Onderzoek naar KYC in de dagelijkse praktijk van Peppol-serviceproviders
Hoe hebben serviceproviders hun Know Your Customer (KYC)-procedure ingericht en hoe voeren ze deze uit? De Rijksinspectie Digitale Infrastructuur onderzocht dit voor de Nederlandse Peppolautoriteit (NPa) van december 2021 tot juni 2022.
Om fraude en fouten op het Peppol-netwerk te voorkomen, moeten serviceproviders weten wie hun klanten zijn: know your customer. Zoals banken en andere financiële instellingen dat ook moeten weten vanuit de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Deze zomer leverde inspecteur Stef Duteweert (foto onder) van de Rijksinspectie Digitale Infrastructuur zijn eerste bevindingen op. Samen met Jorden van der Wateren (foto boven), coördinator van de Nederlandse Peppolautoriteit, vertelt hij over hun bevindingen.
Waarom is KYC zo belangrijk voor het Peppol-netwerk? En wat betekent dat in de praktijk voor de klanten van serviceproviders?
Jorden: "Binnen Peppol hebben we afgesproken dat één van de belangrijkste onderdelen voor de veiligheid en betrouwbaarheid van het netwerk het kennen van de gebruikers van dat netwerk is. Een term die je in dit verband vaak hoort is 'End-user identification'. Beide termen geven aan dat het doel is om te weten met wie je als serviceprovider zaken doet en nog specifieker: wie is de partij die facturen gaat versturen over Peppol?
Voor de klanten van serviceproviders betekent dit dat zij bij het afnemen van diensten van deze serviceprovider een aantal gegevens moeten aanleveren en bijvoorbeeld een check van de persoon en organisatie moeten doorlopen via IBAN-check op basis van een uit te voeren transactie."
Waarom is de Rijksinspectie Digitale Infrastructuur gevraagd om dit onderzoek uit te voeren?
Jorden: "De Rijksinspectie Digitale Infrastructuur houdt toezicht op de NPa. Vanuit die rol doen zij onafhankelijk onderzoek en geven zij advies over Peppol-gerelateerde thema’s. Het doel is om de Rijksinspectie Digitale Infrastructuur een permanente rol als toezichthouder te geven, door de toezichtstaak wettelijk te verankeren. RDI heeft hiervoor de juiste mensen met de juiste ervaring."
Wat zijn de belangrijkste bevindingen?
Stef: "Het KYC-onderzoek was het eerste thematische onderzoek dat wij uitvoerden voor Peppol. Dit gaf ons een goede gelegenheid om alle Nederlandse Peppol-serviceproviders te leren kennen en een beter beeld te krijgen bij uitdagingen die spelen bij deze serviceproviders.
Het onderwerp KYC was door ons en de NPa gekozen om twee redenen. Ten eerste omdat KYC belangrijk is om het Peppol-netwerk veilig en betrouwbaar te houden. Doordat serviceproviders kun klanten identificeren en kennen is de kans op fraude via het Peppol-netwerk een stuk kleiner. Een partij kan zich niet eenvoudig op het netwerk aanmelden onder de naam van een andere partij en namens die partij (spook)facturen uitsturen.
De tweede reden dat we dit onderwerp hebben gekozen is dat de regels ten aanzien van KYC per juli 2022 veranderd zijn. Dit houdt in sommige gevallen een aanpassing, maar soms ook een aanscherping in. We hebben tijdens het onderzoek alle serviceproviders kunnen attenderen op de veranderende regels en vastgesteld dat ze al grotendeels voorbereid waren op de veranderingen. We merkten dat serviceproviders over het algemeen de geldende regels goed volgden en blij waren tijdig gewezen te worden op aanpassingen in de regels.
De belangrijkste bevinding uit het onderzoek is dat serviceproviders over het algemeen de spelregels ten aanzien van KYC goed kennen en serieus nemen."
Wat gaat goed? En wat heeft nog aandacht nodig?
Stef: "Zoals aangegeven worden KYC-processen door Peppol-serviceproviders goed uitgevoerd. Wat wij tijdens het onderzoek wel merkten is dat de Peppol-regels (zowel de 'oude' regels als regels per juli 2022) in sommige gevallen 'one size fits all' zijn. Het landschap aan serviceproviders is erg gevarieerd. Variatie kan voorkomen in bijvoorbeeld aanbieden van het verzenden en/of ontvangen van Peppol-berichten, het wel of niet hebben van koppelingen met één of meerdere boekhoud- en ERP-pakketten en het aantal/type klanten waarop serviceproviders zich richten.
Deze variaties hebben soms grote impact op de manier waarop serviceproviders regels kunnen en moeten invullen. Een serviceprovider die klanten na een traject van aanbesteding en implementatie een Peppol-dienst aanbiedt, loopt bijvoorbeeld andere risico’s dan een serviceprovider die zijn dienst via een online portal aanbiedt. Tijdens het aanbestedingstraject heeft de serviceprovider immers al een KYC-traject doorlopen.
Het aandacht geven aan het gevarieerde landschap aan serviceproviders vonden wij een belangrijk punt dat aandacht nodig had. Dit heeft er onder andere toe geleid dat de NPa een Best Practice gericht op KYC zal uitbrengen. Hierin wordt aandacht gegeven aan de impact van regels op verschillende typen serviceproviders."
Hoe was het contact met de serviceproviders over dit onderzoek? Onderkennen zij het belang van deze KYC-procedures?
Stef: "Serviceproviders onderkennen het belang van KYC voor het veilig en betrouwbaar houden van het Peppol-netwerk. Eventuele verbeterpunten uit het onderzoek werden goed opgepakt. De kwaliteit van het Peppol-netwerk wordt bepaald door de zwakste schakel in het netwerk en dit beseffen serviceproviders goed. Hierdoor is een community ontstaan die onderling goed communiceert en elkaar scherp houdt."
Wat is de NPa opgevallen aan de uitkomsten van het onderzoek en wat zij doen met de uitkomsten van ervan?
Jorden: "Wat ons opvalt aan de uitkomsten is dat er in de basis al veel dingen goed gaan en dat onze serviceproviders erg bereid zijn om de zaken op orde te hebben of maken. Waar nog wel uitdagingen liggen voor de serviceproviders is het voldoen aan de nieuwste regels binnen het Peppol-netwerk die sinds 1 juli 2022 van kracht zijn. Daar zullen we ze actief over benaderen en ook toezien op het in order maken van hun processen."
Hoe zorgt de NPa ervoor dat nieuwe serviceproviders ook hun KYC-procedure op orde hebben?
Jorden: "Nieuwe serviceproviders doorlopen bij de NPa altijd een aansluittraject waarin het opleveren van een KYC-procedure onderdeel is. Pas als die voldoet aan de gestelde eisen binnen Peppol, dan kan er een contract aangegaan worden met de nieuwe serviceprovider."
Wat zijn de vervolgstappen?
Stef: "Onderzoeken, zoals dit over KYC, zullen periodiek blijven plaatsvinden. Het doel hiervan is het waarborgen van de kwaliteit van het Peppol-netwerk. Voor het KYC-onderzoek is een belangrijke vervolgstap het verduidelijken en nuanceren van de Peppol-regels met praktijkvoorbeelden. Nieuwe risico’s en ontwikkelingen over KYC en toetreding tot het Peppol netwerk zullen door ons gevolgd worden en hierop zullen we inspelen, als dat nodig is."