OFAC-sanctienaleving voor kleine bedrijven: SDN-screening, de 50%-regel en vrijwillige zelfonthulling

15 min leestijdMike ThriftMike Thrift
OFAC-sanctienaleving voor kleine bedrijven: SDN-screening, de 50%-regel en vrijwillige zelfonthulling

Een Californische gitaarbouwer die online instrumenten verkocht, betaalde onlangs $41.591 om OFAC-beschuldigingen te schikken. Het wettelijke maximum waarmee het bedrijf werd geconfronteerd? $3.313.224 — ongeveer tachtig keer hoger. Het verschil kwam voort uit één beslissing: het bedrijf maakte de overtredingen vrijwillig bekend voordat toezichthouders ze ontdekten.

Die verhouding is het hele verhaal van de handhaving van sancties in 2026. Het Office of Foreign Assets Control (OFAC) van het ministerie van Financiën jaagt niet langer alleen op Wall Street-banken. Vastgoedbeleggers, fintech-startups, e-commerceverkopers, importeurs van muziekinstrumenten en aanbieders van crypto-wallets zijn de afgelopen achttien maanden allemaal op de handhavingslijst beland. De maximale civielrechtelijke boete onder de International Emergency Economic Powers Act (IEEPA) bedraagt nu $377.700 per overtreding — of twee keer de transactiewaarde, afhankelijk van welke hoger is — en OFAC past risicoaansprakelijkheid toe, wat betekent dat opzet niet vereist is.

Als uw bedrijf klanten, leveranciers of tegenpartijen bij betalingen buiten de Verenigde Staten heeft — of zelfs daarbinnen — bent u al blootgesteld. Hier ziet u hoe een effectief OFAC-programma eruitziet voor een bedrijf dat geen gespecialiseerde compliance-afdeling heeft.

Waarom kleine bedrijven plotseling op de radar van OFAC staan

Gedurende het grootste deel van de geschiedenis van OFAC lag de focus bij handhaving op banken. Dat veranderde in de afgelopen vijf jaar. De instantie heeft openlijk verklaard dat handhaving zal "afstappen van het traditionele bankwezen naar nieuwe sectoren met een hoog risico, zoals fintech en cryptocurrency", en recente acties ondersteunen dat:

  • Exodus Movement (crypto-wallet): meer dan 254 schijnbare schendingen van de Iranian Transactions and Sanctions Regulations, waaronder 12 ernstige en niet vrijwillig bekendgemaakte
  • Poloniex: schikking van $7,6 miljoen
  • Payoneer: schikking van $1,5 miljoen
  • BitPay: schikking van $507.375
  • Kraken: schikking van $362.158
  • Een individuele vastgoedbelegger: civielrechtelijke boete van $4,7 miljoen
  • 2026 tot op heden over slechts drie gepubliceerde handhavingsacties: $6.607.661

Het patroon is duidelijk. Elk bedrijf dat te maken heeft met geld, goederen of diensten over de grenzen heen — of zelfs een website beheert waarvoor een gesanctioneerde persoon kan betalen — heeft een sanctieprogramma nodig. Dat geldt ook voor Shopify-winkels, SaaS-bedrijven die internationaal factureren aan klanten, freelance marktplaatsen, betalingsverwerkers, cryptobeurzen, vastgoedbedrijven die huur innen van buitenlandse eigenaren en accountantskantoren die klanten aannemen met buitenlandse activa.

Wat OFAC feitelijk beperkt

OFAC beheert meer dan dertig verschillende sanctieprogramma's. Ze vallen uiteen in twee brede categorieën.

Volledige embargo's (volledige landelijke verboden)

Vanaf 2026 gelden voor vier landen bijna totale verboden op handel, financiële transacties en diensten met Amerikaanse personen:

  • Cuba
  • Iran
  • Noord-Korea (DPRK)
  • Syrië

De bezette Oekraïense regio's de Krim, Donetsk en Loehansk vallen ook onder volledige sancties. Zakendoen in of met deze rechtsgebieden vereist een specifieke OFAC-licentie — anders overtreedt u de wet.

Gerichte en sectorale sancties

Rusland is momenteel het zwaarst gesanctioneerde land ter wereld, maar het valt niet onder een volledig embargo. In plaats daarvan heeft OFAC gelaagde gerichte verboden ingesteld voor de energie-, financiële, defensie- en technologiesector, plus duizenden aanwijzingen voor individuen en entiteiten. Venezuela, Wit-Rusland en Myanmar kennen ook aanzienlijke gerichte regimes.

Naast landenprogramma's onderhoudt OFAC op lijsten gebaseerde sancties gericht op drugshandelaren, terroristen, schenders van mensenrechten, cyberactoren en corrupte buitenlandse functionarissen, ongeacht hun nationaliteit.

De sanctielijsten die u daadwerkelijk moet screenen

Zeggen "we controleren de SDN-lijst" is de meest voorkomende kortere route in compliance — en de meest voorkomende fout in compliance. OFAC publiceert verschillende lijsten, en het overslaan van één daarvan is hoe boetes zich opstapelen.

LijstWat het omvatWanneer u moet blokkeren
Specially Designated Nationals (SDN) ListIndividuen, entiteiten, schepen en vliegtuigen. Eigendommen van SDN's moeten worden geblokkeerd.Altijd
Consolidated Sanctions ListEen hoofdbestand dat alle niet-SDN-lijsten samenvoegtAltijd
Sectoral Sanctions Identifications (SSI) ListDoelwitten in de Russische energie-, financiële en defensiesectorAfhankelijk van de richtlijn
Foreign Sanctions Evaders (FSE) ListPersonen die helpen bij het omzeilen van Amerikaanse sanctiesAltijd
Non-SDN Menu-Based Sanctions (NS-MBS) ListGerichte maatregelen, vaak onder CAATSAVolgens het toegepaste menu-item
Palestinian Legislative Council (NS-PLC) ListLeden van de PLC die hebben deelgenomen aan verkiezingenAltijd voor blokkering

U kunt al deze lijsten gratis doorzoeken via de OFAC Sanctions List Search-tool (sanctionssearch.ofac.treasury.gov), maar de gratis tool is ontworpen voor eenmalige zoekopdrachten, niet voor bulk-screening. Productieomgevingen maken gebruik van commerciële screeningproviders, geautomatiseerde API's of interne tools die de dagelijkse delta-bestanden die OFAC publiceert, verwerken.

De 50 procent-regel: Waarom naam-matching niet voldoende is

Hier is de regel die bijna elk bedrijf overrompelt:

Elke entiteit die voor 50% of meer eigendom is — direct, indirect of gezamenlijk — door een of meer geblokkeerde personen, is zelf geblokkeerd, zelfs als deze niet op een OFAC-lijst staat.

Twee implicaties zijn van belang:

  1. Aggregatie over SDN's telt. Als SDN A 30% van een holding op de Kaaimaneilanden bezit en SDN B 25% bezit, dan is die holding geblokkeerd — ook al bereikt geen van beide eigenaren individueel de 50%.
  2. Indirect eigendom telt. Het belang van 60% van een doelpersoon in een moederonderneming die 60% van een dochteronderneming bezit, maakt de dochteronderneming geblokkeerd, ook al suggereert de berekening van de directe keten (60% × 60% = 36%) anders. OFAC beschouwt de moederonderneming als volledig geblokkeerd, wat betekent dat het volledige eigendom van de dochteronderneming doorwerkt.

Deze regel is de reden waarom loutere naam-screening faalt. Een leverancier met de naam "Atlas Logistics LLC" zal niet op de SDN-lijst verschijnen. Maar als de uiteindelijke belanghebbenden gesanctioneerde Russische oligarchen zijn die gezamenlijk 51% bezitten via drie lagen van shell-bedrijven, staat u op het punt de Amerikaanse sanctiewetgeving te overtreden door hun factuur te betalen.

Praktische reacties voor kleine bedrijven:

  • Eis openbaarmaking van uiteindelijk belanghebbenden (UBO) van leveranciers en hoogwaardige klanten, idealiter gekoppeld aan een UBO-certificering
  • Gebruik een screening-provider die eigendomsrelaties in kaart brengt, en niet alleen namen
  • Voor tegenpartijen in rechtsgebieden met een hoog risico (Britse Maagdeneilanden, Kaaimaneilanden, Verenigde Arabische Emiraten, Cyprus, Hong Kong, Rusland, grensoverschrijdende structuren tussen China en Hong Kong), vraag uittreksels uit het handelsregister op tot op het niveau van natuurlijke personen
  • Screen periodiek opnieuw, niet alleen tijdens de onboarding — OFAC voegt elke week nieuwe SDN's toe

De vijf pijlers van OFAC: Hoe een complianceprogramma eruit moet zien

Treasury publiceerde haar Framework for OFAC Compliance Commitments om uiteen te zetten wat een "effectief" sanctie-complianceprogramma (SCP) inhoudt. Er zijn vijf componenten, en OFAC weegt elk van deze expliciet mee bij het berekenen van boetes.

1. Betrokkenheid van het management

De hogere leiding moet het programma goedkeuren en van middelen voorzien. Voor een klein bedrijf betekent dit dat de oprichter, CEO of CFO de schriftelijke polis ondertekent, een compliance-verantwoordelijke aanwijst en de effectiviteit van het programma ten minste jaarlijks beoordeelt. Een symbolische ondertekening is niet genoeg; OFAC verwacht bewijs dat leidinggevenden betrokken zijn.

2. Risicobeoordeling

Documenteer de specifieke OFAC-risico's waarmee uw bedrijf wordt geconfronteerd. Een SaaS-bedrijf dat wereldwijd verkoopt, heeft andere risico's dan een binnenlands vastgoedkantoor of een grensoverschrijdende betalingsverwerker. De beoordeling moet het volgende omvatten:

  • Klantenbestand — geografie, sectoren, patronen in uiteindelijk eigendom
  • Producten en diensten — alles wat grensoverschrijdend wordt gerouteerd of luidt in andere valuta dan USD
  • Distributiekanalen — direct, marktplaatsen, externe wederverkopers, gelieerde ondernemingen
  • Geografische voetafdruk — rechtsgebieden waar klanten, leveranciers, werknemers of tegenpartijen actief zijn
  • Partners en tussenpersonen — agenten, makelaars, betalingsverwerkers

Werk de beoordeling bij wanneer uw bedrijfsmodel verandert — een nieuwe markt, een nieuw betalingskanaal, een nieuw acquisitiekanaal.

3. Interne controles

Dit is waar het programma operationeel wordt. Interne controles omvatten:

  • Schriftelijke beleidsregels en procedures
  • Een gedocumenteerde screening-workflow (wanneer te screenen, welke lijsten, welke drempels, wie matches beoordeelt)
  • Duidelijke escalatiepaden wanneer een potentiële match naar boven komt
  • Verslaglegging — OFAC vereist vijf jaar aan transactie- en screeninggegevens voor geblokkeerde of geweigerde transacties
  • Een blokkeringsmechanisme — bankrekeningen die fondsen kunnen bevriezen, bestelsystemen die de uitvoering kunnen blokkeren
  • Rapportage-workflows voor het indienen van de verplichte rapporten (jaarlijkse rapportages van geblokkeerde eigendommen uiterlijk 30 september, eerste rapportages van geblokkeerde of geweigerde transacties binnen tien werkdagen)

4. Testen en auditen

Onafhankelijke tests verifiëren of het programma daadwerkelijk werkt. Voor een klein bedrijf kan dit een driemaandelijkse zelftest zijn (fictieve SDN-namen door uw screeningtool halen) plus een jaarlijkse externe beoordeling. Bevindingen moeten worden gedocumenteerd en hersteld.

5. Training

Alle werknemers wiens rol raakt aan sanctierisico's moeten worden getraind — verkoop, klant-onboarding, financiën, debiteuren/crediteuren (AR/AP), leveranciersbeheer en engineeringteams die de screeninglogica bouwen. OFAC verwacht ten minste jaarlijks een training, plus rol-specifieke training wanneer een nieuw programma wordt gelanceerd of een nieuw sanctieprogramma van kracht wordt.

Wanneer u een match vindt: De beslissing om te blokkeren of te weigeren

Het ontdekken van een schijnbare match tijdens het screenen zet een strakke reeks verplichtingen in gang.

Stap 1: Bevestig de match. False positives komen vaak voor — "John Smith" en "Vladimir Petrov" leveren beide veel resultaten op. Gebruik de geboortedatum, het adres, het paspoortnummer, de vestigingsplaats en alle andere identificerende gegevens die OFAC publiceert.

Stap 2: Beslis bij bevestiging of u blokkeert of weigert.

  • Blokkeren wanneer het doelwit op de SDN-lijst staat of voor 50%+ eigendom is van een SDN — u moet de eigendommen/fondsen bevriezen op een gescheiden rentedragende rekening en dit binnen tien werkdagen rapporteren
  • Weigeren wanneer de transactie verboden is maar er geen eigendom van een SDN bij betrokken is (bijvoorbeeld een transactie zonder vergunning met Iran waarbij nog geen geld is verzonden) — u weigert de verwerking en rapporteert dit binnen tien werkdagen

Stap 3: Dien de rapporten in. Eerste rapportages van geblokkeerde of geweigerde transacties gaan naar OFAC via het portaal OFAC Reporting and License Application Forms. Jaarlijkse rapportages van geblokkeerde eigendommen moeten elk jaar uiterlijk op 30 september worden ingediend. Het niet indienen is op zichzelf een afzonderlijke overtreding.

Stap 4: Vraag indien nodig een vergunning aan. Veel transacties die anders verboden zouden zijn, kunnen worden geautoriseerd onder een specifieke of algemene vergunning — humanitaire goederen, bepaalde persoonlijke overmakingen, landbouw- en medische export, journalistiek, internetcommunicatiediensten.

De beslissing over vrijwillige zelfmelding

Wanneer u ontdekt dat er al een overtreding heeft plaatsvonden — een betaling aan een gesanctioneerde tegenpartij is verwerkt voordat de screening dit opmerkte, een zending is naar een geblokkeerd rechtsgebied gegaan, een klant in eigendom van een SDN is per ongeluk geaccepteerd — staat u voor de meest ingrijpende beslissing in OFAC-compliance.

Melden of niet?

Wat een vrijwillige zelfmelding (VSD) u oplevert

Onder de Economic Sanctions Enforcement Guidelines van het OFAC (31 CFR Part 501, Bijlage A) levert een kwalificerende VSD het volgende op:

  • Verlaagt de berekening van de basisboete met 50 procent in zowel ernstige als niet-ernstige gevallen
  • In niet-ernstige gevallen wordt het basisbedrag gemaximeerd op de helft van de transactiewaarde, met een plafond van $188.850 per overtreding
  • Geldt als een belangrijke verzachtende factor bij de definitieve boetebepaling door het OFAC

In combinatie met andere verzachtende factoren — een sterk nalevingsprogramma, corrigerende maatregelen, medewerking — kan de uiteindelijke schikking een orde van grootte lager uitvallen dan het wettelijke maximum. De zaak rond Córdoba Music Group (wettelijk maximum $3,3 mln, schikking $41.591) is hiervan een illustratief voorbeeld.

Wat "vrijwillig" feitelijk betekent

Een melding is alleen "vrijwillig" als deze op eigen initiatief is gedaan en plaatsvindt voordat het OFAC of een andere federale, staats- of lokale instantie de schijnbare overtreding of een "substantieel gelijkaardige" overtreding ontdekt. Als de bank van een tegenpartij al een melding van ongebruikelijke transacties (SAR) heeft ingediend waarin uw transactie wordt genoemd, komt uw melding mogelijk niet in aanmerking. Als een concurrent of klokkenluider u al heeft aangegeven, telt het niet als vrijwillig.

Dit is de reden waarom snelheid cruciaal is. Vanaf het moment dat u een overtreding vermoedt, tikt de klok.

Het nieuwe VSD-portaal van 2026

In februari 2026 lanceerde het OFAC een online portaal voor vrijwillige zelfmelding op disclosure.ofac.treasury.gov. Dit vervangt de wirwar van e-mailinzendingen en faxen die decennialang de norm waren. Het portaal biedt een veiliger kanaal, gestructureerde velden en een ontvangstbevestiging — maar de inhoudelijke regels zijn niet veranderd:

  • Een initiële melding beschrijft in samenvattende vorm wat er is gebeurd
  • Een gedetailleerd vervolgrapport moet binnen 180 dagen worden ingediend en behandelt de bronoorzaak, reikwijdte, sanering en betrokken personeel

Bedrijven moeten nog steeds juridisch advies inwinnen vóór de eerste indiening. Het portaal verandert niets aan de juridische belangen; het verandert enkel de manier van indienen.

Boeteberekening: Waar u werkelijk aan blootstaat

Onder de IEEPA (het statuut dat de meeste moderne sanctieprogramma's reguleert) zijn de civielrechtelijke boetes per overtreding voor 2026:

  • Wettelijk maximum: $377.700 (jaarlijks aangepast voor inflatie)
  • Of tweemaal de transactiewaarde, afhankelijk van welke hoger is

Elke transactie kan als een afzonderlijke overtreding worden beschouwd. Eén enkele klant die in twee jaar tijd veertig bestellingen plaatst, vertegenwoordigt veertig overtredingen.

De boeteberekening van het OFAC verloopt via drie stappen:

  1. Basisbedrag — afhankelijk van of de zaak ernstig (egregious) is, of VSD is toegepast en de transactiewaarde (wettelijk schema)
  2. Aanpassingen — voor verzwarende factoren (opzet, bewustzijn, schade aan de doelstellingen van het sanctieprogramma, professionele partij, gebrek aan nalevingsprogramma) en verzachtende factoren (medewerking, corrigerende maatregelen, eerste overtreding, geringe omvang, financiële toestand)
  3. Definitief voorgestelde boete — uitgebracht in een Pre-Penalty Notice, waartegen de betrokkene bezwaar kan maken

Strafrechtelijke sancties komen daar nog bovenop bij opzettelijke overtredingen: tot $1 miljoen per overtreding en tot twintig jaar gevangenisstraf voor individuen.

Een praktische compliance-checklist voor kleine bedrijven

Gebruik dit als uitgangspunt. Het is geen vervanging voor juridisch advies, maar het dekt wat de instantie herhaaldelijk heeft benadrukt in gepubliceerde handhavingsbesluiten.

Basis

  • Schriftelijk beleid voor naleving van sancties, ondertekend door de directie
  • Benoemde compliance-verantwoordelijke (kan een oprichter of CFO zijn; laat de rol niet onbezet)
  • Gedocumenteerde risicobeoordeling, bijgewerkt wanneer het bedrijf wezenlijk verandert
  • Inventarisatie van alle gesanctioneerde rechtsgebieden en personen die relevant zijn voor uw bedrijf

Screening

  • Alle klanten, leveranciers, ontvangers en tegenpartijen gescreend bij onboarding
  • Dagelijkse of wekelijkse herscreening tegen bijgewerkte SDN/Consolidated/SSI-lijsten
  • Openbaarmaking van uiteindelijke belanghebbenden (UBO) vereist voor hoogrisico-tegenpartijen
  • Gedocumenteerde procedure voor het beoordelen van potentiële matches (valse positieven vs. echte positieven)
  • Geolocatie/IP-filtering voor bekende gebieden met een embargo op webplatforms

Transacties

  • Beslisboom voor blokkeren of weigeren, met duidelijke bevoegdheid om uitvoering te stoppen
  • Gescheiden rentedragende rekening gereed voor eventuele geblokkeerde fondsen
  • Workflow voor OFAC-licentieaanvragen voor transacties die hiervoor in aanmerking komen

Verslaglegging en rapportage

  • Bewaarplicht van vijf jaar voor screenings- en transactiegegevens
  • Initiële rapportages van geblokkeerde/geweigerde transacties ingediend binnen tien werkdagen
  • Jaarlijkse rapportages over geblokkeerde eigendommen ingediend vóór 30 september
  • Audit trail voor elke screening-hit en de afhandeling daarvan

Testen en training

  • Driemaandelijkse zelftests (testdata door de screeningstool halen)
  • Jaarlijkse onafhankelijke beoordeling (externe raadsman of compliance-consultant)
  • Jaarlijkse training voor alle relevante medewerkers, met gedocumenteerde aanwezigheid

Incidentrespons

  • Vooraf geïdentificeerde externe raadsman die bekend is met OFAC-zaken
  • Gedocumenteerd protocol voor VSD-besluitvorming — wie neemt de beslissing, welk bewijs is de aanleiding, wie stelt de melding op

Veelvoorkomende fouten die handhaving uitlokken

Patronen uit gepubliceerde OFAC-boetes bevatten bijna altijd een of meer van deze punten:

  1. "We controleren alleen de SDN-lijst." Het missen van de Consolidated, SSI, FSE of NS-MBS lijsten is een veelvoorkomende bevinding.
  2. Statische screening. Controles die alleen bij onboarding worden uitgevoerd, schieten tekort omdat SDN-lijsten wekelijks veranderen. Een klant die in januari goedgekeurd was, kan in juni worden aangewezen.
  3. Het negeren van uiteindelijk belanghebbenden (beneficial ownership). De naam van een tegenpartij lijkt in orde, terwijl de eigenaar die voor 60% bezit en twee lagen hoger zit, gesanctioneerd is.
  4. Lacunes in geofencing. Een webplatform blokkeert IP-adressen uit Iran maar staat VPN-verkeer ongehinderd toe; OFAC heeft dit aangehaald in fintech-zaken.
  5. Geen gedocumenteerde procedure voor mogelijke matches. Klantgerichte medewerkers die ad hoc beslissingen nemen zonder richtlijnen voor escalatie.
  6. Verzuim om vereiste rapportages in te dienen. Zelfs als de onderliggende transactie correct is geblokkeerd, is het missen van de tiendaagse rapportage of de jaarlijkse indiening op 30 september op zichzelf een overtreding.
  7. Onvoldoende training. Verkoopmedewerkers die diensten beloven aan gebieden met een embargo omdat ze nooit een OFAC-training hebben gehad.
  8. Trage openbaarmaking. Het achterhouden van een ontdekte overtreding terwijl een andere instantie deze onafhankelijk ontdekt — waardoor de VSD-status en de boetereductie van 50% verloren gaan.

Houd uw financiële administratie OFAC-klaar

Sanctienaleving staat of valt met documentatie. Elke geblokkeerde transactie, elke geweigerde betaling, elk screeningsbesluit, elke vergunningsaanvraag — OFAC kan hierom vragen tijdens een auditvenster van vijf jaar. Een boekhoudsysteem dat deze gegevens stilletjes verbergt achter een "black-box" grootboekinterface, zal uw reactie op een dagvaarding vertragen.

Beancount.io kiest voor de tegenovergestelde aanpak: plain-text accounting waarbij elke invoer een leesbare regel is, elke wijziging onder versiebeheer valt en elke rekening kan worden getagd voor het soort grensoverschrijdende activiteiten dat de aandacht van OFAC trekt. Wanneer uw auditor — of uw externe raadsman die een vrijwillige zelfonthulling voorbereidt — vraagt om de volledige betalingsgeschiedenis aan een specifieke tegenpartij, kunt u deze in enkele minuten aanleveren, in plaats van dagen. Ga gratis aan de slag en breng dezelfde transparantie in uw financiën die OFAC verwacht van uw compliance-programma.