Artikel

Alle advokatvirksomheder, der håndterer sager omfattet af hvidvaskloven, skal foretage en “konkret, sagsspecifik risikovurdering”. Det står klart i både lovgivningen og i Advokatrådets vejledning. Alligevel oplever Advokatsamfundet under tilsyn, at denne vurdering ofte er mangelfuld eller udført på et generisk niveau.

‍

Hvad siger vejledningen?

Ifølge Advokatrådets vejledning skal risikovurderingen:  

• Udarbejdes for hver sag omfattet af hvidvasklovens § 1, stk. 1, nr. 13  
• Være sagsspecifik og dokumenterbar 
• Baseres på **forretningsmodellen, altså klienttyper, produkter, leveringskanaler og geografisk relation  
• Udføres med fokus på den iboende risiko – altså risikoen før risikobegrænsende foranstaltninger

Det er ikke tilstrækkeligt, at man har en overordnet risikovurdering. Hver enkelt sag skal vurderes særskilt, og vurderingen skal dokumenteres.  

(Kilde: Advokaten nr. 1, 2024 – Risikovurdering efter hvidvasklovens § 7)

‍

Eksempel: Fast ejendom – lav risiko? Måske, men ikke nødvendigvis

‍

Et klassisk eksempel er rådgivning i forbindelse med køb af fast ejendom. Mange advokater ville opfatte denne sagskategori som lav risiko, fordi klienten typisk er en privatperson, og finansieringen sker via dansk realkredit.

‍

Men Advokatrådets vejledning peger på flere forhold, der kan påvirke risikobilledet:

• Er der udenlandske klienter involveret?  
• Indgår der andre aktiver i handlen?
• Hvor ofte handler klienten ejendomme?
• Hvornår er ejendommen erhvervet og hvordan?  
• Foregår rådgivningen uden fysisk kontakt?  
• Ejendommen istandsat under den klientens ejerskab

‍

Ovenstående er ikke udtømmende og en standardvurdering af “lav risiko” vil ikke være tilstrækkelig. Der skal foretages en konkret vurdering. Netop ejendomme kan være genstand for hvidvask, da mange ulovlige midler kan anvendes til at øge værdien af en ejendom, såsom anvendelse af sort arbejde til istandsættelser, løsøre med høj værdi osv.

‍

Hvad skal vurderingen dække?

Ved vurdering på sagsniveau skal vi tage stilling til bl.a.:  

1. Klienttypen

• Fysisk eller juridisk person  
• Geografisk tilhørsforhold  
• Persontype/historik 

2. Produktet eller tjenesten

• Hvilken type rådgivning ydes?  
• Er sagen kompleks eller usædvanlig?  
• Har advokaten fuldt overblik over transaktionen?

3. Leveringskanalen

• Foregår rådgivningen fysisk eller digitalt?  
• Er der anonymitet eller afstand mellem klient og advokat?

4. Geografisk tilknytning

• Er der elementer i sagen med forbindelse til højrisko-lande?  
• Bruges banker, selskaber eller fonde i lande med lav gennemsigtighed?

‍

Typiske udfordringer som vi ser i praksis

• Brugen af standardiserede skemaer, hvor alle sager ender i samme risikokategori  
• Mangel på dokumentation for, hvorfor en vurdering er foretaget  
• At kundekendskabsproceduren (KYC) forveksles med selve risikovurderingen  
• Manglende brug af eksterne kilder som nationale og EU’s risikovurderinger  

‍

Ofte, vil det være rigtig svært at begrunde sit “flueben” når sagen udtrækkes ifm. et tilsynsbesøg 4 år efter den er afsluttet. 

‍

Nogle gode råd til praksis

• Tænk i sagskategorier - udarbejd vejledende rammer for forskellige sagsområder, men justér for hver sag.
• Dokumentér jeres overvejelser - en risikovurdering er ikke blot et flueben – den skal kunne stå alene ved tilsyn.
• Hold jer opdateret på eksterne risikovurderinger - Brug fx Hvidvasksekretariatets og EU-Kommissionens vurderinger som pejlemærker.
• Involver hele teamet - Sikrer, at alle medarbejdere kender kravene og forstår forskellen mellem klientkendtskab og risikovurdering.

‍

Det bedste råd, vil nok være, at have fokus på de beskrivelser som bør indgå i selve risikovurderingen.   

‍

Refleksion: Har I styr på det?

• Er jeres vurderinger “konkrete og individuelle”, eller er de præget af standardisering?  
• Tager I højde for “den iboende risiko”, uden at lade jer påvirke af jeres interne procedurer?  
• Kan I dokumentere “hvordan og hvorfor” I har vurderet en sag som høj, mellem eller lav risiko?

‍

Hvad er en DPO?

Hvad er en DPO? Dette udtryk er en forkortelse af ordet, Data Protection Officer. Denne person eller virksomhed udfører opgaver, såsom datasikkerhedskontrol, i en virksomhed. Dette omfatter overholdelse af GDPR.

Offentlige myndigheder og organer skal have en databeskyttelsesansvarlig, der udfører disse opgaver. Denne databeskyttelsesansvarlige skal også rådgive den dataansvarlige for det specifikke organ. Det er en retlig forpligtelse for disse myndigheder og organer til at udpege en databeskyttelsesansvarlig, hvilket også kan være tilfældet for flere virksomheder.

Du kan læse meget mere om GDPR,, persondataloven, databeskyttelsesloven og forskellen mellem dem i vores artikler på denne side. Hvor og hvor længe kan en virksomhed opbevare personoplysninger? Hvem er omfattet af GDPR? Dette er spørgsmål, som en DPO, databeskyttelsesrådgiver kan hjælpe med at besvare.

En databeskyttelsesansvarlig fungerer ofte som kontaktperson mellem Databeskyttelsespolitikken og den dataansvarlige i virksomheden. Desuden skal en virksomheds DPO være uafhængig og ekstern og må ikke modtage instruktioner om valg af opgaver.

Hvordan arbejder Meo med datasikkerhed?

Hos Meo kan vi hjælpe dig med sikker overførsel af information til og fra kunder, samt et softwaresystem, der kan fungere som et administrationsværktøj til både: verifikation, kontrol og overvågning af nuværende og potentielle kunder, samt en skræddersyet risikovurdering.

Dette system, Meo Identity, hjælper dig og din DPO med at kontrollere og administrere data korrekt, og dette system og automatisering af datastyring sikrer din overholdelse af GDPR og undgår sanktioner i form af bøder eller lignende.

Vi er ISO 27001 certificeret, som GDPR og AML Compliant, hvilket betyder, at vi er internationalt godkendt og certificeret inden for informationssikkerhed og datahåndtering.

Administrer dine data sikkert med en DPO, databeskyttelsesrådgiver

Det er vigtigt at arbejde korrekt med data, da der kan være store sanktioner for overtrædelser af blandt andet GDPR, den generelle databeskyttelsesforordning. Med et automatiseret system kan du ikke kun frigøre ressourcer fra semi-manuelle processer, men du sikrer også kontrol og reducerer risikoen.

En databeskyttelsesrådgiver vil ved at rådgive om deres datasikkerhed undersøge håndteringen og hjælpe medarbejderne i omfanget af potentiel viden om datasikkerhed, GDPR og udveksling af data med kunder eller klienter mangler.

Denne rådgiver kan derfor også give vejledning eller anbefale nyttige applikationer eller it-systemer, der kan være relevante for opretholdelse af datasikkerhed.

Lad os hjælpe med at gøre din klientadministration gennemsigtig og sikker, så alle processer foregår under juridiske forhold.

Hvad er overholdelse - Få svar og tag en uforpligtende kontrol

Lad os hjælpe dig med at forstå „hvad er compliance“, og hvorfor regelmæssige compliance-kontroller er vigtige. Vi foretager uforpligtende undersøgelser og checks ups af dine KYC-processer, hvor vi giver et overblik over de bestræbelser og procedurer, du kan optimere, og hvordan.

Hos Meo behandler vi dine data og svar fortroligt og sikkert, så du kan modtage en compliance-kontrol med ro i sindet. Men lad os introducere Meo og vores identitet, samt sætte dig i billedet af, hvad compliance er.

Hvad menes med en compliance check up?

Når vi taler om en compliance check up, mener vi en undersøgelse af, om regler, lovgivning og retningslinjer overholdes i de respektive processer. Dette gælder for processer i forbindelse med kunder såvel som internt.

I samme proces bruges udtrykket KYC-overholdelse. KYC er primært en forkortelse af Kend din kunde, og dette udtryk dækker derfor at kende dine kunders lovgivning og retningslinjer, og hvad du skal være opmærksom på. Udtrykket bruges i økonomiske sammenhænge.

Disse koncepter og bestræbelser er skabt for at beskytte kunderne mod korruption, hvidvaskning af penge, svig og andre former for økonomisk misbrug.

Formålet med at gennemføre disse kontroller og få viden om, hvad der udgør overholdelse, er at undgå faldgruber, der i værste fald kan føre til sanktioner, hvis du overtræder love, retningslinjer eller andre regler.

Hvem er Meo?

Vi er en RegTech-virksomhed beliggende i Danmark, der arbejder på platforme til fordel for sikker håndtering af kundedata.

Hos Meo tilbyder vi komplette løsninger gennem software til automatisering af kundeverifikation, kontrol, overvågning samt risikovurderinger og onboarding-flows, så du kan spare ressourcer.

Vi hjælper dig med at spare tid på besværlige processer, der er afgørende for at undgå overtrædelser af lovgivning, regler eller retningslinjer. Ved at automatisere eller strømline processer og få en dyb forståelse af „hvad er compliance“, kan vi sikre, at hverdagen bliver lettere og mere håndterbar for både dig og dine kunder.

Så brug tid klogt på andre processer, og strømline din indsats, mens du sikrer, at din dataudveksling er sikker og fortrolig.

Hvad betyder due diligence?

Due diligence betyder kort sagt en grundig undersøgelse. Denne proces indebærer en omhyggelig gennemgang af forskellige elementer i forbindelse med udarbejdelse eller udarbejdelse af en kontrakt vedrørende ændring af ejerskabet af en virksomhed.

Det er i denne sammenhæng nødvendigt nøje at undersøge de aktiver, som virksomheden har, og generelt deres økonomiske status. Derfor undersøges følgende elementer ofte:

• Årsregnskab
• Management
• Markedsføring
• Skattestatus
• Kontrakter og intellektuelle rettigheder
  

Undersøgelsen varierer dog afhængigt af formålet med ejerskiftet og den specifikke branche. Hvilke oplysninger der er afgørende, kan variere afhængigt af formålet med undersøgelsen. Det kan være fordelagtigt at bruge professionelle værktøjer såsom relevante platforme til denne due diligence-proces.

Sådan fungerer det i praksis

Hvordan denne proces fungerer i praksis kan variere, men hvad der ofte gøres i praksis er at opdele deres aktiver og områder i grupper og faser, og derefter undersøge hvert område og fase trin for trin.

Først og fremmest kan en undersøgelse af virksomheden give indsigt i, om der er parametre, der generelt forhindrer aftalen og ejerskiftet i at blive gennemført. Denne indledende undersøgelse kan derfor også sætte en naturlig stopper for den kommende undersøgelse, due diligence, hvis nogle områder er utilstrækkelige.

Det næste trin i en due diligence-proces er at indsamle data om virksomheden. Disse data kan dække ovennævnte områder, som analyseres og fortolkes grundigt og med omhu.

Endelig udarbejdes der en rapport, der skitserer områder, hvor der kan være problemer. Dette gøres med henblik på yderligere afvikling af kontrakten eller eventuel opsigelse af forhandlingen.

Hvem er vi på Meo?

Hos Meo arbejder vi på at strømline KYC-procedurer og digitale datahåndteringssystemer, som inkluderer vores softwareløsning: Meo Identity. Vi har specialiseret os i at strømline processer med kunderne, samt sikre den bedst mulige håndtering af data.

Vi automatiserer verifikationer, kontrollerer og overvåger nuværende og fremtidige kunder samt udfører risikovurderinger.

Vi gør det muligt for din virksomhed at dele data internt og med kunder, hurtigt og effektivt, uden at bekymre sig om følsomme personoplysninger eller andre sikkerhedsforanstaltninger.

Ud over viden om due diligence kan du læse meget mere på vores side om områder som hvidvaskning af penge og AML, såvel som PEP lister og datasikkerhed. Vi hjælper virksomheder med en Overensstemmelseskontrol for at undersøge, hvor du kan optimere og har brug for opdateringer.

Dets formål, proces og nødvendighed

Stiller du spørgsmålstegn ved: hvad er en samtykkeerklæring? I denne artikel kan vi besvare spørgsmålene om, hvad det er, hvordan det udfyldes, og hvorfor det kan være nødvendigt. Dette er et skriftligt dokument, der oprettes, når du skal give samtykke eller tilladelse til en bestemt handling.

Mere specifikt bruges det i forbindelse med rejser med børn, fagligt samtykke i forbindelse med privat samarbejde, som er både inden for og uden for de juridiske rammer. Det kan derfor også være en skriftlig aftale om, hvordan en ekstern virksomhed håndterer datasikkerhed i en anden virksomhed osv.

Hvad indebærer en sådan erklæring?

En samtykkeerklæring er en skriftlig aftale, der dækker en lang række spørgsmål og situationer. Men generelt set er der altid en part, der giver tilladelse til en anden part til at udføre en bestemt handling.

Samtykkeformularen omfatter blandt andet:

• Identificerbare beskrivelser af alle parter
• Tidsfristen for samtykket
• Hvad er samtykket til - det pågældende objekt
• Hvordan samtykket i sig selv skal anvendes
• Sådan ser en mulig annullering eller tilbagekaldelse ud

Hvilke parter er involveret i dette dokument?

Når du udfylder en samtykkeerklæring, er der altid flere parter til stede. Dette involverer den „givende“ part og den modsatte part, som samtykket gives til. Beskrivelserne og oplysningerne i en sådan erklæring skal være henviselige, hvilket betyder, at de skal kunne identificere parterne.

Essensen af hele denne pagt og tilladelse er, at den givende part skal give samtykke frivilligt. Dette er uanset konteksten. Der er nogle punkter og områder, som også altid skal overholdes og udfyldes.

Forstå, hvad der er en samtykkeerklæring, og hvad punkterne er

Det kan være en fordel at have en skabelon til samtykkeerklæring, som en virksomhed eller en enkeltperson bruger i situationer, hvor samtykke er påkrævet.

• Beskrivelser af parterne bør indeholde alle parters fulde navne og kontaktoplysninger samt eventuelle socialsikrings- eller virksomhedsregistreringsnumre.
• Tidsperioden skal være klart defineret. Dette giver en indikation af, hvornår og hvor længe det kan bruges.
• Det, der samtykkes til, er det mest væsentlige, da det indebærer objektet. Det kan være de givne data, der bruges i samarbejdet, det anvendte certifikat, personen, virksomheden eller hvad dette måtte være.
• Hvordan samtykket og denne samtykkeerklæring skal anvendes, er flere steder et mere valgfrit punkt. Men hvis en virksomhed ønsker dette punkt inkluderet, kan formålet med loven beskrives.
• Hvordan man trækker samtykke tilbage kan være et fordelagtigt område at dække i tilfælde af, at parterne er uenige, eller regler brydes for den gældende samtykkeformular.

Reducer risici med digital datastyringsplatform

Hos Meo arbejder vi med datasikkerhed gennem en digital platform. Derfor kan vi ud over at kunne introducere dig til, hvad der er en samtykkeerklæring, også hjælpe med digital hjælp til at håndtere alt fra verifikation, overvågning, kontrol af kunder - aktuelle såvel som nye.

Vi automatiserer tidskrævende KYC-procedurer, hvilket skaber mere tid til dit arbejde og reducerer muligheden for fejl.

For lang, for personlig

Ifølge nylige research, 68% af forbrugerne opgav en ansøgning om en finansiel tjeneste i 2021. En stigning på 3% siden 2020 og en enorm forspildt forretningsmulighed. Ikke overraskende, de to nøgleårsager var den længere end forventet ansøgningsproces og mængden af personlige oplysninger, der blev anmodet om.

Dårlig UX i onboarding er stadig en stor smerte

Selvom en smule friktion er nødvendig i brancher, der leverer tjenester, hvor forbrugerne har personlig økonomi eller delikat information på spil, er for meget friktion skadelig for vellykket onboarding.‍

Meo samarbejder med e-Boks

Vores nye partnerskab med e-Boks resulterer i en mere sikker og problemfri brugeroplevelse end nogensinde set før inden for KYC.

En løsning, der imødekommer virksomhedernes voksende behov for adgang til data, der nu efterspørges gennem den mest betroede digitale postkasse, så kunderne kan dele data via en platform, som de er fortrolige med og komfortable med at bruge.

Frontrunners i KYC-området dedikerer ressourcer til at forbedre onboarding-flowet og gøre dem mere lig UX-ledere som Apple, Amazon osv., samtidig med at de tilføjer den helt rigtige mængde friktion for at skabe tillid.

Øget skepsis over for dataanmodninger

Forbrugerne kan være ustabile. Mens øget offentlig opmærksomhed på GDPR har øget forbrugernes forventninger til overholdelse af lovgivningen, ønsker de stadig at dele så lidt personlige oplysninger som muligt.

Forskning viser, at forbrugerne er blevet mere og mere skeptiske på grund af frygt for databrud. For at imødekomme den digitalt oplyste forbruger er faktorer som databeskyttelse, datagennemsigtighed og datakontrol således stærke generatorer af tillid til en virksomhed eller et brand.

Hvor skal man begynde?

Som angivet af ovenstående data er hastighed, UX, datamængde og tillid vigtige kamparenaer, når det kommer til at forbedre onboarding og vinde kunder. Mens regulering kan forbyde dig at reducere mængden af personlige oplysninger, du anmoder om, er der meget at gøre i, hvordan og hvor du beder om oplysninger. At indstille disse faktorer kan potentielt være en game changer for at sikre, at dine kunder gennemfører onboarding.

For at rette op på tillidsgapet og gøre onboarding og KYC enklere for forbrugerne samarbejder vi med e-Boks, Danmarks mest betroede digitale postkasse. Vores kunder kan nu levere dataanmodninger til en udbyder, som forbrugerne allerede kender, bruger og stoler på med deres data. Med konverteringsfrekvenser på op til 98% på dataanmodninger i e-Boks føles det både mere velkendt og mere sikkert at gennemføre onboarding.