Wetgeving

KYC, AML en Bitcoin-wetgeving beschrijft het groeiende stelsel van nationale en internationale wet- en regelgeving dat van toepassing is op Bitcoin-bedrijven en gebruikers. Wat begon als een niche-sector zonder duidelijk juridisch kader, is inmiddels strak ingebed in bestaande financiële toezichtkaders. De belangrijkste pijlers zijn: klantidentificatie (KYC), witwasbestrijding (AML), de internationale aanbevelingen van de FATF, de Europese MiCA-verordening en de Travel Rule.

Bitcoin is een open, grensoverschrijdend netwerk waarbij transacties pseudoniem zijn. Die eigenschappen maken het aantrekkelijk voor legitieme gebruikers die financiële privacy waarderen — maar ook voor kwaadwillenden die geprobeerd hebben het systeem te misbruiken voor witwassen of terrorismefinanciering. Overheden en toezichthouders reageerden hierop door de bestaande financiële regelgeving, die voor banken en betaaldiensten al gold, stap voor stap uit te breiden naar de cryptosector.

De centrale redenering van toezichthouders is het principe van same risk, same rules: activiteiten met vergelijkbare risicoprofielen moeten aan vergelijkbare regels voldoen, ongeacht de onderliggende technologie. Daarmee werd de Bitcoin- en cryptosector geleidelijk onderdeel van het reguliere financiële toezichtstelsel.

Een belangrijk onderscheid is dat de regelgeving in eerste instantie gericht is op tussenpersonen — exchanges, brokers en bewaardiensten — en niet op het Bitcoinprotocol zelf of op gebruikers die hun eigen self-custodial wallet beheren. Bitcoin als protocol is censuurbestendig en ongepermissioneerd; de regelgeving richt zich op de dienstverleners die als toegangspoort fungeren.

Know Your Customer (KYC), in het Nederlands ook wel ken uw klant, is de plicht van financiële dienstverleners om de identiteit van hun klanten vast te stellen en te verifiëren vóórdat zij diensten verlenen. KYC is niet specifiek voor Bitcoin bedacht; het is een standaard onderdeel van het financieel toezichtsrecht dat al decennia geldt voor banken, verzekeraars en andere financiële instellingen.

In de context van Bitcoin en crypto verplicht KYC een exchange of broker om bij aanmelding minimaal de volgende gegevens te verzamelen en te controleren:

• Naam en geboortedatum
• Adresgegevens
• Identiteitsbewijs (paspoort of rijbewijs)
• In sommige gevallen: herkomst van vermogen

KYC dient meerdere doelen. Ten eerste stelt het toezichthouders in staat te controleren of een dienstverlener weet met wie hij zaken doet. Ten tweede maakt het de financiële sector minder aantrekkelijk voor criminelen, omdat anonimiteit wordt weggenomen. Ten derde biedt het bescherming aan de klant zelf: bij fraude of een geschil is er een gedocumenteerde identiteit.

KYC-procedures worden door een deel van de Bitcoingemeenschap bekritiseerd, omdat ze:

• Financiële privacy aantasten. Door KYC is koppeling van transacties aan een persoon mogelijk, wat haaks staat op de pseudonimiteit van het Bitcoinprotocol.
• Grote hoeveelheden gevoelige persoonsgegevens centraal opslaan, waardoor aantrekkelijke doelwitten voor datalekken ontstaan.
• Drempels opwerpen voor gebruikers in landen zonder toegang tot officiële identiteitsdocumenten.
• Self-custodial wallet-gebruik kunnen ontmoedigen ten gunste van gecentraliseerde diensten, wat indruist tegen de filosofie van financiële soevereiniteit.

Anti-Money Laundering (AML) verwijst naar het geheel van wetten, regels en procedures gericht op het voorkomen en opsporen van witwassen: het verhullen van de illegale herkomst van geld. AML omvat niet alleen identificatieplichten (KYC), maar ook:

• Transactiemonitoring: het continu analyseren van transactiepatronen op verdachte activiteiten.
• Meldplicht ongebruikelijke transacties: bij vermoeden van witwassen moeten dienstverleners melding doen bij de bevoegde autoriteiten, in Nederland de Financial Intelligence Unit (FIU-NL).
• Customer Due Diligence (CDD): een risicogebaseerde beoordeling van elke klant. Voor klanten met een hoger risicoprofiel geldt Enhanced Due Diligence (EDD), wat aanvullend onderzoek vereist.
• Sanctiescreening: het controleren of klanten op internationale sanctielijsten voorkomen (bijvoorbeeld lijsten van de VN, de EU of de OFAC van de VS).
• Opleiding en procedures: personeel moet getraind zijn in het herkennen van verdachte situaties.

Voor een Bitcoin-exchange betekent AML-compliance in de praktijk dat:

1. Elke klant bij aanmelding wordt geïdentificeerd (KYC).
2. Alle transacties worden bijgehouden en geanalyseerd.
3. Verdachte transacties automatisch of handmatig worden geflagd.
4. Gemelde gevallen worden doorgestuurd naar FIU-NL.
5. Klanten met hogere risicoprofielen (politiek prominente personen, hoge transactievolumes) extra worden gescreend.

In Nederland is de anti-witwaswetgeving neergelegd in de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft). De Wwft is de nationale uitwerking van Europese AML-richtlijnen en verplicht diverse categorieën instellingen — waaronder financiële dienstverleners en notarissen — tot het uitvoeren van cliëntenonderzoek en het melden van ongebruikelijke transacties.

Bitcoinbedrijven (exchanges, brokers en bewaarportemonnees) vallen since 2020 expliciet onder de Wwft, als gevolg van de implementatie van de Vijfde Anti-Witwasrichtlijn (AMLD5). Zij zijn sindsdien verplicht zich te registreren bij De Nederlandsche Bank (DNB) en te voldoen aan de verplichtingen uit de Wwft.

Elk bedrijf dat in of vanuit Nederland professioneel Bitcoin of andere cryptovaluta wisselt tegen fiat geld, of bewaardiensten aanbiedt, moet geregistreerd zijn bij DNB. DNB beoordeelt daarbij onder andere de betrouwbaarheid en geschiktheid van de bestuurders (het zogeheten fit and proper-toets) en controleert of adequate AML-procedures aanwezig zijn.

Bij overtreding van de registratieplicht of de AML-verplichtingen kunnen DNB en de Autoriteit Financiële Markten (AFM) handhavend optreden, waaronder via boetes of het opleggen van een verbod op dienstverlening.

De Vijfde Anti-Witwasrichtlijn (Anti-Money Laundering Directive 5, AMLD5) trad in Nederland in werking op 21 mei 2020. AMLD5 was de eerste Europese richtlijn die cryptobedrijven expliciet onder het anti-witwastoezicht bracht. Belangrijke verplichtingen uit AMLD5:

• Registratie bij nationale toezichthouders (in Nederland: DNB).
• Verplichte KYC- en AML-procedures voor exchanges en aanbieders van bewaarportemonnees.
• Openbaarheid van UBO-registers (Ultimate Beneficial Owners): transparantie over wie achter een bedrijf zit.
• Verbeterde informatie-uitwisseling tussen nationale Financial Intelligence Units (FIU's) binnen de EU.

De MiCA-verordening (Verordening (EU) 2023/1114) is de meest omvangrijke Europese wetgeving voor de cryptosector tot nu toe. MiCA trad in Nederland in werking op 30 december 2024 en vervangt geleidelijk de nationale kaders die op basis van AMLD5 waren ingevoerd.

MiCA onderscheidt zich van eerdere richtlijnen doordat het een verordening betreft — rechtstreeks toepasselijk in alle EU-lidstaten, zonder nationale omzetting. De belangrijkste elementen:

• Vergunningplicht: Aanbieders van cryptodiensten (Crypto-Asset Service Providers, CASPs) moeten een vergunning hebben van een nationale toezichthouder (in Nederland: AFM). Een vergunning in één lidstaat geldt via het passporting-principe in de hele EU.
• Informatieverplichting: CASPs moeten klanten uitgebreid informeren over risico's en geen misleidende reclame maken.
• Marktintegriteit: MiCA bevat regels tegen marktmanipulatie en handel met voorwetenschap, vergelijkbaar met de MiFID II-regels voor traditionele effectenmarkten.
• Stablecoin-regels: Specifieke regels voor uitgevers van asset-referenced tokens (ART's) en e-money tokens (EMT's).
• AML-koppeling: MiCA werkt nauw samen met de AML-wetgeving. CASPs moeten voldoen aan bestaande Wwft-verplichtingen én aan de aanvullende eisen van MiCA.

Voor reeds geregistreerde DNB-bedrijven gold een overgangstermijn: zij moesten uiterlijk 30 juni 2025 over een MiCA-vergunning beschikken.

De Financial Action Task Force (FATF) is een intergouvernementele organisatie opgericht in 1989 die mondiale normen stelt voor de bestrijding van witwassen, terrorismefinanciering en proliferatiefinanciering. De FATF-aanbevelingen zijn geen bindende wetgeving, maar landen die lid zijn van het internationale financiële stelsel worden sterk geacht ze te implementeren. Landen die dat onvoldoende doen, riskeren plaatsing op de FATF Grey List of Black List, met verstrekkende gevolgen voor hun toegang tot het internationale financiële stelsel.

De FATF breidde zijn werkterrein in 2019 uit met aanbeveling 15, die Virtual Asset Service Providers (VASPs) — de FATF-term voor cryptodienstverleners — expliciet opnam in het toezichtsraamwerk. VASPs vallen sindsdien onder dezelfde basisverplichtingen als traditionele financiële instellingen: registratie, KYC, transactiemonitoring en rapportage.

Een van de meest ingrijpende FATF-regels voor de Bitcoinsector is Aanbeveling 16, beter bekend als de Travel Rule. De Travel Rule schrijft voor dat bij het overmaken van virtuele activa de identificatiegegevens van zowel de verzender als de ontvanger meereizen met de transactie — net zoals dat al geldt voor traditionele bankoverschrijvingen.

In het traditionele bankwezen is het al decennialang gebruikelijk dat bij een internationale overboeking informatie over de opdrachtgever wordt meegestuurd. Dit maakt het voor toezichthouders en rechtshandhaving mogelijk om het geldspoor te volgen. Voor cryptotransacties bestond die verplichting lange tijd niet, wat het systeem aantrekkelijker maakte voor misbruik. De Travel Rule sluit die leemte.

Bij een transactie boven de drempelwaarde (FATF-aanbeveling: €1.000) moeten de betrokken CASPs de volgende gegevens uitwisselen:

• Naam van de verzender
• Wallet-adres of rekeningnummer van de verzender
• Identificatienummer van de verzender (bijv. paspoortnummer)
• Naam van de ontvanger
• Wallet-adres of rekeningnummer van de ontvanger

De EU implementeerde de Travel Rule via de Transfer of Funds Regulation (TFR, Verordening (EU) 2023/1113). De TFR trad in werking op 30 december 2024. Een cruciaal verschil met de FATF-aanbeveling: de EU kent geen minimumdrempel. Alle cryptotransacties tussen CASPs onderling vallen onder de TFR, ongeacht het bedrag.

Voor transacties naar of van zelfbeheerde wallets (self-hosted wallets) gelden aanvullende regels:

• Bij bedragen tot €1.000: de CASP moet gegevens over de verzender of ontvanger verzamelen en bewaren.
• Bij bedragen boven €1.000: de CASP moet bovendien verifiëren of de klant daadwerkelijk eigenaar of beheerder is van de betreffende wallet.

Voor gewone gebruikers van Bitcoin via een exchange betekent de Travel Rule dat:

• Bij het storten of opnemen van bitcoin naar een extern wallet-adres, de exchange kan vragen om te bewijzen dat het wallet-adres van henzelf is.
• Exchanges informatie uitwisselen als een transactie naar een andere exchange gaat.
• Transacties naar volledig anonieme adressen waarbij geen eigenaarschapsbewijs geleverd kan worden, kunnen worden geweigerd of vertraagd.

De TFR-regels rondom self-hosted wallets zijn omstreden. Kritiek vanuit de Bitcoingemeenschap:

• Ze beperken effectief het gebruik van eigen wallets, wat haaks staat op het recht op financiële zelfbeschikking.
• De opslag van koppelingsgegevens (wie bezit welk wallet-adres) bij exchanges creëert omvangrijke en kwetsbare databases.
• De regels zijn technisch moeilijk uitvoerbaar en leiden ertoe dat sommige exchanges transacties naar privéwallets alleen nog toestaan naar eigen, eerder geverifieerde adressen.

De Travel Rule wordt wereldwijd ingevoerd, maar de implementatie verschilt per jurisdictie:

Jurisdictie	Drempelwaarde	Status (2025)
Europese Unie	Geen drempel (alle bedragen)	Van kracht sinds 30 december 2024
Nederland	Geen drempel (volgt EU TFR)	Van kracht
Verenigde Staten	$3.000	Van kracht (FinCEN)
Verenigd Koninkrijk	Geen drempel	Van kracht (FCA, sinds 2023)
Singapore	SGD 1.500	Van kracht (MAS)
Japan	Geen drempel	Van kracht (JVCEA)
Zuid-Korea	Geen drempel	Van kracht (FSC)

Wereldwijd hebben inmiddels 85 van de 163 door FATF onderzochte landen wetgeving ingevoerd of zijn daarmee bezig. De handhaving schiet echter op veel plekken nog tekort.

Het toezicht op Bitcoin-bedrijven in Nederland is verdeeld over twee instanties:

DNB is de prudentiële toezichthouder en houdt toezicht op de financiële soliditeit van instellingen en op AML/CFT-naleving. Bitcoinbedrijven moeten bij DNB geregistreerd zijn en kunnen door DNB worden gecontroleerd op naleving van de Wwft.

De AFM is de gedragstoezichthouder en houdt toezicht op eerlijk marktgedrag, transparantie en consumentenbescherming. Onder MiCA speelt de AFM een grotere rol dan voorheen: zij verleent de MiCA-vergunningen en handhaaft op het gebied van marktintegriteit en informatieverstrekking.

De Financial Intelligence Unit Nederland (FIU-NL) is de instantie waar Wwft-plichtige instellingen ongebruikelijke transacties moeten melden. FIU-NL analyseert deze meldingen en stuurt relevante informatie door naar opsporingsdiensten zoals de FIOD en de politie.

Naast AML-wetgeving geldt er ook fiscale rapportagewetgeving. Op Europees niveau is de DAC8-richtlijn aangenomen, die cryptodienstverleners verplicht om vanaf 2026 jaarlijks gegevens over klanttransacties door te geven aan de Belastingdienst. Het gaat om informatie over aankopen, verkopen en saldo's van klanten die belastingplichtig zijn in de EU.

Het kabinet bereidde een nationaal wetsvoorstel voor waarbij aanbieders van cryptodiensten per 1 januari 2026 verplicht worden gebruikersgegevens te verzamelen en te delen met de Belastingdienst. Dit maakt deel uit van de bredere internationale aanpak via het Crypto-Asset Reporting Framework (CARF) van de OESO, dat vergelijkbaar is met de bestaande CRS-standaard (Common Reporting Standard) voor bankrekeningen.

De toenemende regulering van de Bitcoinsector roept een fundamenteel spanningsveld op:

Witwasbestrijding, bescherming van consumenten en het voorkomen van belastingontduiking zijn breed gedragen doelen. Regulering kan ook bijdragen aan het legitimeren van Bitcoin als beleggingscategorie en toegang verschaffen tot de traditionele financiële infrastructuur.

• Privacy: Bitcoin is ontworpen als een systeem waarbij gebruikers hun eigen financiën kunnen beheren zonder toestemming van derden. Verplichte KYC en de Travel Rule ondermijnen de pseudonimiteit die het systeem biedt.
• Dataveiligheid: Exchanges die verplicht zijn grote hoeveelheden persoonsgegevens op te slaan, worden aantrekkelijke doelwitten voor hackers. Datalekken kunnen identiteitsdiefstal of gerichte oplichting tot gevolg hebben.
• Uitsluitingsrisico: Strengere identificatievereisten kunnen mensen uitsluiten die geen toegang hebben tot officiële identiteitsdocumenten, juist in de landen waar Bitcoin het meeste waarde biedt als financieel vangnet.
• Technische uitvoerbaarheid: De Travel Rule is technisch complex: er is geen universele standaard voor de uitwisseling van gegevens tussen exchanges, wat tot operationele problemen leidt.
• Samenloop met GDPR: Europese gegevensbeschermingsregels (AVG/GDPR) staan op gespannen voet met de verplichting om persoonsgegevens mee te sturen met transacties.

Gebruikers die hun bitcoin in een self-custodial wallet bewaren en nooit via een exchange handelen, vallen buiten de directe reikwijdte van de meeste KYC/AML-verplichtingen. Het Bitcoinprotocol zelf kan niet worden verboden of gecensureerd. De regelgeving richt zich op de raakvlakken met het traditionele financiële stelsel: het moment waarop fiat geld wordt omgewisseld in bitcoin of omgekeerd.

Jaar	Gebeurtenis
2018	AMLD5 aangenomen door de EU, introduceert cryptobedrijven in het AML-kader
2019	FATF breidt aanbevelingen uit naar Virtual Asset Service Providers (VASPs)
2020	AMLD5 geïmplementeerd in Nederland via Wwft; registratieplicht bij DNB van kracht
2023	MiCA en TFR aangenomen door Europees Parlement (31 mei 2023)
2023	UK FCA voert Travel Rule in voor Britse CASPs
2024	MiCA van kracht in Nederland (30 december 2024)
2024	EU Travel Rule (TFR) van kracht (30 december 2024)
2025	Overgangstermijn MiCA voor reeds geregistreerde DNB-bedrijven afloopt (30 juni 2025)
2026	DAC8/CARF-rapportageplicht richting Belastingdienst verwacht van kracht

• Rijksoverheid – Cryptowet (MiCA)
• DNB – Toezicht op cryptobedrijven
• FATF – Officiële website
• MiCA-verordening (EU) 2023/1114 in het Officieel Publicatieblad
• TFR-verordening (EU) 2023/1113 in het Officieel Publicatieblad