Praktijkvoorbeeld leveringskanalenrisico

Een punt van aandacht dat nog te vaak wordt afgevinkt dan begrepen

Fraudeurs hebben 107.000 euro weten te krijgen van BumaStemra, de organisatie die de auteursrechten van tienduizenden Nederlandse muziekmakers beheert. Ze gebruikten daarvoor valse identiteitsbewijzen en deden zich voor als rechthebbende. […] “100.000 euro is veel, maar ten opzichte van het totaal is het een heel relatief bedrag”, BumaStemra sluit niet uit dat de fraude nog groter is.– Bron: NOS, 14 mei 2025

Deze casus illustreert maar weer het belang van een grondige aanpak bij het identificeren en verifiëren van zakelijke relaties, zoals vereist onder de bepalingen van de Wwft. Die vraagt om méér dan alleen administratieve vastlegging. Het gaat om begrijpen in welke hoedanigheid iemand handelt, wat het doel van de relatie is, en of die context geloofwaardig en passend is.

De Wwft verwacht een holistische, risico-gerichte benadering. Het is een aanpak die bewust aandacht geeft aan de zakelijke context, het type gerechtigdheid, het verwachte gedragspatroon en mogelijke risico-indicatoren. Juist in gevallen waarin een partij zich aanmeldt als rechthebbende, zonder controle op onderliggende aanspraken of rol, kan die diepgang het verschil maken tussen een correcte uitbetaling en een misbruik van vertrouwen.

Wat is leveringskanalenrisico?

Het leveringskanalenrisico heeft betrekking op de manier waarop een zakelijke relatie tot stand komt – via direct persoonlijk contact, of juist op afstand en zonder fysiek contact met de klant of een betrouwbare tussenpersoon. Situaties met een verhoogd risico zijn onder meer:

wanneer de relatie volledig op afstand wordt aangegaan (bijvoorbeeld digitaal),
wanneer gebruik wordt gemaakt van derden of tussenpersonen,
of wanneer er geen fysiek contactmoment is bij identificatie, zonder aanvullende verificatiemaatregelen.

In deze casus is vermoedelijk sprake van identiteitsfraude: iemand gebruikte een valse legitimatie om zich als gerechtigde voor te doen. Als daarnaast gegevens zoals e-mailadres of bankrekening niet zijn geverifieerd aan de daadwerkelijke gerechtigde, ontstaat ook het risico op factuurfraude – bijvoorbeeld wanneer een betaling naar een onterecht of gemanipuleerd rekeningnummer gaat.

Er zijn dus twee cruciale controlemomenten die dit risico hadden kunnen ondervangen: de detectie van valse legitimatie én de verificatie van klantgegevens binnen de zakelijke relatie.

Drie leerpunten uit deze casus

1. Het aanmeldkanaal beïnvloedt het risicoprofiel; inschrijvingen op afstand of via derden vragen om extra alertheid.

2. KYC beyond the ID; klantkennis draait om méér dan identiteit: ook hoedanigheid, gerechtigdheid en de context van de relatie zijn cruciaal.

3. Verificatie moet passen bij het risicoprofiel van het kanaal; bij minder directe en betrouwbare verificatie zijn compenserende secundaire controles essentieel, zoals aanvullende documentatie, onafhankelijke verificatie van gegevens of monitoring op afwijkend gedrag.

Herkenning van patronen: een essentiële detectielaag

“We merkten bij interne controles dat de accounts zijn aangemaakt met valse Gmail-adressen die erg op elkaar lijken.”
– Bron: BumaStemra via NOS, 14 mei 2025

Deze observatie wijst op een bekend patroon binnen financiële en economische criminaliteit: fraude in serie, met minimale variaties om detectie te ontwijken. Denk aan e-mailadressen met kleine spellingverschillen, hergebruik van structuren of gelijktijdige aanmeldingen vanuit vergelijkbare bronnen.

Het herkennen van zulke patronen vereist monitoring op gedragsniveau, inhoudelijke alertheid en een organisatiecultuur waarin dit soort signalen serieus wordt genomen en onderzocht.
Het is dan ook een compliment waard dat deze patronen tijdens een interne controle zijn opgemerkt.
Het onderstreept het belang van structurele signalering op herkomst, gedrag en herhaling

Afsluitende reflectie

Deze casus maakt duidelijk dat het belang van goede identificatie, verificatie en contextbegrip niet beperkt is tot banken of financiële instellingen. Ook organisaties die uitkeringen doen, rechten toekennen of derden toelaten tot hun systemen, hebben baat bij een robuuste, op risico’s afgestemde benadering van klantonderzoek – zowel bij acceptatie als in de doorlopende relatie.

KYC beyond the ID is geen loze slogan, maar een noodzakelijke houding in het borgen van integriteit en vertrouwen in je procesketen.

CDD, CDD Basics, CDD Risico's, Leveringskanalenrisico

Tags: identificatie, identiteitsfraude, Risico-gebaseerd, risico-indicatoren