De Wwft verplicht tot private opsporing en dat is een probleem

Banken, betaalinstellingen, accountants en andere instellingen melden ieder jaar miljoenen ongebruikelijke transacties aan de FIU. In 2025 waren dat er ruim 3 miljoen. Deze instellingen zijn dus private “opspoorders”. Onder dreiging van hoge boetes voelen zij zich genoodzaakt om meer en meer privé-informatie over hun cliënten te verzamelen en bij de FIU te melden.

De miljoenen ongebruikelijke transacties staan in schril contrast tot hoeveel transacties door de FIU als verdacht worden bestempeld. Dat waren in 2025 ‘maar’ 92.000. Afgezet tegen de meldingen in 2025 is dit slechts 3%. De resterende meldingen worden jarenlang bewaard, en waarschijnlijk ook wel van tijd tot tijd bekeken, ondanks dat er niets verdachts aan is. Dat is zorgwekkend. Het is privé-informatie die door private partijen over hun klanten is verzameld en waar de overheidsopsporingsdiensten niets mee doen. Dan moeten zij die informatie ook snel weggooien, zou je zeggen, maar dat gebeurt dus jarenlang niet!

Waarom is dit belangrijk om te weten?

• Omdat het laat zien dat melders kritischer mogen – eigenlijk moeten – zijn in hun meldingen.
• Het is verder belangrijk omdat de als verdacht bestempelde transacties, zonder dat sprake is van een veroordeling, wereldwijd verspreid kunnen worden door FIU’s, door opsporingsdiensten en door toezichthouders.

In deze blog, die wat langer is dan gebruikelijk op onze website, leg ik uit welke informatie wordt verzameld en wie dit aan de FIU moeten melden. Volgens mij wordt er wel erg veel informatie nodeloos aan de FIU gegeven door deze ‘particuliere opspoorders’. Daarna ga ik in op hoe lang de informatie mag worden bewaard, hoe dit mag worden gebruikt en aan wie dit mag worden doorgegeven. Tot slot licht ik toe wat de inzage- en correctiemogelijkheden van burgers zijn.

Welke persoonlijke informatie verzamelen Wwft-instellingen?

De Wet ter voorkoming van witwassen en financieren van terrorisme verplicht instellingen – melders – om de volgende informatie te verzamelen:

• Cliëntonderzoek. Dit is meer dan alleen een identiteitsbewijs of uittreksel van de Kamer van Koophandel. Er moet bij vennootschappen ook een ‘UBO-controle’ plaatsvinden, en er moet worden vastgesteld of iemand een politiek prominente persoon is. Verder moeten ‘doel en aard van de beoogde zakelijke relatie’ worden vastgesteld. Lees: wie ben je en wat doe je? Deze gegevens moeten ook nog eens van tijd tot tijd worden geactualiseerd.
• Transactiemonitoring. Iedere transactie moet worden beoordeeld op witwasrisico’s. Als er een begin van een risico is, dan moet dit worden uitgezocht door vragen te stellen en informatie te verzamelen. Als na onderzoek de transactie als ‘ongebruikelijk’ wordt beoordeeld, dan moet er een melding gedaan worden aan de FIU.

Welke instellingen vallen onder de Wwft?

Op de website onderscheidt de FIU maar liefst 27 meldergroepen. De belangrijkste ‘clusters’ zijn:

• Banken, betaaldienstverleners, creditcardmaatschappijen, wisseldiensten voor virtuele valuta en aanbieders van (crypto) bewaarportemonnees. Dit zijn veruit de grootste leveranciers van meldingen van ongebruikelijke transacties. In totaal meldden zij in 2025 zo’n 2,8 miljoen transacties. Van deze groep werden in 2025 zo’n 86.000 transacties verdacht verklaard, afgezet tegen het aantal meldingen in 2025 is dat dus 3%.
• Accountants, belastingadviseurs, trustkantoren, makelaars, notarissen en advocaten. Deze adviseurs zijn relatief kleine meldersgroepen. In 2025 meldden zij 5.600 keer, waarvan twee derde door accountants. 850 transacties werden verdacht verklaard, zo’n 15% dus ten opzichte van de meldingen in 2025.
• Kopers/verkopers van goederen (en kunst). Zij meldden in 2025 zo’n 3.700 transacties. Aantal verdachte transacties in 2025: 230, ofwel 6%.

Wat laten deze cijfers zien?

• Dat vooral banken en soortgelijke financiële instellingen veel meer melden dan wat ‘verdacht’ is. In onze praktijk zien wij dat ook terug: heel veel vragen van banken, maar gaat dat echt over witwaszaken? Nee, meestal niet. Er wordt dus gewoon te veel gevraagd en verzameld door banken.
• Dat accountants en andere adviseurs kritischer zijn dan financiële instellingen. Ook dat zien wij in de praktijk: bij deze groep wordt (gelukkig) veel kritischer bezien of een melding over een cliënt wel nodig is. Maar nog steeds zijn er heel veel meer meldingen dan verdacht-verklaringen.
• Handelaren waren tot 1 januari 2026 verplicht om contante transacties boven een bepaald bedrag te melden. In 2025 ging dat nog om EUR 10.000. Maar daarvan was dus slechts 6% daadwerkelijk verdacht. Het is dus maar de vraag of het verbod op contante betalingen van EUR 3.000 of meer, dat in 2026 is ingevoerd, iets gaat opleveren.

Welke informatie gaat naar de FIU?

Op dit moment, en dat geldt tot 10 juli 2027, moeten Wwft-instellingen ‘ongebruikelijke transacties’ melden bij de FIU. Ongebruikelijk, dat is een transactie die geschikt is voor witwassen of financieren van terrorisme. De grens van wat ‘ongebruikelijk’ is ligt lager dan wat ‘verdacht’ is. Voor een verdachte transactie moet sprake zijn van ‘redelijke gronden van verdenking’. Nederland heeft als een van de zeer weinige landen in de wereld zo’n systeem waarin meer aan de FIU moet worden gemeld dan alleen verdachte transacties. De bedoeling was om melders te ontlasten en niet van hen te verlangen dat zij, als een opsporingsambtenaar, zelf inschatten of iets wel of niet verdacht is.

Vanaf 10 juli 2027 verandert dit en gaat EU-breed de meldgrens ‘omhoog’ naar die van een verdachte transactie. Hopelijk vermindert dit het aantal meldingen in Nederland, maar of dat daadwerkelijk ook zo is, is nog maar de vraag. En in alle realiteit is ‘verdacht’ weliswaar een hogere meldgrens dan ‘ongebruikelijk’ maar ook ‘verdacht’ is nog steeds een hele lage eis. Want een bancaire instelling zal iets ongebruikelijks al snel omtoveren tot verdacht. Dat komt ook omdat dat FIU zelf heel veel ‘typologieën’ publiceert die het als verdacht beschouwt, terwijl er dan vaak nog lang niet genoeg bewijs is om tot een daadwerkelijke veroordeling te komen.

Het resultaat van de huidige lage meldgrens laat zich zien: er wordt heel veel meer gemeld dan er verdacht wordt bevonden. De ‘score’ over de afgelopen vijf jaar? Zo’n 12 miljoen meldingen aan de FIU en 580.000 als verdacht aangemerkt, ofwel minder dan 5%. Meer dan 95% van de meldingen blijft vervolgens in de systemen van de FIU staan en kan nog flinke tijd door de FIU worden geraadpleegd en gebruikt.

Waar moet je dan aan denken?

• In onze fiscale praktijk zien wij veel voorbeelden van discussies met de Belastingdienst die tot een melding leiden, zonder dat het om een vermoeden van belastingfraude gaat. Belastingdienst en belastingplichtige zijn het gewoon met elkaar oneens. Maar melders die aan de voorzichtige kant willen zitten, melden dit vaak toch.
• Andere voorbeelden zijn die van personen en bedrijven die zakendoen met een bedrijf dat betrokken is in een strafrechtelijk onderzoek. Vaak is zo’n onderzoek aanleiding voor een melder om alle wederpartijen van dat bedrijf tegen het licht te houden, met veel onnodige meldingen tot gevolg.

Het contrast is soms groot met meldingen die ten onrechte niet gedaan worden, zoals bijvoorbeeld een strafrechtelijke vervolging voor het niet melden van een mogelijke omkopingstransactie door een accountant laat zien.

Wat zijn de regels voor het bewaren en verwerken van ongebruikelijke en verdachte transacties?

Wwft-instellingen

‘Melders’ moeten de informatie uit het cliëntenonderzoek vastleggen en tot vijf jaar na het einde van de dienstverlening bewaren. Informatie over ongebruikelijke transacties moet tot vijf jaar na de melding aan de FIU worden bewaard. Dit zijn in zekere zin minimumtermijnen want sommige instellingen bewaren gegevens over cliënten langer, ofwel omdat zij daartoe op grond van fiscale of toezichtwetten verplicht zijn, ofwel omdat zij ‘dat nu eenmaal zo doen’.

Ook anderen hebben soms toegang tot deze gegevens. Dat geldt vooral voor banken. Zo heeft de Belastingdienst al sinds 2018 rechtstreeks toegang tot ‘Wwft-informatie’ die banken verzamelen. En verder zitten banken in samenwerkingsverbanden waarin informatie over ongebruikelijke transacties wordt uitgewisseld. Zo zijn er de Fintell Alliance en de Serious Crime Taskforce. Sinds 1 januari 2025 zijn publiek-private samenwerkingsverbanden wettelijk vastgelegd. Binnen die samenwerkingsverbanden kunnen allerlei gegevens worden uitgewisseld tussen de bank als private opspoorder en de overheid.  

FIU

Online is te vinden dat door de FIU bewaartermijnen van vijf jaar voor ongebruikelijke transacties, respectievelijk tien jaar voor verdachte transacties worden gehanteerd. Vijf jaar is best lang om van alles met informatie te kunnen doen die ‘alleen’ maar ongebruikelijk is en de FIU niet eens verdacht vindt.

Verdacht bevonden transacties worden aan opsporingsdiensten zoals politie, marechaussee of FIOD doorgegeven. Zoals mijn collega Ilse Engwirda al eens schreef: zo beginnen witwasonderzoeken vaak. De FIU kan bovendien informatie doorgeven aan buitenlandse FIU-partijen op grond van afspraken in de zogenoemde ‘Egmont Group’. Ook kan de FIU informatie doorgeven aan Wwft-toezichthouders. En evenals banken, maakt ook de FIU deel uit van allerlei samenwerkingsverbanden waarin informatie tussen overheidspartijen wordt uitgewisseld.

Osporingsdiensten

De bewaartermijnen voor dergelijke onderzoeken zijn ook weer vijf jaar, vanaf dat het onderzoek is geëindigd – wat dus ook een einde zonder enige vervolging kan betekenen. En deze bewaartermijnen worden ook nog eens verlengd als informatie aan een ander onderzoek ter beschikking wordt gesteld.

Opsporingsinstanties kunnen bovendien informatie doorgeven aan buitenlandse partijen. Daar kunnen weer andere bewaartermijnen en -voorwaarden gelden.

En last but not least, veel van deze opsporingsinformatie uit ongebruikelijke transacties kan ook door de politie en de FIOD worden doorgegeven aan toezichthoudende organen. Denk aan RIEC’s, waarin vooral met lokale overheden wordt samengewerkt en waarin bijvoorbeeld FIU-informatie kan worden gebruikt voor het weigeren van vergunningen, en het FEC.

Toezichthouders en Belastingdienst

Anders dan opsporingsautoriteiten, zijn toezichthouders en de Belastingdienst wél gebonden aan de AVG als het gaat om persoonsgegevens. De AVG kent geen vaste bewaartermijnen. Bij de Belastingdienst worden gegevens voor bijvoorbeeld de inkomstenbelasting in beginsel zeven jaar bewaard, maar soms ook twaalf jaar.

Al met al kan informatie uit private opsporing dus jaren, soms decennia, rondzwerven binnen en buiten overheidsinstanties. Dat roept de vraag op hoeveel last je daarvan hebt en of je erachter kunt komen dat deze informatie bewaard wordt.

Wat zijn de inzagemogelijkheden?

De Algemene Verordening Gegevensverwerking (AVG) is in 2018 ingevoerd in de hele EU en kent bescherming toe aan burgers over wie persoonsgegevens zijn verzameld. De AVG geldt voor melders, toezichthouders en de Belastingdienst. Maar:

• De AVG geldt alleen voor personen, niet voor bedrijven.
• De AVG is niet van toepassing op ‘opsporingsinformatie’. Daarvoor geldt een bijzondere Europese wet, een richtlijn, die in Nederlandse wetgeving is omgezet. In Nederland gaat het dan vooral om de Wet Politiegegevens (Wpg) en de Wet justitiële en strafvordering gegevens (Wjsg). Ook deze wetten gelden alleen voor persoonsgegevens en niet voor bedrijfsgegevens.

De Wet politiegegevens is de wet die voorschrijft hoe de politie en andere opsporingsdiensten met persoonsgegevens moeten omgaan. Hoe lang mogen zij die bewaren, wat mogen ze er mee doen en aan wie mogen ze deze gegevens doorsluizen? Een aantal regels uit de Wpg is, zo bepaalt de Wwft, op de FIU van toepassing, dat zijn de regels over inzage-, correctie- en verwijderrechten.

Inzagerechten kennen hun beperkingen. Dat geldt zowel voor de AVG, die op de meldingsplichtige instellingen, toezichthouders en de Belastingdienst van toepassing is, als voor de Wpg die voor de politie, opsporingsdiensten en – voor inzage – voor de FIU van toepassing is. Inzage mag over het algemeen geweigerd worden als een (strafrechtelijk) onderzoeksbelang hieraan in de weg staat. En hoewel deze uitzondering beperkt moet worden toegepast – het moet echt ‘noodzakelijk’ zijn om deze uitzondering in te roepen – wordt inzage in ongebruikelijke of verdachte transacties op grond hiervan vaak geheel of grotendeels geweigerd.

Belangrijk is ook dat het inzagerecht niet alleen inzicht in de verwerkte gegevens omvat, maar ook inhoudt dat de verwerker van de gegevens moet laten weten aan welke andere organisaties hij de gegevens verstrekt heeft.

Een sprekend voorbeeld van hoe stroperig het inzagerecht is, is een uitspraak die rechtbank Rotterdam onlangs deed. Een mevrouw vroeg een verblijfsvergunning aan maar die werd door de IND geweigerd omdat de FIU had laten weten dat er verdacht verklaarde transacties over deze mevrouw bekend waren. In dit geval waren deze transacties door een buitenlandse FIU aan de Nederlandse FIU verstrekt. Maar mevrouw mocht deze transacties niet inzien omdat dat de relatie met buitenlandse FIU’s op het spel kon zetten, volgens de minister van Justitie en Veiligheid. Deze uitspraak laat goed zien hoe ‘black’ de ‘box’ is van over de wereld rondzwervende FIU-gegevens.

Wat kun je doen tegen het bewaren en rondzwerven van informatie?

Als kantoor staan wij diverse cliënten bij die op de een of andere manier problemen ondervinden van ‘private opsporing’ op grond van de Wwft. Dat kan gaan om kritische banken en adviseurs, maar ook om gemeenten en toezichthouders die ‘moeilijk doen’ vanwege – uiteindelijk – informatie die door private opspoorders is verzameld.

Wat kun je doen om weer enigszins grip te krijgen op al deze informatieverzameling?

• Dat begint al als er vragen worden gesteld door een melder, vaak een bank. De eerste vraag die je dan moet stellen is: heeft een melder die informatie nodig? Het is moeilijk om je te verweren tegen een bank die zegt: geef die informatie anders zeg ik de relatie op, maar soms is het wel nodig om weerwoord te geven en duidelijk te maken dat onnodige informatie wordt gevraagd. 
• Aan de kant van de melder speelt een soortgelijk dilemma. Een accountant of belastingadviseur heeft vaak helemaal geen zin om tijd te besteden aan onnodige informatieverzoeken aan zijn cliënt. Maar de angst voor boetes – of erger, strafvervolging – is vaak te groot. Toch is een kritische blik noodzakelijk om te veel informatieverzameling te voorkomen. En, als de informatie niet leidt tot een Wwft-melding, overweeg in ieder geval om die verzamelde informatie weer te verwijderen.
• Soms merk je als cliënt, of voel je aan, dat een melder iets over jou aan de FIU heeft gemeld. Hoewel een melder op grond van de Wwft niet aan zijn cliënt mag laten weten dat hij gemeld heeft, mag hij wel aan een inzageverzoek van een cliënt voldoen, zodat deze weet welke informatie de bank, de accountant, wie dan ook, over hem heeft vastgelegd. Dat kun je als cliënt navragen volgens de wettelijke mogelijkheden. En hoewel dit recht niet voor bedrijven geldt, gaat ook veel bedrijfsinformatie uiteindelijk toch (ook) over personen, en dan komt de AVG in beeld om inzage te kunnen krijgen.
• Bij de FIU, opsporingsinstanties en toezichthouders/Belastingdienst gaan de hakken vaak in het zand als informatieverzoeken worden gedaan. Toch is ook daar een inzageverzoek niet zinloos. Als er persoonsgegevens over jou liggen, dan moeten deze overheidsinstanties inzage geven of laten weten waarom zij geen inzage willen geven. Als zij inzage weigeren, dan weet je in ieder geval dat ze informatie over jou hebben, en dan kun je na enige tijd weer een herhaald verzoek doen – een inzageweigeringsrecht is immers niet voor de eeuwigheid.

Inzageverzoeken zijn dus niet zinloos, maar soms wel een kwestie van een lange adem hebben. Lang wachten met een inzageverzoek is niet altijd handig, omdat:

• De gegevens dan al verwijderd zijn en je er dan ook niet meer achter kunt komen aan wie de gegevens voor die tijd zijn doorgegeven.
• Je de kans onbenut laat om onjuiste of incomplete gegevens te corrigeren of aan te vullen. Zo kunnen Wwft-instellingen informatie uit openbare bronnen hebben vergaard die niet (meer) juist is of die nuance behoeft. Vergeet niet dat informatie over alles en iedereen via online zoekmachines heel erg lang vindbaar is voor deze private opspoorders.

Wat is de les?

1. Er wordt meer informatie met private opsporing over je verzameld dan je weet.
2. Er wordt meer informatie door private instellingen aan de FIU over je doorgegeven dan je weet.
3. De informatie die de FIU over je heeft kan jarenlang bij de FIU blijven en kan jarenlang worden doorgegeven aan andere overheidsinstellingen, zowel in als buiten de opsporing, zowel in binnen- als buitenland.
4. Ook private partijen kunnen deze informatie over jou aan elkaar doorgeven.
5. Alle overheidsorganisaties die informatie over jou ontvangen mogen deze op hun beurt weer jarenlang verzamelen, gebruiken en aan anderen doorgeven.
6. Ook private organisaties kunnen – en moeten soms zelfs – de informatie over jou jarenlang bewaren en gebruiken.
7. Wees daarom kritisch op de vragen die private instellingen aan jou, onder het mom van de Wwft, vragen.
8. Als je vermoedt dat op grond van de Wwft verzamelende informatie over jou ‘rondzwerft’, wees er dan tijdig bij om inzage te verzoeken.

Wil je weten welke informatie banken en andere melders over jou hebben, hebben doorgegeven aan de FIU en/of andere partijen, en of deze is beland bij opsporingsdiensten of toezichthouders en de Belastingdienst, dan kun je deze zelf opvragen of met hulp van een van onze specialisten. Wil je weten hoe je dit het beste aanpakt of roepen de antwoorden die je krijgt nieuwe vragen op, dan staan onze Wwft-specialisten je graag bij om duidelijkheid te krijgen.

mr. V.S.T. Leenders
leenders@jaeger.nl
020 – 676 04 81

---