Blog

Oplev de seneste indsigter

Hold dig opdateret om bedste praksis for identitetsbekræftelse, AML og KYC
Artikler
Casestudier
Artikel

Databehandling og GDPR

GDPR (General Data Protection Regulation) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.
Christian Visti
January 25, 2024
5 min læsning

Databehandling og overholdelse

GDPR (Generel databeskyttelsesforordning) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.

I denne artikel dykker vi dybt ned i databehandling og forklarer:

  • Hvad er databehandling, og hvad betragtes som følsomme data?
  • Hvilke krav stiller GDPR til din databehandling?
  • Hvordan behandler du personoplysninger korrekt?
  • Hvad er der i en databehandleraftale?
  • Hvad er forskellen mellem en databehandler og en databehandler?

Hvad er databehandling, og hvad er følsomme data?

Databehandling er enhver aktivitet, hvor personoplysninger indsamles, registreres, lagres, analyseres, overføres, slettes, sælges osv. Begrebet defineres så bredt, at enhver kontakt med personlige oplysninger grundlæggende betragtes som databehandling.

Data defineres i dette tilfælde som formaliseret information, der typisk håndteres af en maskine eller en computer.

De fleste virksomheder og organisationer vil, i en eller anden form, håndtere eller behandle en eller anden type data, oftest Personlige data. GDPR definerer personoplysninger som: „enhver information vedrørende en identificeret eller identificerbar fysisk person („registreret“); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

Personoplysninger er typisk opdelt i to kategorier. Nogle lande har også en tredje kategori, mens andre anser kategorien „Fortrolige personoplysninger“ for at være af samme kategori som følsomme data.

  • Generelle eller almindelige personoplysninger: navne, e-mail-adresser, bopæl, ansættelsessted og andre faktuelle oplysninger, der er offentligt tilgængelige.
  • Følsomme personoplysninger (“ Særlig kategori af personoplysninger „): Sundhedsjournaler, oplysninger om forsøgspersonens etnicitet, religion eller seksuelle identitet. Disse data er mere personlige og bør derfor håndteres med større omhu.
  • Fortrolige personoplysninger: CPR-numre, strafferegistre og andre klassificerede oplysninger, der skal reguleres særskilt.

Hvilke krav stiller GDPR til din databehandling?

Ifølge GDPR Alle personoplysninger skal håndteres og behandles særligt og følsomt. Jo mere personlige eller private oplysningerne er, jo flere regler og forskrifter skal du overholde under behandlingen af dataene.

Hvis du vil vide mere om, hvordan du skal beskytte dine kunders personlige data, kan du læse vores artikel om datasikkerhed.

Her er et konkret eksempel på, hvad GDPR kræver af dig, når du behandler data: En virksomhed skal kontrollere, om et givet navn rent faktisk tilhører klienten. Dette er et krav under KYC som defineret i Direktivet om bekæmpelse af hvidvask af penge. Her skal du bruge autoritative datakilder, der bekræfter troværdigheden af oplysningerne. Du kan for eksempel gøre dette ved at se en kopi af deres pas eller kørekort. Du skal derefter dokumentere, at du har bekræftet deres identitet. Al denne databehandling skal ske i overensstemmelse med GDPR.

Er der forskel på databehandling og databehandling?

Datahåndtering og databehandling bruges ofte om hverandre.

Man kan dog sige, at databehandling er den overordnede betegnelse for både datahåndtering og dataudnyttelse.

Datahåndtering kan ses som en næsten passiv eller ikke-transformativ behandling af data, hvorimod du med dataudnyttelse gør noget med disse data, såsom at analysere, slette eller ændre dem.

Hvordan behandler du personoplysninger korrekt?

For at kunne behandle personoplysninger korrekt har du brug for:

  • Den lovlig ret og en legitimt formål
  • Samtykke fra den person, hvis personoplysninger du behandler
  • EN databehandleraftale

EN lovlig ret og en legitimt formål er forudsætninger, når du behandler personoplysninger. Dine rettigheder er begrænset af, om du behandler generelle eller følsomme personoplysninger.

Du har brug for samtykke fra personen hvis personoplysninger du behandler. Dette skal opfylde en række krav: det skal være frivilligt, begrænset eller specifikt, informeret og utvetydigt. Desuden skal du dokumentere og bekræfte, at du har indhentet samtykket korrekt.

Der er undtagelser for, hvornår en virksomhed kan få samtykke. Dette kan være, hvis det for eksempel er nødvendigt af omhu og due diligence over for personen, eller hvis der er en legitim grund til databehandleren, der ikke afløses af subjektets egne interesser.

Du kan læse mere om samtykke på GDPR.eu.

For det tredje har virksomhederne brug for en databehandleraftale. Dette er en kontrakt, der indeholder instruktioner til databehandleren om, hvordan oplysningerne skal behandles. Denne aftale er mellem datahåndtering og databehandler.

Hvad er der i en databehandleraftale?

En databehandleraftale skal give databehandleren klare instruktioner om, hvordan oplysningerne skal håndteres og behandles. Det er et juridisk bindende dokument, der skal være skriftligt og opbevares elektronisk.

Formålet med aftalen er at sikre, at personoplysningerne behandles og behandles ansvarligt og sikkert. Det er også vigtigt, at den indeholder krav til, hvordan og hvornår man skal kontakte dataadministratoren, hvis der er mistanke om sikkerhedsbrud eller misbrug. Hvis din virksomhed er databehandler, er det dit ansvar for at informere dataadministratoren om mistanke om misbrug eller brud på datasikkerheden.

Som en del af instruktionerne skal databehandleren også være forpligtet til at udføre årlige eller efter aftale revisioner for at dokumentere, at de følger instruktionerne og gældende lovgivning. Dette kan ske gennem en revisionsrapport, der skal certificeres af en ekstern revisor.

Du kan finde en skabelon til en databehandleraftale på GDPR.eu.

Hvad er forskellen mellem en databehandler og en databehandler?

Databehandleren og databehandleren er ikke den samme person.

Datahåndtereren er den part, der bestemmer, hvilke data der skal behandles, til hvilket formål og ved hjælp af hvilke værktøjer. Datahåndtereren definerer grundreglerne for, hvordan dataene skal behandles.

På den anden side er databehandleren den part, der udfører selve behandlingen på vegne af databehandleren.

Det er vigtigt at adskille de to, fordi de har forskellige krav. Den ene part, databehandleren, sikrer, at databehandlingen er i overensstemmelse med GDPR, mens den anden part, databehandleren, påtager sig ansvaret for at handle i overensstemmelse med de givne instruktioner.

Nemmere databehandling med Meo

Med Meo kan du nemt finde de oplysninger, du har brug for om dine kunder ved hjælp af en simpel søgning. Og personoplysninger slettes eller arkiveres korrekt, når en forretningsrelation slutter.

Platformen sørger for, at du overholder GDPR og gør det nemt at håndtere data for:

Onboarding

Ombord dine kunder ved hjælp af sikre kanaler.

Validering

Bestem dine krav til validering af oplysninger.

Dokumentation

Fuld log og sporing af handlinger og adgang.

Artikel

Oversigt: Sådan overholder du GDPR

Har din virksomhed et godt greb om GDPR og hvordan du behandler personoplysninger?
Christian Visti
January 25, 2024
5 min læsning

Hvad er god GDPR-håndtering?

Har din virksomhed et godt greb om GDPR og hvordan du behandler personoplysninger?

Stort set alle virksomheder, der kommer i kontakt med personoplysninger, er underlagt lokale love og regler. I EU og EØS betyder det GDPR. Derfor er det vigtigt, at du kender kravene til, hvordan du behandler personoplysninger korrekt.

Nedenfor kan du læse om EU-direktivet og hvordan det gælder for personoplysninger — samt få et par tips om bedste praksis for behandling af personoplysninger:

  • Hvad er den generelle databeskyttelsesforordning (GDPR)?
  • Hvilke virksomheder er underlagt GDPR?
  • Hvad er en Data Manager og en Databehandler?
  • Hvad er en DPO (Data Protection Officer)?
  • Sådan overholder du GDPR
  • Opbevaring af personoplysninger — hvornår og hvor længe?
  • Privatpersoners rettigheder
  • Løbende revisioner og principperne om nøjagtighed

Hvad er den generelle databeskyttelsesforordning (GDPR)?

GDPR, eller General Data Protection Regulation, er en lovgivningsmæssig ramme og direktiv i EU-lovgivningen om databeskyttelse og privatlivets fred i Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde.

Forordningen gælder for alle personoplysninger samt overførsel af personoplysninger uden for EU og EØS. Det blev implementeret i 2018.

Dets officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Som EU-forordning og direktiv er det strengt taget ikke en egentlig lov. I stedet er det en juridisk bindende aftale mellem alle EU- og EØS-lande, som de derefter skal fortolke og implementere i deres lokale lovgivning.

Det betyder, at selvom GDPR er bindende og har til formål at give specifikke anvisninger vedrørende personoplysninger, kan der være variationer og mindre forskelle fra land til land. Det fungerer ofte som en grundlæggende ramme, der derefter udvides af det enkelte land.

TilsynForskellige lande i EU og EØS har forskellige tilsyns- eller reguleringsorganer. Disse sikrer, at GDPR opretholdes og vejleder lokale myndigheder, virksomheder og organisationer i, hvordan de overholder GDPR.

Hvilke virksomheder er omfattet af GDPR?

GDPR gælder for stort set al behandling af personoplysninger, dvs. alle oplysninger, der kan forbindes med eller identificere en bestemt person.

Læs mere om Personlige data og de forskellige kategorier.

Da forordningen er geografisk specifik for EU og EØS, gælder den kun:

  • Når datahåndtering eller databehandler er i EU, uanset om den faktiske behandling foregår i eller uden for EU.
  • Når person, hvis personoplysninger behandles, befinder sig i EUuanset dataadministratorens eller databehandlerens placering.
  • Når behandlingen af personoplysninger vedrører et produkt eller en virksomhed i EU eller involverer overvågning af adfærd inden for EU.

For at være kortfattet: næsten alle virksomheder med et associeret selskab med EU, uanset om dette gælder for dem eller deres kunder/kunder, er underlagt GDPR.

Hvad er en Data Manager og Databehandler?

Og hvad er forskellen?

I henhold til GDPR er det vigtigt fundamentalt at adskille de to specifikke roller, som begge behandler personoplysninger.

Du kan enten være en datahåndtering eller en databehandler.

Der er forskellige krav til de to roller. Derfor er det vigtigt at vide, hvem der er hvem, og hvem der er hvem, inden du begynder at behandle personoplysninger.

Datahåndtering

Dataadministratoren definerer formålet og proceduren for, hvordan personlige oplysninger behandles. Som dataansvarlig er du forpligtet til at sikre, at:

  • Du har en lovlig ret til at behandle specifikke personoplysninger
  • Du er i stand til at give indsigt til de registrerede parter på deres anmodning
  • Du registrerer krænkelser af persondatasikkerheden til det relevante tilsyns-, tilsyns- eller reguleringsorgan.

Databehandler

Som databehandler behandler du udelukkende personoplysningerne på vegne af databehandleren. Du har ingen indflydelse på det formål eller den procedure, du opererer under.

En databehandler kan for eksempel være en softwareudbyder til de tjenester, der bruges til at gemme data på serverne, eller en anden type udbyder af en automatiseret behandling af personoplysninger, hvor du ikke direkte har adgang til dataene.

Da forholdet mellem databehandler og databehandler indebærer udveksling af personoplysninger, er det vigtigt, at der er en databehandleraftale på stedet, der klart definerer det nøjagtige forhold mellem de to. En skabelon til dette kan findes på GDPR.eu.

Hvad er en databeskyttelsesansvarlig (DPO)?

Der kan også være en tredje rolle: DPO eller databeskyttelsesansvarlig. Du har måske stødt på dette udtryk før, men hvad betyder det? Skal din virksomhed have en DPO?

DPO's rolle er at vejlede om kravene i GDPR og guide datahåndtereren i, hvordan de kan opfylde disse krav. Det er vigtigt at bemærke, at DPO er ikke ansvarlig for, hvorvidt virksomheden overholder GDPR eller lokal lovgivning.

Statslige agenturer er forpligtet til - uanset om de er databehandlere eller databehandlere - udpege en DPO. Private virksomheder er kun forpligtet, hvis alle af følgende tre betingelser gælder:

  • Behandling af personoplysninger er en kernearbejdsaktivitet
  • Personlige oplysninger behandles i store mængder
  • Forarbejdning består af Regelmæssig og systematisk overvågning eller indeholder følsomme personoplysninger (“ særlige kategorier af personoplysninger“)

Hvornår er behandling af personoplysninger en“ kernearbejdsaktivitet“?

De fleste organisationer udfører en eller anden form for behandling af personoplysninger, men GDPR skelner mellem ikke-kernearbejdsaktiviteter og kernearbejdsaktiviteter.

Ikke-kernearbejdsaktiviteter kan generelt siges at være aktiviteter, der understøtter kernearbejdsaktiviteter. For eksempel kommer de fleste virksomheder i kontakt med en vis mængde personoplysninger med hensyn til medarbejderdata og personoplysninger relateret til salg og forskellige typer support. Disse betragtes som ikke-kernearbejdsaktiviteter.

I henhold til GDPR er behandling af personoplysninger en kernearbejdsaktivitet, hvis det, en virksomhed ønsker at sælge, er uigendriveligt forbundet med personoplysninger. Dette kan for eksempel være:

  • Forsikringsselskaber hvis produkt er skræddersyet på grundlag af personoplysninger
  • Udbydere af markedsundersøgelser
  • Søgemaskiner
  • Virksomheder relateret til headhunting af nye medarbejdere

Dette er alle eksempler på forretningsaktiviteter, der er centreret omkring behandling af personoplysninger, og hvor output afhænger af de indhentede og behandlede oplysninger.

Sådan overholder du GDPR

GDPR kræver en risikobaseret tilgang svarende til for eksempel initiativer til bekæmpelse af hvidvaskning af penge.

En risikobaseret tilgang betyder, at uanset om virksomheden er en databehandler eller en dataansvarlig eller ej, er du forpligtet til at foretage en vurdering af de typer data, der opbevares eller behandles af virksomheden. Så skal du sørge for, at der er organisatorisk og tekniske sikkerhedsforanstaltninger eller sikkerhedsforanstaltninger på plads, der svarer til de vurderede risici.

Tekniske sikkerhedsforanstaltninger

Eksempler er stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.

Organisatoriske sikkerhedsforanstaltninger

Eksempler inkluderer beskrevne procedurer, virksomheder kan vedtage organisatoriske sikkerhedsforanstaltninger såsom klare politikker for personoplysninger, sikkerhedsadgang, kurser i korrekt databehandling og videreuddannelse af medarbejdere.

For at overholde GDPR skal virksomheder have:

  • Risikovurderinger
  • Politikker og procedurer
  • Revision og dokumentation

Hvordan foretager du en risikovurdering?

Risikovurderinger vil typisk evaluere eller vurdere:

  • Hvilke typer data gemmes af virksomheden (der er f.eks. forskelle i følsomheden mellem lagring af e-mail-adresser og kopier af pas)
  • Konsekvenser for datalækager (f.eks. phishing, hacking eller utilsigtet intern lækage af materiale vedrørende personlige data)
  • Den sikkerhedsforanstaltninger på plads for at minimere ovenstående risici

På baggrund af disse faktorer kan du vurdere, om risikoen er acceptabel, eller om du har brug for at implementere nye sikkerhedsforanstaltninger for at minimere risikoen for, at data bliver stjålet eller lækket.

Der er også krav til Dokumentation af dine overvejelser med hensyn til procedurerne.

Politikker

De fleste virksomheder har indført procedurer og politikker, der strømliner og systematiserer arbejdsaktiviteter. På samme måde er det en god idé at definere politikker og procedurer for behandling af personoplysninger.

Du opdeler typisk persondatapolitikker i, om de vedrører personoplysninger om medarbejdere eller kunder/kunder. En persondatapolitik for klienter kan f.eks. indeholde følgende:

  • En afklaring af, om du opfører dig som datahåndtering eller databehandler.
  • Hvor personoplysningerne opbevares — på interne eller eksterne servere eller lagerenheder? Hvis det opbevares uden for EU/EØS, hvad gjorde du så for at sikre et tilstrækkeligt sikkerhedsniveau?
  • Uanset om du har en DPO, og i bekræftende fald, hvad DPO's opgave er, og hvordan du har sikret DPO's position i organisationen.
  • Hvad er det angivne formål med lagring af data, specifikt din juridiske rettigheder og Formålets legitimitet.
  • Hvad er din politik for sletning eller sletning af personoplysninger, og hvor længe du opbevarer data efter ophør af et kunde/kundeforhold.
  • Eventuelt, hvilken teknisk og organisatoriske sikkerhedsforanstaltninger du har implementeret for at beskytte mod datalækager, og hvordan du planlægger at reagere i tilfælde af en lækage.

Forretningsprocedurer

Forretningsprocedurerne skal være i et internt tilgængeligt dokument, der er skrevet for at understøtte det arbejdsflow og procedurer, du har aftalt. En forretningsprocedure er ofte en forholdsvis detaljeret beskrivelse af, hvordan du håndterer personoplysninger med specifikke procedurer for, hvordan din virksomhed — i sine daglige aktiviteter — får unødvendige data til at blive slettet, og hvordan du deler data med andre, hvad enten det er med kolleger eller eksterne databehandlere.

Revision og dokumentation

Samtidig skal du være i stand til at dokumentere, at din behandling af personoplysninger sker i overensstemmelse med GDPR og lokal lovgivning. Du skal f.eks. dokumentere, hvordan du sletter personoplysninger efter afslutningen af et forretningsforhold.

En virksomhed kan have flere procedurer for, hvordan og hvor ofte de sletter data. Men ifølge GDPR er det vigtigt, at det er nedskrevet eller på en eller anden måde dokumenteret, så de rette tilsynsmyndigheder kan revidere dine handlinger og dermed sikre, at du overholder GDPR.

Dokumentationskravet kan understøttes af it-løsninger, der endda kan automatisere nogle af de nødvendige processer.

Opbevaring af personoplysninger — hvornår og hvor længe?

Virksomheder kan gemme personoplysninger, så længe de:

  • Har en lovlig ret til det.
  • Har en legitimt formål til opbevaring af dataene.

Den lovlig ret med hensyn til opbevaring af personoplysninger defineres som:

  • Virksomheden har opnået samtykke fra den person, hvis personoplysninger opbevares.
  • Det er skrevet i loven, at dataene skal gemmes.
  • Det er nødvendigt for at opretholde en aftale eller kontrakt.
  • Virksomheden har en legitim interesse ved opbevaring af personoplysninger. Og denne interesse har en større værdi for personens egen interesse, end hvis den blev slettet.

Normalt har virksomheden eller det statslige organ tilstrækkelige juridiske rettigheder, hvis bare en Ovenstående kriterier er opfyldt.

EN legitimt formål er grundlæggende defineret af sund fornuft.

Spørg dig selv: Hvad er formålet med at gemme de givne personoplysninger?

Hvis du ikke har et legitimt formål, skal dataene slettes.

Eksempel

For seks måneder siden havde virksomheden et jobopslag på udkig efter en retshjælp. De havde mange ansøgere, men har siden lukket hele afdelingen og planlægger ikke at ansætte juridiske hjælpemidler nogensinde igen.

Har virksomheden stadig et legitimt formål med at gemme CV'er og applikationer? Her er svaret nej.

Så længe en virksomhed har den juridiske ret og et legitimt formål, kan virksomheden fortsætte med at gemme data. Så snart dette ikke længere er tilfældet, skal dataene slettes.

Privatpersoners rettigheder

Med implementeringen af GDPR får privatpersoner ret til at få adgang til de data, virksomheder gemmer om dem. Dette kaldes ofte adgangsrettigheder eller emneret:

  • Du har i princippet ret til at få adgang til alle personoplysninger om dig selv, som datahåndtering er ansvarlig for.
  • EN databehandler kan ikke give adgang, fordi de ikke er ansvarlige for de registrerede data.

De data og oplysninger, du kan anmode om, inkluderer:

  • Sådan behandles dine personoplysninger
  • Hvilket formål er der med behandlingen
  • Hvem oplysningerne deles med
  • Hvor længe dataene gemmes
  • Hvor personoplysningerne stammer fra

Dette er for at sikre, at dataene er verificerbare, nøjagtige, og at behandlingen udføres på grundlag af forsvarlig juridisk myndighed.

Løbende revision og princippet om nøjagtighed

Som virksomhed er du forpligtet til at sikre dig, at de lagrede personoplysninger er korrekte, og at forkerte eller falske oplysninger slettes.

Dette kaldes også princippet om nøjagtighed.

Princippet drejer sig ikke kun om pligten til at slette eller rette oplysninger, som du er blevet informeret om, er forkert. Du har også en forpligtelse til aktivt at søge og kontrollere nøjagtigheden af dine data.

Dette kan f.eks. ske ved, at du løbende sammenligner de data, du indhenter, med søgninger i registre og databaser med offentligt tilgængelige oplysninger, eller at du med jævne mellemrum anmoder om verifikation fra den person, som oplysningerne handler om.

Omfanget af, hvor grundigt du har brug for at verificere oplysningernes nøjagtighed og ægthed, og hvor ofte du skal gentage denne proces, afhænger af de data, du behandler. Jo mere følsomme - og derfor jo større betydning oplysningerne har for ejeren - jo flere procedurer og fejlsikre skal du implementere for at beskytte mod dette resultat.

Cases hos Meo

Meo har også samarbejdet med en masse forskellige virksomheder, der har haft stor gavn af den danske softwareplatform, Meo. Blandt dem er advokatfirmaet Bech-Bruun, der for nylig kommenterede, om platformen har givet klarhed om sikker håndtering af information og data fra nye kunder i overensstemmelse med GDPR-loven.

Dette fokus er noget, der afspejles i udtalelser fra vores forskellige partnere og kunder, som alle mener, at vores softwareplatform har skabt sikkerhed for dem i forbindelse med udveksling af data og information med kunder eller partnere.

Vi hos Meo hjælper derfor med at skabe klarhed over administrative opgaver samt sikkerheden i din virksomhed og udveksling af data.

Meo — Behandling af personoplysninger nemt og sikkert

Hvis du har læst med fra toppen og har mistet pusten over udfordringerne ved at arbejde med GDPR og personlige data, så er du ikke alene.

Heldigvis findes der en række gode løsninger til de forretningsmæssige udfordringer ved databehandling.

Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.

For virksomheder er der en række fordele ved at bruge Meo:

Onboarding

Ombord dine kunder digitalt på sikre kanaler.

Validering

Opsæt dine egne krav til validering af oplysninger.

Dokumentation

Et komplet revisionsspor og oversigt over de udførte handlinger og samtykke til behandling.

Forarbejdning

Med Meo overholder du alle juridiske krav, både GDPR og AML.

Artikel

Dette er, hvad din virksomhed har brug for at vide om bekæmpelse af hvidvaskning af penge

Er din virksomhed omfattet af direktivet om bekæmpelse af hvidvaskning af penge (AML)? Så er det vigtigt at kende de grundlæggende principper for hvidvaskning af penge, og hvorfor det er nødvendigt at have lokale og internationale love og regler om bekæmpelse af hvidvaskning af penge.
Christian Visti
January 25, 2024
5 min læsning

Her er hvad du som virksomhed har brug for at vide om hvidvaskning af penge

Er din virksomhed omfattet af direktivet om bekæmpelse af hvidvaskning af penge (AML)? Så er det vigtigt at kende de grundlæggende principper for hvidvaskning af penge, og hvorfor det er nødvendigt at have lokale og internationale love og regler om bekæmpelse af hvidvaskning af penge.

I denne artikel kan du lære mere om hvidvaskning af penge, herunder:

  • Hvad er hvidvaskning af penge?
  • Hvordan begås hvidvaskning af penge?
  • Hvad siger international og europæisk lov om hvidvaskning af penge?
  • 4 vigtige begreber, når det kommer til hvidvaskning af penge
  • Vejledning til bekæmpelse af hvidvaskning af penge
  • Sådan sikrer NewBanking-platformen, at din virksomhed til enhver tid er 100% AML-kompatibel.

Læs mere om platformen her eller kontakt os for at høre mere om, hvordan vi kan hjælpe din virksomhed med KYC-overholdelse.

Hvad er hvidvaskning af penge?

Hvidvaskning af penge handler overvejende om at gøre ulovlige midler - sorte penge - lovlige. Det betyder at skjule de økonomiske gevinster fra kriminelle aktiviteter og bruge dem med lovlige leverandører og i det bredere samfund. Oprindelsen til de sorte penge kan for eksempel komme fra handel med ulovlige stoffer eller våben, skatteunddragelse og meget mere.

Hvid vask

Alle aktiviteter, der hjælper kriminelle med at tilsløre, skjule eller omdanne sorte penge til lovligt betalingsmiddel (som kan dokumenteres og bruges lovligt) kaldes hvidvask eller hvidvaskning af penge.

Hvordan begås hvidvaskning af penge?

Der er mange måder at hvidvaske penge på. Nedenfor er et eksempel på, hvordan det kunne ske:

  • En narkotikahandler har solgt ulovlige stoffer for 25.000 EUR og har nu en masse sorte penge i sin besiddelse.
  • Narkotikahandleren finder en brugt bil, der er privat til salg for 75.000 EUR. Han tilbyder at købe bilen for det fulde beløb - i bytte for at betale delvist kontant.
  • Narkotikahandleren går til banken og får et lån, hvor han forklarer, at han køber en bil til en pris af 50.000 EUR.
  • Banken yder lånet og overfører 50.000 EUR direkte til sælgeren, men narkotikahandleren betaler ham 25.000 EUR kontant.
  • Narkotikahandleren sælger nu bilen til en tredjepart for 75.000 EUR, der overføres direkte til hans bankkonto. Han kan nu dokumentere, at pengene stammer fra salget af bilen. Han betaler sit lån til banken.
  • Nu er de 25.000 EUR blevet hvidvasket, da de ser ud til at være betaling for et simpelt bilsalg.

I princippet kan hvidvaskning af penge også opnås gennem registrerede bilforhandlere som mellemled. Narkotikahandleren kan få stråmænd til at købe og sælge biler, både, kunst, ejendom og andre fysiske genstande for at vaske de sorte penge.

Hvad siger lov og regler om hvidvaskning af penge?

I EU er alle finansielle virksomheder underlagt og reguleret af direktivet om bekæmpelse af hvidvaskning af penge (AML).

Dens fulde officielle titel er: „Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggelse af anvendelse af det finansielle system til hvidvaskning af penge eller finansiering af terrorisme“ (læs det i sin helhed her). Direktivet findes for at forhindre kriminelle i at kunne tjene penge på ulovlige aktiviteter, som derefter kan bruges lovligt eller til at finansiere terrorisme.

Det er vigtigt at bekæmpe hvidvaskning af penge, fordi denne type kriminalitet gør det vanskeligt for retshåndhævelsen at opdage kriminelle handlinger. Ved at stoppe hvidvaskning af ulovlige penge forhindrer du samtidig andre former for økonomisk kriminalitet, da gerningsmændene vil have sværere ved at bruge eller gemme deres uretmæssigt opnåede gevinster. Desuden findes direktivet om bekæmpelse af hvidvaskning af penge også for at forhindre muligheder for finansiering af terrorhandlinger og organisationer. De fleste europæiske lande har lokale love og regler baseret på EU-direktivet, som løbende udarbejdes og udvikles af Europa-Parlamentet. På nuværende tidspunkt har EU udarbejdet seks forskellige direktiver (AML1-6) til forebyggelse af hvidvaskning af penge.

En række forskellige forretningsområder og sektorer er juridisk forpligtet til at opføre sig i overensstemmelse med reglerne om bekæmpelse af hvidvaskning af penge. Her er en kort oversigt:

  • Advokater
  • Revisorer og eksterne revisorer
  • Ejendomsmæglere
  • Udlejere
  • Finansielle virksomheder
  • Tjenesteudbydere

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven).

4 vigtige begreber, når det kommer til hvidvaskning af penge

Der er en hel del tekniske, juridiske og andre udtryk eller forkortelser vedrørende hvidvaskning af penge. De fire vigtigste at vide er:

1. CDD - Kundedue diligence

Customer Due Diligence (CDD) er en hjørnesten i virksomhedernes initiativer og procedurer til bekæmpelse af hvidvaskning af penge. Udtrykket dækker alle handlinger, der udføres af virksomheder for at verificere identiteten af deres kunder eller kunder, samt udføre baggrundskontrol og risikovurderinger. Virksomheder og organisationer, der er underlagt love og regler om bekæmpelse af hvidvaskning af penge, er forpligtet til at udføre risikovurderinger, hvor de - på klient-til-kunde-basis - vurderer risikoen for, at klienten bruges eller bruger virksomheden til hvidvaskning af penge eller finansiering af terrorisme. Læs mere om CDD og risikovurdering.

2. KYC - Kend din kunde

Der er mange grunde til, at det er vigtigt for virksomheder at „kende deres kunder“. Blandt dem er - i forhold til CDD - evaluering af, om de udgør en risiko for virksomheden eller ej. KYC-screening eller verifikation er en proces, hvor virksomheden identificerer eller verificerer identiteten af deres kunder og kunder. Med andre ord lærer de deres kunder at kende. Dette kan opnås ved at indsamle personlige oplysninger og identifikationsdata om kunden eller klienten, som skal verificeres. Læs mere om KYC (Kend din kunde)

3. PEP - Politisk eksponeret person

En PEP, eller politisk eksponeret person, er en strengt defineret kategori af mennesker, der på baggrund af deres politiske position eller magt betragtes som kunder, der har større risiko for at blive udsat for hvidvaskning af penge eller andre kriminelle aktiviteter. Bekymringen er, at de - på grund af deres position - kan blive udsat for afpresning, bestikkelse eller på anden måde (både villigt og tvunget) kan blive involveret i hvidvaskning af penge. Læs mere om PEP og PEP-lister.

4. AML - Bekæmpelse af hvidvaskning

AML er en forkortelse for „Anti-Money Hvidvaskning“. Udtrykket henviser til en bred vifte af love, forordninger, direktiver og procedurer, der findes for at forbyde eller stoppe hvidvaskning af ulovlige penge.

Vejledning til bekæmpelse af hvidvaskning af penge

Virksomheder i de berørte sektorer skal konstant tilpasse sig en overflod af love, direktiver og forordninger. De fleste af disse kræver eller tilskynder til specifikke former for kontrol mod hvidvaskning af penge.

Med AML 5, som blev implementeret i januar 2020, blev der indført en række ændringer, herunder en overgang til en risikoafhængig tilgang til forsigtighedsforanstaltninger vedrørende bekæmpelse af hvidvaskning af penge. Den nye tilgang kræver mere af virksomhedernes evne til at vurdere deres kunder eller kunderelationer.

Groft sagt skal virksomheder vurdere risikoen for, at de bliver misbrugt til hvidvaskning af penge eller finansiering af terrorisme. Et af de centrale og grundlæggende begreber er udarbejdelsen af risikovurderinger, politikker og forretningsprocedurer samt den underliggende kontrol og evaluering, der sikrer den overordnede overholdelse.

Læs mere om det danske direktiv om bekæmpelse af hvidvaskning af penge (Hvidvaskloven - Download PDF).

Meo — undgå hvidvaskning af penge med vores intelligente platform

Vi håber, at du nu har en mere klar forståelse af hvidvaskning af penge - og har givet dig et indblik i, hvad din virksomhed skal være opmærksom på for at være AML-kompatibel. Har du en klar standard for dine processer, datahåndtering og verifikation af nye kunder?

Hvis ikke, kan Meo hjælpe.

Meo er en dansk virksomhed og softwareplatform, der hjælper virksomheder med deres datasikkerhed, onboarding og overordnede compliance.

Med Meo kan du:

  • Skærm automatisk klienter via PEP-lister.
  • Bekræft klienternes id
  • Indsamle data fra officielle kilder vedrørende virksomheder og enkeltpersoner

Artikel

Hvad er en samtykkeerklæring? - Hvornår er det nødvendigt?

Stiller du spørgsmålstegn ved: hvad er en samtykkeerklæring? I denne artikel kan vi besvare spørgsmålene om, hvad det er, hvordan det udfyldes, og hvorfor det kan være nødvendigt. Dette er et skriftligt dokument, der oprettes, når du skal give samtykke eller tilladelse til en bestemt handling.
Christian Visti
January 25, 2024
5 min læsning

Dets formål, proces og nødvendighed

Stiller du spørgsmålstegn ved: hvad er en samtykkeerklæring? I denne artikel kan vi besvare spørgsmålene om, hvad det er, hvordan det udfyldes, og hvorfor det kan være nødvendigt. Dette er et skriftligt dokument, der oprettes, når du skal give samtykke eller tilladelse til en bestemt handling.

Mere specifikt bruges det i forbindelse med rejser med børn, fagligt samtykke i forbindelse med privat samarbejde, som er både inden for og uden for de juridiske rammer. Det kan derfor også være en skriftlig aftale om, hvordan en ekstern virksomhed håndterer datasikkerhed i en anden virksomhed osv.

Hvad indebærer en sådan erklæring?

En samtykkeerklæring er en skriftlig aftale, der dækker en lang række spørgsmål og situationer. Men generelt set er der altid en part, der giver tilladelse til en anden part til at udføre en bestemt handling.

Samtykkeformularen omfatter blandt andet:

  • Identificerbare beskrivelser af alle parter
  • Tidsfristen for samtykket
  • Hvad er samtykket til - det pågældende objekt
  • Hvordan samtykket i sig selv skal anvendes
  • Sådan ser en mulig annullering eller tilbagekaldelse ud

Hvilke parter er involveret i dette dokument?

Når du udfylder en samtykkeerklæring, er der altid flere parter til stede. Dette involverer den „givende“ part og den modsatte part, som samtykket gives til. Beskrivelserne og oplysningerne i en sådan erklæring skal være henviselige, hvilket betyder, at de skal kunne identificere parterne.

Essensen af hele denne pagt og tilladelse er, at den givende part skal give samtykke frivilligt. Dette er uanset konteksten. Der er nogle punkter og områder, som også altid skal overholdes og udfyldes.

Forstå, hvad der er en samtykkeerklæring, og hvad punkterne er

Det kan være en fordel at have en skabelon til samtykkeerklæring, som en virksomhed eller en enkeltperson bruger i situationer, hvor samtykke er påkrævet.

  • Beskrivelser af parterne bør indeholde alle parters fulde navne og kontaktoplysninger samt eventuelle socialsikrings- eller virksomhedsregistreringsnumre.
  • Tidsperioden skal være klart defineret. Dette giver en indikation af, hvornår og hvor længe det kan bruges.
  • Det, der samtykkes til, er det mest væsentlige, da det indebærer objektet. Det kan være de givne data, der bruges i samarbejdet, det anvendte certifikat, personen, virksomheden eller hvad dette måtte være.
  • Hvordan samtykket og denne samtykkeerklæring skal anvendes, er flere steder et mere valgfrit punkt. Men hvis en virksomhed ønsker dette punkt inkluderet, kan formålet med loven beskrives.
  • Hvordan man trækker samtykke tilbage kan være et fordelagtigt område at dække i tilfælde af, at parterne er uenige, eller regler brydes for den gældende samtykkeformular.

Reducer risici med digital datastyringsplatform

Hos Meo arbejder vi med datasikkerhed gennem en digital platform. Derfor kan vi ud over at kunne introducere dig til, hvad der er en samtykkeerklæring, også hjælpe med digital hjælp til at håndtere alt fra verifikation, overvågning, kontrol af kunder - aktuelle såvel som nye.

Vi automatiserer tidskrævende KYC-procedurer, hvilket skaber mere tid til dit arbejde og reducerer muligheden for fejl.

Artikel

Følsomme personlige oplysninger - Få de rigtige værktøjer til at håndtere dem

Hvad er følsomme personlige oplysninger, og hvordan bliver du opmærksom på faldgruber på dette område? Når man beskæftiger sig med denne type oplysninger og håndteringen af den samme, er det først vigtigt at kende forskellen mellem generelle personoplysninger og personlige følsomme oplysninger.
Christian Visti
January 25, 2024
5 min læsning

Forståelse af følsomme personlige oplysninger og deres faldgruber

Hvad er følsomme personlige oplysninger, og hvordan bliver du opmærksom på faldgruber på dette område? Når man beskæftiger sig med denne type oplysninger og håndteringen af den samme, er det først vigtigt at kende forskellen mellem generelle personoplysninger og personlige følsomme oplysninger.

Førstnævnte er oplysninger, der kan spores tilbage til en bestemt person, hvilket kan være enhver information, der kan identificere ham eller hende i sammenhæng. Dette kan være alt fra et billede, navn, adresse, medicinske journaler, CPR-nummer, fingeraftryk, alder, uddannelse osv.

I modsætning hertil er personoplysninger eller oplysninger data, som en virksomhed ifølge databeskyttelsesloven skal være yderst forsigtig med at håndtere. Disse oplysninger omfatter følgende:

  • Politiske overbevisninger
  • Etnicitet og race
  • Religiøse overbevisninger
  • Fagforeningsmedlemskab
  • Genetiske data
  • Data af biometrisk art til identifikationsformål
  • Sundhedsoplysninger
  • Seksuel orientering eller forhold

Hvis du ønsker yderligere information og afklaring, kan du læse mere om dette på Datatilsynet.dk. Her kan du også finde oplysninger om lovgivning og afsnit relateret til emnet.

Få hjælp til korrekt håndtering fra Meo

Hos Meo hjælper vi med effektiv håndtering af følsomme personoplysninger. Vores primære opgave er at sikre, at din virksomhed og tilknyttede kunder kan udveksle og arbejde med følsomme personoplysninger fortroligt og juridisk.

Vi hjælper med at sikre kontrol over disse oplysninger og opbevarer dem på et beskyttet og centralt sted, så der er fuld kontrol over deres håndtering. Vi kan hjælpe med risikovurderinger, løbende overvågning, opfølgning, rapporter og meget mere.

Meo er en dansk virksomhed, der opererer i RegTech og inkluderer kundedatastyring ved hjælp af en identitetsplatform og software - Meo, som er vores softwaresystem.

Du er altid velkommen til at kontakte os med spørgsmål om, hvad der er personoplysninger eller vores platform og tjenester i relation til compliance- og KYC-processer. Vi står klar til at have en uforpligtende snak om, hvordan du kan strømline processer og dermed frigøre tid og ressourcer i dit daglige KYC-arbejde.