Artikel

Oversigt: Sådan overholder du GDPR
Hvad er god GDPR-håndtering?
Har din virksomhed et godt greb om GDPR og hvordan du behandler personoplysninger?
Stort set alle virksomheder, der kommer i kontakt med personoplysninger, er underlagt lokale love og regler. I EU og EØS betyder det GDPR. Derfor er det vigtigt, at du kender kravene til, hvordan du behandler personoplysninger korrekt.
Nedenfor kan du læse om EU-direktivet og hvordan det gælder for personoplysninger — samt få et par tips om bedste praksis for behandling af personoplysninger:
- Hvad er den generelle databeskyttelsesforordning (GDPR)?
- Hvilke virksomheder er underlagt GDPR?
- Hvad er en Data Manager og en Databehandler?
- Hvad er en DPO (Data Protection Officer)?
- Sådan overholder du GDPR
- Opbevaring af personoplysninger — hvornår og hvor længe?
- Privatpersoners rettigheder
- Løbende revisioner og principperne om nøjagtighed
Hvad er den generelle databeskyttelsesforordning (GDPR)?
GDPR, eller General Data Protection Regulation, er en lovgivningsmæssig ramme og direktiv i EU-lovgivningen om databeskyttelse og privatlivets fred i Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde.
Forordningen gælder for alle personoplysninger samt overførsel af personoplysninger uden for EU og EØS. Det blev implementeret i 2018.
Dets officielle navn er:
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)
Som EU-forordning og direktiv er det strengt taget ikke en egentlig lov. I stedet er det en juridisk bindende aftale mellem alle EU- og EØS-lande, som de derefter skal fortolke og implementere i deres lokale lovgivning.
Det betyder, at selvom GDPR er bindende og har til formål at give specifikke anvisninger vedrørende personoplysninger, kan der være variationer og mindre forskelle fra land til land. Det fungerer ofte som en grundlæggende ramme, der derefter udvides af det enkelte land.
TilsynForskellige lande i EU og EØS har forskellige tilsyns- eller reguleringsorganer. Disse sikrer, at GDPR opretholdes og vejleder lokale myndigheder, virksomheder og organisationer i, hvordan de overholder GDPR.
Hvilke virksomheder er omfattet af GDPR?
GDPR gælder for stort set al behandling af personoplysninger, dvs. alle oplysninger, der kan forbindes med eller identificere en bestemt person.
Læs mere om Personlige data og de forskellige kategorier.
Da forordningen er geografisk specifik for EU og EØS, gælder den kun:
- Når datahåndtering eller databehandler er i EU, uanset om den faktiske behandling foregår i eller uden for EU.
- Når person, hvis personoplysninger behandles, befinder sig i EUuanset dataadministratorens eller databehandlerens placering.
- Når behandlingen af personoplysninger vedrører et produkt eller en virksomhed i EU eller involverer overvågning af adfærd inden for EU.
For at være kortfattet: næsten alle virksomheder med et associeret selskab med EU, uanset om dette gælder for dem eller deres kunder/kunder, er underlagt GDPR.
Hvad er en Data Manager og Databehandler?
Og hvad er forskellen?
I henhold til GDPR er det vigtigt fundamentalt at adskille de to specifikke roller, som begge behandler personoplysninger.
Du kan enten være en datahåndtering eller en databehandler.
Der er forskellige krav til de to roller. Derfor er det vigtigt at vide, hvem der er hvem, og hvem der er hvem, inden du begynder at behandle personoplysninger.
Datahåndtering
Dataadministratoren definerer formålet og proceduren for, hvordan personlige oplysninger behandles. Som dataansvarlig er du forpligtet til at sikre, at:
- Du har en lovlig ret til at behandle specifikke personoplysninger
- Du er i stand til at give indsigt til de registrerede parter på deres anmodning
- Du registrerer krænkelser af persondatasikkerheden til det relevante tilsyns-, tilsyns- eller reguleringsorgan.
Databehandler
Som databehandler behandler du udelukkende personoplysningerne på vegne af databehandleren. Du har ingen indflydelse på det formål eller den procedure, du opererer under.
En databehandler kan for eksempel være en softwareudbyder til de tjenester, der bruges til at gemme data på serverne, eller en anden type udbyder af en automatiseret behandling af personoplysninger, hvor du ikke direkte har adgang til dataene.
Da forholdet mellem databehandler og databehandler indebærer udveksling af personoplysninger, er det vigtigt, at der er en databehandleraftale på stedet, der klart definerer det nøjagtige forhold mellem de to. En skabelon til dette kan findes på GDPR.eu.
Hvad er en databeskyttelsesansvarlig (DPO)?
Der kan også være en tredje rolle: DPO eller databeskyttelsesansvarlig. Du har måske stødt på dette udtryk før, men hvad betyder det? Skal din virksomhed have en DPO?
DPO's rolle er at vejlede om kravene i GDPR og guide datahåndtereren i, hvordan de kan opfylde disse krav. Det er vigtigt at bemærke, at DPO er ikke ansvarlig for, hvorvidt virksomheden overholder GDPR eller lokal lovgivning.
Statslige agenturer er forpligtet til - uanset om de er databehandlere eller databehandlere - udpege en DPO. Private virksomheder er kun forpligtet, hvis alle af følgende tre betingelser gælder:
- Behandling af personoplysninger er en kernearbejdsaktivitet
- Personlige oplysninger behandles i store mængder
- Forarbejdning består af Regelmæssig og systematisk overvågning eller indeholder følsomme personoplysninger (“ særlige kategorier af personoplysninger“)
Hvornår er behandling af personoplysninger en“ kernearbejdsaktivitet“?
De fleste organisationer udfører en eller anden form for behandling af personoplysninger, men GDPR skelner mellem ikke-kernearbejdsaktiviteter og kernearbejdsaktiviteter.
Ikke-kernearbejdsaktiviteter kan generelt siges at være aktiviteter, der understøtter kernearbejdsaktiviteter. For eksempel kommer de fleste virksomheder i kontakt med en vis mængde personoplysninger med hensyn til medarbejderdata og personoplysninger relateret til salg og forskellige typer support. Disse betragtes som ikke-kernearbejdsaktiviteter.
I henhold til GDPR er behandling af personoplysninger en kernearbejdsaktivitet, hvis det, en virksomhed ønsker at sælge, er uigendriveligt forbundet med personoplysninger. Dette kan for eksempel være:
- Forsikringsselskaber hvis produkt er skræddersyet på grundlag af personoplysninger
- Udbydere af markedsundersøgelser
- Søgemaskiner
- Virksomheder relateret til headhunting af nye medarbejdere
Dette er alle eksempler på forretningsaktiviteter, der er centreret omkring behandling af personoplysninger, og hvor output afhænger af de indhentede og behandlede oplysninger.
Sådan overholder du GDPR
GDPR kræver en risikobaseret tilgang svarende til for eksempel initiativer til bekæmpelse af hvidvaskning af penge.
En risikobaseret tilgang betyder, at uanset om virksomheden er en databehandler eller en dataansvarlig eller ej, er du forpligtet til at foretage en vurdering af de typer data, der opbevares eller behandles af virksomheden. Så skal du sørge for, at der er organisatorisk og tekniske sikkerhedsforanstaltninger eller sikkerhedsforanstaltninger på plads, der svarer til de vurderede risici.
Tekniske sikkerhedsforanstaltninger
Eksempler er stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.
Organisatoriske sikkerhedsforanstaltninger
Eksempler inkluderer beskrevne procedurer, virksomheder kan vedtage organisatoriske sikkerhedsforanstaltninger såsom klare politikker for personoplysninger, sikkerhedsadgang, kurser i korrekt databehandling og videreuddannelse af medarbejdere.
For at overholde GDPR skal virksomheder have:
- Risikovurderinger
- Politikker og procedurer
- Revision og dokumentation
Hvordan foretager du en risikovurdering?
Risikovurderinger vil typisk evaluere eller vurdere:
- Hvilke typer data gemmes af virksomheden (der er f.eks. forskelle i følsomheden mellem lagring af e-mail-adresser og kopier af pas)
- Konsekvenser for datalækager (f.eks. phishing, hacking eller utilsigtet intern lækage af materiale vedrørende personlige data)
- Den sikkerhedsforanstaltninger på plads for at minimere ovenstående risici
På baggrund af disse faktorer kan du vurdere, om risikoen er acceptabel, eller om du har brug for at implementere nye sikkerhedsforanstaltninger for at minimere risikoen for, at data bliver stjålet eller lækket.
Der er også krav til Dokumentation af dine overvejelser med hensyn til procedurerne.
Politikker
De fleste virksomheder har indført procedurer og politikker, der strømliner og systematiserer arbejdsaktiviteter. På samme måde er det en god idé at definere politikker og procedurer for behandling af personoplysninger.
Du opdeler typisk persondatapolitikker i, om de vedrører personoplysninger om medarbejdere eller kunder/kunder. En persondatapolitik for klienter kan f.eks. indeholde følgende:
- En afklaring af, om du opfører dig som datahåndtering eller databehandler.
- Hvor personoplysningerne opbevares — på interne eller eksterne servere eller lagerenheder? Hvis det opbevares uden for EU/EØS, hvad gjorde du så for at sikre et tilstrækkeligt sikkerhedsniveau?
- Uanset om du har en DPO, og i bekræftende fald, hvad DPO's opgave er, og hvordan du har sikret DPO's position i organisationen.
- Hvad er det angivne formål med lagring af data, specifikt din juridiske rettigheder og Formålets legitimitet.
- Hvad er din politik for sletning eller sletning af personoplysninger, og hvor længe du opbevarer data efter ophør af et kunde/kundeforhold.
- Eventuelt, hvilken teknisk og organisatoriske sikkerhedsforanstaltninger du har implementeret for at beskytte mod datalækager, og hvordan du planlægger at reagere i tilfælde af en lækage.
Forretningsprocedurer
Forretningsprocedurerne skal være i et internt tilgængeligt dokument, der er skrevet for at understøtte det arbejdsflow og procedurer, du har aftalt. En forretningsprocedure er ofte en forholdsvis detaljeret beskrivelse af, hvordan du håndterer personoplysninger med specifikke procedurer for, hvordan din virksomhed — i sine daglige aktiviteter — får unødvendige data til at blive slettet, og hvordan du deler data med andre, hvad enten det er med kolleger eller eksterne databehandlere.
Revision og dokumentation
Samtidig skal du være i stand til at dokumentere, at din behandling af personoplysninger sker i overensstemmelse med GDPR og lokal lovgivning. Du skal f.eks. dokumentere, hvordan du sletter personoplysninger efter afslutningen af et forretningsforhold.
En virksomhed kan have flere procedurer for, hvordan og hvor ofte de sletter data. Men ifølge GDPR er det vigtigt, at det er nedskrevet eller på en eller anden måde dokumenteret, så de rette tilsynsmyndigheder kan revidere dine handlinger og dermed sikre, at du overholder GDPR.
Dokumentationskravet kan understøttes af it-løsninger, der endda kan automatisere nogle af de nødvendige processer.
Opbevaring af personoplysninger — hvornår og hvor længe?
Virksomheder kan gemme personoplysninger, så længe de:
- Har en lovlig ret til det.
- Har en legitimt formål til opbevaring af dataene.
Den lovlig ret med hensyn til opbevaring af personoplysninger defineres som:
- Virksomheden har opnået samtykke fra den person, hvis personoplysninger opbevares.
- Det er skrevet i loven, at dataene skal gemmes.
- Det er nødvendigt for at opretholde en aftale eller kontrakt.
- Virksomheden har en legitim interesse ved opbevaring af personoplysninger. Og denne interesse har en større værdi for personens egen interesse, end hvis den blev slettet.
Normalt har virksomheden eller det statslige organ tilstrækkelige juridiske rettigheder, hvis bare en Ovenstående kriterier er opfyldt.
EN legitimt formål er grundlæggende defineret af sund fornuft.
Spørg dig selv: Hvad er formålet med at gemme de givne personoplysninger?
Hvis du ikke har et legitimt formål, skal dataene slettes.
Eksempel
For seks måneder siden havde virksomheden et jobopslag på udkig efter en retshjælp. De havde mange ansøgere, men har siden lukket hele afdelingen og planlægger ikke at ansætte juridiske hjælpemidler nogensinde igen.
Har virksomheden stadig et legitimt formål med at gemme CV'er og applikationer? Her er svaret nej.
Så længe en virksomhed har den juridiske ret og et legitimt formål, kan virksomheden fortsætte med at gemme data. Så snart dette ikke længere er tilfældet, skal dataene slettes.
Privatpersoners rettigheder
Med implementeringen af GDPR får privatpersoner ret til at få adgang til de data, virksomheder gemmer om dem. Dette kaldes ofte adgangsrettigheder eller emneret:
- Du har i princippet ret til at få adgang til alle personoplysninger om dig selv, som datahåndtering er ansvarlig for.
- EN databehandler kan ikke give adgang, fordi de ikke er ansvarlige for de registrerede data.
De data og oplysninger, du kan anmode om, inkluderer:
- Sådan behandles dine personoplysninger
- Hvilket formål er der med behandlingen
- Hvem oplysningerne deles med
- Hvor længe dataene gemmes
- Hvor personoplysningerne stammer fra
Dette er for at sikre, at dataene er verificerbare, nøjagtige, og at behandlingen udføres på grundlag af forsvarlig juridisk myndighed.
Løbende revision og princippet om nøjagtighed
Som virksomhed er du forpligtet til at sikre dig, at de lagrede personoplysninger er korrekte, og at forkerte eller falske oplysninger slettes.
Dette kaldes også princippet om nøjagtighed.
Princippet drejer sig ikke kun om pligten til at slette eller rette oplysninger, som du er blevet informeret om, er forkert. Du har også en forpligtelse til aktivt at søge og kontrollere nøjagtigheden af dine data.
Dette kan f.eks. ske ved, at du løbende sammenligner de data, du indhenter, med søgninger i registre og databaser med offentligt tilgængelige oplysninger, eller at du med jævne mellemrum anmoder om verifikation fra den person, som oplysningerne handler om.
Omfanget af, hvor grundigt du har brug for at verificere oplysningernes nøjagtighed og ægthed, og hvor ofte du skal gentage denne proces, afhænger af de data, du behandler. Jo mere følsomme - og derfor jo større betydning oplysningerne har for ejeren - jo flere procedurer og fejlsikre skal du implementere for at beskytte mod dette resultat.
Cases hos Meo
Meo har også samarbejdet med en masse forskellige virksomheder, der har haft stor gavn af den danske softwareplatform, Meo. Blandt dem er advokatfirmaet Bech-Bruun, der for nylig kommenterede, om platformen har givet klarhed om sikker håndtering af information og data fra nye kunder i overensstemmelse med GDPR-loven.
Dette fokus er noget, der afspejles i udtalelser fra vores forskellige partnere og kunder, som alle mener, at vores softwareplatform har skabt sikkerhed for dem i forbindelse med udveksling af data og information med kunder eller partnere.
Vi hos Meo hjælper derfor med at skabe klarhed over administrative opgaver samt sikkerheden i din virksomhed og udveksling af data.
Meo — Behandling af personoplysninger nemt og sikkert
Hvis du har læst med fra toppen og har mistet pusten over udfordringerne ved at arbejde med GDPR og personlige data, så er du ikke alene.
Heldigvis findes der en række gode løsninger til de forretningsmæssige udfordringer ved databehandling.
Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.
For virksomheder er der en række fordele ved at bruge Meo:
Onboarding
Ombord dine kunder digitalt på sikre kanaler.
Validering
Opsæt dine egne krav til validering af oplysninger.
Dokumentation
Et komplet revisionsspor og oversigt over de udførte handlinger og samtykke til behandling.
Forarbejdning
Med Meo overholder du alle juridiske krav, både GDPR og AML.

Databeskyttelse: Sådan beskytter du dine kunders personlige data (og overholder GDPR)
En forretningsforpligtelse
Virksomheder, der behandler personoplysninger og oplysninger, er forpligtet til at beskytte disse data. Datasikkerhed er en grundlæggende forudsætning, hvis du arbejder inden for finansielle tjenester eller sektor - men det er også en nødvendighed, hvis du håndterer eller behandler nogen form for data.
I denne artikel forklarer vi:
- Hvad er databeskyttelse?
- Teknisk databeskyttelse
- Organisatorisk databeskyttelse
- Sådan håndteres brud på databeskyttelse
Med Meo kan du forenkle processen med at beskytte dine kunders personlige data — fra første kontakt til slutningen af dit forretningsforhold. Vores løsning sikrer, at du overholder GDPR og love og regler om bekæmpelse af hvidvaskning af penge (AML) i hele EU.
Hvad er databeskyttelse?
Databeskyttelse er en samlet betegnelse for alle sikkerhedsforanstaltninger og sikkerhedsforanstaltninger, der beskytter dine egne - og dine kunders - data.
Alle virksomheder i EU er i henhold til GDPR (General Data Protection Regulation) forpligtet til at beskytte deres kunders, medarbejderes og andre partneres data — herunder deres personoplysninger. Dette gælder både interne (personer i organisationen) og eksterne (for eksempel hackere) parter.
Det er op til virksomheden selv at implementere tilstrækkelige sikkerhedsforanstaltninger, der beskytter data. Disse sikkerhedsforanstaltninger kategoriseres normalt som enten:
- Tekniske sikkerhedsforanstaltninger eller forholdsregler
- Organisatoriske sikkerhedsforanstaltninger eller forholdsregler
Den passende grad eller omfang af sådanne foranstaltninger for din virksomhed er op til dig. Dette kræver blandt andet, at du laver en Konsekvensanalyse vedrørende databeskyttelse (DPIA) og en konsekvensanalyse af din databeskyttelse. Du kan finde en skabelon til en konsekvensanalyse vedrørende databeskyttelse (DPIA) på GDPR.EU.
Desuden er det vigtigt, at du kan dokument at du har installeret eller implementeret de nødvendige foranstaltninger, og at du efterfølgende og regelmæssigt vurderer, om de er tilstrækkelige til at beskytte de personlige oplysninger, du behandler.
Der findes en række internationalt anerkendte standarder for databeskyttelse, såsom:
- ISO 29151
- ISO 29134
- ISO 27001
De kan læses fuldt ud på Den Internationale Standardiseringsorganisations hjemmeside.
Som dataansvarlig og som databehandler Det er vigtigt, at selvom du følger standarderne og retningslinjerne, er dette ikke synonymt med overholdelse af GDPR. Derfor er det vigtigt, at du har en systematisk, professionel og struktureret tilgang til jobbet. Hvis du behandler følsomme personoplysninger („særlig kategori af personoplysninger“), kan det være nødvendigt at tilføje eller udvide med efterfølgende beskyttelsesforanstaltninger.
Teknisk databeskyttelse
Teknisk databeskyttelse og sikkerhedsforanstaltninger er alle former for sikkerhedsforanstaltninger, der er afhængige af digitale værktøjer og it-infrastruktur. Det findes overvejende på computere og servere.
Dette kan for eksempel være:
- Firewalls
- Adgangskoder
- 2-faktor godkendelse
- Kryptering
- Logning af datahåndtering
- Forskellige administrative roller
- Lagring af data i niveauer (så et brud ikke giver adgang til alle data)
- Anti-virus
- Sikkerhedskopiering
Organisatorisk databeskyttelse
Organisatorisk databeskyttelse og sikkerhedsforanstaltninger er den type databeskyttelse, der involverer mennesker og processer. Data sikres ved at uddanne medarbejdere og følge retningslinjer, der forbyder uplanlagte fejl eller forsætlige brud på personoplysninger.
Dette udtryk gælder for:
- Procedurer for databehandling
- Klar fordeling af roller og adgang
- Sikkerhedskurser
- Uddannelse af medarbejdere
- Risiko- og konsekvensvurderinger
- Handlingsplaner for brud på personoplysninger
Sådan håndteres brud på databeskyttelse
Ingen databeskyttelse er fejlsikker og idiotsikker.
Dette anerkendes også af selve GDPR og af de fleste af de tilsynsmyndigheder, der er ansvarlige for at håndhæve den i EU.
For at minimere skaden ved et brud er det vigtigt, at du har en klar handlingsplan for, hvornår du måske har mistanke om, at der er sket et brud på din sikkerhed. Dette omfatter, men er ikke begrænset til, en klar ansvarsfordeling mellem dataansvarlig og databehandler, hvordan du rapporterer potentielle overtrædelser til kunder, og klare retningslinjer for, hvordan du rapporterer overtrædelser til de relevante tilsynsmyndigheder.
Med Meo får du AML- og GDPR-kompatibel databeskyttelse
Med Meo får du en softwareplatform, der beskytter dine kunders data og sikrer, at du overholder love og regler om bekæmpelse af hvidvaskning af penge (AML).
Desuden hjælper platformen dig med at bekræfte dine kunders identitet, så du overholder KYC og CDD. Få mere information om vores sikkerhed ved at læse vores Hvidbog om sikkerhed.

Databehandling og GDPR
Databehandling og overholdelse
GDPR (Generel databeskyttelsesforordning) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.
I denne artikel dykker vi dybt ned i databehandling og forklarer:
- Hvad er databehandling, og hvad betragtes som følsomme data?
- Hvilke krav stiller GDPR til din databehandling?
- Hvordan behandler du personoplysninger korrekt?
- Hvad er der i en databehandleraftale?
- Hvad er forskellen mellem en databehandler og en databehandler?
Hvad er databehandling, og hvad er følsomme data?
Databehandling er enhver aktivitet, hvor personoplysninger indsamles, registreres, lagres, analyseres, overføres, slettes, sælges osv. Begrebet defineres så bredt, at enhver kontakt med personlige oplysninger grundlæggende betragtes som databehandling.
Data defineres i dette tilfælde som formaliseret information, der typisk håndteres af en maskine eller en computer.
De fleste virksomheder og organisationer vil, i en eller anden form, håndtere eller behandle en eller anden type data, oftest Personlige data. GDPR definerer personoplysninger som: „enhver information vedrørende en identificeret eller identificerbar fysisk person („registreret“); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.
Personoplysninger er typisk opdelt i to kategorier. Nogle lande har også en tredje kategori, mens andre anser kategorien „Fortrolige personoplysninger“ for at være af samme kategori som følsomme data.
- Generelle eller almindelige personoplysninger: navne, e-mail-adresser, bopæl, ansættelsessted og andre faktuelle oplysninger, der er offentligt tilgængelige.
- Følsomme personoplysninger (“ Særlig kategori af personoplysninger „): Sundhedsjournaler, oplysninger om forsøgspersonens etnicitet, religion eller seksuelle identitet. Disse data er mere personlige og bør derfor håndteres med større omhu.
- Fortrolige personoplysninger: CPR-numre, strafferegistre og andre klassificerede oplysninger, der skal reguleres særskilt.
Hvilke krav stiller GDPR til din databehandling?
Ifølge GDPR Alle personoplysninger skal håndteres og behandles særligt og følsomt. Jo mere personlige eller private oplysningerne er, jo flere regler og forskrifter skal du overholde under behandlingen af dataene.
Hvis du vil vide mere om, hvordan du skal beskytte dine kunders personlige data, kan du læse vores artikel om datasikkerhed.
Her er et konkret eksempel på, hvad GDPR kræver af dig, når du behandler data: En virksomhed skal kontrollere, om et givet navn rent faktisk tilhører klienten. Dette er et krav under KYC som defineret i Direktivet om bekæmpelse af hvidvask af penge. Her skal du bruge autoritative datakilder, der bekræfter troværdigheden af oplysningerne. Du kan for eksempel gøre dette ved at se en kopi af deres pas eller kørekort. Du skal derefter dokumentere, at du har bekræftet deres identitet. Al denne databehandling skal ske i overensstemmelse med GDPR.
Er der forskel på databehandling og databehandling?
Datahåndtering og databehandling bruges ofte om hverandre.
Man kan dog sige, at databehandling er den overordnede betegnelse for både datahåndtering og dataudnyttelse.
Datahåndtering kan ses som en næsten passiv eller ikke-transformativ behandling af data, hvorimod du med dataudnyttelse gør noget med disse data, såsom at analysere, slette eller ændre dem.
Hvordan behandler du personoplysninger korrekt?
For at kunne behandle personoplysninger korrekt har du brug for:
- Den lovlig ret og en legitimt formål
- Samtykke fra den person, hvis personoplysninger du behandler
- EN databehandleraftale
EN lovlig ret og en legitimt formål er forudsætninger, når du behandler personoplysninger. Dine rettigheder er begrænset af, om du behandler generelle eller følsomme personoplysninger.
Du har brug for samtykke fra personen hvis personoplysninger du behandler. Dette skal opfylde en række krav: det skal være frivilligt, begrænset eller specifikt, informeret og utvetydigt. Desuden skal du dokumentere og bekræfte, at du har indhentet samtykket korrekt.
Der er undtagelser for, hvornår en virksomhed kan få samtykke. Dette kan være, hvis det for eksempel er nødvendigt af omhu og due diligence over for personen, eller hvis der er en legitim grund til databehandleren, der ikke afløses af subjektets egne interesser.
Du kan læse mere om samtykke på GDPR.eu.
For det tredje har virksomhederne brug for en databehandleraftale. Dette er en kontrakt, der indeholder instruktioner til databehandleren om, hvordan oplysningerne skal behandles. Denne aftale er mellem datahåndtering og databehandler.
Hvad er der i en databehandleraftale?
En databehandleraftale skal give databehandleren klare instruktioner om, hvordan oplysningerne skal håndteres og behandles. Det er et juridisk bindende dokument, der skal være skriftligt og opbevares elektronisk.
Formålet med aftalen er at sikre, at personoplysningerne behandles og behandles ansvarligt og sikkert. Det er også vigtigt, at den indeholder krav til, hvordan og hvornår man skal kontakte dataadministratoren, hvis der er mistanke om sikkerhedsbrud eller misbrug. Hvis din virksomhed er databehandler, er det dit ansvar for at informere dataadministratoren om mistanke om misbrug eller brud på datasikkerheden.
Som en del af instruktionerne skal databehandleren også være forpligtet til at udføre årlige eller efter aftale revisioner for at dokumentere, at de følger instruktionerne og gældende lovgivning. Dette kan ske gennem en revisionsrapport, der skal certificeres af en ekstern revisor.
Du kan finde en skabelon til en databehandleraftale på GDPR.eu.
Hvad er forskellen mellem en databehandler og en databehandler?
Databehandleren og databehandleren er ikke den samme person.
Datahåndtereren er den part, der bestemmer, hvilke data der skal behandles, til hvilket formål og ved hjælp af hvilke værktøjer. Datahåndtereren definerer grundreglerne for, hvordan dataene skal behandles.
På den anden side er databehandleren den part, der udfører selve behandlingen på vegne af databehandleren.
Det er vigtigt at adskille de to, fordi de har forskellige krav. Den ene part, databehandleren, sikrer, at databehandlingen er i overensstemmelse med GDPR, mens den anden part, databehandleren, påtager sig ansvaret for at handle i overensstemmelse med de givne instruktioner.
Nemmere databehandling med Meo
Med Meo kan du nemt finde de oplysninger, du har brug for om dine kunder ved hjælp af en simpel søgning. Og personoplysninger slettes eller arkiveres korrekt, når en forretningsrelation slutter.
Platformen sørger for, at du overholder GDPR og gør det nemt at håndtere data for:
Onboarding
Ombord dine kunder ved hjælp af sikre kanaler.
Validering
Bestem dine krav til validering af oplysninger.
Dokumentation
Fuld log og sporing af handlinger og adgang.

Hvad er KYC (Know Your Customer)?
KYC (Kend din kunde)
KYC handler om at kende dine kunder og klienter, så din virksomhed kan undgå at blive involveret i organisationer, der begår forbrydelser, hvidvasker penge eller finansierer terrorisme.
I denne artikel forklarer vi:
- Hvad er KYC (Know Your Customer)?
- Hvilken type virksomheder er underlagt love og regler om bekæmpelse af hvidvaskning af penge (AML) samt KYC?
- Hvilke krav har folkeretten - herunder EU's direktiv om bekæmpelse af hvidvaskning af penge - til KYC?
- Hvordan kan din virksomhed sikre, at du kender dine kunder og kunder?
Med Meo får du en grundig og brugervenlig Know Your Customer platform, der - fra første kontakt med din klient til kundeforholdet udløber - kan verificere og dokumentere dine kunders identitet og udføre en KYC-check i realtid.
Læs mere om platformen her eller kontakt os for at høre mere om, hvordan vi kan hjælpe din virksomhed med KYC-overholdelse.
Hvad er KYC?
KYC er en forkortelse for „Know Your Customer“.
Udtrykket bruges især i finansiering, fordi banker, regnskabsfirmaer, advokater og private equity-fonde alle skal dokumentere deres kunders identitet, så regeringer. Grundlæggende skal det dokumenteres, hvor pengene kommer fra og går til.
Dette er beregnet til at forbyde eller stå i vejen for hvidvaskning af penge og sorte penge, der er opnået med kriminelle midler. Hvis de ikke er i stand til at overvåge eller revidere pengestrømmen, kan det undergrave tilliden og tilliden til finansielle organisationer og virksomheder, hvis forretning er afhængig af aktier, investeringer og det større finansielle marked.
Hvis du ikke opfylder kravene fra KYC, kan det resultere i bøder, sanktioner, sanktioner og endda fængselsstraffe. Det nøjagtige beløb eller omfang afhænger af lokale love og regler. EN 2020 Financial Times-artikel fandt ud af, at: „[...] AML-bøder i de første seks måneder af 2020 nåede i alt $706m sammenlignet med sidste års samlede beløb på $444 mio.“
Hvilke virksomheder og organisationer er underlagt direktivet om bekæmpelse af hvidvaskning af penge (AML) og KYC?
Mange forskellige typer virksomheder, herunder alle virksomheder og organisationer, der er involveret i finans og den finansielle sektor, er underlagt love og regler om bekæmpelse af hvidvaskning af penge - og derfor KYC.
Dette gælder, men er ikke begrænset til:
- Banker, finansielle institutter og handelsbanker
- Kredit-, valuta- og værdipapirvirksomhed
- Fonde og aktiemæglere
- Udlånsfirmaer
- Udbydere af finansiel leasing
- Forsikringsselskaber
- Revisorer og revisionsfirmaer
- Grundlæggere af virksomheder
- Advokater og advokater
- Ejendomsmæglere
- Virksomheder, der handler med værdigenstande, hvis værdi overstiger €15.000
Hvilke krav har loven og forskrifterne med hensyn til KYC?
De overordnede direktiver og regler vedrørende kendskab til din kunde er bedst eksemplificeret i europæisk lovgivning ved Direktivet om bekæmpelse af hvidvaskning af penge (AML). Det hedder blandt andet, at virksomheder skal foretage risikovurderinger, verificere deres kunders eller kunders identitet og rapportere, hvis de har mistanke om hvidvaskning af penge eller andre former for svig.
Risikovurderinger er strukturerede procedurer, hvor du vurderer risikoen så objektivt som muligt og henvender dig til hver klient individuelt, i stedet for at behandle dem ensartet.
Det betyder, at du er forpligtet til at have klare retningslinjer og policer på plads vedrørende risikoen for ufrivilligt at blive involveret i hvidvaskning af penge og økonomisk kriminalitet samt støtte dine medarbejdere med rådgivning og veletablerede procedurer for, hvornår og hvordan du er forpligtet til at anmelde hvidvaskning af penge, hvis du ikke er i stand til at tilbagevise dine mistanker.
Derudover skal du være i stand til dokumentere din kontrol og verifikationer af blandt andet dine kunders identitet. Det er nytteløst at udføre en revision, hvis du ikke er i stand til at dokumentere dine resultater bagefter. En typisk fejl, der ofte foretages i denne tilgang, er, når du manuelt vurderer kopier af pas og kørekort. Her er det nødvendigt ikke kun at gennemgå dokumenterne for at fastslå deres legitimitet, men også dokumentere, at du har udført verifikationen.
Med en KYC-platform som Meo kan du automatisere meget af processen, samtidig med at du dokumenterer, at du overholder GDPR og andre databeskyttelseslove, mens du håndterer personlige data.
Hvordan udfører du en revision eller kontrol af din kundes identitet?
Din kontrol og verifikationskontrol af dine kunders identitet er bygget på din risikovurdering og identificeret risiko. Derefter kan du foretage en revision under streng eller afslappet procedure.
Strenge procedurer for fysiske personer kan blandt andet være en anmodning om kopi af deres pas, et fysisk møde eller yderligere krav vedrørende vilkårene for din forventede fælles forretning.
Hvis det drejer sig om en juridisk enhed, kan du anmode om stiftelsesdokumenter, vedtægter og stille mere omfattende krav til beskrivelsen af forretningsomfanget.
En KYC-kontrol kræver hentning af personlige data, der dokumenterer klientens identitet. Som udgangspunkt inkluderer dette navn og personnummer eller LEI (juridisk enhedsidentifikator), afhængigt af om du vurderer en person eller en juridisk enhed. Med denne metode kan du verificere og kontrollere din klients identitet — og dermed overholde KYC-standarder.
Disse identificerende oplysninger skal kontrolleres via en uafhængig og troværdig kilde. Det betyder, at dokumenterne skal verificeres og sammenlignes med andre registre eller kilder, der kan validere adresser, pas eller navne.
For både personer og juridiske enheder skal du - hvis det er relevant - indhente oplysninger om formålet med forretningsforetagendet og omfanget af din relation.
Hvor ofte skal du tjekke din kundes identitet?
Du skal kontrollere din klients identitet i starten af hvert forretningsforetagende - og hvis der er ændringer i din klients omstændigheder, såvel som på passende tidspunkter.
Med højrisikokunder kan proceduren gentages en gang om året, hvorimod med lavrisikokunder kan en check hvert femte år være tilstrækkelig.
Omfanget af KYC-kontrollen afhænger af kundens risikovurdering. I tilfælde, hvor du vurderer, at der er en lav risiko for hvidvaskning af penge, kan du udføre en mere slap KYC-check. Du kan for eksempel vælge ikke at få opdateret dokumentation, forudsat at de identifikationspapirer (ID), du oprindeligt modtog, stadig er juridisk gyldige.
Husk at tjekke for PEP (Political Exposed Person)
Som følge af det seneste direktiv om bekæmpelse af hvidvaskning af penge fra EU er du nu også forpligtet til at afgøre, om personen er en PEP (politisk eksponeret person)
Politisk udsatte personer er personer, hvis politiske position eller relation gør dem til et højrisikomål for hvidvaskning af penge. Det skyldes, at de er mere tilbøjelige til at blive udsat for afpresning, bestikkelse eller på anden måde (frivillig og tvunget) blive involveret i økonomiske forbrydelser.
Dette kan gøres ved krydshenvisninger med offentligt tilgængelige oplysninger og databaser, også kendt som Pep-lister.
Det er vigtigt at være opmærksom på, at disse lister ikke er tilstrækkelige til at indikere, om en person betragtes som en PEP - de er kun lister over de mennesker, som lokale myndigheder har rapporteret som eksplicit politisk eksponerede.
Ægtefæller, forretningspartnere osv. til personer på PEP-listerne betragtes også som PEP'er. Det gør det især vanskeligt for virksomheder at overholde PEP-kravene uden at bruge eksterne datakilder, der specialiserer sig i at opretholde opdaterede lister over alle personer, der kan defineres som PEP.
Meo arbejder sammen med en række eksterne dataleverandører, der har specialiseret sig i at have opdaterede PEP-lister, der dækker en lang række nationaliteter og sektorer

Customer Due Diligence - Hvad er CDD og dens forbindelse til AML?
Introduktion til CDD
CDD, eller Customer Due Diligence, er et vigtigt koncept at kende - især for virksomheder, der er underlagt love, regler og direktiver mod hvidvaskning af penge. Hvad er CDD i bankvirksomhed for eksempel?
Efter EU's seneste direktiv om hvidvaskning af penge (AML 5), der blev udstedt i 2020, har der været en række ændringer i lovgivningen om hvidvaskning af penge i Europa. Den største ændring er, at virksomhederne blev tvunget til at gå over til en risikovurderingsmodel mod hvidvaskning af penge (AML), der kræver mere af virksomhederne og deres evne til korrekt at vurdere deres kunder og kunderelationer - og det er her CDD kommer ind i billedet.
I denne artikel forklarer vi grundigt, hvad CDD er - og besvarer de hyppigst stillede spørgsmål om emnet.
Hvad er CDD?
CDD er et forkortelse for 'Customer Due Diligence'.
Udtrykket gælder for alle procedurer, som en virksomhed bruger til at verificere identiteten af deres kunder eller kunder, samt vurdere deres baggrundsinformation og risikoniveau. En række af disse aktiviteter skal gennemføres, før den potentielle kunde faktisk underskriver en juridisk kontrakt og bliver klient.
Begge dele individer og andre virksomheder kan være genstand for en CDD-undersøgelse.
Hvorfor er Customer Due Diligence vigtigt?
Der er en hel del gode grunde til, at virksomheder har korrekte Customer Due Diligence procedurer og tjeklister på plads, når du har brug for at vurdere potentielle kunder:
- For at beskytte din virksomhed mod potentielle risici.
- At træffe de bedst mulige beslutninger som virksomhed.
- For at overholde gældende love og regler.
- At beskytte virksomheden mod bedrag og fejlbehandling, såsom identitetstyveri.
- At hjælpe virksomheden med at identificere usædvanlig adfærd hos virksomhedens kunder.
Af disse grunde er en procedure vedrørende Customer Due Diligence et nødvendigt redskab for mange virksomheder, især virksomheder, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge.
Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven).
Tjekliste for kundedue diligence
Hvad er CDD, og hvordan håndterer du denne proces? CDD-data består af oplysninger om en kunde eller klient, der gør det muligt at vurdere, i hvilket omfang kunden kan sætte virksomheden i fare for at blive misbrugt til hvidvaskning af penge eller finansiering af terrorisme.
Disse data kan bl.a. bestå af:
1. Klientens identitet
Navne, fotos, adresser og fødselsattester kan alle bruges til at identificere en klient.
2. Baggrundskontrol
En del af den indledende CDD vedrører også PEP-screeninger, der vurderer, om klienten er en såkaldt PEP (politisk eksponeret person). Det kan f.eks. være at undersøge, om klienten har eller er involveret i skandaler eller andre bekymrende aktiviteter (oplysninger, der typisk er offentligt tilgængelige). Dette kaldes Adverse Media Screening.
3. Ejerskab
Hvis din klient er en virksomhed eller organisation, er det vigtigt at fastslå ejerskabet af virksomhederne: hvem ejer virksomheden? Hvis ejerskabet deles, hvem ejer så hvor mange aktier i virksomheden?
4. Kundeforhold
Det er lige så vigtigt at forstå og få et overblik over det faglige forhold mellem dig og din potentielle kunde. Hvordan er dette forhold? Hvad er formålet med partnerskabet?
Forbedret due diligence (EDD) for højrisikokunder
Visse kunder - for eksempel PEP'er - har en højere risikoprofil end andre. I disse tilfælde er det vigtigt at implementere procedurer defineret som Enhanced Due Diligence (EDD).
Med Enhanced Due Diligence undersøger du den potentielle kundes:
Juridiske anliggender
Er personen eller virksomheden tidligere blevet dømt, eller involveret i en forbrydelse? Er der nogen kontraktforhold, der skal redegøres for? Spørgsmål som disse illustrerer vigtigheden af Customer Due Diligence og Enhanced Due Diligence.
Finanser og skatter
Hvordan er deres årsregnskaber? Er der tydelige tegn på ulovlige aktiviteter?
Aktier
Stemmer alt sammen, når det kommer til personens/virksomhedernes fysiske aktier og varer, herunder kontorer og produktionsfaciliteter?
Løbende kontrol og vurdering
Du kan implementere en forbedret, løbende kontrol og overvågning af kundens forretning.
Hvem kan drage fordel af en Customer Due Diligence tjekliste?
Der er forskellige typer virksomheder og organisationer, der kan drage fordel af at bruge Customer Due Diligence tjeklister som en del af deres KYC-processer. Disse omfatter blandt andet:
- Virksomheder, der beskæftiger sig med kunder generelt
- Sådanne virksomheder kan drage fordel af at have en CDD-tjekliste for at hjælpe dem med at undgå juridiske eller økonomiske problemer, der kan opstå ved ikke at gennemføre grundig due diligence på kunderne. Ved at følge trinene i ovenstående tjekliste kan virksomheden sikre, at de nødvendige forholdsregler træffes for at undgå potentielle risici og problemer.
- Virksomheder forpligtet til at overholde AML-reglerne
- Forordninger om bekæmpelse af hvidvaskning af penge (AML) kræver, at virksomhederne indfører yderligere foranstaltninger for at forhindre finansiering af kriminelle aktiviteter. En del af disse lovgivningsmæssige krav omfatter færdiggørelsen af CCD. Ved at bruge en tjekliste kan virksomheder sikre sig, at de løbende overholder AML-reglerne.
- Enhver organisation eller finansiel institution, der ønsker at beskytte sig mod de finansielle risici, der er forbundet med kunderne
Dokumentation til at hjælpe virksomheder med at identificere og vurdere potentielle trusler fra deres kunder kan være ret gavnligt. Ved at indføre og sikre passende foranstaltninger til at afbøde disse risici kan virksomhederne beskytte sig mod eventuelle økonomiske tab, der måtte opstå som følge heraf.
Hvad er risikoen ved ikke at udfylde en Customer Due Diligence tjekliste?
Først og fremmest kan din virksomhed ende med at være ansvarlig for eventuelle tab, som den anden part har lidt som følge af din virksomheds uagtsomhed
For det andet kan din virksomhed blive genstand for civile eller strafferetlige sanktioner, hvis det opdages, at du har deltaget i hvidvaskning af penge eller anden økonomisk kriminalitet, selvom det ubevidst.
For det tredje kan din virksomhed gå glip af vigtige oplysninger om den anden part, der kan være afgørende for en beslutningsproces.
Endelig kan din virksomhed blive sortlistet for manglende overholdelse af lovgivningsmæssige krav eller af finansielle institutioner, hvis det viser sig, at forretningen er blevet udført med enkeltpersoner eller enheder i højrisikokategorier.
Customer Due Diligence i forbindelse med hvidvaskning af penge
CDD-procedurer er uvurderlige for virksomheder, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge (AML), da de er nødvendige for at gennemføre de enkelte kunders risikovurderinger.
I mange tilfælde er der behov for både CDD (Customer Due Diligence) og KYC (Kend din kunde) oplysninger for at få et ordentligt overblik over klientens risikoprofil og samtidig verificere dennes identitet“. Virksomhedens KYC-procedure beskriver, hvilke opgaver der er nødvendige for at udføre, før virksomheden troværdigt kan sige, at de kender deres klient.
For eksempel er CDD- og KYC-procedurer nødvendige for:
1. Nye kunder
Før en potentiel ny kunde bliver en faktisk kunde, skal deres identitet verificeres og gennemgå en risikovurdering.
2. Enkelttransaktioner
Virksomheder i den finansielle sektor såvel som banker er forpligtet til at undersøge og evaluere, om kunder udviser mistænkelig adfærd. Dette kan f.eks. være, når der foretages en betydelig transaktion, eller når man handler med højrisikolande.
3. Mistanke om hvidvaskning af penge
En gennemgående baggrundskontrol af klienten er også nødvendig, hvis du har mistanke om, at vedkommende kan være involveret i kriminelle aktiviteter, såsom hvidvaskning af penge.
4. Manglende eller fejlbehæftet dokumentation
Hvis en klient ikke er i stand til at levere gyldige eller godkendte identitetsdokumenter, skal virksomheden udføre en CDD-kontrol.
Strømlin din Customer Due Diligence procedure med Meo
Meo er en softwareplatform udviklet til at håndtere information og data om dine kunder på en sikker og centraliseret måde.
Med Meo får du:
En sikker og automatiseret onboarding
Du kan definere og få de nødvendige oplysninger fra dine kunder - direkte i platformen.
Et omfattende overblik
Alle relevante oplysninger om dine kunder gemmes i en brugervenlig platform. Det giver dig et stort overblik og sikrer, at du overholder GDPR. Du kan også tagge klienter for nem organisering.
Automatiserede processer
Med Meo er det muligt at integrere processer, der automatisk screener dine kunder mod PEP-lister.
Hvad er nogle af advarselsflagene, når det kommer til CDD?
Advarselsflag, der vises under en KYC-kontrol (Kend Your Customer), bør undersøges nøje, inden der træffes beslutning om, hvorvidt forretningsforholdet skal indledes eller fortsættes. Disse advarselsflag kan variere fra virksomhed til virksomhed og branche til branche, men almindelige advarselsflag, man skal passe på under en CDD-kontrol, inkluderer, for eksempel
- De angivne kundeoplysninger stemmer ikke overens med den dokumentation, der er tilgængelig i revisionen
- Hvis ejerbilledet er uklart eller omfatter udenlandske virksomheder og/eller personer
- Der mangler registrering af en retmæssig ejer
- En eller flere af selskabets repræsentanter er på PEP- eller sanktionslister
- Hvis virksomhedens repræsentanter er involveret i andre virksomheder, der vurderes som højrisikofyldte
- Hvis den branche, hvor virksomheden opererer, er særlig tilbøjelig til hvidvaskning af penge, såsom handel med kryptokurrency eller bookmaking og væddemål
- Hvis virksomhedens aktiviteter omfatter kontanthåndtering
Og listen fortsætter og fortsætter. Det vigtigste er dog at være opmærksom på og lydhør over for kundeinformation og adfærd for at undgå unødvendig risiko.
Hvem er Meo?
Hvem er vi hos Meo, og hvorfor hjælper vi med CDD inden for bank og andre organisationer og områder?
Hos Meo arbejder vi med KYC-procedurer og Customer Due Diligence i flere forskellige institutioner og organisationer. Vores tidligere nævnte software-as-a-service hjælper med at strømline disse processer og håndtere data og udvekslinger korrekt og sikkert i overensstemmelse med GDPR.
Vi har gennem mange år arbejdet med flere typer organisationer med alt fra AML, datasikkerhed, compliance checks, PEP-lister og generel videndeling inden for RegTech. Vores digitale løsning hjælper med effektiv CDD ved at kontrollere Pep-lister og grundige baggrundskontroller.
Du er meget velkommen til at kontakte os for at høre mere om vores software og digitale løsninger samt vores onboarding. Tilmeld dig vores nyhedsbrev, hvor vi jævnligt sender information og videndeling om alt fra 'hvad er CDD og hvordan man bliver opmærksom på hvidvaskning af penge'.

Hvad er en PEP (politisk eksponeret person)?
Lær, hvad en politisk eksponeret personliste er.
PEP'er, eller politisk eksponerede personer, er personer, der er involveret i politik eller har et højt embede i regeringer, bare for at nævne et par eksempler.
Hvis din virksomhed er underlagt Bekæmpelse af hvidvaskning af penge love og regler, det er vigtigt, at du kan afgøre, om du er involveret i PEP'er, da de ofte kommer med en højere risiko for hvidvaskning af penge og finansiering af terrorisme.
På denne side forsøger vi at besvare 'hvad er en PEP', og alle andre spørgsmål vedrørende listen over politisk eksponerede personer:
- Hvad betyder en PEP (politisk eksponeret person)?
- Hvordan fungerer en PEP-liste?
- Hvad skal du gøre som virksomhed, hvis du har en kunde, der er en PEP?
- Hvordan Meo-platformen kan hjælpe dig med at kontrollere dine kunders identitet og foretage PEP-screeninger.
- Bekæmp økonomisk kriminalitet med grundige PEP-screeninger
- Seneste ændringer i PEP-lovgivningen
- Identifikation af PEP'er
Hvad er en PEP?
Hvad er betydningen af PEP? En PEP (politisk eksponeret person) er en person, der har et højtstående job i en regering eller en anden form for politisk stilling. Med andre ord er det en person, der besidder en bestemt form for politisk og institutionel magt.
På grund af denne magt betragtes de som høj risiko i forhold til hvidvaskning af penge, afpresning, bestikkelse og andre former for korruption - både frivillig og ufrivillig. Ægtefæller, familie og nære forretningspartnere betragtes også som PEP, da deres forhold kan udnyttes af kriminelle til at presse personen i magtpositionen.
Eksempler på PEP omfatter typisk:
- Politikere
- Ledere af regering eller stat
- Dommere og medlemmer af retten
- Højtstående medlemmer af Centralbanken
- Ambassadører
- Højtstående officerer i forsvarsstyrkerne
- Ægtefæller og børn af de ovennævnte personer
- Nære forretningspartnere og forbindelser mellem ovenstående personer
Direktivet om bekæmpelse af hvidvaskning af penge kræver, at alle virksomheder, der er omfattet af direktivet, skal være ekstra forsigtige, når de har kunder eller kunder, der er PEP'er - og udgør derfor en forhøjet risiko.
På grund af dette kan det være vanskeligt for virksomheder selv at vurdere, om en nuværende eller potentiel kunde er en PEP. Derfor har EU-regeringerne opstillet lister over nuværende og tidligere PEP'er, de såkaldte PEP-lister.
Hvad er en PEP-liste?
En PEP-liste er en oversigt over personer, der i øjeblikket eller tidligere er blevet klassificeret af EU som en politisk eksponeret person. Men hvad betyder en politisk eksponeret person?
Formålet med listen over politisk eksponerede personer er at gøre det lettere for virksomheder at vurdere, om deres kunder er udsat for forværrede omstændigheder. Hver europæisk regering har sin egen PEP-liste, som de opretholder.
Det er vigtigt at bemærke, at listerne ikke ses som tilstrækkeligt bevis for PEP-status. Det er muligt, at en person betragtes som en PEP på trods af at de ikke vises på listen, eller hvis de endnu ikke er tilføjet.
Det forhold, at listerne over politisk eksponerede personer er ufuldstændige — samt det faktum, at ægtefæller, nære forretningspartnere, blandt andre eksempler, også betragtes som PEP'er — gør det vanskeligt for virksomhederne at leve op til PEP-kravet uden at få adgang til eksterne datakilder, der har specialiseret sig i at føre opdaterede lister med alle personer defineret som PEP'er.
I disse tilfælde kan en platform som Meo hjælpe. Med vores AML-løsning kan du hurtigt og nemt udføre PEP-kontroller af kunder og kunder ved at screene en række PEP-lister over hele Europa.
Hvad skal du gøre som virksomhed, hvis din klient er en PEP?
Hvis du bliver involveret med en PEP-klient, skal du foretage en forbedret KYC-kontrol (hvilket betyder Kend din kunde) og implementere større tilsyn og flere revisioner af deres forretningsforetagende.
Hvordan du udfører en forbedret KYC-kontrol, kan du læse mere om i vores artikel om KYC (Kend din kunde).
Selve revisionen kan blandt andet bestå i, at din virksomhed undersøger deres finansielle transaktioner mere omhyggeligt samt evaluerer dit kundeforhold i forhold til deres aktuelle risikovurdering.
Meo gør det nemt at udføre en sikkerhedskontrol og krydshenvisning med PEP-lister
Med Meos platform kan du nemt bekræfte dine kunders identitet og krydsreference med en række veletablerede lister over politisk eksponerede personer.
Desuden sikrer vores platform, at dine kunders personlige data håndteres ansvarligt og i overensstemmelse med GDPR.
Se alle funktioner
Bekæmp økonomisk kriminalitet med grundige PEP-screeninger
Hvis du vil bekæmpe økonomisk kriminalitet, skal du være opmærksom på PEP-lister. Det er nødvendigt at være opmærksom på PEP'er, da det er vigtigt for medarbejdere og ledelse at være i stand til at identificere disse personer og håndtere dem korrekt og sikkert for at undgå økonomisk kriminalitet.
På verdensplan er bestikkelse og korruption store problemer, og der er mange eksempler på forsøg på at gøre netop dette mod PEP'er, derfor er der etableret fælles internationale standarder for at bekæmpe dem. Definitionen af PEP'er samt kravene til håndtering af PEP-transaktioner fastlægges ud fra internationale standarder og på erfaringer indsamlet gennem en årrække fra myndigheder over hele verden.
Seneste ændringer i PEP-lovgivningen
Et vigtigt element i de nye regler om bekæmpelse af hvidvaskning af penge er, at virksomhederne skal anvende en risikobaseret tilgang og foretage risikovurderinger af hvert enkelt kundeforhold. Dette gælder også reglerne om PEP'er.
Derudover skal viden og overvågning baseres på en risikovurdering, hvilket betyder, at virksomhederne skal styrke deres indsats og overvågning af PEP'er, der vides at have større risiko for eksponering for hvidvaskning af penge, herunder bestikkelse mv.
Yderligere procedurer for kundekontrol og yderligere overvågning skal udføres, hvis det enkelte selskab skønner det nødvendigt for at sikre fuld overholdelse af lovgivningen.
Identifikation af PEP'er
Regler om identifikation af PEP'er indføres som en forebyggende procedure og bør derfor ikke fortolkes således, at de stigmatiserer PEP'er som personer, der deltager i kriminelle aktiviteter. Virksomhederne har således ingen grund til at nægte at fortsætte et kundeforhold eller lukke eksisterende kundeforhold udelukkende på grund af, at en person er en PEP eller en nær associeret eller forretningspartner til en PEP.
PEP'er bør altid være opmærksomme på, at de og deres nære samarbejdspartnere og forretningspartnere til enhver tid kan blive bedt om at forklare eller dokumentere deres økonomi eller andre transaktioner.
Nærtstående parter og nære samarbejdspartnere
Nærtstående parter og nære partnere betragtes ikke som PEP'er udelukkende på grundlag af deres forhold til en PEP. De skal dog identificeres, fordi de kan drage fordel af eller blive udnyttet i forbindelse med hvidvaskning af penge, korruption eller bestikkelse.
Nærtstående parter
Definitionen af en nær slægtning til en PEP omfatter:
- Forældre
- Ægtefælle, samboer eller registreret partner
- Børn og deres ægtefæller, samboere og/eller registrerede partnere
Dette betyder, at udtrykket ikke påvirker søskende eller stedbørn og stedforældre f.eks.
Nære partnere
Definitionen af nære forretningspartnere i en PEP omfatter:
- En person, der er ejer af en virksomhed eller anden juridisk enhed sammen med en eller flere PEP'er.
- En person, der har et tæt forretningsforhold til en eller flere PEP'er. For eksempel en handelspartner.
- En person, der er ejer af et selskab eller en anden juridisk enhed, der udelukkende er etableret til fordel for en PEP. Det betyder, at personen kontrollerer alle ejerandele eller stemmerettigheder m.v. direkte eller indirekte.
Det betyder, at stillinger, der ikke ville blive betragtet som PEP'er, for eksempel er en person, der deltager i bestyrelsesarbejde sammen med en PEP.