Artikel

En forretningsforpligtelse

Virksomheder, der behandler personoplysninger og oplysninger, er forpligtet til at beskytte disse data. Datasikkerhed er en grundlæggende forudsætning, hvis du arbejder inden for finansielle tjenester eller sektor - men det er også en nødvendighed, hvis du håndterer eller behandler nogen form for data.

I denne artikel forklarer vi:

• Hvad er databeskyttelse?
• Teknisk databeskyttelse
• Organisatorisk databeskyttelse
• Sådan håndteres brud på databeskyttelse

Med Meo kan du forenkle processen med at beskytte dine kunders personlige data — fra første kontakt til slutningen af dit forretningsforhold. Vores løsning sikrer, at du overholder GDPR og love og regler om bekæmpelse af hvidvaskning af penge (AML) i hele EU.

Læs mere om platformen

Hvad er databeskyttelse?

Databeskyttelse er en samlet betegnelse for alle sikkerhedsforanstaltninger og sikkerhedsforanstaltninger, der beskytter dine egne - og dine kunders - data.

Alle virksomheder i EU er i henhold til GDPR (General Data Protection Regulation) forpligtet til at beskytte deres kunders, medarbejderes og andre partneres data — herunder deres personoplysninger. Dette gælder både interne (personer i organisationen) og eksterne (for eksempel hackere) parter.

Det er op til virksomheden selv at implementere tilstrækkelige sikkerhedsforanstaltninger, der beskytter data. Disse sikkerhedsforanstaltninger kategoriseres normalt som enten:

• Tekniske sikkerhedsforanstaltninger eller forholdsregler
• Organisatoriske sikkerhedsforanstaltninger eller forholdsregler

Den passende grad eller omfang af sådanne foranstaltninger for din virksomhed er op til dig. Dette kræver blandt andet, at du laver en Konsekvensanalyse vedrørende databeskyttelse (DPIA) og en konsekvensanalyse af din databeskyttelse. Du kan finde en skabelon til en konsekvensanalyse vedrørende databeskyttelse (DPIA) på GDPR.EU.

Desuden er det vigtigt, at du kan dokument at du har installeret eller implementeret de nødvendige foranstaltninger, og at du efterfølgende og regelmæssigt vurderer, om de er tilstrækkelige til at beskytte de personlige oplysninger, du behandler.

Der findes en række internationalt anerkendte standarder for databeskyttelse, såsom:

• ISO 29151
• ISO 29134
• ISO 27001

De kan læses fuldt ud på Den Internationale Standardiseringsorganisations hjemmeside.

Som dataansvarlig og som databehandler Det er vigtigt, at selvom du følger standarderne og retningslinjerne, er dette ikke synonymt med overholdelse af GDPR. Derfor er det vigtigt, at du har en systematisk, professionel og struktureret tilgang til jobbet. Hvis du behandler følsomme personoplysninger („særlig kategori af personoplysninger“), kan det være nødvendigt at tilføje eller udvide med efterfølgende beskyttelsesforanstaltninger.

Supplerende læsning: DPO - hvad er en databeskyttelsesrådgiver og datasikkerhed?

‍

Teknisk databeskyttelse

Teknisk databeskyttelse og sikkerhedsforanstaltninger er alle former for sikkerhedsforanstaltninger, der er afhængige af digitale værktøjer og it-infrastruktur. Det findes overvejende på computere og servere.

Dette kan for eksempel være:

• Firewalls
• Adgangskoder
• 2-faktor godkendelse
• Kryptering
• Logning af datahåndtering
• Forskellige administrative roller
• Lagring af data i niveauer (så et brud ikke giver adgang til alle data)
• Anti-virus
• Sikkerhedskopiering

Organisatorisk databeskyttelse

Organisatorisk databeskyttelse og sikkerhedsforanstaltninger er den type databeskyttelse, der involverer mennesker og processer. Data sikres ved at uddanne medarbejdere og følge retningslinjer, der forbyder uplanlagte fejl eller forsætlige brud på personoplysninger.

Dette udtryk gælder for:

• Procedurer for databehandling
• Klar fordeling af roller og adgang
• Sikkerhedskurser
• Uddannelse af medarbejdere
• Risiko- og konsekvensvurderinger
• Handlingsplaner for brud på personoplysninger

Sådan håndteres brud på databeskyttelse

Ingen databeskyttelse er fejlsikker og idiotsikker.

Dette anerkendes også af selve GDPR og af de fleste af de tilsynsmyndigheder, der er ansvarlige for at håndhæve den i EU.

For at minimere skaden ved et brud er det vigtigt, at du har en klar handlingsplan for, hvornår du måske har mistanke om, at der er sket et brud på din sikkerhed. Dette omfatter, men er ikke begrænset til, en klar ansvarsfordeling mellem dataansvarlig og databehandler, hvordan du rapporterer potentielle overtrædelser til kunder, og klare retningslinjer for, hvordan du rapporterer overtrædelser til de relevante tilsynsmyndigheder.

‍

Læs også: Hvad er Hvidvask og Hvidvaskloven? og Hvad er en PEP - Politisk Eksponeret Person?

‍

Med Meo får du AML- og GDPR-kompatibel databeskyttelse

Med Meo får du en softwareplatform, der beskytter dine kunders data og sikrer, at du overholder love og regler om bekæmpelse af hvidvaskning af penge (AML).

Desuden hjælper platformen dig med at bekræfte dine kunders identitet, så du overholder KYC, Due Diligence og CDD. Få mere information om vores sikkerhed ved at læse vores Hvidbog om sikkerhed.

Databehandling og overholdelse

GDPR (Generel databeskyttelsesforordning) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.

I denne artikel dykker vi dybt ned i databehandling og forklarer:

• Hvad er databehandling, og hvad betragtes som følsomme data?
• Hvilke krav stiller GDPR til din databehandling?
• Hvordan behandler du personoplysninger korrekt?
• Hvad er der i en databehandleraftale?
• Hvad er forskellen mellem en databehandler og en databehandler?

Hvad er databehandling, og hvad er følsomme data?

Databehandling er enhver aktivitet, hvor personoplysninger indsamles, registreres, lagres, analyseres, overføres, slettes, sælges osv. Begrebet defineres så bredt, at enhver kontakt med personlige oplysninger grundlæggende betragtes som databehandling.

Data defineres i dette tilfælde som formaliseret information, der typisk håndteres af en maskine eller en computer.

De fleste virksomheder og organisationer vil, i en eller anden form, håndtere eller behandle en eller anden type data, oftest Personlige data. GDPR definerer personoplysninger som: „enhver information vedrørende en identificeret eller identificerbar fysisk person („registreret“); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

Personoplysninger er typisk opdelt i to kategorier. Nogle lande har også en tredje kategori, mens andre anser kategorien „Fortrolige personoplysninger“ for at være af samme kategori som følsomme data.

• Generelle eller almindelige personoplysninger: navne, e-mail-adresser, bopæl, ansættelsessted og andre faktuelle oplysninger, der er offentligt tilgængelige.
• Følsomme personoplysninger (“ Særlig kategori af personoplysninger „): Sundhedsjournaler, oplysninger om forsøgspersonens etnicitet, religion eller seksuelle identitet. Disse data er mere personlige og bør derfor håndteres med større omhu.
• Fortrolige personoplysninger: CPR-numre, strafferegistre og andre klassificerede oplysninger, der skal reguleres særskilt.

Hvilke krav stiller GDPR til din databehandling?

Ifølge GDPR Alle personoplysninger skal håndteres og behandles særligt og følsomt. Jo mere personlige eller private oplysningerne er, jo flere regler og forskrifter skal du overholde under behandlingen af dataene.

Hvis du vil vide mere om, hvordan du skal beskytte dine kunders personlige data, kan du læse vores artikel om datasikkerhed.

Her er et konkret eksempel på, hvad GDPR kræver af dig, når du behandler data: En virksomhed skal kontrollere, om et givet navn rent faktisk tilhører klienten. Dette er et krav under KYC som defineret i Direktivet om bekæmpelse af hvidvask af penge. Her skal du bruge autoritative datakilder, der bekræfter troværdigheden af oplysningerne. Du kan for eksempel gøre dette ved at se en kopi af deres pas eller kørekort. Du skal derefter dokumentere, at du har bekræftet deres identitet. Al denne databehandling skal ske i overensstemmelse med GDPR.

Læs også: Hvad KYC - Know Your Customer?

Er der forskel på datahåndtering og databehandling?

Datahåndtering og databehandling bruges ofte om hverandre.

Man kan dog sige, at databehandling er den overordnede betegnelse for både datahåndtering og dataudnyttelse.

Datahåndtering kan ses som en næsten passiv eller ikke-transformativ behandling af data, hvorimod du med dataudnyttelse gør noget med disse data, såsom at analysere, slette eller ændre dem.

Supplerende læsning: Databeskyttelse: Sådan beskytter du dine kunders personlige data

Hvordan behandler du personoplysninger korrekt?

For at kunne behandle personoplysninger korrekt har du brug for:

• Den lovlig ret og en legitimt formål
• Samtykke fra den person, hvis personoplysninger du behandler
• EN databehandleraftale

EN lovlig ret og en legitimt formål er forudsætninger, når du behandler personoplysninger. Dine rettigheder er begrænset af, om du behandler generelle eller følsomme personoplysninger.

Du har brug for samtykke fra personen hvis personoplysninger du behandler. Dette skal opfylde en række krav: det skal være frivilligt, begrænset eller specifikt, informeret og utvetydigt. Desuden skal du dokumentere og bekræfte, at du har indhentet samtykket korrekt.

Der er undtagelser for, hvornår en virksomhed kan få samtykke. Dette kan være, hvis det for eksempel er nødvendigt af omhu og due diligence over for personen, eller hvis der er en legitim grund til databehandleren, der ikke afløses af subjektets egne interesser.

Du kan læse mere om samtykke på GDPR.eu.

For det tredje har virksomhederne brug for en databehandleraftale. Dette er en kontrakt, der indeholder instruktioner til databehandleren om, hvordan oplysningerne skal behandles. Denne aftale er mellem datahåndtering og databehandler.

Hvad er der i en databehandleraftale?

En databehandleraftale skal give databehandleren klare instruktioner om, hvordan oplysningerne skal håndteres og behandles. Det er et juridisk bindende dokument, der skal være skriftligt og opbevares elektronisk.

Formålet med aftalen er at sikre, at personoplysningerne behandles og behandles ansvarligt og sikkert. Det er også vigtigt, at den indeholder krav til, hvordan og hvornår man skal kontakte dataadministratoren, hvis der er mistanke om sikkerhedsbrud eller misbrug. Hvis din virksomhed er databehandler, er det dit ansvar for at informere dataadministratoren om mistanke om misbrug eller brud på datasikkerheden.

Som en del af instruktionerne skal databehandleren også være forpligtet til at udføre årlige eller efter aftale revisioner for at dokumentere, at de følger instruktionerne og gældende lovgivning. Dette kan ske gennem en revisionsrapport, der skal certificeres af en ekstern revisor.

Du kan finde en skabelon til en databehandleraftale på GDPR.eu.

Hvad er forskellen mellem en datahåndtereren og en databehandler?

Datahåndtereren og databehandleren er ikke den samme person.

Datahåndtereren er den part, der bestemmer, hvilke data der skal behandles, til hvilket formål og ved hjælp af hvilke værktøjer. Datahåndtereren definerer grundreglerne for, hvordan dataene skal behandles.

På den anden side er databehandleren den part, der udfører selve behandlingen på vegne af databehandleren.

Det er vigtigt at adskille de to, fordi de har forskellige krav. Den ene part, databehandleren, sikrer, at databehandlingen er i overensstemmelse med GDPR, mens den anden part, databehandleren, påtager sig ansvaret for at handle i overensstemmelse med de givne instruktioner.

Læs også: DPO - Hvad er en dataskyttelsesrådgiver og datasikkerhed?

Nemmere databehandling med Meo

Med Meo kan du nemt finde de oplysninger, du har brug for om dine kunder ved hjælp af en simpel søgning. Og personoplysninger slettes eller arkiveres korrekt, når en forretningsrelation slutter.

Platformen sørger for, at du overholder GDPR og gør det nemt at håndtere data for:

Onboarding

Ombord dine kunder ved hjælp af sikre kanaler.

Validering

Bestem dine krav til validering af oplysninger.

Dokumentation

Fuld log og sporing af handlinger og adgang.

‍

Læs også: Hvad er Compliance?

Customer Due Diligence (CDD) er ofte brugt som en reference til en central aktivitet under de internationale regler mod hvidvask og terrorfinansiering. Kort sagt handler det om at kende sine kunder godt nok til at kunne vurdere, om der er risiko for, at de misbruger din virksomhed til økonomisk kriminalitet.

CDD betyder, at virksomheden systematisk indsamler og verificerer informationer om kunder, så man kan dokumentere, hvem de er, og evt. hvor deres midler kommer fra. Det er et lovkrav i henhold til hvidvaskloven og er baseret på internationale standarder fra FATF (Financial Action Task Force) – særligt Recommendation 10, der specifikt adresserer krav om CDD.

KYC vs. CDD – hvad er forskellen?

Hvis man tidligere har stiftet bekendtskab med begrebet Know Your Customer (KYC) kan der nemt opstå en mindre forvirring. KYC og Customer Due Diligence (CDD) bruges nemlig ofte i flæng – og ofte i relation til de samme aktiviteter. 

I praksis beskriver mange KYC som den indledende identitetskontrol (hvem er kunden?) og omtaler CDD som den bredere proces, der også omfatter risikovurdering og løbende overvågning. Tidligere brugte man primært betegnelsen KYC. Over tid er reguleringen blevet udvidet til mere omfattende CDD-programmer.

Ifølge FATF er CDD selve kernen i KYC-kravene. CDD beskrives som et sæt af due diligence-tiltag: indsamling, verificering, risikovurdering og overvågning. Der findes ikke én entydig skelnen. Nogle jurisdiktioner ser KYC som en del af CDD, andre omvendt. Men reguleringsmæssigt handler det om det samme: at identificere kunder, vurdere risici og overvåge dem løbende.

Læs også: Hvad er Due Diligence?

Hvorfor er Customer Due Diligence vigtigt?

Formålet med CDD kan opsummeres i to hovedpunkter:

1. Forebygge økonomisk kriminalitet – CDD hjælper med at afsløre mistænkelige aktiviteter, før de udvikler sig til problemer.
2. Overholde lovkrav – Virksomheder, der ikke lever op til reglerne, risikerer bøder, tab af licens eller alvorlige omdømmeskader.
   

I sidste ende er CDD både et compliance krav og en måde at sikre tillid hos kunder og samarbejdspartnere.

Hvad skal undersøges i CDD-processen?

En CDD-proces indebærer typisk, at virksomheden dokumenterer og vurderer:

• Kundens identitet (navn, adresse, CPR-/CVR-nr).
• Reelle ejere (hvem står bag virksomheden eller organisationen?)
• Formålet med kundeforholdet (hvorfor ønsker kunden relationen?)
• Forventede transaktioner (omfang, type, hyppighed).
• Risikoprofil (lav, middel eller høj risiko).

Hvornår skal CDD udføres?

CDD er påkrævet i følgende situationer:

• Ved onboarding af nye kunder.
• Ved større enkeltstående transaktioner.
• Når der sker ændringer i ejerstruktur eller kundens adfærd.
• Hvis der opstår mistanke om hvidvask eller terrorfinansiering.

Det er altså ikke en engangsopgave – men en løbende proces, hvor kundedata skal opdateres jævnligt.

Udvidet due diligence eller enhanced due Diligence (EDD) for højrisiko kunder

Hvis en kunde vurderes som højrisiko, skal virksomheden udføre Enhanced Due Diligence (EDD), som indebærer:

• Indhentning af yderligere dokumentation.
• Screening mod PEP-lister (politisk eksponerede personer).
• Løbende transaktionsovervågning i realtid.
• Dokumentation for midlernes oprindelse.
  

Customer Due Diligence og hvidvask

CDD er et af de vigtigste redskaber i bekæmpelsen af hvidvask og terrorfinansiering. Processen sikrer, at virksomheder kan:

• Identificere og rapportere mistænkelige aktiviteter.
• Dokumentere, at kundens midler har lovlig oprindelse.
• Overholde FATF’s internationale standarder og den danske hvidvasklovgivning.
  

Konsekvenser ved manglende CDD

Hvis virksomheder undlader at udføre korrekt CDD, kan konsekvenserne være:

• Store bøder og sanktioner.
• Tab af licens eller retten til at drive forretning.
• Omdømmeskade blandt kunder og samarbejdspartnere.
• Risiko for at blive misbrugt til kriminalitet.

Hvad er en PEP (politisk eksponeret person) og PEP-listen?

I compliance-arbejdet er PEP-begrebet centralt. Banker, advokater, revisorer og andre forpligtede virksomheder skal kunne identificere politisk eksponerede personer (PEP'er) og håndtere de skærpede krav, der følger med.

I denne artikel får du en oversigt over, hvad en PEP er, hvordan PEP-listen fungerer, hvem der omfattes – og hvordan klassificering og håndtering foregår i praksis. Du får også indblik i de væsentlige ændringer, der kommer i 2027, hvor EU's nye AML-forordning erstatter de nuværende direktiver og udvider PEP-definitionerne.

Definition af en politisk eksponeret person

En PEP er en person, der har – eller har haft – et fremtrædende offentligt tillidshverv. Det kan være ministre, medlemmer af parlamenter, dommere i højesteret eller direktører i statslige styrelser.

Baggrunden er international: FATF (Financial Action Task Force) fastlægger standarder for identifikation og overvågning af politisk eksponerede personer. Alle medlemslande – herunder samtlige EU-lande – er forpligtet til at implementere disse standarder i deres nationale lovgivning.

Læs også: Hvad er Hvidvask og Hvidvaskloven?

Strukturel ændring fra 2027

Fra 10. juli 2027 ændres denne model fundamentalt, da EU's AML-forordning gælder direkte i alle medlemslande uden behov for national implementering. Samtidig får den nye EU-myndighed AMLA ansvar for at udarbejde detaljerede retningslinjer på området.

I EU er kravene indtil 2027 indarbejdet gennem hvidvaskdirektiverne (bl.a. 4. AMLD), som præciserer, at reglerne skal omfatte både udenlandske og indenlandske PEP'er. Fra 2027 erstattes disse direktiver af EU's AML-forordning, som gælder direkte og udvider PEP-definitionerne yderligere.

Hensigten er at forebygge, at magtfulde personer kan misbruge deres position til korruption eller hvidvask – ikke at stemple PEP'er som mistænkelige i sig selv.

PEP-listen – hvordan fungerer den?

For at lette arbejdet med identifikation findes der officielle lister.

I Danmark: Finanstilsynet offentliggør en PEP-liste, der løbende opdateres. Listen omfatter navne og fødselsdatoer på de personer, der er omfattet. Listen inkluderer kun selve PEP'erne - ikke nærtstående eller nære samarbejdspartnere, som virksomhederne selv skal identificere.

Internationalt: Der findes ingen global navneliste, men de fleste lande har tilsvarende registre. Derudover benytter mange virksomheder private databaser, som samler og vedligeholder PEP-data på tværs af landegrænser.

Eksempler på private PEP-databaser

• ComplyAdvantage: Global compliance-database med PEP-data og sanktionslister.
• Moody's Analytics (KYC): Omfattende KYC-løsning med PEP-identifikation.
• Experian: Tilbyder PEP-screening som del af deres compliance-produkter.
• Regula: Specialiseret i identitetsverifikation og PEP-kontrol.‍
• OpenSanctions: Open source-database med PEP-data og sanktionslister.‍
  ‍

Hvem anses som en PEP?

I Danmark anses blandt andet følgende som PEP'er:

• Statsministre, ministre og departementschefer.
• Medlemmer af Folketinget og Europa-Parlamentet.
• Dommere i Højesteret og andre højtstående domstole.
• Direktioner i statslige styrelser og bestyrelsesmedlemmer med beslutningskompetence.

Ændringer fra 2027

Med EU's AML-forordning udvides PEP-definitionen til også at omfatte ledere af regionale og lokale myndigheder. Derudover omfattes:

• Nærtstående: Ægtefælle/partner, børn og deres ægtefæller/partnere, forældre samt søskende til en PEP (søskende inkluderes fra 2027)
• ‍Nære samarbejdspartnere: Personer med fælles reelt ejerskab med en PEP, andre nære forretningsforbindelser, eller eneste reelle ejere af selskaber oprettet til PEP'ens fordel

PEP-klassificering – hvad betyder det?

Når en kunde identificeres som PEP, udløses en PEP-klassificering. Det indebærer, at virksomheden skal anvende skærpede kundekendskabsprocedurer (enhanced due diligence).

Det kan omfatte:

• Fastlæggelse og dokumentation af oprindelsen af midler og formue.
• Godkendelse af forretningsforbindelsen på ledelsesniveau.
• Skærpet overvågning af transaktioner og kundeforholdet.

For compliance-funktioner betyder det ofte ekstra dokumentationskrav og tættere løbende monitorering.

Supplerende læsning: Hvad er compliance?

Hvad betyder det i praksis at være PEP?

For den enkelte person betyder PEP-klassificering ikke, at der er en mistanke om kriminalitet. Det er et spørgsmål om risikohåndtering.

I praksis kan en PEP opleve:

• At banken eller rådgiveren beder om yderligere dokumentation ved etablering af kundeforhold.
• At transaktioner monitoreres løbende med skærpet opmærksomhed.
• At nærtstående og samarbejdspartnere også bliver underlagt PEP-kontrol.

Konklusion

For compliance-ansvarlige er kendskab til PEP-reglerne helt centralt. Identifikation, klassificering og korrekt håndtering af PEP'er er en væsentlig del af hvidvasklovens krav og et område, der ofte kontrolleres af myndighederne. Fra 2027 sker der en fundamental ændring, hvor EU's AML-forordning erstatter de nuværende direktiver og gælder direkte uden national implementering. Dette kræver forberedelse på udvidede PEP-definitioner og nye EU-retningslinjer.

En korrekt og dokumenteret proces giver både overholdelse af reglerne og en bedre risikostyring.

Know Your Customer (KYC) eller på dansk "Kend din kunde" er et grundlæggende compliance begreb, der typisk bruges af virksomheder, der er underlagt hvidvaskloven.

Formålet med KYC er at sikre, at en virksomhed kender til den modpart, som virksomheden ønsker at indgå et forretningsforhold med. En modpart kan være en kunde, en virksomhed, en klient, en investor eller andet. I forbindelse med KYC anvendes også begrebet Beneficial Owner (BO) eller på dansk “Reelle ejere"), da det er det ikke alene er selve modparten man skal kende - men den eller de personer, der har det ultimative ejerskab eller kontrol over de midler, der skal indgå i forretningsforholdet. På den måde kan man undersøge, hvor og hvem der står bag en transaktion og på den måde undgå at indgå i forretningsforbindelser med kriminelle, hvidvaskere eller blive en del af terrorfinansiering.

Denne artikel gennemgår følgende områder:

• Hvad er KYC?
  
  • Identifikation og verifikation 
  • Reelle ejere
  • Forretningsforbindelsens formål
  • Risikovurdering
  • Løbende overvågning
  • Skærpede procedurer 
• Hvem er forpligtet til at udføre KYC?
• Hvordan fungerer KYC?
• Hvornår skal der laves KYC?
• Hvorfor er det vigtigt?
• Konsekvenserne ved ikke at følge reglerne?
• Hvordan MEO kan hjælpe med det?

‍

Hvad er KYC?

KYC (Know Your Customer) omfatter en længere liste over områder som virksomheder skal tage stilling til. Ofte er det denne indledende del som skaber forvirring både internt i virksomheder og i den eksterne kommunikation hvis ikke vi formår at forstå, at det ikke kun drejer sig om at kende til identiteten på en person - men også om at forstå hvilken risiko der er forbundet med selve forretnings formålet. 

Eksemplevis: 

Hvis en virksomhed ønsker at bistå en kunde med at sælge en fast ejendom - kan risikoen ved transaktionen være forskellig selvom det er den samme person der er involveret som den reelle ejer. 

• Sælger “Den reelle ejer” er en person, som vi kan identificere og verificere via MitID. Ejendommen er en alm. villa i Danmark, og salgsprisen er 2,5 mio. Køber er også kendt via MitID

Som udgangspunkt ville vurderingen, om der var hvidvask eller anden kriminalitet involveret på ovenstående transaktion, være lav, da vi kender personerne og de er verificeret via MitID.   

Hvis vi i samme transaktion tilføjer nogle få informationer, kunne risikoen nemt ændre sig.  

• Sælger “Den reelle ejer” er en person, som vi kan identificere og verificere via MitID. Ejendommen er en alm. villa i Danmark, og salgsprisen er 2,5 mio. Køber er også kendt via MitID
• Sælger har haft ejerskab af ejendommen i 3 måneder og erhvervede den til 1.8 mio. kr. 
• Sælger og køber har selv fundet hinanden og ejendommen har ikke været udbudt via ejendomsmægler   

Nu ville vurderingen, om der var hvidvask eller anden kriminalitet involveret på ovenstående transaktion, være meget høj, selvom vi kender personerne og de er verificeret via MitID. Men nu er der stor risiko for, at der i denne transaktion overføres en væsentlig værdi mellem de 2 personer, der efterfølgende vil være “hvide penge” og dermed vil virksomheden der bistå med transaktionen være involveret i hvidvask. 

Så KYC omfatter altså flere elementer - lad os gennemgå dem nedenfor.
‍

Identifikation og verifikation 

Denne del handler om at indsamle en række oplysninger og efterfølgende verificere oplysningerne via en anden kilde. Det skal være en dokumenteret proces, hvor virksomheder skal forsøge at indhente tilstrækkelig information til at få bekræftet identificerede identiteter på den de arbejder sammen med. Den mest åbenlyse proces kunne være følgende eksempel: 

En person ønsker at sælge sit hus og opgiver sit navn og adresse på huset. Det er nu muligt, at efterprøve hvorvidt det pågældende navn der står som ejer af huset via tinglysning.dk og det er muligt at gennemføre en MitID-verifikation på den pågældende person.   
‍

Læs også: Hvad er en PEP - politisk eksponeret person?

Hvordan kan MEO hjælpe dig med identifikation og verifikation ?

MEO gør det muligt at få et godt overblik over identifikationen af reelle ejere ved at hente virksomheders ejerstrukturer gennem integration med CVR-registeret, internationale datakilder og andre relevante datakilder. Systemet giver dig mulighed for at kortlægge komplekse ejerkæder og identificere de fysiske personer, der har den ultimative kontrol - også på tværs af internationale strukturer. En helt unik funktion er, at man kan anvende mange forskellige datakilder og dokumentere, hvilke datakilder der indikerer hvad.

Platformen gør det nemt at dokumentere 25%-grænsen og andre kontrolmekanismer som særlige rettigheder eller bestyrelsesposter. MEO gemmer og genbruger oplysninger om reelle ejere på tværs af forskellige kundeforhold, hvilket sparer betydelig tid ved gentagne transaktioner med de samme virksomheder.

Systemet advarer automatisk, hvis der opdages ændringer i ejerstrukturen via de datakilder der tillader det, og sikrer at dokumentationen altid er opdateret og klar til tilsynsformål.
‍

Reelle ejere

Ved reelle ejere, skal den eller de personer som har afgørende indflydelse på transaktionen identificeres. Denne del er i praksis meget svær at håndtere - selvom det umiddelbart virker meget enkelt og ligetil. Når vi skal vurdere, hvem der har en afgørende indflydelse, er der flere muligheder der gør sig gældende. Når modparten er en virksomhed, vil de fleste kunne forstå, at det naturligvis må være den eller de personer der ejer virksomheden, som bestemmer eller har en afgørende indflydelse. I de fleste tilfælde er dette afgjort ud fra en %-vis andel af ejerskabet - typisk 25% eller mere kategoriseres som en afgørende andel ift. bestemmende indflydelse. Men der kan være mange andre faktorer der gør sig gældende - alt fra individuelle kontrakter/aftaler til bestemmelser i selskabets vedtægter. Så her er en større opgave ift. at få indhentet oplysninger der kan bekræfte de antagelser som man gør sig.         
‍

Hvordan kan MEO hjælpe dig?

MEO gør det muligt at få et godt overblik over identifikationen af reelle ejere ved at hente virksomheders ejerstrukturer gennem integration med CVR-registeret, internationale datakilder og andre relevante datakilder. Systemet giver dig mulighed for at kortlægge komplekse ejerkæder og identificere de fysiske personer, der har den ultimative kontrol - også på tværs af internationale strukturer. En helt unik funktion er, at man kan anvende mange forskellige datakilder og dokumentere, hvilke datakilder der indikerer hvad.

Platformen gør det nemt at dokumentere 25%-grænsen og andre kontrolmekanismer som særlige rettigheder eller bestyrelsesposter. MEO gemmer og genbruger oplysninger om reelle ejere på tværs af forskellige kundeforhold, hvilket sparer betydelig tid ved gentagne transaktioner med de samme virksomheder.

Systemet advarer automatisk, hvis der opdages ændringer i ejerstrukturen via de datakilder der tillader det, og sikrer at dokumentationen altid er opdateret og klar til tilsynsformål.

‍

Forretningsforbindelsens formål

Denne del er ofte overset eller dokumenteret dårligt og det skyldes som regel flere forhold. Denne del af KYC kan ikke gennemføres, medmindre virksomheden har lavet den lovpligtige “egen risikovurdering”. Egen risikovurderingen er en risikovurdering som alle virksomheder der er underlagt hvidvaskloven skal lave og løbende opdatere. I denne risikovurdering tager virksomheden stilling til hvilke forretningsaktiviteter de ønsker at tilbyde, samt hvilke risici ift. Hvidvaskloven disse aktiviteter indeholder. Så hvis virksomheden ønsker at bistå kunder med ejendomshandler, så skal dette være nævnt og indeholde de risici som måtte være forbundet med dette. Ligeledes skal denne risikovurdering også indeholde hvilke procedurer og tiltag virksomheden har til rådighed for at afdække de identificerede risici.

Når ovenstående er på plads, kan virksomheden forholdsvis nemt vurdere hvilket formål en forretningsforbindelse har og i hvilken risikoklasse denne aktivitet måtte befinde sig i.    
‍

Hvordan kan MEO hjælpe dig med forretningsforbindelsens formål?

MEO hjælper med at strukturere og dokumentere formålsvurderingen ved at guide brugeren gennem standardiserede spørgsmål baseret på virksomhedens risikovurdering og sikrer, at alle forretningsforbindelser bliver kategoriseret korrekt i forhold til de identificerede risikoklasser. Dette gør det nemt at dokumentere både formålet og den tilhørende risikoprofil for hver kunde.

Der er en fuld audit log, der viser og dokumenterer alle ændringer mv. under hele kundeforløbet og som indgår i den arkiverede data efterfølgende.

Risikovurdering

Summen af alle de aktiviteter som KYC processerne indeholder giver virksomheden mulighed for at lave en samlet risikovurdering på den pågældende kunde. En risikovurdering skal altid være veldokumenteret og indeholde en samlet konklusion typisk om kunden har en risiko der er lav, mellem eller høj. Det er vigtigt at forstå, at en risikovurdering ikke er statisk, men løbende kan ændre sig, såfremt der sker væsentlige ændringer i et forretningsforhold. Husk - at man altid skal kunne dokumentere, hvilke ændringer der er sket i risikovurderinger over tid. Typiske områder der også er med i en risikovurdering er:   

• Geografisk placering og aktivitetsområde
• Transaktionsmønstre og forretningsart
• Politisk eksponering (PEP-screening)
• Sanktionslister og negative medieomtaler

Hvordan kan MEO hjælpe dig med risikovurdering?

MEO genererer en veldokumenteret risikovurdering baseret på en virksomhedsspecifik risikovurderingsproces, hvor kundens profil, transaktionsmønstre, geografiske placering og andre risikofaktorer kan indgå. Brugere har mulighed for kontinuerligt at opdatere risikovurderingen baseret på nye informationer, og systemet sender advarsler, når en kundes risikoprofil ændrer sig væsentligt. Platformen dokumenterer automatisk alle ændringer i risikovurderingen over tid og opretholder en komplet historik, som er kritisk for compliance og tilsynsformål. Dette sikrer, at virksomheden altid kan påvise, hvorfor og hvornår risikovurderinger blev ændret.

Løbende overvågning

Hvis ikke der er etableret en proces omkring løbende overvågning, vil det være umuligt at vurdere, om der er sket ændringer der betyder, at risikovurderingen skal genvurderes. I princippet bør man løbende overvåge alle de parametre, der indgår i risikovurderingen.    

‍

Populære indlæg: Hvad er Due Diligence? og Hvad er Customer Due Diligence (CDD)?

Hvordan kan MEO hjælpe med løbende overvågning?

MEO overvåger automatisk alle kunder i realtid mod PEP-lister, sanktionslister og negative medieomtaler. Systemet sender øjeblikkelige advarsler, når der registreres ændringer, og opretholder en kontinuerlig auditlog over alle overvågningsaktiviteter.

Platformen overvåger også ændringer i de offentlige registreringer og sender notifikationer. Dette er tilgængeligt i de lande, hvor det er muligt.

Skærpede procedurer 

En skærpet procedure gør sig gældende, når der er konstateret en forhøjet risiko på en forretningsforbindelse, dette kan der være mange årsager til, men vigtigst er, at man kan identificere dem og har en proces for hvordan man håndtere dette.   

Hvordan kan MEO hjælpe dig?

Når der identificerer højrisikokunder, er det muligt i Meo at aktiveres skærpede procedurer med udvidet dataindsamling, krav om godkendelse fra senior ledelse, og implementering af hyppigere overvågning. Systemet styrer hele processen og sikrer, at alle nødvendige dokumentationer bliver indsamlet og godkendt.

Platformen dokumenterer alle de skærpede foranstaltninger og opretholder en komplet audit trail, som er kritisk for at kunne påvise overfor tilsynsmyndigheder, at korrekte procedurer blev fulgt for højrisikokunder.

Hvem er forpligtet til at udføre KYC?

KYC anvendes i en lang række sektorer som i den finansielle sektor, af advokater, revisorer, ejendomsmæglere, bogholdere, kunsthandlere og serviceproviders, men er også påkrævet i mange andre brancher, fx spillebranchen, auktionshuse, fodboldklubber mv.

Alle virksomheder, der er omfattet af hvidvaskloven, skal gennemføre kundekendskabsprocedurer (KYC) på deres kunder. De mest almindelige omfattede brancher inkluderer:

• Banker og andre finansielle institutioner
• Kreditgivere og betalingsformidlere
• Advokater og revisorer
• Ejendomsmæglere
• Bogholdere og serviceproviders
• Kunsthandlere og auktionshuse
• Spilleoperatører
• Virksomheder med kontanttransaktioner over 15.000 kr.

Derudover er alle erhvervsdrivende, der ikke er omfattet af hvidvaskloven, forpligtet til at overholde kontantforbuddet og må ikke modtage betalinger på 15.000 kr. eller derover i kontanter.

Nye AML-regler på vej: Fra 10. juli 2027 træder en ny EU AML-forordning i kraft, som erstatter den nuværende danske hvidvasklov. Den nye forordning vil gælde direkte i alle EU-lande og medfører harmoniserede regler på tværs af EU. Samtidig etableres AMLA (Anti-Money Laundering Authority) som ny fælles europæisk tilsynsmyndighed med hovedsæde i Frankfurt.

Er du i tvivl om, hvorvidt din virksomhed er omfattet af KYC-kravene, bør du konsultere hvidvaskloven eller søge professionel rådgivning.

Risikobaseret tilgang i KYC

KYC og hvidvaskbekæmpelse har gennemgået en fundamental transformation med overgangen fra regelbaseret til risikobaseret tilgang. Dette paradigmeskift, blev formaliseret gennem EU's 4. hvidvaskdirektiv og styrket med det 5. hvidvaskdirektiv, har ændret måden virksomheder skal håndtere deres KYC.

Tidligere fungerede KYC som en "checkboks-øvelse" hvor alle kunder blev behandlet ens ud fra et fast regelsæt. Dette var enkelt at administrere, men ineffektivt - en pensionist og en cryptocurrency-trader fik samme behandling, selvom risikoprofilen var vidt forskellig.

I dag skal virksomheder identificere, vurdere og forstå deres specifikke risici for derefter at træffe proportionale foranstaltninger. 

For virksomheder betød skiftet både øget ansvar og større fleksibilitet. Nu kan man fokusere ressourcerne hvor risikoen faktisk er, behandle lavrisikokunder mere effektivt og give højrisikosituationer den opmærksomhed, de kræver. Samtidig stilles der større krav til:

• Ekspertise inden for risikostyring
• Dokumentation af beslutninger
• Løbende opdatering af systemer
• Balancering af compliance og forretning

Den risikobaserede tilgang har gjort KYC fra en tick box øvelse til et strategisk værktøj i moderne forretningsdrift - komplekst, men langt mere effektivt til at bekæmpe den faktiske kriminalitet.

Hvorfor er KYC vigtigt?

KYC opleves ofte som bureaukratisk besværlighed - endnu en formular, endnu en legitimations-mail. Men bag disse procedurer ligger ønsket om en kritisk samfundsfunktion, der skal beskytte os alle. KYC fungerer lidt som et immunforsvar. Pengeinstitutter og andre virksomheder er blevet tildelt rollen som "dørvogter" - de skal forhindre kriminelle i at misbruge legitime virksomheder til ulovlige aktiviteter.

Det primære formål er at begrænse mængden af sorte penge på markedet og dermed gøre det sværere at tjene store penge på kriminalitet. Når kriminelle ikke kan "hvidvaske" deres penge, mindskes incitamentet til kriminalitet markant.

På mange områder kan man konkludere, at systemet virker. I Danmark alene sender bankerne over 65.000 mistanke-underretninger til myndighederne hvert år. Disse fører til konkrete efterforskninger og anholdelser, hvilket viser KYC's reelle betydning for kriminalitetsbekæmpelsen. Det vil altid være forbedringer og 65.000 mistanker er ikke i sigselv et målepukt for success 

KYC bekæmper ikke kun hvidvask, men også terrorfinansiering - hvor selv små beløb kan få katastrofale konsekvenser. Dette gør KYC til et nationalt sikkerhedsspørgsmål og en del af vores kollektive forsvar. Forebyggende effekt har også en værdi. Hvis det bliver nemt at hvidvaske penge, svækkes samfundets tillid til systemet, og viljen til at følge loven undermineres. KYC beskytter denne tillid ved at sikre, at alle spiller efter de samme regler.

For virksomheder handler KYC ikke kun om regeloverholdelse, men også om risikostyring og omdømme. Effektive procedurer beskytter mod bøder, omdømmeskader og økonomiske tab, samtidig med at de gør virksomheder bedre til at betjene deres kunder. I en globaliseret verden med lynhurtige pengestrømme er KYC vores kollektive forsvar mod dem, der vil udnytte det finansielle system. Det er langt mere end papirarbejde - det er en hjørnesten i et trygt og retfærdigt samfund.

Hvad sker der, hvis du ikke overholder KYC?

Manglende overholdelse af KYC-regler kan få alvorlige konsekvenser for både virksomheder og ledelse:

Tilsynsmyndigheder kan pålægge betydelige bøder ved overtrædelse af hvidvaskloven. Bødestørrelsen afhænger af overtrædelsens karakter og grovhed. Ved manglende KYC-procedurer for specifikke kunder udmåles bøder typisk som 25% af det samlede transaktionsbeløb. For systematiske mangler i compliance-systemer beregnes bøder baseret på den besparelse, virksomheden har opnået ved undladelsen, ganget med en procentsats afhængig af omsætningsniveauet.

Virksomhedens ledelse kan blive gjort personligt ansvarlig og idømt individuelle bøder, typisk omkring 10% af virksomhedens bødestraf. I alvorlige tilfælde kan overtrædelser føre til strafferetlige anklager mod enkeltpersoner eller virksomheder, der bevidst undlader at rapportere mistænkelige transaktioner.

Andre konsekvenser kunne være :

• Tab af bankforbindelser eller forretningspartnerskaber
• Tilbagekaldelse af licenser og tilladelser
• Alvorlig skade på virksomhedens omdømme og troværdighed
• Tab af kundernes tillid og forretnings­muligheder

Myndighederne i EU og Danmark håndhæver reglerne strengt, og mange virksomheder er allerede blevet ramt af betydelige bøder og andre sanktioner for manglende compliance.

Hvordan kan MEO hjælpe dig med KYC?

MEO er en danskudviklet compliance-platform, der automatiserer KYC-processen. Med MEO kan du:

• Verificere kunders ID i realtid
• Gennemføre PEP- og sanktionsscreening
• Dokumentere alle trin i processen
• Overholde gældende GDPR- og AML-krav

Platformen integreres let i dine eksisterende arbejdsgange og reducerer den manuelle byrde markant.

Book en demo

Vil du se, hvordan MEO kan hjælpe din virksomhed med at overholde KYC-kravene? Book en demo i dag og oplev fordelene ved automatiseret compliance.

Både den juridiske og den finansielle industri oplever et betydeligt skift i, hvordan Know Your Customer (KYC) processer styres.

Manuelle metoder, der engang var standard, erstattes af automatiserede systemer. Denne ændring kommer fra øget global forretning, flere regler og kompleks økonomisk kriminalitet.

Kunderne ønsker hurtigere service

Tilsynsmyndigheder pålægger store bøder for fejl.

Automatiserede KYC-systemer tilbyder en måde at løse disse problemer på.

Overvejer du skiftet fra manuelle til automatiserede KYC-processer? Denne vejledning hjælper dig med at evaluere dine nuværende metoder i forhold til automatiseringspotentialet.

Anslå, hvor meget tid du bruger:

Når du får en ny kunde

Hvor lang tid tager det for en af jer at:

• Skriv en e-mail/ring og spørg efter information?
• Opfølgning (hvis klienten ikke svarer)?
• Tjek ID?
• Kontroller PEP-status?
• Kontroller for sanktioner/negative medier?
• Foretag sagen og klientens risikovurdering?
• Gem oplysningerne på det rigtige sted?

Hvad er lønnen til den person, der udfører disse opgaver?

Hvis det er en virksomhedskunde:

• Gør alt nævnt ovenfor for at verificere de reelle ejere?
• Sørg for, at du kender alle de reelle ejere?
• Bekræft virksomhedsoplysningerne i officielle registre?
• Tjek virksomheden for sanktioner/negative medier?

Og hvad kræver det af dine kunder?

Overvej kundens perspektiv:

• Flere anmodninger om oplysninger, ofte overflødige
• Lange ventetider under onboarding-processen
• Frustration over gentagne opfølgninger
• Potentielt tab af forretningsmuligheder på grund af forsinkelser
• Forvirring om omfanget af de krævede oplysninger
• Bekymringer om databeskyttelse og sikkerhed

For at sikre, at disse trin følges:

• Løbende overvågning af dine kunder?
• At de manuelle procedurer opdateres regelmæssigt?
• Løbende kontrol af de manuelle procedurer?
• Korrekt dokumentation af risikovurderinger, når forholdet indledes, og hvis det ændrer sig?
• At verifikation af data kan dokumenteres?
• Et overblik over alle dine kunders risikoprofiler
• En oversigt over antallet af klienter, der er PEP
• At alle kunderelationer er godkendt
• At du ved og husker, når du har brug for at verificere dine kunders data igen
• At der ikke er nogen personlige oplysninger om klienter gemt i e-mails?
• At alle klientdata arkiveres og rettidigt slettes
• At du ved præcis, hvem der har adgang til hvilke oplysninger og kan dokumentere, hvem der har eller har haft adgang.
• At du kan fortælle dine kunder, hvilke data du håndterer, og hvorfor.

Hvor sandsynligt er det, at du laver en fejl eller glemmer et skridt, når du har travlt?

Læs mere om databeskyttelse og DPO.

‍

Når der er en revision

• Hvor meget tid har du brug for til at forberede dig til en revision, når du skal dokumentere, hvad du gør, og beviserne ligger i e-mails og mapper fra forskellige kolleger?
• Kan du trække en liste med det kundeoverblik, som myndighederne kræver ved en revision? Liste over høj, medium og lav risiko, forskellige jurisdiktioner osv.
• Kan du give disse data om de klienter, der er valgt til kontrol?

Nu hvor vi er ved det, har du husket at foretage din virksomhedsdækkende risikovurdering og dokumentere dine politikker og procedurer? - hvis det ikke skrives ned og gennemgås årligt, tæller det ikke.

Hvilke opgaver kan du bruge din tid på i stedet?

Overvej konsekvenserne

Hvis dine kunder ikke er tilfredse

• Hvor mange vælger et andet firma, hvor klientens onboarding er lettere?

Hvis du ikke består en revision

• Hvad vil det betyde for dit omdømme, hvis du får en sanktion, en bøde, og at det er offentligt kendt?
• En sanktion kan også resultere i, at din virksomhed bliver sat på offentlige risikolister, og derefter vil dine forretningspartnere kræve en forbedret AML-kontrol af din virksomhed, før de kan arbejde sammen med dig.

Hvis det går helt galt

• Hvad vil det betyde, hvis de kriminelle får fat i dig, og du ubevidst deltager i hvidvaskning af penge og/eller finansiering af terrorisme?
• Hvor stor en bøde får du?
• Hvad vil det betyde for dit omdømme?
• Hvem af jer risikerer i værste fald at gå i fængsel, hvis dine politikker, procedurer og kontroller ikke er gode nok?

Fordelene ved et automatiseret KYC-system

✓ Forøg onboarding-konverteringsraterne med 60%
✓ Reducer omkostningerne ved at køre AML-overholdelsesoperationer med 75%
✓ Forbedre dit compliance-teams produktivitet 3-4 gange i gennemsnit
✓ Giv dine kunder et godt førsteindtryk med en professionel onboarding
✓ Stop de kriminelle, undgå bøder og bliv GDPR- og AML-kompatibel

Automatiserede systemer reducerer tiden brugt på gentagne opgaver. Dette frigør dit team til at fokusere på komplekse risikovurderinger og strategisk overholdelsesplanlægning. KYC-politikker anvendes konsekvent, med opdateringer i realtid og omfattende revisionsspor.

Disse systemer øger dit forsvar mod økonomisk kriminalitet. De genererer revisionsspor til lovgivningsmæssige inspektioner og registrerer mistænkelige aktiviteter hurtigere gennem overvågning i realtid. Dette begrænser kriminel udnyttelse, beskytter dit omdømme, og hjælper med at undgå lovgivningsmæssige sanktioner.

Dit team kan koncentrere sig om højrisikosager og compliance planlægning. KYC-politikker anvendes ensartet på tværs af alle klienter, hvilket reducerer menneskelige fejl - et almindeligt revisionsproblem. Efterhånden som lovgivningsmæssig kontrol og bøder stiger, styrker automatiseret KYC risikostyring og opretholder problemfri drift.

Overvej hvordan automatisering kan forbedre dine arbejdsgange, forbedre nøjagtigheden og øge dit teams evne til at imødekomme voksende lovkrav.

Ikke sikker på, om et automatiseret KYC-system er det rigtige for dig? Kontakt os. Vi er her for at rådgive baseret på dine specifikke behov.

‍

Læs også: Hvad er Due Diligence? og Hvad er Customer Due Diligence?

‍

_____________________

Tilmeld dig her for at få flere nyheder, opdateringer og begivenhedsinvitationer fra Meo!