Compliance
Het kennen van onze klanten en hun activiteiten noemen we KYC. Dat staat voor ‘Know Your Customer’. CDD staat voor ‘Client Due Diligence’. Dit is het proces waarbij wij relevante informatie over onze klanten verzamelen en beoordelen op risico’s voor de organisatie, het betalingsverkeer, het witwassen van geld of het financieren van terroristische activiteiten. Er wordt van GoCredible als betaalinstelling verwacht dat wij de rol van poortwachter tot het financiële systeem adequaat vervullen. Daarom verlangen wij inzicht in onze klanten en vragen, verzamelen, verifiëren en leggen wij informatie vast met betrekking tot de identiteit van elke klant en haar activiteiten. Dit is een wettelijke plicht op grond van de Wwft (Wet ter voorkoming van witwassen en financiering terrorisme) en de SW (Sanctiewet). GoCredible committeert zich aan deze verplichtingen.
Know your Customer & Customer Due Diligence
Een goed inzicht in onze klant en haar belangen zijn noodzakelijk voor het beheersen van de risico’s die de dienstverlening aan onze klanten met zich meebrengt. Het gaat hierbij om de risico’s van witwassen, terrorismefinanciering, corruptie, kapitaalvlucht en reputatie. Immers, de integriteit en de reputatie van GoCredible worden mede bepaald door de integriteit en de reputatie van onze klanten. Inzicht in de achtergrond van de klant, haar (zakelijke) activiteiten, de reden waarom producten worden afgenomen en in de herkomst van vermogen, verschaft de wezenlijke informatie die nodig is om een goede inschatting te kunnen maken van de risico’s die een bepaalde relatie met zich mee kan brengen. Daarom verlangen nationale en internationale wet- en regelgeving steeds meer van betaalinstellingen met betrekking tot KYC en CDD en heeft De Nederlandsche Bank, onze toezichthouder, CDD tot onderdeel van haar toezicht gemaakt.
GoCredible ziet KYC/CDD daarom als het fundament van haar klantacceptatiebeleid en vraagt de medewerking van haar klanten in het verschaffen van de benodigde identificatie en andere vereiste informatie. Dit borgt het gezamenlijk belang dat onze klanten en GoCredible bindt met betrekking tot integriteit en reputatie.
Klantonderzoek
GoCredible heeft een klantacceptatiebeleid en -proces ingericht om de risico’s die klanten met zich kunnen brengen in kaart te brengen, te beperken of te vermijden. Hierbij staat centraal: ‘mogen we zaken doen met een klant?’ en ‘willen we zaken doen met een klant?’. De eerste vraag is gebaseerd op toepasselijke wet- en regelgeving, de tweede vraag is gebaseerd op ons beleid en ‘risk appetite’ (risicobereidheid).
Ten aanzien van de vraag of we zaken willen doen met een klant, kunnen we onderscheid maken naar branche, betaaldienst en rol in de keten. Een nader handelingskader vormen voorts de ‘rules and regulations’ van leveranciers van betaalmethoden en infrastructuur, zoals bijvoorbeeld iDEAL, Maestro en VISA.
Als Wwft-instelling is GoCredible verplicht met betrekking tot de (rechts)personen die klant zijn of willen worden:
- de klant te identificeren en de identiteit te verifiëren;
- de rechtsgeldig vertegenwoordiger te identificeren en de identiteit te verifiëren;
- maatregelen te nemen om te beoordelen of een derde optreedt voor zichzelf of ten behoeve van een derde; én
- de UBO te identificeren en inzicht te krijgen in de eigendoms- en zeggenschapsstructuur van een rechtspersoon als deze de klant is.
Daarnaast stellen we het doel en beoogde aard van de zakelijke relatie vast en monitoren we de relatie.
GoCredible heeft haar processen rondom het klantonderzoek volgens onderstaande opzet ingericht:
Dit klantacceptatieproces omvat de fase van prospect tot en met beëindiging van de klantrelatie. Het proces is vormgegeven rond het risicoprofiel van de klant en is vormgegeven met algoritmes in de Onboarding Module van GoCredible. Hiermee wordt volledigheid afgedwongen en bereiken we een hoge mate van consistentie en objectiviteit. De segmenten waaruit dit profiel is opgebouwd omvatten onder meer complexiteit, risicolanden, bedrijfsactiviteiten en een eventuele status als PEP. Een behandelaar kan op basis van ‘professional judgement’ een aanpassing van het geïndiceerde risicoprofiel voorstellen. Bij twijfel betrekken we de Compliance Manager.
Het risicoprofiel kan een normaal, een verhoogd of een hoog risico indiceren. In de volgende – niet-limitatieve – gevallen worden de risico’s niet geaccepteerd. Er komt dan geen klantrelatie tot stand.
- Een bestuurder of UBO komt op een sanctielijst voor;
- Er is sprake van een door GoCredible (of een aanbieder van een betaalmethode) als niet-acceptabel aangemerkte activiteit;
- Er is een gerede kans dat de betaaldienstverlening misbruikt gaat worden;
- Er is een vermoeden dat er sprake is van witwassen dan wel financiering van terrorisme.
Het risicoprofiel van de klant wordt na de initiële vaststelling actueel gehouden door middel van horizontale (naar aanleiding van gebeurtenissen) en verticale beoordeling (periodieke her-acceptatie). Ook hiervoor baseert GoCredible zich op onafhankelijke dataservices en haar eigen klant – en transactiemonitoring.
De dienstverlening aan een klant start pas als het acceptatieproces is afgerond.
Herkomst vermogen
Bij het aangaan van een zakelijke relatie en bij het monitoren van een zakelijke relatie kan onderzoek worden gedaan naar de bron of herkomst van de middelen. Dit is met name het geval als sprake is van een risico omtrent de oorsprong, als er twijfel bestaat over de oorsprong of als ondoorzichtige geldstromen worden gesignaleerd met een onduidelijke herkomst. Onderzoek naar de herkomst van de gelden moet dan aannemelijk maken dat de gelden niet afkomstig zijn van criminele of corrupte praktijken, individuen of organisaties.
In het geval van Crowdfunding – een van de focus branches van GoCredible – onboarden we de investeerder ook, omdat er sprake is van een langerdurende relatie en ook gelden worden ontvangen door de investeerder. Afhankelijk van onder meer het risicoprofiel, aard van de investeerder en hoogte van de investering, voert GoCredible ook voor deze klanten onderzoek naar de herkomst van middelen uit.
Sanctieregelgeving
Tijdens het klantacceptatieproces worden zowel de kenmerken van de klant als het te verwachten transactieprofiel vastgelegd, zodat ‘business rules’ kunnen worden ingesteld waarmee ‘pre’ en ‘post’ transactiemonitoring wordt uitgevoerd.
De Sanctiewet 1977 heeft als doel uitvoering te geven aan internationale sancties en maatregelen tegen een schending of bedreiging van de internationale vrede en veiligheid door landen en personen. GoCredible waarborgt de naleving met geprogrammeerde systeemcontroles in onze applicaties.
Alle personen (individuen en rechtspersonen) worden in continuïteit getoetst aan de voor PSD2 benodigde sanctielijsten. Voordat toetsing plaatsvindt, wordt geautomatiseerd nagaan of de bij de bron beschikbare lijst gelijk is of afwijkt van de in de backoffice ingelezen lijst. Als er een verschil wordt geconstateerd, wordt deze actuele lijst ingelezen en gebruikt voor de toetsing.
Hiermee controleren wij á tempo onze potentiële en bestaande relaties op aanwezigheid op de diverse sanctielijsten. Indien er sprake is van een match (potentiële hit) wordt deze door een behandelaar beoordeeld of er sprake is van een daadwerkelijke hit of een ‘false positive’. Een beoordeling als ‘false positive’ moet bevestigd worden door een tweede behandelaar. Waar nodig vindt overleg plaats met de CFRO en/of de Compliance Manager.
Dit afwegingsproces kan leiden tot het niet-aangaan van een relatie, het beëindigen van de bestaande relatie of het bevriezen van financiële middelen. Wanneer voorgeschreven, worden ook de toezichthouder en de leverancier van de betaalmethode geïnformeerd.
GoCredible gebruikt voor haar toetsing aan sanctielijsten de data die rechtstreeks bij de officiële bron beschikbaar zijn zonder tussenkomst van een derde partij. Binnen de toetsing vallen de rechtspersoon, bestuurder(s), UBO(s), gevolmachtigde en indien aanwezig andere rechtspersonen in de entiteit van de klant.
De Compliance Manager is verantwoordelijk voor het 2e-lijns toezicht op de naleving van de wet- en regelgeving en het eigen beleid door GoCredible. De Interne Audit Functie van GoCredible rapporteert vervolgens over het functioneren van deze 2e-lijns Compliance werkzaamheden.
Transactiemonitoring
Als betaalinstelling is GoCredible verplicht bijzondere aandacht te geven aan ongebruikelijke transactiepatronen en aan transacties die naar hun aard een hoger risico op witwassen of financieren van terrorisme met zich brengen. In de bijlage bij het Uitvoeringsbesluit Wwft 2018 zijn de indicatoren opgenomen wanneer er sprake is van een ongebruikelijke transactie. Hierbij is een onderscheid gemaakt in ‘objectieve’ en ‘subjectieve’ indicatoren.
Indien er sprake is van een zogenaamde ‘ongebruikelijke transactie’, dan doet GoCredible onverwijld melding bij de FIU en aan andere belanghebbenden in overeenstemming met de wettelijke eisen en afspraken.
In onderstaand schema is ons proces van transactiemonitoring weergegeven.
De inrichting van de functionaliteiten van het Smart Contracts Payment Platform van GoCredible en processen zijn zoveel als mogelijk ingericht op het tegengaan van de risico’s door het integreren van onze ‘business rules’ als geprogrammeerde en procedurele hard-controls. Naast deze business rules die als preventieve maatregelen zijn ingericht (pre transactie monitoring), is transactiemonitoring ingericht als detectieve maatregel (post transactie monitoring).
Bij online transacties legt GoCredible veel nadruk op de pre-transactie monitoring, om te mitigeren dat haar betaaldiensten gebruikt kunnen worden om ongebruikelijke transacties uit te voeren. Bij offline transacties ligt de nadruk meer op post-transactiemonitoring.
De monitoring is zoveel als mogelijk geprogrammeerd. Relevant in dit verband zijn onder meer:
- Vooraf vaststaande condities waaronder betalingen (zowel collecteren als uitbetalen) worden uitgevoerd;
- ‘White listing’ van IP-adressen ingeval van online betaaldienstverlening;
- Beperkingen om bankrekeningnummers zelfstandig door de klant te laten wijzigen;
- Vaststellen van het verband tussen geld en de tegenprestatie (goed);
- Het per klant verwachte transactieprofiel,
- Het instellen van limieten per klant, branche of betaaldienst.
GoCredible laat alleen transacties toe die voldoen aan de vooraf gestelde product- en klantdefinities
GoCredible beschikt over meerdere rapportages en signaleringen die met een verschillende frequentie worden gegenereerd. Daarnaast zijn er alerts en notificaties gedefinieerd die realtime worden gegenereerd.
Vanuit de automatisch gegenereerde monitoring en handmatig verkregen inzichten, is procesmatige opvolging nodig. Alle monitoring rapportages en berichtgeving worden daarom altijd aan meerdere medewerkers gericht, waaronder minimaal de CEO en CFRO.
Bij het vermoeden van een mogelijk ongebruikelijke transactie, doet GoCredible nader onderzoek. Dit onderzoek leidt tot het afsluiten van de alert, of het doen van een melding. Zowel de afsluiting als de melding wordt altijd afgestemd met de CFRO en CEO. Waar nodig vindt overleg plaats met de Compliance Manager. GoCredible onderbouwt het besluit tot onverwijlde melding aan FIU-Nederland.
Opleidingen en bewustzijn
Misbruik van de betaaldiensten wordt zoveel als mogelijk voorkomen door het ondervangen van risico’s in het productontwerp en proces. Directie en medewerkers zijn zich in de dagelijkse praktijk continu bewust van witwas- en terrorismefinancieringsrisico’s en andere bedreigingen voor de reputatie.
GoCredible stimuleert daarom de onderlinge uitwisseling van kennis over onder meer wetgeving, risico’s, fraude en ongebruikelijke transacties en stelt haar medewerkers in staat om opleidingen te volgen op dit gebied.
Belangenverstrengeling
Als betaaldienstverlener geniet GoCredible het vertrouwen van particulieren en bedrijven die hun transacties toevertrouwen aan GoCredible. Omdat belangenverstrengeling – daaronder begrepen de schijn van belangenverstrengeling – negatieve gevolgen voor onze klanten en GoCredible kan hebben, heeft GoCredible beleid en procedures om belangenverstrengeling tegen te gaan. Hiervoor baseert GoCredible zich naast de eigen integriteit tevens op de wetgeving die dit van elke betaalinstelling verlangt. Dit is de beheerste en integere uitoefening van het bedrijf die vanuit de Wft verlangd wordt.
Gegevensbescherming
GoCredible is een betaaldienstverlener en verleent haar bestaansrecht aan het creëren van betaaloplossingen voor haar klanten. Dit betekent dat GoCredible over gegevens van klanten beschikt. GoCredible vraagt deze gegevens alleen om betalingen mogelijk te maken en haar wettelijke verplichtingen na te komen. Het verkopen van data of het op een andere manier gebruiken van verkregen data behoort niet tot het verdienmodel van GoCredible.
GoCredible ziet gegevensbescherming als essentieel en logisch onderdeel van onze compliance. De systemen die GoCredible gebruikt en de systemen die GoCredible gebruikt van derden om gegevens te verwerken zijn allen in lijn met de AVG. Met iedere leverancier van GoCredible wordt een verwerkersovereenkomst afgesloten, met daarin de wijze hoe gegevens verwerkt worden.
GoCredible borgt de integriteit van haar klantgegevens door onder meer de volgende maatregelen:
- Gevoelige persoonsgegevens worden versleuteld, zowel ‘at rest’ als ‘in transport’;
- Er worden nooit wachtwoorden en persoonlijke autorisatiecodes van klanten verzameld en opgeslagen;
- Externe rapportages bevatten geen gevoelige betalingsgegevens;
- Er worden alleen gegevens verzameld en verwerkt overeenkomstig de privacyverklaring van GoCredible en de eisen die banken en andere instellingen (zoals leveranciers van betaalmethoden) aan GoCredible stellen;
- Gegevens worden doelgeëigend gebruikt;
- Gegevens worden verwerkt conform de AVG;
- De verantwoordelijkheid voor de AVG behoort bij het bestuur en is belegd bij de CFRO;
- Gegevens worden in Nederland opgeslagen;
- Betalingen worden alleen uitgevoerd met toestemming van de betaaldienstgebruiker;
- Wanneer een datalek wordt ontdekt, worden de personen die dit betreft tijdig geïnformeerd.
GoCredible heeft haar beleid inzake privacy verder uitgewerkt in het ‘Privacybeleid GoCredible’ en heeft altijd een actuele versie van haar privacyverklaring voor haar gebruikers online beschikbaar.
DISCLAIMER
Het is goed om te weten dat:
- de inhoud, maatregelen en voorbeelden in dit document een vereenvoudigde en verkorte weergave en momentopname zijn van de inhoud van het beleid en de processen van GoCredible ten aanzien van Compliance;
- het bestrijden van financiële criminaliteit een dynamisch proces is en constant in ontwikkeling is;
- naast genoemde controles GoCredible ook controles kan uitvoeren die we niet kenbaar maken;
- in voorkomende gevallen ook ‘professional judgement’ onderdeel van de uitvoering van het beleid kan zijn.
Klanten, gebruikers, leveranciers en andere belanghebbenden, kunnen derhalve geen rechten aan de inhoud van dit document verlenen.