Artikel

Artikel

Udforsk indsigtsfulde artikler, der tilbyder branchetendenser, overholdelsesindsigt og værdifulde oplysninger for at holde dig informeret og fremme i din compliance-rejse.
Artikel

Databeskyttelse: Sådan beskytter du dine kunders personlige data (og overholder GDPR)

Virksomheder, der behandler personoplysninger, skal beskytte disse data. Datasikkerhed er afgørende i finanssektoren, men også nødvendigt for alle, der håndterer data.
October 21, 2024
5 min read

En forretningsforpligtelse

Virksomheder, der behandler personoplysninger og oplysninger, er forpligtet til at beskytte disse data. Datasikkerhed er en grundlæggende forudsætning, hvis du arbejder inden for finansielle tjenester eller sektor - men det er også en nødvendighed, hvis du håndterer eller behandler nogen form for data.

I denne artikel forklarer vi:

  • Hvad er databeskyttelse?
  • Teknisk databeskyttelse
  • Organisatorisk databeskyttelse
  • Sådan håndteres brud på databeskyttelse

Med Meo kan du forenkle processen med at beskytte dine kunders personlige data — fra første kontakt til slutningen af dit forretningsforhold. Vores løsning sikrer, at du overholder GDPR og love og regler om bekæmpelse af hvidvaskning af penge (AML) i hele EU.

Læs mere om platformen

Hvad er databeskyttelse?

Databeskyttelse er en samlet betegnelse for alle sikkerhedsforanstaltninger og sikkerhedsforanstaltninger, der beskytter dine egne - og dine kunders - data.

Alle virksomheder i EU er i henhold til GDPR (General Data Protection Regulation) forpligtet til at beskytte deres kunders, medarbejderes og andre partneres data — herunder deres personoplysninger. Dette gælder både interne (personer i organisationen) og eksterne (for eksempel hackere) parter.

Det er op til virksomheden selv at implementere tilstrækkelige sikkerhedsforanstaltninger, der beskytter data. Disse sikkerhedsforanstaltninger kategoriseres normalt som enten:

  • Tekniske sikkerhedsforanstaltninger eller forholdsregler
  • Organisatoriske sikkerhedsforanstaltninger eller forholdsregler

Den passende grad eller omfang af sådanne foranstaltninger for din virksomhed er op til dig. Dette kræver blandt andet, at du laver en Konsekvensanalyse vedrørende databeskyttelse (DPIA) og en konsekvensanalyse af din databeskyttelse. Du kan finde en skabelon til en konsekvensanalyse vedrørende databeskyttelse (DPIA) på GDPR.EU.

Desuden er det vigtigt, at du kan dokument at du har installeret eller implementeret de nødvendige foranstaltninger, og at du efterfølgende og regelmæssigt vurderer, om de er tilstrækkelige til at beskytte de personlige oplysninger, du behandler.

Der findes en række internationalt anerkendte standarder for databeskyttelse, såsom:

  • ISO 29151
  • ISO 29134
  • ISO 27001

De kan læses fuldt ud på Den Internationale Standardiseringsorganisations hjemmeside.

Som dataansvarlig og som databehandler Det er vigtigt, at selvom du følger standarderne og retningslinjerne, er dette ikke synonymt med overholdelse af GDPR. Derfor er det vigtigt, at du har en systematisk, professionel og struktureret tilgang til jobbet. Hvis du behandler følsomme personoplysninger („særlig kategori af personoplysninger“), kan det være nødvendigt at tilføje eller udvide med efterfølgende beskyttelsesforanstaltninger.

Teknisk databeskyttelse

Teknisk databeskyttelse og sikkerhedsforanstaltninger er alle former for sikkerhedsforanstaltninger, der er afhængige af digitale værktøjer og it-infrastruktur. Det findes overvejende på computere og servere.

Dette kan for eksempel være:

  • Firewalls
  • Adgangskoder
  • 2-faktor godkendelse
  • Kryptering
  • Logning af datahåndtering
  • Forskellige administrative roller
  • Lagring af data i niveauer (så et brud ikke giver adgang til alle data)
  • Anti-virus
  • Sikkerhedskopiering

Organisatorisk databeskyttelse

Organisatorisk databeskyttelse og sikkerhedsforanstaltninger er den type databeskyttelse, der involverer mennesker og processer. Data sikres ved at uddanne medarbejdere og følge retningslinjer, der forbyder uplanlagte fejl eller forsætlige brud på personoplysninger.

Dette udtryk gælder for:

  • Procedurer for databehandling
  • Klar fordeling af roller og adgang
  • Sikkerhedskurser
  • Uddannelse af medarbejdere
  • Risiko- og konsekvensvurderinger
  • Handlingsplaner for brud på personoplysninger

Sådan håndteres brud på databeskyttelse

Ingen databeskyttelse er fejlsikker og idiotsikker.

Dette anerkendes også af selve GDPR og af de fleste af de tilsynsmyndigheder, der er ansvarlige for at håndhæve den i EU.

For at minimere skaden ved et brud er det vigtigt, at du har en klar handlingsplan for, hvornår du måske har mistanke om, at der er sket et brud på din sikkerhed. Dette omfatter, men er ikke begrænset til, en klar ansvarsfordeling mellem dataansvarlig og databehandler, hvordan du rapporterer potentielle overtrædelser til kunder, og klare retningslinjer for, hvordan du rapporterer overtrædelser til de relevante tilsynsmyndigheder.

Med Meo får du AML- og GDPR-kompatibel databeskyttelse

Med Meo får du en softwareplatform, der beskytter dine kunders data og sikrer, at du overholder love og regler om bekæmpelse af hvidvaskning af penge (AML).

Desuden hjælper platformen dig med at bekræfte dine kunders identitet, så du overholder KYC og CDD. Få mere information om vores sikkerhed ved at læse vores Hvidbog om sikkerhed.

Artikel

Databehandling og GDPR

GDPR (General Data Protection Regulation) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.
January 25, 2024
5 min read

Databehandling og overholdelse

GDPR (Generel databeskyttelsesforordning) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.

I denne artikel dykker vi dybt ned i databehandling og forklarer:

  • Hvad er databehandling, og hvad betragtes som følsomme data?
  • Hvilke krav stiller GDPR til din databehandling?
  • Hvordan behandler du personoplysninger korrekt?
  • Hvad er der i en databehandleraftale?
  • Hvad er forskellen mellem en databehandler og en databehandler?

Hvad er databehandling, og hvad er følsomme data?

Databehandling er enhver aktivitet, hvor personoplysninger indsamles, registreres, lagres, analyseres, overføres, slettes, sælges osv. Begrebet defineres så bredt, at enhver kontakt med personlige oplysninger grundlæggende betragtes som databehandling.

Data defineres i dette tilfælde som formaliseret information, der typisk håndteres af en maskine eller en computer.

De fleste virksomheder og organisationer vil, i en eller anden form, håndtere eller behandle en eller anden type data, oftest Personlige data. GDPR definerer personoplysninger som: „enhver information vedrørende en identificeret eller identificerbar fysisk person („registreret“); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

Personoplysninger er typisk opdelt i to kategorier. Nogle lande har også en tredje kategori, mens andre anser kategorien „Fortrolige personoplysninger“ for at være af samme kategori som følsomme data.

  • Generelle eller almindelige personoplysninger: navne, e-mail-adresser, bopæl, ansættelsessted og andre faktuelle oplysninger, der er offentligt tilgængelige.
  • Følsomme personoplysninger (“ Særlig kategori af personoplysninger „): Sundhedsjournaler, oplysninger om forsøgspersonens etnicitet, religion eller seksuelle identitet. Disse data er mere personlige og bør derfor håndteres med større omhu.
  • Fortrolige personoplysninger: CPR-numre, strafferegistre og andre klassificerede oplysninger, der skal reguleres særskilt.

Hvilke krav stiller GDPR til din databehandling?

Ifølge GDPR Alle personoplysninger skal håndteres og behandles særligt og følsomt. Jo mere personlige eller private oplysningerne er, jo flere regler og forskrifter skal du overholde under behandlingen af dataene.

Hvis du vil vide mere om, hvordan du skal beskytte dine kunders personlige data, kan du læse vores artikel om datasikkerhed.

Her er et konkret eksempel på, hvad GDPR kræver af dig, når du behandler data: En virksomhed skal kontrollere, om et givet navn rent faktisk tilhører klienten. Dette er et krav under KYC som defineret i Direktivet om bekæmpelse af hvidvask af penge. Her skal du bruge autoritative datakilder, der bekræfter troværdigheden af oplysningerne. Du kan for eksempel gøre dette ved at se en kopi af deres pas eller kørekort. Du skal derefter dokumentere, at du har bekræftet deres identitet. Al denne databehandling skal ske i overensstemmelse med GDPR.

Er der forskel på databehandling og databehandling?

Datahåndtering og databehandling bruges ofte om hverandre.

Man kan dog sige, at databehandling er den overordnede betegnelse for både datahåndtering og dataudnyttelse.

Datahåndtering kan ses som en næsten passiv eller ikke-transformativ behandling af data, hvorimod du med dataudnyttelse gør noget med disse data, såsom at analysere, slette eller ændre dem.

Hvordan behandler du personoplysninger korrekt?

For at kunne behandle personoplysninger korrekt har du brug for:

  • Den lovlig ret og en legitimt formål
  • Samtykke fra den person, hvis personoplysninger du behandler
  • EN databehandleraftale

EN lovlig ret og en legitimt formål er forudsætninger, når du behandler personoplysninger. Dine rettigheder er begrænset af, om du behandler generelle eller følsomme personoplysninger.

Du har brug for samtykke fra personen hvis personoplysninger du behandler. Dette skal opfylde en række krav: det skal være frivilligt, begrænset eller specifikt, informeret og utvetydigt. Desuden skal du dokumentere og bekræfte, at du har indhentet samtykket korrekt.

Der er undtagelser for, hvornår en virksomhed kan få samtykke. Dette kan være, hvis det for eksempel er nødvendigt af omhu og due diligence over for personen, eller hvis der er en legitim grund til databehandleren, der ikke afløses af subjektets egne interesser.

Du kan læse mere om samtykke på GDPR.eu.

For det tredje har virksomhederne brug for en databehandleraftale. Dette er en kontrakt, der indeholder instruktioner til databehandleren om, hvordan oplysningerne skal behandles. Denne aftale er mellem datahåndtering og databehandler.

Hvad er der i en databehandleraftale?

En databehandleraftale skal give databehandleren klare instruktioner om, hvordan oplysningerne skal håndteres og behandles. Det er et juridisk bindende dokument, der skal være skriftligt og opbevares elektronisk.

Formålet med aftalen er at sikre, at personoplysningerne behandles og behandles ansvarligt og sikkert. Det er også vigtigt, at den indeholder krav til, hvordan og hvornår man skal kontakte dataadministratoren, hvis der er mistanke om sikkerhedsbrud eller misbrug. Hvis din virksomhed er databehandler, er det dit ansvar for at informere dataadministratoren om mistanke om misbrug eller brud på datasikkerheden.

Som en del af instruktionerne skal databehandleren også være forpligtet til at udføre årlige eller efter aftale revisioner for at dokumentere, at de følger instruktionerne og gældende lovgivning. Dette kan ske gennem en revisionsrapport, der skal certificeres af en ekstern revisor.

Du kan finde en skabelon til en databehandleraftale på GDPR.eu.

Hvad er forskellen mellem en databehandler og en databehandler?

Databehandleren og databehandleren er ikke den samme person.

Datahåndtereren er den part, der bestemmer, hvilke data der skal behandles, til hvilket formål og ved hjælp af hvilke værktøjer. Datahåndtereren definerer grundreglerne for, hvordan dataene skal behandles.

På den anden side er databehandleren den part, der udfører selve behandlingen på vegne af databehandleren.

Det er vigtigt at adskille de to, fordi de har forskellige krav. Den ene part, databehandleren, sikrer, at databehandlingen er i overensstemmelse med GDPR, mens den anden part, databehandleren, påtager sig ansvaret for at handle i overensstemmelse med de givne instruktioner.

Nemmere databehandling med Meo

Med Meo kan du nemt finde de oplysninger, du har brug for om dine kunder ved hjælp af en simpel søgning. Og personoplysninger slettes eller arkiveres korrekt, når en forretningsrelation slutter.

Platformen sørger for, at du overholder GDPR og gør det nemt at håndtere data for:

Onboarding

Ombord dine kunder ved hjælp af sikre kanaler.

Validering

Bestem dine krav til validering af oplysninger.

Dokumentation

Fuld log og sporing af handlinger og adgang.

Artikel

Customer Due Diligence - Hvad er CDD og dens forbindelse til AML?

CDD, eller Customer Due Diligence, er et vigtigt koncept at kende - især for virksomheder, der er underlagt love, regler og direktiver mod hvidvaskning af penge. Hvad er CDD i bankvirksomhed for eksempel?
January 25, 2024
5 min read

Introduktion til CDD

CDD, eller Customer Due Diligence, er et vigtigt koncept at kende - især for virksomheder, der er underlagt love, regler og direktiver mod hvidvaskning af penge. Hvad er CDD i bankvirksomhed for eksempel?

Efter EU's seneste direktiv om hvidvaskning af penge (AML 5), der blev udstedt i 2020, har der været en række ændringer i lovgivningen om hvidvaskning af penge i Europa. Den største ændring er, at virksomhederne blev tvunget til at gå over til en risikovurderingsmodel mod hvidvaskning af penge (AML), der kræver mere af virksomhederne og deres evne til korrekt at vurdere deres kunder og kunderelationer - og det er her CDD kommer ind i billedet.

I denne artikel forklarer vi grundigt, hvad CDD er - og besvarer de hyppigst stillede spørgsmål om emnet.

Hvad er CDD?

CDD er et forkortelse for 'Customer Due Diligence'.

Udtrykket gælder for alle procedurer, som en virksomhed bruger til at verificere identiteten af deres kunder eller kunder, samt vurdere deres baggrundsinformation og risikoniveau. En række af disse aktiviteter skal gennemføres, før den potentielle kunde faktisk underskriver en juridisk kontrakt og bliver klient.

Begge dele individer og andre virksomheder kan være genstand for en CDD-undersøgelse.

Hvorfor er Customer Due Diligence vigtigt?

Der er en hel del gode grunde til, at virksomheder har korrekte Customer Due Diligence procedurer og tjeklister på plads, når du har brug for at vurdere potentielle kunder:

  • For at beskytte din virksomhed mod potentielle risici.
  • At træffe de bedst mulige beslutninger som virksomhed.
  • For at overholde gældende love og regler.
  • At beskytte virksomheden mod bedrag og fejlbehandling, såsom identitetstyveri.
  • At hjælpe virksomheden med at identificere usædvanlig adfærd hos virksomhedens kunder.

Af disse grunde er en procedure vedrørende Customer Due Diligence et nødvendigt redskab for mange virksomheder, især virksomheder, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge.

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven).

Tjekliste for kundedue diligence

Hvad er CDD, og hvordan håndterer du denne proces? CDD-data består af oplysninger om en kunde eller klient, der gør det muligt at vurdere, i hvilket omfang kunden kan sætte virksomheden i fare for at blive misbrugt til hvidvaskning af penge eller finansiering af terrorisme.

Disse data kan bl.a. bestå af:

1. Klientens identitet

Navne, fotos, adresser og fødselsattester kan alle bruges til at identificere en klient.

2. Baggrundskontrol

En del af den indledende CDD vedrører også PEP-screeninger, der vurderer, om klienten er en såkaldt PEP (politisk eksponeret person). Det kan f.eks. være at undersøge, om klienten har eller er involveret i skandaler eller andre bekymrende aktiviteter (oplysninger, der typisk er offentligt tilgængelige). Dette kaldes Adverse Media Screening.

3. Ejerskab

Hvis din klient er en virksomhed eller organisation, er det vigtigt at fastslå ejerskabet af virksomhederne: hvem ejer virksomheden? Hvis ejerskabet deles, hvem ejer så hvor mange aktier i virksomheden?

4. Kundeforhold

Det er lige så vigtigt at forstå og få et overblik over det faglige forhold mellem dig og din potentielle kunde. Hvordan er dette forhold? Hvad er formålet med partnerskabet?

Forbedret due diligence (EDD) for højrisikokunder

Visse kunder - for eksempel PEP'er - har en højere risikoprofil end andre. I disse tilfælde er det vigtigt at implementere procedurer defineret som Enhanced Due Diligence (EDD).

Med Enhanced Due Diligence undersøger du den potentielle kundes:

Juridiske anliggender

Er personen eller virksomheden tidligere blevet dømt, eller involveret i en forbrydelse? Er der nogen kontraktforhold, der skal redegøres for? Spørgsmål som disse illustrerer vigtigheden af Customer Due Diligence og Enhanced Due Diligence.

Finanser og skatter

Hvordan er deres årsregnskaber? Er der tydelige tegn på ulovlige aktiviteter?

Aktier

Stemmer alt sammen, når det kommer til personens/virksomhedernes fysiske aktier og varer, herunder kontorer og produktionsfaciliteter?

Løbende kontrol og vurdering

Du kan implementere en forbedret, løbende kontrol og overvågning af kundens forretning.

Hvem kan drage fordel af en Customer Due Diligence tjekliste?

Der er forskellige typer virksomheder og organisationer, der kan drage fordel af at bruge Customer Due Diligence tjeklister som en del af deres KYC-processer. Disse omfatter blandt andet:

  • Virksomheder, der beskæftiger sig med kunder generelt
  • Sådanne virksomheder kan drage fordel af at have en CDD-tjekliste for at hjælpe dem med at undgå juridiske eller økonomiske problemer, der kan opstå ved ikke at gennemføre grundig due diligence på kunderne. Ved at følge trinene i ovenstående tjekliste kan virksomheden sikre, at de nødvendige forholdsregler træffes for at undgå potentielle risici og problemer.
  • Virksomheder forpligtet til at overholde AML-reglerne
  • Forordninger om bekæmpelse af hvidvaskning af penge (AML) kræver, at virksomhederne indfører yderligere foranstaltninger for at forhindre finansiering af kriminelle aktiviteter. En del af disse lovgivningsmæssige krav omfatter færdiggørelsen af CCD. Ved at bruge en tjekliste kan virksomheder sikre sig, at de løbende overholder AML-reglerne.
  • Enhver organisation eller finansiel institution, der ønsker at beskytte sig mod de finansielle risici, der er forbundet med kunderne

Dokumentation til at hjælpe virksomheder med at identificere og vurdere potentielle trusler fra deres kunder kan være ret gavnligt. Ved at indføre og sikre passende foranstaltninger til at afbøde disse risici kan virksomhederne beskytte sig mod eventuelle økonomiske tab, der måtte opstå som følge heraf.

Hvad er risikoen ved ikke at udfylde en Customer Due Diligence tjekliste?

Først og fremmest kan din virksomhed ende med at være ansvarlig for eventuelle tab, som den anden part har lidt som følge af din virksomheds uagtsomhed

For det andet kan din virksomhed blive genstand for civile eller strafferetlige sanktioner, hvis det opdages, at du har deltaget i hvidvaskning af penge eller anden økonomisk kriminalitet, selvom det ubevidst.

For det tredje kan din virksomhed gå glip af vigtige oplysninger om den anden part, der kan være afgørende for en beslutningsproces.

Endelig kan din virksomhed blive sortlistet for manglende overholdelse af lovgivningsmæssige krav eller af finansielle institutioner, hvis det viser sig, at forretningen er blevet udført med enkeltpersoner eller enheder i højrisikokategorier.

Customer Due Diligence i forbindelse med hvidvaskning af penge

CDD-procedurer er uvurderlige for virksomheder, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge (AML), da de er nødvendige for at gennemføre de enkelte kunders risikovurderinger.

I mange tilfælde er der behov for både CDD (Customer Due Diligence) og KYC (Kend din kunde) oplysninger for at få et ordentligt overblik over klientens risikoprofil og samtidig verificere dennes identitet“. Virksomhedens KYC-procedure beskriver, hvilke opgaver der er nødvendige for at udføre, før virksomheden troværdigt kan sige, at de kender deres klient.

For eksempel er CDD- og KYC-procedurer nødvendige for:

1. Nye kunder

Før en potentiel ny kunde bliver en faktisk kunde, skal deres identitet verificeres og gennemgå en risikovurdering.

2. Enkelttransaktioner

Virksomheder i den finansielle sektor såvel som banker er forpligtet til at undersøge og evaluere, om kunder udviser mistænkelig adfærd. Dette kan f.eks. være, når der foretages en betydelig transaktion, eller når man handler med højrisikolande.

3. Mistanke om hvidvaskning af penge

En gennemgående baggrundskontrol af klienten er også nødvendig, hvis du har mistanke om, at vedkommende kan være involveret i kriminelle aktiviteter, såsom hvidvaskning af penge.

4. Manglende eller fejlbehæftet dokumentation

Hvis en klient ikke er i stand til at levere gyldige eller godkendte identitetsdokumenter, skal virksomheden udføre en CDD-kontrol.

Strømlin din Customer Due Diligence procedure med Meo

Meo er en softwareplatform udviklet til at håndtere information og data om dine kunder på en sikker og centraliseret måde.

Med Meo får du:

En sikker og automatiseret onboarding

Du kan definere og få de nødvendige oplysninger fra dine kunder - direkte i platformen.

Et omfattende overblik

Alle relevante oplysninger om dine kunder gemmes i en brugervenlig platform. Det giver dig et stort overblik og sikrer, at du overholder GDPR. Du kan også tagge klienter for nem organisering.

Automatiserede processer

Med Meo er det muligt at integrere processer, der automatisk screener dine kunder mod PEP-lister.

Hvad er nogle af advarselsflagene, når det kommer til CDD?

Advarselsflag, der vises under en KYC-kontrol (Kend Your Customer), bør undersøges nøje, inden der træffes beslutning om, hvorvidt forretningsforholdet skal indledes eller fortsættes. Disse advarselsflag kan variere fra virksomhed til virksomhed og branche til branche, men almindelige advarselsflag, man skal passe på under en CDD-kontrol, inkluderer, for eksempel

  • De angivne kundeoplysninger stemmer ikke overens med den dokumentation, der er tilgængelig i revisionen
  • Hvis ejerbilledet er uklart eller omfatter udenlandske virksomheder og/eller personer
  • Der mangler registrering af en retmæssig ejer
  • En eller flere af selskabets repræsentanter er på PEP- eller sanktionslister
  • Hvis virksomhedens repræsentanter er involveret i andre virksomheder, der vurderes som højrisikofyldte
  • Hvis den branche, hvor virksomheden opererer, er særlig tilbøjelig til hvidvaskning af penge, såsom handel med kryptokurrency eller bookmaking og væddemål
  • Hvis virksomhedens aktiviteter omfatter kontanthåndtering

Og listen fortsætter og fortsætter. Det vigtigste er dog at være opmærksom på og lydhør over for kundeinformation og adfærd for at undgå unødvendig risiko.

Hvem er Meo?

Hvem er vi hos Meo, og hvorfor hjælper vi med CDD inden for bank og andre organisationer og områder?

Hos Meo arbejder vi med KYC-procedurer og Customer Due Diligence i flere forskellige institutioner og organisationer. Vores tidligere nævnte software-as-a-service hjælper med at strømline disse processer og håndtere data og udvekslinger korrekt og sikkert i overensstemmelse med GDPR.

Vi har gennem mange år arbejdet med flere typer organisationer med alt fra AML, datasikkerhed, compliance checks, PEP-lister og generel videndeling inden for RegTech. Vores digitale løsning hjælper med effektiv CDD ved at kontrollere Pep-lister og grundige baggrundskontroller.

Du er meget velkommen til at kontakte os for at høre mere om vores software og digitale løsninger samt vores onboarding. Tilmeld dig vores nyhedsbrev, hvor vi jævnligt sender information og videndeling om alt fra 'hvad er CDD og hvordan man bliver opmærksom på hvidvaskning af penge'.

Artikel

Hvad er en PEP (politisk eksponeret person)?

PEP'er, eller politisk eksponerede personer, er personer, der er involveret i politik eller har et højt embede i regeringer, bare for at nævne et par eksempler.
January 25, 2024
5 min read

Lær, hvad en politisk eksponeret personliste er.

PEP'er, eller politisk eksponerede personer, er personer, der er involveret i politik eller har et højt embede i regeringer, bare for at nævne et par eksempler.

Hvis din virksomhed er underlagt Bekæmpelse af hvidvaskning af penge love og regler, det er vigtigt, at du kan afgøre, om du er involveret i PEP'er, da de ofte kommer med en højere risiko for hvidvaskning af penge og finansiering af terrorisme.

På denne side forsøger vi at besvare 'hvad er en PEP', og alle andre spørgsmål vedrørende listen over politisk eksponerede personer:

  • Hvad betyder en PEP (politisk eksponeret person)?
  • Hvordan fungerer en PEP-liste?
  • Hvad skal du gøre som virksomhed, hvis du har en kunde, der er en PEP?
  • Hvordan Meo-platformen kan hjælpe dig med at kontrollere dine kunders identitet og foretage PEP-screeninger.
  • Bekæmp økonomisk kriminalitet med grundige PEP-screeninger
  • Seneste ændringer i PEP-lovgivningen
  • Identifikation af PEP'er

Hvad er en PEP?

Hvad er betydningen af PEP? En PEP (politisk eksponeret person) er en person, der har et højtstående job i en regering eller en anden form for politisk stilling. Med andre ord er det en person, der besidder en bestemt form for politisk og institutionel magt.

På grund af denne magt betragtes de som høj risiko i forhold til hvidvaskning af penge, afpresning, bestikkelse og andre former for korruption - både frivillig og ufrivillig. Ægtefæller, familie og nære forretningspartnere betragtes også som PEP, da deres forhold kan udnyttes af kriminelle til at presse personen i magtpositionen.

Eksempler på PEP omfatter typisk:

  • Politikere
  • Ledere af regering eller stat
  • Dommere og medlemmer af retten
  • Højtstående medlemmer af Centralbanken
  • Ambassadører
  • Højtstående officerer i forsvarsstyrkerne
  • Ægtefæller og børn af de ovennævnte personer
  • Nære forretningspartnere og forbindelser mellem ovenstående personer

Direktivet om bekæmpelse af hvidvaskning af penge kræver, at alle virksomheder, der er omfattet af direktivet, skal være ekstra forsigtige, når de har kunder eller kunder, der er PEP'er - og udgør derfor en forhøjet risiko.

På grund af dette kan det være vanskeligt for virksomheder selv at vurdere, om en nuværende eller potentiel kunde er en PEP. Derfor har EU-regeringerne opstillet lister over nuværende og tidligere PEP'er, de såkaldte PEP-lister.

Hvad er en PEP-liste?

En PEP-liste er en oversigt over personer, der i øjeblikket eller tidligere er blevet klassificeret af EU som en politisk eksponeret person. Men hvad betyder en politisk eksponeret person?

Formålet med listen over politisk eksponerede personer er at gøre det lettere for virksomheder at vurdere, om deres kunder er udsat for forværrede omstændigheder. Hver europæisk regering har sin egen PEP-liste, som de opretholder.

Det er vigtigt at bemærke, at listerne ikke ses som tilstrækkeligt bevis for PEP-status. Det er muligt, at en person betragtes som en PEP på trods af at de ikke vises på listen, eller hvis de endnu ikke er tilføjet.

Det forhold, at listerne over politisk eksponerede personer er ufuldstændige — samt det faktum, at ægtefæller, nære forretningspartnere, blandt andre eksempler, også betragtes som PEP'er — gør det vanskeligt for virksomhederne at leve op til PEP-kravet uden at få adgang til eksterne datakilder, der har specialiseret sig i at føre opdaterede lister med alle personer defineret som PEP'er.

I disse tilfælde kan en platform som Meo hjælpe. Med vores AML-løsning kan du hurtigt og nemt udføre PEP-kontroller af kunder og kunder ved at screene en række PEP-lister over hele Europa.

Hvad skal du gøre som virksomhed, hvis din klient er en PEP?

Hvis du bliver involveret med en PEP-klient, skal du foretage en forbedret KYC-kontrol (hvilket betyder Kend din kunde) og implementere større tilsyn og flere revisioner af deres forretningsforetagende.

Hvordan du udfører en forbedret KYC-kontrol, kan du læse mere om i vores artikel om KYC (Kend din kunde).

Selve revisionen kan blandt andet bestå i, at din virksomhed undersøger deres finansielle transaktioner mere omhyggeligt samt evaluerer dit kundeforhold i forhold til deres aktuelle risikovurdering.

Meo gør det nemt at udføre en sikkerhedskontrol og krydshenvisning med PEP-lister
Med Meos platform kan du nemt bekræfte dine kunders identitet og krydsreference med en række veletablerede lister over politisk eksponerede personer.
Desuden sikrer vores platform, at dine kunders personlige data håndteres ansvarligt og i overensstemmelse med GDPR.
Se alle funktioner

Bekæmp økonomisk kriminalitet med grundige PEP-screeninger

Hvis du vil bekæmpe økonomisk kriminalitet, skal du være opmærksom på PEP-lister. Det er nødvendigt at være opmærksom på PEP'er, da det er vigtigt for medarbejdere og ledelse at være i stand til at identificere disse personer og håndtere dem korrekt og sikkert for at undgå økonomisk kriminalitet.

På verdensplan er bestikkelse og korruption store problemer, og der er mange eksempler på forsøg på at gøre netop dette mod PEP'er, derfor er der etableret fælles internationale standarder for at bekæmpe dem. Definitionen af PEP'er samt kravene til håndtering af PEP-transaktioner fastlægges ud fra internationale standarder og på erfaringer indsamlet gennem en årrække fra myndigheder over hele verden.

Seneste ændringer i PEP-lovgivningen

Et vigtigt element i de nye regler om bekæmpelse af hvidvaskning af penge er, at virksomhederne skal anvende en risikobaseret tilgang og foretage risikovurderinger af hvert enkelt kundeforhold. Dette gælder også reglerne om PEP'er.

Derudover skal viden og overvågning baseres på en risikovurdering, hvilket betyder, at virksomhederne skal styrke deres indsats og overvågning af PEP'er, der vides at have større risiko for eksponering for hvidvaskning af penge, herunder bestikkelse mv.

Yderligere procedurer for kundekontrol og yderligere overvågning skal udføres, hvis det enkelte selskab skønner det nødvendigt for at sikre fuld overholdelse af lovgivningen.

Identifikation af PEP'er

Regler om identifikation af PEP'er indføres som en forebyggende procedure og bør derfor ikke fortolkes således, at de stigmatiserer PEP'er som personer, der deltager i kriminelle aktiviteter. Virksomhederne har således ingen grund til at nægte at fortsætte et kundeforhold eller lukke eksisterende kundeforhold udelukkende på grund af, at en person er en PEP eller en nær associeret eller forretningspartner til en PEP.

PEP'er bør altid være opmærksomme på, at de og deres nære samarbejdspartnere og forretningspartnere til enhver tid kan blive bedt om at forklare eller dokumentere deres økonomi eller andre transaktioner.

Nærtstående parter og nære samarbejdspartnere

Nærtstående parter og nære partnere betragtes ikke som PEP'er udelukkende på grundlag af deres forhold til en PEP. De skal dog identificeres, fordi de kan drage fordel af eller blive udnyttet i forbindelse med hvidvaskning af penge, korruption eller bestikkelse.

Nærtstående parter

Definitionen af en nær slægtning til en PEP omfatter:

  • Forældre
  • Ægtefælle, samboer eller registreret partner
  • Børn og deres ægtefæller, samboere og/eller registrerede partnere

Dette betyder, at udtrykket ikke påvirker søskende eller stedbørn og stedforældre f.eks.

Nære partnere

Definitionen af nære forretningspartnere i en PEP omfatter:

  • En person, der er ejer af en virksomhed eller anden juridisk enhed sammen med en eller flere PEP'er.
  • En person, der har et tæt forretningsforhold til en eller flere PEP'er. For eksempel en handelspartner.
  • En person, der er ejer af et selskab eller en anden juridisk enhed, der udelukkende er etableret til fordel for en PEP. Det betyder, at personen kontrollerer alle ejerandele eller stemmerettigheder m.v. direkte eller indirekte.

Det betyder, at stillinger, der ikke ville blive betragtet som PEP'er, for eksempel er en person, der deltager i bestyrelsesarbejde sammen med en PEP.


Artikel

Hvad er KYC (Know Your Customer)?

KYC handler om at kende dine kunder, så din virksomhed undgår at blive involveret i organisationer, der begår forbrydelser og/eller hvidvasker penge.
August 1, 2025
5 min read

Know Your Customer (KYC) eller på dansk "Kend din kunde" er et grundlæggende compliance begreb, der typisk bruges af virksomheder, der er underlagt hvidvaskloven.

Formålet med KYC er at sikre, at en virksomhed kender til den modpart, som virksomheden ønsker at indgå et forretningsforhold med. En modpart kan være en kunde, en virksomhed, en klient, en investor eller andet. I forbindelse med KYC anvendes også begrebet Beneficial owner (BO) eller på dansk “Reelle ejere"), da det er det ikke alene er selve modparten man skal kende - men den eller de personer, der har det ultimative ejerskab eller kontrol over de midler, der skal indgå i forretningsforholdet. På den måde kan man undersøge, hvor og hvem der står bag en transaktion og på den måde undgå at indgå i forretningsforbindelser med kriminelle, hvidvaskere eller blive en del af terrorfinansiering.

Denne artikel gennemgår følgende områder:

  • Hvad er KYC?
    • Identifikation og verifikation 
    • Reelle ejere
    • Forretningsforbindelsens formål
    • Risikovurdering
    • Løbende overvågning
    • Skærpede procedurer 
  • Hvem er forpligtet til at udføre KYC?
  • Hvordan fungerer KYC?
  • Hvornår skal der laves KYC?
  • Hvorfor er det vigtigt?
  • Konsekvenserne ved ikke at følge reglerne?
  • Hvordan MEO kan hjælpe med det?

Hvad er KYC?

KYC (Know Your Customer) omfatter en længere liste over områder som virksomheder skal tage stilling til. Ofte er det denne indledende del som skaber forvirring både internt i virksomheder og i den eksterne kommunikation hvis ikke vi formår at forstå, at det ikke kun drejer sig om at kende til identiteten på en person - men også om at forstå hvilken risiko der er forbundet med selve forretnings formålet. 

Eksemplevis: 

Hvis en virksomhed ønsker at bistå en kunde med at sælge en fast ejendom - kan risikoen ved transaktionen være forskellig selvom det er den samme person der er involveret som den reelle ejer. 

  • Sælger “Den reelle ejer” er en person, som vi kan identificere og verificere via MitID. Ejendommen er en alm. villa i Danmark, og salgsprisen er 2,5 mio. Køber er også kendt via MitID

Som udgangspunkt ville vurderingen, om der var hvidvask eller anden kriminalitet involveret på ovenstående transaktion, være lav, da vi kender personerne og de er verificeret via MitID.   

Hvis vi i samme transaktion tilføjer nogle få informationer, kunne risikoen nemt ændre sig.  

  • Sælger “Den reelle ejer” er en person, som vi kan identificere og verificere via MitID. Ejendommen er en alm. villa i Danmark, og salgsprisen er 2,5 mio. Køber er også kendt via MitID
  • Sælger har haft ejerskab af ejendommen i 3 måneder og erhvervede den til 1.8 mio. kr. 
  • Sælger og køber har selv fundet hinanden og ejendommen har ikke været udbudt via ejendomsmægler   

Nu ville vurderingen, om der var hvidvask eller anden kriminalitet involveret på ovenstående transaktion, være meget høj, selvom vi kender personerne og de er verificeret via MitID. Men nu er der stor risiko for, at der i denne transaktion overføres en væsentlig værdi mellem de 2 personer, der efterfølgende vil være “hvide penge” og dermed vil virksomheden der bistå med transaktionen være involveret i hvidvask. 

Så KYC omfatter altså flere elementer - lad os gennemgå dem nedenfor.

Identifikation og verifikation 

Denne del handler om at indsamle en række oplysninger og efterfølgende verificere oplysningerne via en anden kilde. Det skal være en dokumenteret proces, hvor virksomheder skal forsøge at indhente tilstrækkelig information til at få bekræftet identificerede identiteter på den de arbejder sammen med. Den mest åbenlyse proces kunne være følgende eksempel: 

En person ønsker at sælge sit hus og opgiver sit navn og adresse på huset. Det er nu muligt, at efterprøve hvorvidt det pågældende navn der står som ejer af huset via tinglysning.dk og det er muligt at gennemføre en MitID-verifikation på den pågældende person.   

Hvordan kan MEO hjælpe dig med identifikation og verifikation ?

MEO gør det muligt at få et godt overblik over identifikationen af reelle ejere ved at hente virksomheders ejerstrukturer gennem integration med CVR-registeret, internationale datakilder og andre relevante datakilder. Systemet giver dig mulighed for at kortlægge komplekse ejerkæder og identificere de fysiske personer, der har den ultimative kontrol - også på tværs af internationale strukturer. En helt unik funktion er, at man kan anvende mange forskellige datakilder og dokumentere, hvilke datakilder der indikerer hvad.

Platformen gør det nemt at dokumentere 25%-grænsen og andre kontrolmekanismer som særlige rettigheder eller bestyrelsesposter. MEO gemmer og genbruger oplysninger om reelle ejere på tværs af forskellige kundeforhold, hvilket sparer betydelig tid ved gentagne transaktioner med de samme virksomheder.

Systemet advarer automatisk, hvis der opdages ændringer i ejerstrukturen via de datakilder der tillader det, og sikrer at dokumentationen altid er opdateret og klar til tilsynsformål.

Reelle ejere

Ved reelle ejere, skal den eller de personer som har afgørende indflydelse på transaktionen identificeres. Denne del er i praksis meget svær at håndtere - selvom det umiddelbart virker meget enkelt og ligetil. Når vi skal vurdere, hvem der har en afgørende indflydelse, er der flere muligheder der gør sig gældende. Når modparten er en virksomhed, vil de fleste kunne forstå, at det naturligvis må være den eller de personer der ejer virksomheden, som bestemmer eller har en afgørende indflydelse. I de fleste tilfælde er dette afgjort ud fra en %-vis andel af ejerskabet - typisk 25% eller mere kategoriseres som en afgørende andel ift. bestemmende indflydelse. Men der kan være mange andre faktorer der gør sig gældende - alt fra individuelle kontrakter/aftaler til bestemmelser i selskabets vedtægter. Så her er en større opgave ift. at få indhentet oplysninger der kan bekræfte de antagelser som man gør sig.         

Hvordan kan MEO hjælpe dig?

MEO gør det muligt at få et godt overblik over identifikationen af reelle ejere ved at hente virksomheders ejerstrukturer gennem integration med CVR-registeret, internationale datakilder og andre relevante datakilder. Systemet giver dig mulighed for at kortlægge komplekse ejerkæder og identificere de fysiske personer, der har den ultimative kontrol - også på tværs af internationale strukturer. En helt unik funktion er, at man kan anvende mange forskellige datakilder og dokumentere, hvilke datakilder der indikerer hvad.

Platformen gør det nemt at dokumentere 25%-grænsen og andre kontrolmekanismer som særlige rettigheder eller bestyrelsesposter. MEO gemmer og genbruger oplysninger om reelle ejere på tværs af forskellige kundeforhold, hvilket sparer betydelig tid ved gentagne transaktioner med de samme virksomheder.

Systemet advarer automatisk, hvis der opdages ændringer i ejerstrukturen via de datakilder der tillader det, og sikrer at dokumentationen altid er opdateret og klar til tilsynsformål.

Forretningsforbindelsens formål

Denne del er ofte overset eller dokumenteret dårligt og det skyldes som regel flere forhold. Denne del af KYC kan ikke gennemføres, medmindre virksomheden har lavet den lovpligtige “egen risikovurdering”. Egen risikovurderingen er en risikovurdering som alle virksomheder der er underlagt hvidvaskloven skal lave og løbende opdatere. I denne risikovurdering tager virksomheden stilling til hvilke forretningsaktiviteter de ønsker at tilbyde, samt hvilke risici ift. Hvidvaskloven disse aktiviteter indeholder. Så hvis virksomheden ønsker at bistå kunder med ejendomshandler, så skal dette være nævnt og indeholde de risici som måtte være forbundet med dette. Ligeledes skal denne risikovurdering også indeholde hvilke procedurer og tiltag virksomheden har til rådighed for at afdække de identificerede risici.

Når ovenstående er på plads, kan virksomheden forholdsvis nemt vurdere hvilket formål en forretningsforbindelse har og i hvilken risikoklasse denne aktivitet måtte befinde sig i.    

Hvordan kan MEO hjælpe dig med forretningsforbindelsens formål?

MEO hjælper med at strukturere og dokumentere formålsvurderingen ved at guide brugeren gennem standardiserede spørgsmål baseret på virksomhedens risikovurdering og sikrer, at alle forretningsforbindelser bliver kategoriseret korrekt i forhold til de identificerede risikoklasser. Dette gør det nemt at dokumentere både formålet og den tilhørende risikoprofil for hver kunde.

Der er en fuld audit log, der viser og dokumenterer alle ændringer mv. under hele kundeforløbet og som indgår i den arkiverede data efterfølgende.

Risikovurdering

Summen af alle de aktiviteter som KYC processerne indeholder giver virksomheden mulighed for at lave en samlet risikovurdering på den pågældende kunde. En risikovurdering skal altid være veldokumenteret og indeholde en samlet konklusion typisk om kunden har en risiko der er lav, mellem eller høj. Det er vigtigt at forstå, at en risikovurdering ikke er statisk, men løbende kan ændre sig, såfremt der sker væsentlige ændringer i et forretningsforhold. Husk - at man altid skal kunne dokumentere, hvilke ændringer der er sket i risikovurderinger over tid. Typiske områder der også er med i en risikovurdering er:   

  • Geografisk placering og aktivitetsområde
  • Transaktionsmønstre og forretningsart
  • Politisk eksponering (PEP-screening)
  • Sanktionslister og negative medieomtaler


Hvordan kan MEO hjælpe dig med risikovurdering?

MEO genererer en veldokumenteret risikovurdering baseret på en virksomhedsspecifik risikovurderingsproces, hvor kundens profil, transaktionsmønstre, geografiske placering og andre risikofaktorer kan indgå. Brugere har mulighed for kontinuerligt at opdatere risikovurderingen baseret på nye informationer, og systemet sender advarsler, når en kundes risikoprofil ændrer sig væsentligt. Platformen dokumenterer automatisk alle ændringer i risikovurderingen over tid og opretholder en komplet historik, som er kritisk for compliance og tilsynsformål. Dette sikrer, at virksomheden altid kan påvise, hvorfor og hvornår risikovurderinger blev ændret.

Løbende overvågning

Hvis ikke der er etableret en proces omkring løbende overvågning, vil det være umuligt at vurdere, om der er sket ændringer der betyder, at risikovurderingen skal genvurderes. I princippet bør man løbende overvåge alle de parametre, der indgår i risikovurderingen.    

Hvordan kan MEO hjælpe med løbende overvågning?

MEO overvåger automatisk alle kunder i realtid mod PEP-lister, sanktionslister og negative medieomtaler. Systemet sender øjeblikkelige advarsler, når der registreres ændringer, og opretholder en kontinuerlig auditlog over alle overvågningsaktiviteter.

Platformen overvåger også ændringer i de offentlige registreringer og sender notifikationer. Dette er tilgængeligt i de lande, hvor det er muligt.

Skærpede procedurer 

En skærpet procedure gør sig gældende, når der er konstateret en forhøjet risiko på en forretningsforbindelse, dette kan der være mange årsager til, men vigtigst er, at man kan identificere dem og har en proces for hvordan man håndtere dette.   

Hvordan kan MEO hjælpe dig?

Når der identificerer højrisikokunder, er det muligt i Meo at aktiveres skærpede procedurer med udvidet dataindsamling, krav om godkendelse fra senior ledelse, og implementering af hyppigere overvågning. Systemet styrer hele processen og sikrer, at alle nødvendige dokumentationer bliver indsamlet og godkendt.

Platformen dokumenterer alle de skærpede foranstaltninger og opretholder en komplet audit trail, som er kritisk for at kunne påvise overfor tilsynsmyndigheder, at korrekte procedurer blev fulgt for højrisikokunder.

Hvem er forpligtet til at udføre KYC?

KYC anvendes i en lang række sektorer som i den finansielle sektor, af advokater, revisorer, ejendomsmæglere, bogholdere, kunsthandlere og serviceproviders, men er også påkrævet i mange andre brancher, fx spillebranchen, auktionshuse, fodboldklubber mv.

Alle virksomheder, der er omfattet af hvidvaskloven, skal gennemføre kundekendskabsprocedurer (KYC) på deres kunder. De mest almindelige omfattede brancher inkluderer:

  • Banker og andre finansielle institutioner
  • Kreditgivere og betalingsformidlere
  • Advokater og revisorer
  • Ejendomsmæglere
  • Bogholdere og serviceproviders
  • Kunsthandlere og auktionshuse
  • Spilleoperatører
  • Virksomheder med kontanttransaktioner over 15.000 kr.

Derudover er alle erhvervsdrivende, der ikke er omfattet af hvidvaskloven, forpligtet til at overholde kontantforbuddet og må ikke modtage betalinger på 15.000 kr. eller derover i kontanter.

Nye AML-regler på vej: Fra 10. juli 2027 træder en ny EU AML-forordning i kraft, som erstatter den nuværende danske hvidvasklov. Den nye forordning vil gælde direkte i alle EU-lande og medfører harmoniserede regler på tværs af EU. Samtidig etableres AMLA (Anti-Money Laundering Authority) som ny fælles europæisk tilsynsmyndighed med hovedsæde i Frankfurt.

Er du i tvivl om, hvorvidt din virksomhed er omfattet af KYC-kravene, bør du konsultere hvidvaskloven eller søge professionel rådgivning.

Risikobaseret tilgang i KYC

KYC og hvidvaskbekæmpelse har gennemgået en fundamental transformation med overgangen fra regelbaseret til risikobaseret tilgang. Dette paradigmeskift, blev formaliseret gennem EU's 4. hvidvaskdirektiv og styrket med det 5. hvidvaskdirektiv, har ændret måden virksomheder skal håndtere deres KYC.

Tidligere fungerede KYC som en "checkboks-øvelse" hvor alle kunder blev behandlet ens ud fra et fast regelsæt. Dette var enkelt at administrere, men ineffektivt - en pensionist og en cryptocurrency-trader fik samme behandling, selvom risikoprofilen var vidt forskellig.

I dag skal virksomheder identificere, vurdere og forstå deres specifikke risici for derefter at træffe proportionale foranstaltninger. 

For virksomheder betød skiftet både øget ansvar og større fleksibilitet. Nu kan man fokusere ressourcerne hvor risikoen faktisk er, behandle lavrisikokunder mere effektivt og give højrisikosituationer den opmærksomhed, de kræver. Samtidig stilles der større krav til:

  • Ekspertise inden for risikostyring
  • Dokumentation af beslutninger
  • Løbende opdatering af systemer
  • Balancering af compliance og forretning

Den risikobaserede tilgang har gjort KYC fra en tick box øvelse til et strategisk værktøj i moderne forretningsdrift - komplekst, men langt mere effektivt til at bekæmpe den faktiske kriminalitet.

Hvorfor er KYC vigtigt?

KYC opleves ofte som bureaukratisk besværlighed - endnu en formular, endnu en legitimations-mail. Men bag disse procedurer ligger ønsket om en kritisk samfundsfunktion, der skal beskytte os alle. KYC fungerer lidt som et immunforsvar. Pengeinstitutter og andre virksomheder er blevet tildelt rollen som "dørvogter" - de skal forhindre kriminelle i at misbruge legitime virksomheder til ulovlige aktiviteter.

Det primære formål er at begrænse mængden af sorte penge på markedet og dermed gøre det sværere at tjene store penge på kriminalitet. Når kriminelle ikke kan "hvidvaske" deres penge, mindskes incitamentet til kriminalitet markant.

På mange områder kan man konkludere, at systemet virker. I Danmark alene sender bankerne over 65.000 mistanke-underretninger til myndighederne hvert år. Disse fører til konkrete efterforskninger og anholdelser, hvilket viser KYC's reelle betydning for kriminalitetsbekæmpelsen. Det vil altid være forbedringer og 65.000 mistanker er ikke i sigselv et målepukt for success 

KYC bekæmper ikke kun hvidvask, men også terrorfinansiering - hvor selv små beløb kan få katastrofale konsekvenser. Dette gør KYC til et nationalt sikkerhedsspørgsmål og en del af vores kollektive forsvar. Forebyggende effekt har også en værdi. Hvis det bliver nemt at hvidvaske penge, svækkes samfundets tillid til systemet, og viljen til at følge loven undermineres. KYC beskytter denne tillid ved at sikre, at alle spiller efter de samme regler.

For virksomheder handler KYC ikke kun om regeloverholdelse, men også om risikostyring og omdømme. Effektive procedurer beskytter mod bøder, omdømmeskader og økonomiske tab, samtidig med at de gør virksomheder bedre til at betjene deres kunder. I en globaliseret verden med lynhurtige pengestrømme er KYC vores kollektive forsvar mod dem, der vil udnytte det finansielle system. Det er langt mere end papirarbejde - det er en hjørnesten i et trygt og retfærdigt samfund.

Hvad sker der, hvis du ikke overholder KYC?

Manglende overholdelse af KYC-regler kan få alvorlige konsekvenser for både virksomheder og ledelse:

Tilsynsmyndigheder kan pålægge betydelige bøder ved overtrædelse af hvidvaskloven. Bødestørrelsen afhænger af overtrædelsens karakter og grovhed. Ved manglende KYC-procedurer for specifikke kunder udmåles bøder typisk som 25% af det samlede transaktionsbeløb. For systematiske mangler i compliance-systemer beregnes bøder baseret på den besparelse, virksomheden har opnået ved undladelsen, ganget med en procentsats afhængig af omsætningsniveauet.

Virksomhedens ledelse kan blive gjort personligt ansvarlig og idømt individuelle bøder, typisk omkring 10% af virksomhedens bødestraf. I alvorlige tilfælde kan overtrædelser føre til strafferetlige anklager mod enkeltpersoner eller virksomheder, der bevidst undlader at rapportere mistænkelige transaktioner.

Andre konsekvenser kunne være :

  • Tab af bankforbindelser eller forretningspartnerskaber
  • Tilbagekaldelse af licenser og tilladelser
  • Alvorlig skade på virksomhedens omdømme og troværdighed
  • Tab af kundernes tillid og forretnings­muligheder

Myndighederne i EU og Danmark håndhæver reglerne strengt, og mange virksomheder er allerede blevet ramt af betydelige bøder og andre sanktioner for manglende compliance.

Hvordan kan MEO hjælpe dig med KYC?

MEO er en danskudviklet compliance-platform, der automatiserer KYC-processen. Med MEO kan du:

  • Verificere kunders ID i realtid
  • Gennemføre PEP- og sanktionsscreening
  • Dokumentere alle trin i processen
  • Overholde gældende GDPR- og AML-krav

Platformen integreres let i dine eksisterende arbejdsgange og reducerer den manuelle byrde markant.

Book en demo

Vil du se, hvordan MEO kan hjælpe din virksomhed med at overholde KYC-kravene? Book en demo i dag og oplev fordelene ved automatiseret compliance.

Artikel

Selvevaluering: Giver det mening for dig at investere i et KYC-system?

Overvejer du skiftet fra manuelle til automatiserede KYC-processer? Denne vejledning hjælper dig med at evaluere dine nuværende metoder i forhold til automatiseringspotentialet.
October 21, 2024
5 min read

Både den juridiske og den finansielle industri oplever et betydeligt skift i, hvordan Know Your Customer (KYC) processer styres.

Manuelle metoder, der engang var standard, erstattes af automatiserede systemer. Denne ændring kommer fra øget global forretning, flere regler og kompleks økonomisk kriminalitet.

Kunderne ønsker hurtigere service

Tilsynsmyndigheder pålægger store bøder for fejl.

Automatiserede KYC-systemer tilbyder en måde at løse disse problemer på.

Overvejer du skiftet fra manuelle til automatiserede KYC-processer? Denne vejledning hjælper dig med at evaluere dine nuværende metoder i forhold til automatiseringspotentialet.

Anslå, hvor meget tid du bruger:

Når du får en ny kunde

Hvor lang tid tager det for en af jer at:

  • Skriv en e-mail/ring og spørg efter information?
  • Opfølgning (hvis klienten ikke svarer)?
  • Tjek ID?
  • Kontroller PEP-status?
  • Kontroller for sanktioner/negative medier?
  • Foretag sagen og klientens risikovurdering?
  • Gem oplysningerne på det rigtige sted?

Hvad er lønnen til den person, der udfører disse opgaver?

Hvis det er en virksomhedskunde:

  • Gør alt nævnt ovenfor for at verificere de reelle ejere?
  • Sørg for, at du kender alle de reelle ejere?
  • Bekræft virksomhedsoplysningerne i officielle registre?
  • Tjek virksomheden for sanktioner/negative medier?

Og hvad kræver det af dine kunder?

Overvej kundens perspektiv:

  • Flere anmodninger om oplysninger, ofte overflødige
  • Lange ventetider under onboarding-processen
  • Frustration over gentagne opfølgninger
  • Potentielt tab af forretningsmuligheder på grund af forsinkelser
  • Forvirring om omfanget af de krævede oplysninger
  • Bekymringer om databeskyttelse og sikkerhed

For at sikre, at disse trin følges:

  • Løbende overvågning af dine kunder?
  • At de manuelle procedurer opdateres regelmæssigt?
  • Løbende kontrol af de manuelle procedurer?
  • Korrekt dokumentation af risikovurderinger, når forholdet indledes, og hvis det ændrer sig?
  • At verifikation af data kan dokumenteres?
  • Et overblik over alle dine kunders risikoprofiler
  • En oversigt over antallet af klienter, der er PEP
  • At alle kunderelationer er godkendt
  • At du ved og husker, når du har brug for at verificere dine kunders data igen
  • At der ikke er nogen personlige oplysninger om klienter gemt i e-mails?
  • At alle klientdata arkiveres og rettidigt slettes
  • At du ved præcis, hvem der har adgang til hvilke oplysninger og kan dokumentere, hvem der har eller har haft adgang.
  • At du kan fortælle dine kunder, hvilke data du håndterer, og hvorfor.

Hvor sandsynligt er det, at du laver en fejl eller glemmer et skridt, når du har travlt?

Når der er en revision

  • Hvor meget tid har du brug for til at forberede dig til en revision, når du skal dokumentere, hvad du gør, og beviserne ligger i e-mails og mapper fra forskellige kolleger?
  • Kan du trække en liste med det kundeoverblik, som myndighederne kræver ved en revision? Liste over høj, medium og lav risiko, forskellige jurisdiktioner osv.
  • Kan du give disse data om de klienter, der er valgt til kontrol?

Nu hvor vi er ved det, har du husket at foretage din virksomhedsdækkende risikovurdering og dokumentere dine politikker og procedurer? - hvis det ikke skrives ned og gennemgås årligt, tæller det ikke.

Hvilke opgaver kan du bruge din tid på i stedet?

Overvej konsekvenserne

Hvis dine kunder ikke er tilfredse

  • Hvor mange vælger et andet firma, hvor klientens onboarding er lettere?

Hvis du ikke består en revision

  • Hvad vil det betyde for dit omdømme, hvis du får en sanktion, en bøde, og at det er offentligt kendt?
  • En sanktion kan også resultere i, at din virksomhed bliver sat på offentlige risikolister, og derefter vil dine forretningspartnere kræve en forbedret AML-kontrol af din virksomhed, før de kan arbejde sammen med dig.

Hvis det går helt galt

  • Hvad vil det betyde, hvis de kriminelle får fat i dig, og du ubevidst deltager i hvidvaskning af penge og/eller finansiering af terrorisme?
  • Hvor stor en bøde får du?
  • Hvad vil det betyde for dit omdømme?
  • Hvem af jer risikerer i værste fald at gå i fængsel, hvis dine politikker, procedurer og kontroller ikke er gode nok?

Fordelene ved et automatiseret KYC-system

✓ Forøg onboarding-konverteringsraterne med 60%
✓ Reducer omkostningerne ved at køre AML-overholdelsesoperationer med 75%
✓ Forbedre dit compliance-teams produktivitet 3-4 gange i gennemsnit
✓ Giv dine kunder et godt førsteindtryk med en professionel onboarding
✓ Stop de kriminelle, undgå bøder og bliv GDPR- og AML-kompatibel

Automatiserede systemer reducerer tiden brugt på gentagne opgaver. Dette frigør dit team til at fokusere på komplekse risikovurderinger og strategisk overholdelsesplanlægning. KYC-politikker anvendes konsekvent, med opdateringer i realtid og omfattende revisionsspor.

Disse systemer øger dit forsvar mod økonomisk kriminalitet. De genererer revisionsspor til lovgivningsmæssige inspektioner og registrerer mistænkelige aktiviteter hurtigere gennem overvågning i realtid. Dette begrænser kriminel udnyttelse, beskytter dit omdømme, og hjælper med at undgå lovgivningsmæssige sanktioner.

Dit team kan koncentrere sig om højrisikosager og compliance planlægning. KYC-politikker anvendes ensartet på tværs af alle klienter, hvilket reducerer menneskelige fejl - et almindeligt revisionsproblem. Efterhånden som lovgivningsmæssig kontrol og bøder stiger, styrker automatiseret KYC risikostyring og opretholder problemfri drift.

Overvej hvordan automatisering kan forbedre dine arbejdsgange, forbedre nøjagtigheden og øge dit teams evne til at imødekomme voksende lovkrav.

Ikke sikker på, om et automatiseret KYC-system er det rigtige for dig? Kontakt os. Vi er her for at rådgive baseret på dine specifikke behov.

_____________________

Tilmeld dig her for at få flere nyheder, opdateringer og begivenhedsinvitationer fra Meo!