Insights — Wwft & AI
Wwft en AI: algoritmische transactiemonitoring
Wat betekent dit voor uw compliance-verplichtingen?
Voor Compliance Leaders en AML Officers bij banken, betaalinstellingen en financiële dienstverleners.
De Wwft-verantwoordelijkheid verandert niet als AI de analyse doet
Dat is de kern van wat toezichthouders verwachten — en wat veel instellingen nog niet volledig hebben doordacht.
AI-systemen nemen steeds meer de analyserol over bij transactiemonitoring, klantacceptatie en UBO-onderzoek. Algoritmen detecteren verdachte patronen, scoren risicoprofielen, en genereren meldingsadviezen. Sneller, breder, consistenter dan handmatige analyse.
Maar de verantwoordelijkheid voor de beslissing — de melding, de acceptatie, de afwijzing — blijft bij uw instelling. Bij u als Compliance Officer. En toezichthouders beoordelen of uw governance-structuur die verantwoordelijkheid aantoonbaar borgt.
Wat de Wwft vereist — en hoe AI dat raakt
Cliëntenonderzoek
Identificatie, verificatie, en beoordeling van het risicoprofiel van klanten. AI-systemen die risicoprofielen genereren of screenen, zijn onderdeel van dit proces.
Voortdurende monitoring
Doorlopende bewaking van zakelijke relaties en transacties. Transactiemonitoringssystemen zijn hier de kern van.
Meldingsplicht
Ongebruikelijke transacties moeten worden gemeld bij FIU-NL. De beslissing om te melden is een menselijke beslissing — ook als een algoritme die beslissing voorbereidt.
Risicobeheer
Instellingen moeten een risicogebaseerde aanpak hanteren en kunnen aantonen dat hun monitoring proportioneel en effectief is.
De drie governance-risico's bij algoritmische AML
Onverklaarbare meldingsadviezen
Een algoritme genereert een meldingsadvies. De Compliance Officer volgt dit op. FIU-NL vraagt om onderbouwing. De onderbouwing is: "het systeem gaf dit advies." Dat is onvoldoende. Een melding moet inhoudelijk worden onderbouwd — niet door te verwijzen naar een algoritmische output die de medewerker niet kan uitleggen.
Discriminerende of onbetrouwbare uitkomsten
AI-systemen kunnen systematische fouten bevatten die leiden tot disproportionele screening van bepaalde klantgroepen of onterechte afwijzingen. Als uw instelling dit niet detecteert en corrigeert, bent u zowel aansprakelijk onder de Wwft als onder de AI Act.
Niet-reproduceerbare beslissingen
Een transactie wordt achteraf onderzocht. Het gebruikte model heeft ondertussen updates ontvangen. De beslissingscontext is niet vastgelegd. Reconstructie van de basis voor de oorspronkelijke beslissing is niet mogelijk. Dit is niet alleen een governance-probleem. Het is een aansprakelijkheidsprobleem.
Wat toezichthouders concreet beoordelen
DNB, AFM en vergelijkbare nationale toezichthouders in de EU toetsen bij AML-gerelateerde onderzoeken niet alleen of uw instelling meldingen doet. Ze toetsen of uw proces deugdelijk is.
Methodetransparantie
Kunt u uitleggen hoe het systeem tot een advies komt? Op het niveau dat een toezichthouder of rechter kan begrijpen.
Validatie
Is het systeem gevalideerd op de populatie waarvoor het wordt gebruikt? Worden uitkomsten periodiek getoetst op betrouwbaarheid en proportionaliteit?
Menselijk toezicht
Is het aantoonbaar dat medewerkers de algoritmische output kunnen beoordelen en zo nodig overrulen?
Documentatie van beslissingen
Zijn beslissingen op basis van algoritmische output reproduceerbaar gedocumenteerd, inclusief de context op het moment van beslissing?
Wat de AI Act toevoegt aan uw Wwft-governance
AI-systemen die worden gebruikt voor AML-analyse waarbij menselijke beoordeling wordt ondersteund of vervangen, zijn hoog-risico onder de AI Act (Bijlage III, categorie 5b). Dat betekent: naast uw Wwft-verplichtingen gelden de volledige hoog-risico vereisten.
| Verplichting | Wwft | AI Act |
|---|---|---|
| Systeemdocumentatie | Impliciet vereist | Expliciet verplicht |
| Menselijk toezicht | Vereist bij meldingsbeslissing | Structureel vereist |
| Logging | Noodzakelijk voor reconstructie | Automatisch verplicht |
| Validatie | Risicogebaseerd vereist | Onderdeel risicobeheersysteem |
Een governance-structuur die beide regelgevingen integreert, is efficiënter en robuuster dan twee aparte benaderingen.
Wat moet er structureel zijn geregeld
Per AI-systeem in uw AML-proces
- Systeem is formeel geregistreerd als hoog-risico AI-systeem
- Technische documentatie is beschikbaar en bijgewerkt
- Risicobeheersysteem is ingericht en actief
- Toezichthouders (medewerkers die de output beoordelen) zijn aantoonbaar getraind
- Criteria voor menselijke override zijn vastgelegd en gecommuniceerd
- Logging is automatisch en reproduceerbaar
- Validatiecyclus is vastgesteld
- Procedure voor systeemwijzigingen: wanneer leidt een update tot herclassificatie?
Voor uw Wwft-proces in zijn geheel
- Beslissingen op basis van algoritmische output zijn gedocumenteerd inclusief context
- Meldingsadviezen zijn inhoudelijk onderbouwbaar — niet alleen door verwijzing naar systeemoutput
- Afwijkingen van systeemaanbevelingen zijn vastgelegd met redenering
- Periodieke review van systeemeffectiviteit is aantoonbaar uitgevoerd
De aansprakelijkheidsvraag die u nu moet beantwoorden
Als uw transactiemonitoringssysteem morgen een patroon mist dat achteraf als witwassen kwalificeert, en uw nationale toezichthouder — DNB of een equivalent — vraagt om verantwoording: kunt u aantonen dat uw governance-structuur op orde was?
Niet dat het systeem goed was. Dat uw governance aantoonbaar was ingeregeld op het moment van de gemiste melding.
Dat is het verschil tussen toezichtblootstelling en aantoonbare controle.
Veelgestelde vragen
Wie is verantwoordelijk voor een gemiste melding als een AI-systeem die niet heeft geflagd?
Moeten medewerkers die met AML-systemen werken worden getraind op de AI Act?
Wat als ons transactiemonitoringssysteem van een externe leverancier is?
Hoe vaak moet een AML-algoritme worden gevalideerd?
De volgende stap
Een Executive Regulatory Architecture Session biedt een gestructureerde analyse van uw AML-governance in relatie tot zowel de Wwft als de AI Act.