Blog

Oplev de seneste indsigter

Hold dig opdateret om bedste praksis for identitetsbekræftelse, AML og KYC

Risikovurdering på sagsniveau – Pligt, praksis og potentielle faldgruber

Alle advokatvirksomheder, der håndterer sager omfattet af hvidvaskloven, skal foretage en “konkret, sagsspecifik risikovurdering”. Det står klart i både lovgivningen og i Advokatrådets vejledning. Alligevel oplever Advokatsamfundet under tilsyn, at denne vurdering ofte er mangelfuld eller udført på

‍

Hvad siger vejledningen?

Ifølge Advokatrådets vejledning skal risikovurderingen:

Udarbejdes for hver sag omfattet af hvidvasklovens § 1, stk. 1, nr. 13
Være sagsspecifik og dokumenterbar
Baseres på **forretningsmodellen, altså klienttyper, produkter, leveringskanaler og geografisk relation
Udføres med fokus på den iboende risiko – altså risikoen før risikobegrænsende foranstaltninger

Det er ikke tilstrækkeligt, at man har en overordnet risikovurdering. Hver enkelt sag skal vurderes særskilt, og vurderingen skal dokumenteres.

(Kilde: Advokaten nr. 1, 2024 – Risikovurdering efter hvidvasklovens § 7)

‍

Eksempel: Fast ejendom – lav risiko? Måske, men ikke nødvendigvis

‍

Et klassisk eksempel er rådgivning i forbindelse med køb af fast ejendom. Mange advokater ville opfatte denne sagskategori som lav risiko, fordi klienten typisk er en privatperson, og finansieringen sker via dansk realkredit.

‍

Men Advokatrådets vejledning peger på flere forhold, der kan påvirke risikobilledet:

Er der udenlandske klienter involveret?
Indgår der andre aktiver i handlen?
Hvor ofte handler klienten ejendomme?
Hvornår er ejendommen erhvervet og hvordan?
Foregår rådgivningen uden fysisk kontakt?
Ejendommen istandsat under den klientens ejerskab

‍

Ovenstående er ikke udtømmende og en standardvurdering af “lav risiko” vil ikke være tilstrækkelig. Der skal foretages en konkret vurdering. Netop ejendomme kan være genstand for hvidvask, da mange ulovlige midler kan anvendes til at øge værdien af en ejendom, såsom anvendelse af sort arbejde til istandsættelser, løsøre med høj værdi osv.

‍

Hvad skal vurderingen dække?

Ved vurdering på sagsniveau skal vi tage stilling til bl.a.:

1. Klienttypen

Fysisk eller juridisk person
Geografisk tilhørsforhold
Persontype/historik

2. Produktet eller tjenesten

Hvilken type rådgivning ydes?
Er sagen kompleks eller usædvanlig?
Har advokaten fuldt overblik over transaktionen?

3. Leveringskanalen

Foregår rådgivningen fysisk eller digitalt?
Er der anonymitet eller afstand mellem klient og advokat?

4. Geografisk tilknytning

Er der elementer i sagen med forbindelse til højrisko-lande?
Bruges banker, selskaber eller fonde i lande med lav gennemsigtighed?

‍

Typiske udfordringer som vi ser i praksis

Brugen af standardiserede skemaer, hvor alle sager ender i samme risikokategori
Mangel på dokumentation for, hvorfor en vurdering er foretaget
At kundekendskabsproceduren (KYC) forveksles med selve risikovurderingen
Manglende brug af eksterne kilder som nationale og EU’s risikovurderinger

‍

Ofte, vil det være rigtig svært at begrunde sit “flueben” når sagen udtrækkes ifm. et tilsynsbesøg 4 år efter den er afsluttet.

‍

Nogle gode råd til praksis

Tænk i sagskategorier - udarbejd vejledende rammer for forskellige sagsområder, men justér for hver sag.
Dokumentér jeres overvejelser - en risikovurdering er ikke blot et flueben – den skal kunne stå alene ved tilsyn.
Hold jer opdateret på eksterne risikovurderinger - Brug fx Hvidvasksekretariatets og EU-Kommissionens vurderinger som pejlemærker.
Involver hele teamet - Sikrer, at alle medarbejdere kender kravene og forstår forskellen mellem klientkendtskab og risikovurdering.

‍

Det bedste råd, vil nok være, at have fokus på de beskrivelser som bør indgå i selve risikovurderingen.

‍

Refleksion: Har I styr på det?

Er jeres vurderinger “konkrete og individuelle”, eller er de præget af standardisering?
Tager I højde for “den iboende risiko”, uden at lade jer påvirke af jeres interne procedurer?
Kan I dokumentere “hvordan og hvorfor” I har vurderet en sag som høj, mellem eller lav risiko?

‍

Artikel

DPO - Hvad er en databeskyttelsesrådgiver og datasikkerhed?

Find ud af, hvad en DPO er, og hvad denne databeskyttelsesansvarlige kan gøre for at hjælpe din virksomhed med datasikkerhed og GDPR. Hos NewBanking kan vi tilbyde rådgivning og en digital datastyringsplatform, der automatiserer data- og hvidvaskningsprocesser.

Hvad er en DPO?

Hvad er en DPO? Dette udtryk er en forkortelse af ordet, Data Protection Officer. Denne person eller virksomhed udfører opgaver, såsom datasikkerhedskontrol, i en virksomhed. Dette omfatter overholdelse af GDPR.

Offentlige myndigheder og organer skal have en databeskyttelsesansvarlig, der udfører disse opgaver. Denne databeskyttelsesansvarlige skal også rådgive den dataansvarlige for det specifikke organ. Det er en retlig forpligtelse for disse myndigheder og organer til at udpege en databeskyttelsesansvarlig, hvilket også kan være tilfældet for flere virksomheder.

Du kan læse meget mere om GDPR,, persondataloven, databeskyttelsesloven og forskellen mellem dem i vores artikler på denne side. Hvor og hvor længe kan en virksomhed opbevare personoplysninger? Hvem er omfattet af GDPR? Dette er spørgsmål, som en DPO, databeskyttelsesrådgiver kan hjælpe med at besvare.

En databeskyttelsesansvarlig fungerer ofte som kontaktperson mellem Databeskyttelsespolitikken og den dataansvarlige i virksomheden. Desuden skal en virksomheds DPO være uafhængig og ekstern og må ikke modtage instruktioner om valg af opgaver.

Hvordan arbejder Meo med datasikkerhed?

Hos Meo kan vi hjælpe dig med sikker overførsel af information til og fra kunder, samt et softwaresystem, der kan fungere som et administrationsværktøj til både: verifikation, kontrol og overvågning af nuværende og potentielle kunder, samt en skræddersyet risikovurdering.

Dette system, Meo Identity, hjælper dig og din DPO med at kontrollere og administrere data korrekt, og dette system og automatisering af datastyring sikrer din overholdelse af GDPR og undgår sanktioner i form af bøder eller lignende.

Vi er ISO 27001 certificeret, som GDPR og AML Compliant, hvilket betyder, at vi er internationalt godkendt og certificeret inden for informationssikkerhed og datahåndtering.

Administrer dine data sikkert med en DPO, databeskyttelsesrådgiver

Det er vigtigt at arbejde korrekt med data, da der kan være store sanktioner for overtrædelser af blandt andet GDPR, den generelle databeskyttelsesforordning. Med et automatiseret system kan du ikke kun frigøre ressourcer fra semi-manuelle processer, men du sikrer også kontrol og reducerer risikoen.

En databeskyttelsesrådgiver vil ved at rådgive om deres datasikkerhed undersøge håndteringen og hjælpe medarbejderne i omfanget af potentiel viden om datasikkerhed, GDPR og udveksling af data med kunder eller klienter mangler.

Denne rådgiver kan derfor også give vejledning eller anbefale nyttige applikationer eller it-systemer, der kan være relevante for opretholdelse af datasikkerhed.

Lad os hjælpe med at gøre din klientadministration gennemsigtig og sikker, så alle processer foregår under juridiske forhold.

Casestudie

En platform, der matcher behovene hos mange advokatfirmaer

Uden en passende platform til compliance-processer ville vi kæmpe med at levere vores service eller bruge mange timer manuelt. For et advokatfirma er korrekt onboarding og rådgivning i overensstemmelse med KYC- og GDPR-procedurer afgørende.

Andre advokatfirmaer bør følge trop

I april 2019 søgte advokatfirmaet Bech-Bruun efter en platform til at hjælpe dem med at overholde de voksende lovgivnings- og dokumentationskrav vedrørende KYC og GDPR. Bech-Bruun havde også brug for at finde en ordentlig måde at håndtere personlige oplysninger om deres kunder og medarbejdere på. Valget faldt på NewBanking Identity-platformen, der fik trækkraft hos et stigende antal advokatfirmaer.

„Vi var nødt til at foretage en systematisk indsamling af KYC-dokumentation, samtidig med at vi opfyldte alle vores forpligtelser med GDPR. Derfor søgte vi efter et system til at håndtere disse procedurer. Alternativet var at udvikle et system selv, men NewBanking's platform markerede langt de fleste af vores bokse. Desuden var de meget imødekommende over for vores specifikke ønsker og behov. Derfor valgte vi dem.“ siger Martin Riber Povlsen, CFO og Head of Compliance hos Bech-Bruun.

Hos Bech-Bruun arbejder i alt 11 medarbejdere for at sikre, at advokatfirmaet overholder lovgivningen inden for KYC (Kend Your Customer) og GDPR (General Data Protection Regulation).

Normalt er korrekt datahåndtering et ansvar, der fordeles på tværs af flere enheder i organisationen, men Bech-Bruun har indkøbt alt til at blive håndteret af en udpeget Compliance Department. Dette ændrer dog ikke deres præference for platformen. NewBanking Identity platformen er blevet en naturlig del af arbejdsdagsrangeringen sammen med Word og Excel.

“ Vi bruger platformen til alle vores forpligtelser inden for KYC, og vi er allerede aktive med tusindvis af identiteter på platformen. Som følge heraf giver vi alle vores kunder en ensartet proces til indhentning og opbevaring af dokumentation på en juridisk korrekt måde. Derudover er processerne for at verificere gyldigheden af pas og kørekort nu automatiseret.“ siger Martin Riber Povlsen og fortsætter:

„Hvis vi ikke havde disse compliance-processer styret af en passende platform, ville vi enten kæmpe for at levere vores service, eller vi skulle bruge mange timer på at løse opgaverne manuelt. Som advokatfirma er det vigtigt at sikre vores kunders korrekte onboarding og rådgive klienter i henhold til de gældende KYC- og GDPR-procedurer.“

Legaltech skyder fremad

Kravene er de samme for alle advokatfirmaer vedrørende KYC-kompatibel klientonboarding og GDPR-kompatibel lagring af personoplysninger. Derfor mener Bech-Bruun, at det vil være en fordel for advokatfirmaer og deres klienter at bruge den samme platform.

“ Det bliver lettere for alle, hvis klienterne vænner sig til en fælles platform til upload af dokumentation af forskellig art - også når de deler data mellem advokatfirmaerne“, siger Martin Riber Povlsen.

Ifølge Christian Visti Larsen, CEO og medstifter af NewBanking, er hele LegalTech-branchen i hurtig udvikling, og med god grund:

“ Advokatbranchen har set, hvordan ny teknologi har betydet store ændringer i andre brancher, og nu, på grund af streng KYC- og GDPR-lovgivning, er ændringer i, hvordan advokatfirmaer opererer uundgåelige. Desuden har mange indset, at smarte it-platforme kan gøre mere end blot at sikre omkostningsbesparelser i deres administrative arbejde. Teknologien kan også være en indtægtskilde, når den bruges til at servicere deres kunder. Der er et enormt marked for advokatfirmaer med adgang til systemer og knowhow, der gør en forskel for klienterne.“ siger Christian Visti Larsen, der allerede har set flere eksempler på dette i advokatbranchen.

Christian Visti Larsen rammer NewBanking Identity som en platform, der supplerer advokatfirmaernes eksisterende systemer ved håndtering af klientsager. „Normalt er der et advokatfirma repræsenteret på begge sider af en retssag, og derfor er det en stor fordel for alle parter, hvis de kan bruge en delt platform“, forklarer han.

Holder styr på strafferegistre

Ud over at bruge platformen til at håndtere klientoplysninger bruger Bech-Bruun den også til at understøtte andre administrative opgaver, såsom ansvarlig gennemgang af medarbejdernes strafferegistre.

Martin Riber Povlsen krediterer NewBanking for at være meget tilfreds med Bech-Bruuns behov i den fortsatte udvikling af platformen. Derfor har Bech-Bruun nu en platform, der matcher behovene i deres forretning og behovene hos mange andre advokatfirmaer.

“ Platformen automatiserer og systematiserer processer, som er nemme at dokumentere i tilfælde af en revision. I stedet for at udvikle et eget system, har vi nu en platform, der automatisk udvikler sig med vores behov. Det gør os meget tilfredse,“ siger Martin Riber Povlsen.

Artikel

Hvad er overholdelse?

Lad os hjælpe dig med at forstå „hvad er compliance“, og hvorfor regelmæssige compliance-kontroller er vigtige. Vi foretager uforpligtende undersøgelser og checks ups af dine KYC-processer, hvor vi giver et overblik over de bestræbelser og procedurer, du kan optimere, og hvordan.

Hvad er overholdelse - Få svar og tag en uforpligtende kontrol

Hos Meo behandler vi dine data og svar fortroligt og sikkert, så du kan modtage en compliance-kontrol med ro i sindet. Men lad os introducere Meo og vores identitet, samt sætte dig i billedet af, hvad compliance er.

Hvad menes med en compliance check up?

Når vi taler om en compliance check up, mener vi en undersøgelse af, om regler, lovgivning og retningslinjer overholdes i de respektive processer. Dette gælder for processer i forbindelse med kunder såvel som internt.

I samme proces bruges udtrykket KYC-overholdelse. KYC er primært en forkortelse af Kend din kunde, og dette udtryk dækker derfor at kende dine kunders lovgivning og retningslinjer, og hvad du skal være opmærksom på. Udtrykket bruges i økonomiske sammenhænge.

Disse koncepter og bestræbelser er skabt for at beskytte kunderne mod korruption, hvidvaskning af penge, svig og andre former for økonomisk misbrug.

Formålet med at gennemføre disse kontroller og få viden om, hvad der udgør overholdelse, er at undgå faldgruber, der i værste fald kan føre til sanktioner, hvis du overtræder love, retningslinjer eller andre regler.

Hvem er Meo?

Vi er en RegTech-virksomhed beliggende i Danmark, der arbejder på platforme til fordel for sikker håndtering af kundedata.

Hos Meo tilbyder vi komplette løsninger gennem software til automatisering af kundeverifikation, kontrol, overvågning samt risikovurderinger og onboarding-flows, så du kan spare ressourcer.

Vi hjælper dig med at spare tid på besværlige processer, der er afgørende for at undgå overtrædelser af lovgivning, regler eller retningslinjer. Ved at automatisere eller strømline processer og få en dyb forståelse af „hvad er compliance“, kan vi sikre, at hverdagen bliver lettere og mere håndterbar for både dig og dine kunder.

Så brug tid klogt på andre processer, og strømline din indsats, mens du sikrer, at din dataudveksling er sikker og fortrolig.

Artikel

Due diligence - Forståelse af, hvad denne type proces betyder

Ved ejerskifte udføres typisk en due diligence, hvor køberen grundigt undersøger virksomhedens forhold. Men hvordan fungerer det i praksis, og hvad betyder det ved enkle salg? Dette udforskes nærmere nedenfor.

Hvad betyder due diligence?

Due diligence betyder kort sagt en grundig undersøgelse. Denne proces indebærer en omhyggelig gennemgang af forskellige elementer i forbindelse med udarbejdelse eller udarbejdelse af en kontrakt vedrørende ændring af ejerskabet af en virksomhed.

Det er i denne sammenhæng nødvendigt nøje at undersøge de aktiver, som virksomheden har, og generelt deres økonomiske status. Derfor undersøges følgende elementer ofte:

Årsregnskab
Management
Markedsføring
Skattestatus
Kontrakter og intellektuelle rettigheder

Undersøgelsen varierer dog afhængigt af formålet med ejerskiftet og den specifikke branche. Hvilke oplysninger der er afgørende, kan variere afhængigt af formålet med undersøgelsen. Det kan være fordelagtigt at bruge professionelle værktøjer såsom relevante platforme til denne due diligence-proces.

Sådan fungerer det i praksis

Hvordan denne proces fungerer i praksis kan variere, men hvad der ofte gøres i praksis er at opdele deres aktiver og områder i grupper og faser, og derefter undersøge hvert område og fase trin for trin.

Først og fremmest kan en undersøgelse af virksomheden give indsigt i, om der er parametre, der generelt forhindrer aftalen og ejerskiftet i at blive gennemført. Denne indledende undersøgelse kan derfor også sætte en naturlig stopper for den kommende undersøgelse, due diligence, hvis nogle områder er utilstrækkelige.

Det næste trin i en due diligence-proces er at indsamle data om virksomheden. Disse data kan dække ovennævnte områder, som analyseres og fortolkes grundigt og med omhu.

Endelig udarbejdes der en rapport, der skitserer områder, hvor der kan være problemer. Dette gøres med henblik på yderligere afvikling af kontrakten eller eventuel opsigelse af forhandlingen.

Hvem er vi på Meo?

Hos Meo arbejder vi på at strømline KYC-procedurer og digitale datahåndteringssystemer, som inkluderer vores softwareløsning: Meo Identity. Vi har specialiseret os i at strømline processer med kunderne, samt sikre den bedst mulige håndtering af data.

Vi automatiserer verifikationer, kontrollerer og overvåger nuværende og fremtidige kunder samt udfører risikovurderinger.

Vi gør det muligt for din virksomhed at dele data internt og med kunder, hurtigt og effektivt, uden at bekymre sig om følsomme personoplysninger eller andre sikkerhedsforanstaltninger.

Ud over viden om due diligence kan du læse meget mere på vores side om områder som hvidvaskning af penge og AML, såvel som PEP lister og datasikkerhed. Vi hjælper virksomheder med en Overensstemmelseskontrol for at undersøge, hvor du kan optimere og har brug for opdateringer.

Artikel

Hvad er en samtykkeerklæring? - Hvornår er det nødvendigt?

Stiller du spørgsmålstegn ved: hvad er en samtykkeerklæring? I denne artikel kan vi besvare spørgsmålene om, hvad det er, hvordan det udfyldes, og hvorfor det kan være nødvendigt. Dette er et skriftligt dokument, der oprettes, når du skal give samtykke eller tilladelse til en bestemt handling.

Dets formål, proces og nødvendighed

Mere specifikt bruges det i forbindelse med rejser med børn, fagligt samtykke i forbindelse med privat samarbejde, som er både inden for og uden for de juridiske rammer. Det kan derfor også være en skriftlig aftale om, hvordan en ekstern virksomhed håndterer datasikkerhed i en anden virksomhed osv.

Hvad indebærer en sådan erklæring?

En samtykkeerklæring er en skriftlig aftale, der dækker en lang række spørgsmål og situationer. Men generelt set er der altid en part, der giver tilladelse til en anden part til at udføre en bestemt handling.

Samtykkeformularen omfatter blandt andet:

Identificerbare beskrivelser af alle parter
Tidsfristen for samtykket
Hvad er samtykket til - det pågældende objekt
Hvordan samtykket i sig selv skal anvendes
Sådan ser en mulig annullering eller tilbagekaldelse ud

Hvilke parter er involveret i dette dokument?

Når du udfylder en samtykkeerklæring, er der altid flere parter til stede. Dette involverer den „givende“ part og den modsatte part, som samtykket gives til. Beskrivelserne og oplysningerne i en sådan erklæring skal være henviselige, hvilket betyder, at de skal kunne identificere parterne.

Essensen af hele denne pagt og tilladelse er, at den givende part skal give samtykke frivilligt. Dette er uanset konteksten. Der er nogle punkter og områder, som også altid skal overholdes og udfyldes.

Forstå, hvad der er en samtykkeerklæring, og hvad punkterne er

Det kan være en fordel at have en skabelon til samtykkeerklæring, som en virksomhed eller en enkeltperson bruger i situationer, hvor samtykke er påkrævet.

Beskrivelser af parterne bør indeholde alle parters fulde navne og kontaktoplysninger samt eventuelle socialsikrings- eller virksomhedsregistreringsnumre.
Tidsperioden skal være klart defineret. Dette giver en indikation af, hvornår og hvor længe det kan bruges.
Det, der samtykkes til, er det mest væsentlige, da det indebærer objektet. Det kan være de givne data, der bruges i samarbejdet, det anvendte certifikat, personen, virksomheden eller hvad dette måtte være.
Hvordan samtykket og denne samtykkeerklæring skal anvendes, er flere steder et mere valgfrit punkt. Men hvis en virksomhed ønsker dette punkt inkluderet, kan formålet med loven beskrives.
Hvordan man trækker samtykke tilbage kan være et fordelagtigt område at dække i tilfælde af, at parterne er uenige, eller regler brydes for den gældende samtykkeformular.

Reducer risici med digital datastyringsplatform

Hos Meo arbejder vi med datasikkerhed gennem en digital platform. Derfor kan vi ud over at kunne introducere dig til, hvad der er en samtykkeerklæring, også hjælpe med digital hjælp til at håndtere alt fra verifikation, overvågning, kontrol af kunder - aktuelle såvel som nye.

Vi automatiserer tidskrævende KYC-procedurer, hvilket skaber mere tid til dit arbejde og reducerer muligheden for fejl.

Artikel

3 indsigter til, hvorfor din onboarding ikke fungerer

Bruger du for meget tid på KYC due diligence? Kundeforløb kan være langsomme i regulerede industrier med stigende krav til overholdelse. Selvom digitale løsninger forbedrer KYC, er der stadig udfordringer.

For lang, for personlig

Ifølge nylige research, 68% af forbrugerne opgav en ansøgning om en finansiel tjeneste i 2021. En stigning på 3% siden 2020 og en enorm forspildt forretningsmulighed. Ikke overraskende, de to nøgleårsager var den længere end forventet ansøgningsproces og mængden af personlige oplysninger, der blev anmodet om.

Dårlig UX i onboarding er stadig en stor smerte

Selvom en smule friktion er nødvendig i brancher, der leverer tjenester, hvor forbrugerne har personlig økonomi eller delikat information på spil, er for meget friktion skadelig for vellykket onboarding.‍

Meo samarbejder med e-Boks

Vores nye partnerskab med e-Boks resulterer i en mere sikker og problemfri brugeroplevelse end nogensinde set før inden for KYC.

En løsning, der imødekommer virksomhedernes voksende behov for adgang til data, der nu efterspørges gennem den mest betroede digitale postkasse, så kunderne kan dele data via en platform, som de er fortrolige med og komfortable med at bruge.

Frontrunners i KYC-området dedikerer ressourcer til at forbedre onboarding-flowet og gøre dem mere lig UX-ledere som Apple, Amazon osv., samtidig med at de tilføjer den helt rigtige mængde friktion for at skabe tillid.

Øget skepsis over for dataanmodninger

Forbrugerne kan være ustabile. Mens øget offentlig opmærksomhed på GDPR har øget forbrugernes forventninger til overholdelse af lovgivningen, ønsker de stadig at dele så lidt personlige oplysninger som muligt.

Forskning viser, at forbrugerne er blevet mere og mere skeptiske på grund af frygt for databrud. For at imødekomme den digitalt oplyste forbruger er faktorer som databeskyttelse, datagennemsigtighed og datakontrol således stærke generatorer af tillid til en virksomhed eller et brand.

Hvor skal man begynde?

Som angivet af ovenstående data er hastighed, UX, datamængde og tillid vigtige kamparenaer, når det kommer til at forbedre onboarding og vinde kunder. Mens regulering kan forbyde dig at reducere mængden af personlige oplysninger, du anmoder om, er der meget at gøre i, hvordan og hvor du beder om oplysninger. At indstille disse faktorer kan potentielt være en game changer for at sikre, at dine kunder gennemfører onboarding.

For at rette op på tillidsgapet og gøre onboarding og KYC enklere for forbrugerne samarbejder vi med e-Boks, Danmarks mest betroede digitale postkasse. Vores kunder kan nu levere dataanmodninger til en udbyder, som forbrugerne allerede kender, bruger og stoler på med deres data. Med konverteringsfrekvenser på op til 98% på dataanmodninger i e-Boks føles det både mere velkendt og mere sikkert at gennemføre onboarding.

Artikel

Følsomme personlige oplysninger - Få de rigtige værktøjer til at håndtere dem

Hvad er følsomme personlige oplysninger, og hvordan bliver du opmærksom på faldgruber på dette område? Når man beskæftiger sig med denne type oplysninger og håndteringen af den samme, er det først vigtigt at kende forskellen mellem generelle personoplysninger og personlige følsomme oplysninger.

Forståelse af følsomme personlige oplysninger og deres faldgruber

Førstnævnte er oplysninger, der kan spores tilbage til en bestemt person, hvilket kan være enhver information, der kan identificere ham eller hende i sammenhæng. Dette kan være alt fra et billede, navn, adresse, medicinske journaler, CPR-nummer, fingeraftryk, alder, uddannelse osv.

I modsætning hertil er personoplysninger eller oplysninger data, som en virksomhed ifølge databeskyttelsesloven skal være yderst forsigtig med at håndtere. Disse oplysninger omfatter følgende:

Politiske overbevisninger
Etnicitet og race
Religiøse overbevisninger
Fagforeningsmedlemskab
Genetiske data
Data af biometrisk art til identifikationsformål
Sundhedsoplysninger
Seksuel orientering eller forhold

Hvis du ønsker yderligere information og afklaring, kan du læse mere om dette på Datatilsynet.dk. Her kan du også finde oplysninger om lovgivning og afsnit relateret til emnet.

Få hjælp til korrekt håndtering fra Meo

Hos Meo hjælper vi med effektiv håndtering af følsomme personoplysninger. Vores primære opgave er at sikre, at din virksomhed og tilknyttede kunder kan udveksle og arbejde med følsomme personoplysninger fortroligt og juridisk.

Vi hjælper med at sikre kontrol over disse oplysninger og opbevarer dem på et beskyttet og centralt sted, så der er fuld kontrol over deres håndtering. Vi kan hjælpe med risikovurderinger, løbende overvågning, opfølgning, rapporter og meget mere.

Meo er en dansk virksomhed, der opererer i RegTech og inkluderer kundedatastyring ved hjælp af en identitetsplatform og software - Meo, som er vores softwaresystem.

Du er altid velkommen til at kontakte os med spørgsmål om, hvad der er personoplysninger eller vores platform og tjenester i relation til compliance- og KYC-processer. Vi står klar til at have en uforpligtende snak om, hvordan du kan strømline processer og dermed frigøre tid og ressourcer i dit daglige KYC-arbejde.

Artikel

Dette er, hvad din virksomhed har brug for at vide om bekæmpelse af hvidvaskning af penge

Er din virksomhed omfattet af direktivet om bekæmpelse af hvidvaskning af penge (AML)? Så er det vigtigt at kende de grundlæggende principper for hvidvaskning af penge, og hvorfor det er nødvendigt at have lokale og internationale love og regler om bekæmpelse af hvidvaskning af penge.

Her er hvad du som virksomhed har brug for at vide om hvidvaskning af penge

I denne artikel kan du lære mere om hvidvaskning af penge, herunder:

Hvad er hvidvaskning af penge?
Hvordan begås hvidvaskning af penge?
Hvad siger international og europæisk lov om hvidvaskning af penge?
4 vigtige begreber, når det kommer til hvidvaskning af penge
Vejledning til bekæmpelse af hvidvaskning af penge
Sådan sikrer NewBanking-platformen, at din virksomhed til enhver tid er 100% AML-kompatibel.

Læs mere om platformen her eller kontakt os for at høre mere om, hvordan vi kan hjælpe din virksomhed med KYC-overholdelse.

Hvad er hvidvaskning af penge?

Hvidvaskning af penge handler overvejende om at gøre ulovlige midler - sorte penge - lovlige. Det betyder at skjule de økonomiske gevinster fra kriminelle aktiviteter og bruge dem med lovlige leverandører og i det bredere samfund. Oprindelsen til de sorte penge kan for eksempel komme fra handel med ulovlige stoffer eller våben, skatteunddragelse og meget mere.

Hvid vask

Alle aktiviteter, der hjælper kriminelle med at tilsløre, skjule eller omdanne sorte penge til lovligt betalingsmiddel (som kan dokumenteres og bruges lovligt) kaldes hvidvask eller hvidvaskning af penge.

Hvordan begås hvidvaskning af penge?

Der er mange måder at hvidvaske penge på. Nedenfor er et eksempel på, hvordan det kunne ske:

En narkotikahandler har solgt ulovlige stoffer for 25.000 EUR og har nu en masse sorte penge i sin besiddelse.

Narkotikahandleren finder en brugt bil, der er privat til salg for 75.000 EUR. Han tilbyder at købe bilen for det fulde beløb - i bytte for at betale delvist kontant.
Narkotikahandleren går til banken og får et lån, hvor han forklarer, at han køber en bil til en pris af 50.000 EUR.
Banken yder lånet og overfører 50.000 EUR direkte til sælgeren, men narkotikahandleren betaler ham 25.000 EUR kontant.
Narkotikahandleren sælger nu bilen til en tredjepart for 75.000 EUR, der overføres direkte til hans bankkonto. Han kan nu dokumentere, at pengene stammer fra salget af bilen. Han betaler sit lån til banken.
Nu er de 25.000 EUR blevet hvidvasket, da de ser ud til at være betaling for et simpelt bilsalg.

I princippet kan hvidvaskning af penge også opnås gennem registrerede bilforhandlere som mellemled. Narkotikahandleren kan få stråmænd til at købe og sælge biler, både, kunst, ejendom og andre fysiske genstande for at vaske de sorte penge.

Hvad siger lov og regler om hvidvaskning af penge?

I EU er alle finansielle virksomheder underlagt og reguleret af direktivet om bekæmpelse af hvidvaskning af penge (AML).

Dens fulde officielle titel er: „Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggelse af anvendelse af det finansielle system til hvidvaskning af penge eller finansiering af terrorisme“ (læs det i sin helhed her). Direktivet findes for at forhindre kriminelle i at kunne tjene penge på ulovlige aktiviteter, som derefter kan bruges lovligt eller til at finansiere terrorisme.

Det er vigtigt at bekæmpe hvidvaskning af penge, fordi denne type kriminalitet gør det vanskeligt for retshåndhævelsen at opdage kriminelle handlinger. Ved at stoppe hvidvaskning af ulovlige penge forhindrer du samtidig andre former for økonomisk kriminalitet, da gerningsmændene vil have sværere ved at bruge eller gemme deres uretmæssigt opnåede gevinster. Desuden findes direktivet om bekæmpelse af hvidvaskning af penge også for at forhindre muligheder for finansiering af terrorhandlinger og organisationer. De fleste europæiske lande har lokale love og regler baseret på EU-direktivet, som løbende udarbejdes og udvikles af Europa-Parlamentet. På nuværende tidspunkt har EU udarbejdet seks forskellige direktiver (AML1-6) til forebyggelse af hvidvaskning af penge.

En række forskellige forretningsområder og sektorer er juridisk forpligtet til at opføre sig i overensstemmelse med reglerne om bekæmpelse af hvidvaskning af penge. Her er en kort oversigt:

Advokater
Revisorer og eksterne revisorer
Ejendomsmæglere
Udlejere
Finansielle virksomheder
Tjenesteudbydere

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven).

4 vigtige begreber, når det kommer til hvidvaskning af penge

Der er en hel del tekniske, juridiske og andre udtryk eller forkortelser vedrørende hvidvaskning af penge. De fire vigtigste at vide er:

1. CDD - Kundedue diligence

Customer Due Diligence (CDD) er en hjørnesten i virksomhedernes initiativer og procedurer til bekæmpelse af hvidvaskning af penge. Udtrykket dækker alle handlinger, der udføres af virksomheder for at verificere identiteten af deres kunder eller kunder, samt udføre baggrundskontrol og risikovurderinger. Virksomheder og organisationer, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge, er forpligtet til at udføre risikovurderinger, hvor de - på klient-til-kunde-basis - vurderer risikoen for, at klienten bruges eller bruger virksomheden til hvidvaskning af penge eller finansiering af terrorisme. Læs mere om CDD og risikovurdering.

2. KYC - Kend din kunde

Der er mange grunde til, at det er vigtigt for virksomheder at „kende deres kunder“. Blandt dem er - i forhold til CDD - evaluering af, om de udgør en risiko for virksomheden eller ej. KYC-screening eller verifikation er en proces, hvor virksomheden identificerer eller verificerer identiteten af deres kunder og kunder. Med andre ord lærer de deres kunder at kende. Dette kan opnås ved at indsamle personlige oplysninger og identifikationsdata om kunden eller klienten, som skal verificeres. Læs mere om KYC (Kend din kunde)

3. PEP - Politisk eksponeret person

En PEP, eller politisk eksponeret person, er en strengt defineret kategori af mennesker, der på baggrund af deres politiske position eller magt betragtes som kunder, der har større risiko for at blive udsat for hvidvaskning af penge eller andre kriminelle aktiviteter. Bekymringen er, at de - på grund af deres position - kan blive udsat for afpresning, bestikkelse eller på anden måde (både villigt og tvunget) kan blive involveret i hvidvaskning af penge. Læs mere om PEP og PEP-lister.

4. AML - Bekæmpelse af hvidvaskning

AML er en forkortelse for „Anti-Money Hvidvaskning“. Udtrykket henviser til en bred vifte af love, forordninger, direktiver og procedurer, der findes for at forbyde eller stoppe hvidvaskning af ulovlige penge.

Vejledning til bekæmpelse af hvidvaskning af penge

Virksomheder i de berørte sektorer skal konstant tilpasse sig en overflod af love, direktiver og forordninger. De fleste af disse kræver eller tilskynder til specifikke former for kontrol mod hvidvaskning af penge.

Med AML 5, som blev implementeret i januar 2020, blev der indført en række ændringer, herunder en overgang til en risikoafhængig tilgang til forsigtighedsforanstaltninger vedrørende bekæmpelse af hvidvaskning af penge. Den nye tilgang kræver mere af virksomhedernes evne til at vurdere deres kunder eller kunderelationer.

Groft sagt skal virksomheder vurdere risikoen for, at de bliver misbrugt til hvidvaskning af penge eller finansiering af terrorisme. Et af de centrale og grundlæggende begreber er udarbejdelsen af risikovurderinger, politikker og forretningsprocedurer samt den underliggende kontrol og evaluering, der sikrer den overordnede overholdelse.

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven - Download PDF).

Meo — undgå hvidvaskning af penge med vores intelligente platform

Vi håber, at du nu har en mere klar forståelse af hvidvaskning af penge - og har givet dig et indblik i, hvad din virksomhed skal være opmærksom på for at være AML-kompatibel. Har du en klar standard for dine processer, datahåndtering og verifikation af nye kunder?

Hvis ikke, kan Meo hjælpe.

Meo er en dansk virksomhed og softwareplatform, der hjælper virksomheder med deres datasikkerhed, onboarding og overordnede compliance.

Med Meo kan du:

Skærm automatisk klienter via PEP-lister.
Bekræft klienternes id
Indsamle data fra officielle kilder vedrørende virksomheder og enkeltpersoner

Artikel

Informationssikkerhed - Beskyt din virksomheds data på den rigtige måde

Generelt handler informationssikkerhed om korrekt beskyttelse af en virksomheds data, herunder kundedata, personlige data og økonomi. Det er vigtigt at behandle personoplysninger korrekt i overensstemmelse med GDPR. Overtrædelse af dette kan resultere i alvorlige sanktioner.

Betydningen af informationssikkerhed og GDPR-overholdelse

Det er vigtigt at sikre følsomme data mod misbrug eller anden lækage af information. Hos NewBanking har vi udviklet en software- og digital datahåndteringsplatform, der automatiserer og overholder retningslinjer, regler og lovgivning for at hjælpe dig med at undgå hvidvaskning af penge eller brud på GDPR.

Vi kan bidrage med risikovurderinger, undersøge din KYC-status og identificere kritiske punkter samt mulige optimeringsmuligheder herfor. Vores administrationsværktøj, NewBanking Identity, hjælper med at verificere, overvåge og kontrollere kunder digitalt samt lave rapporter til tilsynsmyndigheder og risikovurderinger.

Få mere at vide om hvad GDPR er på vores side og mere om informationssikkerhed på GDPR.dk.

Minimer ressourcerne, der bruges i din virksomhed

Ved hjælp af en platform som NewBanking Identity kan du frigøre ressourcer, da du undgår at bruge tid og personale på at håndtere informationssikkerhed i din virksomhed, og kan bruge din tid på mere effektive og givende områder for netop din branche.

Vi kan også hjælpe dig med et digitalt onboarding-flow, der giver dig mulighed for nemt og sikkert at udveksle data på tværs af organisationen - sikkert og sikkert. Dette reducerer de manuelle fejl, der ofte opstår i informationssikkerhed.

I den sammenhæng kan vi skræddersy præcis den platform og datakilder, der er nødvendige og essentielle for din kundetype. Denne platform kan integreres direkte på din hjemmeside, hvilket forbedrer og optimerer brugeroplevelsen for dine kunder.

Meget mere end en informationssikkerhedskontrol

Hos NewBanking sætter vi pris på at kunne tilbyde en komplet løsning, der hjælper dig med alt fra informationssikkerheden nævnt ovenfor, men du kan også få hjælp til Overholdelseskontrol, samt indsigt i hvidvaskning af penge og håndtering i denne type sager.

Vi er sparringspartner på alt, hvad der involverer håndtering af personoplysninger, kundedata og den beskyttede udveksling af disse. Du kan læse mere om vores priser til din branche og dine behov for datastyring.

Vi arbejder med alt fra små virksomheder uden KYC-ledelse til store virksomheder med større behov for sparring og yderligere systemintegrationer. Kontakt os for en uforpligtende samtale om dine behov og muligheder.

Artikel

Direktivet om bekæmpelse af hvidvaskning af penge (AML) - vejledning til virksomheder

Er din virksomhed underlagt AML-direktivet og reglerne i EU- og EØS-lande? Det er vigtigt at kende dine forpligtelser og forstå behovet for en fælles europæisk standard til bekæmpelse af hvidvaskning af penge.

Er din virksomhed underlagt direktivet om bekæmpelse af hvidvaskning af penge (AML) og de efterfølgende love og regler i alle EU- og EØS-lande? Så er det vigtigt, at du kender dine forpligtelser i forhold til loven, og hvorfor det endda er nødvendigt at have en europæisk standard for initiativer og regler til bekæmpelse af hvidvaskning af penge.

På denne side besvarer vi de hyppigst stillede spørgsmål om AML og direktivet om bekæmpelse af hvidvaskning af penge, såsom:

Hvorfor har vi brug for love og regler om bekæmpelse af hvidvaskning af penge (AML)?
Hvilke virksomheder er omfattet af direktivet om bekæmpelse af hvidvaskning af penge?
Hvordan interagerer EU-direktiver og nationale love?
De forskellige tilsynsmyndigheder
Hvad sker der, hvis virksomheder ikke overholder loven?
Vejledning til direktivet om bekæmpelse af hvidvaskning af penge
AML 5: den risikobaserede tilgang
Risikovurdering
Politikker
Forretningsprocedurer
Revision og verifikation
KYC-procedure
AML 6: Nye krav kommer

Hvorfor har vi brug for love og regler om bekæmpelse af hvidvaskning af penge (AML)?

Der findes love og regler om bekæmpelse af hvidvaskning af penge for at forhindre, at der tjenes penge på kriminelle aktiviteter, der bruges i resten af samfundet. Grundlæggende eksisterer loven for at gøre det vanskeligere at begå forbrydelser, såsom skatteunddragelse og økonomisk svig. Loven har også til formål at forhindre finansiering af terrorisme.

Alle EU- og EØS-lande har deres egne love og regler om bekæmpelse af hvidvaskning af penge. De er dog alle dannet af EU-direktiver som er dannet og godkendt af Europa-Parlamentet. EU har på nuværende tidspunkt udarbejdet seks forskellige direktiver vedrørende hvidvaskning af penge. I teknisk terminologi kaldes de AML 1-6. AML er en forkortelse for „Anti-Money Hvidvaskning“.

EU-direktiv

Et direktiv er en retsakt vedtaget af Den Europæiske Union. Direktiverne er bindende for medlemslande og medlemmer af Det Europæiske Økonomiske Samarbejdsområde (EØS). Landene beslutter dog selv, hvordan direktivet skal gennemføres i nationale love og forskrifter.

Hvilke virksomheder er omfattet af direktivet om bekæmpelse af hvidvaskning af penge?

Forskellige virksomheder er omfattet af direktivet om bekæmpelse af hvidvaskning af penge, blandt andre:

Advokatfirmaer
Revisorer
Ejendomsforvaltere
Udlejere
Finansielle virksomheder
Tjenesteudbydere

Hvordan interagerer EU-direktiv og national lovgivning?

Når Europa-Parlamentet udsteder et direktiv, har de enkelte medlemsstater en periode, hvor de er forpligtet til at implementere direktivet i lokal lovgivning. Dette sker typisk ved at foretage justeringer i allerede eksisterende love og/eller udstede nye bekendtgørelser.

Arbejdet med gennemførelsen strækker sig typisk over en længere periode, og ikke alle lande gennemfører loven samtidigt eller på lignende måde. Dette skaber en vis debat mellem lande, da det fører til situationer, hvor det kan være mere fordelagtigt at oprette en finansiel licens ét sted og derefter levere dine produkter til de resterende lande.

EU's ekspertgrupper

Udviklingen af direktiver om bekæmpelse af bekæmpelse af bekæmpelse af penge omfatter en række forskellige erhverv, interessegrupper, juridiske eksperter samt lokale tilsynsmyndigheder.

Meo har siden 2015 været repræsenteret i en af EU's betalingssystemmarkedsekspertgrupper (PSMEG) af vores administrerende direktør, Christian Visti Larsen, som har bistået med udviklingen af AML 5.

Forskellige regulerende agenturer

Det tilsyns- eller reguleringsorgan, der oprindeligt udstedte en virksomhedslicens, vil ofte være den part, der er ansvarlig for at sikre korrekt tilsyn og håndhævelse.

Men fra land til land kan der være en vis forskel på, hvordan reglerne håndhæves. Dette gør det mere lokkende for visse virksomheder at fokusere deres aktiviteter i et land, hvor tilsynet er mere afslappet - og derefter sælge deres varer eller tjenester til resten af landene på det europæiske indre marked.

Hvad sker der, hvis virksomheder ikke overholder loven?

Der er forskel på, hvordan de enkelte tilsynsmyndigheder kommunikerer de aktiviteter og problemer, de måtte afdække, når de fører tilsyn med virksomheder.

Til tider kan disse være i form af lovgivningsmæssige AML-rapporter, der specificerer kritik, påbud og endda rapporter til politiet. Disse rapporter er typisk offentligt tilgængelige på deres hjemmesider, og det kræves ofte, at rapporterne vises på virksomhedernes egne hjemmesider.

Hvis en virksomhed bliver fanget i ikke at leve op til sine forpligtelser, resulterer det ikke nødvendigvis i en bøde. Virksomheden vil dog sjældent være i stand til at undgå sanktioner eller en tur til den metaforiske pillory. For virksomheder, der er afhængige af deres gode navn og omdømme, kan dette være meget værre end en bøde.

Sanktioner

De regulerende agenturer kan sjældent udstede bøder, men de er i stand til at rapportere virksomheden i strid med AML-love til den lokale politiafdeling for kriminelle økonomiske aktiviteter. Dette resulterer derefter i en politiundersøgelse, der kan føre til en offentlig retssag. Det er dog muligt for agenturet at udstede administrative bøder i enkle tilfælde, hvor virksomheden indrømmer forseelser.

AML 5: Den risikobaserede tilgang

Det seneste direktiv, AML 5, blev vedtaget i 2017 og bredt vedtaget i januar 2020. Med dette direktiv gik vi over til en risikobetinget tilgang til forholdsregler mod hvidvaskning af penge (AML) - en tilgang, der kræver mere af virksomhedernes vurdering af deres kundeforhold.

Virksomhederne skal nu vurdere den enkelte kundes individuelle risiko for at blive brugt til hvidvaskning af penge eller finansiering af terrorisme. Nogle af de centrale og grundlæggende elementer i det nye AML-direktiv er:

Risikovurderinger
Politikker
Forretningsprocedurer

Det er helt op til virksomheden at udvikle og implementere disse krav. Nedenfor forklarer vi, hvad hvert element indebærer. Desuden skal du oprette en beskrivelse af, hvordan du reviderer og overvåger hver aktivitet, så du er sikker på, at loven opretholdes.

Den risikobaserede tilgang resulterer i et meget større fokus på verifikation af identitet og løbende KYC-kontrol.

Risikovurdering

Virksomheder, der er omfattet af direktivet om bekæmpelse af hvidvaskning af penge, skal udarbejde risikovurderinger, der identificerer og evaluerer alle opfattede risici forbundet med individuelle kunder, produkter, leveringskanaler og forretningsaktiviteter.

For at lave en risikovurdering skal virksomheden:

Overvej risikoen, fra klient til klient, om at blive udnyttet til hvidvaskning af penge eller finansiering af terrorisme. Dette kaldes også CDD (Kundedue diligence).
Være i stand til redegøre for og begrunde vurderingen og forholdsregler til det relevante regulerende organ.
Foretag en risikovurdering, der omfatter virksomhedernes forholdsregler og sikkerhedsforanstaltninger i forbindelse med forebyggelse af hvidvaskning af penge.

Du kan for eksempel ende med at konkludere, at der er en forhøjet risiko forbundet med kunder, der bor i udlandet. Denne risiko afhænger af, hvilket land kunden bor. Baseret på disse oplysninger kan du vurdere, om du har brug for yderligere dokumentation fra klienten. For eksempel, du kan kræve at se en kopi af deres pas eller fødselsattest. Hvis virksomhedernes tjenester giver personer eller enheder mulighed for at blive kunder uden fysiske møder, kan du også beslutte, at dette kræver behov for yderligere dokumentation.

Risikovurdering

Risikovurderinger er strukturerede tilgange, hvor du forsøger at objektivt og retfærdigt vurdere kunder individuelt. Det kræver differentieret behandling.

Politikker

En virksomheds politikker beskriver deres overordnede appetit på risiko. Denne politik vil ofte indeholde beskrivelser af:

Hvilke typer kunder du vil have at gøre forretninger med
Hvilke typer kunder du vil ikke at gøre forretninger med

Det vil typisk være ledelsen, der skitserer og udvikler disse politikker, som derefter godkendes af bestyrelsen. En af de primære årsager til dette er, at det tvinger ledere til anerkende og aktivt træffe beslutning om risiciene forbundet med at drive virksomheden. På denne måde kan ingen i virksomheden overtage deres ansvar eller vaske hænderne for forseelser, hvis der opstår problemer.

Politikker definerer også det område, inden for hvilket medarbejderne opererer uden konstant godkendelse fra øverste ledelse.

En virksomheds politikker beskriver deres overordnede tilgang og kapacitet til risiko. Politikker oprettes af øverste ledelse og godkendes af bestyrelsen.

Forretningsprocedurer

Kort sagt er en forretningsprocedure en skriftlig proces for, hvordan du som medarbejder eller virksomhed skal opføre dig i specifikke, veldefinerede situationer.

En forretningsprocedure:

giver dig et overblik af de risici, du anser for at være til stede hos forskellige grupper af kunder eller kunder.
beskriver de foranstaltninger, du har truffet for at mindske denne risiko.

Eksempel

Hvis du har en klient bosat i udlandet, kan du bruge risikovurderingen til at vurdere, om dette udgør en forhøjet risiko for, at din virksomhed misbruges til hvidvaskning af penge eller finansiering af terrorisme.

Dette er den opfattede risiko, virksomheden pådrager sig, hvis de påtager sig klienten. For at kunne acceptere nævnte risiko skal forretningsproceduren kræve en mere grundig verifikation af klienten. Ud over en standard KYC-check kan du kræve notariserede kopier af pas eller anmode om yderligere oplysninger om forretningsforetagendet.

Desuden vil en forretningsprocedure også indeholde oplysninger om, hvornår og hvordan du rapporterer forseelser til et regulerende organ, såsom når du har mistanke om økonomisk misbrug.

Revision og verifikation

Revision og verifikation skal altid dokumenteres. Det er nytteløst at udføre verifikation, hvis du ikke efterfølgende kan bevise, at det fandt sted.

En typisk fejl i denne proces indebærer manuel verifikation af kopier af pas eller kørekort. For at imødegå dette kan en forretningsprocedure foreskrive, at medarbejderen skal gennemgå dokumenterne og sikre, at id'et er gyldigt og af en sådan kvalitet, at de efterfølgende kan identificere klienten. Men hvis der ikke er dokumentation for, at dette er sket, anses revisionen ikke for at have fundet sted, uanset om medarbejderen rent faktisk har gennemgået dokumenterne eller ej.

KYC-kontrol

En KYC-kontrol udføres også på grundlag af risikovurderingen og de identificerede risici. Dette er også kendt som KYC eller „Kend din kunde.“

Afhængigt af de opfattede risici kan du enten udføre en forbedret eller regelmæssig kontrol. KYC kræver opnåelse Identificering af personoplysninger om klienten. Typisk vil disse omfatte:

Navn og CPR-nummer eller Identifikator for juridisk enhed (LEI), afhængigt af om klienten er en person eller en anden virksomhed/organisation.

Disse identificerende oplysninger skal verificeres via en pålidelig uafhængig kilde. Det betyder, at du skal verificere dokumenter og sammenligne dem med offentligt tilgængelige oplysninger og databaser, der kan validere adresser, pas eller navne.

Læs mere om KYC

KYC-kontrol

Beskriver, hvordan virksomheden opfører sig for at lære deres kunder/kunder at kende. KYC er en forkortelse for „Know Your Customer“.

AML 6: Nye krav kommer

Alle de tidligere krav har en fællesnævner: de kræver etablerede procedurer og verifikationsprocesser for hver enkelt klient. En sikker procedure og verifikation af kunderelationer kan kun sikres, hvis der er tilstrækkelig dokumentation for, at det fandt sted.

Hvis du ikke følger reglerne, kan det få alvorlige konsekvenser for din virksomhed. Bortset fra de allerede omfattende krav, kan du blive underlagt øget tilsyn og dermed yderligere krav. Dette er et felt med en massiv politisk og samfundsmæssig interesse og kontrol, hvorfor det bare er god forretning at kende reglerne og være i spidsen.

Den seneste udgave, AML 6, er planlagt til at blive implementeret i alle medlemsstater inden den 3. december 2020 og træde i kraft for erhvervslivet senest den 3. juni 2021. Med AML 6 vil flere elementer blive udvidet med vægt på bøder og sanktioner.

Meo — undgå hvidvaskning af penge med vores nemme og sikre AML-løsning

Som du sikkert har bemærket, er der mange krav til virksomheder, når det kommer til AML og love og regler mod hvidvaskning af penge. Er du på toppen af dine AML-procedurer og tilgange?

Hvis ikke, kan Meo hjælpe.

Meo er en softwareplatform, der kan hjælpe dig med AML-overholdelse ud over en række andre tjenester.

Med Meo kan du:

Skærm automatisk klienter via PEP-lister
Bekræft klienternes id
Indsamle data fra officielle kilder vedrørende virksomheder og enkeltpersoner

Artikel

Hvad er bekæmpelse af hvidvaskning af penge?

Her er hvad du som virksomhed har brug for at vide om hvidvaskning af penge

I denne artikel kan du lære mere om hvidvaskning af penge, herunder:

Hvad er hvidvaskning af penge?
Hvordan begås hvidvaskning af penge?
Hvad siger international og europæisk lov om hvidvaskning af penge?
4 vigtige begreber, når det kommer til hvidvaskning af penge
Vejledning til bekæmpelse af hvidvaskning af penge
Sådan sikrer Meo-platformen, at din virksomhed er 100% AML-kompatibel til enhver tid.

Hvad er hvidvaskning af penge?

Hvid vask

Hvordan begås hvidvaskning af penge?

Der er mange måder at hvidvaske penge på. Nedenfor er et eksempel på, hvordan det kunne ske:

En narkotikahandler har solgt ulovlige stoffer for 25.000 EUR og har nu en masse sorte penge i sin besiddelse.
Narkotikahandleren finder en brugt bil, der er privat til salg for 75.000 EUR. Han tilbyder at købe bilen for det fulde beløb - i bytte for at betale delvist kontant.
Narkotikahandleren går til banken og får et lån, hvor han forklarer, at han køber en bil til en pris af 50.000 EUR.
Banken yder lånet og overfører 50.000 EUR direkte til sælgeren, men narkotikahandleren betaler ham 25.000 EUR kontant.
Narkotikahandleren sælger nu bilen til en tredjepart for 75.000 EUR, der overføres direkte til hans bankkonto. Han kan nu dokumentere, at pengene stammer fra salget af bilen. Han betaler sit lån til banken.
Nu er de 25.000 EUR blevet hvidvasket, da de ser ud til at være betaling for et simpelt bilsalg.
I princippet kan hvidvaskning af penge også opnås gennem registrerede bilforhandlere som mellemled. Narkotikahandleren kan få stråmænd til at købe og sælge biler, både, kunst, ejendom og andre fysiske genstande for at vaske de sorte penge.

Hvad siger lov og regler om hvidvaskning af penge?

I EU er alle finansielle virksomheder underlagt og reguleret af direktivet om bekæmpelse af hvidvaskning af penge (AML).

En række forskellige forretningsområder og sektorer er juridisk forpligtet til at opføre sig i overensstemmelse med reglerne om bekæmpelse af hvidvaskning af penge. Her er en kort oversigt:

Advokater
Revisorer og eksterne revisorer
Ejendomsmæglere
Udlejere
Finansielle virksomheder
Tjenesteudbydere

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven).

4 vigtige begreber, når det kommer til hvidvaskning af penge

Der er en hel del tekniske, juridiske og andre udtryk eller forkortelser vedrørende hvidvaskning af penge. De fire vigtigste at vide er:

1. CDD - Kundedue diligence

2. KYC - Kend din kunde

3. PEP - Politisk eksponeret person

4. AML - Bekæmpelse af hvidvaskning

Vejledning til bekæmpelse af hvidvaskning af penge

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven - Download PDF).

Meo — undgå hvidvaskning af penge med vores intelligente platform

Hvis ikke, kan Meo hjælpe.

Meo er en dansk virksomhed og softwareplatform, der hjælper virksomheder med deres datasikkerhed, onboarding og overordnede compliance.

Med Meo kan du:

Skærm automatisk klienter via PEP-lister.
Bekræft klienternes id
Indsamle data fra officielle kilder vedrørende virksomheder og enkeltpersoner

Med Meo behøver du ikke bekymre dig, når det kommer til foranstaltninger mod hvidvaskning af penge.

Artikel

Hvad er personoplysninger? Ejerskab, behandling og sikkerhed

I den digitale tidsalder og med GDPR er fokus på personoplysninger skærpet. Kunder deler data konstant med både virksomheder og regeringer, og mangelfuld håndtering kan føre til store bøder og sanktioner.

Alt hvad du behøver at vide om personlige data

I denne digitale tidsalder og med vedtagelsen af den generelle databeskyttelsesforordning (GDPR) har der været et øget fokus på personoplysninger og den måde, virksomheder håndterer deres kunders oplysninger på. Personlige data deles af borgere og kunder hele tiden - med både virksomheder og regeringer. Og organisationer, der ikke har en ordentlig håndtering af personlige data, risikerer store bøder og sanktioner.

Fordi dette er et så vigtigt emne for virksomheder, har vi skrevet denne omfattende guide og ofte stillede spørgsmål, så du bedre kan forstå, hvad personlige data er - og hvordan du skal håndtere dem i henhold til GDPR. Vi vil svare:

Hvad er personoplysninger?
Hvad er GDPR (General Data Protection Regulation)?
Personoplysninger i et forretningsmæssigt perspektiv
Hvornår anses virksomheder for at behandle personoplysninger?
Hvem ejer personlige data?
Sikker behandling af personoplysninger
Sådan hjælper Meo virksomheder med at indsamle, verificere og gemme personlige data på en sikker og nem måde, der også er 100% GDPR-kompatibel.

Læs mere om platformen her eller book en demo for at høre mere om, hvordan vi kan hjælpe din virksomhed med KYC-overholdelse.

Hvad er personoplysninger?

For at forstå, hvad personlige data er, lad os starte med en definition. Personoplysninger defineres af EU i den generelle databeskyttelsesforordning som:

“ Personoplysninger „: alle oplysninger vedrørende en identificeret eller identificerbar fysisk person (“ registreret „); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.
‍
- Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016

Personoplysninger er med andre ord alle oplysninger, der kan bruges til at identificere en person. I henhold til denne definition omfatter personoplysninger en række forskellige informationer, herunder:

Et navn
Et foto
E-mail-adresse
Oplysninger om en persons etnicitet
En lydfil
IP adresse
Strafferegister
CPR-nummer
Listen over personoplysninger er derfor potentielt uudtømmelig.

Alle oplysninger relateret til en identificeret eller identificerbar person er personlige data. Oplysninger såsom data om medfødte sygdomme hos en persons bedsteforældre er også personoplysninger.

GDPR skelner dog mellem forskellige typer af personoplysninger, som skal behandles eller håndteres på mindre og mere restriktive betingelser:

Generelle personoplysninger

Disse omfatter personoplysninger såsom navne, e-mails, adresser, ansættelsessted osv. Det er faktuelle oplysninger, der ofte er offentligt tilgængelige.

Følsomme personoplysninger (“ særlige kategorier af personoplysninger“)

Såsom sundhedsdata, etnicitet og seksuel identitet. Disse typer data er meget personlige og skal behandles med ekstra omhu.

CPR-numre og straffeattest (“ særlige kategorier af personoplysninger „)

Offentlige oplysninger såsom personnumre og strafferegistre er også en del af særlige kategorier af personoplysninger. I nogle EU-lande betragtes disse som en særskilt kategori, da de omfatter klassificerede eller beskyttede oplysninger, der skal beskyttes mere end selv traditionelle følsomme personoplysninger.

Hvad er GDPR (General Data Protection Regulation)?

GDPR, eller den generelle databeskyttelsesforordning, er en lovramme og et direktiv i EU-lovgivningen om databeskyttelse og privatliv i Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. Det gælder for alle personoplysninger samt overførsel af personoplysninger uden for EU og EØS. Det blev implementeret i 2018.

Dets officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Læs mere om databeskyttelsesforordningen (GDPR).

Hvad er personoplysninger i et forretningsmæssigt perspektiv?

Personoplysninger er i sidste ende den mest værdifulde information, som virksomheder indsamler og behandler. Uden disse data er det ikke muligt at drive en virksomhed i en så digitaliseret verden.

På forbrugerniveau ville folk ikke være i stand til at bruge nutidens digitale muligheder, dvs. oprette en bankkonto, få leveret en pakke eller på nogen måde købe vitale digitale tjenester uden frigivelse af en eller anden form for personoplysninger. Der er selvfølgelig visse udbydere af tjenester og produkter, der ikke har brug for personlige data - for eksempel hvis du køber en hotdog hos en sælger og betaler kontant.

Med undtagelse af eksempler som ovenfor er størstedelen af interaktionerne mellem enkeltpersoner og virksomheder baseret på en vis deling eller udveksling og behandling af personoplysninger. Den stigende digitalisering af samfundet og brugen af personaliserede data giver også anledning til bedre og mere målrettede tjenester. Derfor kan udveksling af personoplysninger anses for nødvendig eller endog væsentlig for både forbrugere og virksomheder.

Reglerne for, hvordan virksomheder behandler personoplysninger, er ret omfattende og dækker blandt andet sikker opbevaring af personoplysninger.

Læs mere om reglerne her.

Hvad er behandling af personoplysninger?

Behandling af personoplysninger henviser til aktiviteter såsom indsamling, opbevaring, brug, overførsel, sikkerhed og videregivelse af personoplysninger. Alle aktiviteter vedrørende personoplysninger, fra planlægning af behandling til fjernelse af personoplysninger, udgør behandling af personoplysninger.

Når en virksomhed behandler data, vil der altid være behov for en databehandler og en dataansvarlig. Disse to roller er ikke de samme, men er begge nødvendige at have. I det følgende kan du finde en definition af hver rolle, og hvad den indebærer.

En dataansvarlig er en person eller en organisation, der bestemmer formålene og midlerne til behandling af personoplysninger. En dataansvarlig kan være en forening, der indsamler oplysninger om sine medlemmer, et hospital, der behandler patientjournaler, en online butik eller en social medietjeneste.

En databehandler er en person eller en organisation, der behandler personoplysninger på vegne af en dataansvarlig. En databehandler kan være et agentur, der håndterer visse processer i en anden virksomhed, eller en it-tjenesteudbyder, der har adgang til de personoplysninger, der indsamles af den dataansvarlige.

Hvornår kan virksomheder behandle personoplysninger i henhold til GDPR?

GDPR - og efterfølgende lokale love - gælder i det øjeblik virksomheder 'behandler' personlige oplysninger. Men som nævnt tidligere kan behandlingen af personoplysninger antage mange former. Fordi definitionen er så bred, forekommer den i virkeligheden i det øjeblik, en virksomhed kommer i kontakt med personlige oplysninger.

I henhold til definitionen i GDPR gælder behandling af personoplysninger for alle de måder, hvorpå du håndterer personlige oplysninger. Dette omfatter indsamling, optagelse, organisering, systematisering, lagring, redigering, ændring, søgning, brug, deling, transmission, sikring, formidling, sletning — og meget mere.

Verifikation af oplysninger

Et specifikt eksempel kan være, når virksomheder har brug for at kontrollere, at et givet navn faktisk tilhører en person. Virksomheden udtrækker verifikationsdataene fra et netværk, som personen bruger - eller fra yderligere datakilder, der har myndighed til at verificere sandheden af oplysningerne. Dette er især relevant for virksomheder, der er omfattet af direktivet om bekæmpelse af hvidvaskning af penge (AML).

Hvis bare et Den type af ovenstående handlinger forekommer, betragtes det som behandling i henhold til GDPR. For at leve op til EU-lovgivningen bør alle virksomheder overveje databehandling i det øjeblik, de kommer i kontakt med personoplysninger.

Læs mere om databeskyttelsesforordningen (GDPR).

Hvem ejer personlige data?

Hvem ejer personoplysninger efter indsamling?

GDPR markerede et grundlæggende skift i, hvordan et bredere samfund ser på dataejerskab. Før var det ikke nødvendigvis klart, hvem der faktisk ejede dataene, efter at de var blevet udvekslet mellem to parter. Brugerrettigheder og retten til at få indsigt i, hvilke personoplysninger der opbevares af virksomheder, var ofte uklar.

GDPR bidrog til at afklare disse spørgsmål og principper. Det blev fastslået, at den, der ejer personoplysninger, er den person, der er repræsenteret af oplysningerne. Virksomheder har lov til at behandle og bruge de givne data, men ejerskabet og rettighederne vil altid tilhøre den registrerede.

Data tilhører den person, der er repræsenteret af oplysningerne.

Privatpersoners rettigheder

Hvilke rettigheder har privatpersoner i forhold til deres personoplysninger?

Det skift, der er skabt af GDPR — som tydeliggjorde ejendomsretten til data — førte til, at de registrerede personer får ret til indsigt, eller subjektets adgang, til de data, som virksomhederne lagrer om dem. En ret, som naturligvis også er vigtig for virksomhederne at forstå, da de er forpligtet til at leve op til love og regler.

Med undtagelse af visse usædvanlige tilfælde har privatpersoner ret til at kontakte virksomheder, som de mener behandler eller opbevarer personoplysninger, og få indsigt i, hvilke data de besidder, til hvilket formål de anser for gyldige til behandling af dine personoplysninger; og hvornår samtykke til denne type behandling blev givet.

Læs mere om retten til indsigt (Subject Access).

Denne nye forståelse af dataejerskab fører os til de seks principper for, hvordan virksomheder skal behandle personoplysninger. Find definitionen af sikring af personoplysninger, og læs mere nedenfor.

Sikker behandling af personoplysninger

Grundlæggende kræver GDPR, at virksomheder beskytter både interne personoplysninger (om f.eks. medarbejdere) og eksterne personoplysninger (om f.eks. andre kunder, forretningspartnere, kriminelle) ved hjælp af tilstrækkelige sikkerhedsforanstaltninger.

Det er op til hver virksomhed at vurdere, hvilke sikkerhedsforanstaltninger der gælder i forskellige situationer.

Virksomheder opdeler typisk disse sikkerhedsforanstaltninger i to kategorier:

Tekniske sikkerhedsforanstaltninger: Blandt andet stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.

Organisatoriske sikkerhedsforanstaltninger: Blandt de andre beskrevne procedurer kan virksomheder vedtage organisatoriske sikkerhedsforanstaltninger såsom klare politikker for personoplysninger, sikkerhedsadgang, kurser i korrekt databehandling og videreuddannelse af medarbejdere.

Hvis du håndterer følsomme personoplysninger (som defineret ovenfor), skal du implementere strengere sikkerhedsforanstaltninger. De valgte foranstaltninger er baseret på risikovurdering, som er en del af GDPR's risikobaserede tilgang til databeskyttelse.

Læs mere om databeskyttelse her.

Sådan kommer du i gang med personoplysninger under GDPR (de 6 principper)

Er du interesseret i de grundlæggende principper i GDPR, kan du læse Kapitel 2, artikel 5 i den generelle forordning om databeskyttelse.

Dette skitserer de seks grundlæggende principper for, hvordan virksomheder har brug for at nærme sig personoplysninger. Vi vil forklare hver enkelt her:

1. „Lovlighed, retfærdighed og gennemsigtighed“

Din virksomhed skal være gennemsigtig med kunder og kunder om, hvordan du behandler deres personoplysninger. For eksempel skal sproget i skriftlig kommunikation, såsom e-mails, være klart og let at forstå. Kunderne skal vide, hvad der sker - og hvorfor. Undgå stumt sprog eller omfattende teknisk jargon, og sæt tid til at udvikle gode, læselige skabeloner til brug i fremtiden.

Al behandling af personoplysninger skal være retfærdig, sikker og baseret på bedste praksis (f.eks. ved at bruge den bedste tilgængelige teknologi).

Og endelig skal din behandling af personoplysninger være lovlig. Du skal handle i lovens ånd og bogstav, når du behandler personoplysninger. Dette inkluderer indhentning af samtykke fra kunder og kunder, da det er dem, der ejer personoplysningerne.

2. “ Formålsbegrænsning“

Du kan kun indsamle personoplysninger til specifik formål. Og det er vigtigt, at du informerer dine kunder, at du gør dette. Dette indebærer også, at du kun bruger personoplysninger i den sammenhæng, kunden har givet samtykke til.

3. “ Dataminimering“

„Behov for at have“ er centralt for dataminimering. Grundlæggende kan du kun indsamle de nøjagtige personlige data, der er nødvendige for at opfylde dit udtrykte mål eller formål.

4. 'Nøjagtighed'

Sikring af nøjagtighed af de personlige oplysninger er en løbende proces. Af den grund skal du opdatere dataene samtidig. Desuden skal du rette eller slette data, der er unøjagtige eller ubrugelige til det specifikke formål, de er nødvendige for.

5. “ Opbevaringsbegrænsning“

Du kan kun gemme personlige data Så længe det er nødvendigt. Derfor er du nødt til løbende at spørge dig selv: har vi stadig et formål med at gemme disse data? Det kan være en god ide at have en halvårlig eller årlig begivenhed, hvor du evaluerer dine gemte data.

6. „Integritet og fortrolighed“

Den integritet af dataene skal vedligeholdes. Det betyder at sikre dataens nøjagtighed og troværdighed over tid.

Samtidig skal du behandle og håndtere dataene med stor omhu og selvtillid. Du kan ikke tillade nogen at få adgang til dataene. Det gælder for personer uden for din organisation (for eksempel hackere), men også personer indefra (for eksempel kolleger).

For at sikre dette har du brug for tilstrækkelige og tilstrækkelige sikkerhedsforanstaltninger. Sikkerhedsniveauet kan variere fra virksomhed til virksomhed. Som nævnt tidligere er både teknisk og organisatorisk sikkerhed to metoder til beskyttelse af dataene.

Hvis du har styr på de seks principper, er du kommet langt i retning af korrekt behandling af personoplysninger. Og det betaler sig at arbejde inden for reglerne. Overtrædelse af GDPR kan resultere i bøder og sanktioner.

Håndhævelsestracker kan give dig et overblik over bøder og sanktioner for overtrædelse af GDPR i EU og EØS.

Hvad kan der gøres i processen med at sikre personoplysninger?

Data kan beskyttes på forskellige måder, og derfor er der som sådan ingen manual til, hvordan man præcist gør det. Nogle metoder kan dog være bedre end andre.

Du kan opnå optimal beskyttelse af personlige data gennem godt design og gode standardindstillinger.

Et godt databeskyttelsesdesign gør det muligt for din virksomhed at tage datasikkerhed i betragtning tidligt i processen, når man planlægger nye måder at behandle personoplysninger på. Her kan og bør den dataansvarlige træffe alle nødvendige tekniske og organisatoriske beslutninger for at implementere databeskyttelsesprincipper og beskytte enkeltpersoners rettigheder. Dette kan for eksempel omfatte brugen af pseudonymisering.

Databeskyttelse med gode standardindstillinger inkluderer at sikre, at virksomheden altid har den højeste databeskyttelsesindstilling som standardindstilling. Hvis der for eksempel er to forskellige privatlivsindstillinger tilgængelige, og en af indstillingerne sikrer, at andre ikke kan få adgang til de personlige data, bør denne indstilling være standardindstillingen.

Hvem er Meo?

Meo er en dansk RegTech-virksomhed, der ejer, udvikler og driver en identitetsstyringsplatform til håndtering af kundedata, Meo. Vores mål er at få virksomheder til at dele data sikkert og dermed forhindre upassende situationer og risici som hvidvaskning af penge, korruption og sikre overholdelse af loven.

Læs mere om Meo i vores Om sektion. Find ud af mere om Meo nedenfor.

Meo — behandling af personoplysninger nemt og sikkert

Hvis du har læst med fra toppen og har mistet pusten over udfordringerne ved at arbejde med GDPR og personlige data, så er du ikke alene. Heldigvis findes der en række gode løsninger til de forretningsmæssige udfordringer ved databehandling.

Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.

For virksomheder er der en række fordele ved at bruge Meo:

Onboarding

Ombord dine kunder digitalt - ved hjælp af sikre kanaler.

Validering

Opsæt dine egne krav til validering af oplysninger.

Dokumentation

Et komplet spor og oversigt over de udførte handlinger og samtykke til behandling.

Forarbejdning

Med Meo overholder du alle juridiske krav — både GDPR og AML.

Artikel

Oversigt: Sådan overholder du GDPR

Har din virksomhed et godt greb om GDPR og hvordan du behandler personoplysninger?

Hvad er god GDPR-håndtering?

Har din virksomhed et godt greb om GDPR og hvordan du behandler personoplysninger?

Stort set alle virksomheder, der kommer i kontakt med personoplysninger, er underlagt lokale love og regler. I EU og EØS betyder det GDPR. Derfor er det vigtigt, at du kender kravene til, hvordan du behandler personoplysninger korrekt.

Nedenfor kan du læse om EU-direktivet og hvordan det gælder for personoplysninger — samt få et par tips om bedste praksis for behandling af personoplysninger:

Hvad er den generelle databeskyttelsesforordning (GDPR)?
Hvilke virksomheder er underlagt GDPR?
Hvad er en Data Manager og en Databehandler?
Hvad er en DPO (Data Protection Officer)?
Sådan overholder du GDPR
Opbevaring af personoplysninger — hvornår og hvor længe?
Privatpersoners rettigheder
Løbende revisioner og principperne om nøjagtighed

Hvad er den generelle databeskyttelsesforordning (GDPR)?

GDPR, eller General Data Protection Regulation, er en lovgivningsmæssig ramme og direktiv i EU-lovgivningen om databeskyttelse og privatlivets fred i Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde.

Forordningen gælder for alle personoplysninger samt overførsel af personoplysninger uden for EU og EØS. Det blev implementeret i 2018.

Dets officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Som EU-forordning og direktiv er det strengt taget ikke en egentlig lov. I stedet er det en juridisk bindende aftale mellem alle EU- og EØS-lande, som de derefter skal fortolke og implementere i deres lokale lovgivning.

Det betyder, at selvom GDPR er bindende og har til formål at give specifikke anvisninger vedrørende personoplysninger, kan der være variationer og mindre forskelle fra land til land. Det fungerer ofte som en grundlæggende ramme, der derefter udvides af det enkelte land.

TilsynForskellige lande i EU og EØS har forskellige tilsyns- eller reguleringsorganer. Disse sikrer, at GDPR opretholdes og vejleder lokale myndigheder, virksomheder og organisationer i, hvordan de overholder GDPR.

Hvilke virksomheder er omfattet af GDPR?

GDPR gælder for stort set al behandling af personoplysninger, dvs. alle oplysninger, der kan forbindes med eller identificere en bestemt person.

Læs mere om Personlige data og de forskellige kategorier.

Da forordningen er geografisk specifik for EU og EØS, gælder den kun:

Når datahåndtering eller databehandler er i EU, uanset om den faktiske behandling foregår i eller uden for EU.
Når person, hvis personoplysninger behandles, befinder sig i EUuanset dataadministratorens eller databehandlerens placering.
Når behandlingen af personoplysninger vedrører et produkt eller en virksomhed i EU eller involverer overvågning af adfærd inden for EU.

For at være kortfattet: næsten alle virksomheder med et associeret selskab med EU, uanset om dette gælder for dem eller deres kunder/kunder, er underlagt GDPR.

Hvad er en Data Manager og Databehandler?

Og hvad er forskellen?

I henhold til GDPR er det vigtigt fundamentalt at adskille de to specifikke roller, som begge behandler personoplysninger.

Du kan enten være en datahåndtering eller en databehandler.

Der er forskellige krav til de to roller. Derfor er det vigtigt at vide, hvem der er hvem, og hvem der er hvem, inden du begynder at behandle personoplysninger.

Datahåndtering

Dataadministratoren definerer formålet og proceduren for, hvordan personlige oplysninger behandles. Som dataansvarlig er du forpligtet til at sikre, at:

Du har en lovlig ret til at behandle specifikke personoplysninger
Du er i stand til at give indsigt til de registrerede parter på deres anmodning
Du registrerer krænkelser af persondatasikkerheden til det relevante tilsyns-, tilsyns- eller reguleringsorgan.

Databehandler

Som databehandler behandler du udelukkende personoplysningerne på vegne af databehandleren. Du har ingen indflydelse på det formål eller den procedure, du opererer under.

En databehandler kan for eksempel være en softwareudbyder til de tjenester, der bruges til at gemme data på serverne, eller en anden type udbyder af en automatiseret behandling af personoplysninger, hvor du ikke direkte har adgang til dataene.

Da forholdet mellem databehandler og databehandler indebærer udveksling af personoplysninger, er det vigtigt, at der er en databehandleraftale på stedet, der klart definerer det nøjagtige forhold mellem de to. En skabelon til dette kan findes på GDPR.eu.

Hvad er en databeskyttelsesansvarlig (DPO)?

Der kan også være en tredje rolle: DPO eller databeskyttelsesansvarlig. Du har måske stødt på dette udtryk før, men hvad betyder det? Skal din virksomhed have en DPO?

DPO's rolle er at vejlede om kravene i GDPR og guide datahåndtereren i, hvordan de kan opfylde disse krav. Det er vigtigt at bemærke, at DPO er ikke ansvarlig for, hvorvidt virksomheden overholder GDPR eller lokal lovgivning.

Statslige agenturer er forpligtet til - uanset om de er databehandlere eller databehandlere - udpege en DPO. Private virksomheder er kun forpligtet, hvis alle af følgende tre betingelser gælder:

Behandling af personoplysninger er en kernearbejdsaktivitet
Personlige oplysninger behandles i store mængder
Forarbejdning består af Regelmæssig og systematisk overvågning eller indeholder følsomme personoplysninger (“ særlige kategorier af personoplysninger“)

Hvornår er behandling af personoplysninger en“ kernearbejdsaktivitet“?

De fleste organisationer udfører en eller anden form for behandling af personoplysninger, men GDPR skelner mellem ikke-kernearbejdsaktiviteter og kernearbejdsaktiviteter.

Ikke-kernearbejdsaktiviteter kan generelt siges at være aktiviteter, der understøtter kernearbejdsaktiviteter. For eksempel kommer de fleste virksomheder i kontakt med en vis mængde personoplysninger med hensyn til medarbejderdata og personoplysninger relateret til salg og forskellige typer support. Disse betragtes som ikke-kernearbejdsaktiviteter.

I henhold til GDPR er behandling af personoplysninger en kernearbejdsaktivitet, hvis det, en virksomhed ønsker at sælge, er uigendriveligt forbundet med personoplysninger. Dette kan for eksempel være:

Forsikringsselskaber hvis produkt er skræddersyet på grundlag af personoplysninger
Udbydere af markedsundersøgelser
Søgemaskiner
Virksomheder relateret til headhunting af nye medarbejdere

Dette er alle eksempler på forretningsaktiviteter, der er centreret omkring behandling af personoplysninger, og hvor output afhænger af de indhentede og behandlede oplysninger.

Sådan overholder du GDPR

GDPR kræver en risikobaseret tilgang svarende til for eksempel initiativer til bekæmpelse af hvidvaskning af penge.

En risikobaseret tilgang betyder, at uanset om virksomheden er en databehandler eller en dataansvarlig eller ej, er du forpligtet til at foretage en vurdering af de typer data, der opbevares eller behandles af virksomheden. Så skal du sørge for, at der er organisatorisk og tekniske sikkerhedsforanstaltninger eller sikkerhedsforanstaltninger på plads, der svarer til de vurderede risici.

Tekniske sikkerhedsforanstaltninger

Eksempler er stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.‍

Organisatoriske sikkerhedsforanstaltninger

Eksempler inkluderer beskrevne procedurer, virksomheder kan vedtage organisatoriske sikkerhedsforanstaltninger såsom klare politikker for personoplysninger, sikkerhedsadgang, kurser i korrekt databehandling og videreuddannelse af medarbejdere.

For at overholde GDPR skal virksomheder have:

Risikovurderinger
Politikker og procedurer
Revision og dokumentation

Hvordan foretager du en risikovurdering?

Risikovurderinger vil typisk evaluere eller vurdere:

Hvilke typer data gemmes af virksomheden (der er f.eks. forskelle i følsomheden mellem lagring af e-mail-adresser og kopier af pas)
Konsekvenser for datalækager (f.eks. phishing, hacking eller utilsigtet intern lækage af materiale vedrørende personlige data)
Den sikkerhedsforanstaltninger på plads for at minimere ovenstående risici

På baggrund af disse faktorer kan du vurdere, om risikoen er acceptabel, eller om du har brug for at implementere nye sikkerhedsforanstaltninger for at minimere risikoen for, at data bliver stjålet eller lækket.

Der er også krav til Dokumentation af dine overvejelser med hensyn til procedurerne.

Politikker

De fleste virksomheder har indført procedurer og politikker, der strømliner og systematiserer arbejdsaktiviteter. På samme måde er det en god idé at definere politikker og procedurer for behandling af personoplysninger.

Du opdeler typisk persondatapolitikker i, om de vedrører personoplysninger om medarbejdere eller kunder/kunder. En persondatapolitik for klienter kan f.eks. indeholde følgende:

En afklaring af, om du opfører dig som datahåndtering eller databehandler.
Hvor personoplysningerne opbevares — på interne eller eksterne servere eller lagerenheder? Hvis det opbevares uden for EU/EØS, hvad gjorde du så for at sikre et tilstrækkeligt sikkerhedsniveau?
Uanset om du har en DPO, og i bekræftende fald, hvad DPO's opgave er, og hvordan du har sikret DPO's position i organisationen.
Hvad er det angivne formål med lagring af data, specifikt din juridiske rettigheder og Formålets legitimitet.
Hvad er din politik for sletning eller sletning af personoplysninger, og hvor længe du opbevarer data efter ophør af et kunde/kundeforhold.
Eventuelt, hvilken teknisk og organisatoriske sikkerhedsforanstaltninger du har implementeret for at beskytte mod datalækager, og hvordan du planlægger at reagere i tilfælde af en lækage.

Forretningsprocedurer

Forretningsprocedurerne skal være i et internt tilgængeligt dokument, der er skrevet for at understøtte det arbejdsflow og procedurer, du har aftalt. En forretningsprocedure er ofte en forholdsvis detaljeret beskrivelse af, hvordan du håndterer personoplysninger med specifikke procedurer for, hvordan din virksomhed — i sine daglige aktiviteter — får unødvendige data til at blive slettet, og hvordan du deler data med andre, hvad enten det er med kolleger eller eksterne databehandlere.

Revision og dokumentation

Samtidig skal du være i stand til at dokumentere, at din behandling af personoplysninger sker i overensstemmelse med GDPR og lokal lovgivning. Du skal f.eks. dokumentere, hvordan du sletter personoplysninger efter afslutningen af et forretningsforhold.

En virksomhed kan have flere procedurer for, hvordan og hvor ofte de sletter data. Men ifølge GDPR er det vigtigt, at det er nedskrevet eller på en eller anden måde dokumenteret, så de rette tilsynsmyndigheder kan revidere dine handlinger og dermed sikre, at du overholder GDPR.

Dokumentationskravet kan understøttes af it-løsninger, der endda kan automatisere nogle af de nødvendige processer.

Opbevaring af personoplysninger — hvornår og hvor længe?

Virksomheder kan gemme personoplysninger, så længe de:

Har en lovlig ret til det.
Har en legitimt formål til opbevaring af dataene.

Den lovlig ret med hensyn til opbevaring af personoplysninger defineres som:

Virksomheden har opnået samtykke fra den person, hvis personoplysninger opbevares.
Det er skrevet i loven, at dataene skal gemmes.
Det er nødvendigt for at opretholde en aftale eller kontrakt.
Virksomheden har en legitim interesse ved opbevaring af personoplysninger. Og denne interesse har en større værdi for personens egen interesse, end hvis den blev slettet.

Normalt har virksomheden eller det statslige organ tilstrækkelige juridiske rettigheder, hvis bare en Ovenstående kriterier er opfyldt.

EN legitimt formål er grundlæggende defineret af sund fornuft.

Spørg dig selv: Hvad er formålet med at gemme de givne personoplysninger?

Hvis du ikke har et legitimt formål, skal dataene slettes.

Eksempel

For seks måneder siden havde virksomheden et jobopslag på udkig efter en retshjælp. De havde mange ansøgere, men har siden lukket hele afdelingen og planlægger ikke at ansætte juridiske hjælpemidler nogensinde igen.

Har virksomheden stadig et legitimt formål med at gemme CV'er og applikationer? Her er svaret nej.

Så længe en virksomhed har den juridiske ret og et legitimt formål, kan virksomheden fortsætte med at gemme data. Så snart dette ikke længere er tilfældet, skal dataene slettes.

Privatpersoners rettigheder

Med implementeringen af GDPR får privatpersoner ret til at få adgang til de data, virksomheder gemmer om dem. Dette kaldes ofte adgangsrettigheder eller emneret:

Du har i princippet ret til at få adgang til alle personoplysninger om dig selv, som datahåndtering er ansvarlig for.
EN databehandler kan ikke give adgang, fordi de ikke er ansvarlige for de registrerede data.

De data og oplysninger, du kan anmode om, inkluderer:

Sådan behandles dine personoplysninger
Hvilket formål er der med behandlingen
Hvem oplysningerne deles med
Hvor længe dataene gemmes
Hvor personoplysningerne stammer fra

Dette er for at sikre, at dataene er verificerbare, nøjagtige, og at behandlingen udføres på grundlag af forsvarlig juridisk myndighed.

Løbende revision og princippet om nøjagtighed

Som virksomhed er du forpligtet til at sikre dig, at de lagrede personoplysninger er korrekte, og at forkerte eller falske oplysninger slettes.

Dette kaldes også princippet om nøjagtighed.

Princippet drejer sig ikke kun om pligten til at slette eller rette oplysninger, som du er blevet informeret om, er forkert. Du har også en forpligtelse til aktivt at søge og kontrollere nøjagtigheden af dine data.

Dette kan f.eks. ske ved, at du løbende sammenligner de data, du indhenter, med søgninger i registre og databaser med offentligt tilgængelige oplysninger, eller at du med jævne mellemrum anmoder om verifikation fra den person, som oplysningerne handler om.

Omfanget af, hvor grundigt du har brug for at verificere oplysningernes nøjagtighed og ægthed, og hvor ofte du skal gentage denne proces, afhænger af de data, du behandler. Jo mere følsomme - og derfor jo større betydning oplysningerne har for ejeren - jo flere procedurer og fejlsikre skal du implementere for at beskytte mod dette resultat.

Cases hos Meo

Meo har også samarbejdet med en masse forskellige virksomheder, der har haft stor gavn af den danske softwareplatform, Meo. Blandt dem er advokatfirmaet Bech-Bruun, der for nylig kommenterede, om platformen har givet klarhed om sikker håndtering af information og data fra nye kunder i overensstemmelse med GDPR-loven.

Dette fokus er noget, der afspejles i udtalelser fra vores forskellige partnere og kunder, som alle mener, at vores softwareplatform har skabt sikkerhed for dem i forbindelse med udveksling af data og information med kunder eller partnere.

Vi hos Meo hjælper derfor med at skabe klarhed over administrative opgaver samt sikkerheden i din virksomhed og udveksling af data.

Meo — Behandling af personoplysninger nemt og sikkert

Hvis du har læst med fra toppen og har mistet pusten over udfordringerne ved at arbejde med GDPR og personlige data, så er du ikke alene.

Heldigvis findes der en række gode løsninger til de forretningsmæssige udfordringer ved databehandling.

Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.

For virksomheder er der en række fordele ved at bruge Meo:

Onboarding

Ombord dine kunder digitalt på sikre kanaler.

Validering

Opsæt dine egne krav til validering af oplysninger.

Dokumentation

Et komplet revisionsspor og oversigt over de udførte handlinger og samtykke til behandling.

Forarbejdning

Med Meo overholder du alle juridiske krav, både GDPR og AML.

Artikel

Databeskyttelse: Sådan beskytter du dine kunders personlige data (og overholder GDPR)

Virksomheder, der behandler personoplysninger, skal beskytte disse data. Datasikkerhed er afgørende i finanssektoren, men også nødvendigt for alle, der håndterer data.

En forretningsforpligtelse

Virksomheder, der behandler personoplysninger og oplysninger, er forpligtet til at beskytte disse data. Datasikkerhed er en grundlæggende forudsætning, hvis du arbejder inden for finansielle tjenester eller sektor - men det er også en nødvendighed, hvis du håndterer eller behandler nogen form for data.

I denne artikel forklarer vi:

Hvad er databeskyttelse?
Teknisk databeskyttelse
Organisatorisk databeskyttelse
Sådan håndteres brud på databeskyttelse

Med Meo kan du forenkle processen med at beskytte dine kunders personlige data — fra første kontakt til slutningen af dit forretningsforhold. Vores løsning sikrer, at du overholder GDPR og love og regler om bekæmpelse af hvidvaskning af penge (AML) i hele EU.

Læs mere om platformen

Hvad er databeskyttelse?

Databeskyttelse er en samlet betegnelse for alle sikkerhedsforanstaltninger og sikkerhedsforanstaltninger, der beskytter dine egne - og dine kunders - data.

Alle virksomheder i EU er i henhold til GDPR (General Data Protection Regulation) forpligtet til at beskytte deres kunders, medarbejderes og andre partneres data — herunder deres personoplysninger. Dette gælder både interne (personer i organisationen) og eksterne (for eksempel hackere) parter.

Det er op til virksomheden selv at implementere tilstrækkelige sikkerhedsforanstaltninger, der beskytter data. Disse sikkerhedsforanstaltninger kategoriseres normalt som enten:

Tekniske sikkerhedsforanstaltninger eller forholdsregler
Organisatoriske sikkerhedsforanstaltninger eller forholdsregler

Den passende grad eller omfang af sådanne foranstaltninger for din virksomhed er op til dig. Dette kræver blandt andet, at du laver en Konsekvensanalyse vedrørende databeskyttelse (DPIA) og en konsekvensanalyse af din databeskyttelse. Du kan finde en skabelon til en konsekvensanalyse vedrørende databeskyttelse (DPIA) på GDPR.EU.

Desuden er det vigtigt, at du kan dokument at du har installeret eller implementeret de nødvendige foranstaltninger, og at du efterfølgende og regelmæssigt vurderer, om de er tilstrækkelige til at beskytte de personlige oplysninger, du behandler.

Der findes en række internationalt anerkendte standarder for databeskyttelse, såsom:

ISO 29151
ISO 29134
ISO 27001

De kan læses fuldt ud på Den Internationale Standardiseringsorganisations hjemmeside.

Som dataansvarlig og som databehandler Det er vigtigt, at selvom du følger standarderne og retningslinjerne, er dette ikke synonymt med overholdelse af GDPR. Derfor er det vigtigt, at du har en systematisk, professionel og struktureret tilgang til jobbet. Hvis du behandler følsomme personoplysninger („særlig kategori af personoplysninger“), kan det være nødvendigt at tilføje eller udvide med efterfølgende beskyttelsesforanstaltninger.

Teknisk databeskyttelse

Teknisk databeskyttelse og sikkerhedsforanstaltninger er alle former for sikkerhedsforanstaltninger, der er afhængige af digitale værktøjer og it-infrastruktur. Det findes overvejende på computere og servere.

Dette kan for eksempel være:

Firewalls
Adgangskoder
2-faktor godkendelse
Kryptering
Logning af datahåndtering
Forskellige administrative roller
Lagring af data i niveauer (så et brud ikke giver adgang til alle data)
Anti-virus
Sikkerhedskopiering

Organisatorisk databeskyttelse

Organisatorisk databeskyttelse og sikkerhedsforanstaltninger er den type databeskyttelse, der involverer mennesker og processer. Data sikres ved at uddanne medarbejdere og følge retningslinjer, der forbyder uplanlagte fejl eller forsætlige brud på personoplysninger.

Dette udtryk gælder for:

Procedurer for databehandling
Klar fordeling af roller og adgang
Sikkerhedskurser
Uddannelse af medarbejdere
Risiko- og konsekvensvurderinger
Handlingsplaner for brud på personoplysninger

Sådan håndteres brud på databeskyttelse

Ingen databeskyttelse er fejlsikker og idiotsikker.

Dette anerkendes også af selve GDPR og af de fleste af de tilsynsmyndigheder, der er ansvarlige for at håndhæve den i EU.

For at minimere skaden ved et brud er det vigtigt, at du har en klar handlingsplan for, hvornår du måske har mistanke om, at der er sket et brud på din sikkerhed. Dette omfatter, men er ikke begrænset til, en klar ansvarsfordeling mellem dataansvarlig og databehandler, hvordan du rapporterer potentielle overtrædelser til kunder, og klare retningslinjer for, hvordan du rapporterer overtrædelser til de relevante tilsynsmyndigheder.

Med Meo får du AML- og GDPR-kompatibel databeskyttelse

Med Meo får du en softwareplatform, der beskytter dine kunders data og sikrer, at du overholder love og regler om bekæmpelse af hvidvaskning af penge (AML).

Desuden hjælper platformen dig med at bekræfte dine kunders identitet, så du overholder KYC og CDD. Få mere information om vores sikkerhed ved at læse vores Hvidbog om sikkerhed.

Casestudie

Beskyttelse af følsomme og personlige data

DANDERS & MORE Advokatfirma udmærker sig i compliance og kundeservice med Meos platform, hvilket sikrer overholdelse af GDPR og AML, samtidig med at KYC-processer strømlines, styrkes revisionsberedskabet og kundernes tillid.

Overensstemmende håndtering af kunders personlige data har stor betydning

DANDERS & MORE var det første danske advokatfirma, der implementerede Meo-platformen. Som mange andre virksomheder var ny lovgivning om behandling af personoplysninger og bekæmpelse af hvidvaskning af penge den udløsende faktor. Siden da har DANDERS & MORE fundet, at platformen er nyttig ud over deres oprindelige behov.

„Det er yderst vigtigt for os, at vi til enhver tid er klar til at gennemgå en revision uden bemærkninger. Derfor har vores primære motivation i søgningen efter en platform været at sikre overholdelse af persondata- og hvidvasklovgivningen, som løbende udvikler sig og bliver stadig strengere. Meo var det oplagte valg for os som den eneste egnede platform til at imødekomme vores forskellige behov,“ siger Majken Korsgaars, advokat, partner og medejer af Danders & More.

I dag modtager mange virksomheder e-mails med uopfordrede applikationer, der indeholder følsomme personoplysninger. I nogle tilfælde vedhæfter ansøgere endda en kopi af deres pas eller kørekort, uvidende om, at virksomhederne risikerer at bryde loven, hvis de ikke sletter disse e-mails. Det er et af problemerne med at modtage e-mails, der indeholder følsomme eller fortrolige personlige oplysninger. Et andet problem er, at virksomheden ikke kan sikre, at ansøgere og klienter sender følsomme oplysninger via en sikker og krypteret e-mail-forbindelse.

Afdækning af ejerkæden

Alt dette var - og er stadig - af enorm betydning for DANDERS & MORE. Af denne grund hjælper valget af Meos platform partnerne med at sove fredeligt om natten. Med implementeringen af Meos platform har DANDERS & MORE nu en ligetil KYC-procedure. Hvis en klient skal sende følsomme eller fortrolige oplysninger via e-mail, slettes de straks. I stedet sender Compliance Officer klienten et link til systemet, som vil guide den nye bruger til at uploade ID og anden relevant dokumentation - alt dette uden involvering fra advokatfirmaet. Men når klienten er færdig med at uploade dokumenter til Meos sikre platform, vil de udpegede personer hos DANDERS & MORE modtage en meddelelse.

„Platformen er også nyttig til at indhente og kategorisere al nødvendig dokumentation for at afdække ejerskabs- og kontrolstrukturen (ejerkæden) for erhvervskunder, hvilket giver os sikkerhed for, at vi ikke utilsigtet overtræder AML- og GDPR-lovgivningen. Denne sikkerhed er afgørende i vores branche. Vi kan ikke undervurdere betydningen af at sende en besked til kunderne om, at vi på vagt beskytter deres følsomme personoplysninger, og det gør vi med pålidelige procedurer, siger Majken Korsgaard.

Et bedre forhold til kunderne

I DANDERS & MORE har partnerne udpeget en compliance officer med ansvar for kundekontakten, når KYC-dokumentation skal indsamles. Selvom det ikke er nødvendigt, fordi platformen er enkel at navigere, har den sine fordele.

„Fordelen ved at have en Compliance Officer og et system som Meo er, at mine kolleger og jeg kan fokusere på at rådgive vores kunder. Vi behøver ikke bruge tid på at skubbe og minde klienter om at uploade manglende dokumentation. Nu hvor Meo-platformen og min compliance-kollega tager sig af dette, kan jeg opbygge et godt kundeforhold uden afbrydelser på grund af KYC-procedurer“, siger Majken Korsgaard.

Responsive over for ændringsforslag

I begyndelsen af partnerskabet med Meo havde DANDERS & MORE et par ønsker om platformens udvikling for at lette advokaternes daglige drift.

“ Vi har haft mulighed for at sætte vores præg på platformen, og Meo har altid været meget imødekommende over for vores ønsker. De er nemme at arbejde med, og de har vist sig dygtige og teknisk kyndige, når de løser alle vores problemer for at imødekomme vores behov“, siger Majken Korsgaard.

Nogle virksomheder kan stille spørgsmålstegn ved, om de vil samarbejde med en ny virksomhed på et så vigtigt område, men Majken Korsgaard blev hurtigt overbevist.

Dyb indsigt hos Meo

“ Jeg havde et langt møde med Christian Visti Larsen, som forklarede om sin baggrund. Det er overbevisende at arbejde med mennesker, der er lige så vidende om GDPR-rammen, som han er. Han har arbejdet med det i årevis, hvilket overbeviste partnerne og mig om platformen. I Meo beskæftiger vi os med meget dygtige mennesker, der kender kravene til en platform og anerkender de udfordringer, den stiller. De er 100% vidende om alle relevante emner, hvilket giver et fremragende samarbejde“, siger Majken Korsgaard.

Siden DANDERS & MORE er begyndt at bruge platformen, er den blevet et omdrejningspunkt for at arbejde med kunder. Som følge heraf har advokatfirmaet udvidet sin anvendelse til at administrere finansieringsansøgninger og til at modtage jobansøgninger.

„Vi var det første advokatfirma, der begyndte at bruge platformen, og vi har ikke fortrudt det et sekund“, siger Majken Korsgaard.

‍

Artikel

Databehandling og GDPR

GDPR (General Data Protection Regulation) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.

Databehandling og overholdelse

GDPR (Generel databeskyttelsesforordning) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.

I denne artikel dykker vi dybt ned i databehandling og forklarer:

Hvad er databehandling, og hvad betragtes som følsomme data?
Hvilke krav stiller GDPR til din databehandling?
Hvordan behandler du personoplysninger korrekt?
Hvad er der i en databehandleraftale?
Hvad er forskellen mellem en databehandler og en databehandler?

Hvad er databehandling, og hvad er følsomme data?

Databehandling er enhver aktivitet, hvor personoplysninger indsamles, registreres, lagres, analyseres, overføres, slettes, sælges osv. Begrebet defineres så bredt, at enhver kontakt med personlige oplysninger grundlæggende betragtes som databehandling.

Data defineres i dette tilfælde som formaliseret information, der typisk håndteres af en maskine eller en computer.

De fleste virksomheder og organisationer vil, i en eller anden form, håndtere eller behandle en eller anden type data, oftest Personlige data. GDPR definerer personoplysninger som: „enhver information vedrørende en identificeret eller identificerbar fysisk person („registreret“); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

Personoplysninger er typisk opdelt i to kategorier. Nogle lande har også en tredje kategori, mens andre anser kategorien „Fortrolige personoplysninger“ for at være af samme kategori som følsomme data.

Generelle eller almindelige personoplysninger: navne, e-mail-adresser, bopæl, ansættelsessted og andre faktuelle oplysninger, der er offentligt tilgængelige.
Følsomme personoplysninger (“ Særlig kategori af personoplysninger „): Sundhedsjournaler, oplysninger om forsøgspersonens etnicitet, religion eller seksuelle identitet. Disse data er mere personlige og bør derfor håndteres med større omhu.
Fortrolige personoplysninger: CPR-numre, strafferegistre og andre klassificerede oplysninger, der skal reguleres særskilt.

Hvilke krav stiller GDPR til din databehandling?

Ifølge GDPR Alle personoplysninger skal håndteres og behandles særligt og følsomt. Jo mere personlige eller private oplysningerne er, jo flere regler og forskrifter skal du overholde under behandlingen af dataene.

Hvis du vil vide mere om, hvordan du skal beskytte dine kunders personlige data, kan du læse vores artikel om datasikkerhed.

Her er et konkret eksempel på, hvad GDPR kræver af dig, når du behandler data: En virksomhed skal kontrollere, om et givet navn rent faktisk tilhører klienten. Dette er et krav under KYC som defineret i Direktivet om bekæmpelse af hvidvask af penge. Her skal du bruge autoritative datakilder, der bekræfter troværdigheden af oplysningerne. Du kan for eksempel gøre dette ved at se en kopi af deres pas eller kørekort. Du skal derefter dokumentere, at du har bekræftet deres identitet. Al denne databehandling skal ske i overensstemmelse med GDPR.

Er der forskel på databehandling og databehandling?

Datahåndtering og databehandling bruges ofte om hverandre.

Man kan dog sige, at databehandling er den overordnede betegnelse for både datahåndtering og dataudnyttelse.

Datahåndtering kan ses som en næsten passiv eller ikke-transformativ behandling af data, hvorimod du med dataudnyttelse gør noget med disse data, såsom at analysere, slette eller ændre dem.

Hvordan behandler du personoplysninger korrekt?

For at kunne behandle personoplysninger korrekt har du brug for:

Den lovlig ret og en legitimt formål
Samtykke fra den person, hvis personoplysninger du behandler
EN databehandleraftale

EN lovlig ret og en legitimt formål er forudsætninger, når du behandler personoplysninger. Dine rettigheder er begrænset af, om du behandler generelle eller følsomme personoplysninger.

Du har brug for samtykke fra personen hvis personoplysninger du behandler. Dette skal opfylde en række krav: det skal være frivilligt, begrænset eller specifikt, informeret og utvetydigt. Desuden skal du dokumentere og bekræfte, at du har indhentet samtykket korrekt.

Der er undtagelser for, hvornår en virksomhed kan få samtykke. Dette kan være, hvis det for eksempel er nødvendigt af omhu og due diligence over for personen, eller hvis der er en legitim grund til databehandleren, der ikke afløses af subjektets egne interesser.

Du kan læse mere om samtykke på GDPR.eu.

For det tredje har virksomhederne brug for en databehandleraftale. Dette er en kontrakt, der indeholder instruktioner til databehandleren om, hvordan oplysningerne skal behandles. Denne aftale er mellem datahåndtering og databehandler.

Hvad er der i en databehandleraftale?

En databehandleraftale skal give databehandleren klare instruktioner om, hvordan oplysningerne skal håndteres og behandles. Det er et juridisk bindende dokument, der skal være skriftligt og opbevares elektronisk.

Formålet med aftalen er at sikre, at personoplysningerne behandles og behandles ansvarligt og sikkert. Det er også vigtigt, at den indeholder krav til, hvordan og hvornår man skal kontakte dataadministratoren, hvis der er mistanke om sikkerhedsbrud eller misbrug. Hvis din virksomhed er databehandler, er det dit ansvar for at informere dataadministratoren om mistanke om misbrug eller brud på datasikkerheden.

Som en del af instruktionerne skal databehandleren også være forpligtet til at udføre årlige eller efter aftale revisioner for at dokumentere, at de følger instruktionerne og gældende lovgivning. Dette kan ske gennem en revisionsrapport, der skal certificeres af en ekstern revisor.

Du kan finde en skabelon til en databehandleraftale på GDPR.eu.

Hvad er forskellen mellem en databehandler og en databehandler?

Databehandleren og databehandleren er ikke den samme person.

Datahåndtereren er den part, der bestemmer, hvilke data der skal behandles, til hvilket formål og ved hjælp af hvilke værktøjer. Datahåndtereren definerer grundreglerne for, hvordan dataene skal behandles.

På den anden side er databehandleren den part, der udfører selve behandlingen på vegne af databehandleren.

Det er vigtigt at adskille de to, fordi de har forskellige krav. Den ene part, databehandleren, sikrer, at databehandlingen er i overensstemmelse med GDPR, mens den anden part, databehandleren, påtager sig ansvaret for at handle i overensstemmelse med de givne instruktioner.

Nemmere databehandling med Meo

Med Meo kan du nemt finde de oplysninger, du har brug for om dine kunder ved hjælp af en simpel søgning. Og personoplysninger slettes eller arkiveres korrekt, når en forretningsrelation slutter.

Platformen sørger for, at du overholder GDPR og gør det nemt at håndtere data for:

Onboarding

Ombord dine kunder ved hjælp af sikre kanaler.

Validering

Bestem dine krav til validering af oplysninger.

Dokumentation

Fuld log og sporing af handlinger og adgang.

Artikel

Hvad er KYC (Know Your Customer)?

KYC (Kend din kunde) handler om at kende dine kunder og klienter, så din virksomhed kan undgå at blive involveret i organisationer, der begår forbrydelser, hvidvasker penge eller finansierer terrorisme.

KYC (Kend din kunde)

KYC handler om at kende dine kunder og klienter, så din virksomhed kan undgå at blive involveret i organisationer, der begår forbrydelser, hvidvasker penge eller finansierer terrorisme.

I denne artikel forklarer vi:

Hvad er KYC (Know Your Customer)?
Hvilken type virksomheder er underlagt love og regler om bekæmpelse af hvidvaskning af penge (AML) samt KYC?
Hvilke krav har folkeretten - herunder EU's direktiv om bekæmpelse af hvidvaskning af penge - til KYC?
Hvordan kan din virksomhed sikre, at du kender dine kunder og kunder?

Med Meo får du en grundig og brugervenlig Know Your Customer platform, der - fra første kontakt med din klient til kundeforholdet udløber - kan verificere og dokumentere dine kunders identitet og udføre en KYC-check i realtid.

Læs mere om platformen her eller kontakt os for at høre mere om, hvordan vi kan hjælpe din virksomhed med KYC-overholdelse.

Hvad er KYC?

KYC er en forkortelse for „Know Your Customer“.

Udtrykket bruges især i finansiering, fordi banker, regnskabsfirmaer, advokater og private equity-fonde alle skal dokumentere deres kunders identitet, så regeringer. Grundlæggende skal det dokumenteres, hvor pengene kommer fra og går til.

Dette er beregnet til at forbyde eller stå i vejen for hvidvaskning af penge og sorte penge, der er opnået med kriminelle midler. Hvis de ikke er i stand til at overvåge eller revidere pengestrømmen, kan det undergrave tilliden og tilliden til finansielle organisationer og virksomheder, hvis forretning er afhængig af aktier, investeringer og det større finansielle marked.

Hvis du ikke opfylder kravene fra KYC, kan det resultere i bøder, sanktioner, sanktioner og endda fængselsstraffe. Det nøjagtige beløb eller omfang afhænger af lokale love og regler. EN 2020 Financial Times-artikel fandt ud af, at: „[...] AML-bøder i de første seks måneder af 2020 nåede i alt $706m sammenlignet med sidste års samlede beløb på $444 mio.“

Hvilke virksomheder og organisationer er underlagt direktivet om bekæmpelse af hvidvaskning af penge (AML) og KYC?

Mange forskellige typer virksomheder, herunder alle virksomheder og organisationer, der er involveret i finans og den finansielle sektor, er underlagt love og regler om bekæmpelse af hvidvaskning af penge - og derfor KYC.

Dette gælder, men er ikke begrænset til:

Banker, finansielle institutter og handelsbanker
Kredit-, valuta- og værdipapirvirksomhed
Fonde og aktiemæglere
Udlånsfirmaer
Udbydere af finansiel leasing
Forsikringsselskaber
Revisorer og revisionsfirmaer
Grundlæggere af virksomheder
Advokater og advokater
Ejendomsmæglere
Virksomheder, der handler med værdigenstande, hvis værdi overstiger €15.000

Hvilke krav har loven og forskrifterne med hensyn til KYC?

De overordnede direktiver og regler vedrørende kendskab til din kunde er bedst eksemplificeret i europæisk lovgivning ved Direktivet om bekæmpelse af hvidvaskning af penge (AML). Det hedder blandt andet, at virksomheder skal foretage risikovurderinger, verificere deres kunders eller kunders identitet og rapportere, hvis de har mistanke om hvidvaskning af penge eller andre former for svig.

Risikovurderinger er strukturerede procedurer, hvor du vurderer risikoen så objektivt som muligt og henvender dig til hver klient individuelt, i stedet for at behandle dem ensartet.

Det betyder, at du er forpligtet til at have klare retningslinjer og policer på plads vedrørende risikoen for ufrivilligt at blive involveret i hvidvaskning af penge og økonomisk kriminalitet samt støtte dine medarbejdere med rådgivning og veletablerede procedurer for, hvornår og hvordan du er forpligtet til at anmelde hvidvaskning af penge, hvis du ikke er i stand til at tilbagevise dine mistanker.

Derudover skal du være i stand til dokumentere din kontrol og verifikationer af blandt andet dine kunders identitet. Det er nytteløst at udføre en revision, hvis du ikke er i stand til at dokumentere dine resultater bagefter. En typisk fejl, der ofte foretages i denne tilgang, er, når du manuelt vurderer kopier af pas og kørekort. Her er det nødvendigt ikke kun at gennemgå dokumenterne for at fastslå deres legitimitet, men også dokumentere, at du har udført verifikationen.

Med en KYC-platform som Meo kan du automatisere meget af processen, samtidig med at du dokumenterer, at du overholder GDPR og andre databeskyttelseslove, mens du håndterer personlige data.

Hvordan udfører du en revision eller kontrol af din kundes identitet?

Din kontrol og verifikationskontrol af dine kunders identitet er bygget på din risikovurdering og identificeret risiko. Derefter kan du foretage en revision under streng eller afslappet procedure.

Strenge procedurer for fysiske personer kan blandt andet være en anmodning om kopi af deres pas, et fysisk møde eller yderligere krav vedrørende vilkårene for din forventede fælles forretning.

Hvis det drejer sig om en juridisk enhed, kan du anmode om stiftelsesdokumenter, vedtægter og stille mere omfattende krav til beskrivelsen af forretningsomfanget.

En KYC-kontrol kræver hentning af personlige data, der dokumenterer klientens identitet. Som udgangspunkt inkluderer dette navn og personnummer eller LEI (juridisk enhedsidentifikator), afhængigt af om du vurderer en person eller en juridisk enhed. Med denne metode kan du verificere og kontrollere din klients identitet — og dermed overholde KYC-standarder.

Disse identificerende oplysninger skal kontrolleres via en uafhængig og troværdig kilde. Det betyder, at dokumenterne skal verificeres og sammenlignes med andre registre eller kilder, der kan validere adresser, pas eller navne.

For både personer og juridiske enheder skal du - hvis det er relevant - indhente oplysninger om formålet med forretningsforetagendet og omfanget af din relation.

Hvor ofte skal du tjekke din kundes identitet?

Du skal kontrollere din klients identitet i starten af hvert forretningsforetagende - og hvis der er ændringer i din klients omstændigheder, såvel som på passende tidspunkter.

Med højrisikokunder kan proceduren gentages en gang om året, hvorimod med lavrisikokunder kan en check hvert femte år være tilstrækkelig.

Omfanget af KYC-kontrollen afhænger af kundens risikovurdering. I tilfælde, hvor du vurderer, at der er en lav risiko for hvidvaskning af penge, kan du udføre en mere slap KYC-check. Du kan for eksempel vælge ikke at få opdateret dokumentation, forudsat at de identifikationspapirer (ID), du oprindeligt modtog, stadig er juridisk gyldige.

Husk at tjekke for PEP (Political Exposed Person)

Som følge af det seneste direktiv om bekæmpelse af hvidvaskning af penge fra EU er du nu også forpligtet til at afgøre, om personen er en PEP (politisk eksponeret person)

Politisk udsatte personer er personer, hvis politiske position eller relation gør dem til et højrisikomål for hvidvaskning af penge. Det skyldes, at de er mere tilbøjelige til at blive udsat for afpresning, bestikkelse eller på anden måde (frivillig og tvunget) blive involveret i økonomiske forbrydelser.

Dette kan gøres ved krydshenvisninger med offentligt tilgængelige oplysninger og databaser, også kendt som Pep-lister.

Det er vigtigt at være opmærksom på, at disse lister ikke er tilstrækkelige til at indikere, om en person betragtes som en PEP - de er kun lister over de mennesker, som lokale myndigheder har rapporteret som eksplicit politisk eksponerede.

Ægtefæller, forretningspartnere osv. til personer på PEP-listerne betragtes også som PEP'er. Det gør det især vanskeligt for virksomheder at overholde PEP-kravene uden at bruge eksterne datakilder, der specialiserer sig i at opretholde opdaterede lister over alle personer, der kan defineres som PEP.

Meo arbejder sammen med en række eksterne dataleverandører, der har specialiseret sig i at have opdaterede PEP-lister, der dækker en lang række nationaliteter og sektorer

Artikel

Customer Due Diligence - Hvad er CDD og dens forbindelse til AML?

CDD, eller Customer Due Diligence, er et vigtigt koncept at kende - især for virksomheder, der er underlagt love, regler og direktiver mod hvidvaskning af penge. Hvad er CDD i bankvirksomhed for eksempel?

Introduktion til CDD

Efter EU's seneste direktiv om hvidvaskning af penge (AML 5), der blev udstedt i 2020, har der været en række ændringer i lovgivningen om hvidvaskning af penge i Europa. Den største ændring er, at virksomhederne blev tvunget til at gå over til en risikovurderingsmodel mod hvidvaskning af penge (AML), der kræver mere af virksomhederne og deres evne til korrekt at vurdere deres kunder og kunderelationer - og det er her CDD kommer ind i billedet.

I denne artikel forklarer vi grundigt, hvad CDD er - og besvarer de hyppigst stillede spørgsmål om emnet.

Hvad er CDD?

CDD er et forkortelse for 'Customer Due Diligence'.

Udtrykket gælder for alle procedurer, som en virksomhed bruger til at verificere identiteten af deres kunder eller kunder, samt vurdere deres baggrundsinformation og risikoniveau. En række af disse aktiviteter skal gennemføres, før den potentielle kunde faktisk underskriver en juridisk kontrakt og bliver klient.

Begge dele individer og andre virksomheder kan være genstand for en CDD-undersøgelse.

Hvorfor er Customer Due Diligence vigtigt?

Der er en hel del gode grunde til, at virksomheder har korrekte Customer Due Diligence procedurer og tjeklister på plads, når du har brug for at vurdere potentielle kunder:

For at beskytte din virksomhed mod potentielle risici.
At træffe de bedst mulige beslutninger som virksomhed.
For at overholde gældende love og regler.
At beskytte virksomheden mod bedrag og fejlbehandling, såsom identitetstyveri.
At hjælpe virksomheden med at identificere usædvanlig adfærd hos virksomhedens kunder.

Af disse grunde er en procedure vedrørende Customer Due Diligence et nødvendigt redskab for mange virksomheder, især virksomheder, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge.

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven).

Tjekliste for kundedue diligence

Hvad er CDD, og hvordan håndterer du denne proces? CDD-data består af oplysninger om en kunde eller klient, der gør det muligt at vurdere, i hvilket omfang kunden kan sætte virksomheden i fare for at blive misbrugt til hvidvaskning af penge eller finansiering af terrorisme.

Disse data kan bl.a. bestå af:

1. Klientens identitet

Navne, fotos, adresser og fødselsattester kan alle bruges til at identificere en klient.

2. Baggrundskontrol

En del af den indledende CDD vedrører også PEP-screeninger, der vurderer, om klienten er en såkaldt PEP (politisk eksponeret person). Det kan f.eks. være at undersøge, om klienten har eller er involveret i skandaler eller andre bekymrende aktiviteter (oplysninger, der typisk er offentligt tilgængelige). Dette kaldes Adverse Media Screening.

3. Ejerskab

Hvis din klient er en virksomhed eller organisation, er det vigtigt at fastslå ejerskabet af virksomhederne: hvem ejer virksomheden? Hvis ejerskabet deles, hvem ejer så hvor mange aktier i virksomheden?

4. Kundeforhold

Det er lige så vigtigt at forstå og få et overblik over det faglige forhold mellem dig og din potentielle kunde. Hvordan er dette forhold? Hvad er formålet med partnerskabet?

Forbedret due diligence (EDD) for højrisikokunder

Visse kunder - for eksempel PEP'er - har en højere risikoprofil end andre. I disse tilfælde er det vigtigt at implementere procedurer defineret som Enhanced Due Diligence (EDD).

Med Enhanced Due Diligence undersøger du den potentielle kundes:

Juridiske anliggender

Er personen eller virksomheden tidligere blevet dømt, eller involveret i en forbrydelse? Er der nogen kontraktforhold, der skal redegøres for? Spørgsmål som disse illustrerer vigtigheden af Customer Due Diligence og Enhanced Due Diligence.

Finanser og skatter

Hvordan er deres årsregnskaber? Er der tydelige tegn på ulovlige aktiviteter?

Aktier

Stemmer alt sammen, når det kommer til personens/virksomhedernes fysiske aktier og varer, herunder kontorer og produktionsfaciliteter?

Løbende kontrol og vurdering

Du kan implementere en forbedret, løbende kontrol og overvågning af kundens forretning.

Hvem kan drage fordel af en Customer Due Diligence tjekliste?

Der er forskellige typer virksomheder og organisationer, der kan drage fordel af at bruge Customer Due Diligence tjeklister som en del af deres KYC-processer. Disse omfatter blandt andet:

Virksomheder, der beskæftiger sig med kunder generelt
Sådanne virksomheder kan drage fordel af at have en CDD-tjekliste for at hjælpe dem med at undgå juridiske eller økonomiske problemer, der kan opstå ved ikke at gennemføre grundig due diligence på kunderne. Ved at følge trinene i ovenstående tjekliste kan virksomheden sikre, at de nødvendige forholdsregler træffes for at undgå potentielle risici og problemer.

Virksomheder forpligtet til at overholde AML-reglerne
Forordninger om bekæmpelse af hvidvaskning af penge (AML) kræver, at virksomhederne indfører yderligere foranstaltninger for at forhindre finansiering af kriminelle aktiviteter. En del af disse lovgivningsmæssige krav omfatter færdiggørelsen af CCD. Ved at bruge en tjekliste kan virksomheder sikre sig, at de løbende overholder AML-reglerne.

Enhver organisation eller finansiel institution, der ønsker at beskytte sig mod de finansielle risici, der er forbundet med kunderne

Dokumentation til at hjælpe virksomheder med at identificere og vurdere potentielle trusler fra deres kunder kan være ret gavnligt. Ved at indføre og sikre passende foranstaltninger til at afbøde disse risici kan virksomhederne beskytte sig mod eventuelle økonomiske tab, der måtte opstå som følge heraf.

Hvad er risikoen ved ikke at udfylde en Customer Due Diligence tjekliste?

Først og fremmest kan din virksomhed ende med at være ansvarlig for eventuelle tab, som den anden part har lidt som følge af din virksomheds uagtsomhed

For det andet kan din virksomhed blive genstand for civile eller strafferetlige sanktioner, hvis det opdages, at du har deltaget i hvidvaskning af penge eller anden økonomisk kriminalitet, selvom det ubevidst.

For det tredje kan din virksomhed gå glip af vigtige oplysninger om den anden part, der kan være afgørende for en beslutningsproces.

Endelig kan din virksomhed blive sortlistet for manglende overholdelse af lovgivningsmæssige krav eller af finansielle institutioner, hvis det viser sig, at forretningen er blevet udført med enkeltpersoner eller enheder i højrisikokategorier.

Customer Due Diligence i forbindelse med hvidvaskning af penge

CDD-procedurer er uvurderlige for virksomheder, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge (AML), da de er nødvendige for at gennemføre de enkelte kunders risikovurderinger.

I mange tilfælde er der behov for både CDD (Customer Due Diligence) og KYC (Kend din kunde) oplysninger for at få et ordentligt overblik over klientens risikoprofil og samtidig verificere dennes identitet“. Virksomhedens KYC-procedure beskriver, hvilke opgaver der er nødvendige for at udføre, før virksomheden troværdigt kan sige, at de kender deres klient.

For eksempel er CDD- og KYC-procedurer nødvendige for:

1. Nye kunder

Før en potentiel ny kunde bliver en faktisk kunde, skal deres identitet verificeres og gennemgå en risikovurdering.

2. Enkelttransaktioner

Virksomheder i den finansielle sektor såvel som banker er forpligtet til at undersøge og evaluere, om kunder udviser mistænkelig adfærd. Dette kan f.eks. være, når der foretages en betydelig transaktion, eller når man handler med højrisikolande.

3. Mistanke om hvidvaskning af penge

En gennemgående baggrundskontrol af klienten er også nødvendig, hvis du har mistanke om, at vedkommende kan være involveret i kriminelle aktiviteter, såsom hvidvaskning af penge.

4. Manglende eller fejlbehæftet dokumentation

Hvis en klient ikke er i stand til at levere gyldige eller godkendte identitetsdokumenter, skal virksomheden udføre en CDD-kontrol.

Strømlin din Customer Due Diligence procedure med Meo

Meo er en softwareplatform udviklet til at håndtere information og data om dine kunder på en sikker og centraliseret måde.

Med Meo får du:

En sikker og automatiseret onboarding

Du kan definere og få de nødvendige oplysninger fra dine kunder - direkte i platformen.

Et omfattende overblik

Alle relevante oplysninger om dine kunder gemmes i en brugervenlig platform. Det giver dig et stort overblik og sikrer, at du overholder GDPR. Du kan også tagge klienter for nem organisering.

Automatiserede processer

Med Meo er det muligt at integrere processer, der automatisk screener dine kunder mod PEP-lister.

Hvad er nogle af advarselsflagene, når det kommer til CDD?

Advarselsflag, der vises under en KYC-kontrol (Kend Your Customer), bør undersøges nøje, inden der træffes beslutning om, hvorvidt forretningsforholdet skal indledes eller fortsættes. Disse advarselsflag kan variere fra virksomhed til virksomhed og branche til branche, men almindelige advarselsflag, man skal passe på under en CDD-kontrol, inkluderer, for eksempel

De angivne kundeoplysninger stemmer ikke overens med den dokumentation, der er tilgængelig i revisionen
Hvis ejerbilledet er uklart eller omfatter udenlandske virksomheder og/eller personer
Der mangler registrering af en retmæssig ejer
En eller flere af selskabets repræsentanter er på PEP- eller sanktionslister
Hvis virksomhedens repræsentanter er involveret i andre virksomheder, der vurderes som højrisikofyldte
Hvis den branche, hvor virksomheden opererer, er særlig tilbøjelig til hvidvaskning af penge, såsom handel med kryptokurrency eller bookmaking og væddemål
Hvis virksomhedens aktiviteter omfatter kontanthåndtering

Og listen fortsætter og fortsætter. Det vigtigste er dog at være opmærksom på og lydhør over for kundeinformation og adfærd for at undgå unødvendig risiko.

Hvem er Meo?

Hvem er vi hos Meo, og hvorfor hjælper vi med CDD inden for bank og andre organisationer og områder?

Hos Meo arbejder vi med KYC-procedurer og Customer Due Diligence i flere forskellige institutioner og organisationer. Vores tidligere nævnte software-as-a-service hjælper med at strømline disse processer og håndtere data og udvekslinger korrekt og sikkert i overensstemmelse med GDPR.

Vi har gennem mange år arbejdet med flere typer organisationer med alt fra AML, datasikkerhed, compliance checks, PEP-lister og generel videndeling inden for RegTech. Vores digitale løsning hjælper med effektiv CDD ved at kontrollere Pep-lister og grundige baggrundskontroller.

Du er meget velkommen til at kontakte os for at høre mere om vores software og digitale løsninger samt vores onboarding. Tilmeld dig vores nyhedsbrev, hvor vi jævnligt sender information og videndeling om alt fra 'hvad er CDD og hvordan man bliver opmærksom på hvidvaskning af penge'.

Artikel

Hvad er en PEP (politisk eksponeret person)?

PEP'er, eller politisk eksponerede personer, er personer, der er involveret i politik eller har et højt embede i regeringer, bare for at nævne et par eksempler.

Lær, hvad en politisk eksponeret personliste er.

PEP'er, eller politisk eksponerede personer, er personer, der er involveret i politik eller har et højt embede i regeringer, bare for at nævne et par eksempler.

Hvis din virksomhed er underlagt Bekæmpelse af hvidvaskning af penge love og regler, det er vigtigt, at du kan afgøre, om du er involveret i PEP'er, da de ofte kommer med en højere risiko for hvidvaskning af penge og finansiering af terrorisme.

På denne side forsøger vi at besvare 'hvad er en PEP', og alle andre spørgsmål vedrørende listen over politisk eksponerede personer:

Hvad betyder en PEP (politisk eksponeret person)?
Hvordan fungerer en PEP-liste?
Hvad skal du gøre som virksomhed, hvis du har en kunde, der er en PEP?
Hvordan Meo-platformen kan hjælpe dig med at kontrollere dine kunders identitet og foretage PEP-screeninger.
Bekæmp økonomisk kriminalitet med grundige PEP-screeninger
Seneste ændringer i PEP-lovgivningen
Identifikation af PEP'er

Hvad er en PEP?

Hvad er betydningen af PEP? En PEP (politisk eksponeret person) er en person, der har et højtstående job i en regering eller en anden form for politisk stilling. Med andre ord er det en person, der besidder en bestemt form for politisk og institutionel magt.

På grund af denne magt betragtes de som høj risiko i forhold til hvidvaskning af penge, afpresning, bestikkelse og andre former for korruption - både frivillig og ufrivillig. Ægtefæller, familie og nære forretningspartnere betragtes også som PEP, da deres forhold kan udnyttes af kriminelle til at presse personen i magtpositionen.

Eksempler på PEP omfatter typisk:

Politikere
Ledere af regering eller stat
Dommere og medlemmer af retten
Højtstående medlemmer af Centralbanken
Ambassadører
Højtstående officerer i forsvarsstyrkerne
Ægtefæller og børn af de ovennævnte personer
Nære forretningspartnere og forbindelser mellem ovenstående personer

Direktivet om bekæmpelse af hvidvaskning af penge kræver, at alle virksomheder, der er omfattet af direktivet, skal være ekstra forsigtige, når de har kunder eller kunder, der er PEP'er - og udgør derfor en forhøjet risiko.

På grund af dette kan det være vanskeligt for virksomheder selv at vurdere, om en nuværende eller potentiel kunde er en PEP. Derfor har EU-regeringerne opstillet lister over nuværende og tidligere PEP'er, de såkaldte PEP-lister.

Hvad er en PEP-liste?

En PEP-liste er en oversigt over personer, der i øjeblikket eller tidligere er blevet klassificeret af EU som en politisk eksponeret person. Men hvad betyder en politisk eksponeret person?

Formålet med listen over politisk eksponerede personer er at gøre det lettere for virksomheder at vurdere, om deres kunder er udsat for forværrede omstændigheder. Hver europæisk regering har sin egen PEP-liste, som de opretholder.

Det er vigtigt at bemærke, at listerne ikke ses som tilstrækkeligt bevis for PEP-status. Det er muligt, at en person betragtes som en PEP på trods af at de ikke vises på listen, eller hvis de endnu ikke er tilføjet.

Det forhold, at listerne over politisk eksponerede personer er ufuldstændige — samt det faktum, at ægtefæller, nære forretningspartnere, blandt andre eksempler, også betragtes som PEP'er — gør det vanskeligt for virksomhederne at leve op til PEP-kravet uden at få adgang til eksterne datakilder, der har specialiseret sig i at føre opdaterede lister med alle personer defineret som PEP'er.

I disse tilfælde kan en platform som Meo hjælpe. Med vores AML-løsning kan du hurtigt og nemt udføre PEP-kontroller af kunder og kunder ved at screene en række PEP-lister over hele Europa.

Hvad skal du gøre som virksomhed, hvis din klient er en PEP?

Hvis du bliver involveret med en PEP-klient, skal du foretage en forbedret KYC-kontrol (hvilket betyder Kend din kunde) og implementere større tilsyn og flere revisioner af deres forretningsforetagende.

Hvordan du udfører en forbedret KYC-kontrol, kan du læse mere om i vores artikel om KYC (Kend din kunde).

Selve revisionen kan blandt andet bestå i, at din virksomhed undersøger deres finansielle transaktioner mere omhyggeligt samt evaluerer dit kundeforhold i forhold til deres aktuelle risikovurdering.

Meo gør det nemt at udføre en sikkerhedskontrol og krydshenvisning med PEP-lister
Med Meos platform kan du nemt bekræfte dine kunders identitet og krydsreference med en række veletablerede lister over politisk eksponerede personer.
Desuden sikrer vores platform, at dine kunders personlige data håndteres ansvarligt og i overensstemmelse med GDPR.
Se alle funktioner

Bekæmp økonomisk kriminalitet med grundige PEP-screeninger

Hvis du vil bekæmpe økonomisk kriminalitet, skal du være opmærksom på PEP-lister. Det er nødvendigt at være opmærksom på PEP'er, da det er vigtigt for medarbejdere og ledelse at være i stand til at identificere disse personer og håndtere dem korrekt og sikkert for at undgå økonomisk kriminalitet.

På verdensplan er bestikkelse og korruption store problemer, og der er mange eksempler på forsøg på at gøre netop dette mod PEP'er, derfor er der etableret fælles internationale standarder for at bekæmpe dem. Definitionen af PEP'er samt kravene til håndtering af PEP-transaktioner fastlægges ud fra internationale standarder og på erfaringer indsamlet gennem en årrække fra myndigheder over hele verden.

Seneste ændringer i PEP-lovgivningen

Et vigtigt element i de nye regler om bekæmpelse af hvidvaskning af penge er, at virksomhederne skal anvende en risikobaseret tilgang og foretage risikovurderinger af hvert enkelt kundeforhold. Dette gælder også reglerne om PEP'er.

Derudover skal viden og overvågning baseres på en risikovurdering, hvilket betyder, at virksomhederne skal styrke deres indsats og overvågning af PEP'er, der vides at have større risiko for eksponering for hvidvaskning af penge, herunder bestikkelse mv.

Yderligere procedurer for kundekontrol og yderligere overvågning skal udføres, hvis det enkelte selskab skønner det nødvendigt for at sikre fuld overholdelse af lovgivningen.

Identifikation af PEP'er

Regler om identifikation af PEP'er indføres som en forebyggende procedure og bør derfor ikke fortolkes således, at de stigmatiserer PEP'er som personer, der deltager i kriminelle aktiviteter. Virksomhederne har således ingen grund til at nægte at fortsætte et kundeforhold eller lukke eksisterende kundeforhold udelukkende på grund af, at en person er en PEP eller en nær associeret eller forretningspartner til en PEP.

PEP'er bør altid være opmærksomme på, at de og deres nære samarbejdspartnere og forretningspartnere til enhver tid kan blive bedt om at forklare eller dokumentere deres økonomi eller andre transaktioner.

Nærtstående parter og nære samarbejdspartnere

Nærtstående parter og nære partnere betragtes ikke som PEP'er udelukkende på grundlag af deres forhold til en PEP. De skal dog identificeres, fordi de kan drage fordel af eller blive udnyttet i forbindelse med hvidvaskning af penge, korruption eller bestikkelse.

Nærtstående parter

Definitionen af en nær slægtning til en PEP omfatter:

Forældre
Ægtefælle, samboer eller registreret partner
Børn og deres ægtefæller, samboere og/eller registrerede partnere

Dette betyder, at udtrykket ikke påvirker søskende eller stedbørn og stedforældre f.eks.

Nære partnere

Definitionen af nære forretningspartnere i en PEP omfatter:

En person, der er ejer af en virksomhed eller anden juridisk enhed sammen med en eller flere PEP'er.
En person, der har et tæt forretningsforhold til en eller flere PEP'er. For eksempel en handelspartner.
En person, der er ejer af et selskab eller en anden juridisk enhed, der udelukkende er etableret til fordel for en PEP. Det betyder, at personen kontrollerer alle ejerandele eller stemmerettigheder m.v. direkte eller indirekte.

Det betyder, at stillinger, der ikke ville blive betragtet som PEP'er, for eksempel er en person, der deltager i bestyrelsesarbejde sammen med en PEP.

Casestudie

En nem integrerende platform

Implementeringen af Meo har været agil, og NewBanking har været meget lydhør i integrationen med vores kundestyringssystem. Deres evne til at integrere med vores øvrige systemer har været afgørende.

„Meo integreret perfekt med vores eksisterende systemer“

KommuneKredit har til formål at tilbyde leasing og lån til danske kommuner, regioner og fælleskommunale selskaber. Tidligere krævede kun leasingdelen identifikation fra ejerne, men det er også blevet et krav for lånene. Derfor måtte KommuneKredit finde et system til at håndtere opbevaring af personlige oplysninger.

“ Det er en væsentlig opgave at opbevare og administrere personoplysninger på den korrekte måde. Vores mål var at outsource sikkerheden af data, fordi vi tror på „best-of-breed“, hvilket betyder, at vi alle gør det, vi er bedst til. Derfor har vi ikke et sekund overvejet at udvikle en løsning på egen hånd“, siger Christian Jeppesen, kundedirektør og AML manager, der stod for at finde den bedste og passende platform til KommuneKredit.

Når du beskæftiger dig med virksomheder, er det nemt at identificere, hvem administrerende direktør er, og hvem der ejer virksomheden. Men det er anderledes i en kommune - for hvem er den ultimative retmæssige ejer, hvis identitet skal verificeres?

I dag hedder det i definitionen, at borgmesteren og kommunaldirektøren skal betragtes som kommunens ultimative reelle ejere. Derfor holder KommuneKredit de følsomme data fra alle danske borgmestre og kommunaldirektører låst og nøgle på Newbanking Identity platformen. Kun få udpegede medarbejdere hos KommuneKredit har adgang til disse oplysninger.

Svært at udvikle på egen hånd

„Hvis vi skulle udvikle en platform, ville vi have brug for en masse styring for at afgøre, hvem der skal få adgang og under hvilke betingelser. Bortset fra det faktum, at selve udviklingen af platformen ville være meget kompleks, ville det også indebære alt for meget administrativt arbejde med for mange ukendte faktorer“, siger Christian Jeppesen og fortsætter:

“ I dag er alt automatiseret i Meo, hvor vi udfører spotchecks på al identitetsdokumentation i systemet. Platformen er nem at arbejde med, og hver gang vi er i dialog med Meo-stifterne, har de vist sig at have et omfattende kendskab til KYC- og GDPR-procedurer, hvilket giver os en høj følelse af sikkerhed.

Integration med vores kundestyringssystem

For KommuneKredit kom der dog et par andre faktorer ind i valget af en platform til at styre deres KYC- og GDPR-compliance. De havde brug for at integrere KYC-systemet direkte med deres nuværende kundestyringssystem. Ved at integrere Meo med KommuneKredits kundestyringssystem bliver det nemt for medarbejderne at maile deres kunder, for eksempel når de skal opdatere deres identifikationsdokumenter.

Desuden stod KommuneKredit over for en udskiftning af deres nuværende CSR-system med et nyt, og derfor var det vigtigt at finde en nem integrerende platform.

„Hele processen med at implementere Meo i de daglige rutiner har været meget smidig, og Meo har været meget lydhør over for at hjælpe med at integrere med vores kundeservicesystem. De er super dygtige til at integrere platformen med de andre systemer, vi bruger, hvilket er afgørende. Platformen fungerer upåklageligt og har høj driftsstabilitet. Vi har på alle måder fået en fantastisk løsning, der opfylder hele spektret af vores behov“, siger Christian Jeppesen.