Oplev de seneste indsigter

Alle advokatvirksomheder, der håndterer sager omfattet af hvidvaskloven, skal foretage en, konkret, sagsspecifik risikovurdering“. Det står klart både i lovgivningen og i Advokatrådets vejledning. Ikke desto mindre oplever Advokatsamfundet under tilsyn, at denne vurdering ofte er mangelfuld eller udført på et generisk niveau.

‍

Hvad siger vejledningen?

Ifølge Advokatrådets vejledning skal risikovurderingen:

• Udarbejdes for hver sag omfattet af hvidvasklovens § 1, stk. 1, nr. 13
• Være sagsspecifik og dokumenterbar
• Baseret på**forretningsmodellen, altså klienttyper, produkter, leveringskanaler og geografisk relation
• Udføres med fokus på den manglende risiko — altså risikoen før risikobegrænsende foranstaltninger

Det er ikke tilstrækkeligt, at du har en overordnet risikovurdering. Hver enkelt sag skal vurderes særskilt, og vurderingen skal dokumenteres.

(Kilde: Advokaten nr. 1, 2024 — Risikovurdering efter hvidvasklovens § 7)

‍

Eksempel: Fast ejendom — lav risiko? Måske, men ikke nødvendigvis

‍

Et klassisk eksempel er rådgivning i forbindelse med køb af fast ejendom. Mange advokater ville betragte denne sagskategori som lav risiko, fordi klienten typisk er en privatperson, og finansieringen sker via dansk realkredit.

‍

Men Advokatrådets vejledning peger på flere forhold, der kan påvirke risikovejledningen:

• Er der udenlandske klienter involveret?
• Indgår andre aktiver i handlen?
• Hvor ofte handler kundens ejendomme?
• Hvornår erhverves ejendommen og hvordan?
• Går rådgivningen uden fysisk kontakt?
• Ejendom, der ligger under kundens ejerskab

‍

Ovenstående er ikke udtømmende, og en standardvurdering af „lav risiko“ vil ikke være tilstrækkelig. Der skal foretages en konkret vurdering. Netop ejendomme kan være genstand for hvidvask, da mange ulovlige midler kan anvendes til at øge værdien af en ejendom, såsom anvendelse af sort arbejde til ændringer, løsøre med høj værdi osv.

‍

Læs også: Databeskyttelse: Sådan beskytter du dine kunders personlige data (og overholder GDPR) og DPO - Hvad er en databeskyttelsesrådgiver og datasikkerhed?

‍

Hvad skal bedømmelsen dække?

Ved vurdering af sagsniveau skal vi tage stilling til bl.a.:

1. Klienttyper

• Fysisk eller juridisk person
• Geografisk tilhørsforhold
• Persontype/historik

2. Produkt eller service

• Hvilken type rådgivning ydes?
• Er sagen kompleks eller usædvanlig?
• Har advokaten et fuldt overblik over transaktionen?

3. Leveringskanaler

• Går rådgivningen fysisk eller digitalt?
• Er der anonymitet eller afstand mellem klient og advokat?

4. Geografisk tilknytning

• Er der elementer i sagen i forbindelse med højrisikolande?
• Bruges banker, selskaber eller fonde i lande med lav gennemsigtighed?

‍

De udfordringer, vi ser i praksis

• Brug af standardiserede skemaer, hvor alle sager ender i samme risikokategori
• Manglende dokumentation for, hvorfor der foretages en vurdering
• At kundekendskabsproceduren (KYC) forveksles med selve risikovurderingen
• Manglende brug af eksterne kilder som nationale og EU's risikovurderinger

‍

Ofte vil det være rigtig svært at baggrunde sit „flueben“, når sagen udkommer ifm. et tilsynsbesøg 4 år efter, at det er afsluttet.

‍

Nogle gode råd til praksis

• Tænk på sagskategorier - udarbejde vejledende rammer for forskellige sagsområder, men juster for hver sag.
• Dokumenter dine overvejelser - en risikovurdering er ikke kun en flueben - den skal kunne stå alene under tilsyn.
• Hold dig opdateret om eksterne risikovurderinger - Brug fx Hvidvasksekretariatets og EU-Kommissionens vurderinger som pejlemærker.
• Involver hele teamet - Sikrer, at alle medarbejdere kender kravene og forstår forskellen mellem klientkendskab og risikovurdering.

‍

Det bedste råd, vil nok være, at have fokus på de beskrivelser, der bør indgå i selve risikovurderingen.

Læs også: Hvad er en PEP - politisk eksponeret person?

‍

Refleksion: Har jeg styr på det?

• Er jeres vurderinger „konkrete og individuelle“, eller er de præget af standardisering?
• Tager du højde for „risikoen for ubeboelse“ uden at lade dig påvirke dine interne procedurer?
• Kan jeg dokumentere „hvordan og hvorfor“ Jeg har vurderet en sag som høj, mellem eller lav risiko?

‍

I vores blog kan du finde og læse mange flere af vores indlæg om emner som Compliance, Due Diligence og Customer Due Diligence.

‍

TLDR;

• Advokatfirmaer står over for betydelige omdømmerisici som følge af manglende overholdelse af KYC og AML, herunder klienttab, beskadiget status og økonomiske byrder, hvor kun 30% af virksomhederne fuldt ud overholder reglerne i de seneste SRA-inspektioner.
• Stærk overholdelse kan være en konkurrencemæssig fordel, der tiltrækker kunder og talent, samtidig med at den beskytter og forbedrer en virksomheds omdømme.
• Proaktive foranstaltninger, såsom brugervenlig teknologiindførelse, medarbejderuddannelse og gennemsigtig kundekommunikation, er afgørende, da genopbygning af et beskadiget omdømme er dyrt og tidskrævende.
  ‍

Advokatfirmaer står over for betydelige omdømmerisici, når de ikke overholder KYC- og AML-forskrifter.Disse risici strækker sig ud over lovgivningsmæssige bøder og potentielt kan forårsage langvarig skade på en virksomheds status i det juridiske samfund og hos kunder.Det er ikke uhørt, at et firma mister flere nøglekunder efter nyhedspauser om deres AML-compliance-fejl - selvom problemerne hurtigt løses (tip: vi kan være partiske, men moderne compliance-software kan hjælpe med at forhindre sådanne fejl ved at automatisere kontroller og markere potentielle kontroller Udkommer tidligt!)

SRA-resultater og offentlig opfattelse

Solicitors Regulation Authority (SRA) inspektioner mellem april 2022 og april 2023 afslørede, at kun 30% af virksomhederne fuldt ud overholdt AML-forpligtelserne.

Denne statistik, nu offentlig viden, kan ødelægge tilliden til den juridiske sektor.

Når et advokatfirma står over for håndhævelseshandlinger og store bøder følger mediedækningen ofte.

Denne reklame kan ødelægge en virksomheds image, hvilket gør det vanskeligt at tiltrække nye kunder og fastholde eksisterende.

Offentligheden kan betragte virksomheder, der ikke overholder reglerne, som uetiske eller uagtsomme, uanset de specifikke omstændigheder.Hvis et advokatfirma finder sig genstand for en skadelig afsløring i en større avis efter at have modtaget en bøde for overtrædelser af AML, kan det i høj grad føre til tab af større erhvervskunder, og sådanne sager er velkendte. Det er en feltdag for konkurrenterne, og det tager ofte år at genopbygge mistet omdømme... og indtægter.

Kundetillid

Den høje procentdel af ineffektive klienterisikovurderinger rejser spørgsmål om advokatfirmaers evne til at beskytte deres kunders interesser. I værste fald kan dette føre til tab af kundetillid, især i sager, der involverer følsomme finansielle oplysninger. Kunder kan bekymre sig - hvad der er fuldt forståeligt - om sikkerheden af deres data og firmaets evne til at opretholde fortrolighed. En virksomhed kan miste en kunde efter ikke at have forklaret deres risikovurderingsprocedurer tilstrækkeligt, på trods af at der ikke er nogen faktiske databrud.

Professionel status inden for det juridiske samfund

Overholdelsesfejl kan skade en virksomheds position blandt jævnaldrende. Det juridiske samfund kan se ikke-kompatible firmaer som mindre professionelle eller kompetente, hvilket potentielt fører til færre henvisninger og samarbejde. Dette kan have en langsigtet indvirkning på en virksomheds vækst og succes. At blive offentligt irettesat for KYC-fejl kan koste en virksomhed værdifulde henvisninger.

Et beskadiget omdømme kan gøre det vanskeligt at tiltrække toptalent. Juridiske fagfolk kan være tøvende med at slutte sig til eller forblive i et firma, der er kendt for denne slags spørgsmål, frygter tilknytning til uetisk praksis eller mangel på faglige udviklingsmuligheder.

Mens direkte bøder er betydelige, kan den økonomiske virkning af omdømmeskader være langt større.Mistet forretning, øgede markedsføringsomkostninger for at genopbygge tillid og potentielle civile retssager fra berørte kunder kan skabe betydelige økonomiske byrder.

Globalt omdømme i en forbundet verden

For virksomheder, der opererer internationalt, kan manglende overholdelse i en jurisdiktion have globale konsekvenser. Den retlige verdens indbyrdes forbundne karakter betyder, at omdømmeskader hurtigt kan sprede sig på tværs af grænserne og påvirke en virksomheds position på flere markeder. Et firma kunne se et betydeligt fald i åbninger af nye sager på tværs af deres internationale kontorer efter at have stået over for AML-problemer på kun ét sted, på trods af rene overholdelsesregistre andre steder.

Centraliserede, teknologidrevne compliance-systemer kan hjælpe med at opretholde ensartede standarder på tværs af alle kontorer.

Læs også: Hvad er en PEP - politisk eksponeret person?

‍

Langsigtede genopretningsudfordringer

Genopbygning af et beskadiget omdømme tager tid og ressourcer. Virksomheder skal muligvis investere kraftigt i forbedringer af overholdelse, PR-indsats og styring af kundeforhold for at genvinde tillid. Denne proces kan aflede ressourcer fra kernejuridisk arbejde og vækstinitiativer.

Det kan tage flere års fokuseret indsats og betydelige investeringer at vende tilbage til deres tidligere niveau af rentabilitet og kundetillid efter en større compliance-skandale.

Positivt omdømme er en konkurrencefordel

Omvendt kan et stærkt ry for overholdelse blive et værdifuldt aktiv. Virksomheder kendt for deres strenge KYC- og AML-praksis vil sandsynligvis tiltrække kunder, der søger pålidelige juridiske partnere, især i højrisiko eller følsomme spørgsmål. Dette positive omdømme kan føre til forretningsvækst og opbygge stærkere kundeforhold. Du kan se en stigning i erhvervskunder med høj pris over tid på grund af en velomtalt investering i avanceret AML-software. Det kan påvirke din bundlinje på begge måder.

Kundeuddannelse er vigtig

Advokatfirmaer kan mindske omdømmerisici ved at uddanne klienter om deres compliance-indsats. Gennemsigtig kommunikation om KYC- og AML-procedurer kan demonstrere en virksomheds engagement i etisk praksis, hvilket potentielt styrker kundernes tillid og loyalitet. For eksempel kunne et firma se en betydelig reduktion i klienttilbageslag under onboarding efter at have implementeret en klar, juridisk fri guide, der forklarer deres KYC-processer. Moderne kundeonboarding og platforme, der giver dem adgang til deres data, kan lette denne gennemsigtighed, så kunderne også let kan forstå og engagere sig i overholdelsesprocedurer.

Supplerende læsning: Due Diligence og Hvad er CDD - Customer Due Diligence?

Proaktiv omdømmestyring

Implementering af robuste compliance-systemer og regelmæssig revision af praksis kan hjælpe med at forhindre omdømmeskader, før det opstår. Virksomheder, der tager en proaktiv tilgang til KYC- og AML-overholdelse, er bedre positioneret til at opretholde et positivt offentligt image og professionel stand.En virksomhed kan bestå en uventet inspektion med fløj farve efter at have besluttet at ansætte en fuldtids compliance officer og gennemføre kvartalsvise revisioner, hvilket hjælper deres omdømme i processen. Automatiseret overvågning af overholdelse kan understøtte disse bestræbelser ved at levere realtidsindsigt og advarsler.

Ledermuligheder inden for branchen

Virksomheder, der udmærker sig i overholdelse, kan positionere sig som brancheledere. At tale på konferencer, udgive tankeledende artikler og deltage i regulatoriske diskussioner kan forbedre en virksomheds omdømme og indflydelse inden for det juridiske samfund. Som vi har set mange gange, kunne et firma inviteres til at præsentere på en større juridisk teknisk konference efter at have implementeret et nyt AML-system af høj kvalitet, hvilket hæver deres profil i branchen som førende vejen for teknologiske fremskridt i dette ret konservative miljø.

Omdømme modstandsdygtighed gennem kultur

At skabe en stærk compliance-kultur inden for en virksomhed kan opbygge omdømme modstandsdygtighed. Når alle medarbejdere forstår og prioriterer KYC- og AML-krav, mindskes risikoen for omdømmeskadelige hændelser. Gennemførelsen af et virksomhedsdækkende efterlevelsesuddannelsesprogram bør resultere i en betydelig reduktion af mindre AML-overtrædelser over tid og styrke deres omdømme for omhu.

Udnyttelse af teknologi til beskyttelse af omdømme

Investering i avancerede compliance-teknologier forbedrer ikke kun effektiviteten, men kan også forbedre virksomhedens omdømme. Kunder kan se virksomheder, der bruger tilgængelige, brugervenlige compliance-værktøjer, som mere professionelle, og virksomheden selv som stærkt investeret i deres kunderelationer. Firmaets nemme og sikre onboarding kan imponere kunderne med en effektiv - men gennemsigtig og forståelig proces, der opfylder lovgivningsmæssige krav. Disse løsninger giver virksomheder mulighed for at styre overholdelse uden at have brug for teknisk ekspertise, men viser samtidig engagement i både regler og kundeservice. Kunder forventer normalt ikke, at deres juridiske rådgivere er tekniske eksperter, og det bør KYC-platformudbyderne heller ikke.

‍

Er du nysgerrig efter, hvordan Meo beskytter advokatfirmaers omdømme med effektiv og sikker alt-i-en compliance platform? Vores eksperter er altid glad for at tale med dig, så tøv ikke med at kontakte os.

I vores blog kan du finde og læse mange flere af vores indlæg om emner som Hvidvask og hvidvaskloven, Databeskyttelse og DPO

‍

Sikkerhedskontrolpunkt

Forestil dig, at du i stedet for at arbejde i overensstemmelse fører tilsyn med sikkerhedsprotokoller i en stor international lufthavn.

Dit team kan ikke undersøge alle ligaer. Det er simpelthen for travlt. Nogle passagerer vil kun gennemgå en scanner, og andre får en mere grundig kontrol. Dit personale er uddannet til at vide, hvad de skal holde øje med. De ved, hvem der har brug for mere af deres opmærksomhed:

• en nervøs forretningsmand med en enkeltbillet til et højrisikoland
• en turist med usædvanligt tung kuffert
• en hyppig flyvning, hvis rejseplanerne pludselig ændrer sig

Enhver forstyrrelse af almindelige mønstre er potentielt et rødt flag. Det trinvise screeningssystem, hvor alle gennemgår en grundlæggende screening, men som afsætter flere ressourcer til dem, der er markeret med risikoindikatorer, giver mulighed for grundig sikkerhed - samtidig med at driftseffektiviteten opretholdes.

Der er ikke noget kaos.

I enhver AML-reguleret branche står du over for en næsten identisk udfordring: hvordan man undersøger kunder uden at stoppe driften. Alle får baselinjekontrol, og så begynder du at kigge dybere:

• En lille virksomhed, der pludselig overfører store somre internationalt?
• En politiker fra et land kendt for korruption?
• En lille virksomhed, der pludselig overfører store somre uden for landet?
• En længerevarende kunde, hvis transaktionsmønstre ændres uden grund?

Denne del handler ikke kun om at krydse boksen længere. Du opbygger et detaljeret billede af hver kunde og justerer niveauet for kontrol baseret på den risiko, de potentielt kan udgøre.

Dette er en dynamisk proces, og en kunde, der startede som en lavrisiko, kan klatre på risikoen, efterhånden som deres adfærd ændrer sig.

At finde balancen mellem effektivitet og grundighed er kernen i risikobaseret KYC. Opretholdelse af stærk sikkerhed kræver, at du administrerer dine ressourcer godt, og denne adgang giver dig mulighed for at fordele dem, hvor risikovilligheden kræver det.

Læs også: Databeskyttelses: Sådan beskytter du dine kunders personlige data og overholder GDPR?

‍

Fremtiden for KYC er automatiseret

Selvfølgelig skal compliance-officerer være ekstremt dygtige til at identificere potentielle økonomiske risici, ligesom lufthavnens sikkerhed er uddannet til at opdage mistænkelig adfærd. Robuste systemer og veluddannet personale er graden af implementering af risikobaseret KYC.

Men der er endnu en ting, der kan spille en væsentlig rolle og i høj grad forbedre effektiviteten af processen, hvor udfordringen ligger i at være både grundig og effektiv.

Teknologi.

Hvad hvis sikkerheden i lufthavnen havde en superintelligent assistent, der kunne behandle oplysninger om hver enkelt passager på et øjeblik?

Det er i det væsentlige, hvad automatiserede KYC-systemer gør for AML-regulerede enheder.

De er compliance-eksperter, der arbejder kontinuerligt hele døgnet. De analyserer store datamængder, krydser oplysninger og identificerer potentielle risici meget hurtigere end nogen manuel proces.

Når en ny kunde begynder onboarding-processen, begynder det automatiserede KYC-system at fungere. Det er ikke kun at verificere grundlæggende oplysninger, men det søger i databaser, undersøger dokumenter og analyserer i nogle tilfælde biometriske data. Det skaber en omfattende kundeprofil i løbet af få øjeblikke. Systemet stopper ikke efter den første kontrol. Det overvåger eventuelle ændringer i din kundes adfærd eller omstændigheder, der kan øge deres risikoniveau.

Det kan verificere identiteter, kontrollere sanktionslister og analysere transaktionsmønstre på en brøkdel af tiden, det ville tage en menneskelig operatør.

Denne hastighed kan reducere onboardingtiderne betydeligt og forbedre kundeoplevelsen.

Effektivitet kommer ikke på grund af grundighedsomkostninger.

Automatiserede KYC-systemer bruger avancerede algoritmer til omfattende risikovurdering. Menneskelige anmeldere - som mennesker - kan gå glip af nogle meget subtile risikoindikatorer, som et system, der analyserer en lang række datapunkter, ikke vil. Systemet kan løbende overvåge kundernes adfærd og markere ændringer, der kan indikere øget risiko. Denne løbende vurdering sikrer, at grundighed ikke ydes for hastighed.

Læs også: Hvad er compliance?

Forfining af balance

Kan automatiseringen så erstatte det menneskelige tilsyn? På trods af den indflydelse, det giver overholdelse, er det usandsynligt, at dette vil ske snart.

Hvad det absolut kan gøre, er at hjælpe med at fordele menneskelige ressourcer mere effektivt. Lavrisikosager kan behandles hurtigt, hvilket frigør compliance-ansvarlige til at fokusere deres ekspertise på komplekse højrisikosager, der kræver det dømmekraft, der kun følger med erhvervserfaring.

Denne tilgang, med et trindelt system med due diligence, ligner vores analoge om lufthavnssikkerhed: De fleste kunder, ligesom de fleste passagerer, kan gennemgå den grundlæggende proces. Når systemet markerer en potentiel risiko, udløber det en mere gennemgående gennemgang. Læs også: Hvad er CDD - Customer Due Diligence?

Hvad er nøglen til at opretholde balancen mellem effektivitet og grundighed?

Forfining.

• Risikovurderingskriterier skal ajourføres regelmæssigt for at afspejle nye trusler og lovgivningsmæssige ændringer. Den finansielle verden er ikke statisk, og det bør heller ikke være regler, der styrer den.
• Systemets ydeevne kræver konstant overvågning. Falske positive og falske negativer bør analyseres omhyggeligt for at forbedre nøjagtigheden. Denne feedback-loop hjælper systemet med at lære og tilpasse sig over tid.
• Datakvaliteten skal opretholdes - ethvert system kan kun være så godt som de oplysninger, det behandler. Sikring af datahastighed og pålidelighed er vigtig for både effektivitet og grundighed.
• Uddannelse af personale er afgørende. Compliance-teamet skal holde sig opdateret om, hvordan man fortolker og håndterer de oplysninger, det giver.
• Også revisioner og gennemgange af hele processen hjælper med at identificere områder, der kan forbedres. Dette inkluderer vurdering af, hvor godt det automatiserede system integreres med menneskelige beslutningsprocesser.

Læs også: Hvad er DPO?

Ved porten

Lufthavne sigter mod at beskytte passagererne uden at forårsage uholdsmæssigt store forsinkelser, og på samme måde sigter compliance-officerer mod at forhindre økonomisk kriminalitet, samtidig med at de leverer gnidningsløs service til legitime kunder.

Avanceret scanningsteknologi i lufthavne behandler hurtigt de fleste rejsende og markerer kun potentielle risici ved nærmere eftersyn - AML-regulerede virksomheder kan nu bruge sammenlignelige smarte systemer til at forenkle og forbedre kundeonboarding og overvågning.

Begge systemer kræver løbende efterprøvning for at forblive effektive.

Lufthavnssikkerheden skal konstant tilpasse sig nye risici - økonomiske trusler og regler ændres, så KYC-processen også skal finjusteres.

Denne løbende forbedring og forfining er en balanceadgang mellem hastighed og grundighed.

Du når din afgang efter at have passeret sikkerhedskontrollen.

Hvis processen var glat, er du afslappet og til tiden.

Dette er målet med effektiv KYC - kunder, der gennemfører checks hurtigt, kan få adgang til finansielle tjenester uden stress.

Men ligesom lufthavnssikkerheden skal fange reelle trusler, skal KYC grundigt identificere højrisikosager.

Automatiserede KYC-systemer hjælper med at finde denne balance.

Når det gøres rigtigt, skaber denne afbalancerede adgang et finansielt system, der er sikkert, men alligevel tilgængeligt - ligesom en lufthavn, der er sikker, men stadig får dig til din gate til tiden.

‍

Læs også: Hvad er Hvidvask og Hvidvaskloven?

Overholdelse af bekæmpelse af hvidvaskning af penge (AML) udgør løbende udfordringer for regulerede virksomheder: verificering af kunder, styring af risici og opfyldelse af lovkrav uden overvældende papirarbejde eller operationelle afmatninger. To vigtige tilgange bruges til at løse disse problemer: Kend din kunde (KYC) og Kend din virksomhed (KYB). Hvilken af disse to du ansætter afhænger af arten af din virksomhed og din kundebase. Mange organisationer er nødt til at implementere både KYC- og KYB-processer for fuldt ud at opfylde deres compliance-forpligtelser.

Almindelige smertepunkter i AML-overholdelse

AML-regulerede virksomheder står ofte over for disse centrale udfordringer:

1. Langsom onboarding: Kundens due diligence kan forsinke forretningsdriften.
2. Ressourceintensiv: Overholdelsesopgaver kræver ofte betydelig medarbejdertid, hvilket afleder ressourcer fra kerneforretningsaktiviteter.
3. Ændring af regler: At holde trit med AML-reglerne på tværs af forskellige jurisdiktioner kræver konstant opmærksomhed.
4. Risici for manglende overholdelse: Manglende opfyldelse af AML-kravene kan resultere i store bøder og omdømmeskader.
5. Overdreven flagning: Overforsigtig screening kan forsinke legitime klienter unødigt.
6. Informationshuller: Traditionelle kontroller kan gå glip af nøgleoplysninger, især for komplekse forretningsstrukturer.
7. Menneskelig fejl: Manuelle processer kan føre til fejl, der kompromitterer overholdelsesindsatsen.

Forståelse af KYC: Kend din kunde

KYC verificerer identiteten af individuelle kunder. Det er en vigtig del af kunde due diligence (CDD), der bruges på tværs af mange brancher, især inden for finansielle tjenester.

Læs også: Hvad er Due Diligence?

Nøgleaspekter af KYC:

1. Individuel fokus: KYC beskæftiger sig med personlige kunder.
2. Identitetsbekræftelse: Bekræfter en persons identitet ved hjælp af dokumenter som pas eller kørekort.
3. Personlig baggrundskontrol: Kan omfatte kredithistorik, ansættelsesverifikation og screening af sanktionslister.
4. Løbende overvågning: Kræver løbende sporing af kundeaktiviteter og transaktioner.

Almindelige KYC-brugere:

• Banker og finansielle institutioner
• Forsikringsselskaber
• Kryptovalutaudveksling
• Online spilplatforme
• Nogle detail- og e-handelsvirksomheder

Læs også: Databeskyttelse: Sådan beskytter du dine kunders personlige data (og overholder GDPR), DPO - Hvad er en databeskyttelsesrådgiver og datasikkerhed?

Forståelse af KYB: Kend din virksomhed

KYB verificerer og analyserer de virksomheder, du arbejder med. Det er afgørende for B2B-relationer og AML-regulerede enheder, der beskæftiger sig med erhvervskunder.

Nøgleaspekter af KYB:

1. Forretningsenhedens fokus: KYB undersøger virksomheder, partnerskaber og andre forretningsstrukturer.
2. Virksomhedsverifikation: Bekræfter en virksomheds juridiske eksistens, registreringsoplysninger og driftsstatus.
3. Ejerstrukturanalyse: Undersøger, hvem der ejer og kontrollerer virksomheden, herunder ultimative reelle ejere (UBO'er).
4. Virksomhedsaktivitetsvurdering: Undersøger virksomhedens drift, branche og typiske transaktionsmønstre.
5. Risikoprofilering: Evaluerer potentielle risici forbundet med virksomheden, herunder jurisdiktions- og branchespecifikke faktorer.
6. Løbende overvågning: Sporer ændringer i ejerskab, forretningsaktiviteter eller risikoprofiler over tid.

Almindelige KYB-brugere:

• Advokatfirmaer
• Regnskabsfirmaer
• Virksomhedsbankvirksomhed
• Virksomhedsudlånsinstitutter
• Betalingstjenesteudbydere
• Professionelle servicefirmaer
• Erhvervsejendomsmæglere

Sådan håndterer automatiseret KYB problempunkter for AML-overholdelse

Strømlinet onboarding til komplekse kunder: Forretningskunder har ofte indviklede strukturer, der kan bremse onboarding-processen. KYB anvender strømlinede verifikationsprocesser specielt designet til forretningsenheder. Dette kan reducere onboardingtiderne betydeligt, nogle gange fra uger til dage, uden at gå på kompromis med grundigheden.

Forbedret risikovurdering: Traditionelle checks kan gå glip af vigtige oplysninger om erhvervskunder. KYB giver et mere komplet billede ved at analysere forretningsstrukturer, aktiviteter og foreninger i detaljer. Denne grundige tilgang fører til mere nøjagtige risikovurderinger, der hjælper virksomheder med at træffe informerede beslutninger.

Reduktion af falske positiver: Overivrig screening markerer ofte legitime kunder og forårsager unødvendige forsinkelser. KYBs nuancerede forståelse af erhvervskunder muliggør en mere præcis risikoscoring. Denne præcision hjælper med at reducere falske alarmer, så virksomheder kan fokusere på ægte risici, mens de behandler legitime kunder mere effektivt.

Tilpasning til nye regler: AML-reglerne ændrer sig konstant, og de seneste tendenser lægger vægt på forståelse af erhvervskunder og deres ejerstrukturer. KYB tilpasser sig naturligvis disse lovgivningsmæssige anvisninger og hjælper virksomheder med at overholde nuværende og nye krav.

Optimeret ressourceallokering: Overholdelsesopgaver kan dræne betydelig medarbejdertid fra kerneforretningsaktiviteter. KYB udnytter automatiserede processer til forretningsverifikation og overvågning. Denne automatisering frigør medarbejderne til at fokusere på arbejde med højere værdi, hvilket forbedrer den samlede driftseffektivitet.

Effektiv løbende overvågning: Sporing af ændringer i klientstatus over tid kan være udfordrende. KYB-systemer inkluderer typisk automatiserede advarsler om ændringer i forretningsstatus, ejerskab, eller risikoprofil. Denne løbende overvågning hjælper virksomheder med at holde styr på ændringer uden konstant manuel kontrol.

Klarhed om komplekse ejerskabsstrukturer: Det er ofte vanskeligt at identificere ultimative reelle ejere (UBO'er) i komplekse forretningsstrukturer. KYB leverer værktøjer til kortlægning og analyse af disse strukturer, hvilket gør UBO-identifikation mere ligetil og præcis.

Kernebehov for AML-regulerede virksomheder

AML-regulerede virksomheder sigter mod at:

1. Bekræft kunderne effektivt og grundigt
2. Vurdere og styre risici nøjagtigt
3. Oprethold overholdelse uden overdreven ressourceforbrug
4. Tilpas dig hurtigt til lovgivningsmæssige ændringer
5. Minimer compliance-relaterede forretningsforstyrrelser
6. Opbyg tillid hos tilsynsmyndigheder og kunder

KYB hjælper regulerede enheder med at imødekomme disse behov ved at levere en grundig og effektiv tilgang til due diligence for forretningskunder. Dette gør det muligt for AML-regulerede virksomheder at opfylde overholdelsesforpligtelser uden at ofre effektivitet eller vækstmuligheder.

Værdien af at kende din virksomhed

At forstå kunderne dybt er afgørende i nutidens forretningsmiljø. KYC forbliver værdifuldt for individuelle kundeforhold, men KYB leverer en mere grundig løsning til AML-regulerede virksomheder, der primært beskæftiger sig med erhvervskunder.

Ved at tackle vigtige smertepunkter og hjælpe virksomheder med at opfylde deres kernebehov for overholdelse giver KYB regulerede enheder mulighed for at:

• Få kunderne hurtigere og mere selvsikkert
• Træf beslutninger baseret på grundige risikovurderinger
• Brug ressourcerne mere effektivt
• Forudse og overhold lovkrav
• Udvikle stærkere og mere betroede forretningskunderelationer

Efterhånden som AML-regler og forretningsstrukturer bliver mere komplekse, bliver evnen til virkelig at „kende din virksomhed“ stadig vigtigere. KYB-tilgange og teknologier kan hjælpe AML-regulerede virksomheder med at gøre overholdelse til en konkurrencefordel, der understøtter vækst, samtidig med at høje standarder for integritet og risikostyring opretholdes.

At udforske automatiserede KYB-løsninger kan hjælpe dig med at tackle dine vigtigste smertepunkter og opfylde dine overholdelsesmål mere effektivt.

Læs også: Hvad er en PEP (politisk eksponeret person)?

Organisationer i AML-regulerede brancher er nødt til at måle, hvor godt de bygger en kultur for overholdelse. Dette er vigtigt for at overholde regler, styre risici og bevare kundernes tillid.

For at vurdere effektiviteten af en compliance-kultur kan en kombination af kvantitative og kvalitative målinger bruges:

Kvantitative målinger

• Gennemsnitlig tid til udstedelse af opdagelse (MTTD):
  disse foranstaltninger hvor hurtigt overensstemmelsesproblemer identificeres inden for organisationen.
  ‍
• Gennemsnitlig tid til løsning af udstedelsen (MTTR):
  dette spor hvor lang tid det tager at løse compliance-problemer engang opdaget.
  ‍
• Overholdelsesomkostninger pr. udgave:
  beregnet af dividere de samlede bøder modtaget for overtrædelser af overholdelsen med antallet af problemer håndteres af compliance-afdelingen.
  ‍
• Gennemsnitlige omkostninger ved efterlevelsesrelaterede retssager:
  denne måling hjælper med at vurdere de økonomiske konsekvenser af manglende overholdelse.
  ‍
• Lovgivningsmæssig overholdelsesgrad
  foranstaltninger adhæsionen til gældende love og regler.
  ‍
• Gennemførelsesprocenter for træning:
  spor medarbejderdeltagelse i efterlevelsesuddannelsesprogrammer.
  ‍
• Antal whistleblower-indberetninger:
  monitorer hyppigheden af intern rapportering potentielle compliance-problemer.
  ‍
• Omkostninger ved overholdelse:
  vurderer de finansielle ressourcer, der er afsat til overholdelse aktiviteter.
  ‍
• KYC nøjagtighedsrate:
  måle procentdelen af KYC-kontroller gennemført uden fejl eller udeladelser.
  ‍
• Tid til at gennemføre KYC-processer:
  spor den gennemsnitlige tid det tager at gennemføre KYC-kontroller og hvordan det ændrer sig med det automatiserede system.
  ‍
• Systemadoptionshastighed:
  overvåge hvor hurtigt og grundigt medarbejderne adopterer nye automatiserede KYC-systemer.
  ‍
• Kundens onboarding-tid:
  måle ændringer i klientens onboardingtid efterhånden som compliance-processerne forbedres.

Kvalitative målinger

• Etik og integritetsindeks:
  foranstaltninger medarbejderopfattelser af organisationens etiske kultur og ledelsesadfærd.
  ‍
• Resultater af overensstemmelsesrisikovurdering:
  evaluerer firmaets evne til at identificere og afbøde Overholdelsesrisici.
  ‍
• Medarbejderkendskab og forståelse:
  Undersøgelser, der måler medarbejdernes forståelse Overholdelsespolitikker og procedurer.
  ‍
• Kulturelle overbevisninger og værdier:
  Undersøgelser med fokus på Overordnet compliance-kultur og medarbejdernes holdninger.
  ‍
• Lederskabsvurderinger:
  vurdere hvor godt ledere modellerer og kommunikerer forventninger til overholdelse.
  ‍
• Kundefeedback:
  samle kundernes udtalelser om organisationens overholdelse praksis og hvordan de opfatter virksomhedens engagement i integritet.
  ‍
• Casestudier:
  analysere specifikke tilfælde, hvor en stærk compliance-kultur forhindrede problemer eller førte til positive resultater.

Se også: Hvad er Hvidvask og Hvidvaskloven

Undersøgelsesbaserede målinger

Mange organisationer bruger compliance-kulturundersøgelser til at indsamle data om:

• Medarbejdernes holdninger og opfattelser af compliance
• Medarbejdernes forståelse af overholdelsespolitikker
• Effektiviteten af kommunikation og uddannelse i overensstemmelse
• Ledernes engagement i compliance som opfattet af medarbejderne

Disse målinger giver et omfattende overblik over en virksomheds compliance-kultur, hvilket giver mulighed for benchmarking mod interne historiske data, branchens jævnaldrende og nationale gennemsnit. Regelmæssig måling og analyse af disse indikatorer kan hjælpe organisationer med at identificere områder, der skal forbedres, og demonstrere effektiviteten af deres compliance-programmer.

Bedre overholdelse af automatiserede KYC-systemer

Ved at kombinere automatiserede KYC-systemer med disse målinger kan AML-regulerede virksomheder:

1. Spor forbedringer i overholdelsesprocesser over tid
2. Identificer områder, hvor der kan være behov for yderligere uddannelse eller ressourcer
3. Demonstrere værdien af compliance-initiativer over for ledelse og interessenter
4. Opret en datadrevet tilgang til forbedring af compliance-kulturen

Læs også: Hvad er Due Diligence og Customer Due Diligence?

Regelmæssig gennemgang og analyse af disse målinger kan vejlede organisationens bestræbelser på at styrke sin compliance-kultur og sikre, at automatiserede KYC-systemer leverer de tilsigtede fordele.

_____________________

Tilmeld dig her for at få flere nyheder, opdateringer og begivenhedsinvitationer fra Meo!

‍

Både den juridiske og den finansielle industri oplever et betydeligt skift i, hvordan Know Your Customer (KYC) processer styres.

Manuelle metoder, der engang var standard, erstattes af automatiserede systemer. Denne ændring kommer fra øget global forretning, flere regler og kompleks økonomisk kriminalitet.

Kunderne ønsker hurtigere service

Tilsynsmyndigheder pålægger store bøder for fejl.

Automatiserede KYC-systemer tilbyder en måde at løse disse problemer på.

Overvejer du skiftet fra manuelle til automatiserede KYC-processer? Denne vejledning hjælper dig med at evaluere dine nuværende metoder i forhold til automatiseringspotentialet.

Anslå, hvor meget tid du bruger:

Når du får en ny kunde

Hvor lang tid tager det for en af jer at:

• Skriv en e-mail/ring og spørg efter information?
• Opfølgning (hvis klienten ikke svarer)?
• Tjek ID?
• Kontroller PEP-status?
• Kontroller for sanktioner/negative medier?
• Foretag sagen og klientens risikovurdering?
• Gem oplysningerne på det rigtige sted?

Hvad er lønnen til den person, der udfører disse opgaver?

Hvis det er en virksomhedskunde:

• Gør alt nævnt ovenfor for at verificere de reelle ejere?
• Sørg for, at du kender alle de reelle ejere?
• Bekræft virksomhedsoplysningerne i officielle registre?
• Tjek virksomheden for sanktioner/negative medier?

Og hvad kræver det af dine kunder?

Overvej kundens perspektiv:

• Flere anmodninger om oplysninger, ofte overflødige
• Lange ventetider under onboarding-processen
• Frustration over gentagne opfølgninger
• Potentielt tab af forretningsmuligheder på grund af forsinkelser
• Forvirring om omfanget af de krævede oplysninger
• Bekymringer om databeskyttelse og sikkerhed

For at sikre, at disse trin følges:

• Løbende overvågning af dine kunder?
• At de manuelle procedurer opdateres regelmæssigt?
• Løbende kontrol af de manuelle procedurer?
• Korrekt dokumentation af risikovurderinger, når forholdet indledes, og hvis det ændrer sig?
• At verifikation af data kan dokumenteres?
• Et overblik over alle dine kunders risikoprofiler
• En oversigt over antallet af klienter, der er PEP
• At alle kunderelationer er godkendt
• At du ved og husker, når du har brug for at verificere dine kunders data igen
• At der ikke er nogen personlige oplysninger om klienter gemt i e-mails?
• At alle klientdata arkiveres og rettidigt slettes
• At du ved præcis, hvem der har adgang til hvilke oplysninger og kan dokumentere, hvem der har eller har haft adgang.
• At du kan fortælle dine kunder, hvilke data du håndterer, og hvorfor.

Hvor sandsynligt er det, at du laver en fejl eller glemmer et skridt, når du har travlt?

Læs mere om databeskyttelse og DPO.

‍

Når der er en revision

• Hvor meget tid har du brug for til at forberede dig til en revision, når du skal dokumentere, hvad du gør, og beviserne ligger i e-mails og mapper fra forskellige kolleger?
• Kan du trække en liste med det kundeoverblik, som myndighederne kræver ved en revision? Liste over høj, medium og lav risiko, forskellige jurisdiktioner osv.
• Kan du give disse data om de klienter, der er valgt til kontrol?

Nu hvor vi er ved det, har du husket at foretage din virksomhedsdækkende risikovurdering og dokumentere dine politikker og procedurer? - hvis det ikke skrives ned og gennemgås årligt, tæller det ikke.

Hvilke opgaver kan du bruge din tid på i stedet?

Overvej konsekvenserne

Hvis dine kunder ikke er tilfredse

• Hvor mange vælger et andet firma, hvor klientens onboarding er lettere?

Hvis du ikke består en revision

• Hvad vil det betyde for dit omdømme, hvis du får en sanktion, en bøde, og at det er offentligt kendt?
• En sanktion kan også resultere i, at din virksomhed bliver sat på offentlige risikolister, og derefter vil dine forretningspartnere kræve en forbedret AML-kontrol af din virksomhed, før de kan arbejde sammen med dig.

Hvis det går helt galt

• Hvad vil det betyde, hvis de kriminelle får fat i dig, og du ubevidst deltager i hvidvaskning af penge og/eller finansiering af terrorisme?
• Hvor stor en bøde får du?
• Hvad vil det betyde for dit omdømme?
• Hvem af jer risikerer i værste fald at gå i fængsel, hvis dine politikker, procedurer og kontroller ikke er gode nok?

Fordelene ved et automatiseret KYC-system

✓ Forøg onboarding-konverteringsraterne med 60%
✓ Reducer omkostningerne ved at køre AML-overholdelsesoperationer med 75%
✓ Forbedre dit compliance-teams produktivitet 3-4 gange i gennemsnit
✓ Giv dine kunder et godt førsteindtryk med en professionel onboarding
✓ Stop de kriminelle, undgå bøder og bliv GDPR- og AML-kompatibel

Automatiserede systemer reducerer tiden brugt på gentagne opgaver. Dette frigør dit team til at fokusere på komplekse risikovurderinger og strategisk overholdelsesplanlægning. KYC-politikker anvendes konsekvent, med opdateringer i realtid og omfattende revisionsspor.

Disse systemer øger dit forsvar mod økonomisk kriminalitet. De genererer revisionsspor til lovgivningsmæssige inspektioner og registrerer mistænkelige aktiviteter hurtigere gennem overvågning i realtid. Dette begrænser kriminel udnyttelse, beskytter dit omdømme, og hjælper med at undgå lovgivningsmæssige sanktioner.

Dit team kan koncentrere sig om højrisikosager og compliance planlægning. KYC-politikker anvendes ensartet på tværs af alle klienter, hvilket reducerer menneskelige fejl - et almindeligt revisionsproblem. Efterhånden som lovgivningsmæssig kontrol og bøder stiger, styrker automatiseret KYC risikostyring og opretholder problemfri drift.

Overvej hvordan automatisering kan forbedre dine arbejdsgange, forbedre nøjagtigheden og øge dit teams evne til at imødekomme voksende lovkrav.

Ikke sikker på, om et automatiseret KYC-system er det rigtige for dig? Kontakt os. Vi er her for at rådgive baseret på dine specifikke behov.

‍

Læs også: Hvad er Due Diligence? og Hvad er Customer Due Diligence?

‍

_____________________

Tilmeld dig her for at få flere nyheder, opdateringer og begivenhedsinvitationer fra Meo!

Overensstemmende håndtering af kunders personlige data har stor betydning

DANDERS & MORE var det første danske advokatfirma, der implementerede Meo-platformen. Som mange andre virksomheder var ny lovgivning om behandling af personoplysninger og bekæmpelse af hvidvaskning af penge den udløsende faktor. Siden da har DANDERS & MORE fundet, at platformen er nyttig ud over deres oprindelige behov.

„Det er yderst vigtigt for os, at vi til enhver tid er klar til at gennemgå en revision uden bemærkninger. Derfor har vores primære motivation i søgningen efter en platform været at sikre overholdelse af persondata- og hvidvasklovgivningen, som løbende udvikler sig og bliver stadig strengere. Meo var det oplagte valg for os som den eneste egnede platform til at imødekomme vores forskellige behov,“ siger Majken Korsgaars, advokat, partner og medejer af Danders & More.

I dag modtager mange virksomheder e-mails med uopfordrede applikationer, der indeholder følsomme personoplysninger. I nogle tilfælde vedhæfter ansøgere endda en kopi af deres pas eller kørekort, uvidende om, at virksomhederne risikerer at bryde loven, hvis de ikke sletter disse e-mails. Det er et af problemerne med at modtage e-mails, der indeholder følsomme eller fortrolige personlige oplysninger. Et andet problem er, at virksomheden ikke kan sikre, at ansøgere og klienter sender følsomme oplysninger via en sikker og krypteret e-mail-forbindelse.

Læs også: Hvad er Hvidvask og Hvidvaskloven?

Afdækning af ejerkæden

Alt dette var - og er stadig - af enorm betydning for DANDERS & MORE. Af denne grund hjælper valget af Meos platform partnerne med at sove fredeligt om natten. Med implementeringen af Meos platform har DANDERS & MORE nu en ligetil KYC-procedure. Hvis en klient skal sende følsomme eller fortrolige oplysninger via e-mail, slettes de straks. I stedet sender Compliance Officer klienten et link til systemet, som vil guide den nye bruger til at uploade ID og anden relevant dokumentation - alt dette uden involvering fra advokatfirmaet. Men når klienten er færdig med at uploade dokumenter til Meos sikre platform, vil de udpegede personer hos DANDERS & MORE modtage en meddelelse.

„Platformen er også nyttig til at indhente og kategorisere al nødvendig dokumentation for at afdække ejerskabs- og kontrolstrukturen (ejerkæden) for erhvervskunder, hvilket giver os sikkerhed for, at vi ikke utilsigtet overtræder AML- og GDPR-lovgivningen. Denne sikkerhed er afgørende i vores branche. Vi kan ikke undervurdere betydningen af at sende en besked til kunderne om, at vi på vagt beskytter deres følsomme personoplysninger, og det gør vi med pålidelige procedurer, siger Majken Korsgaard.

Supplerende læsning: Hvad er Compliance?

Et bedre forhold til kunderne

I DANDERS & MORE har partnerne udpeget en compliance officer med ansvar for kundekontakten, når KYC-dokumentation skal indsamles. Selvom det ikke er nødvendigt, fordi platformen er enkel at navigere, har den sine fordele.

„Fordelen ved at have en Compliance Officer og et system som Meo er, at mine kolleger og jeg kan fokusere på at rådgive vores kunder. Vi behøver ikke bruge tid på at skubbe og minde klienter om at uploade manglende dokumentation. Nu hvor Meo-platformen og min compliance-kollega tager sig af dette, kan jeg opbygge et godt kundeforhold uden afbrydelser på grund af KYC-procedurer“, siger Majken Korsgaard.

Responsive over for ændringsforslag

I begyndelsen af partnerskabet med Meo havde DANDERS & MORE et par ønsker om platformens udvikling for at lette advokaternes daglige drift.

“ Vi har haft mulighed for at sætte vores præg på platformen, og Meo har altid været meget imødekommende over for vores ønsker. De er nemme at arbejde med, og de har vist sig dygtige og teknisk kyndige, når de løser alle vores problemer for at imødekomme vores behov“, siger Majken Korsgaard.

Nogle virksomheder kan stille spørgsmålstegn ved, om de vil samarbejde med en ny virksomhed på et så vigtigt område, men Majken Korsgaard blev hurtigt overbevist.

‍

Læs også vores populære indlæg om databeskyttelse og databeskyttelsesrådgivere

‍

Dyb indsigt hos Meo

“ Jeg havde et langt møde med Christian Visti Larsen, som forklarede om sin baggrund. Det er overbevisende at arbejde med mennesker, der er lige så vidende om GDPR-rammen, som han er. Han har arbejdet med det i årevis, hvilket overbeviste partnerne og mig om platformen. I Meo beskæftiger vi os med meget dygtige mennesker, der kender kravene til en platform og anerkender de udfordringer, den stiller. De er 100% vidende om alle relevante emner, hvilket giver et fremragende samarbejde“, siger Majken Korsgaard.

Siden DANDERS & MORE er begyndt at bruge platformen, er den blevet et omdrejningspunkt for at arbejde med kunder. Som følge heraf har advokatfirmaet udvidet sin anvendelse til at administrere finansieringsansøgninger og til at modtage jobansøgninger.

„Vi var det første advokatfirma, der begyndte at bruge platformen, og vi har ikke fortrudt det et sekund“, siger Majken Korsgaard.

‍

Læs også: Hvad er en PEP (politisk eksponeret person)?‍

I erhvervslivet træffes der hver dag beslutninger, der kan få store økonomiske og strategiske konsekvenser. Når en virksomhed skal indgå partnerskaber, arbejde med kunder eller tiltrække investorer, er det afgørende at kende de risici og muligheder, der følger med. Her spiller due diligence en central rolle. I denne artikel får du en komplet introduktion til, hvad due diligence er, hvorfor det er vigtigt, hvordan processen ser ud, og hvordan din virksomhed kan drage fordel af en struktureret tilgang.
‍

Hvad er due diligence?

Begrebet due diligence stammer fra engelsk og betyder direkte oversat "rettidig omhu". I praksis dækker det over en systematisk undersøgelse af en virksomhed, et projekt eller en investering med det formål at afdække væsentlige oplysninger, før en beslutning træffes.

Due diligence bruges typisk i forbindelse med:

• Indgå samarbejde med kunder generelt, herunder specielt ift. evt. internationale sanktioner.
• Virksomhedsopkøb og fusioner (M&A).
• Investeringer i startups og vækstvirksomheder.
• Samarbejdsaftaler og partnerskaber.
• Lån og kreditgivning.
• Leverandør- og compliance vurderinger.

Kort sagt handler due diligence om at reducere usikkerhed, skabe gennemsigtighed og sikre, at alle parter har det nødvendige beslutningsgrundlag.

Læs også: Hvad er CDD (Customer Due Diligence)?

Formålet med due diligence

Formålet kan opsummeres i to nøglepunkter:

1. Risikominimering.
2. Undgå ulovlige aktiviteter.

At identificere økonomiske, juridiske eller operationelle risici, før de udvikler sig til problemer, og sikre at virksomheden ikke utilsigtet bliver involveret i hvidvask, terrorfinansiering eller bryder internationale sanktioner. Manglende due diligence kan medføre alt fra skadet omdømme og store bøder til fængselsstraffe for ansvarlige personer. Der er altmulig grund til at tage dette meget seriøst. Med en grundig due diligence proces kan virksomheden samtidig afdække muligheder for optimering, vækst og synergier, samt give ledelse, investorer og samarbejdspartnere et solidt, faktabaseret grundlag til at træffe sikre beslutninger.

Typer af due diligence

Der findes flere typer due diligence, alt efter hvad der undersøges. De mest almindelige er:

Compliance due diligence

En undersøgelse af om virksomheden, kunder eller samarbejdspartnere overholder relevante love og regler, herunder hvidvasklovgivning, sanktioner og PEP-screening (politisk eksponeret person). Dette omfatter KYC-procedurer (Know Your Customer), identifikation af reelle ejere, og løbende overvågning af forretningsrelationer. Compliance due diligence er ofte lovpligtigt og kritisk for at undgå bøder og strafansvar.

Finansiel due diligence

En gennemgang af regnskaber, budgetter, gældsforhold og likviditet. Formålet er at sikre, at virksomhedens økonomi er sund, og at der ikke skjuler sig overraskelser.

Juridisk due diligence

En analyse af kontrakter, ejerforhold, immaterielle rettigheder, tvister og myndighedskrav. Det er her, man vurderer, om virksomheden overholder lovgivningen, og om der er juridiske risici.

Operationel due diligence

Et fokus på virksomhedens interne processer, ledelse, organisation, IT-systemer og forsyningskæde. Her vurderes effektivitet og skalerbarhed.

Kommerciel due diligence

En analyse af marked, kunder, konkurrenter og vækstpotentiale. Denne type bruges ofte af investorer for at vurdere virksomhedens position og fremtidige muligheder.

Teknisk og ESG due diligence

I teknologitunge virksomheder gennemføres teknisk due diligence på systemer, patenter og produktionsapparat. Stadig oftere ses også ESG due diligence, hvor man undersøger virksomhedens miljømæssige, sociale og governance-forhold.

Hvordan ser en due diligence proces ud?

En due diligence proces kan variere i omfang, men følger ofte en række faste trin.

Risikovurdering og analyse

Baseret på indsamlet information foretages en systematisk risikovurdering, hvor man evaluerer:

• Kunden/partneren: Ejerstruktur, forretningsmodel, geografisk placering, politisk eksponering (PEP).
• Produktet/servicen: Hvilke ydelser leveres, transaktionsmønstre, prisstrukturer.
• Geografiske forhold: Opererer kunden i højrisikolande eller er omfattet af sanktioner?
• Transaktionsrisici: Volumen, frekvens og karakter af forventede transaktioner.

Resultatet er en samlet risikovurdering (lav, mellem eller høj), som afgør omfanget af de nødvendige kontrolforanstaltninger og løbende overvågning.

Due diligence tjekliste

En tjekliste kan være en hjælp til at sikre, at ingen væsentlige områder overses. Eksempelvis:

• KYC-dokumentation (identifikation og verifikation af kunder).
• PEP- og sanktionsscreening (politisk eksponerede personer og internationale sanktionslister).
• Identifikation af reelle ejere (ultimate beneficial owners).
• Hvidvaskrisiko-vurderinger baseret på kunde, produkt og geografi.
• Seneste årsregnskaber og budgetter.
• Skatteforhold og gældsposter.
• Ejeraftaler og selskabsdokumenter.
• Nøglekontrakter med kunder og leverandører.
• Ansættelseskontrakter og HR-politikker.
• Immaterielle rettigheder (patenter, varemærker, software).
• Tilladelser, licenser og compliance dokumentation.
• Retssager eller potentielle tvister.
• ESG-forhold og bæredygtighedsrapporter.

Typiske fejl og faldgruber ved due diligence

Selv erfarne virksomheder kan begå fejl i due diligence-processer. De mest almindelige er:

• Mangelfuld dokumentation: Vigtige oplysninger leveres for sent eller slet ikke.
• For snævert fokus: Kun økonomien vurderes, mens juridiske eller operationelle risici overses.
• Ikke opdaget PEP-status eller sanktioner: Manglende eller utilstrækkelig screening mod internationale sanktionslister og politisk eksponerede personer.
• Manglende identifikation af reelle ejere: Utilstrækkelig undersøgelse af ejerstrukturen og ultimate beneficial owners.
• Utilstrækkelig risikovurdering: Højrisikokunder bliver ikke identificeret eller får ikke tilstrækkelige kontrolforanstaltninger.
• Ingen løbende overvågning: Efter initial screening mangler løbende opdatering og overvågning af kundeforhold.
• Tidspres: Processen gennemføres for hurtigt, hvilket øger risikoen for fejl.
• Manglende opfølgning: Konklusionerne bruges ikke aktivt i forhandlinger eller integration.

Hvad er en DPO?

Hvad er en DPO? Dette udtryk er en forkortelse af ordet, Data Protection Officer. Denne person eller virksomhed udfører opgaver, såsom datasikkerhedskontrol, i en virksomhed. Dette omfatter overholdelse af GDPR.

Offentlige myndigheder og organer skal have en databeskyttelsesansvarlig, der udfører disse opgaver. Denne databeskyttelsesansvarlige skal også rådgive den dataansvarlige for det specifikke organ. Det er en retlig forpligtelse for disse myndigheder og organer til at udpege en databeskyttelsesansvarlig, hvilket også kan være tilfældet for flere virksomheder.

Supplerende læsning: Databeskyttelse: Sådan beskytter du dine kunders personlige data (og overholder GDPR)

Du kan læse meget mere om GDPR, persondataloven, databeskyttelsesloven og forskellen mellem dem i vores artikler på denne side. Hvor og hvor længe kan en virksomhed opbevare personoplysninger? Hvem er omfattet af GDPR? Dette er spørgsmål, som en DPO, databeskyttelsesrådgiver kan hjælpe med at besvare.

En databeskyttelsesansvarlig fungerer ofte som kontaktperson mellem Databeskyttelsespolitikken og den dataansvarlige i virksomheden. Desuden skal en virksomheds DPO være uafhængig og ekstern og må ikke modtage instruktioner om valg af opgaver.

Hvordan arbejder Meo med datasikkerhed?

Hos Meo kan vi hjælpe dig med sikker overførsel af information til og fra kunder, samt et softwaresystem, der kan fungere som et administrationsværktøj til både: verifikation, kontrol og overvågning af nuværende og potentielle kunder, samt en skræddersyet risikovurdering.

Dette system, Meo Identity, hjælper dig og din DPO med at kontrollere og administrere data korrekt, og dette system og automatisering af datastyring sikrer din overholdelse af GDPR og undgår sanktioner i form af bøder eller lignende.

Vi er ISO 27001 certificeret, som GDPR og AML Compliant, hvilket betyder, at vi er internationalt godkendt og certificeret inden for informationssikkerhed og datahåndtering.

Læs også: Hvad er Compliance?

Administrer dine data sikkert med en DPO, databeskyttelsesrådgiver

Det er vigtigt at arbejde korrekt med data, da der kan være store sanktioner for overtrædelser af blandt andet GDPR, den generelle databeskyttelsesforordning. Med et automatiseret system kan du ikke kun frigøre ressourcer fra semi-manuelle processer, men du sikrer også kontrol og reducerer risikoen.

En databeskyttelsesrådgiver vil ved at rådgive om deres datasikkerhed undersøge håndteringen og hjælpe medarbejderne i omfanget af potentiel viden om datasikkerhed, GDPR og udveksling af data med kunder eller klienter mangler.

Denne rådgiver kan derfor også give vejledning eller anbefale nyttige applikationer eller it-systemer, der kan være relevante for opretholdelse af datasikkerhed.

Lad os hjælpe med at gøre din klientadministration gennemsigtig og sikker, så alle processer foregår under juridiske forhold.

‍

Læs også Hvad er en PEP? og Hvad er Hvidvask?

For lang, for personlig

Ifølge nylige research, 68% af forbrugerne opgav en ansøgning om en finansiel tjeneste i 2021. En stigning på 3% siden 2020 og en enorm forspildt forretningsmulighed. Ikke overraskende, de to nøgleårsager var den længere end forventet ansøgningsproces og mængden af personlige oplysninger, der blev anmodet om.

Dårlig UX i onboarding er stadig en stor smerte

Selvom en smule friktion er nødvendig i brancher, der leverer tjenester, hvor forbrugerne har personlig økonomi eller delikat information på spil, er for meget friktion skadelig for vellykket onboarding.‍

Meo samarbejder med e-Boks

Vores nye partnerskab med e-Boks resulterer i en mere sikker og problemfri brugeroplevelse end nogensinde set før inden for KYC.

En løsning, der imødekommer virksomhedernes voksende behov for adgang til data, der nu efterspørges gennem den mest betroede digitale postkasse, så kunderne kan dele data via en platform, som de er fortrolige med og komfortable med at bruge.

Frontrunners i KYC-området dedikerer ressourcer til at forbedre onboarding-flowet og gøre dem mere lig UX-ledere som Apple, Amazon osv., samtidig med at de tilføjer den helt rigtige mængde friktion for at skabe tillid.

‍

Læs også: Hvad er en PEP - politisk eksponeret person?

‍

Øget skepsis over for dataanmodninger

Forbrugerne kan være ustabile. Mens øget offentlig opmærksomhed på GDPR har øget forbrugernes forventninger til overholdelse af lovgivningen, ønsker de stadig at dele så lidt personlige oplysninger som muligt.

Forskning viser, at forbrugerne er blevet mere og mere skeptiske på grund af frygt for databrud. For at imødekomme den digitalt oplyste forbruger er faktorer som databeskyttelse, datagennemsigtighed og datakontrol således stærke generatorer af tillid til en virksomhed eller et brand.

Hvor skal man begynde?

Som angivet af ovenstående data er hastighed, UX, datamængde og tillid vigtige kamparenaer, når det kommer til at forbedre onboarding og vinde kunder. Mens regulering kan forbyde dig at reducere mængden af personlige oplysninger, du anmoder om, er der meget at gøre i, hvordan og hvor du beder om oplysninger. At indstille disse faktorer kan potentielt være en game changer for at sikre, at dine kunder gennemfører onboarding.

For at rette op på tillidsgapet og gøre onboarding og KYC enklere for forbrugerne samarbejder vi med e-Boks, Danmarks mest betroede digitale postkasse. Vores kunder kan nu levere dataanmodninger til en udbyder, som forbrugerne allerede kender, bruger og stoler på med deres data. Med konverteringsfrekvenser på op til 98% på dataanmodninger i e-Boks føles det både mere velkendt og mere sikkert at gennemføre onboarding.

Relevante blogindlæg: Databeskyttelse: Sådan beskytter du dine kunders personlige data (og overholder GDPR) og DPO - Hvad er en databeskyttelsesrådgiver og datasikkerhed?

Her er hvad du som virksomhed har brug for at vide om hvidvaskning af penge

Er din virksomhed omfattet af direktivet om bekæmpelse af hvidvaskning af penge (AML)? Så er det vigtigt at kende de grundlæggende principper for hvidvaskning af penge, og hvorfor det er nødvendigt at have lokale og internationale love og regler om bekæmpelse af hvidvaskning af penge.

I denne artikel kan du lære mere om hvidvaskning af penge, herunder:

• Hvad er hvidvaskning af penge?
• Hvordan begås hvidvaskning af penge?
• Hvad siger international og europæisk lov om hvidvaskning af penge?
• 4 vigtige begreber, når det kommer til hvidvaskning af penge
• Vejledning til bekæmpelse af hvidvaskning af penge
• Sådan sikrer NewBanking-platformen, at din virksomhed til enhver tid er 100% AML-kompatibel.

Læs mere om platformen her eller kontakt os for at høre mere om, hvordan vi kan hjælpe din virksomhed med KYC-overholdelse.

Hvad er hvidvaskning af penge?

Hvidvaskning af penge handler overvejende om at gøre ulovlige midler - sorte penge - lovlige. Det betyder at skjule de økonomiske gevinster fra kriminelle aktiviteter og bruge dem med lovlige leverandører og i det bredere samfund. Oprindelsen til de sorte penge kan for eksempel komme fra handel med ulovlige stoffer eller våben, skatteunddragelse og meget mere.

Supplerende læsning: Hvad er hvidvask og hvidvaskloven?

Hvid vask

Alle aktiviteter, der hjælper kriminelle med at tilsløre, skjule eller omdanne sorte penge til lovligt betalingsmiddel (som kan dokumenteres og bruges lovligt) kaldes hvidvask eller hvidvaskning af penge.

Hvordan begås hvidvaskning af penge?

Der er mange måder at hvidvaske penge på. Nedenfor er et eksempel på, hvordan det kunne ske:

• En narkotikahandler har solgt ulovlige stoffer for 25.000 EUR og har nu en masse sorte penge i sin besiddelse.

• Narkotikahandleren finder en brugt bil, der er privat til salg for 75.000 EUR. Han tilbyder at købe bilen for det fulde beløb - i bytte for at betale delvist kontant.
• Narkotikahandleren går til banken og får et lån, hvor han forklarer, at han køber en bil til en pris af 50.000 EUR.
• Banken yder lånet og overfører 50.000 EUR direkte til sælgeren, men narkotikahandleren betaler ham 25.000 EUR kontant.
• Narkotikahandleren sælger nu bilen til en tredjepart for 75.000 EUR, der overføres direkte til hans bankkonto. Han kan nu dokumentere, at pengene stammer fra salget af bilen. Han betaler sit lån til banken.
• Nu er de 25.000 EUR blevet hvidvasket, da de ser ud til at være betaling for et simpelt bilsalg.

I princippet kan hvidvaskning af penge også opnås gennem registrerede bilforhandlere som mellemled. Narkotikahandleren kan få stråmænd til at købe og sælge biler, både, kunst, ejendom og andre fysiske genstande for at vaske de sorte penge.

Hvad siger lov og regler om hvidvaskning af penge?

I EU er alle finansielle virksomheder underlagt og reguleret af direktivet om bekæmpelse af hvidvaskning af penge (AML).

Dens fulde officielle titel er: „Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggelse af anvendelse af det finansielle system til hvidvaskning af penge eller finansiering af terrorisme“ (læs det i sin helhed her). Direktivet findes for at forhindre kriminelle i at kunne tjene penge på ulovlige aktiviteter, som derefter kan bruges lovligt eller til at finansiere terrorisme.

Det er vigtigt at bekæmpe hvidvaskning af penge, fordi denne type kriminalitet gør det vanskeligt for retshåndhævelsen at opdage kriminelle handlinger. Ved at stoppe hvidvaskning af ulovlige penge forhindrer du samtidig andre former for økonomisk kriminalitet, da gerningsmændene vil have sværere ved at bruge eller gemme deres uretmæssigt opnåede gevinster. Desuden findes direktivet om bekæmpelse af hvidvaskning af penge også for at forhindre muligheder for finansiering af terrorhandlinger og organisationer. De fleste europæiske lande har lokale love og regler baseret på EU-direktivet, som løbende udarbejdes og udvikles af Europa-Parlamentet. På nuværende tidspunkt har EU udarbejdet seks forskellige direktiver (AML1-6) til forebyggelse af hvidvaskning af penge.

En række forskellige forretningsområder og sektorer er juridisk forpligtet til at opføre sig i overensstemmelse med reglerne om bekæmpelse af hvidvaskning af penge. Her er en kort oversigt:

• Advokater
• Revisorer og eksterne revisorer
• Ejendomsmæglere
• Udlejere
• Finansielle virksomheder
• Tjenesteudbydere

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven).

4 vigtige begreber, når det kommer til hvidvaskning af penge

Der er en hel del tekniske, juridiske og andre udtryk eller forkortelser vedrørende hvidvaskning af penge. De fire vigtigste at vide er:

1. CDD - Kundedue diligence

Customer Due Diligence (CDD) er en hjørnesten i virksomhedernes initiativer og procedurer til bekæmpelse af hvidvaskning af penge. Udtrykket dækker alle handlinger, der udføres af virksomheder for at verificere identiteten af deres kunder eller kunder, samt udføre baggrundskontrol og risikovurderinger. Virksomheder og organisationer, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge, er forpligtet til at udføre risikovurderinger, hvor de - på klient-til-kunde-basis - vurderer risikoen for, at klienten bruges eller bruger virksomheden til hvidvaskning af penge eller finansiering af terrorisme. Læs mere om CDD og risikovurdering.

Læs også: Due Duligence - forståelse af, hvad denne type proces betyder

2. KYC - Kend din kunde

Der er mange grunde til, at det er vigtigt for virksomheder at „kende deres kunder“. Blandt dem er - i forhold til CDD - evaluering af, om de udgør en risiko for virksomheden eller ej. KYC-screening eller verifikation er en proces, hvor virksomheden identificerer eller verificerer identiteten af deres kunder og kunder. Med andre ord lærer de deres kunder at kende. Dette kan opnås ved at indsamle personlige oplysninger og identifikationsdata om kunden eller klienten, som skal verificeres. Læs mere om KYC (Kend din kunde)

3. PEP - Politisk eksponeret person

En PEP, eller politisk eksponeret person, er en strengt defineret kategori af mennesker, der på baggrund af deres politiske position eller magt betragtes som kunder, der har større risiko for at blive udsat for hvidvaskning af penge eller andre kriminelle aktiviteter. Bekymringen er, at de - på grund af deres position - kan blive udsat for afpresning, bestikkelse eller på anden måde (både villigt og tvunget) kan blive involveret i hvidvaskning af penge. Læs mere om PEP og PEP-lister.

4. AML - Bekæmpelse af hvidvaskning

AML er en forkortelse for „Anti-Money Hvidvaskning“. Udtrykket henviser til en bred vifte af love, forordninger, direktiver og procedurer, der findes for at forbyde eller stoppe hvidvaskning af ulovlige penge.

Vejledning til bekæmpelse af hvidvaskning af penge

Virksomheder i de berørte sektorer skal konstant tilpasse sig en overflod af love, direktiver og forordninger. De fleste af disse kræver eller tilskynder til specifikke former for kontrol mod hvidvaskning af penge.

Med AML 5, som blev implementeret i januar 2020, blev der indført en række ændringer, herunder en overgang til en risikoafhængig tilgang til forsigtighedsforanstaltninger vedrørende bekæmpelse af hvidvaskning af penge. Den nye tilgang kræver mere af virksomhedernes evne til at vurdere deres kunder eller kunderelationer.

Groft sagt skal virksomheder vurdere risikoen for, at de bliver misbrugt til hvidvaskning af penge eller finansiering af terrorisme. Et af de centrale og grundlæggende begreber er udarbejdelsen af risikovurderinger, politikker og forretningsprocedurer samt den underliggende kontrol og evaluering, der sikrer den overordnede overholdelse.

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven - Download PDF).

Meo — undgå hvidvaskning af penge med vores intelligente platform

Vi håber, at du nu har en mere klar forståelse af hvidvaskning af penge - og har givet dig et indblik i, hvad din virksomhed skal være opmærksom på for at være AML-kompatibel. Har du en klar standard for dine processer, datahåndtering og verifikation af nye kunder?

Hvis ikke, kan Meo hjælpe.

Meo er en dansk virksomhed og softwareplatform, der hjælper virksomheder med deres datasikkerhed, onboarding og overordnede compliance.

Læs også vores blogindlæg om Dataskyttelse og DPO.

Med Meo kan du:

• Skærm automatisk klienter via PEP-lister.
• Bekræft klienternes id
• Indsamle data fra officielle kilder vedrørende virksomheder og enkeltpersoner

Er din virksomhed underlagt direktivet om bekæmpelse af hvidvaskning af penge (AML) og de efterfølgende love og regler i alle EU- og EØS-lande? Så er det vigtigt, at du kender dine forpligtelser i forhold til loven, og hvorfor det endda er nødvendigt at have en europæisk standard for initiativer og regler til bekæmpelse af hvidvaskning af penge.

På denne side besvarer vi de hyppigst stillede spørgsmål om AML og direktivet om bekæmpelse af hvidvaskning af penge, såsom:

• Hvorfor har vi brug for love og regler om bekæmpelse af hvidvaskning af penge (AML)?
• Hvilke virksomheder er omfattet af direktivet om bekæmpelse af hvidvaskning af penge?
• Hvordan interagerer EU-direktiver og nationale love?
• De forskellige tilsynsmyndigheder
• Hvad sker der, hvis virksomheder ikke overholder loven?
• Vejledning til direktivet om bekæmpelse af hvidvaskning af penge
• AML 5: den risikobaserede tilgang
• Risikovurdering
• Politikker
• Forretningsprocedurer
• Revision og verifikation
• KYC-procedure
• AML 6: Nye krav kommer

Hvorfor har vi brug for love og regler om bekæmpelse af hvidvaskning af penge (AML)?

Der findes love og regler om bekæmpelse af hvidvaskning af penge for at forhindre, at der tjenes penge på kriminelle aktiviteter, der bruges i resten af samfundet. Grundlæggende eksisterer loven for at gøre det vanskeligere at begå forbrydelser, såsom skatteunddragelse og økonomisk svig. Loven har også til formål at forhindre finansiering af terrorisme.

Alle EU- og EØS-lande har deres egne love og regler om bekæmpelse af hvidvaskning af penge. De er dog alle dannet af EU-direktiver som er dannet og godkendt af Europa-Parlamentet. EU har på nuværende tidspunkt udarbejdet seks forskellige direktiver vedrørende hvidvaskning af penge. I teknisk terminologi kaldes de AML 1-6. AML er en forkortelse for „Anti-Money Hvidvaskning“.

EU-direktiv

Et direktiv er en retsakt vedtaget af Den Europæiske Union. Direktiverne er bindende for medlemslande og medlemmer af Det Europæiske Økonomiske Samarbejdsområde (EØS). Landene beslutter dog selv, hvordan direktivet skal gennemføres i nationale love og forskrifter.

Hvilke virksomheder er omfattet af direktivet om bekæmpelse af hvidvaskning af penge?

Forskellige virksomheder er omfattet af direktivet om bekæmpelse af hvidvaskning af penge, blandt andre:

• Advokatfirmaer
• Revisorer
• Ejendomsforvaltere
• Udlejere
• Finansielle virksomheder
• Tjenesteudbydere

Hvordan interagerer EU-direktiv og national lovgivning?

Når Europa-Parlamentet udsteder et direktiv, har de enkelte medlemsstater en periode, hvor de er forpligtet til at implementere direktivet i lokal lovgivning. Dette sker typisk ved at foretage justeringer i allerede eksisterende love og/eller udstede nye bekendtgørelser.

Arbejdet med gennemførelsen strækker sig typisk over en længere periode, og ikke alle lande gennemfører loven samtidigt eller på lignende måde. Dette skaber en vis debat mellem lande, da det fører til situationer, hvor det kan være mere fordelagtigt at oprette en finansiel licens ét sted og derefter levere dine produkter til de resterende lande.

EU's ekspertgrupper

Udviklingen af direktiver om bekæmpelse af bekæmpelse af bekæmpelse af penge omfatter en række forskellige erhverv, interessegrupper, juridiske eksperter samt lokale tilsynsmyndigheder.

Meo har siden 2015 været repræsenteret i en af EU's betalingssystemmarkedsekspertgrupper (PSMEG) af vores administrerende direktør, Christian Visti Larsen, som har bistået med udviklingen af AML 5.

Forskellige regulerende agenturer

Det tilsyns- eller reguleringsorgan, der oprindeligt udstedte en virksomhedslicens, vil ofte være den part, der er ansvarlig for at sikre korrekt tilsyn og håndhævelse.

Men fra land til land kan der være en vis forskel på, hvordan reglerne håndhæves. Dette gør det mere lokkende for visse virksomheder at fokusere deres aktiviteter i et land, hvor tilsynet er mere afslappet - og derefter sælge deres varer eller tjenester til resten af landene på det europæiske indre marked.

Hvad sker der, hvis virksomheder ikke overholder loven?

Der er forskel på, hvordan de enkelte tilsynsmyndigheder kommunikerer de aktiviteter og problemer, de måtte afdække, når de fører tilsyn med virksomheder.

Til tider kan disse være i form af lovgivningsmæssige AML-rapporter, der specificerer kritik, påbud og endda rapporter til politiet. Disse rapporter er typisk offentligt tilgængelige på deres hjemmesider, og det kræves ofte, at rapporterne vises på virksomhedernes egne hjemmesider.

Hvis en virksomhed bliver fanget i ikke at leve op til sine forpligtelser, resulterer det ikke nødvendigvis i en bøde. Virksomheden vil dog sjældent være i stand til at undgå sanktioner eller en tur til den metaforiske pillory. For virksomheder, der er afhængige af deres gode navn og omdømme, kan dette være meget værre end en bøde.

Sanktioner

De regulerende agenturer kan sjældent udstede bøder, men de er i stand til at rapportere virksomheden i strid med AML-love til den lokale politiafdeling for kriminelle økonomiske aktiviteter. Dette resulterer derefter i en politiundersøgelse, der kan føre til en offentlig retssag. Det er dog muligt for agenturet at udstede administrative bøder i enkle tilfælde, hvor virksomheden indrømmer forseelser.

AML 5: Den risikobaserede tilgang

Det seneste direktiv, AML 5, blev vedtaget i 2017 og bredt vedtaget i januar 2020. Med dette direktiv gik vi over til en risikobetinget tilgang til forholdsregler mod hvidvaskning af penge (AML) - en tilgang, der kræver mere af virksomhedernes vurdering af deres kundeforhold.

Virksomhederne skal nu vurdere den enkelte kundes individuelle risiko for at blive brugt til hvidvaskning af penge eller finansiering af terrorisme. Nogle af de centrale og grundlæggende elementer i det nye AML-direktiv er:

• Risikovurderinger
• Politikker
• Forretningsprocedurer

Det er helt op til virksomheden at udvikle og implementere disse krav. Nedenfor forklarer vi, hvad hvert element indebærer. Desuden skal du oprette en beskrivelse af, hvordan du reviderer og overvåger hver aktivitet, så du er sikker på, at loven opretholdes.

Den risikobaserede tilgang resulterer i et meget større fokus på verifikation af identitet og løbende KYC-kontrol.

Læs også: Hvad er Compliance?

Risikovurdering

Virksomheder, der er omfattet af direktivet om bekæmpelse af hvidvaskning af penge, skal udarbejde risikovurderinger, der identificerer og evaluerer alle opfattede risici forbundet med individuelle kunder, produkter, leveringskanaler og forretningsaktiviteter.

For at lave en risikovurdering skal virksomheden:

• Overvej risikoen, fra klient til klient, om at blive udnyttet til hvidvaskning af penge eller finansiering af terrorisme. Dette kaldes også CDD (Customer Due Diligence).
• Være i stand til redegøre for og begrunde vurderingen og forholdsregler til det relevante regulerende organ.
• Foretag en risikovurdering, der omfatter virksomhedernes forholdsregler og sikkerhedsforanstaltninger i forbindelse med forebyggelse af hvidvaskning af penge.

Du kan for eksempel ende med at konkludere, at der er en forhøjet risiko forbundet med kunder, der bor i udlandet. Denne risiko afhænger af, hvilket land kunden bor. Baseret på disse oplysninger kan du vurdere, om du har brug for yderligere dokumentation fra klienten. For eksempel, du kan kræve at se en kopi af deres pas eller fødselsattest. Hvis virksomhedernes tjenester giver personer eller enheder mulighed for at blive kunder uden fysiske møder, kan du også beslutte, at dette kræver behov for yderligere dokumentation.

Supplerende læsning: Hvad er Due Diligence?

Risikovurdering

Risikovurderinger er strukturerede tilgange, hvor du forsøger at objektivt og retfærdigt vurdere kunder individuelt. Det kræver differentieret behandling.

Politikker

En virksomheds politikker beskriver deres overordnede appetit på risiko. Denne politik vil ofte indeholde beskrivelser af:

• Hvilke typer kunder du vil have at gøre forretninger med
• Hvilke typer kunder du vil ikke at gøre forretninger med

Det vil typisk være ledelsen, der skitserer og udvikler disse politikker, som derefter godkendes af bestyrelsen. En af de primære årsager til dette er, at det tvinger ledere til anerkende og aktivt træffe beslutning om risiciene forbundet med at drive virksomheden. På denne måde kan ingen i virksomheden overtage deres ansvar eller vaske hænderne for forseelser, hvis der opstår problemer.

Politikker definerer også det område, inden for hvilket medarbejderne opererer uden konstant godkendelse fra øverste ledelse.

En virksomheds politikker beskriver deres overordnede tilgang og kapacitet til risiko. Politikker oprettes af øverste ledelse og godkendes af bestyrelsen.

Forretningsprocedurer

Kort sagt er en forretningsprocedure en skriftlig proces for, hvordan du som medarbejder eller virksomhed skal opføre dig i specifikke, veldefinerede situationer.

En forretningsprocedure:

• giver dig et overblik af de risici, du anser for at være til stede hos forskellige grupper af kunder eller kunder.
• beskriver de foranstaltninger, du har truffet for at mindske denne risiko.

Eksempel

Hvis du har en klient bosat i udlandet, kan du bruge risikovurderingen til at vurdere, om dette udgør en forhøjet risiko for, at din virksomhed misbruges til hvidvaskning af penge eller finansiering af terrorisme.

Dette er den opfattede risiko, virksomheden pådrager sig, hvis de påtager sig klienten. For at kunne acceptere nævnte risiko skal forretningsproceduren kræve en mere grundig verifikation af klienten. Ud over en standard KYC-check kan du kræve notariserede kopier af pas eller anmode om yderligere oplysninger om forretningsforetagendet.

Desuden vil en forretningsprocedure også indeholde oplysninger om, hvornår og hvordan du rapporterer forseelser til et regulerende organ, såsom når du har mistanke om økonomisk misbrug.

Revision og verifikation

Revision og verifikation skal altid dokumenteres. Det er nytteløst at udføre verifikation, hvis du ikke efterfølgende kan bevise, at det fandt sted.

En typisk fejl i denne proces indebærer manuel verifikation af kopier af pas eller kørekort. For at imødegå dette kan en forretningsprocedure foreskrive, at medarbejderen skal gennemgå dokumenterne og sikre, at id'et er gyldigt og af en sådan kvalitet, at de efterfølgende kan identificere klienten. Men hvis der ikke er dokumentation for, at dette er sket, anses revisionen ikke for at have fundet sted, uanset om medarbejderen rent faktisk har gennemgået dokumenterne eller ej.

KYC-kontrol

En KYC-kontrol udføres også på grundlag af risikovurderingen og de identificerede risici. Dette er også kendt som KYC eller "Kend din kunde“ (Know Your Customer).

Afhængigt af de opfattede risici kan du enten udføre en forbedret eller regelmæssig kontrol. KYC kræver opnåelse Identificering af personoplysninger om klienten. Typisk vil disse omfatte:

• Navn og CPR-nummer eller Identifikator for juridisk enhed (LEI), afhængigt af om klienten er en person eller en anden virksomhed/organisation.

Disse identificerende oplysninger skal verificeres via en pålidelig uafhængig kilde. Det betyder, at du skal verificere dokumenter og sammenligne dem med offentligt tilgængelige oplysninger og databaser, der kan validere adresser, pas eller navne.

KYC-kontrol

Beskriver, hvordan virksomheden opfører sig for at lære deres kunder/kunder at kende. KYC er en forkortelse for „Know Your Customer“.

AML 6: Nye krav kommer

Alle de tidligere krav har en fællesnævner: de kræver etablerede procedurer og verifikationsprocesser for hver enkelt klient. En sikker procedure og verifikation af kunderelationer kan kun sikres, hvis der er tilstrækkelig dokumentation for, at det fandt sted.

Hvis du ikke følger reglerne, kan det få alvorlige konsekvenser for din virksomhed. Bortset fra de allerede omfattende krav, kan du blive underlagt øget tilsyn og dermed yderligere krav. Dette er et felt med en massiv politisk og samfundsmæssig interesse og kontrol, hvorfor det bare er god forretning at kende reglerne og være i spidsen.

Den seneste udgave, AML 6, er planlagt til at blive implementeret i alle medlemsstater inden den 3. december 2020 og træde i kraft for erhvervslivet senest den 3. juni 2021. Med AML 6 vil flere elementer blive udvidet med vægt på bøder og sanktioner.

Meo — undgå hvidvaskning af penge med vores nemme og sikre AML-løsning

Som du sikkert har bemærket, er der mange krav til virksomheder, når det kommer til AML og love og regler mod hvidvaskning af penge. Er du på toppen af dine AML-procedurer og tilgange?

Hvis ikke, kan Meo hjælpe.

Meo er en softwareplatform, der kan hjælpe dig med AML-overholdelse ud over en række andre tjenester.

Med Meo kan du:

• Skærm automatisk klienter via PEP-lister
• Bekræft klienternes id
• Indsamle data fra officielle kilder vedrørende virksomheder og enkeltpersoner

‍

Læs også: Databeskyttelse: Sådan beskytter du dine kunders personlige data (og overholder GDPR) og DPO - Hvad er en databeskyttelsesrådgiver og datasikkerhed?

Alt hvad du behøver at vide om personlige data

I denne digitale tidsalder og med vedtagelsen af den generelle databeskyttelsesforordning (GDPR) har der været et øget fokus på personoplysninger og den måde, virksomheder håndterer deres kunders oplysninger på. Personlige data deles af borgere og kunder hele tiden - med både virksomheder og regeringer. Og organisationer, der ikke har en ordentlig håndtering af personlige data, risikerer store bøder og sanktioner. Læs mere om databeskyttelse og hvordan beskytter dine kunder personlige data og overholder GDPR.

Læs også: DPO - hvad er en databeskyttelsesrådgiver og datasikkerhed?

Fordi dette er et så vigtigt emne for virksomheder, har vi skrevet denne omfattende guide og ofte stillede spørgsmål, så du bedre kan forstå, hvad personlige data er - og hvordan du skal håndtere dem i henhold til GDPR. Vi vil svare:

• Hvad er personoplysninger?
• Hvad er GDPR (General Data Protection Regulation)?
• Personoplysninger i et forretningsmæssigt perspektiv
• Hvornår anses virksomheder for at behandle personoplysninger?
• Hvem ejer personlige data?
• Sikker behandling af personoplysninger
• Sådan hjælper Meo virksomheder med at indsamle, verificere og gemme personlige data på en sikker og nem måde, der også er 100% GDPR-kompatibel.

Læs mere om platformen her eller book en demo for at høre mere om, hvordan vi kan hjælpe din virksomhed med KYC-overholdelse.

Hvad er personoplysninger?

For at forstå, hvad personlige data er, lad os starte med en definition. Personoplysninger defineres af EU i den generelle databeskyttelsesforordning som:

“ Personoplysninger „: alle oplysninger vedrørende en identificeret eller identificerbar fysisk person (“ registreret „); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.
‍
- Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016

Personoplysninger er med andre ord alle oplysninger, der kan bruges til at identificere en person. I henhold til denne definition omfatter personoplysninger en række forskellige informationer, herunder:

• Et navn
• Et foto
• E-mail-adresse
• Oplysninger om en persons etnicitet
• En lydfil
• IP adresse
• Strafferegister
• CPR-nummer
• Listen over personoplysninger er derfor potentielt uudtømmelig.

Alle oplysninger relateret til en identificeret eller identificerbar person er personlige data. Oplysninger såsom data om medfødte sygdomme hos en persons bedsteforældre er også personoplysninger.

GDPR skelner dog mellem forskellige typer af personoplysninger, som skal behandles eller håndteres på mindre og mere restriktive betingelser:

Generelle personoplysninger

Disse omfatter personoplysninger såsom navne, e-mails, adresser, ansættelsessted osv. Det er faktuelle oplysninger, der ofte er offentligt tilgængelige.

Følsomme personoplysninger (“ særlige kategorier af personoplysninger“)

Såsom sundhedsdata, etnicitet og seksuel identitet. Disse typer data er meget personlige og skal behandles med ekstra omhu.

CPR-numre og straffeattest (“ særlige kategorier af personoplysninger „)

Offentlige oplysninger såsom personnumre og strafferegistre er også en del af særlige kategorier af personoplysninger. I nogle EU-lande betragtes disse som en særskilt kategori, da de omfatter klassificerede eller beskyttede oplysninger, der skal beskyttes mere end selv traditionelle følsomme personoplysninger.

Hvad er GDPR (General Data Protection Regulation)?

GDPR, eller den generelle databeskyttelsesforordning, er en lovramme og et direktiv i EU-lovgivningen om databeskyttelse og privatliv i Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. Det gælder for alle personoplysninger samt overførsel af personoplysninger uden for EU og EØS. Det blev implementeret i 2018.

Dets officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Læs mere om databeskyttelsesforordningen (GDPR).

Hvad er personoplysninger i et forretningsmæssigt perspektiv?

Personoplysninger er i sidste ende den mest værdifulde information, som virksomheder indsamler og behandler. Uden disse data er det ikke muligt at drive en virksomhed i en så digitaliseret verden.

På forbrugerniveau ville folk ikke være i stand til at bruge nutidens digitale muligheder, dvs. oprette en bankkonto, få leveret en pakke eller på nogen måde købe vitale digitale tjenester uden frigivelse af en eller anden form for personoplysninger. Der er selvfølgelig visse udbydere af tjenester og produkter, der ikke har brug for personlige data - for eksempel hvis du køber en hotdog hos en sælger og betaler kontant.

Med undtagelse af eksempler som ovenfor er størstedelen af interaktionerne mellem enkeltpersoner og virksomheder baseret på en vis deling eller udveksling og behandling af personoplysninger. Den stigende digitalisering af samfundet og brugen af personaliserede data giver også anledning til bedre og mere målrettede tjenester. Derfor kan udveksling af personoplysninger anses for nødvendig eller endog væsentlig for både forbrugere og virksomheder.

Reglerne for, hvordan virksomheder behandler personoplysninger, er ret omfattende og dækker blandt andet sikker opbevaring af personoplysninger.

Læs mere om reglerne her.

Hvad er behandling af personoplysninger?

Behandling af personoplysninger henviser til aktiviteter såsom indsamling, opbevaring, brug, overførsel, sikkerhed og videregivelse af personoplysninger. Alle aktiviteter vedrørende personoplysninger, fra planlægning af behandling til fjernelse af personoplysninger, udgør behandling af personoplysninger.

Når en virksomhed behandler data, vil der altid være behov for en databehandler og en dataansvarlig. Disse to roller er ikke de samme, men er begge nødvendige at have. I det følgende kan du finde en definition af hver rolle, og hvad den indebærer.

En dataansvarlig er en person eller en organisation, der bestemmer formålene og midlerne til behandling af personoplysninger. En dataansvarlig kan være en forening, der indsamler oplysninger om sine medlemmer, et hospital, der behandler patientjournaler, en online butik eller en social medietjeneste.

En databehandler er en person eller en organisation, der behandler personoplysninger på vegne af en dataansvarlig. En databehandler kan være et agentur, der håndterer visse processer i en anden virksomhed, eller en it-tjenesteudbyder, der har adgang til de personoplysninger, der indsamles af den dataansvarlige.

Hvornår kan virksomheder behandle personoplysninger i henhold til GDPR?

GDPR - og efterfølgende lokale love - gælder i det øjeblik virksomheder 'behandler' personlige oplysninger. Men som nævnt tidligere kan behandlingen af personoplysninger antage mange former. Fordi definitionen er så bred, forekommer den i virkeligheden i det øjeblik, en virksomhed kommer i kontakt med personlige oplysninger.

I henhold til definitionen i GDPR gælder behandling af personoplysninger for alle de måder, hvorpå du håndterer personlige oplysninger. Dette omfatter indsamling, optagelse, organisering, systematisering, lagring, redigering, ændring, søgning, brug, deling, transmission, sikring, formidling, sletning — og meget mere.

Verifikation af oplysninger

Et specifikt eksempel kan være, når virksomheder har brug for at kontrollere, at et givet navn faktisk tilhører en person. Virksomheden udtrækker verifikationsdataene fra et netværk, som personen bruger - eller fra yderligere datakilder, der har myndighed til at verificere sandheden af oplysningerne. Dette er især relevant for virksomheder, der er omfattet af direktivet om bekæmpelse af hvidvaskning af penge (AML).

Hvis bare et Den type af ovenstående handlinger forekommer, betragtes det som behandling i henhold til GDPR. For at leve op til EU-lovgivningen bør alle virksomheder overveje databehandling i det øjeblik, de kommer i kontakt med personoplysninger.

Læs mere om databeskyttelsesforordningen (GDPR).

Hvem ejer personlige data?

Hvem ejer personoplysninger efter indsamling?

GDPR markerede et grundlæggende skift i, hvordan et bredere samfund ser på dataejerskab. Før var det ikke nødvendigvis klart, hvem der faktisk ejede dataene, efter at de var blevet udvekslet mellem to parter. Brugerrettigheder og retten til at få indsigt i, hvilke personoplysninger der opbevares af virksomheder, var ofte uklar.

GDPR bidrog til at afklare disse spørgsmål og principper. Det blev fastslået, at den, der ejer personoplysninger, er den person, der er repræsenteret af oplysningerne. Virksomheder har lov til at behandle og bruge de givne data, men ejerskabet og rettighederne vil altid tilhøre den registrerede.

Data tilhører den person, der er repræsenteret af oplysningerne.

Privatpersoners rettigheder

Hvilke rettigheder har privatpersoner i forhold til deres personoplysninger?

Det skift, der er skabt af GDPR — som tydeliggjorde ejendomsretten til data — førte til, at de registrerede personer får ret til indsigt, eller subjektets adgang, til de data, som virksomhederne lagrer om dem. En ret, som naturligvis også er vigtig for virksomhederne at forstå, da de er forpligtet til at leve op til love og regler.

Med undtagelse af visse usædvanlige tilfælde har privatpersoner ret til at kontakte virksomheder, som de mener behandler eller opbevarer personoplysninger, og få indsigt i, hvilke data de besidder, til hvilket formål de anser for gyldige til behandling af dine personoplysninger; og hvornår samtykke til denne type behandling blev givet.

Læs mere om retten til indsigt (Subject Access).

Denne nye forståelse af dataejerskab fører os til de seks principper for, hvordan virksomheder skal behandle personoplysninger. Find definitionen af sikring af personoplysninger, og læs mere nedenfor.

Læs også: Hvad er en PEP - politisk eksponeret person?

‍

Sikker behandling af personoplysninger

Grundlæggende kræver GDPR, at virksomheder beskytter både interne personoplysninger (om f.eks. medarbejdere) og eksterne personoplysninger (om f.eks. andre kunder, forretningspartnere, kriminelle) ved hjælp af tilstrækkelige sikkerhedsforanstaltninger.

Det er op til hver virksomhed at vurdere, hvilke sikkerhedsforanstaltninger der gælder i forskellige situationer.

Virksomheder opdeler typisk disse sikkerhedsforanstaltninger i to kategorier:

Tekniske sikkerhedsforanstaltninger: Blandt andet stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.

Organisatoriske sikkerhedsforanstaltninger: Blandt de andre beskrevne procedurer kan virksomheder vedtage organisatoriske sikkerhedsforanstaltninger såsom klare politikker for personoplysninger, sikkerhedsadgang, kurser i korrekt databehandling og videreuddannelse af medarbejdere.

Hvis du håndterer følsomme personoplysninger (som defineret ovenfor), skal du implementere strengere sikkerhedsforanstaltninger. De valgte foranstaltninger er baseret på risikovurdering, som er en del af GDPR's risikobaserede tilgang til databeskyttelse.

Læs mere om databeskyttelse her.

Sådan kommer du i gang med personoplysninger under GDPR (de 6 principper)

Er du interesseret i de grundlæggende principper i GDPR, kan du læse Kapitel 2, artikel 5 i den generelle forordning om databeskyttelse.

Dette skitserer de seks grundlæggende principper for, hvordan virksomheder har brug for at nærme sig personoplysninger. Vi vil forklare hver enkelt her:

1. „Lovlighed, retfærdighed og gennemsigtighed“

Din virksomhed skal være gennemsigtig med kunder og kunder om, hvordan du behandler deres personoplysninger. For eksempel skal sproget i skriftlig kommunikation, såsom e-mails, være klart og let at forstå. Kunderne skal vide, hvad der sker - og hvorfor. Undgå stumt sprog eller omfattende teknisk jargon, og sæt tid til at udvikle gode, læselige skabeloner til brug i fremtiden.

Al behandling af personoplysninger skal være retfærdig, sikker og baseret på bedste praksis (f.eks. ved at bruge den bedste tilgængelige teknologi).

Og endelig skal din behandling af personoplysninger være lovlig. Du skal handle i lovens ånd og bogstav, når du behandler personoplysninger. Dette inkluderer indhentning af samtykke fra kunder og kunder, da det er dem, der ejer personoplysningerne.

2. “ Formålsbegrænsning“

Du kan kun indsamle personoplysninger til specifik formål. Og det er vigtigt, at du informerer dine kunder, at du gør dette. Dette indebærer også, at du kun bruger personoplysninger i den sammenhæng, kunden har givet samtykke til.

3. “ Dataminimering“

„Behov for at have“ er centralt for dataminimering. Grundlæggende kan du kun indsamle de nøjagtige personlige data, der er nødvendige for at opfylde dit udtrykte mål eller formål.

4. 'Nøjagtighed'

Sikring af nøjagtighed af de personlige oplysninger er en løbende proces. Af den grund skal du opdatere dataene samtidig. Desuden skal du rette eller slette data, der er unøjagtige eller ubrugelige til det specifikke formål, de er nødvendige for.

5. “ Opbevaringsbegrænsning“

Du kan kun gemme personlige data Så længe det er nødvendigt. Derfor er du nødt til løbende at spørge dig selv: har vi stadig et formål med at gemme disse data? Det kan være en god ide at have en halvårlig eller årlig begivenhed, hvor du evaluerer dine gemte data.

6. „Integritet og fortrolighed“

Den integritet af dataene skal vedligeholdes. Det betyder at sikre dataens nøjagtighed og troværdighed over tid.

Samtidig skal du behandle og håndtere dataene med stor omhu og selvtillid. Du kan ikke tillade nogen at få adgang til dataene. Det gælder for personer uden for din organisation (for eksempel hackere), men også personer indefra (for eksempel kolleger).

For at sikre dette har du brug for tilstrækkelige og tilstrækkelige sikkerhedsforanstaltninger. Sikkerhedsniveauet kan variere fra virksomhed til virksomhed. Som nævnt tidligere er både teknisk og organisatorisk sikkerhed to metoder til beskyttelse af dataene.

Hvis du har styr på de seks principper, er du kommet langt i retning af korrekt behandling af personoplysninger. Og det betaler sig at arbejde inden for reglerne. Overtrædelse af GDPR kan resultere i bøder og sanktioner.

Håndhævelsestracker kan give dig et overblik over bøder og sanktioner for overtrædelse af GDPR i EU og EØS.

Hvad kan der gøres i processen med at sikre personoplysninger?

Data kan beskyttes på forskellige måder, og derfor er der som sådan ingen manual til, hvordan man præcist gør det. Nogle metoder kan dog være bedre end andre.

Du kan opnå optimal beskyttelse af personlige data gennem godt design og gode standardindstillinger.

Et godt databeskyttelsesdesign gør det muligt for din virksomhed at tage datasikkerhed i betragtning tidligt i processen, når man planlægger nye måder at behandle personoplysninger på. Her kan og bør den dataansvarlige træffe alle nødvendige tekniske og organisatoriske beslutninger for at implementere databeskyttelsesprincipper og beskytte enkeltpersoners rettigheder. Dette kan for eksempel omfatte brugen af pseudonymisering.

Databeskyttelse med gode standardindstillinger inkluderer at sikre, at virksomheden altid har den højeste databeskyttelsesindstilling som standardindstilling. Hvis der for eksempel er to forskellige privatlivsindstillinger tilgængelige, og en af indstillingerne sikrer, at andre ikke kan få adgang til de personlige data, bør denne indstilling være standardindstillingen.

‍

Populært indlæg: Hvad er hvidvask og hvidvaskloven?

Hvem er Meo?

Meo er en dansk RegTech-virksomhed, der ejer, udvikler og driver en identitetsstyringsplatform til håndtering af kundedata, Meo. Vores mål er at få virksomheder til at dele data sikkert og dermed forhindre upassende situationer og risici som hvidvaskning af penge, korruption og sikre overholdelse af loven.

Læs mere om Meo i vores Om sektion. Find ud af mere om Meo nedenfor.

Meo — behandling af personoplysninger nemt og sikkert

Hvis du har læst med fra toppen og har mistet pusten over udfordringerne ved at arbejde med GDPR og personlige data, så er du ikke alene. Heldigvis findes der en række gode løsninger til de forretningsmæssige udfordringer ved databehandling.

Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.

For virksomheder er der en række fordele ved at bruge Meo:

Onboarding

Ombord dine kunder digitalt - ved hjælp af sikre kanaler.

Validering

Opsæt dine egne krav til validering af oplysninger.

Dokumentation

Et komplet spor og oversigt over de udførte handlinger og samtykke til behandling.

Forarbejdning

Med Meo overholder du alle juridiske krav — både GDPR og AML.

‍

Læs også vores indlæg om KYC: Know Your Customer‍

Hvad er god GDPR-håndtering?

Har din virksomhed et godt greb om GDPR og hvordan du behandler personoplysninger?

Stort set alle virksomheder, der kommer i kontakt med personoplysninger, er underlagt lokale love og regler. I EU og EØS betyder det GDPR. Derfor er det vigtigt, at du kender kravene til, hvordan du behandler personoplysninger korrekt.

Nedenfor kan du læse om EU-direktivet og hvordan det gælder for personoplysninger — samt få et par tips om bedste praksis for behandling af personoplysninger:

• Hvad er den generelle databeskyttelsesforordning (GDPR)?
• Hvilke virksomheder er underlagt GDPR?
• Hvad er en Data Manager og en Databehandler?
• Hvad er en DPO (Data Protection Officer)?
• Sådan overholder du GDPR
• Opbevaring af personoplysninger — hvornår og hvor længe?
• Privatpersoners rettigheder
• Løbende revisioner og principperne om nøjagtighed
  

Hvad er den generelle databeskyttelsesforordning (GDPR)?

GDPR, eller General Data Protection Regulation, er en lovgivningsmæssig ramme og direktiv i EU-lovgivningen om databeskyttelse og privatlivets fred i Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde.

Forordningen gælder for alle personoplysninger samt overførsel af personoplysninger uden for EU og EØS. Det blev implementeret i 2018.

Dets officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Som EU-forordning og direktiv er det strengt taget ikke en egentlig lov. I stedet er det en juridisk bindende aftale mellem alle EU- og EØS-lande, som de derefter skal fortolke og implementere i deres lokale lovgivning.

Det betyder, at selvom GDPR er bindende og har til formål at give specifikke anvisninger vedrørende personoplysninger, kan der være variationer og mindre forskelle fra land til land. Det fungerer ofte som en grundlæggende ramme, der derefter udvides af det enkelte land.

TilsynForskellige lande i EU og EØS har forskellige tilsyns- eller reguleringsorganer. Disse sikrer, at GDPR opretholdes og vejleder lokale myndigheder, virksomheder og organisationer i, hvordan de overholder GDPR.

‍

Supplerende læsning: Dataskyttelse: Sådan beskytter du dine kunders personlige data og overholder GDPR

Hvilke virksomheder er omfattet af GDPR?

GDPR gælder for stort set al behandling af personoplysninger, dvs. alle oplysninger, der kan forbindes med eller identificere en bestemt person.

Læs mere om Personlige data og de forskellige kategorier.

Da forordningen er geografisk specifik for EU og EØS, gælder den kun:

• Når datahåndtering eller databehandler er i EU, uanset om den faktiske behandling foregår i eller uden for EU.
• Når person, hvis personoplysninger behandles, befinder sig i EUuanset dataadministratorens eller databehandlerens placering.
• Når behandlingen af personoplysninger vedrører et produkt eller en virksomhed i EU eller involverer overvågning af adfærd inden for EU.

For at være kortfattet: næsten alle virksomheder med et associeret selskab med EU, uanset om dette gælder for dem eller deres kunder/kunder, er underlagt GDPR.

Hvad er en Data Manager og Databehandler?

Og hvad er forskellen?

I henhold til GDPR er det vigtigt fundamentalt at adskille de to specifikke roller, som begge behandler personoplysninger.

Du kan enten være en datahåndtering eller en databehandler.

Der er forskellige krav til de to roller. Derfor er det vigtigt at vide, hvem der er hvem, og hvem der er hvem, inden du begynder at behandle personoplysninger.

Datahåndtering

Dataadministratoren definerer formålet og proceduren for, hvordan personlige oplysninger behandles. Som dataansvarlig er du forpligtet til at sikre, at:

• Du har en lovlig ret til at behandle specifikke personoplysninger
• Du er i stand til at give indsigt til de registrerede parter på deres anmodning
• Du registrerer krænkelser af persondatasikkerheden til det relevante tilsyns-, tilsyns- eller reguleringsorgan.

Databehandler

Som databehandler behandler du udelukkende personoplysningerne på vegne af databehandleren. Du har ingen indflydelse på det formål eller den procedure, du opererer under.

En databehandler kan for eksempel være en softwareudbyder til de tjenester, der bruges til at gemme data på serverne, eller en anden type udbyder af en automatiseret behandling af personoplysninger, hvor du ikke direkte har adgang til dataene.

Da forholdet mellem databehandler og databehandler indebærer udveksling af personoplysninger, er det vigtigt, at der er en databehandleraftale på stedet, der klart definerer det nøjagtige forhold mellem de to. En skabelon til dette kan findes på GDPR.eu.

Hvad er en databeskyttelsesansvarlig (DPO)?

Der kan også være en tredje rolle: DPO eller databeskyttelsesansvarlig. Du har måske stødt på dette udtryk før, men hvad betyder det? Skal din virksomhed have en DPO?

DPO's rolle er at vejlede om kravene i GDPR og guide datahåndtereren i, hvordan de kan opfylde disse krav. Det er vigtigt at bemærke, at DPO er ikke ansvarlig for, hvorvidt virksomheden overholder GDPR eller lokal lovgivning.

Statslige agenturer er forpligtet til - uanset om de er databehandlere eller databehandlere - udpege en DPO. Private virksomheder er kun forpligtet, hvis alle af følgende tre betingelser gælder:

• Behandling af personoplysninger er en kernearbejdsaktivitet
• Personlige oplysninger behandles i store mængder
• Forarbejdning består af Regelmæssig og systematisk overvågning eller indeholder følsomme personoplysninger (“ særlige kategorier af personoplysninger“)

Hvornår er behandling af personoplysninger en“ kernearbejdsaktivitet“?

De fleste organisationer udfører en eller anden form for behandling af personoplysninger, men GDPR skelner mellem ikke-kernearbejdsaktiviteter og kernearbejdsaktiviteter.

Ikke-kernearbejdsaktiviteter kan generelt siges at være aktiviteter, der understøtter kernearbejdsaktiviteter. For eksempel kommer de fleste virksomheder i kontakt med en vis mængde personoplysninger med hensyn til medarbejderdata og personoplysninger relateret til salg og forskellige typer support. Disse betragtes som ikke-kernearbejdsaktiviteter.

I henhold til GDPR er behandling af personoplysninger en kernearbejdsaktivitet, hvis det, en virksomhed ønsker at sælge, er uigendriveligt forbundet med personoplysninger. Dette kan for eksempel være:

• Forsikringsselskaber hvis produkt er skræddersyet på grundlag af personoplysninger
• Udbydere af markedsundersøgelser
• Søgemaskiner
• Virksomheder relateret til headhunting af nye medarbejdere

Dette er alle eksempler på forretningsaktiviteter, der er centreret omkring behandling af personoplysninger, og hvor output afhænger af de indhentede og behandlede oplysninger.

Sådan overholder du GDPR

GDPR kræver en risikobaseret tilgang svarende til for eksempel initiativer til bekæmpelse af hvidvaskning af penge.

En risikobaseret tilgang betyder, at uanset om virksomheden er en databehandler eller en dataansvarlig eller ej, er du forpligtet til at foretage en vurdering af de typer data, der opbevares eller behandles af virksomheden. Så skal du sørge for, at der er organisatorisk og tekniske sikkerhedsforanstaltninger eller sikkerhedsforanstaltninger på plads, der svarer til de vurderede risici.

Tekniske sikkerhedsforanstaltninger

Eksempler er stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.‍

Organisatoriske sikkerhedsforanstaltninger

Eksempler inkluderer beskrevne procedurer, virksomheder kan vedtage organisatoriske sikkerhedsforanstaltninger såsom klare politikker for personoplysninger, sikkerhedsadgang, kurser i korrekt databehandling og videreuddannelse af medarbejdere.

For at overholde GDPR skal virksomheder have:

• Risikovurderinger
• Politikker og procedurer
• Revision og dokumentation

Hvordan foretager du en risikovurdering?

Risikovurderinger vil typisk evaluere eller vurdere:

• Hvilke typer data gemmes af virksomheden (der er f.eks. forskelle i følsomheden mellem lagring af e-mail-adresser og kopier af pas)
• Konsekvenser for datalækager (f.eks. phishing, hacking eller utilsigtet intern lækage af materiale vedrørende personlige data)
• Den sikkerhedsforanstaltninger på plads for at minimere ovenstående risici

På baggrund af disse faktorer kan du vurdere, om risikoen er acceptabel, eller om du har brug for at implementere nye sikkerhedsforanstaltninger for at minimere risikoen for, at data bliver stjålet eller lækket.

Der er også krav til Dokumentation af dine overvejelser med hensyn til procedurerne.

Politikker

De fleste virksomheder har indført procedurer og politikker, der strømliner og systematiserer arbejdsaktiviteter. På samme måde er det en god idé at definere politikker og procedurer for behandling af personoplysninger.

Du opdeler typisk persondatapolitikker i, om de vedrører personoplysninger om medarbejdere eller kunder/kunder. En persondatapolitik for klienter kan f.eks. indeholde følgende:

• En afklaring af, om du opfører dig som datahåndtering eller databehandler.
• Hvor personoplysningerne opbevares — på interne eller eksterne servere eller lagerenheder? Hvis det opbevares uden for EU/EØS, hvad gjorde du så for at sikre et tilstrækkeligt sikkerhedsniveau?
• Uanset om du har en DPO, og i bekræftende fald, hvad DPO's opgave er, og hvordan du har sikret DPO's position i organisationen.
• Hvad er det angivne formål med lagring af data, specifikt din juridiske rettigheder og Formålets legitimitet.
• Hvad er din politik for sletning eller sletning af personoplysninger, og hvor længe du opbevarer data efter ophør af et kunde/kundeforhold.
• Eventuelt, hvilken teknisk og organisatoriske sikkerhedsforanstaltninger du har implementeret for at beskytte mod datalækager, og hvordan du planlægger at reagere i tilfælde af en lækage.

Forretningsprocedurer

Forretningsprocedurerne skal være i et internt tilgængeligt dokument, der er skrevet for at understøtte det arbejdsflow og procedurer, du har aftalt. En forretningsprocedure er ofte en forholdsvis detaljeret beskrivelse af, hvordan du håndterer personoplysninger med specifikke procedurer for, hvordan din virksomhed — i sine daglige aktiviteter — får unødvendige data til at blive slettet, og hvordan du deler data med andre, hvad enten det er med kolleger eller eksterne databehandlere.

Revision og dokumentation

Samtidig skal du være i stand til at dokumentere, at din behandling af personoplysninger sker i overensstemmelse med GDPR og lokal lovgivning. Du skal f.eks. dokumentere, hvordan du sletter personoplysninger efter afslutningen af et forretningsforhold.

En virksomhed kan have flere procedurer for, hvordan og hvor ofte de sletter data. Men ifølge GDPR er det vigtigt, at det er nedskrevet eller på en eller anden måde dokumenteret, så de rette tilsynsmyndigheder kan revidere dine handlinger og dermed sikre, at du overholder GDPR.

Dokumentationskravet kan understøttes af it-løsninger, der endda kan automatisere nogle af de nødvendige processer.

Opbevaring af personoplysninger — hvornår og hvor længe?

Virksomheder kan gemme personoplysninger, så længe de:

• Har en lovlig ret til det.
• Har en legitimt formål til opbevaring af dataene.

Den lovlig ret med hensyn til opbevaring af personoplysninger defineres som:

• Virksomheden har opnået samtykke fra den person, hvis personoplysninger opbevares.
• Det er skrevet i loven, at dataene skal gemmes.
• Det er nødvendigt for at opretholde en aftale eller kontrakt.
• Virksomheden har en legitim interesse ved opbevaring af personoplysninger. Og denne interesse har en større værdi for personens egen interesse, end hvis den blev slettet.

Normalt har virksomheden eller det statslige organ tilstrækkelige juridiske rettigheder, hvis bare en Ovenstående kriterier er opfyldt.

EN legitimt formål er grundlæggende defineret af sund fornuft.

Spørg dig selv: Hvad er formålet med at gemme de givne personoplysninger?

Hvis du ikke har et legitimt formål, skal dataene slettes.

Eksempel

For seks måneder siden havde virksomheden et jobopslag på udkig efter en retshjælp. De havde mange ansøgere, men har siden lukket hele afdelingen og planlægger ikke at ansætte juridiske hjælpemidler nogensinde igen.

Har virksomheden stadig et legitimt formål med at gemme CV'er og applikationer? Her er svaret nej.

Så længe en virksomhed har den juridiske ret og et legitimt formål, kan virksomheden fortsætte med at gemme data. Så snart dette ikke længere er tilfældet, skal dataene slettes.

‍

Populært indlæg: Hvad er hvidvask og hvidvaskloven?

Privatpersoners rettigheder

Med implementeringen af GDPR får privatpersoner ret til at få adgang til de data, virksomheder gemmer om dem. Dette kaldes ofte adgangsrettigheder eller emneret:

• Du har i princippet ret til at få adgang til alle personoplysninger om dig selv, som datahåndtering er ansvarlig for.
• EN databehandler kan ikke give adgang, fordi de ikke er ansvarlige for de registrerede data.

De data og oplysninger, du kan anmode om, inkluderer:

• Sådan behandles dine personoplysninger
• Hvilket formål er der med behandlingen
• Hvem oplysningerne deles med
• Hvor længe dataene gemmes
• Hvor personoplysningerne stammer fra

Dette er for at sikre, at dataene er verificerbare, nøjagtige, og at behandlingen udføres på grundlag af forsvarlig juridisk myndighed.

Læs også: Hvad er en PEP - politisk eksponeret person?

Løbende revision og princippet om nøjagtighed

Som virksomhed er du forpligtet til at sikre dig, at de lagrede personoplysninger er korrekte, og at forkerte eller falske oplysninger slettes.

Dette kaldes også princippet om nøjagtighed.

Princippet drejer sig ikke kun om pligten til at slette eller rette oplysninger, som du er blevet informeret om, er forkert. Du har også en forpligtelse til aktivt at søge og kontrollere nøjagtigheden af dine data.

Dette kan f.eks. ske ved, at du løbende sammenligner de data, du indhenter, med søgninger i registre og databaser med offentligt tilgængelige oplysninger, eller at du med jævne mellemrum anmoder om verifikation fra den person, som oplysningerne handler om.

Omfanget af, hvor grundigt du har brug for at verificere oplysningernes nøjagtighed og ægthed, og hvor ofte du skal gentage denne proces, afhænger af de data, du behandler. Jo mere følsomme - og derfor jo større betydning oplysningerne har for ejeren - jo flere procedurer og fejlsikre skal du implementere for at beskytte mod dette resultat.

Cases hos Meo

Meo har også samarbejdet med en masse forskellige virksomheder, der har haft stor gavn af den danske softwareplatform, Meo. Blandt dem er advokatfirmaet Bech-Bruun, der for nylig kommenterede, om platformen har givet klarhed om sikker håndtering af information og data fra nye kunder i overensstemmelse med GDPR-loven.

Dette fokus er noget, der afspejles i udtalelser fra vores forskellige partnere og kunder, som alle mener, at vores softwareplatform har skabt sikkerhed for dem i forbindelse med udveksling af data og information med kunder eller partnere.

Vi hos Meo hjælper derfor med at skabe klarhed over administrative opgaver samt sikkerheden i din virksomhed og udveksling af data.

Meo — Behandling af personoplysninger nemt og sikkert

Hvis du har læst med fra toppen og har mistet pusten over udfordringerne ved at arbejde med GDPR og personlige data, så er du ikke alene.

Heldigvis findes der en række gode løsninger til de forretningsmæssige udfordringer ved databehandling.

Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.

For virksomheder er der en række fordele ved at bruge Meo:

Onboarding

Ombord dine kunder digitalt på sikre kanaler.

Validering

Opsæt dine egne krav til validering af oplysninger.

Dokumentation

Et komplet revisionsspor og oversigt over de udførte handlinger og samtykke til behandling.

Forarbejdning

Med Meo overholder du alle juridiske krav, både GDPR og AML.

En forretningsforpligtelse

Virksomheder, der behandler personoplysninger og oplysninger, er forpligtet til at beskytte disse data. Datasikkerhed er en grundlæggende forudsætning, hvis du arbejder inden for finansielle tjenester eller sektor - men det er også en nødvendighed, hvis du håndterer eller behandler nogen form for data.

I denne artikel forklarer vi:

• Hvad er databeskyttelse?
• Teknisk databeskyttelse
• Organisatorisk databeskyttelse
• Sådan håndteres brud på databeskyttelse

Med Meo kan du forenkle processen med at beskytte dine kunders personlige data — fra første kontakt til slutningen af dit forretningsforhold. Vores løsning sikrer, at du overholder GDPR og love og regler om bekæmpelse af hvidvaskning af penge (AML) i hele EU.

Læs mere om platformen

Hvad er databeskyttelse?

Databeskyttelse er en samlet betegnelse for alle sikkerhedsforanstaltninger og sikkerhedsforanstaltninger, der beskytter dine egne - og dine kunders - data.

Alle virksomheder i EU er i henhold til GDPR (General Data Protection Regulation) forpligtet til at beskytte deres kunders, medarbejderes og andre partneres data — herunder deres personoplysninger. Dette gælder både interne (personer i organisationen) og eksterne (for eksempel hackere) parter.

Det er op til virksomheden selv at implementere tilstrækkelige sikkerhedsforanstaltninger, der beskytter data. Disse sikkerhedsforanstaltninger kategoriseres normalt som enten:

• Tekniske sikkerhedsforanstaltninger eller forholdsregler
• Organisatoriske sikkerhedsforanstaltninger eller forholdsregler

Den passende grad eller omfang af sådanne foranstaltninger for din virksomhed er op til dig. Dette kræver blandt andet, at du laver en Konsekvensanalyse vedrørende databeskyttelse (DPIA) og en konsekvensanalyse af din databeskyttelse. Du kan finde en skabelon til en konsekvensanalyse vedrørende databeskyttelse (DPIA) på GDPR.EU.

Desuden er det vigtigt, at du kan dokument at du har installeret eller implementeret de nødvendige foranstaltninger, og at du efterfølgende og regelmæssigt vurderer, om de er tilstrækkelige til at beskytte de personlige oplysninger, du behandler.

Der findes en række internationalt anerkendte standarder for databeskyttelse, såsom:

• ISO 29151
• ISO 29134
• ISO 27001

De kan læses fuldt ud på Den Internationale Standardiseringsorganisations hjemmeside.

Som dataansvarlig og som databehandler Det er vigtigt, at selvom du følger standarderne og retningslinjerne, er dette ikke synonymt med overholdelse af GDPR. Derfor er det vigtigt, at du har en systematisk, professionel og struktureret tilgang til jobbet. Hvis du behandler følsomme personoplysninger („særlig kategori af personoplysninger“), kan det være nødvendigt at tilføje eller udvide med efterfølgende beskyttelsesforanstaltninger.

Supplerende læsning: DPO - hvad er en databeskyttelsesrådgiver og datasikkerhed?

‍

Teknisk databeskyttelse

Teknisk databeskyttelse og sikkerhedsforanstaltninger er alle former for sikkerhedsforanstaltninger, der er afhængige af digitale værktøjer og it-infrastruktur. Det findes overvejende på computere og servere.

Dette kan for eksempel være:

• Firewalls
• Adgangskoder
• 2-faktor godkendelse
• Kryptering
• Logning af datahåndtering
• Forskellige administrative roller
• Lagring af data i niveauer (så et brud ikke giver adgang til alle data)
• Anti-virus
• Sikkerhedskopiering

Organisatorisk databeskyttelse

Organisatorisk databeskyttelse og sikkerhedsforanstaltninger er den type databeskyttelse, der involverer mennesker og processer. Data sikres ved at uddanne medarbejdere og følge retningslinjer, der forbyder uplanlagte fejl eller forsætlige brud på personoplysninger.

Dette udtryk gælder for:

• Procedurer for databehandling
• Klar fordeling af roller og adgang
• Sikkerhedskurser
• Uddannelse af medarbejdere
• Risiko- og konsekvensvurderinger
• Handlingsplaner for brud på personoplysninger

Sådan håndteres brud på databeskyttelse

Ingen databeskyttelse er fejlsikker og idiotsikker.

Dette anerkendes også af selve GDPR og af de fleste af de tilsynsmyndigheder, der er ansvarlige for at håndhæve den i EU.

For at minimere skaden ved et brud er det vigtigt, at du har en klar handlingsplan for, hvornår du måske har mistanke om, at der er sket et brud på din sikkerhed. Dette omfatter, men er ikke begrænset til, en klar ansvarsfordeling mellem dataansvarlig og databehandler, hvordan du rapporterer potentielle overtrædelser til kunder, og klare retningslinjer for, hvordan du rapporterer overtrædelser til de relevante tilsynsmyndigheder.

‍

Læs også: Hvad er Hvidvask og Hvidvaskloven? og Hvad er en PEP - Politisk Eksponeret Person?

‍

Med Meo får du AML- og GDPR-kompatibel databeskyttelse

Med Meo får du en softwareplatform, der beskytter dine kunders data og sikrer, at du overholder love og regler om bekæmpelse af hvidvaskning af penge (AML).

Desuden hjælper platformen dig med at bekræfte dine kunders identitet, så du overholder KYC, Due Diligence og CDD. Få mere information om vores sikkerhed ved at læse vores Hvidbog om sikkerhed.

Databehandling og overholdelse

GDPR (Generel databeskyttelsesforordning) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.

I denne artikel dykker vi dybt ned i databehandling og forklarer:

• Hvad er databehandling, og hvad betragtes som følsomme data?
• Hvilke krav stiller GDPR til din databehandling?
• Hvordan behandler du personoplysninger korrekt?
• Hvad er der i en databehandleraftale?
• Hvad er forskellen mellem en databehandler og en databehandler?

Hvad er databehandling, og hvad er følsomme data?

Databehandling er enhver aktivitet, hvor personoplysninger indsamles, registreres, lagres, analyseres, overføres, slettes, sælges osv. Begrebet defineres så bredt, at enhver kontakt med personlige oplysninger grundlæggende betragtes som databehandling.

Data defineres i dette tilfælde som formaliseret information, der typisk håndteres af en maskine eller en computer.

De fleste virksomheder og organisationer vil, i en eller anden form, håndtere eller behandle en eller anden type data, oftest Personlige data. GDPR definerer personoplysninger som: „enhver information vedrørende en identificeret eller identificerbar fysisk person („registreret“); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

Personoplysninger er typisk opdelt i to kategorier. Nogle lande har også en tredje kategori, mens andre anser kategorien „Fortrolige personoplysninger“ for at være af samme kategori som følsomme data.

• Generelle eller almindelige personoplysninger: navne, e-mail-adresser, bopæl, ansættelsessted og andre faktuelle oplysninger, der er offentligt tilgængelige.
• Følsomme personoplysninger (“ Særlig kategori af personoplysninger „): Sundhedsjournaler, oplysninger om forsøgspersonens etnicitet, religion eller seksuelle identitet. Disse data er mere personlige og bør derfor håndteres med større omhu.
• Fortrolige personoplysninger: CPR-numre, strafferegistre og andre klassificerede oplysninger, der skal reguleres særskilt.

Hvilke krav stiller GDPR til din databehandling?

Ifølge GDPR Alle personoplysninger skal håndteres og behandles særligt og følsomt. Jo mere personlige eller private oplysningerne er, jo flere regler og forskrifter skal du overholde under behandlingen af dataene.

Hvis du vil vide mere om, hvordan du skal beskytte dine kunders personlige data, kan du læse vores artikel om datasikkerhed.

Her er et konkret eksempel på, hvad GDPR kræver af dig, når du behandler data: En virksomhed skal kontrollere, om et givet navn rent faktisk tilhører klienten. Dette er et krav under KYC som defineret i Direktivet om bekæmpelse af hvidvask af penge. Her skal du bruge autoritative datakilder, der bekræfter troværdigheden af oplysningerne. Du kan for eksempel gøre dette ved at se en kopi af deres pas eller kørekort. Du skal derefter dokumentere, at du har bekræftet deres identitet. Al denne databehandling skal ske i overensstemmelse med GDPR.

Læs også: Hvad KYC - Know Your Customer?

Er der forskel på datahåndtering og databehandling?

Datahåndtering og databehandling bruges ofte om hverandre.

Man kan dog sige, at databehandling er den overordnede betegnelse for både datahåndtering og dataudnyttelse.

Datahåndtering kan ses som en næsten passiv eller ikke-transformativ behandling af data, hvorimod du med dataudnyttelse gør noget med disse data, såsom at analysere, slette eller ændre dem.

Supplerende læsning: Databeskyttelse: Sådan beskytter du dine kunders personlige data

Hvordan behandler du personoplysninger korrekt?

For at kunne behandle personoplysninger korrekt har du brug for:

• Den lovlig ret og en legitimt formål
• Samtykke fra den person, hvis personoplysninger du behandler
• EN databehandleraftale

EN lovlig ret og en legitimt formål er forudsætninger, når du behandler personoplysninger. Dine rettigheder er begrænset af, om du behandler generelle eller følsomme personoplysninger.

Du har brug for samtykke fra personen hvis personoplysninger du behandler. Dette skal opfylde en række krav: det skal være frivilligt, begrænset eller specifikt, informeret og utvetydigt. Desuden skal du dokumentere og bekræfte, at du har indhentet samtykket korrekt.

Der er undtagelser for, hvornår en virksomhed kan få samtykke. Dette kan være, hvis det for eksempel er nødvendigt af omhu og due diligence over for personen, eller hvis der er en legitim grund til databehandleren, der ikke afløses af subjektets egne interesser.

Du kan læse mere om samtykke på GDPR.eu.

For det tredje har virksomhederne brug for en databehandleraftale. Dette er en kontrakt, der indeholder instruktioner til databehandleren om, hvordan oplysningerne skal behandles. Denne aftale er mellem datahåndtering og databehandler.

Hvad er der i en databehandleraftale?

En databehandleraftale skal give databehandleren klare instruktioner om, hvordan oplysningerne skal håndteres og behandles. Det er et juridisk bindende dokument, der skal være skriftligt og opbevares elektronisk.

Formålet med aftalen er at sikre, at personoplysningerne behandles og behandles ansvarligt og sikkert. Det er også vigtigt, at den indeholder krav til, hvordan og hvornår man skal kontakte dataadministratoren, hvis der er mistanke om sikkerhedsbrud eller misbrug. Hvis din virksomhed er databehandler, er det dit ansvar for at informere dataadministratoren om mistanke om misbrug eller brud på datasikkerheden.

Som en del af instruktionerne skal databehandleren også være forpligtet til at udføre årlige eller efter aftale revisioner for at dokumentere, at de følger instruktionerne og gældende lovgivning. Dette kan ske gennem en revisionsrapport, der skal certificeres af en ekstern revisor.

Du kan finde en skabelon til en databehandleraftale på GDPR.eu.

Hvad er forskellen mellem en datahåndtereren og en databehandler?

Datahåndtereren og databehandleren er ikke den samme person.

Datahåndtereren er den part, der bestemmer, hvilke data der skal behandles, til hvilket formål og ved hjælp af hvilke værktøjer. Datahåndtereren definerer grundreglerne for, hvordan dataene skal behandles.

På den anden side er databehandleren den part, der udfører selve behandlingen på vegne af databehandleren.

Det er vigtigt at adskille de to, fordi de har forskellige krav. Den ene part, databehandleren, sikrer, at databehandlingen er i overensstemmelse med GDPR, mens den anden part, databehandleren, påtager sig ansvaret for at handle i overensstemmelse med de givne instruktioner.

Læs også: DPO - Hvad er en dataskyttelsesrådgiver og datasikkerhed?

Nemmere databehandling med Meo

Med Meo kan du nemt finde de oplysninger, du har brug for om dine kunder ved hjælp af en simpel søgning. Og personoplysninger slettes eller arkiveres korrekt, når en forretningsrelation slutter.

Platformen sørger for, at du overholder GDPR og gør det nemt at håndtere data for:

Onboarding

Ombord dine kunder ved hjælp af sikre kanaler.

Validering

Bestem dine krav til validering af oplysninger.

Dokumentation

Fuld log og sporing af handlinger og adgang.

‍

Læs også: Hvad er Compliance?

Know Your Customer (KYC) eller på dansk "Kend din kunde" er et grundlæggende compliance begreb, der typisk bruges af virksomheder, der er underlagt hvidvaskloven.

Formålet med KYC er at sikre, at en virksomhed kender til den modpart, som virksomheden ønsker at indgå et forretningsforhold med. En modpart kan være en kunde, en virksomhed, en klient, en investor eller andet. I forbindelse med KYC anvendes også begrebet Beneficial Owner (BO) eller på dansk “Reelle ejere"), da det er det ikke alene er selve modparten man skal kende - men den eller de personer, der har det ultimative ejerskab eller kontrol over de midler, der skal indgå i forretningsforholdet. På den måde kan man undersøge, hvor og hvem der står bag en transaktion og på den måde undgå at indgå i forretningsforbindelser med kriminelle, hvidvaskere eller blive en del af terrorfinansiering.

Denne artikel gennemgår følgende områder:

• Hvad er KYC?
  
  • Identifikation og verifikation 
  • Reelle ejere
  • Forretningsforbindelsens formål
  • Risikovurdering
  • Løbende overvågning
  • Skærpede procedurer 
• Hvem er forpligtet til at udføre KYC?
• Hvordan fungerer KYC?
• Hvornår skal der laves KYC?
• Hvorfor er det vigtigt?
• Konsekvenserne ved ikke at følge reglerne?
• Hvordan MEO kan hjælpe med det?

‍

Hvad er KYC?

KYC (Know Your Customer) omfatter en længere liste over områder som virksomheder skal tage stilling til. Ofte er det denne indledende del som skaber forvirring både internt i virksomheder og i den eksterne kommunikation hvis ikke vi formår at forstå, at det ikke kun drejer sig om at kende til identiteten på en person - men også om at forstå hvilken risiko der er forbundet med selve forretnings formålet. 

Eksemplevis: 

Hvis en virksomhed ønsker at bistå en kunde med at sælge en fast ejendom - kan risikoen ved transaktionen være forskellig selvom det er den samme person der er involveret som den reelle ejer. 

• Sælger “Den reelle ejer” er en person, som vi kan identificere og verificere via MitID. Ejendommen er en alm. villa i Danmark, og salgsprisen er 2,5 mio. Køber er også kendt via MitID

Som udgangspunkt ville vurderingen, om der var hvidvask eller anden kriminalitet involveret på ovenstående transaktion, være lav, da vi kender personerne og de er verificeret via MitID.   

Hvis vi i samme transaktion tilføjer nogle få informationer, kunne risikoen nemt ændre sig.  

• Sælger “Den reelle ejer” er en person, som vi kan identificere og verificere via MitID. Ejendommen er en alm. villa i Danmark, og salgsprisen er 2,5 mio. Køber er også kendt via MitID
• Sælger har haft ejerskab af ejendommen i 3 måneder og erhvervede den til 1.8 mio. kr. 
• Sælger og køber har selv fundet hinanden og ejendommen har ikke været udbudt via ejendomsmægler   

Nu ville vurderingen, om der var hvidvask eller anden kriminalitet involveret på ovenstående transaktion, være meget høj, selvom vi kender personerne og de er verificeret via MitID. Men nu er der stor risiko for, at der i denne transaktion overføres en væsentlig værdi mellem de 2 personer, der efterfølgende vil være “hvide penge” og dermed vil virksomheden der bistå med transaktionen være involveret i hvidvask. 

Så KYC omfatter altså flere elementer - lad os gennemgå dem nedenfor.
‍

Identifikation og verifikation 

Denne del handler om at indsamle en række oplysninger og efterfølgende verificere oplysningerne via en anden kilde. Det skal være en dokumenteret proces, hvor virksomheder skal forsøge at indhente tilstrækkelig information til at få bekræftet identificerede identiteter på den de arbejder sammen med. Den mest åbenlyse proces kunne være følgende eksempel: 

En person ønsker at sælge sit hus og opgiver sit navn og adresse på huset. Det er nu muligt, at efterprøve hvorvidt det pågældende navn der står som ejer af huset via tinglysning.dk og det er muligt at gennemføre en MitID-verifikation på den pågældende person.   
‍

Læs også: Hvad er en PEP - politisk eksponeret person?

Hvordan kan MEO hjælpe dig med identifikation og verifikation ?

MEO gør det muligt at få et godt overblik over identifikationen af reelle ejere ved at hente virksomheders ejerstrukturer gennem integration med CVR-registeret, internationale datakilder og andre relevante datakilder. Systemet giver dig mulighed for at kortlægge komplekse ejerkæder og identificere de fysiske personer, der har den ultimative kontrol - også på tværs af internationale strukturer. En helt unik funktion er, at man kan anvende mange forskellige datakilder og dokumentere, hvilke datakilder der indikerer hvad.

Platformen gør det nemt at dokumentere 25%-grænsen og andre kontrolmekanismer som særlige rettigheder eller bestyrelsesposter. MEO gemmer og genbruger oplysninger om reelle ejere på tværs af forskellige kundeforhold, hvilket sparer betydelig tid ved gentagne transaktioner med de samme virksomheder.

Systemet advarer automatisk, hvis der opdages ændringer i ejerstrukturen via de datakilder der tillader det, og sikrer at dokumentationen altid er opdateret og klar til tilsynsformål.
‍

Reelle ejere

Ved reelle ejere, skal den eller de personer som har afgørende indflydelse på transaktionen identificeres. Denne del er i praksis meget svær at håndtere - selvom det umiddelbart virker meget enkelt og ligetil. Når vi skal vurdere, hvem der har en afgørende indflydelse, er der flere muligheder der gør sig gældende. Når modparten er en virksomhed, vil de fleste kunne forstå, at det naturligvis må være den eller de personer der ejer virksomheden, som bestemmer eller har en afgørende indflydelse. I de fleste tilfælde er dette afgjort ud fra en %-vis andel af ejerskabet - typisk 25% eller mere kategoriseres som en afgørende andel ift. bestemmende indflydelse. Men der kan være mange andre faktorer der gør sig gældende - alt fra individuelle kontrakter/aftaler til bestemmelser i selskabets vedtægter. Så her er en større opgave ift. at få indhentet oplysninger der kan bekræfte de antagelser som man gør sig.         
‍

Hvordan kan MEO hjælpe dig?

MEO gør det muligt at få et godt overblik over identifikationen af reelle ejere ved at hente virksomheders ejerstrukturer gennem integration med CVR-registeret, internationale datakilder og andre relevante datakilder. Systemet giver dig mulighed for at kortlægge komplekse ejerkæder og identificere de fysiske personer, der har den ultimative kontrol - også på tværs af internationale strukturer. En helt unik funktion er, at man kan anvende mange forskellige datakilder og dokumentere, hvilke datakilder der indikerer hvad.

Platformen gør det nemt at dokumentere 25%-grænsen og andre kontrolmekanismer som særlige rettigheder eller bestyrelsesposter. MEO gemmer og genbruger oplysninger om reelle ejere på tværs af forskellige kundeforhold, hvilket sparer betydelig tid ved gentagne transaktioner med de samme virksomheder.

Systemet advarer automatisk, hvis der opdages ændringer i ejerstrukturen via de datakilder der tillader det, og sikrer at dokumentationen altid er opdateret og klar til tilsynsformål.

‍

Forretningsforbindelsens formål

Denne del er ofte overset eller dokumenteret dårligt og det skyldes som regel flere forhold. Denne del af KYC kan ikke gennemføres, medmindre virksomheden har lavet den lovpligtige “egen risikovurdering”. Egen risikovurderingen er en risikovurdering som alle virksomheder der er underlagt hvidvaskloven skal lave og løbende opdatere. I denne risikovurdering tager virksomheden stilling til hvilke forretningsaktiviteter de ønsker at tilbyde, samt hvilke risici ift. Hvidvaskloven disse aktiviteter indeholder. Så hvis virksomheden ønsker at bistå kunder med ejendomshandler, så skal dette være nævnt og indeholde de risici som måtte være forbundet med dette. Ligeledes skal denne risikovurdering også indeholde hvilke procedurer og tiltag virksomheden har til rådighed for at afdække de identificerede risici.

Når ovenstående er på plads, kan virksomheden forholdsvis nemt vurdere hvilket formål en forretningsforbindelse har og i hvilken risikoklasse denne aktivitet måtte befinde sig i.    
‍

Hvordan kan MEO hjælpe dig med forretningsforbindelsens formål?

MEO hjælper med at strukturere og dokumentere formålsvurderingen ved at guide brugeren gennem standardiserede spørgsmål baseret på virksomhedens risikovurdering og sikrer, at alle forretningsforbindelser bliver kategoriseret korrekt i forhold til de identificerede risikoklasser. Dette gør det nemt at dokumentere både formålet og den tilhørende risikoprofil for hver kunde.

Der er en fuld audit log, der viser og dokumenterer alle ændringer mv. under hele kundeforløbet og som indgår i den arkiverede data efterfølgende.

Risikovurdering

Summen af alle de aktiviteter som KYC processerne indeholder giver virksomheden mulighed for at lave en samlet risikovurdering på den pågældende kunde. En risikovurdering skal altid være veldokumenteret og indeholde en samlet konklusion typisk om kunden har en risiko der er lav, mellem eller høj. Det er vigtigt at forstå, at en risikovurdering ikke er statisk, men løbende kan ændre sig, såfremt der sker væsentlige ændringer i et forretningsforhold. Husk - at man altid skal kunne dokumentere, hvilke ændringer der er sket i risikovurderinger over tid. Typiske områder der også er med i en risikovurdering er:   

• Geografisk placering og aktivitetsområde
• Transaktionsmønstre og forretningsart
• Politisk eksponering (PEP-screening)
• Sanktionslister og negative medieomtaler

Hvordan kan MEO hjælpe dig med risikovurdering?

MEO genererer en veldokumenteret risikovurdering baseret på en virksomhedsspecifik risikovurderingsproces, hvor kundens profil, transaktionsmønstre, geografiske placering og andre risikofaktorer kan indgå. Brugere har mulighed for kontinuerligt at opdatere risikovurderingen baseret på nye informationer, og systemet sender advarsler, når en kundes risikoprofil ændrer sig væsentligt. Platformen dokumenterer automatisk alle ændringer i risikovurderingen over tid og opretholder en komplet historik, som er kritisk for compliance og tilsynsformål. Dette sikrer, at virksomheden altid kan påvise, hvorfor og hvornår risikovurderinger blev ændret.

Løbende overvågning

Hvis ikke der er etableret en proces omkring løbende overvågning, vil det være umuligt at vurdere, om der er sket ændringer der betyder, at risikovurderingen skal genvurderes. I princippet bør man løbende overvåge alle de parametre, der indgår i risikovurderingen.    

‍

Populære indlæg: Hvad er Due Diligence? og Hvad er Customer Due Diligence (CDD)?

Hvordan kan MEO hjælpe med løbende overvågning?

MEO overvåger automatisk alle kunder i realtid mod PEP-lister, sanktionslister og negative medieomtaler. Systemet sender øjeblikkelige advarsler, når der registreres ændringer, og opretholder en kontinuerlig auditlog over alle overvågningsaktiviteter.

Platformen overvåger også ændringer i de offentlige registreringer og sender notifikationer. Dette er tilgængeligt i de lande, hvor det er muligt.

Skærpede procedurer 

En skærpet procedure gør sig gældende, når der er konstateret en forhøjet risiko på en forretningsforbindelse, dette kan der være mange årsager til, men vigtigst er, at man kan identificere dem og har en proces for hvordan man håndtere dette.   

Hvordan kan MEO hjælpe dig?

Når der identificerer højrisikokunder, er det muligt i Meo at aktiveres skærpede procedurer med udvidet dataindsamling, krav om godkendelse fra senior ledelse, og implementering af hyppigere overvågning. Systemet styrer hele processen og sikrer, at alle nødvendige dokumentationer bliver indsamlet og godkendt.

Platformen dokumenterer alle de skærpede foranstaltninger og opretholder en komplet audit trail, som er kritisk for at kunne påvise overfor tilsynsmyndigheder, at korrekte procedurer blev fulgt for højrisikokunder.

Hvem er forpligtet til at udføre KYC?

KYC anvendes i en lang række sektorer som i den finansielle sektor, af advokater, revisorer, ejendomsmæglere, bogholdere, kunsthandlere og serviceproviders, men er også påkrævet i mange andre brancher, fx spillebranchen, auktionshuse, fodboldklubber mv.

Alle virksomheder, der er omfattet af hvidvaskloven, skal gennemføre kundekendskabsprocedurer (KYC) på deres kunder. De mest almindelige omfattede brancher inkluderer:

• Banker og andre finansielle institutioner
• Kreditgivere og betalingsformidlere
• Advokater og revisorer
• Ejendomsmæglere
• Bogholdere og serviceproviders
• Kunsthandlere og auktionshuse
• Spilleoperatører
• Virksomheder med kontanttransaktioner over 15.000 kr.

Derudover er alle erhvervsdrivende, der ikke er omfattet af hvidvaskloven, forpligtet til at overholde kontantforbuddet og må ikke modtage betalinger på 15.000 kr. eller derover i kontanter.

Nye AML-regler på vej: Fra 10. juli 2027 træder en ny EU AML-forordning i kraft, som erstatter den nuværende danske hvidvasklov. Den nye forordning vil gælde direkte i alle EU-lande og medfører harmoniserede regler på tværs af EU. Samtidig etableres AMLA (Anti-Money Laundering Authority) som ny fælles europæisk tilsynsmyndighed med hovedsæde i Frankfurt.

Er du i tvivl om, hvorvidt din virksomhed er omfattet af KYC-kravene, bør du konsultere hvidvaskloven eller søge professionel rådgivning.

Risikobaseret tilgang i KYC

KYC og hvidvaskbekæmpelse har gennemgået en fundamental transformation med overgangen fra regelbaseret til risikobaseret tilgang. Dette paradigmeskift, blev formaliseret gennem EU's 4. hvidvaskdirektiv og styrket med det 5. hvidvaskdirektiv, har ændret måden virksomheder skal håndtere deres KYC.

Tidligere fungerede KYC som en "checkboks-øvelse" hvor alle kunder blev behandlet ens ud fra et fast regelsæt. Dette var enkelt at administrere, men ineffektivt - en pensionist og en cryptocurrency-trader fik samme behandling, selvom risikoprofilen var vidt forskellig.

I dag skal virksomheder identificere, vurdere og forstå deres specifikke risici for derefter at træffe proportionale foranstaltninger. 

For virksomheder betød skiftet både øget ansvar og større fleksibilitet. Nu kan man fokusere ressourcerne hvor risikoen faktisk er, behandle lavrisikokunder mere effektivt og give højrisikosituationer den opmærksomhed, de kræver. Samtidig stilles der større krav til:

• Ekspertise inden for risikostyring
• Dokumentation af beslutninger
• Løbende opdatering af systemer
• Balancering af compliance og forretning

Den risikobaserede tilgang har gjort KYC fra en tick box øvelse til et strategisk værktøj i moderne forretningsdrift - komplekst, men langt mere effektivt til at bekæmpe den faktiske kriminalitet.

Hvorfor er KYC vigtigt?

KYC opleves ofte som bureaukratisk besværlighed - endnu en formular, endnu en legitimations-mail. Men bag disse procedurer ligger ønsket om en kritisk samfundsfunktion, der skal beskytte os alle. KYC fungerer lidt som et immunforsvar. Pengeinstitutter og andre virksomheder er blevet tildelt rollen som "dørvogter" - de skal forhindre kriminelle i at misbruge legitime virksomheder til ulovlige aktiviteter.

Det primære formål er at begrænse mængden af sorte penge på markedet og dermed gøre det sværere at tjene store penge på kriminalitet. Når kriminelle ikke kan "hvidvaske" deres penge, mindskes incitamentet til kriminalitet markant.

På mange områder kan man konkludere, at systemet virker. I Danmark alene sender bankerne over 65.000 mistanke-underretninger til myndighederne hvert år. Disse fører til konkrete efterforskninger og anholdelser, hvilket viser KYC's reelle betydning for kriminalitetsbekæmpelsen. Det vil altid være forbedringer og 65.000 mistanker er ikke i sigselv et målepukt for success 

KYC bekæmper ikke kun hvidvask, men også terrorfinansiering - hvor selv små beløb kan få katastrofale konsekvenser. Dette gør KYC til et nationalt sikkerhedsspørgsmål og en del af vores kollektive forsvar. Forebyggende effekt har også en værdi. Hvis det bliver nemt at hvidvaske penge, svækkes samfundets tillid til systemet, og viljen til at følge loven undermineres. KYC beskytter denne tillid ved at sikre, at alle spiller efter de samme regler.

For virksomheder handler KYC ikke kun om regeloverholdelse, men også om risikostyring og omdømme. Effektive procedurer beskytter mod bøder, omdømmeskader og økonomiske tab, samtidig med at de gør virksomheder bedre til at betjene deres kunder. I en globaliseret verden med lynhurtige pengestrømme er KYC vores kollektive forsvar mod dem, der vil udnytte det finansielle system. Det er langt mere end papirarbejde - det er en hjørnesten i et trygt og retfærdigt samfund.

Hvad sker der, hvis du ikke overholder KYC?

Manglende overholdelse af KYC-regler kan få alvorlige konsekvenser for både virksomheder og ledelse:

Tilsynsmyndigheder kan pålægge betydelige bøder ved overtrædelse af hvidvaskloven. Bødestørrelsen afhænger af overtrædelsens karakter og grovhed. Ved manglende KYC-procedurer for specifikke kunder udmåles bøder typisk som 25% af det samlede transaktionsbeløb. For systematiske mangler i compliance-systemer beregnes bøder baseret på den besparelse, virksomheden har opnået ved undladelsen, ganget med en procentsats afhængig af omsætningsniveauet.

Virksomhedens ledelse kan blive gjort personligt ansvarlig og idømt individuelle bøder, typisk omkring 10% af virksomhedens bødestraf. I alvorlige tilfælde kan overtrædelser føre til strafferetlige anklager mod enkeltpersoner eller virksomheder, der bevidst undlader at rapportere mistænkelige transaktioner.

Andre konsekvenser kunne være :

• Tab af bankforbindelser eller forretningspartnerskaber
• Tilbagekaldelse af licenser og tilladelser
• Alvorlig skade på virksomhedens omdømme og troværdighed
• Tab af kundernes tillid og forretnings­muligheder

Myndighederne i EU og Danmark håndhæver reglerne strengt, og mange virksomheder er allerede blevet ramt af betydelige bøder og andre sanktioner for manglende compliance.

Hvordan kan MEO hjælpe dig med KYC?

MEO er en danskudviklet compliance-platform, der automatiserer KYC-processen. Med MEO kan du:

• Verificere kunders ID i realtid
• Gennemføre PEP- og sanktionsscreening
• Dokumentere alle trin i processen
• Overholde gældende GDPR- og AML-krav

Platformen integreres let i dine eksisterende arbejdsgange og reducerer den manuelle byrde markant.

Book en demo

Vil du se, hvordan MEO kan hjælpe din virksomhed med at overholde KYC-kravene? Book en demo i dag og oplev fordelene ved automatiseret compliance.

Customer Due Diligence (CDD) er ofte brugt som en reference til en central aktivitet under de internationale regler mod hvidvask og terrorfinansiering. Kort sagt handler det om at kende sine kunder godt nok til at kunne vurdere, om der er risiko for, at de misbruger din virksomhed til økonomisk kriminalitet.

CDD betyder, at virksomheden systematisk indsamler og verificerer informationer om kunder, så man kan dokumentere, hvem de er, og evt. hvor deres midler kommer fra. Det er et lovkrav i henhold til hvidvaskloven og er baseret på internationale standarder fra FATF (Financial Action Task Force) – særligt Recommendation 10, der specifikt adresserer krav om CDD.

KYC vs. CDD – hvad er forskellen?

Hvis man tidligere har stiftet bekendtskab med begrebet Know Your Customer (KYC) kan der nemt opstå en mindre forvirring. KYC og Customer Due Diligence (CDD) bruges nemlig ofte i flæng – og ofte i relation til de samme aktiviteter. 

I praksis beskriver mange KYC som den indledende identitetskontrol (hvem er kunden?) og omtaler CDD som den bredere proces, der også omfatter risikovurdering og løbende overvågning. Tidligere brugte man primært betegnelsen KYC. Over tid er reguleringen blevet udvidet til mere omfattende CDD-programmer.

Ifølge FATF er CDD selve kernen i KYC-kravene. CDD beskrives som et sæt af due diligence-tiltag: indsamling, verificering, risikovurdering og overvågning. Der findes ikke én entydig skelnen. Nogle jurisdiktioner ser KYC som en del af CDD, andre omvendt. Men reguleringsmæssigt handler det om det samme: at identificere kunder, vurdere risici og overvåge dem løbende.

Læs også: Hvad er Due Diligence?

Hvorfor er Customer Due Diligence vigtigt?

Formålet med CDD kan opsummeres i to hovedpunkter:

1. Forebygge økonomisk kriminalitet – CDD hjælper med at afsløre mistænkelige aktiviteter, før de udvikler sig til problemer.
2. Overholde lovkrav – Virksomheder, der ikke lever op til reglerne, risikerer bøder, tab af licens eller alvorlige omdømmeskader.
   

I sidste ende er CDD både et compliance krav og en måde at sikre tillid hos kunder og samarbejdspartnere.

Hvad skal undersøges i CDD-processen?

En CDD-proces indebærer typisk, at virksomheden dokumenterer og vurderer:

• Kundens identitet (navn, adresse, CPR-/CVR-nr).
• Reelle ejere (hvem står bag virksomheden eller organisationen?)
• Formålet med kundeforholdet (hvorfor ønsker kunden relationen?)
• Forventede transaktioner (omfang, type, hyppighed).
• Risikoprofil (lav, middel eller høj risiko).

Hvornår skal CDD udføres?

CDD er påkrævet i følgende situationer:

• Ved onboarding af nye kunder.
• Ved større enkeltstående transaktioner.
• Når der sker ændringer i ejerstruktur eller kundens adfærd.
• Hvis der opstår mistanke om hvidvask eller terrorfinansiering.

Det er altså ikke en engangsopgave – men en løbende proces, hvor kundedata skal opdateres jævnligt.

Udvidet due diligence eller enhanced due Diligence (EDD) for højrisiko kunder

Hvis en kunde vurderes som højrisiko, skal virksomheden udføre Enhanced Due Diligence (EDD), som indebærer:

• Indhentning af yderligere dokumentation.
• Screening mod PEP-lister (politisk eksponerede personer).
• Løbende transaktionsovervågning i realtid.
• Dokumentation for midlernes oprindelse.
  

Customer Due Diligence og hvidvask

CDD er et af de vigtigste redskaber i bekæmpelsen af hvidvask og terrorfinansiering. Processen sikrer, at virksomheder kan:

• Identificere og rapportere mistænkelige aktiviteter.
• Dokumentere, at kundens midler har lovlig oprindelse.
• Overholde FATF’s internationale standarder og den danske hvidvasklovgivning.
  

Konsekvenser ved manglende CDD

Hvis virksomheder undlader at udføre korrekt CDD, kan konsekvenserne være:

• Store bøder og sanktioner.
• Tab af licens eller retten til at drive forretning.
• Omdømmeskade blandt kunder og samarbejdspartnere.
• Risiko for at blive misbrugt til kriminalitet.

Hvad er en PEP (politisk eksponeret person) og PEP-listen?

I compliance-arbejdet er PEP-begrebet centralt. Banker, advokater, revisorer og andre forpligtede virksomheder skal kunne identificere politisk eksponerede personer (PEP'er) og håndtere de skærpede krav, der følger med.

I denne artikel får du en oversigt over, hvad en PEP er, hvordan PEP-listen fungerer, hvem der omfattes – og hvordan klassificering og håndtering foregår i praksis. Du får også indblik i de væsentlige ændringer, der kommer i 2027, hvor EU's nye AML-forordning erstatter de nuværende direktiver og udvider PEP-definitionerne.

Definition af en politisk eksponeret person

En PEP er en person, der har – eller har haft – et fremtrædende offentligt tillidshverv. Det kan være ministre, medlemmer af parlamenter, dommere i højesteret eller direktører i statslige styrelser.

Baggrunden er international: FATF (Financial Action Task Force) fastlægger standarder for identifikation og overvågning af politisk eksponerede personer. Alle medlemslande – herunder samtlige EU-lande – er forpligtet til at implementere disse standarder i deres nationale lovgivning.

Læs også: Hvad er Hvidvask og Hvidvaskloven?

Strukturel ændring fra 2027

Fra 10. juli 2027 ændres denne model fundamentalt, da EU's AML-forordning gælder direkte i alle medlemslande uden behov for national implementering. Samtidig får den nye EU-myndighed AMLA ansvar for at udarbejde detaljerede retningslinjer på området.

I EU er kravene indtil 2027 indarbejdet gennem hvidvaskdirektiverne (bl.a. 4. AMLD), som præciserer, at reglerne skal omfatte både udenlandske og indenlandske PEP'er. Fra 2027 erstattes disse direktiver af EU's AML-forordning, som gælder direkte og udvider PEP-definitionerne yderligere.

Hensigten er at forebygge, at magtfulde personer kan misbruge deres position til korruption eller hvidvask – ikke at stemple PEP'er som mistænkelige i sig selv.

PEP-listen – hvordan fungerer den?

For at lette arbejdet med identifikation findes der officielle lister.

I Danmark: Finanstilsynet offentliggør en PEP-liste, der løbende opdateres. Listen omfatter navne og fødselsdatoer på de personer, der er omfattet. Listen inkluderer kun selve PEP'erne - ikke nærtstående eller nære samarbejdspartnere, som virksomhederne selv skal identificere.

Internationalt: Der findes ingen global navneliste, men de fleste lande har tilsvarende registre. Derudover benytter mange virksomheder private databaser, som samler og vedligeholder PEP-data på tværs af landegrænser.

Eksempler på private PEP-databaser

• ComplyAdvantage: Global compliance-database med PEP-data og sanktionslister.
• Moody's Analytics (KYC): Omfattende KYC-løsning med PEP-identifikation.
• Experian: Tilbyder PEP-screening som del af deres compliance-produkter.
• Regula: Specialiseret i identitetsverifikation og PEP-kontrol.‍
• OpenSanctions: Open source-database med PEP-data og sanktionslister.‍
  ‍

Hvem anses som en PEP?

I Danmark anses blandt andet følgende som PEP'er:

• Statsministre, ministre og departementschefer.
• Medlemmer af Folketinget og Europa-Parlamentet.
• Dommere i Højesteret og andre højtstående domstole.
• Direktioner i statslige styrelser og bestyrelsesmedlemmer med beslutningskompetence.

Ændringer fra 2027

Med EU's AML-forordning udvides PEP-definitionen til også at omfatte ledere af regionale og lokale myndigheder. Derudover omfattes:

• Nærtstående: Ægtefælle/partner, børn og deres ægtefæller/partnere, forældre samt søskende til en PEP (søskende inkluderes fra 2027)
• ‍Nære samarbejdspartnere: Personer med fælles reelt ejerskab med en PEP, andre nære forretningsforbindelser, eller eneste reelle ejere af selskaber oprettet til PEP'ens fordel

PEP-klassificering – hvad betyder det?

Når en kunde identificeres som PEP, udløses en PEP-klassificering. Det indebærer, at virksomheden skal anvende skærpede kundekendskabsprocedurer (enhanced due diligence).

Det kan omfatte:

• Fastlæggelse og dokumentation af oprindelsen af midler og formue.
• Godkendelse af forretningsforbindelsen på ledelsesniveau.
• Skærpet overvågning af transaktioner og kundeforholdet.

For compliance-funktioner betyder det ofte ekstra dokumentationskrav og tættere løbende monitorering.

Supplerende læsning: Hvad er compliance?

Hvad betyder det i praksis at være PEP?

For den enkelte person betyder PEP-klassificering ikke, at der er en mistanke om kriminalitet. Det er et spørgsmål om risikohåndtering.

I praksis kan en PEP opleve:

• At banken eller rådgiveren beder om yderligere dokumentation ved etablering af kundeforhold.
• At transaktioner monitoreres løbende med skærpet opmærksomhed.
• At nærtstående og samarbejdspartnere også bliver underlagt PEP-kontrol.

Konklusion

For compliance-ansvarlige er kendskab til PEP-reglerne helt centralt. Identifikation, klassificering og korrekt håndtering af PEP'er er en væsentlig del af hvidvasklovens krav og et område, der ofte kontrolleres af myndighederne. Fra 2027 sker der en fundamental ændring, hvor EU's AML-forordning erstatter de nuværende direktiver og gælder direkte uden national implementering. Dette kræver forberedelse på udvidede PEP-definitioner og nye EU-retningslinjer.

En korrekt og dokumenteret proces giver både overholdelse af reglerne og en bedre risikostyring.

Dets formål, proces og nødvendighed

Stiller du spørgsmålstegn ved: hvad er en samtykkeerklæring? I denne artikel kan vi besvare spørgsmålene om, hvad det er, hvordan det udfyldes, og hvorfor det kan være nødvendigt. Dette er et skriftligt dokument, der oprettes, når du skal give samtykke eller tilladelse til en bestemt handling.

Mere specifikt bruges det i forbindelse med rejser med børn, fagligt samtykke i forbindelse med privat samarbejde, som er både inden for og uden for de juridiske rammer. Det kan derfor også være en skriftlig aftale om, hvordan en ekstern virksomhed håndterer datasikkerhed i en anden virksomhed osv.

Supplerende læsning: Datebeskyttelse: Sådan beskytter du dine kunders personlige data og overholder GDPR og DPO - Hvad er en databeskyttelsesrådgiver og datasikkerhed?

‍

Hvad indebærer en sådan erklæring?

En samtykkeerklæring er en skriftlig aftale, der dækker en lang række spørgsmål og situationer. Men generelt set er der altid en part, der giver tilladelse til en anden part til at udføre en bestemt handling.

Samtykkeformularen omfatter blandt andet:

• Identificerbare beskrivelser af alle parter
• Tidsfristen for samtykket
• Hvad er samtykket til - det pågældende objekt
• Hvordan samtykket i sig selv skal anvendes
• Sådan ser en mulig annullering eller tilbagekaldelse ud

Hvilke parter er involveret i dette dokument?

Når du udfylder en samtykkeerklæring, er der altid flere parter til stede. Dette involverer den „givende“ part og den modsatte part, som samtykket gives til. Beskrivelserne og oplysningerne i en sådan erklæring skal være henviselige, hvilket betyder, at de skal kunne identificere parterne.

Essensen af hele denne pagt og tilladelse er, at den givende part skal give samtykke frivilligt. Dette er uanset konteksten. Der er nogle punkter og områder, som også altid skal overholdes og udfyldes.

Relevant blogindlæg: Hvad er en politisk eksponeret person?

Forstå, hvad der er en samtykkeerklæring, og hvad punkterne er

Det kan være en fordel at have en skabelon til samtykkeerklæring, som en virksomhed eller en enkeltperson bruger i situationer, hvor samtykke er påkrævet.

• Beskrivelser af parterne bør indeholde alle parters fulde navne og kontaktoplysninger samt eventuelle socialsikrings- eller virksomhedsregistreringsnumre.
• Tidsperioden skal være klart defineret. Dette giver en indikation af, hvornår og hvor længe det kan bruges.
• Det, der samtykkes til, er det mest væsentlige, da det indebærer objektet. Det kan være de givne data, der bruges i samarbejdet, det anvendte certifikat, personen, virksomheden eller hvad dette måtte være.
• Hvordan samtykket og denne samtykkeerklæring skal anvendes, er flere steder et mere valgfrit punkt. Men hvis en virksomhed ønsker dette punkt inkluderet, kan formålet med loven beskrives.
• Hvordan man trækker samtykke tilbage kan være et fordelagtigt område at dække i tilfælde af, at parterne er uenige, eller regler brydes for den gældende samtykkeformular.

Reducer risici med digital datastyringsplatform

Hos Meo arbejder vi med datasikkerhed gennem en digital platform. Derfor kan vi ud over at kunne introducere dig til, hvad der er en samtykkeerklæring, også hjælpe med digital hjælp til at håndtere alt fra verifikation, overvågning, kontrol af kunder - aktuelle såvel som nye.

Vi automatiserer tidskrævende KYC-procedurer, hvilket skaber mere tid til dit arbejde og reducerer muligheden for fejl.

Læs også: Hvad er Due Diligence og Hvad er Customer Due Diligence (CDD)?

Hvad er compliance?

Compliance handler i al sin enkelhed om at følge reglerne – men i en moderne virksomhed er det meget mere end det. Det er grundlaget for at drive forretning på en ansvarlig måde, bevare tillid hos kunder og samarbejdspartnere og undgå ubehagelige overraskelser.

I takt med at lovgivning og branchestandarder bliver mere komplekse, er compliance ikke længere en støttefunktion i baggrunden. Det er en strategisk disciplin, der kan være afgørende for både vækst og omdømme.

Hvad betyder compliance?

Compliance betyder at efterleve regler. På dansk kan vi kalde det regelefterlevelse, men i praksis bruger alle “compliance”. Og det giver mening, fordi begrebet rækker ud over blot jura. Compliance dækker nemlig tre niveauer:‍

• Love og myndighedskrav – de rammer, virksomheden skal holde sig indenfor.
• Branchestandarder – de formelle og uformelle regler, som præger din sektor.
• Interne politikker – virksomhedens egne retningslinjer og værdier.

Tilsammen udgør de et sæt spilleregler, som sikrer, at virksomheden kan drive forretning sikkert og effektivt - med tillid både indefra og udefra.

Hvad laver man i compliance?

Compliance er tværfagligt. Det kræver blik for jura, forståelse for risici og evnen til at kommunikere klart. Typiske opgaver i compliance-arbejdet

• Hold styr på reglerne - kortlæg hvilke love og standarder der gælder.
• Vurdere risici - identificere, hvor virksomheden er mest sårbar.
• Udformning af politikker — retningslinjer, der skal forstås og anvendes i praksis.
• Træning og kommunikation — sikre, at medarbejderne ved, hvad der forventes.
• Kontroller og revisioner — måle effekten og rette op, når noget ikke fungerer.
• Rapportering og dialog med myndighederne — når det er nødvendigt.

Hvorfor er compliance vigtigt?

Manglende compliance kan have store konsekvenser - både økonomisk, juridisk og forretningsmæssigt.

Økonomiske konsekvenser

Bøderne kan være betydelige. GDPR giver fx mulighed for sanktioner på op til 4% af den globale omstilling. For en virksomhed med 500 mio. i omstilling svarer det til 20 mio. kr.

Tab af omdømme

En enkelt brud kan underminere årtiers arbejde. Tilliden er let at genopbygge - og mange kunder vælger at gå et andet sted hen.

Juridiske risici

Foruden bøder kan konsekvenserne være tab af licenser, erstatningskrav eller udelukkelse fra udbud. I visse tilfælde kan ledelsen også blive personligt ansvarlig.

Hvem har ansvaret?

Compliance er et fælles ansvar - men rollerne er forskellige.

1. Bestyrelsen har det overordnede ansvar og skal sikre, at der er de nødvendige ressourcer.
2. Ledelsen omsætter politikker til praksis og sætter tonen for kulturen.
3. Compliance-teamet rådgiver, overvåger og rapporterer.
4. Medarbejderne følger retningslinjerne i hverdagen og siger fra, når noget ikke ser rigtigt ud.

Typer af compliance

• Compliance spænder bredt, afhængigt af branche og risikoprofil.
• GDPR og databeskyttelse - lovligt grundlag, dokumentation, sikkerhed og rettigheder.
• Anti-Hvidvask (AML) — KYC, overvågning af transaktioner og rapportering af mistanke.
• ESG og bæredygtighed — miljø, sociale relationer og regeringsførelse, ofte med EU-krav.
• IT-sikkerhed og NIS2 — beskyttelse af data, leverandørsikkerhed og hændelseshåndtering.
• Arbejdsmiljø - fysisk og psykisk trivsel, APV'er og tilsyn.

Supplerende læsning: Hvad er hvidvask og hvidvaskloven?

Hvad er compliance management?

Compliance management handler om at holde styr på det hele — på en struktureret og risikobaseret måde. En god opsætning har:

• Klar rolle og ansvar
• Processer, der kan dokumenteres.
• Rapportering, som giver mening.
• Mekanismer til at fange og skære problemer.
• En risikobaseret tilgang betyder, at prioriteres der, hvor konsekvenserne er størst.

God overholdelse i praksis

Virksomheder, der lykkes med compliance, har ofte disse fællestræk:

• Ledelsen går forrest — tonen fra toppen er afgørende.
• Integration i hverdagen — compliance er indlejret i processer, ikke et separat lag.
• Brug af teknologi - automatisering frigør tid til de komplekse vurderinger.
• Åben kultur - medarbejdere melder tør fejl eller misforståelser.

Læs også: Hvad er Due Diligence og Hvad er CDD (Customer Due Diligence)?

Sådan sikrer du din virksomheds overholdelse

En praktisk tjekliste:

• Kort regler - kærlighed, standarder og interne krav.
• Lav en risikovurdering - hvor kan det gå galt, og hvad koster det?
• Udarbejd klare politikker - tilgængelige og til brug i praksis.
• Træn medarbejdere — målrettet og relevant.
• Kontroller og følg op - auditér, ret fejl, og lær om erfaringerne.