomenten die niet geactualiseerd zijn? Zie de modal Interne beleidsvoering.
De audit is daarmee de operationele tegenhanger van de verificatie ex lid 2 (zie modal Kennisgeving en verificatie door de toezichthouder(s)): waar lid 2 toetst aan de poort vóór go-live, toetst lid 7 tijdens de doorlopende werking. De twee bepalingen vormen samen een continuum van toezicht waarbinnen het partnerschap zich gedurende zijn levensduur beweegt.
Advies — audit-paraatheid, auditor-keuze, audit-scope en omgang met negatieve uitkomsten
Het advies bestaat uit vijf samenhangende subsecties: (A) de inrichting van de organisatie zodat een onaangekondigde audit beheersbaar is, (B) auditor-keuze en de juridische randvoorwaarden, (C) afspraken over audit-scope, (D) handelingsopties bij negatieve audit-uitkomsten, en (E) een praktijkreflectie op audit-paraatheid als permanente werkwijze.
A. Audit-paraatheid — een organisatie inrichten voor onaangekondigde toetsing
Mijn standpunt is dat audit-paraatheid geen eenmalig project is maar een doorlopende inrichting van de organisatie. Vier elementen:
Centraal audit-dossier in real-time. Houd een centraal dossier bij waarin alle relevante documenten — MoU, DPIA, data framework, scope-matrix, registratielogboek, doorgifte-protocol, SAR-instemmingsregister — actueel beschikbaar zijn. Op het moment van audit-aankondiging moet dit dossier kunnen worden gedeeld zonder herstelwerk.
Vooraf vastgelegde audit-trail per type beslissing. Voor elk type beslissing dat onder de audit kan vallen — uitwisseling, eigen beoordeling, art. 21 lid 3-registratie, doorgifte ex lid 5 — bestaat een vooraf vastgelegde audit-trail die laat zien wie, wanneer, op welke grondslag heeft beslist. Zie de detaillering in de modal Waarborgen bij de uitwisseling, advies-subsectie C (centraal registratieframework).
Aangewezen audit-coördinator. Wijs binnen elke deelnemende bank één persoon aan (typisch in de tweede of derde lijn) als vast aanspreekpunt voor de auditor. Zorg voor tijdige escalatiepaden naar het bestuur en de juridische afdeling. Bij multi-bank partnerschappen zijn de coördinatoren onderling verbonden via het partnerschap-secretariaat.
Periodieke interne pre-audits. Onderwerp het partnerschap aan minimaal jaarlijkse interne pre-audits — niet als vervanging voor een externe lid 7-audit, maar om de eigen paraatheid dekkend te toetsen vóórdat een externe auditor dat doet. Bevindingen uit pre-audits geven een actuele staat van paraatheid en bieden ruimte voor remediatie.
B. Auditor-keuze — onafhankelijkheid en functionele match
Naar mijn opvatting verdient de auditor-keuze een gestructureerde benadering, zowel om aan de onafhankelijkheidseis te voldoen als om een auditor te vinden die de operationele context van het partnerschap begrijpt. Drie aanbevelingen:
Leg vooraf in het MoU de profielen vast. Bepaal voor welke scenario's welke auditor-profiel passend is — derde lijn voor cyclische audits, externe accountant voor incident-gedreven audits, gespecialiseerd AML/CTF-bureau voor scope-wijzigingsaudits. Zie ook de modal Oprichting van het partnerschap voor de bredere MoU-structuur.
Onafhankelijkheid expliciet toetsen vooraf. Bij elke auditkeuze vraag de auditor om een onafhankelijkheidsverklaring — geen eerdere betrokkenheid bij het partnerschap-ontwerp, geen commerciële relatie met deelnemende banken anders dan deze opdracht, geen conflicterende belangen. Documenteer deze toetsing voor de toezichthoudende autoriteiten.
Functionele expertise borgen. AML/CTF, AVG, partnerschap-governance en de bredere AMLR-systematiek vragen specifieke expertise. Een auditor zonder deze achtergrond mist de gevoeligheid voor de juridische subtiliteiten — bijvoorbeeld de drielagige analyse van SAR-uitwisseling of de tipping-off-spanning bij doorgifte. Specificeer in de auditopdracht welke expertise vereist is.
C. Audit-scope — vooraf vastleggen, niet ad hoc
Mijn aanbeveling is om vóóraf — bij voorkeur in het MoU — vast te leggen welke gebieden onder de audit-scope vallen, zodat zowel de auditor als de toezichthouder helder hebben wat wordt getoetst. Een typische audit op grond van lid 7 dekt de zes gebieden uit het inhoudelijk blok hierboven (lid 4(a)(b)(c)(d), lid 5, lid 4(e)(g)(h), lid 4(f), SAR-discipline lid 4(k), coherentie beleid–uitvoering). Twee aanvullingen:
Toezichthouder-aanwijzing kan scope versmallen of verbreden. Wanneer de toezichthoudende autoriteiten de audit gelasten, kunnen zij specifieke gebieden uitlichten of juist andere uitsluiten. De interne pre-audit-cyclus moet flexibel genoeg zijn om aanvullende gebieden te accommoderen zonder herinrichting.
Documentatieplicht over scope-keuzes. Wanneer het partnerschap kiest om bepaalde gebieden uitgebreider te onderzoeken dan andere — bijvoorbeeld bij een audit naar aanleiding van een SAR-incident waar lid 4(k) centraal staat — wordt deze keuze gedocumenteerd in een audit-charter dat als bijlage bij het MoU geldt.
D. Negatieve audit-uitkomsten — vergelijkbaar met een negatief oordeel onder lid 2
Wanneer de audit tekortkomingen identificeert, ontstaan dezelfde rechtsonzekerheidsvragen als bij een negatief oordeel onder lid 2 (zie modal Kennisgeving en verificatie door de toezichthouder(s), advies-subsectie C). Lid 7 regelt niet wat er gebeurt na een negatieve audit, evenmin als lid 2 dat doet. Drie aanbevelingen die parallel lopen aan de lid 2-aanpak:
Werk met een remediatieplan vóór escalatie. Wanneer de audit tekortkomingen vaststelt, ontwikkelt het partnerschap onverwijld een remediatieplan met concrete deadlines. Deel dit plan met de toezichthoudende autoriteiten vóór zij tot handhavende maatregelen overgaan — een proactieve houding voorkomt dat de toezichthoudende autoriteiten zelf het tempo bepalen.
Gradeer tekortkomingen. Niet elke tekortkoming is even ernstig. Een ontbrekende handtekening in een registratielogboek is anders dan structureel niet-naleven van het tipping-off-verbod. Maak in het remediatieplan een expliciete gradering — kritisch, materieel, vormelijk — en hanteer overeenkomstige deadlines.
Toets bestuursrechtelijke route bij geschil. Wanneer over de audit-uitkomst geschil ontstaat — bijvoorbeeld over kwalificatie van een tekortkoming of over de redelijkheid van een hersteltermijn — kan de bank de bestuursrechtelijke route via Awb overwegen. Zoals bij lid 2: dit is een laatste redmiddel; de schade aan de werkrelatie met de toezichthoudende autoriteiten is substantieel.
E. Audit-paraatheid als permanente werkwijze — praktijkreflectie
Tot slot — en dit is de praktijkreflectie die ik bewust expliciet maak — heeft lid 7 een wettelijke lacune die in de praktijk verstrekkend doorwerkt. Net als bij lid 2 (verificatie vooraf) ontbreken objectieve criteria voor wanneer een audit aan de orde is. Voor de instelling betekent dit dat audit-paraatheid geen eenmalige voorbereiding is, maar een permanente werkwijze: op elk moment kunnen de toezichthoudende autoriteiten zich melden met een audit-aanwijzing, en op dat moment moet het partnerschap kunnen leveren wat de audit vraagt.
Naar mijn mening heeft deze permanente werkwijze drie implicaties die de praktijkbeoefenaar niet uit het oog mag verliezen. Ten eerste: de operationele kosten van audit-paraatheid zijn structureel — een centraal dossier, periodieke pre-audits, een aangewezen coördinator, vaste contactlijnen met externe auditors. Het verlagen van deze kosten via een gezamenlijk AML/CTF-beleid (zie modal Reikwijdte en deelnemers, advies-criterium 3) is daarom mijns inziens niet alleen efficiëntie-gedreven maar ook risico-mitigerend. Ten tweede: audit-paraatheid en interne beleidsvoering (lid 6) versterken elkaar — een goed lid 6-beleid maakt audit-paraatheid eenvoudiger, en periodieke pre-audits leveren feedback voor beleidsbijstelling. Beide bepalingen vormen daarmee een verbetercyclus die het partnerschap continu versterkt. Ten derde: deze permanente werkwijze verandert de psychologie binnen de deelnemende banken: medewerkers in de eerste lijn weten dat hun handelen op elk moment getoetst kan worden, wat de discipline rond registratie, eigen beoordeling en proportionaliteit verhoogt — een effect dat naar mijn mening ook de waarde van het partnerschap voor het bredere AML/CTF-doel versterkt.
Bronnen
Art. 75 lid 7 AMLR · Art. 75 lid 2 AMLR · Art. 75 lid 4 en 5 AMLR · Art. 75 lid 6 AMLR · Art. 21 lid 3 AMLR (registratie) · Awb (bestuursrechtelijke route) · Deloitte (2024), Article 75: A new opportunity to fight crime more effectively, par. over onafhankelijke audit · IIA (2020), The IIA's Three Lines Model · DNB — Open Boek Toezicht, Governance
De AP bracht op 10 maart 2020 haar wetgevingsadvies uit over het conceptwetsvoorstel Plan van aanpak witwassen, waarin zij oordeelde dat de voorgestelde uitbreiding van gegevensdeling niet voldoet aan de eisen van proportionaliteit en subsidiariteit. Bij de aanbieding van het aangepaste wetsvoorstel aan de Tweede Kamer publiceerde de AP op 21 oktober 2022 een persbericht waarin zij het systeem kwalificeerde als een bancair sleepnet dat de deur opent naar ongekende massasurveillance door banken. In haar schriftelijke inbreng voor het Tweede Kamer-rondetafelgesprek van 26 januari 2023 herhaalde de AP dat het voorstel een drempel van ongedifferentieerde massasurveillance door private partijen overschrijdt en dat het centraal bancair sleepnet in strijd is met het Handvest van de grondrechten van de Europese Unie. In dat persbericht waarschuwde AP-bestuurslid Katja Mur dat betaalgegevens iemands hele handel en wandel laten zien en dat het gevaar van discriminatie en uitsluiting dreigt wanneer algoritmes mensen in hokjes duwen. In haar nadere toelichting van 14 juli 2023 aan de Minister van Financiën handhaafde de AP haar bezwaren.
European Data Protection Board — proportionaliteit en risico's voor betrokkenen
De EDPB heeft zich op twee belangrijke momenten kritisch uitgelaten over wat uiteindelijk art. 75 AMLR is geworden. In haar brief van 4 april 2023 aan de Europese Commissie, het Europees Parlement en de Raad — gericht op de Raadspositie waarin de voorlopers van art. 75 lid 3 en lid 4 (toen art. 54(3a), 55(5) en 55(7)) waren opgenomen — uitte de EDPB ernstige zorgen. Volgens de EDPB specificeerden de voorgestelde bepalingen onvoldoende onder welke voorwaarden verwerking gerechtvaardigd is, en boden zij geen voldoende waarborgen tegen risico's van "blacklisting and exclusion from financial services".
In haar bijdrage van 8 juli 2025 aan de EBA-consultatie over de CDD-RTS herhaalde de EDPB deze zorgen. Specifieke kritiek richtte zich op het gebruik van "at least"-formuleringen die de scope van verwerking onbepaald maken en daarmee de proportionaliteitstoetsing ondermijnen. De EDPB benadrukte dat dataminimalisatie (art. 5 lid 1 onder c AVG) onverkort moet doorwerken in de uitwerking van de CDD-vereisten en dat de definitieve regelgeving voldoende waarborgen moet bevatten tegen ongerechtvaardigde uitsluiting van betrokkenen uit de financiële dienstverlening.
Raad van State — "vergaande inbreuk"
De Raad van State schreef in januari 2021 dat de massale schaal waarop banktransacties gezamenlijk zouden worden gemonitord ongekend is en een vergaande inbreuk op de vertrouwelijkheid van gegevens van burgers en bedrijven betekent.
Juridische opinies en wetenschappelijke kritiek
Prakken d'Oliveira — TMNL als "criminal endeavour"
Prakken d'Oliveira 2024 In juli 2024 publiceerde Prakken d'Oliveira (advocaat Bondine Kloostra c.s., ondertekend Mr. Zeegers) in opdracht van Stichting Human Rights in Finance een juridische opinie over de strafrechtelijke kwalificatie van TMNL onder art. 138c Wetboek van Strafrecht (strafbare overname van niet-openbare gegevens uit een geautomatiseerd werk). De opinie kwalificeert het TMNL-arrangement — waarin banken transactiedata van miljoenen cliënten gezamenlijk monitoren — als een mogelijk criminele onderneming wegens overtreding van art. 138c Sr.
Mijns inziens verdient deze opinie buiten de Wegner-context aparte vermelding. De redenering steunt op twee pijlers: (i) banken hebben slechts een beperkte wettelijke grondslag voor het verwerken van klanttransacties — die grondslag wordt overschreden zodra zij die transacties voor analyse naar een derde partij (zoals TMNL B.V.) doorzetten zonder expliciete wettelijke basis, en (ii) de geautomatiseerde verwerking door TMNL zou volgens de opstellers kwalificeren als wederrechtelijk overnemen van niet-openbare gegevens uit het geautomatiseerde werk waarvan de banken zelf de toegang faciliteren. De juridische redenering is omstreden — TMNL en haar deelnemers hebben de juridische basis fundamenteel anders geduid — maar de opinie illustreert dat ook strafrechtelijke kaders rond bancaire data-uitwisseling als problematisch worden ervaren door delen van de juridische gemeenschap. Voor de toekomstige uitvoering van art. 75 AMLR in Nederland is dit een kritisch spoor dat wordt voortgezet via Stichting Human Rights in Finance en aanverwante organisaties.
Wegner — de echte reden van de TMNL-stopzetting
Wegner 2025 Wegner parafraseert de officiële TMNL-verklaring maar oordeelt dat deze niet helemaal overtuigend is. Hij verwijst naar de AP-kritiek, naar differing interests and motivations tussen de deelnemende banken (volgens zijn achtergrondgesprekken mogelijk een factor in het stopzettingsbesluit), naar onduidelijkheden rond art. 10 Wwft (uitbestedingsregeling cliëntenonderzoek; transactiemonitoring uitgesloten) en naar de juridische opinie van Prakken d'Oliveira van juli 2024 — in opdracht van Stichting Human Rights in Finance — waarin TMNL volgens Wegner als criminal endeavour werd gekwalificeerd.
Wegner — motivatieparadox
Art. 75 bevat geen deelnameverplichting. Wegner signaleert dat het vinden van "unknown unknowns" via netwerkanalyse niet in het directe zakelijke belang van instellingen is, omdat het kosten toevoegt zonder directe kostenbesparing. Dit motivationele moment kan de levensvatbaarheid van nieuwe partnerschappen onder druk zetten.
Cusack / Financial Crime News — geen bold innovation
Cusack 2024 Cusack oordeelt dat art. 75 geen bold innovation bevat, omdat informatie voornamelijk post-suspicion of voor hoog-risicocliënten gedeeld mag worden — hetgeen de preventieve werking beperkt. Hij vergelijkt art. 75 ongunstig met het Amerikaanse Section 314(b) van de Patriot Act (brede gateway) en het Singaporese COSMIC-platform (specifiek toepassingsgebied met wettelijke grondslag).
Ellen Timmer — grondrechten
Ellen Timmer (juridisch commentator) benoemt art. 75 als een mechanisme dat het bancaire sleepnet mogelijk maakt en signaleert dat de grondrechten van burgers op gegevensbescherming worden uitgehold. Zij wijst op onvoldoende rechtsbescherming voor de klanten van meldingsplichtige entiteiten en op het risico dat AVG-toezichthouders de handhaving niet zullen opschalen voordat de wetgeving ingaat.
Finnius — de vraag die nog openstaat
Finnius 2025 Finnius concludeert dat de wettelijke grondslag er nu is, maar dat de vraag rest of een dergelijk initiatief in Nederland van de grond gaat komen gezien de bestaande privacybezwaren. De Europese wetgever heeft privacy-waarborgen ingebouwd en de AVG-toezichthouder moet verifiëren of aan de randvoorwaarden is voldaan. Finnius signaleert dat hier het laatste publieke of politieke woord nog niet over is gezegd.
Samenhang en doorwerking
Overzicht — het kritisch spoor als spectrum
De kritische stemmen op art. 75 AMLR vormen geen homogeen blok maar een spectrum dat loopt van fundamenteel-afwijzend tot pragmatisch-sceptisch. Naar mijn mening helpt het de lezer om dit spectrum expliciet te onderscheiden, omdat de aard van de kritiek bepaalt hoe ermee om te gaan in beleidsvorming en uitvoering.
Stroming 1 — Fundamenteel-afwijzend. De Autoriteit Persoonsgegevens en Prakken d'Oliveira (i.o.v. Stichting Human Rights in Finance) staan aan het verst-kritische uiteinde. De AP kwalificeert het systeem als "bancair sleepnet" en stelt dat het in strijd is met het Handvest van de grondrechten van de Europese Unie; Prakken d'Oliveira gaat nog verder door bancaire data-uitwisseling als mogelijk strafbaar onder art. 138c Sr te kwalificeren. Beide stemmen suggereren dat de huidige juridische inrichting structureel tekortschiet.
Stroming 2 — Procedureel-kritisch. De European Data Protection Board en de Raad van State plaatsen procedurele kanttekeningen zonder het systeem fundamenteel af te wijzen. EDPB richt zich op proportionaliteit, dataminimalisatie en specifieke risico's van uitsluiting; Raad van State op de schaal en het inbreuk-karakter. Deze stemmen vragen om scherpere waarborgen, niet om afschaffing.
Stroming 3 — Pragmatisch-sceptisch. Wegner en Cusack stellen vooral pragmatische vragen: werkt het wel? Wegner signaleert de motivatieparadox en de TMNL-stopzettingscontext; Cusack betwijfelt of art. 75 als bold innovation kwalificeert en vergelijkt het ongunstig met internationale alternatieven. Deze stemmen accepteren het juridische kader maar betwijfelen de praktische werking.
Stroming 4 — Civielrechtelijk-vragend. Ellen Timmer en Finnius vertegenwoordigen een meer afwachtende positie. Timmer wijst op grondrechtenrisico's en onvoldoende rechtsbescherming voor klanten; Finnius constateert nuchter dat de wettelijke grondslag er is maar voorspelt dat het laatste publieke en politieke woord hier nog niet over gezegd is.
Mijn analyse is dat deze vier stromingen één gemeenschappelijke noemer hebben: zorg over de verhouding tussen schaal en waarborgen. Geen van de stemmen ontkent dat AML/CTF-effectiviteit belangrijk is; allen vragen of de schaal van gegevensdeling die art. 75 mogelijk maakt in evenwicht is met de waarborgen die het zelf inbouwt. De fundamenteel-afwijzende stemmen zeggen dat het evenwicht niet bereikt is; de procedureel-kritische stemmen zeggen dat het bereikbaar is met aanvullende waarborgen; de pragmatisch-sceptische stemmen vragen of het systeem überhaupt zal werken; en de civielrechtelijk-vragende stemmen wachten af hoe de praktijk en jurisprudentie zich zullen ontwikkelen.
Verbindingen met andere modals
Het kritisch spoor staat niet op zichzelf maar werkt door in vrijwel alle operationele modals van deze flowchart. Voor de praktijkbeoefenaar die het partnerschap inricht, is het belangrijk te zien hoe de kritische stemmen direct raken aan concrete adviespunten elders in het document.
AVG en gegevensbescherming. De AP- en EDPB-kritiek vormt het fundament onder de juridische gevoeligheden in deze modal — met name de discussie over de juiste AVG-grondslag (art. 6 lid 1 onder c), de joint controllership-vraag, en de praktische uitwerking van betrokkenenrechten in een partnerschap-context. Wie de AP- en EDPB-positie serieus neemt, zal het data framework uit de AVG-modal als minimumstandaard willen hanteren.
Welke cliënten? De reikwijdte van lid 4 onder f. De EDPB-zorgen over "blacklisting and exclusion from financial services" raken direct aan de strategische interpretatiekeuze tussen nauwe en brede lezing van lid 4(f). Het profiel "voorzichtig — AVG-prudent" uit die modal is direct geïnformeerd door de EDPB-positie; het profiel "ambitieus — TMNL-effectiviteit" accepteert verhoogd risico op precies de bezwaren die de AP en EDPB hebben benoemd.
Reikwijdte en deelnemers. De AP-kritiek versterkt de reputatieargumenten in de discussie over "vrijwilligheid juridisch intact, praktisch uitgehold". Een instelling die zwaar tilt aan de AP-kritiek heeft een legitiem reputatie-argument om terughoudend te zijn met deelname; een instelling die uitsluitend kijkt naar nationale of Europese concurrenten loopt het risico zich niet te verhouden tot het binnenlandse maatschappelijke debat.
Waarborgen bij de uitwisseling. De de-risking-zorgvuldigheid uit subsectie B van het advies-blok in die modal is rechtstreeks geschreven met de EDPB-zorgen in gedachten — de proportionaliteitstoets, het vier-ogen-principe en het klant-spiegelmoment zijn directe operationele antwoorden op de bezwaren tegen ongerechtvaardigde uitsluiting. Een partnerschap dat deze zorgvuldigheid consequent toepast, geeft daarmee een operationeel antwoord op deze kritiek.
Openstaande vragen: AMLA-richtsnoeren en nadere uitwerking
F — Reflectie en uitkijkpunten
Huidige stand: wat AMLA en de wetgever nog moeten uitwerken
Wat AMLA nog moet uitwerken
De praktische werking van art. 75 AMLR krijgt pas vaste vorm met de komst van nadere uitwerking door AMLA. Per 1 januari 2026 heeft AMLA het volledige AML/CFT-mandaat van EBA overgenomen. Op de volgende punten wordt nadere uitwerking verwacht:
RTS op group-wide policies (art. 16 lid 4 AMLR): deze RTS moet de verhouding tussen informatie-uitwisseling binnen een groep en informatie-uitwisseling via een art. 75-partnerschap verduidelijken — met name de vraag of informatie uit een partnership binnen de groep mag worden doorgeleid.
CDD-RTS (art. 28(1) AMLR): bepaalt welke informatie meldingsplichtige entiteiten moeten verzamelen en daarmee wat er in een partnerschap kan circuleren.
Richtsnoeren of guidelines op art. 75 zelf: de AMLR bevat geen expliciet mandaat voor AMLA om RTS op art. 75 te ontwikkelen, maar AMLA kan via richtsnoeren, Q&A's of opinions verduidelijking bieden op open punten zoals de interpretatie van lid 4 onder f.
Richtsnoeren op transactiemonitoring (art. 26 lid 5 AMLR): Wegner suggereert dat AMLA via deze route gezamenlijke transactiemonitoring indirect verplicht zou kunnen stellen.
De Nederlandse Implementatiewet (Iwt)
De Nederlandse Implementatiewet ter voorkoming van witwassen en terrorismefinanciering (Iwt) is thans in consultatie. De Iwt implementeert AMLD6 in het Nederlandse recht. Voor art. 75 AMLR is geen nationale implementatie nodig (de verordening werkt rechtstreeks), maar de Iwt kan wel invloed hebben op aanpalende onderwerpen zoals de verhouding tot het bestaande Wwft-kader, de rol van DNB en de doorwerking van de uitbestedingsregeling van art. 10 Wwft (uitsluiting transactiemonitoring) onder de Iwt.
Verwachte tijdlijn
De AMLA-RTS op art. 16 lid 4 en de CDD-RTS op art. 28(1) moeten uiterlijk 10 juli 2026 door AMLA aan de Commissie ter goedkeuring worden voorgelegd, zodat zij vóór de AMLR-toepassingsdatum van 10 juli 2027 in werking kunnen treden. Het is van belang dat de instelling haar inrichting voldoende wendbaar houdt om tijdig te kunnen aansluiten bij de definitieve uitwerking.
AMLA Single Programming Document 2026–2028
AMLA SPD 4 feb. 2026 Het meest actuele signaal over de operationalisering van art. 75 is afkomstig uit het AMLA Single Programming Document 2026–2028, gepubliceerd op 4 februari 2026. Hierin bevestigt AMLA dat art. 75 AMLR het kader biedt voor meldingsplichtige entiteiten om partnerschappen op te richten en kondigt AMLA aan dat zij de private sector en publieke autoriteiten actief zal benaderen om de noodzakelijke stappen te identificeren en te nemen die de succesvolle oprichting van deze partnerschappen faciliteren. Daarnaast heeft AMLA onder de AMLAR een faciliterende en coördinerende rol bij grensoverschrijdende samenwerking tussen meldingsplichtige entiteiten en bij de gezamenlijke analyse van grensoverschrijdende zaken door nationale FIU's (FIU Support and Coordination Mechanism). De CDD-RTS op art. 28(1) AMLR — die mede bepaalt welke informatie in een partnerschap kan circuleren — is per 9 februari 2026 in consultatie gegaan, met een consultatieperiode van drie maanden. Op 12 mei 2026 publiceerde AMLA aanvullend een reporting package voor de identificatie van "provisionally eligible obliged entities" die voor direct AMLA-toezicht in aanmerking komen — een voorbereidende stap richting de eerste selectiecyclus in 2027. Nationale toezichthouders verzamelen de daarvoor benodigde data tegen 15 augustus 2026; de voorlopige lijst van in aanmerking komende entiteiten wordt naar verwachting eind september 2026 gefinaliseerd.
Let op: Het AMLA-werkprogramma is een planningsdocument, geen bindend juridisch instrument. De daadwerkelijke RTS en richtsnoeren kunnen in inhoud en tijdpad afwijken van de aankondigingen in het SPD. De instelling doet er goed aan de AMLA-website en de consultatieprocedures actief te monitoren.
Vooruitblik en strategie
Het Hof van Justitie EU als uiteindelijke arbiter
Een aspect dat in de bovenstaande blokken nog niet expliciet is genoemd, maar dat naar mijn mening op meerdere plekken in art. 75 AMLR doorwerkt, is dat de wetgever bewust een aantal interpretatieve keuzes heeft opengelaten voor de praktijk en uiteindelijk voor het Hof van Justitie EU. Wegner signaleert dit het scherpst ten aanzien van lid 4(f): door de open formule onder (iii) is de daadwerkelijke reikwijdte van de cliëntcategorieën — en daarmee de levensvatbaarheid van TMNL-achtige samenwerkingsverbanden — niet definitief beslist door de triloogpartners.
Naar mijn opvatting geldt vergelijkbare openheid op andere punten van art. 75 — bijvoorbeeld de juridische kwalificatie van een negatief oordeel onder lid 2 (zie modal Kennisgeving en verificatie door de toezichthouder(s)), de afbakening van uitzondering (a) onder lid 5 in relatie tot art. 49 AMLR (zie modal Doorgifte-verbod en uitzonderingen), en de proportionaliteit van uitwisseling onder de brede lezing van lid 4(f) bezien tegen het licht van het Handvest van de grondrechten van de Europese Unie. Op elk van deze punten kan jurisprudentie van het Hof van Justitie EU op termijn richting geven, hetzij via prejudiciële vragen vanuit nationale rechters, hetzij via inbreukprocedures door de Europese Commissie of klachten van betrokkenen via nationale routes. De ontwikkeling van deze jurisprudentie zal — gecombineerd met de AMLA-richtsnoeren — geleidelijk de kaders verduidelijken die de wettekst zelf opzettelijk open heeft gelaten.
Verbindingen met andere modals
De openstaande vragen in deze modal werken door op vrijwel alle andere onderdelen van deze flowchart. Voor de praktijkbeoefenaar die het partnerschap inricht is het zinvol om te zien hoe het wachten op AMLA-uitwerking en HvJ-jurisprudentie raakt aan de concrete adviespunten elders in het document.
Welke informatie mag worden uitgewisseld? De CDD-RTS op art. 28(1) bepaalt mede welke datacategorieën überhaupt beschikbaar zijn voor uitwisseling binnen het partnerschap. De principle-based drafting van AMLA in deze RTS heeft directe gevolgen voor de keuze tussen structureel delen versus delen op verzoek (zie het advies-blok van de Welke informatie-modal).
Welke cliënten? De reikwijdte van lid 4 onder f. De interpretatie van lid 4(f) is hét belangrijkste open punt voor de levensvatbaarheid van een TMNL-achtige samenwerking. AMLA-richtsnoeren of HvJ-jurisprudentie kunnen het profiel "voorzichtig — AVG-prudent" of het profiel "ambitieus — TMNL-effectiviteit" achteraf valideren of corrigeren. Mijn aanbeveling tot een nauwe-lezing-start met expliciet uitbreidingspad is direct ingegeven door deze verwachte verduidelijking.
Doorgifte-verbod en uitzonderingen. De RTS op art. 16 lid 4 over groepsdoorgifte is een van de belangrijkste open punten voor multinationale banken. Tot AMLA dit nader regelt, is de defensieve lijn die in het advies van de Doorgifte-modal wordt geadviseerd (Scenario 2-doorgifte buiten partnerschap als niet zonder meer toelaatbaar) directe consequentie van deze openstaande vraag.
Reikwijdte en deelnemers. Wegner's suggestie dat AMLA via richtsnoeren op art. 26 lid 5 AMLR gezamenlijke transactiemonitoring indirect verplicht zou kunnen stellen, raakt direct aan de "vrijwilligheid juridisch intact, praktisch uitgehold"-discussie. Een toekomstige AMLA-richtsnoer in deze richting zou de praktische vrijwilligheid verder uithollen.
Interne beleidsvoering en Onafhankelijke audit. Het beleid van een instelling moet wendbaar genoeg zijn om snel te kunnen reageren op nieuwe AMLA-richtsnoeren of HvJ-jurisprudentie — vandaar de aanbeveling tot jaarlijkse beleidsherziening (zie modal Interne beleidsvoering) en de permanente werkwijze rond audit-paraatheid (zie modal Onafhankelijke audit).
AVG en gegevensbescherming. Het AVG-grondslag-debat — met name de vraag of art. 6 lid 1 onder c AVG sluitend is voor een vrijwillige horizontale uitwisseling — kan op termijn door HvJ-jurisprudentie worden opgehelderd. Het data framework uit het advies-blok van de AVG-modal is bewust modulair opgezet om dergelijke verfijningen te kunnen accommoderen.
Strategische afsluiting — een positie innemen in een veld van openstaande vragen
Tot slot — en dit is geen advies maar een strategische reflectie waarmee dit document wordt afgesloten — werkt de cluster van openstaande vragen door op de fundamentele positionering die een instelling moet kiezen ten aanzien van art. 75-deelname. De openheid van het juridische kader is niet alleen een technische uitvoeringsvraag, maar bepaalt mede welke ruimte er is om eigen accenten te leggen.
Naar mijn mening kan een instelling drie onderling verschillende posities innemen in dit veld van openstaande vragen, elk met eigen strategische logica:
Positie 1 — Toeschouwer. De instelling kiest ervoor te wachten met deelname totdat AMLA-richtsnoeren beschikbaar zijn en de eerste HvJ-jurisprudentie zich heeft gevormd. Voordeel: minimale juridische blootstelling, maximale rechtszekerheid bij toetreding. Nadeel: de instelling neemt geen positie in het Nederlandse maatschappelijke debat en kan op achterstand staan ten opzichte van eerder toetredende concurrenten — zowel operationeel als reputationeel.
Positie 2 — Behoedzame deelnemer. De instelling treedt vroeg toe maar kiest binnen elk juridisch grijs gebied de meest defensieve interpretatie (nauwe lezing van lid 4(f), defensieve groepsdoorgifte-lijn, gescheiden verwerkingsspoor voor SAR-informatie, vroeg pre-overleg met DNB). Voordeel: de instelling profileert zich als verantwoordelijke partner en bouwt werkrelaties op met toezichthouders en mede-deelnemers vóór de regulatoire kaders volledig vorm hebben gekregen. Nadeel: structurele kosten van defensieve inrichting plus het risico dat AMLA-richtsnoeren achteraf ruimer blijken dan het defensieve uitgangspunt — wat tot na-investering noopt.
Positie 3 — Ambitieuze koploper. De instelling treedt vroeg toe en kiest waar mogelijk de ruime interpretatie (brede lezing van lid 4(f), maximale benutting van de cross-sectoriële mogelijkheden, integratie met groeps-AML/CTF-beleid). Voordeel: het partnerschap kan zijn TMNL-achtige effectiviteit waarmaken en de instelling positioneert zich aan de progressieve kant van het AML/CTF-debat. Nadeel: substantieel verhoogd juridisch en reputationeel risico, met name bij het AVG-toezicht door AP en bij eventuele klachten van betrokkenen — risico's die direct aansluiten op de kritische stemmen die in de modal Kritisch spoor zijn besproken.
Geen van deze posities is "fout"; alle drie zijn juridisch verdedigbaar en hebben hun eigen logica. Naar mijn mening dient de gekozen positie expliciet en gemotiveerd op bestuursniveau te worden vastgelegd — niet als impliciete uitkomst van operationele detailkeuzes verderop in het traject. De openheid van het juridische kader is daarmee niet alleen een uitvoeringsvraag, maar vooral een keuze: hoe wil de instelling zich verhouden tot AML/CTF-effectiviteit, AVG-zorgvuldigheid en de maatschappelijke discussie?
Met deze reflectie sluit dit document af. De totstandkoming van art. 75 AMLR is — zoals Wegner, Cusack, Finnius en de kritische stemmen uit de modal Kritisch spoor elk vanuit hun eigen perspectief signaleren — geen sluitstuk maar een beginpunt. De periode tot 10 juli 2027 en de jaren daarna zullen mede vormgeven hoe het partnerschap-instrument zich in de praktijk gaat verhouden tot AML/CTF-effectiviteit enerzijds en grondrechten anderzijds. Dit document beoogt geen voorspelling te zijn van die uitkomst, maar een gestructureerde basis voor de instelling die nu moet kiezen welke positie zij in dat ontwikkelende veld inneemt.
Disclaimer: Dit document is een interactieve vakpublicatie op basis van openbare Europese en Nederlandse wetgevings-, parlementaire en toezichthoudersbronnen, jurisprudentie, wetenschappelijke literatuur en vaktechnische publicaties, en dient uitsluitend ter informatie en kennisoverdracht. De praktische uitwerking en de adviezen aan instellingen betreffen een eigen analyse op basis van openbare bronnen en zijn niet gebaseerd op interne richtlijnen of werkwijzen van enige instelling. Het document weerspiegelt de stand van zaken in mei 2026 en kan op onderdelen achterhaald raken door latere AMLA-richtsnoeren, jurisprudentie of nationale wetgeving (waaronder de Iwt). Aan de inhoud kunnen geen rechten worden ontleend. Raadpleeg altijd de actuele wet- en regelgeving en een ter zake kundige juridisch, compliance- of AML/CTF-adviseur voor toepassing in de praktijk.