Hvidvaskloven - Vejledning til virksomheder

Er jeres virksomhed underlagt hvidvaskloven? Så er det selvfølgelig vigtigt, at I kender til jeres forpligtelser i forhold til overholdelse af loven, men også hvorfor vi overhovedet har en hvidvasklov i Danmark.

På denne side svarer vi på ofte stillede spørgsmål om hvidvaskloven, herunder:

  • Hvorfor har vi en lov om hvidvask?
  • Hvilke virksomheder er underlagt hvidvaskloven?
  • Hvordan hænger EU-direktiver og national lovgivning sammen?
  • De forskellige tilsynsmyndigheder
  • Hvad sker der, når virksomheder ikke overholder loven?
  • Vejledning om hvidvaskloven
  • AML 5: Den risikobaserede tilgang
  • Risikovurdering
  • Politikker
  • Forretningsgange
  • Kontroller
  • Kundekendskabsproceduren
  • AML 6: Nye krav er på vej
aml-directive image 1

Hvorfor har vi en lov om hvidvask?

Vi har en hvidvasklov for at forhindre, at penge tjent på kriminelle aktiviteter kan bruges i samfundet. Grundlæggende set eksisterer loven for at gøre det vanskeligere at være kriminel, at begå skattesvindel eller at svindle med moms. Loven skal desuden også forebygge mulighederne for at finansiere terror.

Den danske hvidvasklov er den direkte konsekvens af EU-direktiver, der løbende bliver udformet og godkendt af Europa-Parlamentet. EU har på nuværende tidspunkt udarbejdet seks forskellige direktiver til bekæmpelse af hvidvask. De bliver i fagsproget omtalt som AML 1-6. AML er en forkortelse af det engelske anti-money laundering – anti-hvidvask.

aml-directive illustration

Direktiv

Et direktiv er en retsakt udstedt af EU. Et direktiv er bindende for medlemsstaterne, som selv bestemmer form og midler for gennemførelsen af direktivet gennem nationale love og bestemmelser.

Hvilke virksomheder er underlagt hvidvaskloven?

Forskellige virksomheder er underlagt hvidvaskloven, blandt andet:

personal data name

Advokater

personal data foto

Revisorer

personal data email

Ejendomsmæglere

personal data sound

Udlejere

personal data IP

Finansielle virksomheder

personal data criminal record

Udbydere af tjenesteydelser

Hvordan hænger EU-direktiver og national lovgivning sammen?

Når EU-parlamentet udsteder et direktiv, vil de enkelte medlemslande have en periode, hvor de implementerer direktivet ind i den lokale lovgivning. Det sker typisk i form af justeringer i eksisterende love og/eller udstedelse af nye bekendtgørelser.

Arbejdet med implementeringen strækker sig typisk over endnu en længere periode, og ikke alle lande implementerer lovgivningen samtidig – eller ens. Dette skaber en del debat landene imellem, da der kan opstå situationer, hvor det er mere fordelagtigt at opnå en finansiel licens i ét land, og derigennem levere sine produkter til de øvrige lande.

Christian Visti Larsen

EU’s ekspertgrupper

Udviklingen af AML-direktiver involverer en lang række af forskellige faggrupper, interessegrupper, juridiske eksperter samt de lokale tilsynsmyndigheder.

NewBanking har siden 2015 været repræsenteret i en af EU’s payment systems market expert groups (PSMEG) ved CEO Christian Visti Larsen, der især har været involveret i udarbejdelsen af AML 5.

De forskellige tilsynsmyndigheder

Det vil oftest være det tilsyn, hvor en licens er udstedt, der har tilsynspligten, og der kan derfor være forskel på graden af tilsyn i de forskellige lande. Det kan gøre det mere ønskværdigt for visse virksomheder at fokusere deres aktiviteter, hvor tilsynet er mest lempeligt, og derfra gennem EU’s indre marked sælge deres varer og tjenesteydelser i resten af medlemslandene.

I Danmark har Finanstilsynet den overordnede tilsynspligt. Det daglige tilsyn med specifikke erhverv og virksomhedstyper er lagt ud til andre. Eksempelvis fører Advokatrådet tilsyn med advokatvirksomheder, og Spillemyndigheden fører tilsyn med udbydere af spil.

personal data normal

Tilsyn

I Danmark har Finanstilsynet den overordnede tilsynspligt, mens det daglige tilsyn med specifikke erhverv og virksomhedstyper er lagt ud til andre.

Hvad sker der, når virksomheder ikke overholder loven?

Der er forskel på, hvordan de enkelte tilsynsmyndigheder kommunikerer de forhold, de opdager i forbindelse med deres tilsynsaktivitet.

Finanstilsynet fremlægger en tilsynsrapport for alle de virksomheder, hvor der bliver gennemført tilsyn. I denne rapport kan der udtales kritik i form af påbud og politianmeldelse. Disse rapporter vil altid være tilgængelige på Finanstilsynets hjemmeside, og det er et krav, at de nævnte virksomheder lægger rapporten på deres egne websites.

Bliver en virksomhed taget i ikke at leve op til sine forpligtigelser, er det ikke sikkert, at der falder en bøde, men virksomheden slipper ikke for en tur i gabestokken. Det kan for virksomheder, der er afhængige af deres gode navn og rygte, være meget værre end en bøde.

personal data normal

Bøder

Finanstilsynet kan som udgangspunkt ikke udstede bøder men alene anmode Statsadvokaten for Økonomisk og International Kriminalitet (SØIK) om at indlede en politimæssig efterforskning, som kan resultere i en retssag. Det er dog muligt for Finanstilsynet at udstede administrative bøder i simple sager, hvis der indrømmes skyld.

Vejledning om hvidvaskloven

Finanstilsynet yder også vejledning i hvidvasklovens anvendelsesområde og de forpligtelser, der følger af loven.

Finanstilsynet har udarbejdet en vejledning om hvidvask til virksomheder omfattet af loven. Vejledningens eksempler giver inspiration til overholdelse af hvidvasklovgivningen, men i sidste ende er det op til virksomhedernes selv at fastsætte rammerne for, hvordan de overholder lovens krav.

Om vejledningen skriver Finanstilsynet:

quote icon

“Eksemplerne er dog ikke et udtryk for den eneste måde, som virksomhederne kan opfylde lovens krav på og skal heller ikke anses som en udtømmende liste for overholdelse af lovens krav. Vejledningen kan ikke udgøre det eneste bidrag til virksomhedens risikobaserede tilgang til overholdelse af hvidvasklovgivningen.”

- Finanstilsynets vejledning om hvidvask

Læs hele Finanstilsynets vejledning om hvidvask.

AML 5: Den risikobaserede tilgang

Det seneste direktiv, AML 5, blev vedtaget i 2017 og trådte i kraft i januar 2020. Med dette direktiv overgik man til en risikobetinget tilgang til anti-hvidvask forholdsregler – en tilgang, der stiller større krav til virksomheders vurdering af kundeforhold.

Virksomheder skal nu for hver enkelt kunde vurdere risikoen for, at de bliver misbrugt til hvidvask eller terrorfinansiering. Noget af det mest centrale og grundlæggende i hele hvidvaskloven er:

Disse er alle op til virksomheden at udarbejde, og nedenfor kommer vi nærmere ind på, hvad det indebærer. Derudover skal der udarbejdes beskrivelse af de underliggende kontroller, som sikrer, at disse bliver overholdt.

Den risikobaserede tilgang medfører desuden større fokus på kontrol af legitimation og de løbende kundekendskabsprocedurer.

Risikovurdering

Virksomheder underlagt hvidvaskloven skal udarbejde en risikovurdering, der identificerer de risici, som man vurderer, er forbundet med ens kunder, produkter, leveringskanaler og forretningsaktiviteter.

For at udarbejde risikovurderingen skal virksomheden:

For eksempel kan man i sin risikovurdering nå frem til, at der er en højere risiko forbundet med kunder bosat i udlandet. Denne risiko kan også være afhængig af, hvilket land kunden er bosat i. Baseret på disse oplysninger kan man vurdere, at man skal kræve øget dokumentation fra kunden. Man kan for eksempel forlange at se kopi af pas eller fødselsattester. Omfatter virksomhedens services, at man kan oprette sig som kunde uden fysisk fremmøde, fx via e-mail eller videomøder, kan virksomheden vurdere, at det også udløser et øget dokumentationskrav.

AML risk assessment illustration

Risikovurdering

Risikovurderinger er en struktureret fremgangsmåde, hvor vurderingen af risici bliver så objektiv som muligt og giver mulighed for at gå differentieret til værks, i stedet for at behandle alle kunder ens.

Politikker

En virksomheds politik beskriver virksomhedens generelle risikoappetit. En sådan politik vil oftest inkludere beskrivelser af:

Det vil typisk være ledelsen, der udarbejder disse politikker, som skal godkendes af bestyrelsen. Ét af hovedformålene er nemlig at sikre, at det øverste ledelsesorgan er bekendt med og har taget aktiv stilling til de risici, der er forbundet med at drive den pågældende forretning. På den måde kan ingen i virksomheden undsige sig et ansvar, vaske hænder eller sende aben videre, hvis der opstår problemer.

Politikkerne definerer også det område, medarbejderne kan operere inden for, uden hele tiden at skulle bede om godkendelse ovenfra.

AML-directive policies illustration

Politikker

En virksomheds politikker beskriver overordnet virksomhedens risikoappetit. Politikker udarbejdes af den øverste ledelse og godkendes af bestyrelsen.

Forretningsgange

En forretningsgang er kort sagt en nedskreven procedure for, hvad man som medarbejder eller virksomhed skal gøre i bestemte, veldefinerede situationer.

En forretningsgang:

international business connection illustration

Eksempel

Har man en kunde bosiddende i udlandet, kan man i risikovurderingen vurdere, at dette medfører en øget risiko for at blive misbrugt til hvidvask og terrorfinansiering.

Det er den vurderede risiko, virksomheden påtager sig, ved at etablere forretningsforbindelsen. For at kunne acceptere denne risiko kan forretningsgangen være at kræve en grundigere identifikation af kunden. Det kan ske ved, at man udover de almindelige kundekendskabskrav også forlanger at modtage notarstemplet paskopi, eller at man ønsker yderligere oplysninger om det omfang af forretninger, man forventer vil forekomme.

En forretningsgang vil desuden også indeholde information om, hvornår og hvordan man foretager den anmeldelse til hvidvasksekretariatet, som skal ske, hvis man ikke kan afkræfte en mistanke om hvidvask.

Kontroller

Kontroller skal altid kunne dokumenteres. Det nytter ikke noget at udføre kontroller, som man efterfølgende ikke kan bevise har fundet sted.

En typisk faldgrube er manuelle kontroller af kopier af pas eller kørekort. Her kan en forretningsgang eksempelvis foreskrive, at medarbejderen skal gennemgå denne type af dokumenter og sikre sig, at de er gyldige og at de er af en kvalitet, der gør, at man efterfølgende kan identificere kunden. Men hvis der ikke foreligger dokumentation for, at medarbejderen har gennemgået dokumentet, men det alene er baseret på en forventning, anses kontrollen ikke for at være sket uanset om medarbejderne har set de krævede dokumenter eller ej.

Kundekendskabsproceduren

Kundekendskabsproceduren gennemføres på baggrund af risikovurderingen og den identificerede risiko. Dette er også kendt som KYC eller “Know Your Customer”.

Afhængigt af den vurderede risiko kan man foretage skærpede eller lempede procedurer. En kundekendskabsprocedure omfatter indhentelse af identitetsoplysninger om kunden. Som udgangspunkt vil disse inkludere:

Disse identitetsoplysninger skal kontrolleres via en pålidelig og uafhængig kilde. Det vil sige, at der skal ske en verificering af dokumenter op imod eksempelvis CVR-registeret eller andre kilder, der kan validere eksempelvis adresse, pas eller navn.

Læs mere om KYC.

kyc procedure icon

Kundekendskabsprocedure

Beskriver hvad virksomheden skal foretage sig for i tilstrækkelig grad at kunne siges at kende sin kunde. Også kendt som KYC - know your customer.

AML 6: Nye krav er på vej

Alle disse krav har det tilfælles, at de kræver faste procedurer og kontroller, som kan sikre, at de foretages ved hver eneste kunde. En sikker procedure og bearbejdning af ens kundeforhold er kun etableret, såfremt det efterfølgende kan bevises, at den har fundet sted.

Hvis ikke man følger kravene, kan det have konsekvenser for ens virksomhed. Udover at ovenstående krav allerede er relativt omfattende, kommer der kun flere og flere krav til. Det er et område med massiv politisk og samfundsmæssig interesse og bevågenhed, hvorfor det som virksomhed godt kan betale sig at sætte sig ind i reglerne og søge at være på forkant.

Den seneste version, AML 6, skal være implementeret i alle medlemsstater den 3. december 2020 og træder for virksomhederne i kraft senest den 3. juni 2021. Ved AML 6 vil der være en del udvidelser af områder, der er omfattet, nogle skærpelser samt fokus på bøder og sanktionsmuligheder.

NewBanking Identity - Styr fri af hvidvask med nem og sikker AML-løsning

Som du måske er kommet frem til, stilles der høje krav til virksomheder i forhold til overholdelse af hvidvaskloven. Har I styr på jeres anti-hvidvaskprocedurer?

Hvis ikke, så kan NewBanking hjælpe.

NewBanking er en dansk virksomhed og softwareplatform, der blandt andet hjælper virksomheder med onboarding og compliance.

Med NewBanking Identity kan I blandt andet:

PEP icon

Automatisk screene kunder mod PEP-lister.

Validation ID scan icon

Verificere kunders ID.

Papers

Indhente oplysninger fra officielle kilder om virksomheder og enkeltpersoner.

Bliv klogere på NewBanking her:

Med NewBanking får I ro i maven, når det kommer til det vigtige emne om hvidvask.

Book en demo af NewBanking i dag og få overblik over alle funktionerne i NewBanking.

Book en demo