Sms-archivering voor regelgevingscompliance: AFM, Wwft en AVG

In 2021 betaalde JP Morgan $200 miljoen aan boetes voor het niet archiveren van sms-berichten van medewerkers. Sindsdien hebben toezichthouders wereldwijd miljarden aan boetes opgelegd aan financiële instellingen voor hetzelfde probleem — medewerkers die persoonlijke telefoons en consumenten-berichtenapps gebruiken voor zakelijke communicatie zonder archivering.

De boodschap van de toezichthouders is duidelijk: als je medewerkers via sms over zaken communiceren op hun telefoon, moet je die berichten vastleggen en bewaren. De tijd van "wij wisten er niets van" is voorbij.

Maar hier zit het probleem: enterprise sms-archiveringsoplossingen ontworpen voor grote banken kosten tienduizenden euro's per jaar — prijzen die nergens op slaan voor een driekoppig financieel advieskantoor, een zelfstandig zorgverlener, of een startup die voor het eerst met compliance worstelt.

Deze gids beschrijft de specifieke sms-archiveringsverplichtingen voor AFM, Wwft en AVG, en laat zien hoe kleine teams een praktisch, goedkoop archiveringssysteem kunnen implementeren met tools die al op elke iPhone beschikbaar zijn.

De drie regelgevingskaders

AFM / DNB (financiële dienstverlening)

Op wie van toepassing: Beleggingsondernemingen, financieel adviseurs, vermogensbeheerders en iedereen die onder toezicht staat van de AFM of DNB.

De regel: De Wet op het financieel toezicht (Wft) en MiFID II-richtlijnen vereisen dat alle zakelijke communicatie — inclusief sms-berichten — wordt vastgelegd, gecontroleerd en bewaard.

Bewaartermijn:

• 5 jaar minimum voor MiFID II-relevante communicatie
• 7 jaar voor beleggingsadvies en orderuitvoering
• Moet worden opgeslagen in een niet-wijzigbaar formaat

Wat telt als "zakelijke communicatie": Elk bericht over effecten, cliëntrekeningen, transacties, aanbevelingen, marktomstandigheden of cliëntrelaties. Als een adviseur naar een cliënt sms't "Ik zou aanraden om over te stappen naar obligaties gezien de marktomstandigheden" — dat bericht moet worden gearchiveerd.

Het "off-channel" probleem: Recent handhavingsbeleid richt zich specifiek op "off-channel communicatie" — zakelijke berichten verzonden via persoonlijke telefoons, WhatsApp, Signal of standaard-sms die het officiële archiveringssysteem van de onderneming omzeilen. De boete is niet alleen voor het individu; het is voor de onderneming die faalde in het toezicht.

Wwft (Wet ter voorkoming van witwassen en financieren van terrorisme)

Op wie van toepassing: Banken, verzekeraars, belastingadviseurs, accountants, notarissen en advocaten.

De regel: De Wwft vereist bewaring van financiële documentatie, transactiegegevens en gerelateerde communicatie gedurende 5 jaar na het beëindigen van de zakelijke relatie. Opzettelijke vernietiging van dossiers is strafrechtelijk vervolgbaar.

Wat telt: Elk sms-bericht dat relevant kan zijn voor cliëntidentificatie, transactiemonitoring, ongebruikelijke transacties of bedrijfsintegriteit. Een accountant die de controller sms't over omzetverantwoording, een auditor die sms't over bevindingen — dit zijn Wwft-relevante communicaties.

AVG (Algemene Verordening Gegevensbescherming)

Op wie van toepassing: Elke organisatie die persoonsgegevens verwerkt van ingezetenen van de EU/EER.

De regel: De AVG verbiedt sms-berichten niet, maar vereist dat elke communicatie met persoonsgegevens voldoet aan strenge technische waarborgen:

• Versleuteling tijdens transport en opslag
• Auditlogs die bijhouden wie heeft verzonden, ontvangen en berichten heeft bekeken
• Toegangscontroles (authenticatie, autorisatie)
• Verwerkersovereenkomst met elke externe archiveringsleverancier

Bewaartermijn: De AVG vereist bewaring van beleidsstukken, procedures en auditlogs conform de doelbinding — niet langer dan noodzakelijk, maar veelal 5-7 jaar voor financiële gegevens.

De praktische realiteit: Standaard-sms is over het algemeen niet volledig AVG-conform omdat het onversleuteld is. Echter, het archiveren van sms naar een beveiligde, versleutelde e-mail (zoals een AVG-conforme e-maildienst) creëert een audittrail die je compliancepositie significant verbetert — vooral voor kleine praktijken waar enterprise-oplossingen niet haalbaar zijn.

De praktische compliance-hiaten

Enterprise-bedrijven hebben complianceafdelingen en zes-cijferige archiveringsbudgetten. Maar de meeste gereguleerde bedrijven zijn klein:

• Een tweepersoons financieel advieskantoor waar beide adviseurs cliënten sms'en vanaf persoonlijke iPhones
• Een zelfstandig huisarts die patiënten afspraakherinneringen sms't
• Een startup-CFO die het boekhoudteam sms't over kwartaalcijfers vanaf hun persoonlijke telefoon
• Een klein assurantiekantoor waar adviseurs cliënten sms'en over poliswijzigingen

Deze bedrijven vallen onder dezelfde regelgevingseisen als grote banken maar hebben een fractie van het budget. Het resultaat? Ze negeren de eisen (en hopen niet gecontroleerd te worden) of betalen voor enterprise-oplossingen die ze nauwelijks kunnen betalen.

Er is een middenweg.

Een praktisch sms-archief implementeren

Hoe het werkt

Het concept is simpel: stuur automatisch alle inkomende (en optioneel uitgaande) zakelijke sms door naar een speciaal, beveiligd e-mailadres dat dient als je compliance-archief.

Dit creëert:

• Een record met tijdstempel van elk bericht (e-mailbezorgingstijdstempels)
• Een doorzoekbare opslagplaats (e-mailzoekopdrachten vinden elk bericht direct)
• Een off-device backup (overleeft telefoonverlies, schade of upgrades)
• Een exporteerbaar formaat (e-mails kunnen worden afgedrukt, geëxporteerd naar PDF, of verstrekt aan auditors)

Stapsgewijze setup voor kleine teams

Stap 1: Maak een compliance-archief e-mail

Stel een speciaal e-mailadres in voor sms-archivering:

• [email protected]
• Voor AVG-gevoelige contexten: gebruik een AVG-conforme e-mailprovider (bijv. Google Workspace met een ondertekende verwerkersovereenkomst)

Toegangsregels:

• Alleen de compliance officer en geautoriseerd personeel mogen toegang hebben
• Schakel 2FA in en gebruik sterk wachtwoordbeleid
• Stel e-mailbewaarbeleid in dat overeenkomt met je regelgevingsvereiste (5/7 jaar)

Stap 2: Installeer SMS to Email Forwarder op elk zakelijk apparaat

Elke medewerker met een zakelijk gerelateerde telefoon installeert SMS to Email Forwarder uit de App Store.

Configuratie:

1. Voer het compliance-archief e-mailadres in
2. Voltooi de Shortcuts Automation-setup (~2 minuten per apparaat)
3. Configureer om alle berichten door te sturen (of filter op zakelijk gerelateerde contacten)
4. Sluit de app. Hij draait stil op de achtergrond.

Stap 3: Stel een schriftelijk beleid op

Maak een eenvoudig intern beleidsdocument dat omvat:

• Goedgekeurde communicatiekanalen — welke platforms medewerkers mogen gebruiken voor zakelijke berichten
• Archiveringsverplichtingen — alle zakelijke sms moet worden doorgestuurd naar de compliance-e-mail
• Verboden kanalen — geen zakelijke discussies op persoonlijke WhatsApp, Signal of andere niet-gearchiveerde platforms
• Medewerkerserkenning — elk teamlid ondertekent een bevestiging dat ze begrijpen en naleven

Dit beleid is je verdediging bij een audit: "We hebben een schriftelijk beleid, technische maatregelen geïmplementeerd, en medewerkerserkenning vereist."

Stap 4: Periodieke review en audit

• Maandelijks: Steekproefsgewijs de compliance-e-mail controleren om te verifiëren dat berichten worden doorgestuurd
• Per kwartaal: Reviewen op compliance-hiaten (nieuwe medewerkers, nieuwe telefoonnummers, beleidsschendingen)
• Jaarlijks: Beleid bijwerken en bevestigen dat bewaartermijnen worden nageleefd

Compliance-vergelijkingstabel

Wat deze oplossing wel (en niet) is

Wat het is:

• Een lichtgewicht, goedkope sms-archiveringslaag voor kleine teams
• Een betekenisvolle compliance-verbetering ten opzichte van "helemaal geen archivering"
• Een doorzoekbaar, van tijdstempels voorzien, off-device record dat auditors kunnen reviewen
• Een oplossing die werkt op elke iPhone zonder IT-infrastructuur

Wat het niet is:

• Een vervanging voor enterprise-grade complianceplatformen (voor ondernemingen met 50+ medewerkers, overweeg GlobalRelay, Smarsh of LeapXpert)
• Een garantie voor volledige regelgevingscompliance (compliance hangt af van je specifieke situatie, beleid en auditvereisten)
• WORM-conforme opslag (e-mailarchieven kunnen theoretisch worden gewijzigd — voor strikte WORM-vereisten, overweeg periodieke export naar conforme opslag)

Voor de meeste kleine gereguleerde bedrijven vertegenwoordigt de stap van nul sms-archivering naar e-mail-gebaseerde archivering een enorme verlaging van regelgevingsrisico — tegen vrijwel nul kosten.

De kosten van niet-naleving

Disclaimer: Wij zijn softwareontwikkelaars, geen juristen of compliance officers. Dit artikel biedt technische begeleiding voor sms-dossiervorming en mag niet worden opgevat als juridisch, regelgevend of compliance-advies. AFM-, Wwft- en AVG-vereisten zijn complex en variëren per organisatiegrootte, branche en jurisdictie. Raadpleeg altijd je complianceafdeling, juridisch adviseur of een gekwalificeerde toezichtadviseur over je specifieke archiveringsverplichtingen.

Het beste moment om te beginnen met archiveren was toen de regelgeving van kracht werd. Het op één na beste moment is nu.

Download SMS to Email Forwarder — uitrollen over je team in minuten.