ERU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 179: Spm. om, hvilke oplysninger i Finanstilsynets vejledning om hvidvaskloven, der guider pengeinstitutter m.v. i den praktiske anvendelse af, hvordan de skal anvende den risikobaserede tilgang i relation til foreninger, til erhvervsministeren

Erhvervsudvalget 2019-20
ERU Alm.del
Offentligt

Finanstilsynets vejledning om lov om forebyg-

gende foranstaltninger mod hvidvask og finansie-

ring af terrorisme (hvidvaskloven)

Oktober 2018

ERU, Alm.del - 2019-20 - Endeligt svar på spørgsmål 179: Spm. om, hvilke oplysninger i Finanstilsynets vejledning om hvidvaskloven, der guider pengeinstitutter m.v. i den praktiske anvendelse af, hvordan de skal anvende den risikobaserede tilgang i relation til foreninger, til erhvervsministeren

Del 1

–

Anvendelsesområde og definitioner

................................................................................................. 6

Indhold

Indledning ............................................................................................................................................ 6

1.1.

Øvrige virksomheder og personer omfattet af hvidvaskloven - bilag 1 ...................................... 8

Modtagelse af indlån og andre tilbagebetalingspligtige midler ........................................... 8

Udlånsvirksomhed ............................................................................................................... 8

Finansiel leasing .................................................................................................................. 8

1.1.1.

1.1.2.

1.1.3.

1.1.4.

Udstedelse og administration af andre betalingsmidler (for eksempel rejsechecks og

bankveksler), i det omfang aktiviteten ikke er omfattet af lov om betalinger...................................... 9

1.1.5.

1.1.6.

1.1.7.

Sikkerhedsstillelse og garantier .......................................................................................... 9

Transaktioner for kunders regning ...................................................................................... 9

Medvirken ved emission af værdipapirer og tjenesteydelser i forbindelse hermed ............ 9

1.1.8.

Rådgivning til virksomheder vedrørende kapitalstruktur, industristrategi og dermed

beslægtede spørgsmål samt rådgivning og tjenesteydelser vedrørende sammenslutning og opkøb

af virksomheder................................................................................................................................... 9

1.1.9.

1.1.10.

1.1.11.

1.1.12.

1.2.

1.3.

1.4.

Pengeformidling (money broking) ..................................................................................... 10

Porteføljeadministration og -rådgivning............................................................................. 10

Opbevaring og forvaltning af værdipapirer........................................................................ 10

Bankboksudlejning ............................................................................................................ 10

Hvidvaskregistrering hos Finanstilsynet ................................................................................... 10

Registrering hos Erhvervsstyrelsen .......................................................................................... 11

Undtagelsesbekendtgørelser .................................................................................................... 14

Virksomheder, der udøver aktiviteter i bilag 1 i begrænset omfang og valutaveksling .... 14

Lempede krav til kundekendskabsproceduren for udstedere af elektroniske penge ....... 16

1.4.1.

1.4.2.

Definitioner ........................................................................................................................................ 17

2.1.

2.2.

2.3.

Hvidvask .................................................................................................................................... 17

Finansiering af terrorisme ......................................................................................................... 18

Kontantforbud............................................................................................................................ 18

Indbyrdes forbundne betalinger ........................................................................................ 19

2.3.1.

2.4.

Falske penge ............................................................................................................................. 19

Del 2

–

Risikovurdering og risikostyring

................................................................................................... 21

Risikovurdering ................................................................................................................................. 21

3.1.

3.2.

Metode og dokumentation ........................................................................................................ 23

Risikofaktorer ............................................................................................................................ 24

3.2.1.

3.2.2.

3.2.3.

3.2.4.

3.2.5.

3.3.

Kundetyper ........................................................................................................................ 24

Produkter, tjenesteydelser og transaktioner ..................................................................... 25

Leveringskanaler ............................................................................................................... 26

Lande og geografiske områder ......................................................................................... 27

Sektorspecifikke eksempler............................................................................................... 28

Opdatering af risikovurderingen ................................................................................................ 30

Politikker, procedurer og kontroller ................................................................................................... 31

4.1.

4.2.

4.3.

Baggrund ................................................................................................................................... 31

Politikker .................................................................................................................................... 33

Procedurer................................................................................................................................. 34

Risikostyring ...................................................................................................................... 34

Screening af medarbejdere ............................................................................................... 35

Intern kontrol ...................................................................................................................... 36

4.3.1.

4.3.2.

4.3.3.

Koncerner .......................................................................................................................................... 37

5.1.

5.2.

Udveksling af oplysninger i koncerner ...................................................................................... 38

Koncernfælles risikovurdering, politikker og procedurer .......................................................... 38

Ansvarlige personer og funktioner .................................................................................................... 39

6.1.

6.2.

Hvidvaskansvarlig - den § 7, stk. 2-udpegede person ............................................................. 40

Den hvidvaskansvarliges ansvarsområder ............................................................................... 41

Uddelegering ..................................................................................................................... 41

6.2.1.

6.3.

6.4.

6.5.

Complianceansvarlig ................................................................................................................. 42

Ansvarligt direktionsmedlem ..................................................................................................... 43

Intern revision/intern audit......................................................................................................... 44

Intern audit ......................................................................................................................... 44

6.5.1.

Uddannelse ....................................................................................................................................... 45

Del 3

–

Kundekendskabsprocedurer ........................................................................................................ 47

Hvornår skal en virksomhed gennemføre kundekendskabsprocedurer ........................................... 49

8.1.

8.2.

8.3.

8.4.

8.5.

8.6.

8.7.

8.8.

Etablering af en forretningsforbindelse ..................................................................................... 49

En kundes relevante omstændigheder ændrer sig .................................................................. 49

Kundekendskabsprocedurer ved passende tidspunkter .......................................................... 50

Enkeltstående transaktioner ..................................................................................................... 51

Udbud af spil, hvor indsatsen eller udbetalingen er over et vist beløb ..................................... 52

Mistanke om hvidvask eller finansiering af terrorisme .............................................................. 53

Tidligere indhentede oplysninger om kunden ........................................................................... 53

Enkeltstående aktiviteter, der ikke er transaktioner (rådgivningsopgaver) .............................. 54

Indholdet af kundekendskabsprocedurer.......................................................................................... 54

9.1.

9.2.

9.3.

9.4.

9.5.

9.6.

Indhentning af identitetsoplysninger ......................................................................................... 55

Kontrol af identitetsoplysninger ................................................................................................. 56

Eksempler på kontrol ved en pålidelig og uafhængig kilde ...................................................... 57

Distancekunder ......................................................................................................................... 59

Brug af NemID .......................................................................................................................... 59

Reelle ejere ............................................................................................................................... 61

Definition af reelle ejer ....................................................................................................... 61

Indhentelse af identitetsoplysninger .................................................................................. 62

Kontrol af reelle ejeres identitetsoplysninger .................................................................... 63

Klarlæggelse af ejer- og kontrolstruktur ............................................................................ 63

9.6.1.

9.6.2.

9.6.3.

9.6.4.

9.7.

9.8.

9.9.

10.

11.

12.

Forretningsforbindelsens formål og tilsigtede beskaffenhed .................................................... 66

Løbende overvågning af forretningsforbindelsen ..................................................................... 68

Løbende ajourføring af oplysninger om kunden ....................................................................... 69

Når en person handler på vegne af en kunde .............................................................................. 70

Begunstigede ved livs- og pensionsforsikringer ........................................................................... 71

Korrespondentforbindelser ........................................................................................................... 72

Grænseoverskridende korrespondentforbindelse................................................................. 72

Korrespondentens forpligtelser ............................................................................................. 73

Gennemstrømningskonti ....................................................................................................... 75

Virksomheden må ikke have en korrespondentforbindelse med et tomt selskab ................ 75

12.1.

12.2.

12.3.

12.4.

13.

14.

15.

Risikovurdering

–

kundekendskabsprocedurer ............................................................................ 76

Skærpede kundekendskabsprocedurer........................................................................................ 77

Politisk eksponerede personer (PEP’er)

....................................................................................... 80

Hvem er PEP? ....................................................................................................................... 80

Politisk eksponerede personer .......................................................................................... 80

Nærtstående og nære samarbejdspartnere ...................................................................... 81

Kundekendskab og risikovurdering ....................................................................................... 82

Fastlæggelse af om en kunde er PEP, nærtstående eller nær samarbejdspartner ......... 82

Oprindelsen af midlerne og formuen ................................................................................. 84

Godkendelse af kundeforholdet ........................................................................................ 86

Skærpet overvågning ........................................................................................................ 87

Begunstigede i henhold til forsikringspolicer ..................................................................... 91

Ophør af PEP-status ......................................................................................................... 92

15.1.

15.1.1.

15.1.2.

15.2.

15.2.1.

15.2.2.

15.2.3.

15.2.4.

15.2.5.

15.2.6.

16.

Lempede kundekendskabsprocedurer ......................................................................................... 92

17.

Tidspunkt for gennemførelse af kundekendskabsprocedurer ...................................................... 93

Kontrol af identitetsoplysninger under etablering af forretningsforbindelsen ....................... 94

Transaktioner med værdipapirer for en kunde...................................................................... 95

17.1.

17.2.

18.

Utilstrækkelige oplysninger eller oplysninger, der ikke kan ajourføres ........................................ 95

Virksomhedens pligt til at afbryde eller afvikle et kundeforhold ............................................ 96

18.1.

19.

20.

Del 4

–

Bistand fra tredjemand og outsourcing

.......................................................................................... 99

Bistand fra tredjemand .................................................................................................................. 99

Betingelser........................................................................................................................... 101

Ansvaret .............................................................................................................................. 102

Tredjemand etableret i land med høj risiko ......................................................................... 103

20.1.

20.2.

20.3.

Behandling af personoplysninger ................................................................................................. 97

21.

22.

Koncernforhold ............................................................................................................................ 103

Outsourcing ................................................................................................................................. 105

Betingelser........................................................................................................................... 105

Hvem kan en virksomheden outsource til i henhold til hvidvaskloven? ............................. 106

Kontrol af leverandøren ....................................................................................................... 106

Ansvar ................................................................................................................................. 106

22.1.

22.2.

22.3.

22.4.

23.

Del 5

–

Undersøgelses-, noterings-, underretnings- og opbevaringspligt

.................................................. 110

Sondring mellem §§ 22, 23 og 24 ............................................................................................... 107

24.

Undersøgelsespligt ..................................................................................................................... 110

Udvidet overvågning............................................................................................................ 112

Noteringspligten .................................................................................................................. 112

Begrænsning i retten til indsigt ............................................................................................ 113

24.1.

24.2.

24.3.

25.

Underretningspligt ....................................................................................................................... 113

Overtrædelse af kontantforbuddet ...................................................................................... 114

Begrænsning i retten til indsigt ............................................................................................ 114

Undtagelse til underretningspligten ..................................................................................... 114

Virksomhedens pligt til at undlade at gennemføre transaktioner ....................................... 115

Formkrav til underretning til Hvidvasksekretariatet i SØIK ................................................. 116

25.1.

25.2.

25.3.

25.4.

25.5.

26.

Del 6

–

Grænseoverskridende virksomhed og sanktioner

........................................................................ 120

Opbevaringspligten ..................................................................................................................... 117

27.

Grænseoverskridende virksomhed ............................................................................................. 120

27.1.

27.2.

Virksomheder, der driver virksomhed i et andet EU/EØS-land .......................................... 120

Hvis værtslandets regler om hvidvask og finansiering af terrorisme er lempeligere .......... 120

27.3.

Hvis værtslandets regler om hvidvask og finansiering af terrorisme er strengere end de

danske ............................................................................................................................................. 121

27.4.

27.5.

27.5.1.

28.

Hvis værtslandets regler ikke tillader gennemførelse af kravene i hvidvaskloven ............. 121

Udveksling af oplysninger om underretninger .................................................................... 121

Nødvendige oplysninger.................................................................................................. 122

Forordninger om forhøjet risiko og finansielle sanktioner .......................................................... 123

Forordning om tredjelande med forhøjet risiko ................................................................... 123

Finansielle sanktioner i FN- og EU-systemet...................................................................... 124

Screening af kunder og transaktioner ................................................................................. 124

Navne- og identitetsmatch .................................................................................................. 125

Indirekte tilrådighedsstillelse ............................................................................................... 125

28.1.

28.2.

28.3.

28.4.

28.5.

29.

Del 7

–

Ansatte og whistleblowerordning

................................................................................................ 126

Whistleblowerordning.................................................................................................................. 126

29.1.

29.2.

Undtagelse til whistleblowerordningen................................................................................ 128

Ansatte, der indberetter virksomheden ............................................................................... 128

30.

31.

Del 8

–

Tavshedspligt og ansvar

............................................................................................................... 130

Ansvarsfrihed .............................................................................................................................. 130

Tavshedspligt .............................................................................................................................. 130

Undtagelser til tavshedspligten ........................................................................................... 131

31.1.

32.

Del 9

–

Pengeoverførsler..........................................................................................................................

134

Pengeoverførselsforordningen ................................................................................................... 134

Baggrund ............................................................................................................................. 134

Definitioner .......................................................................................................................... 134

Indledende overblik over pengeoverførselsforordningen ................................................... 136

Undtagelser i forordningen .................................................................................................. 137

Betalers betalingsformidlers forpligtelser ............................................................................ 138

Pengeoverførsler inden for EU ........................................................................................ 139

Pengeoverførsler uden for EU ........................................................................................ 140

Betalingsmodtagers betalingsformidlers forpligtelser ......................................................... 141

Mellembetalingsformidlers forpligtelser............................................................................... 143

32.1.

32.2.

32.3.

32.4.

32.5.

32.5.1.

32.5.2.

32.6.

32.7.

Bilag 1 ..................................................................................................................................................... 144

1. Indledning

Del 1

–

Anvendelsesområde og definitioner

Finanstilsynets vejledning om lov om forebyggende foranstaltninger mod hvidvask og finansiering af ter-

rorisme (hvidvaskloven) henvender sig til virksomheder og personer, der er omfattet af hvidvaskloven

(lov nr. 651 af 8. juni 2017 om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme

med senere ændringer). Vejledningen handler om, hvordan disse virksomheder og personer kan opfylde

kravene i hvidvaskloven og omfatter reglerne på området for hvidvask og finansiering af terrorisme, idet

der dog nogle steder er nævnt, hvordan der kan være sammenhæng til andre regelområder.

Virksomheder og personer skal således være opmærksom på, at der kan være krav i anden lovgivning,

som de samtidig skal overholde.

Denne vejledning erstatter vejledning nr. 9184 af 24. april 2013 om lov om forebyggende foranstaltninger

mod hvidvask af udbytte og finansiering af terrorisme.

Hvidvaskloven gennemfører EU’s 4. hvidvaskdirektiv (Europa-Parlamentets

og Rådets direktiv

2015/849/EU af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle sy-

stem til hvidvask af penge eller finansiering af terrorisme) og bygger herudover på anbefalinger fra Fi-

nancial Action Task Force (FATF), som Danmark er medlem af.

Finanstilsynet har samlet information om området for hvidvask og finansiering af terrorisme på tilsynets

hjemmeside:

https://www.finanstilsynet.dk/Tilsyn/Information-om-udvalgte-tilsynsomraader/Hvidvask.

Vejledningen anvender virksomheder som fællesbetegnelse for virksomheder og personer, der er omfat-

tet af loven.

Hvidvaskloven bygger på en betragtning om, at virksomheder omfattet af loven skal have en risikobaseret

tilgang og selv fastsætte rammerne for, hvordan de overholder hvidvasklovgivningen. Vejledningens ek-

sempler skal ses som en måde, hvor virksomheder kan finde inspiration til overholdelse af lovens krav.

Eksemplerne er dog ikke et udtryk for den eneste måde, som virksomhederne kan opfylde lovens krav

på og skal heller ikke anses som en udtømmende liste for overholdelse af lovens krav.

Vejledningen kan ikke udgøre det eneste bidrag til virksomhedens risikobaserede tilgang til overholdelse

af hvidvasklovgivningen. Virksomheden skal ikke kun vurdere egne forhold, men også søge inspiration i

nationale og supranationale risikovurderinger samt rapporter fra f.eks. European Banking Authority (EBA)

og FATF, hvor dette er relevant.

Følgende virksomheder er omfattet af hvidvaskloven:

1) Pengeinstitutter.

2) Realkreditinstitutter.

3) Fondsmæglerselskaber.

4) Livsforsikringsselskaber og tværgående pensionskasser.

5) Sparevirksomheder.

6) Udbydere af betalingstjenester og udstedere af elektroniske penge, jf. bilag 1, nr. 1-7 i lov om

betalinger.

7) Forsikringsformidlere, når de formidler livsforsikringer eller andre investeringsrelaterede forsikrin-

ger.

8) Øvrige virksomheder og personer, der erhvervsmæssigt udøver en eller flere af aktiviteterne som

nævnt i bilag 1, jf. dog lovens § 1, stk. 4. Se afsnit 1.1. om øvrige personer og virksomheder

omfattet af hvidvaskloven.

9) Udenlandske virksomheders filialer, distributører og agenter her i landet, der udøver virksomhed

efter nr. 1-7, 10 og 11.

10) Investeringsforvaltningsselskaber og forvaltere af alternative investeringsfonde, hvis disse virk-

somheder har direkte kundekontakt.

11) Danske UCITS og alternative investeringsfonde, hvis disse virksomheder har direkte kundekon-

takt.

12) Operatører af et reguleret marked, der har fået tilladelse i Danmark til at være auktionsplatform i

henhold til Europa-Kommissionens forordning 2010/1031/EU af 12. november 2010 om det tids-

mæssige og administrative forløb af auktioner over kvoter for drivhusgasemissioner og andre

aspekter i forbindelse med sådanne auktioner i medfør af Europa-Parlamentets og Rådets direk-

tiv 2003/87/EF om en ordning for handel med kvoter for drivhusgasemissioner i Fællesskabet.

13) Aktører, som har tilladelse til at byde direkte på auktioner, der er omfattet af Europa-Kommissio-

nens forordning 2010/1031/EU af 12. november 2010 om det tidsmæssige og administrative for-

løb af auktioner over kvoter for drivhusgasemissioner og andre aspekter i forbindelse med så-

danne auktioner i medfør af Europa-Parlamentets og Rådets direktiv 2003/87/EF om en ordning

for handel med kvoter for drivhusgasemissioner i Fællesskabet, og som ikke allerede er omfattet

efter nr. 1 og 3.

14) Advokater,

a. når de yder bistand ved rådgivning om eller udførelse af transaktioner for deres klienter i

forbindelse med

i. køb og salg af fast ejendom eller virksomheder,

ii. forvaltning af klienters penge, værdipapirer eller andre aktiver,

iii. åbning eller forvaltning af bankkonti eller værdipapirdepoter,

iv. tilvejebringelse af nødvendig kapital til oprettelse, drift eller ledelse af virksomhe-

der eller

v. oprettelse, drift eller ledelse af virksomheder, fonde m.v., eller

b. når de på en klients vegne og for dennes regning foretager en finansiel transaktion eller

en transaktion vedrørende fast ejendom.

15) Revisorer og revisionsvirksomheder godkendt i henhold til revisorloven.

16) Ejendomsmæglere og ejendomsmæglervirksomheder.

17) Virksomheder og personer, der i øvrigt erhvervsmæssigt leverer samme ydelser som de i nr. 14-

16 nævnte persongrupper, herunder revisorer, som ikke er godkendt i henhold til revisorloven,

skatterådgivere og eksterne bogholdere.

18) Udbydere af tjenesteydelser til virksomheder, jf. lovens § 2, nr. 12, se afsnit 1.3 om registrering

hos Erhvervsstyrelsen

19) Valutavekslingsvirksomhed, jf. dog lovens § 1, stk. 4.

20) Udbydere af spil, jf. dog lovens § 1, stk. 5.

21) Danmarks Nationalbank, i det omfang den udøver tilsvarende virksomhed som institutter nævnt i

nr. 1.

Ovenstående punkt 6) omfatter virksomheder, der udsteder elektroniske penge eller udbyder betalings-

tjenester, og som er underlagt krav om tilladelse som betalingsinstitut eller e-pengeinstitut, eller begræn-

set tilladelse til at udbyde betalingstjenester eller udstede e-penge, efter reglerne i lov om betalinger.

Virksomheder, der kun udbyder kontooplysningstjenester, jf. § 60 i lov om betalinger, er dog ikke omfattet.

Virksomheder, der udbyder betalingstjenester, men ikke er omfattet af et tilladelseskrav efter lov om be-

talinger, eksempelvis virksomheder omfattet af § 5, nr. 14-17, i lov om betalinger er ikke omfattet.

1.1.

Øvrige virksomheder og personer omfattet af hvidvaskloven - bilag 1

Henvisning til hvidvaskloven: § 48, stk. 1 og bilag 1.

Henvisning til 4. hvidvaskdirektiv: Art. 3, stk. 2, litra a.

Henvisning til anden lovgivning: Lov om finansiel virksomhed bilag 1 og 2.

Hvidvasklovens § 1, stk. 1, nr. 8, er en opsamlingsbestemmelse, der omfatter virksomheder, som er-

hvervsmæssigt udøver en eller flere af de finansielle aktiviteter, der er nævnt i bilag 1, uden at den på-

gældende virksomhed er omfattet af § 1, stk. 1, nr. 1-7.

Bilag 1 i hvidvaskloven er en sammenskrivning af bilag 1 og bilag 2 i lov om finansiel virksomhed, der

oplister pengeinstitut- og kreditinstitutvirksomhed. Dog er kreditoplysningsvirksomheder samt øvrig virk-

somhed i forbindelse med omsætning af penge og kreditmidler ikke omfattet af hvidvasklovens bilag 1.

Bilag 1 i hvidvaskloven skal fortolkes i overensstemmelse med lov om finansiel virksomhed for så vidt

angår de finansielle aktiviteter, hvor der er sammenfald mellem bilagene.

Hvis en virksomhed udøver en eller flere aktiviteter i bilag 1 til hvidvaskloven, skal virksomheden regi-

streres hos Finanstilsynet. Se afsnit 1.1 om øvrige virksomheder og personer omfattet af hvidvaskloven.

1.1.1.

Modtagelse af indlån og andre tilbagebetalingspligtige midler

Dette omfatter virksomheder, der henvender sig til offentligheden, og som erhvervsmæssigt udbyder ind-

lån og andre tilbagebetalingspligtige midler uden at skulle have en tilladelse som pengeinstitut eller spar-

revirksomhed.

Indlån og andre tilbagebetalingspligtige midler er indskud, hvor indskyderen har krav på at få sin fordring

tilbagebetalt i sin helhed.

1.1.2.

Udlånsvirksomhed

Udlånsvirksomhed omfatter blandt andet forbrugerkreditter, realkreditlån, factoring og diskontering samt

handelskreditter (inkl. forfaitering). Alle former for udlånsvirksomhed er omfattet. De underpunkter, der

nævnes, er alene eksempler, der ikke indebærer nogen begrænsninger i de låneformer, der er omfattet.

Udlånsvirksomhed omfatter både udlån til erhverv og til private. Formidling af lån er ikke omfattet.

1.1.3.

Finansiel leasing

Ved finansiel leasing forstås de typer af leasingaftaler, hvor leasingtager bærer den finansielle risiko for

leasingudstyrets anslåede restværdi ved leasingaftalens udløb.

Leasingstager forpligter sig til i leasingperioden at betale en leasingafgift, der er en afvikling på det ”bag-

vedliggende lån” i leasingselskabet.

Leasingudstyret har ofte en restværdi ved leasingaftalens udløb. Det indskrives derfor ofte i leasingafta-

len, at leasingtager på dette tidspunkt er forpligtet til på anfordring at anvise en køber af udstyret til den

anslåede restværdi.

Operationel leasing er en anden leasingform, der ikke er omfattet af hvidvaskloven. Ved operationel lea-

sing bærer leasingtager ikke risikoen for restværdien af leasingudstyret ved leasingaftalens udløb. Ved

leasingaftalens udløb afleverer leasingtager udstyret tilbage til leasingselskabet, og det er leasingselska-

bet, der bærer risikoen for, at leasingudstyret kan indbringe den anslåede restværdi. Leasingudstyret har

på tidspunktet for udgangen af en operationel leasingaftale en ikke ubetydelig anslået restværdi.

1.1.4.

Udstedelse og administration af andre betalingsmidler (for eksempel rejsechecks og bankveks-

ler), i det omfang aktiviteten ikke er omfattet af lov om betalinger

Dette omfatter udstedelse og administration af andre betalingsmidler i det omfang, aktiviteten ikke er

omfattet af lov om betalinger. Dette betyder, at f.eks. udstedelse af rejsechecks og bankveksler er om-

fattet. Oplistningen er alene eksempler og er derfor ikke udtømmende.

1.1.5.

Sikkerhedsstillelse og garantier

Lån mod sikkerhedsstillelse, f.eks. fakturabelåning eller lån mod pant i fast ejendom, løsøre eller værdi-

papirer, kaution er omfattet. Garantistillelse af enhver art er omfattet, det er dog en forudsætning, at

virksomheden udøves erhvervsmæssigt, f.eks. et kautionsforsikringsselskab.

1.1.6.

Transaktioner for kunders regning

De transaktioner for kunders regninger, der er omfattet er:

a) pengemarkedsinstrumenter (checks, veksler, indskudsbeviser m.v.),

b) valutamarkedet,

c) finansielle futures og optioner,

d) valuta- og renteinstrumenter,

e) værdipapirer.

Ved pengemarkedsinstrumenter forstås de instrumenter, der normalt omsættes på pengemarkedet, f.eks.

skatkammerbeviser, der er kortfristede gældsbreve udstedt af staten.

1.1.7.

Medvirken ved emission af værdipapirer og tjenesteydelser i forbindelse hermed

Dette omfatter f.eks. medvirken til notering på et reguleret marked.

1.1.8.

Rådgivning til virksomheder vedrørende kapitalstruktur, industristrategi og dermed beslæg-

tede spørgsmål samt rådgivning og tjenesteydelser vedrørende sammenslutning og opkøb af

virksomheder

Dette omfatter blandt andet rådgivning om notering og placering af aktier og aktierelaterede værdipapirer

via regulerede markedspladser, private placeringer af unoterede aktier, større sekundære aktieplacerin-

ger via regulerede markedspladser, samt rådgivning i forbindelse med gennemførelse af fusioner og virk-

somhedsoverdragelse. Denne form for virksomhed betegnes også ”merchant banking”.

1.1.9.

Pengeformidling (money broking)

Med pengeformidling forstås, virksomhed, der består i at formidle kontakt mellem virksomheder, der øn-

sker at låne penge, og virksomheder, der ønsker at udlåne penge. Pengemarkedet er en samlebeteg-

nelse for de finansielle markeder for aktiver involveret i kortfristede lån/udlån med en løbetid på et år eller

mindre.

1.1.10.

Porteføljeadministration og -rådgivning

Dette omfatter porteføljeadministration og -rådgivning om køb og salg af værdipapirer, der ikke kræver

en tilladelse som fondsmægler i henhold til lov om finansiel virksomhed.

1.1.11.

Opbevaring og forvaltning af værdipapirer

Forvaltning adskiller sig i denne sammenhæng fra

”porteføljeadministration

og rådgivning” ved, at forvalt-

ning forudsætter et diskretionært mandat til at købe og sælge værdipapirer fra kunden uden dennes

samtykke til den konkrete disposition.

1.1.12.

Bankboksudlejning

Bankboksudlejning er omfattet af bilag 1 til hvidvaskloven.

Udbud af boksudlejning kræver en registrering efter hvidvaskloven, fordi det kan anvendes til opbevaring

af bl.a. kontante midler, ædelmetaller og andre fysiske genstande, der har en høj værdi. Se afsnit 1.2 om

hvidvaskregistrering hos Finanstilsynet.

Hvis virksomheden kun udbyder opbevaring af f.eks. møbler, bagage, køretøjer og lignende, er det ikke

omfattet af bilag 1 til hvidvaskloven. Tilsvarende er kortvarig, lejlighedsvis opbevaring, som et hotel f.eks.

stiller til rådighed til hotellets kunder, ikke omfattet.

1.2.

Hvidvaskregistrering hos Finanstilsynet

Henvisning til hvidvaskloven: § 1, stk. 1, nr. 8, og § 48, stk. 1.

Virksomheder, der erhvervsmæssigt påtænker at udøve en eller flere aktiviteter, der er oplistet i hvid-

vasklovens bilag 1, skal anmelde sig til registrering hos Finanstilsynet.

Registrering hos Finanstilsynet er en forudsætning for, at virksomheden kan udøve den omhandlede

aktivitet. Det betyder, at virksomheder, der driver virksomhed efter bilag 1, uden at have anmeldt sig til

registrering, eller som er nægtet registrering, udøver ulovlig virksomhed.

Registreringspligten gennemføres, for at Finanstilsynet kan føre tilsyn med virksomheder, der erhvervs-

mæssigt udøver en eller flere af de aktiviteter, som er nævnt i bilag 1. Virksomheder, der allerede i hen-

hold til anden lovgivning er under Finanstilsynets tilsyn, skal ikke registreres i medfør af § 48, stk. 1.

Anmeldelse skal ske, selvom aktiviteten ikke er virksomhedens hovedaktivitet. Virksomheden skal dog

ikke registreres, hvis der blot er tale om enkeltstående erhvervsmæssige dispositioner, der har naturlig

tilknytning til virksomhedens hovedaktivitet. Eksempelvis omfatter begrebet erhvervsmæssigt ikke virk-

somheders placering af overskudslikviditet, hvor formålet er passiv formuepleje, f.eks. løbende placering

af overskudslikviditet i børsnoterede aktier eller obligationer.

Med erhvervsmæssigt forstås:

1) at

aktiviteten bliver udbudt til tredjemand (”kunder”) eller

2) at aktiviteten har et sådan omfang, at den udgør en ikke ubetydelig del af virksomhedens omsæt-

ning.

Hæderlighedsvurdering

En virksomhed, der søger om at blive registreret hos Finanstilsynet, må ikke være dømt for et strafbart

forhold, der begrunder nærliggende fare for misbrug af registreringen. Finanstilsynet kan inddrage regi-

streringen, hvis en virksomhed efterfølgende bliver dømt for et sådan forhold.

Finanstilsynet skal vurdere, om personer eller medlemmer af ledelsen og kredsen af reelle ejere i virk-

somheder, der skal registreres hos Finanstilsynet, opfylder krav om hæderlighed. De virksomheder og

personer, der er omfattet af bestemmelsen, skal give Finanstilsynet de oplysninger, der er nødvendige

for, at Finanstilsynet kan vurdere, om kravene er opfyldt.

Finanstilsynets vurdering sker særligt med henblik på at sikre, at de nævnte virksomheder, herunder

medlemmer af ledelsen og kredsen af reelle ejere, der udøver en eller flere aktiviteter i bilag 1, eksem-

pelvis ikke tidligere er dømt for en økonomisk forbrydelse.

Finanstilsynets har pligt til at undlade at registrere en virksomhed, hvis virksomheden eller virksomhe-

dens ledelse eller reelle ejere er dømt for et strafbart forhold, der begrunder en nærliggende fare for

misbrug af registreringen.

Formålet med bestemmelsen er at minimere risikoen for hvidvask af penge i virksomheden og kanalise-

ring af penge til terrorformål ved at hindre, at personer med bestemmende indflydelse på virksomheden

kan anvende virksomheden til kriminelle formål.

Det er som udgangspunkt kun strafbare handlinger, der relaterer sig til ovenstående typer kriminalitet,

der indgår i Finanstilsynets vurdering. Domme for skatteunddragelse vil kunne medføre et afslag på re-

gistrering under hensyn til, at skatteunddragelse er omfattet af definitionen af hvidvask. Se afsnit 2.1 om

definitioner, hvidvask.

1.3.

Registrering hos Erhvervsstyrelsen

Henvisning til hvidvaskloven: § 1, stk. 1, nr. 18, § 2, stk. 1, nr. 12, § 57, stk. 2 og § 58.

Henvisning til 4. hvidvaskdirektiv: Art. 47 (Art. 2, stk. 1, nr. 3, litra c.).

Henvisning til anden lovgivning: Bekendtgørelse om anmeldelse og registrering af udbydere af tje-

nesteydelser til virksomheder i Erhvervsstyrelsens register til bekæmpelse af hvidvask.

Virksomheder som udbyder tjenesteydelser til virksomheder, jf. § 2, nr. 12, skal registreres hos Erhvervs-

styrelsen i register til bekæmpelse af hvidvask, for lovligt at kunne udøve denne virksomhed.

Baggrunden for registreringspligten er, at udbydere af tjenesteydelser til virksomheder anses for at være

særligt udsatte for risikoen for at blive misbrugt af sine kunder i forbindelse med hvidvask og terrorfinan-

siering.

Det bemærkes at advokater og advokatvirksomheder, revisorer og revisionsvirksomheder, som er om-

fattet af hvidvasklovens § 1, stk. 1, nr. 14-16, ikke skal registreres i Erhvervsstyrelsens register til be-

kæmpelse af hvidvask, selvom de udbyder samme ydelser som omfattet af registreringspligten.

Det bemærkes i øvrigt at bogholdere, skatterådgivere mv. som er omfattet af hvidvasklovens § 1, stk. 1,

nr. 17, ikke skal registreres, medmindre de erhvervsmæssigt også udbyder mindst én af ydelserne som

nævnt i § 2, nr. 12.

For at være omfattet af registreringspligten, skal virksomheden udbyde mindst én af følgende ydelser:

1) Oprettelse af selskaber, virksomheder eller andre juridiske personer

a) Bestemmelsen omfatter både oprettelse af selskaber, virksomheder og andre juridiske

personer. Bistand til oprettelse af frivillige foreninger mv., vil derfor også være omfattet.

b) Registreringspligten gælder for al form for erhvervsmæssig bistand til udarbejdelse af

dokumenter, kontakt til myndigheder og registrering af selskaber eller lignende. Det er

således ikke afgørende, om den pågældende foretager selve anmeldelsen eller registre-

ringen hos Erhvervsstyrelsen, men om den pågældende foretager det konkrete arbejde

ved oprettelsen.

c) Bestemmelsen omfatter alene erhvervsmæssigt udbud til tredjemand.

2) Virtuelle kontorhoteller

a) Bestemmelsen omfatter den der stiller hjemstedsadresse eller anden adresse, der på

lignende vis er beregnet som kontaktadresse og dertil knyttede tjenester til rådighed for

en virksomhed.

Med ”dertil

knyttede tjenester”

menes tjenester, der relaterer sig til drift af virksomheden.

Det kan f.eks. bestå i en reception, telefontjeneste, videresendelse af post, virksomheds-

administration, bogholderi eller lignende.

Bestemmelsen omfatter alene såkaldte ”virtuelle kunder”, som ikke befinder sig fysisk på

adressen.

d) Har en virksomhed både virtuelle og fysiske kunder, er det alene de virtuelle kunder, som

omfattes af hvidvasklovens anvendelsesområde.

e) Det er vurderingen, at risikoen for hvidvask og terrorfinansiering er høj i forbindelse med

virtuelle kunder, da kunden har mulighed for at skjule eller sløre sin identitet.

3) Professionelle ledelsesmedlemmer

a) Bestemmelsen omfatter personer, der fungerer som eller sørger for, at en anden person

fungerer som ledelsesmedlem i en virksomhed, eller som deltager i et interessentskab

eller en tilsvarende post i andre virksomheder.

b) Professionelle ledelsesmedlemmer omfatter f.eks. de personer, som i erhvervsøjemed

fungerer som eksempelvis bestyrelsesmedlem eller direktør i en virksomhed. Det afgø-

rende er, at ledelsesmedlemmet agerer på vegne af tredjemand, og at der ikke er tale om

en ansættelse eller udpegning i traditionel forstand.

c) Omfattet af bestemmelsen er eksempelvis personer, som i en opstartsfase, fungerer som

direktør for en udenlandsk virksomhed, som skal etableres i Danmark.

4) Forvaltere eller administratorer af en trust, fond, eller tilsvarende retligt arrangement

a) Bestemmelsen omfatter personer, der fungerer som eller sørger for, at en anden person

fungerer som forvalter eller administrator i en trust, fond eller tilsvarende retligt arrange-

ment.

b) Definitionen omfatter blandt andet de såkaldte trustees, dvs. de personer, der af stifteren

af en trust er udpeget til at forvalte midlerne i trusten.

5) Nominees

a) Bestemmelsen omfatter personer der fungerer som, eller sørger for, at en anden fungerer

som nominee for tredjemand, medmindre det drejer sig om en virksomhed, hvis ejeran-

dele m.v. handles på et reguleret marked eller et tilsvarende marked, som er undergivet

oplysningspligt i overensstemmelse med EU-retten eller tilsvarende internationale stan-

darder.

b) Definitionen omfatter f.eks. personer der fungerer som repræsentanter for aktionæren,

eller sørger for at andre gør det, dvs. såkaldte nominees, som indskriver aktier i eget navn

i aktionærfortegnelsen, men hvor aktierne ejes af andre.

Erhvervsmæssigt udbud

For at ydelsen omfattes af registreringspligten, skal den udbydes erhvervsmæssigt.

Med erhvervsmæssigt forstås, at ydelserne udbydes på markedslignende vilkår, samt at virksomheden

normalt modtager vederlag for ydelserne.

Det er ikke afgørende, om den pågældende tjenesteydelse er overskudsgivende, eller om der i den kon-

krete situation ikke betales vederlag. Enkeltstående udbud af de omhandlede tjenesteydelser, som ikke

kan karakteriseres som erhvervsmæssig, vil ikke være omfattet.

Hæderlighedsvurdering

En virksomhed eller person, der søger om at blive registreret hos Erhvervsstyrelsen, må ikke være dømt

for et strafbart forhold, der begrunder nærliggende fare for misbrug af stillingen. Virksomheden må end-

videre ikke have indgivet begæring om rekonstruktionsbehandling eller konkurs, eller være under rekon-

struktionsbehandling eller konkursbehandling.

Erhvervsstyrelsen skal vurdere, om personer, herunder medlemmer af ledelsen og kredsen af reelle ejere

i virksomheder, der skal registreres hos Erhvervsstyrelsen, opfylder kravet om hæderlighed/egnethed.

De virksomheder og personer, der er omfattet af bestemmelsen, skal give Erhvervsstyrelsen de oplys-

ninger, der er nødvendige for, at Erhvervsstyrelsen kan vurdere, om kravene er opfyldt, hvilket også

gælder oplysninger om efterfølgende ændringer.

Erhvervsstyrelsens vurdering sker særligt med henblik på at sikre, at de nævnte virksomheder, herunder

medlemmer af ledelsen og kredsen af reelle ejere, der udbyder ydelser omfattet af § 2, nr. 12, eksempel-

vis ikke tidligere er dømt for en økonomisk forbrydelse der begrunder en nærliggende fare for misbrug af

de ydelser, som udbydes, og Erhvervsstyrelsen har i disse tilfælde pligt til at undlade at registrere virk-

somheden.

Det bemærkes, at kravet om hæderlighed vedrørende strafbare forhold, tilsvarende finder anvendelse på

ledelsesmedlemmer og reelle ejere i virksomheder, samt for personer omfattet af § 1, stk. 1, nr. 17,

herunder bl.a. skatterådgivere og bogholdere, jf. hvidvasklovens § 57, stk. 2.

Erhvervsstyrelsen har endvidere pligt til at undlade at registrere en virksomhed, hvis et medlem af virk-

somhedens ledelse har indgivet begæring om konkurs, rekonstruktion eller gældssanering, eller er under

rekonstruktionsbehandling, konkursbehandling eller gældssanering.

Formålet med bestemmelsen er at minimere risikoen for hvidvask af penge i virksomheden og kanalise-

ring af penge til terrorformål ved at hindre, at personer med bestemmende indflydelse på virksomheden

kan anvende virksomheden til kriminelle formål.

Det er som udgangspunkt kun strafbare handlinger, der relaterer sig til ovenstående typer kriminalitet,

der indgår i Erhvervsstyrelsens vurdering. Domme for skatteunddragelse vil kunne medføre et afslag på

registrering under hensyn til, at skatteunddragelse er omfattet af definitionen af hvidvask. Se afsnit 2.1

om definitioner, hvidvask.

Erhvervsstyrelsen kan inddrage en registrering, hvis virksomheden, et medlem af dens ledelse eller en

reel ejer, efterfølgende omfattes af forhold, som ville medføre nægtelse af registrering.

1.4.

1.4.1.

Undtagelsesbekendtgørelser

Virksomheder, der udøver aktiviteter i bilag 1 i begrænset omfang og valutaveksling

Henvisning til hvidvaskloven: § 1, stk. 4.

Henvisning til 4. hvidvaskdirektiv: artikel 2, stk. 3.

Henvisning bekendtgørelse: nr. 1358 af 30. november 2017 om hvilke virksomheder og personer,

der kan undtages fra lov om forebyggende foranstaltninger mod hvidvask og finansiering af terro-

risme (hvidvaskloven).

I bekendtgørelse

om hvilke virksomheder og personer, der kan undtages hvidvaskloven, er virksomhe-

der, der udøver finansiel aktivitet i et begrænset omfang, undtaget eller delvist undtaget.

Undtagelsesbekendtgørelsen omfatter kun virksomheder, der er omfattet af hvidvasklovens bilag 1, nr. 1

og 4-12 og valutavekslingsvirksomheder.

Bekendtgørelsen undtager virksomhederne fra visse krav til kundekendskabsprocedurerne, nemlig § 10,

nr. 1 og §§ 14 og 18.

Undtagelsen er betinget af, at risikoen for hvidvask og finansiering af terrorisme er begrænset, og at

aktiviteten udøves lejlighedsvis eller i et meget begrænset omfang.

Af bekendtgørelsen følger seks kumulative betingelser. Det betyder, at alle betingelser skal være opfyldt,

for at virksomheden er omfattet af undtagelsen:

1) Den samlede aktivitet skal være begrænset og må ikke overstige følgende beløb på årsbasis:

a) 70.000 euro for virksomheder, der udøver aktivitet som nævnt i lovens bilag 1, nr. 1 og 4-12.

b) 15.000 euro for valutavekslingsvirksomheder.

2) Den finansielle aktivitet skal være begrænset på transaktionsbasis og må ikke overstige følgende

beløb:

a) 1.000 euro for aktiviteter nævnt i lovens bilag 1, nr. 1 og 4-12.

b) 500 euro for valutavekslingsvirksomheder.

3) Den finansielle aktivitet må ikke være virksomhedens eller personens hovedaktivitet, og den må

ikke overstige 5 pct. af den pågældende virksomheds eller persons samlede omsætning pr. år.

4) Den finansielle aktivitet skal være accessorisk virksomhed, som har direkte tilknytning til virksomhe-

dens eller personens hovedaktivitet.

5) Virksomhedens eller personens hovedaktivitet må ikke være en aktivitet omfattet af § 1, stk. 1, nr.

14-18 og 20, i hvidvaskloven.

6) Den finansielle aktivitet må kun udbydes til kunder, der er omfattet af virksomhedens hovedaktivitet.

Ad 1) Den første betingelse omfatter virksomhedens samlede omsætning. Denne må ikke overstige tær-

skelværdien i punkt a eller b.

Ad 2) Den anden betingelse omfatter den enkelte transaktions størrelse. Transaktioner omfatter både

transaktioner, der gennemføres på én gang, og transaktioner, der gennemføres som flere transaktioner,

der ser ud til at være indbyrdes forbundne.

Udøver virksomheden flere end én af de under nr. 1 eller nr. 2 nævnte aktiviteter, finder det laveste beløb

anvendelse. Det betyder, at hvis virksomheden udbyder valutaveksling og en anden aktivitet omfattet af

bilaget 1, nr. 1 eller 4-12, f.eks. indlånsvirksomhed, er det tærsklen på 500 euro, der er afgørende for,

om den enkelte transaktion overstiger denne. Hvis den overstiger 500 euro, kan virksomheden ikke und-

tages fra hvidvaskloven.

Ad 3) Denne betingelse omfatter, at aktiviteten ikke må være virksomhedens hovedaktivitet, og at aktivi-

teten ikke må overstige 5 pct. af virksomhedens samlede omsætning pr. år.

Nr. 1358 af 30. november 2017

Ad 4) Denne betingelse omfatter, at aktiviteten skal være accessorisk virksomhed, det betyder, at aktivi-

teten skal have tilknytning til virksomhedens hovedaktivitet.

Ad 5) Denne betingelse omfatter aktiviteter, som er udbudt af advokater, når de er omfattet af stk. 1, nr.

14, revisorer og revisionsvirksomheder, ejendomsmæglere og ejendomsmæglervirksomheder, udbydere

af tjenesteydelser, udbud af spil og virksomheder, der erhvervsmæssigt leverer samme ydelser som de

nævnte personer og virksomheder. Disse kan ikke blive undtaget i henhold til § 2, stk. 2, i bekendtgørel-

sen.

Ad 6) Denne betingelse omfatter aktiviteter, der ikke udbydes til offentligheden, men alene til virksomhe-

dens kunder, der er kunder i forhold til virksomhedens hovedaktivitet. Betingelsen hænger derfor sammen

med, at aktiviteten skal være accessorisk til virksomhedens hovedaktivitet. Aktiviteten må derfor ikke

tilbydes andre kunder, end de kunder, som er kunder i forhold til virksomhedens hovedaktivitet.

Virksomheder, der er omfattet af bekendtgørelsen, skal give Finanstilsynets meddelelse om, at de benyt-

ter undtagelsen. Meddelelsen skal gives skriftlig hvert år

1.4.2.

Lempede krav til kundekendskabsproceduren for udstedere af elektroniske penge

Henvisning til hvidvaskloven: § 21, stk. 2.

Henvisning til 4. hvidvaskdirektiv: artikel 12, stk. 1, nr. 5.

Henvisning bekendtgørelse: nr. 1359 af 30. november 2017 om lempede krav til kundekendskabs-

proceduren efter lov om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme

(hvidvaskloven).

Bekendtgørelsen

om lempede krav til kundekendskabsproceduren efter hvidvaskloven undtager udste-

dere af elektroniske penge fra kundekendskabsprocedurerne i §§ 11, 14 og 18, jf. dog § 3.

Af bekendtgørelsen følger fem kumulative betingelser. Det betyder, at alle betingelser skal være opfyldt,

for at virksomheden er omfattet af undtagelsen:

1) Betalingsinstrumentet er ikke genopfyldeligt eller har en maksimal månedlig betalingstransakti-

onsgrænse på 250 euro, som udelukkende kan anvendes i Danmark.

2) Det maksimale elektronisk lagrede beløb må ikke overstige 250 euro.

3) Betalingsinstrumentet kan udelukkende anvendes til køb af varer eller tjenesteydelser.

4) Betalingsinstrumentet kan ikke finansieres med anonyme elektroniske penge.

5) Udstederen skal foretage tilstrækkelig overvågning af transaktioner eller forretningsforbindelser

til at kunne opdage usædvanlige eller mistænkelige transaktioner.

Grænsen i nr. 1 forhøjes dog til 500 euro for betalingsinstrumenter, som udelukkende kan bruges i Dan-

mark.

Et betalingsinstrumentet, jf. nr. 2, der ikke er genopfyldeligt, kan f.eks. være et gavekort, hvor det ikke

er muligt at indsætte yderligere midler på efter udstedelsen af gavekortet.

Nr. 1359 af 30. november 2017

Undtagelsen vedrørende gennemførelse af visse dele af kundekendskabsproceduren for udbydere af

elektroniske penge gælder ikke ved kontantindløsning eller kontanthævning af pengeværdien af elek-

troniske penge, hvis det indløste beløb overstiger 100 euro.

2. Definitioner

2.1.

Hvidvask

Henvisning til hvidvaskloven: § 3.

Henvisning til 4. hvidvaskdirektiv: artikel 1, stk. 3.

Henvisning til anden lovgivning: Straffelovens § 290 og § 290 a.

”Hvidvask” defineres som:

1) Uberettiget at modtage eller skaffe sig eller andre del i økonomisk udbytte eller midler, der er

opnået ved en strafbar lovovertrædelse.

2) Uberettiget at skjule, opbevare, transportere, hjælpe til afhændelse eller på anden måde efterføl-

gende virke til at sikre det økonomiske udbytte eller midlerne fra en strafbar lovovertrædelse.

3) Forsøg på eller medvirken til sådanne dispositioner.

Der er ikke nogen bagatelgrænse for, hvornår et forhold er omfattet af definitionen af hvidvask.

Definitionen omfatter også dispositioner foretaget af den, der har begået den strafbare lovovertrædelse,

som udbyttet eller midlerne hidrører fra. Dette kaldes for selvhvidvask, der i dansk ret ikke straffes efter

den almindelige hæleribestemmelse i straffelovens §290, fordi straf for den bagvedliggende kriminalitet

udtømmende gør op med strafansvar for også de senere tilknyttede dispositioner. Selvhvidvask er imid-

lertid omfattet af bestemmelsen om hvidvask i straffelovens § 290 a, som kun vedrører hvidvask af penge.

Hvidvasklovens definition af hvidvask skal forstås i overensstemmelse med straffelovens § 290 om hæleri

og § 290a om hvidvask.

§ 290.

For hæleri straffes med bøde eller fængsel indtil 1 år og 6 måneder den, som uberettiget

modtager eller skaffer sig eller andre del i udbytte, der er opnået ved en strafbar lovovertrædelse,

og den, der uberettiget ved at skjule, opbevare, transportere, hjælpe til afhændelse eller på lignende

måde efterfølgende virker til at sikre en anden udbyttet af en strafbar lovovertrædelse.

Stk. 2. Straffen kan stige til fængsel i 6 år, når hæleriet er af særligt grov beskaffenhed navnlig på

grund af forbrydelsens erhvervsmæssige eller professionelle karakter eller som følge af den opnå-

ede eller tilsigtede vinding, eller når et større antal forbrydelser er begået.

Stk. 3. Straf efter denne bestemmelse kan ikke pålægges den, som modtager udbytte til sædvanligt

underhold fra familiemedlemmer eller samlever, eller den, der modtager udbytte som normalt veder-

lag for sædvanlige forbrugsvarer, brugsting eller tjenester.

§ 290 a.

For hvidvask straffes med bøde eller fængsel indtil 1 år og 6 måneder den, der konverterer

eller overfører penge, som direkte eller indirekte er udbytte af en strafbar lovovertrædelse, for at

skjule eller tilsløre den ulovlige oprindelse.

Stk. 2. Straffen kan stige til fængsel i 8 år, når hvidvasken er af særligt grov beskaffenhed navnlig

på grund af forbrydelsens erhvervsmæssige eller professionelle karakter eller som følge af den op-

nåede eller tilsigtede vinding, eller når et større antal forbrydelser er begået.

Ad 1) Karakteristisk for hvidvasktransaktioner og aktiviteter er, at de har til formål at skjule midlernes

oprindelse gennem en sløringsproces. Det er ikke et krav, at processen skal være kompliceret, og i

mange tilfælde kan kunden have deltaget i en mindre del af processen.

Ad 2) Strafbar lovovertrædelse omfatter både overtrædelser af straffeloven og af speciallovgivning samt

tilsvarende forhold begået i udlandet, for hvilke der er hjemlet strafansvar. Skatteunddragelse er over-

trædelse af skatte-, told- eller afgiftslovgivningen, hvorved der opnås eller kan opnås uberettiget vinding.

Strafferetligt er hvidvask dækket af § 290 i straffeloven om hæleri, der også vedrører udbytte fra alle

strafbare forhold.

Ad 3) Hvidvask defineres også som forsøg på eller medvirken til sådanne dispositioner som nævnt i nr.

1 og nr. 2. Forsøg og medvirken skal forstås i overensstemmelse med kapitel 4 i straffeloven.

2.2.

Finansiering af terrorisme

Henvisning til hvidvaskloven: § 4.

Henvisning til 4. hvidvaskdirektiv: artikel 1, stk. 5.

Henvisning til anden lovgivning: Straffelovens §§ 114 og 114 b.

”Finansiering af terrorisme” defineres i hvidvaskloven. Definitionen er overensstemmende med definitio-

nen i straffelovens § 114 b, for så vidt angår handlinger omfattet af straffelovens § 114, der definerer

terrorisme.

Straffelovens § 114 b definerer finansiering af terrorisme som den, der:

1) direkte eller indirekte yder økonomisk støtte til,

2) direkte eller indirekte tilvejebringer eller indsamler midler til eller

3) direkte eller indirekte stiller penge, andre formuegoder eller finansielle eller andre lignende ydel-

ser til rådighed for en person, en gruppe eller en sammenslutning, der begår eller har til hensigt

at begå handlinger omfattet af § 114 eller § 114 a.

2.3.

Kontantforbud

Henvisning til hvidvaskloven: § 5.

Henvisning til 4. hvidvaskdirektiv: Artikel 2, stk. 1, nr. 3, litra e, og artikel 11, litra d, i 4.

Virksomheder, der ikke er omfattet af hvidvasklovens § 1, stk. 1, er omfattet af et kontantforbud, som er

fastsat i hvidvasklovens § 5.

Det betyder, at erhvervsdrivende, som ikke omfattet af hvidvasklovens regler, ikke må modtage kontant-

betalinger på 50.000 kr. eller derover, hvad enten betalingen sker på én gang eller som flere betalinger,

der er eller ser ud til at være indbyrdes forbundet.

Med ”kontantbetalinger” skal forstås betaling med kontanter dvs. fysiske penge. Kontantforbuddet omfat-

ter derfor ikke f.eks. betaling med et betalingskort eller hvis en kunde indbetaler penge til sin egen konto

og herefter overfører pengene til forhandlerens konto.

Forbuddet omfatter salg, der sker erhvervsmæssigt. Forbuddet omfatter ikke kun en erhvervsdrivendes

salg af genstande, men også f.eks. erhvervsdrivendes levering af tjenesteydelser og salg af fast ejendom.

Forbuddet gælder, selvom den erhvervsdrivende modtager kontantbetalinger på 50.000 kr. eller derover

uden for landets grænser.

Erhvervsdrivende, der ikke er omfattet af § 1, stk. 1, er derfor kun underlagt kontantforbuddet i § 5.

Forbuddet har baggrund i, at store betalinger med kontanter øger risikoen for hvidvask og finansiering af

terrorisme.

2.3.1.

Indbyrdes forbundne betalinger

Forbuddet omfatter ikke kun betalinger, der sker på én gang men også betalinger, der ser ud til at være

indbyrdes forbundet, hvis det samlede beløb udgør 50.000 kr. eller derover. Dette er for at forhindre, at

forbuddet kan omgås.

Det betyder ikke, at løbende ydelser i sig selv er om omfattet af forbuddet, men hvis betalingen af f.eks.

leje af et hus eller en bil eller betaling ved f.eks. levering af vand og varme for en enkelt periode udgør

50.000 kr. eller derover, så vil betalingen blive omfattet af kontantforbuddet.

Hvis der f.eks. er tale om ratevis betaling, eksempelvis i forbindelse med køb af en løsøregenstand eller

en fast ejendom eller i forbindelse med betaling for en entrepriseydelse eller en rejse, vil de enkelte rater

være indbyrdes forbundne, og kontantforbuddet vil dermed ramme tilfælde, hvor den samlede betaling

udgør 50.000 kr. eller derover. Såfremt en række kontantbetalinger eksempelvis vedrører samme faktura,

og betalingerne tilsammen udgør 50.000 kr. eller derover, vil kontantforbuddet være overtrådt.

2.4.

Falske penge

Henvisning til hvidvaskloven: § 6.

Henvisning til anden lovgivning: artikel 6, stk. 1, i Rådets forordning 2009/44/EF af 18. december

2008 om ændring af forordning 2001/1338/EF om fastlæggelse af de foranstaltninger, der er nødven-

dige for at beskytte euroen mod falskmøntneri, der indeholder en lignende forpligtelse i forhold til

eurosedler og euromønter.

Virksomheder, der deltager i håndtering og udlevering af pengesedler og mønter til offentligheden har

pligt til at tage alle sedler og mønter, som de ved eller har grund til at tro er falske, ud af omløb og overgive

disse til politiet. Det samme gør sig gældende for virksomheder hvis aktivitet består i at veksle penge-

sedler og mønter i forskellig valuta.

Kravet i hvidvaskloven omfatter ikke sedler og mønter i euro, fordi et tilsvarende krav for eurosedler og

euromønter er fastsat i en forordning om fastlæggelse af de foranstaltninger, der er nødvendige for at

beskytte euroen mod falskmøntneri. I forordningen er der bl.a. et krav til de omfattede virksomheder om,

at de skal sikre, at eurosedler og euromønter, som virksomheden har modtaget, og som virksomheden

vil bringe i omløb igen, kontrolleres med henblik på ægthed, og at virksomheder påser, at falske euro-

sedler og euromønter afsløres og overgives til de kompetente nationale myndigheder. Se henvisning i

boksen ovenfor.

Kravet i hvidvaskloven er derfor fastsat med henblik på at også andre typer valuta end euro, herunder

danske kroner omfattes af pligten til straks at overgive formodede falske sedler og mønter til politiet.

Del 2

–

Risikovurdering og risikostyring

3. Risikovurdering

Henvisning til hvidvaskloven: § 7, stk. 1, sidste pkt.

Henvisning til 4. hvidvaskdirektiv: Art. 8, stk. 2, 1. pkt.

Virksomheden skal foretage en risikovurdering af virksomhedens iboende risiko for hvidvask og finansie-

ring af terrorisme. Med

”iboende

risiko” menes i denne forbindelse den risiko, der er for, at virksomheden

kan blive misbrugt til hvidvask eller terrorfinansiering. Der tages i første omgang ikke højde for de foran-

staltninger, som virksomheden har iværksat for at begrænse risikoen.

Risikovurderingen skal foretages med udgangspunkt i virksomhedens forretningsmodel, og skal klar-

lægge hvilke forretningsområder i virksomheden, der er eksponeret for hvidvask- og/eller terrorfinansie-

ringsrisici, hvor store disse risici er, og hvordan de kan manifestere sig. Med en virksomheds forretnings-

model menes i denne forbindelse en kombination af:

1) de kundetyper, som virksomheden har,

2) de produkter, tjenesteydelser og transaktioner, som virksomheden tilbyder kunderne,

3) virksomhedens leveringskanaler til at tilbyde produkterne og/eller udføre tjenesteydelserne,

4) lande eller geografiske områder hvor forretningsaktiviteterne udøves,

5) virksomhedens organisation og

6) virksomhedens koncernstruktur.

Risikovurderingen danner grundlag for, at virksomheden kan vurdere hvilke forretningsområder, der skal

prioriteres for at undgå, at virksomheden kan misbruges til hvidvask og finansiering af terrorisme samt

hvilke operationelle procedurer, der skal iværksættes for de enkelte forretningsområder. Risikovurderin-

gen skal dermed danne grundlaget for, hvordan virksomheden tilrettelægger sine politikker, procedurer

og kontroller, jf. afsnit 2 nedenfor.

Konkret betyder den risikobaserede tilgang, at virksomheden skal identificere og vurdere og forstå den

iboende risiko for, at virksomheden kan blive misbrugt til hvidvask eller finansiering af terrorisme. Virk-

somheden kan dermed bruge sine ressourcer på områder, hvor risikoen er størst.

Risikovurderingen skal bygge på relevante dokumenter, herunder f.eks. den supranationale og den nati-

onale risikovurdering, erfaringer opnået via medier og samarbejde med myndigheder mv. og ikke mindst

virksomhedens egne erfaringer fra kundeovervågning etc. På Finanstilsynets hjemmeside findes links til

nationale og supranationale risikovurderinger og en række andre links til dokumenter, der i øvrigt med

fordel kan indgå i risikovurderingen.

Risikovurderingens indhold og omfang skal være proportional med virksomhedens risikofaktorer, virk-

somhedens størrelse og forretningsomfang. Risikovurderingen skal løbende opdateres, så den afspejler

virksomhedens aktuelle risikoprofil. Virksomheden skal vurdere, hvornår risikovurderingen skal opdate-

res. Som udgangspunkt skal risikovurderingen opdateres en gang årligt. Derudover skal den opdateres,

Links vedr. hvidvask

når virksomhedens forretningsmodel ændres væsentligt, eller ændringer i nye nationale eller supranati-

onale vurderinger vurderes til at kunne påvirke risikovurderingerne, jf. også afsnit 1.4. om undtagelses-

bekendtgørelser.

Nedenstående figur illustrerer processen fra konstateringen af den iboende risiko til konstateringen af

den risiko, der er tilbage, når virksomheden har truffet beslutning om poltikker og procedurer mv. Den

risiko, der er tilbage, efter at de risikobegrænsende foranstaltninger er taget med i vurderingen, kan be-

tegnes den residuale risiko. Der henvises til beskrivelsen nedenfor.

Som figuren nedenfor illustrerer, er der i en virksomheds forretningsmodel en iboende risiko for at blive

misbrugt til hvidvask eller terrorfinansiering. Denne kan ændres, hvis virksomheden beslutter at ændre

forretningsmodellen, f.eks. hvis virksomheden beslutter at ændre sammensætningen af kundetyper, pro-

dukttyper eller leveringskanaler mv. Hvis virksomheden på denne vis vælger overordnet at fjerne nogle

risikofaktorer fra forretningsmodellen, kan det påvirke den iboende risiko i nedadgående retning. Det

omvendte gælder, hvis virksomheden som følge af nye produkter eller nye kundetyper får nye eller højere

risikofaktorer. Hvis og når forretningsmodellen er ændret og ligger fast, er det den nye aktuelle iboende

risiko, som virksomheden skal lægge til grund for udarbejdelsen af sine procedurer, politikker og kontrol-

ler.

Virksomhedens politikker, procedurer og kontroller er virksomhedens mitigerende tiltag, dvs. det virksom-

heden gør for at få en effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering

af terrorisme. Den residuale risiko, som virksomheden løber for at blive misbrugt til hvidvask og finansie-

ring af terrorisme, er den risiko, der kan være tilbage, selv med en effektiv forebyggelse, begrænsning

og styring.

Risikovurderingen behøver ikke at være kompleks eller omfattende, særligt ikke for virksomheder med

en enkel forretningsmodel f.eks. virksomheder, som kun udbyder få og simple produkter. Det væsentlige

er, at virksomheden kommer omkring alle risiciene. Målet er, at vurderingen kan fungere som et operati-

onelt og anvendeligt værktøj, der skaber et overblik og en forståelse for virksomhedens iboende risici og

for hvilke tiltag, der er nødvendige for at begrænse risiciene.

3.1.

Metode og dokumentation

Virksomheden skal identificere sine risikofaktorer og vurdere hver enkelt af disse og den sammenhæng,

der er mellem risikofaktorerne. Ved vurderingen skal virksomheden fastlægge, i hvilken grad de identifi-

cerede risikofaktorer påvirker den overordnede iboende risiko. Virksomheden skal hermed ud fra en ho-

listisk betragtning konkret vurdere hvor og i hvilken grad, disse faktorer kan bevirke, at virksomheden kan

blive misbrugt til hvidvask eller finansiering af terrorisme.

En måde, hvorpå virksomheden kan vurdere sine samlede risici, kan være at vægte de enkelte risikofak-

torer. Vurderingen af risikofaktorerne skal tage udgangspunkt i risikoen separat for hvidvask og for finan-

siering af terrorisme, da disse kan være forskellige. Virksomheden skal dermed i sin risikovurdering have

forholdt sig til begge forhold. Eksempelvis kan et produkt have begrænset risiko i forhold til hvidvask men

øget risiko i forhold til finansiering af terrorisme. Et eksempel er små pengeoverførsler til udlandet. Små

enkeltvise pengeoverførsler vil som udgangspunkt ikke udgøre en stor risiko for hvidvask af penge, da

der er tale om små beløb. Finansiering af terrorisme er derimod kendetegnet ved, at det kan være små

overførsler, der foretages til lande eller geografiske områder, hvor der foregår terroraktivitet. Det illegitime

formål med overførslerne er lettere at skjule, når det er små beløb. Det er derfor vigtigt, når virksomheden

vurderer sine risici, at virksomheden holder sig for øje, at risikofaktorerne for henholdsvis hvidvask og

finansiering af terrorisme ikke altid har samme karakter.

Virksomheden skal indsamle tilstrækkelige oplysninger til at kunne identificere alle virksomhedens risiko-

faktorer. Hvidvasklovens § 7, stk. 1, opregner risikofaktorer, som virksomheden skal tage i betragtning i

sin samlede vurdering. Hvidvasklovens oplistning af risikofaktorer er ikke udtømmende, hvorfor virksom-

heden selv i fornødent omfang kan identificere andre relevante risikofaktorer. Virksomheden kan også i

sin vurdering af de enkelte risikofaktorer konstatere, at nogle risikofaktorer ikke er relevante for virksom-

heden, og at virksomheden derfor har en meget begrænset eller slet ingen iboende risiko i forhold til

disse konkrete risikofaktorer. Det er derfor relevant, at virksomheden sammenholder disse begrænsede

risici med andre risikofaktorer i virksomheden for at vurdere, hvorvidt risikofaktorerne kan påvirke hinan-

den.

Virksomheden skal dokumentere sin vurdering af risikofaktorerne. Dokumentationen skal knyttes til virk-

somhedens forretningsmodel, som også danner grundlaget for vurderingen. Risikovurderingen kræver

derfor en tilstrækkelig grundig analyse af forretningsmodellen. Virksomheden kan lægge sin egen viden

og erfaring fra indsamlede data, kundekendskab, efterspurgte produkter mv. til grund som en del af do-

kumentationen for den overordnede vurdering. Endvidere skal dokumentationen for risikovurderingen

tage udgangspunkt i virksomhedens overvejelser og beslutninger på baggrund af den supranationale og

nationale risikovurdering og/eller i andre relevante former for dokumentation på området f.eks. informa-

tion udsendt af FATF, EBA og brancheorganisationer samt landerapporter om f.eks. korruption, informa-

tioner fra troværdige offentlige eller kommercielle kilder og vejledningens del 2 vedrørende reglerne om

risikovurdering og risikostyring på hvidvaskområdet, jf. det indledende afsnit. Virksomheden kan få inspi-

ration til relevant materiale på Finanstilsynets hjemmeside.

Dokumentationen kan ske ved, at virksomheden gemmer alle oplysninger og dokumenter, som virksom-

heden lægger til grund for de vurderinger, den foretager, samt noterer de konklusioner, der er foretaget.

Virksomheden kan også dokumentere i interne oplysninger, observationer, dokumentationer mv. såvel

som i nationale eller internationale vurderinger, rapporter, statistiker mv. Virksomheden kan f.eks. i sin

Links vedr. hvidvask

vurdering af hvorledes et produkt indebærer en risiko for hvidvask eller finansiering af terrorisme benytte

den supranationale risikovurdering af den specifikke produkttype, og hermed vurdere og dokumentere

produktets indflydelse på virksomhedens risikoprofil.

3.2.

Risikofaktorer

Henvisning til hvidvaskloven: § 7, stk. 1, 1. og 2. pkt.

Henvisning til 4. hvidvaskdirektiv: Art. 8, stk. 1.

Når virksomheden vurderer sine risikofaktorer, kan virksomheden bl.a. søge hjælp til at foretage vurde-

ringerne i hvidvasklovens bilag 2 og 3, som opremser situationer, der kan være indikation for henholdsvis

begrænset og høj risiko. Bilagene er ikke udtømmende. Virksomheden kan herudover vurdere sine risi-

kofaktorer som anført nedenfor. Uanset om en risikofaktor som udgangspunkt er høj eller lav, skal virk-

somheden foretage sine egne vurderinger og overvåge kunderne i overensstemmelse med hvidvasklo-

vens regler.

3.2.1.

Kundetyper

Virksomheden skal vurdere sine kundetyper som en af virksomhedens risikofaktorer. Risikovurderingen

efter § 7 baseres på virksomheden og dennes overordnede risikoprofil, hvorimod risikovurderingen efter

§ 11 foretages på virksomhedens enkelte kunder. Se afsnit 13 om risikovurdering - kundekendskabspro-

cedurer. Virksomheden kan inddrage faktorer og overordnede erfaringer fra virksomhedens § 11-vurde-

ringer i sin overordnede risikovurdering, men det er vigtigt, at virksomheden sondrer mellem bestemmel-

sernes forskellige udgangspunkter og derfor foretager selvstændige vurderinger ud fra begge bestem-

melser. Risikovurderingen i § 7 skal derfor ikke baseres på konkrete vurderinger af enkeltkunder.

Vurderingen kan overordnet tage udgangspunkt i, i hvilket omfang kundetyperne er fysiske eller juridiske

personer og herefter i kundetypernes professionelle og erhvervsmæssige aktiviteter, omdømme og ad-

færd og for juridiske personer også deres reelle ejere. Vurderingen skal ske på et overordnet plan. Virk-

somheden skal derfor til brug for § 7-vurderingen f.eks. ikke vurdere den enkelte kunde eller reelle ejer.

Virksomheden skal f.eks. vurdere, i hvilken grad en kundeportefølje af juridiske personer med reelle ejere

placeret i udlandet påvirker den overordnede risikoprofil.

Hvis kunderne er juridiske personer, er det relevant at se på virksomhedstyperne og hvilke regler, som

disse typer er underlagt. F.eks. kan børsnoterede selskaber generelt betragtes som begrænset risiko

bl.a. med baggrund i, at børsnoterede selskaber er undergivet en særlig oplysningspligt i overensstem-

melse med EU-retten, hvorimod pengeoverførselsvirksomheder eller valutavekslingsvirksomheder gene-

relt betragtes som højere risiko.

Flere faktorer er relevante, når virksomheden foretager analysen af sit kundesegment som en risikofaktor.

Det kan bl.a. vurderes, hvorvidt en kundetype:

1) har forbindelse til en sektor, der er forbundet med høj risiko for hvidvask eller terrorfinansiering,

2) har forbindelse til en sektor, hvor der er store kontantbeløb i omløb eller

3) omfatter politisk eksponerede personer.

Ved en analyse af kundetyper kan virksomheden i øvrigt lægge vægt på:

1) Formålet med etableringen af virksomheden.

2) Om kundetypen i anden lov er underlagt oplysningskrav, som sikrer større gennemsigtighed om-

kring virksomhedstypen.

3) Om virksomheden har kundetyper med transaktioner i/til/fra et land, som vurderes til ikke at have

effektive regler til bekæmpelse af hvidvask og finansiering af terrorisme eller om virksomheden

har kundetyper, der er virksomheder etableret i et sådant land.

4) Om virksomheden har kundetyper, der er virksomheder etableret i et land med højere korrupti-

onsniveau.

Ovenstående undersøgelsespunkter er en inspiration til risikovurderingen og er ikke udtryk for hverken

en obligatorisk eller udtømmende liste. Virksomheden er ansvarlig for at fastlægge de nødvendige un-

dersøgelsespunkter.

3.2.2.

Produkter, tjenesteydelser og transaktioner

Når virksomheden skal risikovurdere sine produkter, tjenesteydelser og/eller transaktioner, kan virksom-

heden bl.a. afdække, om de kan tænkes at blive brugt til hvidvask eller finansiering af terrorisme, herun-

der:

1) i hvilken grad produkterne, tjenesteydelserne og transaktionerne er egnede til at fremme anony-

mitet,

2) i hvilken grad produkterne, tjenesteydelserne og transaktionerne er komplekse og

3) produkterne, tjenesteydelserne og transaktionernes værdi og størrelse.

Ved fastlæggelse af om produktet, tjenesteydelsen eller transaktionens er egnet til at fremme anonymitet,

kan virksomheden vurdere, i hvilket omfang modtager, har mulighed for at skjule sin identitet. Dette kan

f.eks. være tilfældet, hvis produktet eller tjenesteydelsen angår køb og/eller salg af ihændehaveraktier

eller transaktioner uden direkte kontakt eller kendskab til den endelige modtager af værdipapirer eller

kontante midler mv.

Ved produkternes, tjenesteydelsernes og transaktionernes kompleksitet kan virksomheden vurdere:

1) om transaktionerne med produktet/tjenesteydelsen involverer flere parter eller flere jurisdiktioner

2) om produkterne, tjenesteydelserne eller transaktionerne giver kunderne mulighed for at modtage

betalinger fra tredjemand, og at dette kan ske fra en ukendt eller ikke-associeret tredjemand og

3) om der kan foretages ekstraordinære betalinger, som ikke er regelmæssige, og som ikke beror

på et fast mønster, f.eks. en førtidig indfrielse af et lån.

Ved fastlæggelse af produkternes, tjenesteydelsernes og transaktionernes værdi og størrelse kan virk-

somheden vurdere, i hvilket omfang produkterne eller tjenesteydelserne angår kontanthåndteringer/kon-

tante betalinger og i hvor stor grad, der er høje transaktionsværdier/mange transaktioner eller mulighed

herfor, f.eks. om der er bestemt et præmieniveau eller et loft, som kan begrænse risikoen.

Produkter, tjenesteydelser eller transaktioner, der som udgangspunkt er af begrænset risiko, kan eksem-

pelvis være:

1) Livsforsikringer med en årlig lav præmie.

2) Pensionsordninger til ansatte, hvor bidragene betales direkte via fradrag i lønnen.

3) Porteføljepleje, hvor der alene er fuldmagt til at handle på vegne af kunden, og hvor kunden har

konto eller depot i en anden finansiel virksomhed.

4) Produkter, hvor risikoen kontrolleres af andre faktorer f.eks. gennemsigtighed i forhold til ejer-

skab. Et eksempel på dette er f.eks. realkreditlån.

For yderligere eksempler se bilag 2 til hvidvaskloven.

Produkter, tjenesteydelser eller transaktioner, der potentielt er af høj risiko, kan eksempelvis være:

1) Private banking, wealth management eller lignende, fordi det er en produkttype, der normalt til-

bydes kunder med høj formue. Det kan også være en betegnelse for et kundesegment, der spæn-

der fra standardprodukter til kunder med skræddersyede produkter med komplekse selskabspro-

dukter.

Faktorer inden for private banking, wealth management eller lignende, der kan være forbundet

med øget risiko kan være hyppige indskud og udtræk af midler. Det kan således være lettere at

skjule et illegitimt beløb i en stor formue og erfaringsmæssigt søges sorte penge ofte vasket hvide

ved at omdanne dem til afkast af værdipapirer. Endvidere er det en produkttype, der ofte kan

skabe meget tæt kontakt og loyalitet mellem rådgiveren og kunden, som kan besværliggøre den

øgede overvågning, som et risikoprodukt kræver. Det vil eksempelvis også være komplekst i de

tilfælde, hvor det skræddersyes til den konkrete kunde og angår store transaktionssummer. For

denne produkttype vil det derfor bl.a. vil være relevant at sikre et kendskab til midlernes oprin-

delse og til kundens formål med de ønskede transaktioner og investeringer mv.

2) Enkeltstående pengeoverførsler eller pengeoverførsler, hvor der ikke etableres et reelt kundefor-

hold og dermed ikke opnås et godt kundekendskab eller kundeovervågning.

Misbrug af produktet kan bl.a. sløres ved at foretage flere små overførsler, som enkeltvist ikke

ser mistænkelige ud. Erfaringsmæssigt er denne produkttype benyttet til finansiering af terro-

risme.

3) Valutaveksling, fordi det er et produkt, hvor der oftest ikke indgås en fast forretningsforbindelse,

og der er derfor ikke sikret et godt kendskab til kundens formål og til midlernes oprindelse. Der-

udover er der tale om transaktioner, hvor der ofte indgår kontanter.

Valutaveksling anvendes erfaringsmæssigt til terrorfinansiering ved at veksle danske kroner til

euro eller amerikanske dollars, som sendes fysisk til brug for terrorfinansiering.

4) Produkter og tjenesteydelser, der anvender nye teknologier, og hvor der endnu ikke er erfaring

med disse, og derfor heller ikke et tilstrækkeligt kendskab til de potentielle risici.

For yderligere eksempler henvises til bilag 3 til hvidvaskloven, ligesom de nationale og supranationale

risikovurderinger indeholder angivelser af, hvordan hvidvask og finansiering af terrorisme kan ske, og

hvor risiciene er store.

3.2.3.

Leveringskanaler

Virksomhedens transaktions- og leveringskanaler har også afgørende betydning for virksomhedens risi-

kovurdering. I identifikationen af virksomhedens leveringskanaler kan virksomheden overordnet klar-

lægge:

1) hvordan forretningsforbindelsen med kunderne bliver indgået og

2) hvordan virksomheden leverer produktet, tjenesteydelsen eller transaktionen til kunderne.

Virksomheden kan endvidere vurdere:

1) i hvilket omfang forretningsforbindelsen består uden fysisk kontakt med kunden eller modparter

og uden f.eks. digitale sikkerhedsforanstaltninger. En fysisk kontakt med en juridisk person kan

eksempelvis være, når den juridiske person repræsenteres af en anden person med prokura/fuld-

magt,

2) hvilke eksterne parter/modparter, der er behov for, for at kunne levere produktet eller udføre tje-

nesteydelsen og

3) eventuelle introducerende parter eller formidlere, virksomhedens brugere og karakteren af deres

forbindelse til virksomheden.

Virksomheden kan f.eks. vurdere, om kunden er introduceret af en tredjemand, og hvad virksomhedens

kendskab er til denne, herunder om tredjemand har effektive procedurer til bekæmpelse af hvidvask og

finansiering af terrorisme, er baseret inden for EU, og er underlagt et effektivt tilsyn i det land, er underlagt

regler om forebyggelse af hvidvask eller finansiering af terrorisme.

Leveringskanaler, der isoleret set kan indikere en begrænset risiko, kan eksempelvis være:

1) En forretningsforbindelse, der er indgået med fysisk kontakt med kunden eller med elektroniske

løsninger, der er stor tillid til.

2) Almindeligt indlån, hvor der ikke er en ekstern leveringskanal, dvs. hvor indskud sker som indbe-

taling af løn og træk sker via normale betalingstransaktioner.

3) Realkreditlån, hvor formidlingen af kundeforholdet til realkreditinstituttet sker via kundens penge-

institut.

For yderligere eksempler se bilag 2 til hvidvaskloven.

3.2.4.

Lande og geografiske områder

Virksomheden skal vurdere de risici, som kan være forbundet med lande eller geografiske områder, hvor-

til virksomheden har en tilknytning. Hvor virksomheden har positiv viden om et kundesegment eller kun-

ders reelle ejere i relation til lande og geografiske forhold, kan virksomheden eksempelvis inddrage:

1) i hvilket land kundetyperne og/eller de reelle ejere er baseret

2) i hvilket land kundetyperne og/eller de reelle ejere har deres forretninger og

3) i hvilke lande kundetyperne har relevante personlige eller forretningsmæssige forbindelser.

Virksomheden skal ikke i den overordnede risikovurdering vurdere konkrete kunder, men virksomheden

skal inddrage sin viden om sine kundetyper og kunders reelle ejere. Har virksomheden f.eks. et kunde-

segment, hvor de reelle ejere er placeret i højrisikolande, bør dette indgå i risikovurderingen af virksom-

hedens risikofaktorer i relation til lande og geografiske områder.

Det er således ikke nødvendigt, at virksomheden undersøger enkelte kunder eller reelle ejere for at kunne

udarbejde virksomhedens risikovurdering.

I forbindelse med kendskab til virksomhedens kundetyper og analysen af, hvilke lande kundetyperne er

baseret i eller har deres personlige eller forretningsmæssige forbindelser i, kan virksomheden vurdere de

geografiske forhold, eksempelvis:

1) om landet har tilstrækkelige regler, der forebygger og bekæmper hvidvask og finansiering af ter-

rorisme

2) om landet har en effektiv tilsynsmyndighed på området

3) om kunder har relationer til et land eller geografisk område, hvor der genereres penge med store

hvidvaskrisici eller med mange forbrydelser på området

4) om der i relation til kunder sendes penge til lande, hvor det vides at være terroraktiviteter

5) om virksomheden har udenlandsk politisk eksponerede personer som kunder, og hvorledes dis-

ses geografiske tilknytning kan vurderes at være tegn på en øget risiko for hvidvask og finansie-

ring af terrorisme

6) om virksomheden har kunder, der fremgår af EU's sanktionslister.

Når virksomheden skal vurdere landets regler og tilsynsmyndigheders effektivitet, kan virksomheden bl.a.

anvende FATF’s rapporter, sorte og grå lister, rapporter

udarbejdet af bl.a. FSRB og OECD, Transpa-

rency Internationals korruptionsliste m.fl.

3.2.5.

Sektorspecifikke eksempler

Dette afsnit indeholder nogle konkrete eksempler på risikovurderinger. Eksemplerne skal støtte virksom-

hederne i deres risikovurdering, men det er virksomhederne, der selv skal foretage en konkret vurdering.

Eksemplerne er udtryk for situationer, der indebærer en risiko, herunder både høj og begrænset risiko.

De er relevante, fordi også en begrænset risiko er grundlag for, at virksomheden skal foretage en konkret

risikovurdering.

Fondsmæglervirksomheder:

For fondsmæglervirksomheder, kan nedenstående eksempel illustrere en konkret vurdering.

Fondsmæglere skal vurdere de produkter eller tjenesteydelser, som de udbyder. For fondsmæglere er

lov om finansiel virksomheds bilag 4 og 5 derfor relevant i identifikationen af disse. Flere produkter og

tjenesteydelser vil isoleret set indebære en begrænset risiko, og derfor skal de vurderes i forhold til de

andre risikofaktorer, herunder fondsmæglerens kundetyper og eventuelle geografiske tilknytninger.

F.eks. kan en fondsmægler udbyde skønsmæssig porteføljepleje, hvor transaktionerne alene sker via et

pengeinstitut hvor fondsmægleren har tilstrækkelig tillid til, at der er effektive procedurer til bekæmpelse

af hvidvask og finansiering af terrorisme. Dette produkt vil som udgangspunkt vurderes til at indebære en

begrænset risiko, men hvis produktet udbydes til PEP’er eller andre højt profillerede kunder eller uden-

landske kunder, vil selve kundetypen kunne medføre en højere risiko, hvorfor der vil være behov for

kundekendskabsprocedurer, der sikrer et godt og ajourført kendskab til kunderne og til midlernes oprin-

delse.

Finansiel leasing:

For virksomheder, der udbyder finansiel leasing, kan nedenstående eksempel illustrere en konkret vur-

dering.

Ved finansiel leasing af biler skal virksomheden være opmærksom på, at denne type produkt/tjeneste-

ydelse kan misbruges til finansiering af terrorisme. En person kan lease en bil uden intention om at afle-

vere den tilbage og herefter melde bilen stjålet med det formål f.eks. at benytte et salg af bilen til finan-

siering af terrorisme.

Der kan også være tale om, at personen beholder bilen, for at en terrororganisation kan benytte den i

kampe i konfliktzoner eller til terrorangreb i vestlige lande. Hvis hensigten med at lease en bil er at trans-

portere den til en konfliktzone, vil der oftest være tale om en større bil, der er velegnet til brug i konflikt-

områder, f.eks. en stor SUV, 4x4 eller lignende. En indikator for denne kundetype kan f.eks. være perso-

ner, der går efter en bestemt type bil til brug i konfliktområder, som beskrevet ovenfor, og/eller ikke tidli-

gere har ejet en bil.

En faktor, der kan indikere en begrænset risiko ved leasing af produkter/tjenesteydelser, er, hvis der er

tale om et produkt med lav værdi.

Links vedr. hvidvask

Liv- og pensionsvirksomheder:

For virksomheder, der udbyder pensionsordninger, kan nedenstående eksempel illustrere en konkret

vurdering:

Pensionsordninger oprettet som led i ansættelsen oprettes altid via arbejdsgiver. Det er arbejdsgiver,

som indbetaler både arbejdsgiverens og arbejdstagerens bidrag til pensionsordningen.

Der er generelt set derfor en meget begrænset risiko for, at obligatoriske pensionsordninger oprettet som

led i et ansættelsesforholdet kan anvendes til hvidvask. Dette billede ændres ikke, selvom ordningen

giver muligheder for supplerende frivillige indbetalinger og evt. genkøb, hvilket primært kan begrundes

med beskatningsmæssige forhold. Det er pensionsforsikringsselskabet der sørger for at afregne arbejds-

markedsbidrag ved indbetaling af skat eller afgifter ved udbetaling.

For pensionsordninger, der ikke er skattebegunstigede, er der en højere risiko for, at disse kan blive

udnyttet til hvidvask end skattebegunstige ordninger.

Som et eksempel på en ikke-skattebegunstiget ordning er en pensionsordning efter pensionsbeskat-

ningsloven § 53 A, såkaldte § 53 A ordninger.

§ 53 A ordninger anvendes ofte i forbindelse med udstationering og lignende, hvor en medarbejder fort-

sætter sine indbetalinger på en tidligere arbejdsgiverindbetalt ordning, men ikke længere har en indkomst

i Danmark at anvende fradraget i. Ordningen kan dog også tegnes privat, men ordningen er mindre at-

traktiv for personer, der er skattepligtige i Danmark.

Da der er tale om beskattede midler, som derfor ikke skal beskattes på udbetalingstidspunktet, står det

forsikringstager og pensionsselskab friere eventuelt at aftale en kortere løbetid for udbetalingen. Heri

ligger der således en risiko for, at pensionstageren søger at udnytte indbetalinger på ordningen til hvid-

vask af midler, som hidrører fra kriminel aktivitet, herunder skatteunddragelse. Dette sammenholdt med

en mulig kortere løbetid gør, at ordningen kan være mere attraktiv til forsøg på hvidvask end øvrige

pensionsprodukter.

Livsforsikring:

For virksomheder, der udbyder livsforsikringer, kan nedenstående eksempel illustrere en konkret vurde-

ring:

Lav præmie på en livsforsikring, som anført i hvidvasklovens bilag 2, kan anskues ud fra virksomhedens

profil, produktet og den konkrete kunde. Det vil derfor være forskelligt, hvad der anses for en lav præmie

i det enkelte selskab.

Gruppelivsordninger for private er kendetegnet ved større ordninger med lav præmie, til gengæld stilles

der ofte krav til helbredsoplysninger ved indtegning. Risikoen forbundet med gruppelivsforsikringer er

begrænset som følge af, at der skal indtræde en forsikringsbegivenhed, før der kan ske udbetaling.

Det samme gør sig gældende for arbejdsmarkedspensionsordninger/firmapensionsordninger.

3.3.

Opdatering af risikovurderingen

Virksomhedens risikovurdering skal løbende holdes opdateret. Det betyder, at den skal afspejle virksom-

hedens aktuelle risikoprofil. Virksomheden vurderer, hvor ofte den skal revideres. Det beror på en konkret

risikovurdering i forhold til forretningsmodellen. Som udgangspunkt skal risikovurderingen dog opdateres

mindst en gang om året.

En opdatering af virksomhedens risikovurdering kan bestå i, at virksomheden har gennemgået risikovur-

dering og vurderet, at der ikke er grundlag for opdatering af denne. På samme måde kan virksomheden

også vurdere, at det kun er nødvendigt at opdatere dele af virksomhedens risikovurdering.

Undtagelsesvist kan virksomheden opdatere sin risikovurdering med længere mellemrum, hvis forhol-

dene og risikofaktorerne er statiske og umiddelbart ikke ændrer sig.

Virksomheden kan beslutte, at risikovurderingen skal opdateres ved faste intervaller. Den bør dog som

minimum opdateres i forbindelse med væsentlige ændringer i forretningsmodellen og/eller risikoforhol-

dene, og når der foreligger nye nationale eller supranationale risikovurderinger med nye vurderinger,

også selvom virksomheden har fastsat et fast interval for opdatering.

Virksomheden kan afvige fra det fastsatte interval, f.eks. hvis virksomheden udskyder opdateringer få

måneder, når virksomheden har en viden om, at der inden for kort tid kommer en ny national risikovur-

dering eller lignende.

Hvis en virksomhed har en forretningsmodel, hvor risikofaktorerne ofte ændrer sig, som er kompleks eller

hvor den foregående risikovurdering har vist, at virksomheden har en høj iboende risiko for hvidvask eller

finansiering af terrorisme, bør risikovurderingen opdateres oftere med henblik på, at sikre, at den er

overensstemmende med den aktuelle risikoprofil.

Udgangspunktet om opdatering en gang årligt betyder, at virksomheden som minimum skal vurdere, om

der er behov for en opdatering af risikovurderingen.

Når risikovurderingen opdateres, skal virksomheden vurdere, hvorvidt og hvorledes virksomhedens poli-

tikker, procedurer og kontroller også skal opdateres, så de er overensstemmende med virksomhedens

overordnede og aktuelle risikoprofil.

Hvis virksomheden ikke har ændret forretningsmodel, og der ikke er ændrede ydre risikofaktorer, som

begrunder det, vil virksomheden formentlig ikke have behov for at ændre sine politikker og måske heller

ikke sine procedurer og kontroller.

Virksomheden bør løbende gennemgå sine risikofaktorer, herunder f.eks. om virksomheden har indgået

forretningsforbindelser med nye kundetyper, har udviklet nye produkter, har udviklet nye systemer, eller

udbyder tjenesteydelser i et nyt geografisk område. Virksomheden skal hermed vurdere risikofaktorerne

for at afklare, om der er ændringer i risiciene, som påvirker den aktuelle risikoprofil. Dette bør ligeledes

ske løbende i takt med, at virksomheden f.eks. foretager risikovurderinger som led af deres kundekend-

skabsprocedurer i henhold til hvidvasklovens kapitel 3.

Virksomheden skal være opmærksom på, at hvis der sker ændringer i virksomhedens forretningsmodel,

f.eks. hvis virksomheden begynder at udbyde nye produkter, tjenesteydelser eller leveringskanaler, bør

der ske en opdatering af risikovurderingen, før virksomheden begynder at udbyde disse nye teknologier.

Virksomhedens procedurer og kontroller skal bl.a. sikre, at nye overordnede tendenser eller ændring i

virksomhedens risikofaktorer opdages, samt at relevante informationskilder gennemgås.

4. Politikker, procedurer og kontroller

Henvisning til hvidvaskloven: § 8, stk. 1.

Henvisning til 4. hvidvaskdirektiv: Art. 8, stk. 3 og 4.

Bekendtgørelse nr. 1016 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl.

Bekendtgørelse nr. 1723 af 16. december 2015 om ledelse og styring i forsikringsselskaber m.v.

4.1.

Baggrund

Hvidvasklovens § 8 stiller krav om, at virksomheden skal udarbejde skriftlige politikker, procedurer og

kontroller.

Politikker er i denne sammenhæng virksomhedens overordnede beslutninger om, hvordan virksomheden

skal indrettes, og hvordan opgaver i relation til forebyggelse af hvidvask og finansiering af terrorisme skal

løses på baggrund af den forståelse for virksomhedens risikoprofil, som er opnået i risikovurderingen.

Procedurer er virksomhedens konkrete og operationelle udmøntning af politikkerne, således bliver vur-

deringerne f.eks. til forretningsgange og arbejdsbeskrivelser.

Kontroller er virksomhedens kontrol af, at virksomhedens beslutninger og procedurer overholdes på hvid-

vaskområdet. Endvidere skal der være en uafhængig intern kontrol med, at kontrollerne foretages, og at

de er egnede og effektive. Kontrollerne skal være beskrevet i virksomhedens politikker og procedurer.

Se figuren nedenfor, der illustrerer processen i forhold hvidvasklovens krav om risikovurdering og risiko-

styring. Processen er forsimplet ved en overordnet opdeling i tre led.

Politikkerne på hvidvaskområdet skal udarbejdes på baggrund af risikovurderingen, som virksomheden

har foretaget i henhold til § 7, stk. 1. Der gælder ingen formkrav for virksomhedens politikker og proce-

durer, dog skal de være skriftlige, og de skal være tilgængelige og effektive for virksomheden. De skal

som minimum omfatte politikker og procedurer for:

1) Risikostyring.

2) Kundekendskabsprocedurer.

3) Undersøgelses-, noterings-, og underretningspligt.

4) Opbevaring af oplysninger.

5) Screening af medarbejdere.

6) Intern kontrol.

At politikker og procedurer skal være skriftlige indebærer ikke, at de skal foreligge i papirform. De kan

lagres digitalt. Idet der ikke gælder formkrav, er der ikke krav om, at politikker og procedurer for de enkelte

led skal udformes i særskilte dokumenter. Det overordnede mål er, at virksomheden har vurderet og

dokumenteret sin iboende risiko, har fastsat sine overordnede strategiske mål og sine operationelle me-

toder til opnåelse af disse mål samt kontroller af, at målene efterleves.

Virksomhedens politikker, procedurer og kontroller på hvidvaskområdet skal godkendes af den hvidvask-

ansvarlige med henblik på, om de er tilstrækkelige til at opfylde kravene i hvidvaskloven. Virksomheden

skal være opmærksom på, at der i anden lovgivning kan være krav om, at politikkerne også godkendes

af bestyrelsen. Virksomheder, der i henhold til anden lovgivning er forpligtet til at have en compliance-

funktion, skal udpege en complianceansvarlig, som skal være forpligtet til uafhængigt at vurdere, om

virksomhedens politikker, procedurer og kontroller er effektive til forebyggelse og bekæmpelse af hvid-

vask og finansiering af terrorisme og om disse efterleves. For virksomheder, der har en uafhængig intern

revisionsfunktion, skal denne sikre overholdelsen af virksomhedens § 8, stk. 1-forpligtelse. I relevant

omfang skal virksomheder desuden udpege et medlem af direktionen, som skal sikre, at virksomheden

overholder hvidvasklovgivningen.

Opsummerende betyder dette, at virksomheden kan have op til fire led i sin sikring af at politikkerne,

procedurerne og kontrollerne er effektive, og at virksomheden overholder hvidvaskloven. For nogle små

virksomheder er det kun relevant med en hvidvaskansvarlig, og for små virksomheder med krav om en

compliancefunktion, kan den hvidvaskansvarlige også være den complianceansvarlige, hvis virksomhe-

den har en berettiget begrundelse i virksomhedens størrelse eller sammensætning af aktiviteter. I så-

danne tilfælde skal virksomheden dog have fokus på, at de opgaver, som ligger hos den hvidvaskansvar-

lige, som udgangspunkt ikke er opgaver, der skal varetages af virksomhedens compliancefunktion. Det

skal derfor som minimum altid sikres, at medarbejdere ikke er involveret i udførelsen af opgaver, som de

kontrollerer som led i deres compliance-opgaver.

4.2.

Politikker

Virksomhedens politikker på hvidvaskområdet skal indeholde identifikation, vurdering og afgrænsning af

virksomhedens risikofaktorer som konklusion på virksomhedens risikovurdering, samt de overordnede

strategiske mål til forebyggelse af hvidvask og finansiering af terrorisme for virksomhedens identificerede

risici.

Virksomhedens iboende risiko og efterfølgende residuale risiko afspejler virksomhedens risikoprofil på

hvidvaskområdet. Virksomhedens risikovillighed ligger derfor i den forretningsmodel, som virksomheden

har opbygget. Med risikovillighed forstås, at virksomheden i sit valg og indretning af sin forretningsmodel

vælger af acceptere nogle iboende risici. Det betyder, at virksomheden med risikobegrænsende foran-

staltninger skal nedbringe risiciene for at kunne blive misbrugt til hvidvask og finansiering af terrorisme,

så de residuale risici bliver på et acceptabelt niveau. Den residuale risiko, som virksomheden løber for at

blive misbrugt til hvidvask og terrorisme, er den risiko, der kan være tilbage, selv med en effektiv fore-

byggelse, begrænsning og styring.

Et eksempel på ovenstående er, hvis virksomheden vælger at udbyde tjenesteydelser til lande med for-

højet risiko uden for EU, skal virksomheden sikre effektive procedurer, som tager højde for den øgede

eksponering for risici, som virksomheden får ved at udbyde tjenesteydelser til sådanne lande. Virksom-

heden kan have en forretningsmodel med en høj iboende risiko, men det betyder, at virksomheden skal

have passende ressourcer og tilrettelagt effektive politikker, procedurer og kontroller, der reducerer de

risici, som forretningsmodellen medfører, til et acceptabelt niveau. Endvidere skal virksomheden sikre, at

der iværksættes kundeovervågning, som er proportional i forhold til de risici, virksomheden har.

Virksomhedens poltikker skal derfor indeholde beskrivelser af de risikofaktorer, som virksomheden øn-

sker at påtage sig og anvisninger om, hvorledes virksomhedens strategiske mål opnås.

Risikovilligheden kan som ovenfor beskrevet konkret være virksomhedens stillingtagen til, om der f.eks.

er produkttyper, som virksomheden ikke vil udbyde, eller om der er særlige geografiske områder, som

virksomheden ikke ønsker at basere sig i.

Virksomhedens politikker skal bl.a. omfatte en stillingtagen til:

1) identifikation og afgrænsning af de risici, som virksomheden i sin forretningsmodel påtager sig,

2) principperne for risikostyringen,

3) risikostyringens formål,

4) virksomhedens risikoområder,

5) risikovillighed,

6) ansvarsfordeling og

7) risikoledelse- og styring organisatorisk i virksomheden.

Virksomhedens politikker kan skrives i et eller flere dokumenter.

4.3.

Procedurer

Procedurer på hvidvaskområdet består af en beskrivelse af de aktiviteter, som virksomheden udfører

med henblik på at sikre, at lovgivningen bliver overholdt, samt at virksomhedens politikker og forretnings-

gange efterleves.

Procedurerne skal tage udgangspunkt i virksomhedens forretningsmodel, politikker og de særlige forhold,

der gælder for den enkelte virksomhed. De skal være et let anvendeligt værktøj for ansatte i virksomhe-

den, og skal derfor på en klar og tydelig måde beskrive forretningsområdet, ansvarsplacering, herunder

hvem der er ansvarlig for de enkelte opgaver, samt hvordan opgaverne skal udføres.

Procedurerne skal beskrive, hvordan følgende områder bliver håndteret i praksis:

1) Risikostyring.

2) Kundekendskabsprocedurer.

3) Undersøgelses-, noterings-, og underretningspligt.

4) Opbevaring af oplysninger.

5) Screening af medarbejdere.

6) Intern kontrol.

Procedurerne skal beskrive de enkelte aktiviteter i opgaveudførelsen af hvert område. Et eksempel på

dette i forhold til noteringspligten kan være en beskrivelse af, hvor de ansatte i virksomheden skal fore-

tage deres noteringer, f.eks. på kundens profil i virksomhedens sagsstyringssystem, og hvilke typer ob-

servationer og informationer, der skal noteres.

Det er et krav, at dokumentationen af procedurerne (f.eks. forretningsgange) er lettilgængelige og over-

skuelig for de ansatte.

4.3.1.

Risikostyring

Virksomhedens risikostyring på hvidvaskområdet skal tage udgangspunkt i virksomhedens forretnings-

model og de risici, som virksomheden har fundet frem til i sin risikovurdering.

Risikostyring er virksomhedens opmærksomhed på risici, og hvordan virksomheden reagerer på og ind-

arbejder nye konstaterede risici.

Virksomheden skal sikre sig, at dens organisering er opbygget, så den sikrer klare definerede ansvars-

områder, og at der samtidig er effektive procedurer til at identificere, overvåge og rapportere om risici for,

at virksomheden er eller kan blive misbrugt til hvidvask eller terrorfinansiering. Derudover skal virksom-

heden have procedurer for, hvordan den håndterer konstaterede overtrædelser af virksomhedens poli-

tikker og procedurer.

I risikostyring ligger der også, at virksomheden skal følge risikoudviklingen inden for hvidvask og terrorfi-

nansiering og tage højde for, hvordan denne påvirker virksomhedens risikovurdering, og dermed også

politikker, procedurer og kontroller.

4.3.2.

Screening af medarbejdere

Virksomheden skal forebygge, at ansatte kan misbruge deres stilling til hvidvask og finansiering af terro-

risme eller medvirken hertil.

Screening af ansatte består af følgende to dele:

1) Sikring af, at den ansatte ikke er dømt for et strafbart forhold, der øger risiciene for, at personen

kan misbruge sin stilling.

2) Sikring af, at den ansatte har tilstrækkelige kvalifikationer på hvidvaskområdet til at varetage stil-

lingen.

Ad. 1) Sikre at den ansatte ikke er dømt for et strafbart forhold, der øger risiciene for, at personen kan

misbruge sin stilling.

Screening af ansatte, hvor der er en risiko for misbrug af stillingen til hvidvask eller finansiering af terro-

risme, herunder medvirken hertil, skal ske forud for ansættelsen. Virksomheden kan f.eks. kontrollere

dette ved at bede den ansatte om at fremvise sin straffeattest. Der er ikke tale om, at alle strafbare forhold

øger risiciene for, at personen kan misbruge sin stilling. For eksempel vil domme for økonomisk krimina-

litet og groft skattesvig som udgangspunkt medføre en øget risiko. Der kan således foretages en væsent-

lighedsbetragtning i forhold til hvilke domme, der medfører en øget risiko.

Det er dog vigtigt, at screeningen altid foretages på baggrund af en risikobaseret tilgang og er proportional

med ansættelsesforholdet og den konkrete funktion, som den ansatte skal varetage eller varetager. Virk-

somheden skal forholde sig til hvilke funktioner, der konkret er relevante at underlægge screeningspro-

cedurer.

Det er ikke et krav, at alle ansatte skal screenes, men der skal ses på, hvilken funktion den ansatte skal

varetage. Det vil for eksempel ikke være relevant for ansatte, der ikke varetager funktioner, der sikrer

opfyldelse af hvidvaskloven. Screening af ansatte vil dog altid være relevant i tilfælde, hvor den ansatte

varetager en funktion, hvor denne direkte eller indirekte kan misbruge sin stilling til at medvirke til hvidvask

eller terrorfinansiering. Det er eksempelvis relevant ved:

1) Ansatte, der udfører kundekendskabsprocedurer.

2) Ansatte, der har adgang til at foretage transaktioner.

3) Ansatte, der har fået uddelegeret opgaver fra den hvidvaskansvarlige.

4) Ansatte, der arbejder i virksomhedens compliancefunktion.

5) Ansatte, der arbejder i virksomhedens interne revision eller interne audit funktion.

Medarbejdere i ledende og/eller betroede stillinger vil desuden være særligt relevante at screene.

Virksomheden skal også på et risikobaseret grundlag sikre, at den bliver orienteret, hvis en ansat i løbet

af ansættelsen bliver dømt for et strafbart forhold, der øger risiciene for, at personen kan misbruge sin

stilling. Dette kan for eksempel gøres ved:

1) at virksomheden indsætter en oplysningspligt i sine ansættelseskontrakter, så den ansatte skal

oplyse, hvis personen bliver dømt for et strafbart forhold under ansættelsen eller

2) at virksomheden med et vist interval eller ved stikprøver beder den ansatte om at fremvise sin

straffeattest og gemmer dokumentation på, at straffeattesten er blevet fremvist.

De foreslåede procedurer er eksempler, og de er derfor ikke udtryk for en praksis, som virksomheden er

forpligtet til at følge. Virksomheden skal selv vurdere hvilken procedure, der er mest hensigtsmæssig for

virksomheden i forhold til at opnå formålet med reglerne om screening, og som er overensstemmende

med databeskyttelseslovgivningen. Hvis virksomheden screener med et vist interval, kan virksomheden

fastsætte intervallet ud fra en risikovurdering.

En ansats interne skift i virksomheden vil kunne begrunde screening af den ansatte, hvis dette ikke tidli-

gere er sket.

Ansatte kan bestille en straffeattest digitalt via politiets hjemmeside, hvis de har NemID.

Ad. 2) Sikre at den ansatte har tilstrækkelige kvalifikationer på hvidvaskområdet til at varetage stillingen.

Kravet om screening indebærer også, at virksomheden skal sikre, at ansatte besidder de nødvendige

kvalifikationer på hvidvaskområdet til at varetage stillingen på betryggende vis. Dette kan dog ske gen-

nem uddannelse efter ansættelsen. Virksomheden skal dybest set sikre sig, at de ansatte har de nød-

vendige evner, viden og ekspertise til at udføre deres funktion i virksomheden effektivt.

Virksomhedernes procedurer og interne kontroller skal tage højde for, at en ansat kan misbruge sin stil-

ling, jf. afsnit 7 om uddannelse.

4.3.3.

Intern kontrol

Virksomheden skal etablere en intern kontrol, hvilket betyder at virksomheden skal sikre, at der foretages

kontrol af, om virksomheden overholder lovens krav på hvidvaskområdet.

Virksomheden skal i sine procedurer beskrive sine kontrolforanstaltninger, og samtidig skal virksomhe-

den dokumentere de foretagne kontroller. Der skal således være en angivelse af, hvad kontrollen skal

sikre, hvor hyppigt den skal foretages, hvordan den skal foretages, og hvordan der skal rapporteres om

kontrollen til ledelsen og andre organisatoriske enheder. Der henvises til bestemmelser om intern kontrol

i ledelsesbekendtgørelserne.

For virksomheder, der har en complianceansvarlig, skal kontrol både udføres i virksomhedens drift og

også af den complianceansvarlige. Det vil sige, at der skal udføres første linje kontrol i virksomhedens

forretning, og samtidig skal der ske anden linje kontrol af disse af den complianceansvarlige. For andre

virksomheder eller personer skal det fastlægges, hvordan kontrollen udføres. Se afsnit 6.3 om complian-

ceansvarlig.

For at der kan være tale om en effektiv kontrol, skal der være en tilstrækkelig uafhængighed mellem den,

der foretager kontrollen, og den, der kontrolleres. I små virksomheder kan det være tilstrækkeligt, at den

direkte leder kontrollerer den ansatte, mens det i større virksomheder kan være nødvendigt, at kontrollen

foretages af en anden afdeling end den udførende.

Intern kontrol består af følgende to dele:

1) kontrol af, at virksomhedens politikker og procedurer overholdes

2) kontrol af, at kontrollerne bliver udført og er egnede

Der skal foretages kontroller med et passende interval af, at politikker, procedurer og kontroller overhol-

des. Kontroller skal foretages på følgende områder:

1) Risikostyring.

2) Kundekendskabsprocedurer.

3) Undersøgelses-, noterings- og underretningspligt.

4) Opbevaring af oplysninger.

5) Screening af medarbejdere.

Kontrollerne kan for eksempel udføres ved, at virksomheden udtager stikprøver på de forskellige områder

og kontrollerer, at procedurerne på det enkelte område bliver overholdt.

Virksomheder skal indrette deres intern kontrol efter virksomhedens størrelse og de risici, der er forbun-

det med virksomhedens forretningsmodel. Virksomheder, der bliver drevet af kun en person, f.eks. en

enkeltmandsvirksomhed uden ansatte, der bliver drevet af indehaveren, kan derfor tilrette deres interne

kontrol efter virksomhedens størrelse og det forhold, at der ikke kan være samme uafhængighed i den

interne kontrol, som hvis der var flere ansatte i virksomheden. Den interne kontrol i denne type virksom-

heder kan f.eks. være, at indehaveren med et fast interval, f.eks. 2-3 gange i kvartalet udtager en række

stikprøver og kontrollerer, at virksomhedens procedurer er blevet overholdt. Det kan f.eks. være en kon-

trol af, om der er foretaget tilstrækkeligt kundekendskabsprocedurer og indhentet korrekt materiale i den

forbindelse samt en kontrol af, at der er foretaget opslag op mod sanktionslister.

5. Koncerner

Henvisning til hvidvaskloven: § 9, stk. 1 og 2 og § 31.

Henvisning til 4. hvidvaskdirektiv: Art. 45, stk. 1.

Hvidvasklovens § 9 omhandler koncernforbundne virksomheder. Denne bestemmelse dækker forholdet

mellem flere virksomheder i en koncern, mens § 8 regulerer den enkelte virksomhed i koncernen.

Kravene i § 9 gælder kun de dele af koncernen, som hvidvaskloven finder anvendelse på, se hvidvask-

lovens § 1, stk. 1.

Det betyder, at hvis et datterselskab ikke er omfattet af hvidvaskloven, er der ikke krav om, at de kon-

cernfælles politikker og procedurer gælder for det pågældende datterselskab.

Kravene i § 9 gælder ikke for koncerner, hvor kun datterselskaber er omfattet af hvidvaskloven.

5.1.

Udveksling af oplysninger i koncerner

Virksomheder i koncerner skal have tilstrækkelige:

1) skriftlige politikker for databeskyttelse og

2) skriftlige politikker og procedurer for udveksling af oplysninger inden for koncernen, der udveksles

med det formål at bekæmpe hvidvask og terrorfinansiering.

Med reglerne om udveksling af oplysninger er der adgang til, at virksomheder i en koncern kan udveksle

oplysninger, hvis de overholder koncernens procedurer herom, som skal overholde kravene i hvidvask-

loven. Procedurer for udveksling af oplysninger i en koncern skal udarbejdes i overensstemmelse med

databeskyttelseslovgivningen.

5.2.

Koncernfælles risikovurdering, politikker og procedurer

Risikovurdering, politikker og procedurer i et moderselskab skal dække hele koncernen, dog kun de dele

af koncernen, der er omfattet af hvidvaskloven. Det betyder, at risikovurdering, politikker og procedurer

kan udarbejdes af en central enhed i koncernen, for eksempel moderselskabet. Det er dog et krav, at

disse er tilpasset den enkelte juridiske enheds forhold, herunder den juridiske enheds forretningsmodel

og etableringslandets risikoforhold og regler.

Det er moderselskabets ansvar, at risikovurdering, politikker og procedurer på koncernniveau bliver ud-

arbejdet.

Virksomheder, der er en del af en koncern, skal gennemføre koncernens politikker og procedurer. Helt

overordnet skal den enkelte juridiske enheds politikker og procedurer være i overensstemmelse med

moderselskabets.

Politikker og procedurer i udenlandske virksomheder, der har datterselskaber eller filialer etableret i Dan-

mark, skal leve op til kravene i hvidvaskloven for så vidt angår forhold, der specifikt angår danske forhold.

Det betyder for eksempel, at der skal inddrages risikobetragtninger, der vedrører Danmark.

Omvendt skal danske koncerner, der har datterselskaber eller filialer i andre lande, sikre, at koncernens

politikker og procedurer overholder værtslandets (etableringslandets) regler om forebyggende foranstalt-

ninger mod hvidvask og finansiering af terrorisme.

Med reglerne om grænseoverskridende virksomhed følger et krav om, at moderselskabet sikrer, at den

etablerede koncernvirksomheds politikker, procedurer og kontroller om risikostyring, kundekendskabs-

procedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af

medarbejdere og intern kontrol overholder de nationale bestemmelser i etablerings landet.

Endvidere skal moderselskabet sikre, at der med faste intervaller føres kontrol med, at poltikker, proce-

durer og kontroller overholdes i den etablerede virksomhed. Dette kan ske ved stikprøve eller ved besøg

i den etablerede virksomhed.

6. Ansvarlige personer og funktioner

Hvidvaskloven stiller krav om, at en række ansvarlige personer og funktioner varetager forskellige områ-

der i forhold til krav i hvidvaskloven. Nogle af disse gælder alle virksomheder, der er underlagt lovens

krav, mens andre kun gælder finansielle virksomheder.

I det følgende kapitel er de forskellige ansvarlige personer og funktioner beskrevet.

Bestemmelse

Funktion

§ 7, stk. 2 (§ 8,

stk. 2)

Den hvidvaskan-

svarlige

§ 8, stk. 3

Den compliance-

ansvarlige

Udpeges, når virk-

somheden jf. an-

den lovgivning er

forpligtet til at

have en complian-

cefunktion.

§ 8, stk. 4

Intern revision

§ 8, stk. 5

Ansvarligt med-

lem af direktio-

nen

Virksomheder

skal, hvor det er

vurderes relevant,

udpege et medlem

af direktionen, der

er ansvarlig for

gennemførelse af

kravene i hvid-

vaskloven.

Sikre virksomhe-

den gennemfører

og overholder kra-

vene i hvidvasklo-

ven ved effektive

politikker, proce-

durer og kontrol-

ler.

Hvornår skal en

Udpeges i virk-

ansvarlig udpe-

somheder,

som

ges:

omfattes af hvid-

vasklovens 1, stk.

1 nr. 1-8, 10-11 og

19 .

Gælder for virk-

somheder, som er

omfattet af § 1,

stk. 1-7, og som

har intern revision.

Hvilke opgaver

skal den an-

svarlige

vare-

tage:

Hvem er den an-

svarlige:

Godkende

virk-

somhedens poltik-

ker, procedurer og

kontroller på hvid-

vaskområdet.

Godkende forret-

ningsforbindelser

med PEP og med

korrespondentfor-

bindelser.

Ansat eller med-

lem af den daglige

ledelse med fuld-

magt til at træffe

beslutninger

på

virksomhedens

vegne.

Uafhængigt kon-

trollere og vurdere,

om virksomhedens

procedurer og for-

anstaltninger er ef-

fektive.

Person på ledel-

sesniveau.

Vurdere hvorvidt

virksomhedens

politikker, proce-

durer og kontroller

er tilrettelagt og

fungerer på be-

tryggende vis i

overensstem-

melse med hvid-

vasklovens krav.

Intern

revision,

der er ansat af be-

styrelsen.

Person, som er

medlem af direkti-

onen. I virksomhe-

der med kun én di-

rektør, er det auto-

matisk direktøren.

6.1.

Hvidvaskansvarlig - den § 7, stk. 2-udpegede person

Henvisning til hvidvaskloven: § 7, stk. 2, § 8, stk. 2, § 18, stk. 3 og § 19, stk. 1, nr. 3.

Henvisning til 4. hvidvaskdirektiv: Art. 3, nr. 12 og art. 8, stk. 5, art. 19, stk. 1, litra c og art. 20, stk. 1,

litra b, (i).

Den daglige ledelse, som oftest er virksomhedens direktion, skal udpege en ansat, der har fuldmagt til at

træffe beslutninger på virksomhedens vegne om godkendelse af virksomheden politikker, procedurer og

kontroller og om godkendelse af særlige kundeforhold. Kravet gælder følgende typer virksomheder:

1) Pengeinstitutter.

2) Realkreditinstitutter.

3) Fondsmæglerselskaber.

4) Livsforsikringsselskaber og tværgående pensionskasser.

5) Sparevirksomheder.

6) Udbydere af betalingstjenester og udstedere af elektroniske penge, jf. bilag 1, nr. 1-7 i lov om

betalinger.

7) Forsikringsformidlere, når de formidler livsforsikringer eller andre investeringsrelaterede forsikrin-

ger.

8) Virksomheder, der erhvervsmæssigt udøver aktiviteter som fremgår af hvidvasklovens bilag 1.

9) Investeringsforvaltningsselskaber og forvaltere af alternative investeringsfonde, hvis disse virk-

somheder har direkte kundekontakt.

10) Danske UCITS og alternative investeringsfonde, hvis disse virksomheder har direkte kundekon-

takt.

11) Valutavekslingsvirksomheder.

Filialer af udenlandske virksomheder er ikke omfattet af kravet.

For at opfylde kravet skal den udpegede person reelt være involveret i virksomhedens arbejde med fore-

byggelse af hvidvask og finansiering af terrorisme.

Den hvidvaskansvarlige kan være et medlem af virksomhedens daglige ledelse eller en anden ansat.

Den hvidvaskansvarlige skal kunne træffe beslutninger, som vedrører virksomhedens risikoeksponering

på hvidvaskområdet. Den hvidvaskansvarliges ansvarsopgaver og fuldmagt til godkendelse fratager ikke

virksomhedens ledelse det overordnede ansvar. Fuldmagten sikrer, at den hvidvaskansvarlige, hvor

denne ikke indgår i ledelsen, får en beslutningskompetence på ledelsesniveau. Der kan være tilfælde,

hvor den hvidvaskansvarlige i sin beslutning om godkendelse af f.eks. en forretningsforbindelse med en

politisk eksponeret person vælger at indhente yderligere godkendelse fra den daglige ledelse, fordi den

politisk eksponerede persons risikoprofil udgør en væsentlig risiko for hvidvask eller finansiering af terro-

risme.

Hvidvasklovens krav er, at den hvidvaskansvarlige skal have tilstrækkeligt kendskab til virksomhedens

risikoprofil og specifikke risikofaktorer. I større virksomheder vil den administrerende direktør ikke kunne

udpeges, da denne vil forestå en for omfattende opgaveportefølje og fungere på et for høj niveau til

samtidig effektivt at kunne opfylde forpligtelsen i § 7, stk. 2.

De konkrete rammer for personens involvering skal fastlægges af virksomheden. Det er vigtigt, at perso-

nen, for at kunne varetage ansvaret, har adgang til virksomhedens kundedatabaser og øvrige relevante

oplysninger, herunder bestyrelses- og revisionsprotokoller.

6.2.

Den hvidvaskansvarliges ansvarsområder

Den hvidvaskansvarlige skal:

1) Have fuldmagt til træffe beslutninger på virksomhedens vegne til godkendelse af følgende:

a) politikker, procedurer og kontroller (§ 8, stk. 2)

b) etablering

og videreførelse af forretningsforbindelser med PEP’er (politisk eksponerede

personer) og deres nærtstående og nære samarbejdspartnere (§ 18, stk. 3)

c) etablering af grænseoverskridende korrespondentforbindelser (§ 19, stk. 1, nr. 3)

2) Have viden og indsigt i virksomhedens risici på hvidvaskområdet og derfor kunne træffe beslut-

ninger, som er gavnlige for virksomheden bekæmpelse af hvidvask og finansiering af terrorisme.

Virksomheden bør tilrettelægge den hvidvaskansvarliges arbejde sådan, at medarbejdere såvel som den

øverste ledelse kan konsultere den hvidvaskansvarlige på alle relevante områder og orientere, så snart

der er ny viden, som den hvidvaskansvarlige bør være bekendt med.

Endvidere skal den hvidvaskansvarlige have en tilstrækkelig grad af uafhængighed samt mulighed for at

kunne rapportere direkte til direktionen og bestyrelsen om forhold på området for hvidvask og finansiering

af terrorisme. Det er vigtigt at understrege, at rapportering til bestyrelsen er en mulighed, som den hvid-

vaskansvarlige skal benytte, hvis den hvidvaskansvarlige skønner, at det er nødvendigt. Der er derfor

ikke en generel pligt til, at den hvidvaskansvarlige rapporterer til bestyrelsen.

Den hvidvaskansvarlige skal følge de procedurer, som virksomheden har tilrettelagt på området for hvid-

vask og finansiering af terrorisme. I virksomheder, der er pålagt at have en compliancefunktion, er det

virksomhedens complianceansvarlige, der skal undersøge og føre uafhængig kontrol med, at den hvid-

vaskansvarliges procedurer og forretningsgange er effektive.

6.2.1.

Uddelegering

Den hvidvaskansvarlige har mulighed for at uddelegere de opgaver, der følger af bestemmelsen, til en

eller flere medarbejdere med tilstrækkeligt kendskab til virksomhedens risikoprofil i forhold til hvidvask og

finansiering af terrorisme. En eventuel uddelegering skal omfatte en eller flere navngivne personer eller

navnegivne stillinger. Der må aldrig kunne opstå tvivl om, hvilken person eller stilling, som opgaven er

uddelegeret til. Der kan ikke ske uddelegering af de opgaver, der skal varetages efter § 7, stk. 2, til en

enhed i virksomheden, f.eks. virksomhedens compliancefunktion.

En uddelegering til en eller flere personer vil særligt være relevant i større virksomheder med flere afde-

linger, hvis arbejde omfattes af hvidvaskloven. Det er vigtigt at bemærke, at ansvaret i § 7, stk. 2 ikke kan

uddelegeres, men påhviler den person, der er udpeget i henhold til bestemmelsen.

Fordi ansvaret altid ligger hos den hvidvaskansvarlige, vil der ved uddelegering af opgaver til en eller

flere andre navngivne personer eller stillinger f.eks. kunne fastlægges et rapporteringskrav eller lignende

til den hvidvaskansvarlige, således at han eller hun fortsat kan bære det endelige ansvar.

6.3.

Complianceansvarlig

Henvisning til hvidvaskloven: § 8, stk. 3.

Henvisning til 4. hvidvaskdirektiv: Art. 8, stk. 4(a).

Om kravene til en complianceansvarlig henvises til:

Bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl. og bekendt-

gørelse nr. 1723 af 16. december 2015 om ledelse og styring af forsikringsselskaber m.v.

Hvis en virksomhed i forbindelse med anden lovgivning er forpligtet til at have en compliancefunktion,

skal virksomheden udpege en complianceansvarlig på ledelsesniveau.

Formålet med kravet om en complianceansvarlig er alene at fastlægge, at for finansielle virksomheder,

der allerede har en forpligtelse til at have en complianceansvarlig i anden lovgivning, gælder, at den

complianceansvarliges funktion også skal omfatte forpligtelser efter hvidvasklovgivningen.

Kravet gælder for følgende virksomheder, der i henhold til anden lovgivning skal have en compliance-

funktion:

a) Pengeinstitutter.

b) Realkreditinstitutter.

c) Fondsmæglerselskaber.

d) Livsforsikringsselskaber og tværgående pensionskasser.

e) Sparevirksomheder.

f) Udbydere af betalingstjenester og udstedere af elektroniske penge, jf. bilag 1, nr. 1-7 i lov om

betalinger.

g) Forsikringsformidlere, når de formidler livsforsikringer eller andre investeringsrelaterede forsikrin-

ger.

Filialer af udenlandske virksomheder er ikke omfattet af kravet.

Den complianceansvarlige skal fungere uafhængigt. Den complianceansvarlige skal kontrollere og vur-

dere, at virksomheden overholder hvidvaskloven og regler udstedt i medfør heraf. Det betyder, at perso-

nen skal kontrollere og vurdere, om virksomhedens procedurer og metoder for bekæmpelse af hvidvask

og terrorfinansiering er egnet og effektive. Derudover skal den complianceansvarlige kontrollere og vur-

dere, om de foranstaltninger, der iværksættes for at afhjælpe eventuelle mangler, er effektive.

Den complianceansvarlige skal som en del af virksomhedens interne kontrol sikre, at kontrollen foretaget

af virksomheden er tilstrækkelig. Se afsnit 4.3.3 om intern kontrol.

Det kan også være den complianceansvarlige, der som uafhængig af den daglige ledelse, håndterer

ansattes indberetning af overtrædelser eller potentielle overtrædelser (whistleblowerordning) efter lovens

§ 35, stk. 1. Se afsnit 29 om whistleblowerordning.

6.4.

Ansvarligt direktionsmedlem

Henvisning til hvidvaskloven: § 8, stk. 5.

Henvisning til 4. hvidvaskdirektiv: Art. 46, stk. 4.

Virksomheder skal, hvor det er vurderet relevant, udpege et medlem af direktionen, der er ansvarlig for

gennemførelse af kravene i hvidvaskloven og regler udstedt i medfør heraf.

Dette betyder, at virksomheder, der ikke har en direktion, ikke er forpligtet til at udpege en person i hen-

hold til den foreslåede bestemmelse. Bestemmelsen tilsigter derfor ikke at indføre krav om, at virksom-

heder skal foretage organisatoriske ændringer.

Virksomheders indretning og drift foretages af direktionen i virksomheder, der har en direktion. Kravet om

at udpege et ansvarligt direktionsmedlem skal dermed sikre, at hensynet og formålet med bestemmelsen

forankres ledelsesmæssigt.

Der er ikke krav om, at virksomheder, der ikke har en direktion (f.eks. personligt ejede virksomheder),

udpeger et direktionsmedlem.

Det ansvarlige direktionsmedlem har en særlig forpligtelse til at sikre, at virksomheden efterlever reglerne

i hvidvaskloven. Personens opgave er at sikre ledelsesmæssig forankring af og ledelsesmæssig fokus

på forebyggende foranstaltninger mod hvidvask og terrorfinansiering. Dette fratager dog ikke den øvrige

daglige ledelse for ansvar.

Det ansvarlige direktionsmedlem kan f.eks. varetage opgaven ved løbende at have møder med den hvid-

vask- og complianceansvarlige og få status på virksomhedens overholdelse af reglerne i hvidvasklovgiv-

ningen, implementering af nye regler på hvidvaskområdet. Hvis virksomheden har mangler i forhold til

overholdelse af hvidvasklovgivningen og skal det ansvarlige direktionsmedlem sørge for opfølgning på,

at disse mangler bliver udbedret.

Der kan i mindre virksomheder være personsammenfald mellem personen udpeget i henhold til denne

bestemmelse og den hvidvaskansvarlige, jf. § 7, stk. 2, eller den complianceansvarlige i § 8, stk. 3.

Filialer i Danmark af udenlandske virksomheder

Der skal ikke i en filial i Danmark af en udenlandsk virksomhed udpeges en person efter hvidvasklovens

§ 8, stk. 5.

Filialer i udlandet af danske virksomheder

Hvis en dansk virksomhed har filialer i udlandet, skal de være opmærksomme på, at det ansvarlige di-

rektionsmedlem også er ansvarlig i forhold til eventuelle filialer beliggende i udlandet.

6.5.

Intern revision/intern audit

Henvisning til hvidvaskloven: § 8, stk. 4.

Henvisning til 4. hvidvaskdirektiv: Art. 8, stk. 4(b).

Om kravene til intern revision henvises til:

Bekendtgørelse nr. 1912 af 22. december 2015 om revisionens gennemførelse i finansielle virksom-

heder m.v. samt finansielle koncerner.

Om kravene til intern audit henvises til:

Bekendtgørelse nr. 1723 af 16. december 2015 om ledelse og styring af forsikringsselskaber m.v.

Hvis en virksomhed har en intern revision, skal bestyrelsen i virksomheden sikre, at den interne revision

vurderer, om virksomhedens politikker, procedurer og kontroller på hvidvaskområdet er tilrettelagt og

fungerer på betryggende vis.

Formålet med kravet til intern revision er alene at fastlægge, at der for finansielle virksomheder, der

allerede har en forpligtelse til at have en uafhængig revision, gælder, at denne funktion også varetager

revision med overholdelse af kravene i hvidvaskloven og regler udstedt i medfør heraf. Det betyder, at

funktionsbeskrivelsen for den interne revision skal indeholde bestemmelser om, at den interne revision

skal sikre virksomhedens overholdelse af skriftlige politikker, procedurer og kontroller på området for

hvidvask og finansiering af terrorisme.

Kravet gælder følgende virksomheder, hvis de har en intern revision:

1) Pengeinstitutter.

2) Realkreditinstitutter.

3) Fondsmæglerselskaber.

4) Livsforsikringsselskaber og tværgående pensionskasser.

5) Sparevirksomheder.

6) Udbydere af betalingstjenester og udstedere af elektroniske penge, jf. bilag 1, nr. 1-7 i lov om

betalinger.

7) Forsikringsformidlere, når de formidler livsforsikringer eller andre investeringsrelaterede forsikrin-

ger.

6.5.1.

Intern audit

En intern auditfunktion i en virksomhed er ikke direkte omfattet af forpligtelsen i hvidvasklovens § 8, stk.

4. Ledelsesbekendtgørelsen for forsikringsselskaber stiller dog en række krav til intern auditfunktionen,

der kan sidestilles med forpligtelsen i hvidvaskloven.

Intern audit har i medfør af § 21 i bekendtgørelsen om ledelse og styring af forsikringsselskaber mv. bl.a.

til opgave at vurdere, om virksomhedens interne kontrolsystem, der omfatter de administrative procedu-

rer, og andre dele af ledelsessystemet er tilstrækkelige og effektive. Den interne auditfunktion er bl.a.

også underlagt krav om årlig rapportering til direktionen og evt. bestyrelsen.

En intern auditfunktion i en virksomhed vil derfor også skulle forholde sig til hvorvidt virksomhedens poli-

tikker, procedurer og kontroller fungerer i overensstemmelse med hvidvaskloven.

7. Uddannelse

Henvisning til hvidvaskloven: § 8, stk. 6.

Henvisning til 4. hvidvaskdirektiv: Art. 46, stk. 1.

Om kravene til grundkursus for bestyrelsesmedlemmer henvises til:

Bekendtgørelse nr. 1424 af 29. november 2016 om grundkursus for medlemmer af bestyrelsen i

pengeinstitutter, realkreditinstitutter og forsikringsselskaber.

Virksomheden skal efter bestemmelsen i § 8, stk. 6 sikre, at ansatte, herunder ledelsen har modtaget

tilstrækkelig undervisning i kravene i hvidvaskloven. Kravet gælder også undervisning af den del af virk-

somhedens ledelse, der beskæftiger sig med forebyggelse af hvidvask og terrorfinansiering. Kravet gæl-

der for virksomhedens direktion og øverste ledelse.

Det følger herudover af anden lovgivning, at bestyrelsesmedlemmer i et pengeinstitut, et realkreditinstitut

eller i et forsikringsselskab skal gennemføre et grundkursus bl.a. inden for hvidvaskforebyggelse, se be-

kendtgørelse om grundkursus for medlemmer af bestyrelsen i pengeinstitutter, realkreditinstitutter og for-

sikringsselskaber.

Virksomheden er ikke forpligtet til at undervise ansatte, der varetager funktioner, der ikke relaterer sig til

hvidvask eller terrorfinansiering.

Der er krav om, at virksomheden har et egentligt undervisningsprogram. Virksomhedens procedurer og

kontroller skal samtidig sikre, at undervisningen gennemføres for ansatte, der har med behandling af

kundehold at gøre.

Det er ikke tilstrækkeligt at udlevere og gennemgå virksomhedens skriftlige politikker og procedurer med

de ansatte. Det vil ligeledes heller ikke være tale om tilstrækkelig undervisning, hvis undervisningen alene

gennemgår lovgivningens krav, men denne ikke er relateret til for eksempel virksomhedens forretnings-

model, herunder dens produktudbud, kundetyper m.v.

Virksomheden kan vælge, at de enkelte ansatte kun modtager undervisning inden for deres relevante

arbejdsområde. Undervisningen skal sikre, at de ansatte har et betryggende kendskab til de krav, der er

på området for hvidvask og terrorfinansiering, samt hvilken betydning kravene har for den enkelte ansat-

tes varetagelse af hendes eller hans arbejdsopgaver. Den ansatte skal kunne varetage sin jobfunktion

på fuld forsvarlig måde og sikre, at virksomheden overholder lovens krav.

Virksomheden skal sikre, at de ansatte deltager i undervisningen.

For særlige forretningsområder skal undervisningen være tilpasset de ansattes særlige funktioner, her-

under fremhævelse af de indikatorer på hvidvask og terrorfinansiering, der kan tænkes at forekomme på

disse områder. Sådanne særlige områder er for eksempel værdipapirhandel, import/eksportfinansiering

og grænseoverskridende korrespondentforbindelser.

Virksomhedens ansatte skal også modtage uddannelse i relevante bestemmelser om databeskyttelse for

at sikre, at personoplysninger bliver behandlet i overensstemmelse med databeskyttelseslovgivningen.

Dette skal være med til at sikre, at personoplysninger indhentet efter reglerne i hvidvaskloven alene sker

med henblik på at efterleve kravene i hvidvaskloven.

Kravet om tilstrækkelig undervisning indebærer, at virksomheden med passende intervaller skal efterud-

danne sine ansatte og ledelsen. Ved opdatering af virksomhedens procedurer skal der ske efteruddan-

nelse af ansatte, hvor dette har betydning for de pågældende ansattes arbejdsfunktion.

Del 3

–

Kundekendskabsprocedurer

Det er et grundlæggende princip i hvidvasklovgivningen, at virksomheden skal kende sine kunder. Reg-

lerne om kundekendskabsprocedurer findes i hvidvasklovens kapitel 3, §§ 10-21.

Formålet med kundekendskabsprocedurer er, at forebygge hvidvask og finansiering af terrorisme, ved

at virksomheder ved, hvem deres kunder er, og hvad der er kundens formål med forretningsforbindel-

sen eller den enkeltstående transaktion.

Kundekendeskabsprocedurer er en forpligtigelse, der gælder kontinuerligt i hele kundeforholdet. Det

betyder, at oplysninger om kunden skal opdateres med passende intervaller ud fra en risikovurdering,

se afsnit 8.3 om kundekendskabsprocedurer ved passende tidspunkter. Virksomheden skal kunne do-

kumentere de oplysninger, som virksomheden indhenter i henhold til hvidvasklovens kapitel 3.

Hvad er en kunde?

Begrebet kunde dækker over både fysiske personer og juridiske personer (f.eks. selskaber, foreninger

og offentlige myndigheder).

Et kundeforhold opstår, når virksomheden enten etablerer en forretningsforbindelse med en kunde eller

foretager en enkeltstående transaktion for en kunde. Dette kan f.eks. omfatte, at virksomheden indgår

aftale med en fysisk eller juridisk person om, f.eks. åbning af en konto (udlån, indlån, leasing mv.) eller

et depot, en pengeoverførsel, valutaveksling, køb eller salg af værdipapirer, en rådgivningsopgave, en

formidlingsopgave, f.eks. salg af fast ejendom eller en aftale om at udarbejde et regnskab eller udføre

revision.

Kunden er den fysiske eller juridiske person, som virksomheden indgår et aftaleforhold med eller på hvis

vegne virksomheden gennemfører en transaktion eller aktivitet.

Eksempler på kundeforhold

1) Ved værgemål og samværgemål betragtes værgen som en person, der handler på vegne af kun-

den. Det er den umyndige, eller personen under værgemål eller samværgemål, som er kunden.

2) Ved en børneopsparing er det barnet, der er kunden. Opretteren af børneopsparingen handler

derfor på vegne af kunden.

3) En leasingtager er leasingselskabets kunde. Den forhandler, som leasingselskabet køber udsty-

ret af og/eller sælger udstyret til ved leasingaftalens udløb, er ikke omfattet af kundebegrebet i

hvidvaskloven.

4) En kautionist for en fordring, f.eks. et lån i et pengeinstitut eller realkreditinstitut, skal betragtes

som en kunde ved indgåelse af lånet, da kautionisten har indgået en aftale med pengeinstitut-

tet/realkreditinstituttet, og hvorved der er etableret en forretningsforbindelse. Det betyder, at i en

sådan situation er det både låntager og kautionist, der skal betragtes som kunde.

5) Ved tredjemandspant er det en konkret vurdering af det enkelte forhold, om der bliver etableret

en forretningsforbindelse. Hvis der i forbindelse med tredjemandspant bliver oprettet en konto, vil

der altid være tale om etablering af en forretningsforbindelse.

6) Ved livsforsikringer og pensioner er kunden den fysiske eller juridiske person, som selskabet

indgår aftale med (forsikringstager) og som er indehaver af forsikringspolicen. Ved arbejdsmar-

kedspensioner og firmaordninger, hvor der udstedes selvstændige policer, er det således løn-

modtageren, der skal identificeres og kontrolleres som kunde. Ved gruppeforsikringsordninger,

hvor der ikke udstedes selvstændige policer, er det arbejdsgiveren/foreningen, der skal identifi-

ceres og kontrolleres som kunde.

7) En revisor kan indhente hjælp hos tredjemand (f.eks. en anden revisor eller en skatterådgiver)

til udførelsen af opgaver for en kunde. Tredjemand vil her som udgangspunkt skulle anses som

underleverandør til revisor. De konkrete omstændigheder kan dog medføre, at tredjemand er

indgået i et kundeforhold med revisors kunde. Dette vil f.eks. være tilfældet ved revisors afgi-

velse af erklæringer. Hvem der er tredjemands kunde beror derfor bl.a. på en konkret vurdering

af, hvem kundeforholdet er indgået med, opgavens omfang og varighed, med hvem kontakten

sker, samt til hvem ydelsen faktureres.

8) En ejendomsmægler (sælgermægler) som bistår ved salg af en fast ejendom skal anse både

sælger og køber som kunder. Hvis køber er repræsenteret af en anden ejendomsmægler, revi-

sor, advokat eller andre som udbyder samme ydelser, jf. hvidvasklovens § 1, stk. 1, nr. 17, skal

køber ikke anses som kunde for sælgermægler.

9) En købermægler, uanset om denne er registreret som ejendomsmægler, som bistår ved et køb

af en fast ejendom skal anse både sælger og køber som kunder. Hvis sælger er repræsenteret

af en ejendomsmægler, revisor, advokat eller andre som udbyder samme ydelser, jf. § 1, stk. 1,

nr. 17, anses sælger alene for at have indgået en forretningsforbindelse med denne.

10) Advokaters kunder/forretningsforbindelser er deres klienter, og et klientforhold skal betragtes som

etableret ved advokatens accept af at ville repræsentere klienten. I mange tilfælde etableres et

klientforhold i løbet af det første møde med klienten. I tilfælde hvor der fremsendes materiale til

advokaten vil advokaten typisk skriftligt besvare henvendelsen og oplyse, at han vil repræsentere

klienten.

11) Ved værdipapirhandel er kunden den fysiske eller juridiske person, som virksomheden indgår

den aftale med.

12) Særligt på området værdipapirhandel kan følgende eksempler på afgrænsning af kundebegrebet

anføres:

a) En modpart, som en værdipapirhandler henvender sig til med henblik på at udføre en

kundes ordre er ikke kunde hos værdipapirhandleren.

b) En værdipapirhandler, der henvender sig til en virksomhed, er kunde hos virksomheden.

Værdipapirhandlerens kunder er ikke kunder hos virksomheden.

c) Hvis en kunde har depot og/eller konto hos en virksomhed, er kunden dog stadig kunde

hos virksomheden, selvom kunden henvender sig gennem en værdipapirhandler, f.eks.

gennem en porteføljeplejeaftale hos værdipapirhandleren.

d) Modparter, som en virksomhed indgår handler med via en organiseret markedsplads, er

ikke kunder.

e) En person, der ejer værdipapirer udstedt af en virksomhed, er ikke kunde hos virksom-

heden af den grund.

8. Hvornår skal en virksomhed gennemføre kundekendskabsprocedurer

Hvidvasklovens § 10 beskriver, hvornår en virksomhed skal gennemføre kundekendskabsprocedurer:

1) Ved etablering af en forretningsforbindelse.

2) Når en kundes relevante omstændigheder ændrer sig.

3) Ved passende tidspunkter.

4) Ved enkeltstående transaktioner over et vist beløb.

5) Ved udbud af spil, hvor indsatsen eller udbetalingen er over et vist beløb.

6) Ved mistanke om hvidvask eller finansiering af terrorisme.

7) Ved tvivl om tidligere indhentede oplysninger om kunden.

I de følgende afsnit vil de forskellige oplistede situationer blive nærmere beskrevet.

8.1.

Etablering af en forretningsforbindelse

Henvisning til hvidvaskloven: § 10, stk. 1, nr. 1.

Henvisning til 4. hvidvaskdirektiv: Artikel 11, litra a.

Det er udgangspunktet, at en virksomhed etablerer en forretningsforbindelse, når virksomheden udfører

en ydelse eller sælger et produkt til en kunde. For kundeforhold hvor der ikke bliver etableret en forret-

ningsforbindelse, se afsnit 8.4 om enkeltstående transaktioner.

Når virksomheden etablerer et kundeforhold, hvor det på tidspunktet for etableringen forventes, at kun-

deforholdet bliver af en vis varighed, etableres der en forretningsforbindelse. Der vil derfor være tale om

etablering af en forretningsforbindelse, hvis virksomheden vurderer, at kunden vil benytte sig af virksom-

hedens ydelser gentagne gange og dermed vil være en jævnlig tilbagevendende kunde.

Der er altid tale om etablering af en forretningsforbindelse, hvis en kunde får oprettet en konto eller lig-

nende hos virksomheden f.eks. i forhold til indlån, udlån, leasing eller aftale om ejendomssalg.

Der må ikke oprettes anonyme konti eller konti under falske navne, og derfor er det et krav, at der altid

gennemføres kundekendskabsprocedurer ved etablering af en forretningsforbindelse.

8.2.

En kundes relevante omstændigheder ændrer sig

Hvis der er tale om en etableret forretningsforbindelse, og kundens relevante omstændigheder ændrer

sig, skal kundeskabsprocedurerne gennemføres igen.

Virksomheden skal reagere, hvis den bliver opmærksom på ændringer i kundeforholdet f.eks. en større

udvidelse af kundeengagementet og/eller til ændringer i kundens virksomhed.

Virksomheden skal i disse situationer ud fra en risikovurdering tage stilling til, om der skal indhentes nye

oplysninger om kunden, herunder eksempelvis indhentelse af identitetsoplysninger på ny og kontrol af

disse.

Hvis kunden er en juridisk person, skal virksomheden på baggrund af en risikovurdering tage stilling til,

om der skal indhentes nye oplysninger om de reelle ejere. Hvis virksomheden har fået nye reelle ejere,

skal virksomheden identificere og gennemføre rimelige foranstaltninger for at kontrollere de nye reelle

ejere. Derudover vil der ofte være behov for, at virksomheden klarlægger den nye ejer- og kontrolstruktur

for den pågældende kunde.

Eksempler på, at kundens relevante omstændigheder ændrer sig:

1) Hvis kundens formål eller tilsigtede beskaffenhed med forretningsforbindelsen ændrer sig væ-

sentligt, f.eks. fordi kunden begynder at foretage langt større transaktioner end tidligere, se afsnit

9.7 om forretningsforbindelsens formål og tilsigtede beskaffenhed.

2) Hvis en kunde får status som PEP.

3) Hvis en kunde til/fraflytter Danmark eller flytter sit forretningssted til/fra Danmark, herunder særligt

til/fra højrisikolande.

4) Hvis en kundes ejer- og kontrolstruktur ændrer sig, f.eks. på grund af en virksomhedsomdannelse

eller fordi virksomheden får inddraget en tilladelse til at udføre visse aktiviteter.

Virksomheden skal gennemføre kundekendskabsprocedurer, når virksomheden får viden om, at kundens

relevante omstændigheder ændrer sig. Dette kan f.eks. være som led af virksomhedens overvågning,

løbende gennemførelse af kundekendskabsprocedurer eller hvis virksomheden på anden måde får po-

sitiv viden om kunden, se afsnit 9.8 om løbende overvågning af forretningsforbindelsen.

8.3.

Kundekendskabsprocedurer ved passende tidspunkter

Når der er tale om en etableret forretningsforbindelse, skal virksomheden gennemføre kundekendskabs-

procedurerne med passende intervaller i kundeforholdet. Formålet med dette er at sikre, at de oplysnin-

ger, virksomheden har om en eksisterende kunde, er korrekte og tilstrækkelige. Virksomheden skal der-

for, ud over gennemførelse af kundekendskabsprocedurer, hvis kundens relevante omstændigheder æn-

dres, også sikre, at de gennemføres ved faste intervaller.

Kravet om gennemførelse af kundekendskabsprocedurer ved passende intervaller skal foretages på et

risikobaseret grundlag. Det vil sige, at virksomheden skal fastsætte intervallet ud fra en risikovurdering

af kundeforholdet. Virksomheden kan samle kunderne i forskellige kundekategorier, f.eks. kunder med

begrænset risiko og kunder med øget risiko, og kan eksempelvis fastsatte et interval for kunder med

begrænset risiko og et andet interval for kunder med øget risiko. Virksomheden kan dog ikke beslutte, at

kundekendskabsprocedurerne ikke gennemføres.

Det er således hensigten, at virksomheden fokuserer på kundeforhold med øget risici, mens der ved

kundeforhold med begrænset risici ikke er behov for samme omfattende og hyppige procedurer.

Der er ikke fastsat en lovbestemt metode til, hvordan virksomheden gennemfører kundekendskabspro-

cedurer ved passende intervaller. Kundekendskabsprocedurerne kan derfor gennemføres ved f.eks. en

automatiseret og/eller en manuel proces. Dette skal dog ske ud fra en risikobaseret tilgang.

Hvis der er tale om et kundeforhold med en juridisk person, kan det for eksempel være relevant i tilfælde

med begrænset risici med passende tidspunkter at kontrollere, om kunden har fået nye reelle ejere.

8.4.

Enkeltstående transaktioner

Henvisning til hvidvaskloven: § 10, stk. 1, nr. 2.

Henvisning til 4. hvidvaskdirektiv: Artikel 11, stk. 1, litra b.

Anden lovgivning: Europa-Parlamentets og Rådets forordning (EU) 2015/847 af 20. maj 2015 om

oplysninger, der skal medsendes ved pengeoverførsler, og om ophævelse af forordning (EF) nr.

1781/2006.

Udgangspunktet er, at en virksomhed etablerer en forretningsforbindelse, når den udfører transaktioner

for en kunde, og der dermed skal gennemføres kundekendskabsprocedurer. Virksomheden kan dog ud-

føre enkeltstående transaktioner for kunder, der ikke med jævne mellemrum benytter sig af virksomhe-

den.

Virksomheden skal i sine procedurer for kundekendskab sikre sig, at virksomheden er i stand til at af-

grænse, hvornår en kunde går fra at være en kunde, som virksomheden gennemfører enkeltstående

transaktioner for, til at være en forretningsforbindelse. Virksomheden kan derfor fastlægge en række

kriterier for at vurdere, om der er tale om en forretningsforbindelse eller ej. Sådanne kriterier kan f.eks.

være:

1) Antallet af gange kunden benytter sig af virksomheden.

2) Tidsintervallet mellem to transaktioner.

3) Antallet af transaktioner.

Når der er tale om enkeltstående transaktioner, skal virksomheden gennemføre kundekendskabsproce-

durer, når virksomheden udfører transaktioner for en kunde på mindst 15.000 euro.

For pengeoverførsel og valutaveksling gælder der andre grænser. Der skal ved pengeoverførsel gen-

nemføres kundekendskabsprocedurer, når virksomheden udfører en enkeltstående transaktion på mere

end 1.000 euro og ved valutaveksling skal procedurerne gennemføres, når transaktionen er 500 euro

eller derover.

Kendes transaktionens størrelse ikke på forhånd, skal der gennemføres kundekendskabsprocedurer, så

snart der er en formodning om, at transaktionen eller transaktionerne samlet modsvarer et beløb på hen-

holdsvis de 15.000 euro, 1.000 euro eller 500 euro.

De nævnte grænser gælder, uanset om transaktionen sker på én gang eller som flere transaktioner, der

er eller ser ud til at være indbyrdes forbundne.

Eksempler på indbyrdes forbundne transaktioner:

1) En kunde beder om at få overført henholdsvis 800 euro og 900 euro og overstiger dermed græn-

sen på 1.000 euro.

2) En kunde kommer igen flere gange samme dag eller dagen efter og foretager samme type trans-

aktion.

3) En kunde kommer flere dage i træk og får vekslet beløb, der tilsammen modsvarer et beløb på

500 euro eller mere.

Der er tale om en enkeltstående transaktion, når der ikke bliver etableret en forretningsforbindelse. Det

vil sige, at der ikke er tale om en enkeltstående transaktion, hvis der er etableret eller bliver etableret en

forretningsforbindelse på grund af andre ydelser, f.eks. kontooprettelse, rådgivning eller lignende.

Jævnligt tilbagevendende kunder hos f.eks. valutavekslingsvirksomheder og pengeoverførselsvirksom-

heder vil skulle betragtes som forretningsforbindelser. Det er en konkret vurdering, hvornår en kunde, der

foretager gentagne enkeltstående transaktioner skal betragtes som en etableret forretningsforbindelse,

og der dermed skal gennemføres kundekendskabsprocedurer. Det afhænger blandt andet af, hvor ofte

kunden foretager en transaktion samt hvor lang en tidsperiode, der er imellem de enkelte transaktioner.

Se afsnit 8.1 om etablering af en forretningsforbindelse.

Hvis der er mistanke om hvidvask eller finansiering af terrorisme, skal der altid gennemføres kundekend-

skabsprocedurer, se afsnit 8.6 om mistanke om hvidvask og finansiering af terrorisme.

Virksomheden skal være opmærksom på, at virksomheden ved pengeoverførsler skal overholde kravene

i pengeoverførselsforordningen om oplysninger om betaler og betalingsmodtager. Dette krav gælder,

selvom virksomheden ikke er forpligtet til at gennemføre kundekendskabsprocedurer efter kravene i hvid-

vaskloven.

Se afsnit 8.8. om enkeltstående aktiviteter, der ikke er transaktioner.

8.5.

Udbud af spil, hvor indsatsen eller udbetalingen er over et vist beløb

Henvisning til hvidvaskloven: § 10, stk. 1, nr. 3.

Henvisning til 4. hvidvaskdirektiv: Artikel 11, litra d.

Virksomheder, som udbyder spil, enten selv eller igennem en forhandler, skal gennemføre kundekend-

skabsprocedurer, når der gøres en indsats, udbetales en gevinst eller begge dele på mindst 2.000 euro.

Det er valgfrit for virksomheden at afgøre, hvilken del af processen, der udløser udførslen af kundekend-

skabsproceduren.

Vurderingen af, om flere transaktioner er sammenhængende, kan vurderes ud fra den enkelte forhandler

og inden for en periode på 24 timer.

Virksomheden skal altid være opmærksom på, om der etableres en fast forretningsforbindelse, f.eks. ved

oprettelse af loyalitetskort eller ordninger, hvorved en gevinst overføres til en bankkonto. Se afsnit 8.1

om etablering af en forretningsforbindelse.

8.6.

Mistanke om hvidvask eller finansiering af terrorisme

Henvisning til hvidvaskloven: § 10, stk. 1, nr. 4.

Henvisning til 4. hvidvaskdirektiv: Artikel 11, stk. 1, litra e.

Virksomheden skal altid gennemføre kundekendskabsprocedurer, når virksomheden har viden eller mis-

tanke om hvidvask eller finansiering af terrorisme. Kravet gælder selvom der kun er tale om en enkelt-

stående transaktion under et vist beløb, se afsnit 8.4 om enkeltstående transaktioner, eller udbud af spil,

hvor indsatsen eller udbetalingen er under 2.000 euro, se afsnit 8.5 om udbud af spil, hvor indsatsen eller

udbetaling er over et vist beløb.

Der kan være situationer med mistanke, hvor det ikke er muligt at gennemføre kundekendskabsproce-

durer, f.eks. hvis kunden nægter at give disse oplysninger eller kunden forlader virksomheden, når disse

oplysninger bliver efterspurgt. Virksomheden skal i disse tilfælde foretage en underretning til Hvidvask-

sekretariatet i SØIK med de oplysninger, som virksomheden er i besiddelse af.

8.7.

Tidligere indhentede oplysninger om kunden

Henvisning til hvidvaskloven: § 10, stk. 1, nr. 5.

Henvisning til 4. hvidvaskdirektiv: Artikel 11, stk. 1, litra f.

Virksomheden skal gennemføre kundekendskabsprocedurer, hvis der er tvivl om, hvorvidt de indhentede

oplysninger om kundens identitet mv. er korrekte og/eller tilstrækkelige.

Det betyder, at hvis virksomheden får grund til at tro, at de indhentede oplysninger ikke er tilstrækkelige

og/eller korrekte, skal der gennemføres kundekendskabsprocedurer på ny. Der ligger i kravet, at der

skal ske gennemførelse af hele kundekendskabsproceduren eller dele af kundekendskabsproceduren

ud fra en risikobetragtning. Det er derfor ikke nødvendigvis kun en opdatering af kundens identitetsop-

lysninger. Virksomheden skal foretage en konkret vurdering af, hvilke oplysninger, der skal indhentes.

Virksomheden bør sondre mellem hvorvidt oplysninger ikke er tilstrækkelige eller ikke er korrekte. Be-

hovet for og omfanget af de yderligere kundekendskabsprocedurer, der gennemføres i sådanne til-

fælde, kan tilrettelægges ud fra det konkrete forhold, eksempelvis:

1) Er virksomheden i tvivl om hvorvidt nogle konkrete oplysninger er tilstrækkelige, kan virksomhe-

den vurdere, at det kun er dele af kundekendskabsproceduren, der er nødvendig at gennemføre

igen.

2) Er virksomheden i tvivl om, hvorvidt de indhentede oplysninger er korrekte, kan virksomheden

vurdere, at hele kundekendskabsproceduren skal gennemføres igen.

I tilfælde med utilstrækkelige oplysninger vil der ofte være tale om, at der mangler supplerende oplysnin-

ger om den pågældende kunde. Et eksempel på, hvornår de indhentede oplysninger ikke er tilstrække-

lige, kan være, hvis virksomheden får kendskab til oplysninger om kunden, der medfører, at kundens

risikoprofil forøges eller at formålet og den tilsigtede beskaffenhed ændrer sig.

I tilfælde, hvor det viser sig, at nogle af oplysningerne ikke er korrekte, kan det ofte være nødvendigt, at

virksomheden kontrollerer alle oplysninger på ny for at sikre sig, at alle oplysninger er korrekte. Det beror

dog på, hvilke typer af oplysninger der ikke er korrekte. Har kunden f.eks. afgivet et forkert husnummer

ved en fejl, vil det ikke nødvendigvis give anledning til, at hele kundekendskabsproceduren skal gennem-

føres igen. Er virksomheden f.eks. i tvivl om, hvorvidt de ukorrekte oplysninger er afgivet bevidst af kun-

den, skal kundekendskabsprocedurerne gennemføres igen.

Se afsnit 13 om risikovurdering - kundekendskabsprocedurer.

8.8.

Enkeltstående aktiviteter, der ikke er transaktioner (rådgivningsopgaver)

Henvisning til hvidvaskloven: § 13.

Henvisning til 4. hvidvaskdirektiv: Artikel 2, stk. 3.

Hvis en virksomhed udfører en enkeltstående aktivitet, der ikke er en transaktion, kan kravene i hvidvask-

lovens § 11 om indhentning og kontrol af identitetsoplysninger på kunden undlades på baggrund af en

risikovurdering.

Et eksempel på en enkeltstående aktivitet er f.eks. en rådgivningsopgave, hvor der ikke umiddelbart er

udsigt til, at kunden vil henvende sig med nye opgaver, f.eks. en skatterådgivningsopgave af helt generel

karakter eller en enkeltstående generel rådgivningsopgave på investeringsområdet, som ikke tager kun-

dens konkrete indtjenings- og formueforhold i betragtning. I sådanne tilfælde vil der ikke være etableret

en forretningsforbindelse. Vurderingen kan derfor foretages på baggrund af, om aktiviteten er af generel

karakter, eller om virksomheden for at udføre aktiviteten skal forholde sig til kundens konkrete oplysnin-

ger, herunder kundens indtjenings- og formueforhold. Det afgørende er, at der i den konkrete situation

ikke er eller bliver indgået en forretningsforbindelse.

Virksomheden skal efterfølgende kunne godtgøre, at der i det konkrete tilfælde har været tale om en

enkeltstående aktivitet, og at risikovurderingen af den konkrete kunde har ført til, at kundekendskabspro-

cedurer kunne undlades.

Oprettelse af et selskab for en kunde eller salg af et tomt selskab kan ikke betragtes som en enkeltstå-

ende aktivitet, selvom kundeforholdet må forventes at blive kortvarigt. Udførelse af sådanne aktiviteter

for en kunde vil derfor være etablering af en forretningsforbindelse.

Hvis der er mistanke om hvidvask eller finansiering af terrorisme, skal der altid gennemføres kundekend-

skabsprocedurer, se afsnit 8.6 om mistanke om hvidvask og finansiering af terrorisme.

9. Indholdet af kundekendskabsprocedurer

Hvidvasklovens § 11 fastsætter de almindelige krav til kundekendskabsprocedurer.

Kundekendskabsprocedurer er en forpligtelse gennem hele forløbet af forretningsforbindelsen med kun-

den og skal gennemføres på baggrund af en risikovurdering af kundeforholdet. Virksomheden skal såle-

des afdække relevante risikofaktorer og ændringer heri i det enkelte kundeforhold for at vurdere omfanget

af de kundekendskabsprocedurer, der skal gennemføres.

Det ligger i kravene i § 11, at virksomheden skal

1) indhente identitetsoplysninger på kunden og

2) kontrollere de indhentede identitetsoplysninger ved en pålidelig og uafhængig kilde.

9.1.

Indhentning af identitetsoplysninger

Henvisning til hvidvaskloven: § 11, stk. 1 og 4.

Henvisning til 4. hvidvaskdirektiv: Artikel 13.

Virksomheder skal altid indhente identitetsoplysninger om kunden.

Identitetsoplysningerne kan eksempelvis indhentes gennem almindelig kundekontakt, f.eks. ved kundens

personlige fremmøde, ved skriftlig korrespondance mellem kunden og virksomheden, ved telefonsamtale

eller via virksomhedens it-systemer, herunder f.eks. ved videokontakt via en tilstrækkelig sikker linje eller

via f.eks. netbank.

Fysiske personer

Hvis kunden er en fysisk person, skal der indhentes navn og cpr-nr.

Hvis den pågældende kunde ikke har et cpr-nr., skal der indhentes lignende identitetsoplysning, f.eks.

for udlændinge et nationalt id-nummer. Når kunden ikke har et cpr-nr. eller lignende, skal identitetsoplys-

ninger omfatte kundens fødselsdato.

Udgangspunktet er, at det id-nummer, som virksomheden indhenter, skal være unikt og varigt. Et eksem-

pel på et varigt id-nummer er et dansk cpr-nr., hvor der som udgangspunkt er tale om et id-nummer, der

kun i meget specifikke tilfælde kan ændres.

Der kan dog være tilfælde, hvor kunden ikke har et unikt og/eller varigt id-nummer. I disse tilfælde skal

virksomheden sikre sig, at det id-nummer, de indhenter, er kundens aktive id-nummer. Dette kan f.eks.

være relevant, hvor virksomheden bruger kundens pasnummer som det unikke id-nummer. I sådanne

tilfælde kan der kun benyttes et pas, der ikke er udløbet på identifikationstidspunktet. Fødselsdato kan

anvendes i det sjældne tilfælde, hvor kunden ikke har et unikt id-nummer.

Det er som udgangspunkt kunden, der skal give identitetsoplysningerne. Det er derfor som hovedregel

ikke tilstrækkeligt, at kunden alene oplyser sit cpr-nr., hvorefter virksomheden selv indhenter kundens

navn i CPR (Det Centrale Personregister). I tilfælde med begrænset risiko kan det dog være tilstrækkeligt,

hvis identitetsoplysninger om kunden indhentes fra kundens arbejdsgiver, f.eks. i tilfældet med arbejds-

markedspensioner.

Virksomheden skal indhente kundens fulde navn for at sikre, at kontrollen af, at kunden er den, som

kunden udgiver sig for at være, er effektiv. Virksomheden kan dog i konkrete tilfælde anlægge en risiko-

betragtning i forhold til den procedure, virksomheden benytter ved indhentelse af identitetsoplysningerne

fra kunden.

Udgangspunktet er, at det af kunden oplyste navn og cpr-nr. skal stemme overens med kontrolkilden,

som f.eks. kan være kørekort eller pas. Ved åbenlyse slåfejl kan virksomheden dog acceptere de ind-

hentede oplysninger fra kunden. Mangler dele af kundens fulde navn f.eks. en af kundens fornavne, skal

virksomheden indhente identitetsoplysninger igen hos kunden. I praksis vil det eksempelvis skulle ske,

hvis virksomheden ikke møder kunden fysisk ved etableringen af forretningsforbindelsen, og kunden ud-

fylder en formular med sine identitetsoplysninger, som derefter vil blive kontrolleret af virksomheden i

CPR. Har kunden f.eks. kun angivet to af sine fire navne, skal virksomheden indhente oplysninger om

kundens fulde navn fra kunden.

Hvis virksomheden f.eks. indhenter identitetsoplysningerne via en formular og benytter sig af to kontrol-

kilder, som fremsendes af kunden samlet, kan virksomheden vurdere, at kunden har fremsendt sit fulde

navn ved de to kontrolkilder, og der er ikke tvivl om, at kunden er den, som kunden udgiver sig for at

være. Et eksempel på to kontrolkilder kan som nævnt f.eks. være kørekort og pas.

Ved etableringen af en forretningsforbindelse til en kunde skal virksomheden registrere kundens fulde

navn.

Virksomheden skal altid kunne godtgøre over for den myndighed, der fører tilsyn med virksomhedens

overholdelse af hvidvaskloven, at virksomheden har et tilstrækkeligt kendskab til kunden.

Juridiske personer

Hvis kunden er en juridisk person, skal der indhentes navn og cvr-nr.

Hvis den pågældende kunde ikke har et cvr-nr., skal der indhentes lignende identitetsoplysninger. Ved

udenlandske virksomheder kan anden form for identifikationsoplysning være et registreringsnummer,

f.eks. TIN (Tax Identification Number), LEI (Legal Entity Identifier) eller et andet unikt registreringsnum-

mer.

Hvis kunden ikke har et cvr-nr. eller lignende, er det et krav, at virksomheden som minimum har oplys-

ninger om kundens juridiske status (virksomhedsform), f.eks. om der er tale om et selskab med begræn-

set ansvar, en fond, trust eller andet.

9.2.

Kontrol af identitetsoplysninger

Henvisning til hvidvaskloven: § 11, stk. 1, nr. 2 og stk. 4.

Henvisning til 4. hvidvaskdirektiv: Artikel 13, stk. 1, litra a.

De identitetsoplysninger, som virksomheden har indhentet på en kunde, skal kontrolleres ved dokumen-

ter, data eller oplysninger, der er indhentet fra en pålidelig og uafhængig kilde. Det betyder, at kontrol af

kundens identitet skal ske gennem en anden kilde end kunden.

Den pålidelige kilde kan være en offentlig myndighed, men det kan også være en anden pålidelig ekstern

kilde. Det er samtidig vigtigt, at der er tale om en aktuel kilde. Dette er særlig relevant i forhold til fysiske

id-dokumenter, hvor virksomheden skal være opmærksom på, om dokumentet stadig er gyldigt.

Det er relevant at sikre, at dokumentet, der bruges til kontrol, er gyldigt, da personens identitetsoplysnin-

ger kan have ændret sig, f.eks. oplysninger om nationalitet, ændring af unikt id-nummer mv.

Virksomheden skal ud fra en risikobetragtning vurdere, om identitetsoplysningerne bør ajourføres på et

senere tidspunkt, herunder om identitetsbeviser skal indhentes igen, fordi tidligere identitetsbeviser er

udløbet i mellemtiden.

Virksomheden skal indhente et nyt legitimationsdokument, hvis der er opstået tvivl om dokumentets ægt-

hed.

Det er en konkret vurdering, hvor meget dokumentation, data eller oplysninger, der skal være for, at der

er tale om en tilstrækkelig kontrol af en kundes identitetsoplysninger. Der må dog ikke være anledning til

tvivl om, at kunden er den person, som kunden udgiver sig for at være. Virksomheden skal i den forbin-

delse risikovurdere sine kunder, og denne vurdering kan medføre, at der skal gennemføres skærpede

kundekendskabsprocedurer.

Hvis virksomheden vurderer, at der er øget risiko ved forretningsforbindelsen, skal virksomheden fore-

tage yderligere handlinger, uanset om kundens identitetsoplysninger er kontrolleret. Virksomheden kan

kræve yderligere dokumenter fra kunden, foretage opslag i eksterne kilder eller kræve, at første betaling

sker fra en bankkonto i kundens navn mv. Virksomheden skal således vurdere, hvilke procedurer den vil

benytte for at sikre, at der ikke er tvivl om, at kunden er den, som kunden udgiver sig for at være. Se

afsnit 14 om skærpede kundekendskabsprocedurer.

9.3.

Eksempler på kontrol ved en pålidelig og uafhængig kilde

En kontrol ved en pålidelig og uafhængig kilde kan f.eks. være en søgning i et pålideligt og uafhængigt

Udgangspunktet er, at virksomheden skal have forevist originale fysiske legitimationsdokumenter, når

kunden er fysisk til stede. Hvis kunden er fysisk til stede, bør kunden som udgangspunkt også være i

stand til at fremvise legitimationsdokumenter og ikke kun en kopi af disse.

Fysiske personer

For fysiske personer kan kontrollen f.eks. bestå af opslag i CPR (Det Centrale Personregister), oplysnin-

ger fra Skatteforvaltningen, offentligt udstedte legitimationsdokumenter, som f.eks. pas, kørekort, NemID,

legitimationskort, sundhedskort, dåbs- eller navneattest.

Der er ikke krav om, at kunden fremviser billedlegitimation. I de tilfælde, hvor kunden møder fysisk op

hos virksomheden, vil kontrol i form af billedlegitimation, f.eks. pas eller kørekort, dog give virksomheden

en øget sikkerhed for, at kunden er den person, som kunden udgiver sig for at være. Det vil især være

aktuelt i tilfælde, hvor der er tale om høj risiko.

Juridiske personer

For juridiske personer kan kontrollen f.eks. bestå af opslag i CVR (Det Centrale Virksomhedsregister),

oplysninger fra Skatteforvaltningen, kopi af stiftelsesdokument og vedtægter.

Hvis kunden er etableret uden for Danmark, kan lignende oplysninger fra tilsvarende offentlige myndig-

heder eller registre benyttes til at kontrollere den juridiske persons identitetsoplysninger.

For juridiske personer uden et cvr-nr., f.eks. visse foreninger, kan kontrol ske ved indhentelse af kopi af

foreningens stiftelsesdokument og vedtægter, hvis sådanne findes, samt oplysninger om de personer,

der kan handle på vegne af foreningen. Stiftelsesdokumentet kan f.eks. være kopi af referat fra den stif-

tende generalforsamling. Oplysninger om, hvem der kan handle på vegne af foreningen, vil typisk fremgå

af vedtægterne, f.eks. formand og kasserer i forening, og disses navne vil typisk fremgå af referat af

foreningens sidste afholdte generalforsamling.

Der findes mange forskellige typer foreninger, herunder interesseforeninger og frivillige foreninger. Disse

foreninger dækker et bredt spektrum, også i forhold til risiko, og virksomheden bør derfor i forbindelse

med deres kundekendskabsprocedurer tage højde for dette. Virksomheden skal på den baggrund ud fra

en risikovurdering fastlægge, hvilke oplysninger virksomheden har behov for. Virksomheden kan eksem-

pelvis vurdere den enkelte forening på baggrund af en række faktorer som f.eks. foreningens formål,

herunder medlemskredsen, om foreningen er medlem af et anerkendt hovedforbund eller hovedforening,

om foreningen er godkendt som en folkeoplysende forening og offentlige tilgængelig information om for-

eningen, samt hvordan foreningen finansieres.

Når kunden er en juridisk person, skal virksomheden være opmærksom på kravet om kontrol af de reelle

ejeres identitet, se afsnit 9.6 om reelle ejere.

Praktiske eksempler:

Uanset nedenstående eksempler er det altid en konkret vurdering i det enkelte kundeforhold, hvilke op-

lysninger der skal indhentes fra kunden, og hvornår disse er tilstrækkeligt kontrolleret ved uafhængige

og pålidelige kilde(r). Virksomheden skal dog som minimum altid indhente navn og cpr-nr. eller lignende,

hvis den pågældende ikke har et cpr-nr.

Et eksempel på en proces for hvordan indhentning af oplysninger og kontrol af en fysisk kunde kan fo-

regå, ud fra en risikovurdering, og hvor kontrollen sker ved brug af to kilder:

1) Kunden oplyser sit navn og cpr-nr. til virksomheden.

2) Kunden foreviser virksomheden sit kørekort.

3) Virksomheden kontrollerer navn og cpr-nr. ved opslag i CPR.

4) Virksomheden kontrollerer, at oplysningerne på kørekortet stemmer overens med kundens oply-

ste navn og cpr-nr. Samtidig kontrollerer virksomheden, at billedet på kørekortet stemmer overens

med kundens udseende.

5) Virksomheden opbevarer dokumentation for kontrollen af identitetsoplysningerne, dvs. i dette til-

fælde kopi af kørekort og revisionsspor for opslag i CPR.

For nogle kunder kan det være svært at fremskaffe standard legitimationsdokumenter som f.eks. sund-

hedskort og kørekort. Denne type kunder kan f.eks. være arbejdstagere fra udlandet, udenlandske stu-

derende, asylansøgere, flygtninge, hjemløse og mindreårige.

Virksomheden bør i den forbindelse have en tilgang til kunden, der kompenserer for de udfordringer, som

kunden har ved at skulle fremskaffe dokumentation for hans/hendes identitet.

Det kan derfor i nogle tilfælde være nødvendigt for en virksomhed at benytte sig af andre kontrolkilder

end sædvanligt. Det kan være i form af andre kilder, som kunden er i besiddelse af, men som virksom-

heden almindeligvis ikke benytter sig af. Det kan f.eks. være en forevisning af et brev fra en offentlig

myndighed til kunden sammenholdt med en opholdstilladelse.

Det kan i nogle tilfælde også være nødvendigt at kontakte en offentlig myndighed og bede denne om at

bekræfte personens identitet.

Udenlandske arbejdstagere og studerende vil ikke altid fra starten af deres ophold i Danmark have et

cpr-nr., og personer, der har fået tildelt et administrativt personnummer af f.eks. Skatteforvaltningen eller

SIRI, vil ikke altid på tidspunktet for henvendelsen til banken være blevet folkeregisterregistreret med

bopæl i CPR (bopælsregistreret). Dog kan visse kunder have behov for at oprette en dansk bankkonto til

brug for at opfylde betingelserne for deres opholdstilladelse, selv om de endnu ikke er blevet bopælsre-

gistreret i CPR. Dette er f.eks. tilfældet ved arbejdstagere fra ikke EU-lande, hvor udlændingeloven i visse

tilfælde stiller krav til, at de får deres løn udbetalt til en konto i Danmark som betingelse for opholdstilla-

delse. I disse tilfælde kan virksomheden f.eks. benytte kundens

foreløbige arbejdstilladelse eller

opholds-

tilladelse, der for tredjelandes statsborgere indeholder vedkommendes tildelte administrative personnum-

mer, som kontrolkilde af kundens identitetsoplysninger sammen med andre kilder som f.eks. pas. I tvivls-

tilfælde om f.eks. gyldigheden af opholdstilladelsen for arbejdstagere fra ikke EU-lande kan virksomhe-

den rette henvendelse til Styrelsen for International Rekruttering og Integration (SIRI), der kan bekræfte

denne.

9.4.

Distancekunder

Der er bedre mulighed for, at virksomheden kan sikre sig, at kunden er den person, som kunden udgiver

sig for at være, når virksomheden møder kunden fysisk. Når kunden ikke er fysisk til stede (distancefor-

hold), skal virksomheden forholde sig til den potentielt øgede risiko ved dette. Billedlegitimation vil ikke

give den samme sikkerhed som ved fysisk fremmøde, medmindre virksomheden f.eks. benytter sig af

digitale systemer, der giver virksomheden mulighed for, at kunden fremviser sin billedlegitimation samti-

dig med, at virksomheden kan se kunden via digitale systemer, f.eks. via et live videolink. Dette vil være

med til at sikre en øget sikkerhed for, at kunden er den, som kunden udgiver sig for at være.

Omfanget af kontrollen af identitetsoplysninger om kunder, der ikke er fysisk til stede, afhænger også af

egenskaber og karakteristika ved det produkt eller den ydelse, som forretningsforbindelsen angår i for-

hold til risikoen for hvidvask og finansiering af terrorisme. Virksomheden skal således altid ud fra en

risikovurdering vurdere, hvilke kontrolkilder der er nødvendige for at sikre sig, at kendskabet til kunden

er tilstrækkeligt, herunder om der skal anvendes mere end én kilde til kontrol af identitetsoplysninger eller

mitigerende tiltag. Et eksempel på et mitigerende tiltag kan eksempelvis være, at virksomheden sender

et fysisk brev med en unik kode til kundens folkeregisteradresse, som kunden efterfølgende skal oplyse

virksomheden om f.eks. telefonisk eller ved, at kunden logger på virksomhedens hjemmeside, se afsnit

9.5. nedenfor om brug af NemID for yderligere eksempler på mitigerende tiltag.

9.5.

Brug af NemID

NemID kan bruges i forbindelse med kontrol af kundens identitetsoplysninger ved brug af PID cpr-match

til kontrol af cpr-nr. og offentlig digital signatur (OCES) til kontrol af navn.

NemID er en pålidelig og uafhængig kilde, men i de tilfælde, hvor der ikke kun er tale om begrænset

risiko, vil det være nødvendigt for virksomheden at benytte sig af andre kontrolkilder eller mitigerende

tiltag sammen med NemID for at kunne opnå tilstrækkeligt kendskab til kunden i forbindelse med gen-

nemførelse af kundekendskabsproceduren. Virksomheden skal i den forbindelse være opmærksom på

den potentielt øgede risiko, der er for kundeforhold, hvor kunden ikke møder fysisk frem. Se afsnit 9.4.

ovenfor om distancekunder.

Virksomheden kan kun bruge NemID som den eneste kontrolkilde i de tilfælde, hvor virksomheden har

foretaget en risikovurdering af det konkrete kundeforhold og vurderet, at der kan gennemføres lempede

kundekendskabsprocedurer, og at virksomheden kan opnå tilstrækkelig kendskab til kunden ved brug af

NemID. Virksomheden skal dog også være opmærksom på, at der i forhold til det konkrete kundeforhold

kan være behov for at indhente andre oplysninger, f.eks. om forretningsforbindelsens formål og tilsigtede

beskaffenhed.

Hvis forretningsforbindelsen med kunden indeholder produkter eller ydelser, hvor det fremgår af den na-

tionale risikovurdering for henholdsvis hvidvask og finansiering af terrorisme, at der er tale om produkter

eller ydelser med en høj risiko, vil kundeforholdet som udgangspunkt ikke udgøre en begrænset risiko.

Det betyder, at i sådanne kundeforhold vil NemID ikke være tilstrækkeligt til at sikre det fornødne kend-

skab til kunderne.

NemID som kontrolkilde kan suppleres med andre tiltag, f.eks. andre kontrolkilder. Det kan også være

en mulighed for virksomheden at benytte sig af mitigerende tiltag i forbindelse med brug af NemID. Miti-

gerende tiltag kan f.eks. være:

1) Den første transaktion sker via kundens Nemkonto eller en anden bankkonto registreret i kundens

navn.

2) Virksomheden sender en unik kode til et mobiltelefonnummer, som virksomheden har kontrolleret

tilhører kunden, eller med fysisk post til kundens folkeregisteradresse.

3) Virksomheden kontrollerer kundens IP-adresse i forhold til geolokation.

4) Virksomheden stiller kunden spørgsmål, hvor virksomheden efterfølgende kan kontrollere rigtig-

heden af svarene ved en pålidelig og uafhængig kilde, f.eks. oplysninger fra kundens personlige

skattemappe.

Ovenstående eksempler skal ikke anses som en udtømmende liste, da der kan være flere måder, hvor

virksomheden kan benytte sig af mitigerende tiltag. Samtidig skal virksomheden være opmærksom på,

at virksomheden selv skal foretage en konkret vurdering af, hvilken eventuelle mitigerende tiltag der er

tilstrækkelige i forhold til kendskab til kunden.

Virksomheden skal kunne godtgøre over for den myndighed, der fører tilsyn med overholdelsen af hvid-

vaskloven på området, at virksomhedens kendskab til kunden er tilstrækkeligt i forhold til risikoen for

hvidvask og finansiering af terrorisme. Virksomhedens kundekendskabsprocedurer og herunder kontrol-

len af identitetsoplysninger skal derfor være tilrettelagt på en sådan måde, at virksomheden har et til-

strækkeligt kendskab til den konkrete kunde.

9.6.

Reelle ejere

Henvisning til hvidvaskloven: § 11, stk. 1, nr. 3 og § 2, stk. 1, nr. 1 og 9.

Henvisning til 4. hvidvaskdirektiv: Artikel 13, stk. 1, litra b.

Henvisning til Erhvervsstyrelsens vejledning: Reelle ejere, vejledningen handler om reelle ejere, her-

under hvem, hvad og hvor der skal registreres.

Begrebet reelle ejere anvendtes i den tidligere hvidvasklovgivning og anvendes nu både i hvidvasklov-

givningen og i regelsættet om registrering af reelle ejere. Begrebet i de to lovgivninger har nu samme

baggrund i 4. hvidvaskdirektiv, og der er dermed tale om et fælles begreb. I regelsættet om registrering

af reelle ejere er der krav til, at forskellige juridiske personer mv. skal registrere deres reelle ejere i et

identificere og kontrollere kunders reelle ejere.

Nogle juridiske personer mv. er ikke omfattet af kravet om registrering af reelle ejere i regelsættet om

registrering af reelle ejere, men denne undtagelse gælder ikke for hvidvasklovens krav, til at virksomhe-

der skal identificere og kontrollere deres kunders reelle ejere som led i virksomhedens kundekendskabs-

procedurer. Virksomheder skal derfor også identificere reelle ejere, hvis deres kunde f.eks. er en frivillig

forening eller en andelsboligforening, selvom de ikke er omfattet af reglerne om registrering af reelle

ejere.

Da reglerne om reelle ejere har samme baggrund, kan en virksomhed, der efter hvidvaskloven skal iden-

tificere sine kunders reelle ejere, benytte Erhvervsstyrelsens Vejledning om reelle ejere som hjælp til

fortolkning af begrebet og vurdering af, hvem der skal identificeres samt til fastlæggelse af ejer- og kon-

trolstruktur. Virksomhederne skal dog være opmærksomme på, at hvidvasklovens krav om, hvilke oplys-

ninger der skal indhentes i henhold til kundekendskabsprocedurerne, adskiller sig fra de oplysninger, der

skal registreres om reelle ejere i CVR.

Virksomheden skal som led i sine kundekendskabsprocedurer identificere kundens reelle ejere.

Virksomheden skal:

1) indhente identitetsoplysninger om den eller de reelle ejere,

2) gennemføre rimelige foranstaltninger for at kontrollere den eller de reelle ejeres identitet og

3) hvis kunden er en juridisk person, skal virksomheden klarlægge den juridiske persons ejer- og

kontrolstruktur.

9.6.1.

Definition af reelle ejer

En kundes reelle ejer er den eller de fysiske personer, der i sidste ende ejer eller kontrollerer kunden,

eller den eller de fysiske personer, på hvis vegne en transaktion eller aktivitet gennemføres.

Reelle ejere kan kun være fysiske personer, og virksomheden skal klarlægge hele kundens ejer- og

strukturkæde og finde frem til, hvem der i sidste ende ejer eller kontrollerer kunden.

Hvis en kunde eksempelvis er et selskab A, som ejes 100 pct. af et andet selskab B, skal virksomheden

identificere den eller de fysiske personer, der ejer og kontrollerer selskab B.

Når virksomheden skal identificere, hvem der er kundens reelle ejere, skal virksomheden vurdere hvilke

personer, der har en tilstrækkelig del af ejerandelene eller af kontrollen. En indikator for, hvad der er en

tilstrækkelig del, vil som udgangspunkt være, at personen har mere end 25 pct. af ejerandele og/eller

kontrollen. Det er dog vigtigt at fremhæve, at procentgrænsen kun er en indikator for reelt ejerskab eller

kontrol.

Udgangspunktet er, at kunden har reelle ejere og kan identificere dem. Der er dog tilfælde, hvor der ikke

er nogle fysiske personer, der ejer og/eller kontrollerer kunden i tilstrækkelig grad til, at de bliver omfattet

af definitionen af reelle ejere. I disse tilfælde skal kundens daglige ledelse i stedet betragtes som den

eller de reelle ejere.

Hvis virksomheden har identificeret en eller flere reelle ejere, men der alligevel er tvivl om, hvorvidt de

pågældende personer rent faktisk er de reelle ejere, skal både de identificerede personer og den daglige

ledelse betragtes som reelle ejere af kunden.

Virksomheden skal notere de foranstaltninger, som virksomheden har iværksat i forsøget på at identifi-

cerer de reelle ejere. Noteringen skal ske inden, virksomheden betragter den daglige ledelse som kun-

dens reelle ejere.

Virksomheden skal gemme de oplysninger, som virksomheden har indhentet og brugt til at identificere

kundens reelle ejere. Det kan f.eks. være hvis

virksomheden har udformet et diagram over den ”ejer-

kæde”,

der er fra virksomhedens kunde og frem til kundens reelle ejere, eller hvis virksomheden f.eks.

har klarlagt kundens ejer- og kontrolstrukturen ved en udskrift af Erhvervsstyrelsens register over reelle

ejere.

Virksomheden kan i kundeforhold, som indebærer en begrænset risiko, også indhente de oplysninger og

noteringer, som kunden har benyttet i forbindelse med, at kunden har identificeret sine reelle ejere. Dog

bør virksomheden forholde sig til kundens oplysninger og noteringer, inden disse eventuelt lægges til

grund som del af virksomhedens undersøgelse af kunden.

Kravet om indhentning og kontrol af reelle ejere gælder ikke for selskaber, hvis ejerandele handles på et

reguleret marked eller et tilsvarende marked, som er undergivet oplysningspligt i overensstemmelse med

EU-retten eller tilsvarende internationale standarder, der sikrer passende gennemsigtighed. I situationer,

hvor kundens ejerandele handles på et sådan reguleret marked inden for EU/EØS eller et tilsvarende

marked udenfor EU/EØS, der er underlagt tilsvarende oplysningspligt som inden for EU/EØS, skal virk-

somheden således ikke identificere og kontrollere reelle ejere af kunden. Ved vurderingen af tilsvarende

oplysningspligt i markeder udenfor EU/EØS skal der i denne forbindelse forstås de krav til oplysningspligt,

der følger af relevante artikler i markedsmisbrugsforordningen (2014/596/EU), transparensdirektivet

(2004/109/EF) og prospektdirektivet (2003/71/EF) samt med anden EU regulering, der følger af disse

relevante artikler.

9.6.2.

Indhentelse af identitetsoplysninger

Der skal altid indhentes oplysninger om den eller de reelle ejeres identitet (bortset fra ejere af børsnote-

rede selskaber). Oplysningerne skal indeholde oplysninger om navn og cpr-nr. eller lignende, hvis den

pågældende ikke har et cpr-nr.

Kravet gælder f.eks., når kunden er en juridisk person, eksempelvis et selskab, en fond eller en anden

juridisk enhed. Det gælder også i forbindelse med en nominee-ordning, hvor det er den person, på hvis

vegne nomineen fungerer, der er den reelle ejer.

Virksomheden skal indhente oplysninger, som sikrer et kendskab til de reelle ejere. Det beror på en

konkret vurdering, hvordan og hvilke oplysninger virksomheden skal indhente om kundens reelle ejere,

men vurderingen kan aldrig føre til, at der ikke indhentes nogle identitetsoplysninger.

9.6.3.

Kontrol af reelle ejeres identitetsoplysninger

Kontrollen af de indhentede identitetsoplysninger skal foretages ud fra en risikovurdering af, hvad der er

rimelige foranstaltninger i forhold til den konkrete kunde.

Virksomheden skal dermed altid indhente identitetsoplysninger og derefter foretage en risikovurdering af,

hvorledes disse skal kontrolleres.

der skal gennemføres ”rimelige foranstaltninger” for at kontrollere en reel ejers identitetsoplysninger

betyder, at virksomheden f.eks. ud fra en risikovurdering kan anvende oplysninger om de reelle ejere,

der udleveres af kunden, hvis virksomheden har vurderet, at kundeforholdet har begrænset risiko. Virk-

somheden kan også konkret vurdere i enkelte tilfælde, at kontrollen kan undlades. Denne procedure er

dog ikke tilstrækkelig i forhold til kontrollen af kundens egne oplysninger. Se afsnit 9.2 om kontrol af

identitetsoplysninger.

Hvis virksomheden vurderer, at et kundeforhold udgør en begrænset risiko, kan virksomheden f.eks.

benytte Erhvervsstyrelsens register over reelle ejere som kilde til at identificere, hvem kundens reelle

ejere er og som kilde til kontrol. Det skal dog bemærkes, at den offentligt tilgængelige del af registeret

over reelle ejere ikke indeholder oplysninger om den reelle ejers cpr-nr. Brug af registeret som kilde til

kontrol er derfor kun muligt i tilfælde med begrænset risiko, hvor det er vurderet, at dette er tilstrækkeligt

som rimelig foranstaltning for at kontrollere den reelle ejer. Det vil som udgangspunkt være i tilfælde, hvor

både kunden og produktet udgør en begrænset risiko.

Hvis virksomheden vurderer, at der er en øget risiko ved kundeforholdet, vil det ikke være tilstrækkeligt

alene at kontrollere identitetsoplysningerne ved at få dem udleveret af kunden. Her kan der være behov

for, at den eller de reelle ejeres identitet kontrolleres ved en eller flere uafhængige kilder, f.eks. ved kopi

af et offentligt udstedt identifikationsdokument, se afsnit 9.3 om eksempler på kontrol ved en pålidelig og

uafhængig kilde.

9.6.4.

Klarlæggelse af ejer- og kontrolstruktur

Når kunden er en juridisk person, skal virksomheden altid klarlægge den juridiske persons ejer- og kon-

trolstruktur. Med ejer- og kontrolstruktur forstås, at virksomheden indhenter oplysninger om eksempelvis

kundens ledelse, tegningsregler, ejeraftaler, kapitalklasser eller lignende. Virksomheden skal selv vur-

dere hvilke oplysninger, der er relevante for at klarlægge kundens ejer- og kontrolstruktur.

Virksomhedens klarlæggelse af en kundes ejer- og kontrolstruktur bidrager til at afdække, hvem der er

kundens reelle ejere. Virksomheden kan derfor ofte med fordel klarlægge ejer- og kontrolstrukturen først

for at få klarhed over, hvem virksomheden skal identificere og eventuelt kontrollere som kundens reelle

ejere.

Det er derfor nødvendigt, at virksomheden altid klarlægger hele kundens ejer- og kontrolstruktur, dvs. at

virksomheden skal klarlægge hele ejerkæden af eventuelle juridiske personer (virksomheder) for at finde

frem til de personer, der i sidste ende ejer eller kontrollerer kunden. En klarlæggelse af ejer- og kontrol-

stukturen omfatter derfor også eventuelle udenlandske juridiske eller fysiske ejere.

Virksomheden kan ud fra en risikovurdering beslutte, hvilke undersøgelser der iværksættes for at klar-

lægge ejer- og kontrolstrukturen. Det kan derfor i tilfælde med begrænset risiko være tilstrækkeligt, at

virksomheden klarlægger strukturen ved et koncerndiagram, der viser ejerandelene, eller ved at virksom-

heden indhenter oplysningerne via CVR (Det Centrale Virksomhedsregister), herunder om virksomhe-

dens reelle ejere.

I tilfælde med øget risiko kan det være nødvendigt, at virksomheden indhenter dokumentation for ejeran-

delene i form af vedtægter, aktiebog eller lignende.

Der bør i alle forretningsforbindelser med juridiske personer gennemføres foranstaltninger, der klarlæg-

ger ejer- og kontrolstrukturen, men virksomheden fastlægger selv omfanget af foranstaltningerne ud fra

virksomhedens risikovurdering af forretningsforbindelsen.

Konkrete eksempler på identifikation af reelle ejere

Nedenfor følger en række eksempler på identifikation af reelle ejere. Hvordan en forretningsforbindelses

reelle ejere skal identificeres, er dog altid en konkret vurdering i henhold til hvidvasksloven, som virksom-

heden selv skal foretage ved etablering af en forretningsforbindelse. Virksomheden skal som minimum

altid indhente navn og cpr-nr. eller lignende, hvis kundens reelle ejere ikke har et cpr-nr.

Offentligt ejet:

I forretningsforbindelser, hvor kunden er eller ejes 100 pct. af en offentlig myndighed herunder en kom-

mune, statsejet virksomhed mv., vil der ikke være fysiske personer, der ejer eller kontrollerer kunden i et

sådant omfang, at vedkommende omfattes af definitionen af reel ejer. Derfor skal den daglige ledelse

betragtes som den reelle ejer.

Hvis kunden er en statslig myndighed, en styrelse eller en selvstændig offentlig ejet virksomhed, er det

direktøren, der skal betragtes som reel ejer. Hvis kunden er et ministerium, er det departementschefen,

der skal betragtes som reel ejer.

Hvis kunden f.eks. er et aktieselskab, der er 100 pct. ejet af en statslig myndighed, er det den daglige

ledelse i aktieselskabet (direktionen), der skal betragtes som reelle ejere.

Er kunden en offentlig/kommunalt ejet daginstitution eller lignende, skal virksomheden betragte daginsti-

tutionens daglige ledelse som den eller de reelle ejere i henhold til hvidvaskloven. Hvis en daginstitution

f.eks. skal lease en opvaskemaskine, er det den, der dagligt leder og træffer beslutninger på vegne af

institutionen, der skal betragtes som reel ejer.

Er det selve kommunen, der er kunden, er det en konkret vurdering, hvem der varetager den daglige

ledelse. I en kommune kan det være borgmesteren eller en anden fysisk person, der har lignende befø-

jelser over den del af kommunen, som indgår aftalen med virksomheden, der i det konkrete tilfælde vil

være den, der varetager den daglige ledelse. Kommuner kan have forskellige administrative strukturer,

f.eks. hvor de har flere borgmestre. Er det f.eks. børne- og ungeudvalget i Københavns Kommune, der

træffer beslutning om opførsel af nye spejderhytter og dermed er bygherre, kan det vurderes, at det er

borgmesteren for børne- og ungeudvalget, der skal betragtes som den reelle ejer i det konkrete eksem-

pel.

Frivillige foreninger og andelsboligforeninger

Når virksomheden skal identificere reelle ejere af en kunde, kan virksomheden tage udgangspunkt i,

hvilke type virksomhed eller anden juridisk enhed, som kunden ligner. Er kunden f.eks. en frivillig forening

eller en andelsboligforening, kan virksomheden tage udgangspunkt i, hvordan virksomheden identificerer

reelle ejere i andre typer foreninger, f.eks. visse foreninger som er omfattet af regelsættet om registrering

af reelle ejere.

Som udgangspunkt skal virksomheden finde ud af, om der er en eller flere personer, der ejer eller kon-

trollerer foreningen i overensstemmelse med definitionen af reelle ejere. Er der ingen personer, der kan

identificeres, skal den daglige ledelse betragtes som reelle ejere. I foreninger vil det ofte enten være

foreningens bestyrelse eller direktionen, hvis foreningen har en sådan, der vil udgøre foreningens daglige

ledelse, og som dermed skal betragtes som reelle ejere. Det er dog en konkret vurdering af den enkelte

forening og dennes forhold.

Til brug for identifikation af de reelle ejere kan virksomheden f.eks. indhente foreningens stiftelsesdoku-

ment, vedtægter eller referater fra generalforsamlingen.

Investeringsforeninger

Når kunden er en investeringsforening eller en afdeling i en investeringsforening, skal virksomheden

identificere og gennemføre rimelige foranstaltninger for at kontrollere de fysiske personer, der i sidste

ende ejer og kontrollerer den juridiske enhed, som virksomheden indgår forretningsforbindelsen med. I

dette eksempel vil det være investeringsforeningen som juridisk person med et CVR-nr., også selvom

der f.eks. kun skal leveres en ydelse til en enkelt afdeling i investeringsforeningen.

Er der ingen personer, der ejer eller kontrollerer investeringsforeningen i en sådan grad, at de kan defi-

neres som reelle ejere, skal foreningens daglige ledelse betragtes som reel ejer. Der kan henvises til

Erhvervsstyrelsen Vejledning om reelle ejere, bilag 2.

Alternative investeringsfonde

(AIF’er):

En AIF kan f.eks. være en private equity fond, ejendomsfond eller andet. Når kunden er en AIF, skal

virksomheden identificere og gennemføre rimelige foranstaltninger for at kontrollere de fysiske personer,

der i sidste ende ejer og kontrollerer den juridiske enhed, som virksomheden indgår forretningsforbindel-

sen med. I dette eksempel vil det være

AIF’en

som juridisk person med et CVR-nr.

Er der ingen personer, der ejer eller kontrollerer

AIF’en

i en sådan grad, at de kan defineres som reelle

ejere, skal

AIF’ens

daglige ledelse betragtes som reel ejer.

Filialer

Hvis kunden er en filial, skal virksomheden klarlægge ejer- og kontrolstrukturen og finde frem til, hvilke

fysiske personer der ejer eller kontroller filialens hoved-/moderselskab.

Folkekirkens selvejende institutioner

Folkekirkens kirker og præsteembeder er som regel selvejende og bestyres af menighedsrådet. Det er

derfor menighedsrådets medlemmer, der skal betragtes som reelle ejere.

Fonde

Hvis en kunde er en fond, skal virksomheden vurdere, hvem der i sidste ende direkte eller indirekte

kontrollerer fonden.

Fonde, herunder erhvervsdrivende og ikke-erhvervsdrivende fonde, er kendetegnet ved, at de ikke har

ejere. Som reel ejer af en fond anses den eller de fysiske personer, der i sidste ende direkte eller indirekte

kontrollerer fonden eller på anden måde har ejerskabslignende beføjelser, herunder bestyrelsen og i

nogle tilfælde også særligt begunstigede personer. Sidstnævnte skal dog som udgangspunkt kun anses

som reelle ejere, hvis de med navns nævnelse efter fondens vedtægt har et retskrav på at modtage en

ikke ubetydelig andel af fondens midler.

I dansk ret kan en stifter af en fond ikke have ejerbeføjelser over fondens midler, og stifteren er derfor

som udgangspunkt ikke reel ejer.

Der er dog tale om en konkret vurdering, og det kan ikke udelukkes, at der kan være situationer, hvor

stifteren som følge af særlige beføjelser i fondens vedtægt, kan vurderes at være reel ejer. Stifteren kan

derudover være reel ejer, hvis vedkommende er medlem af bestyrelsen i fonden.

Trusts og lignende retlige arrangementer

Hvis en kunde f.eks. ejes af en udenlandsk trust, skal virksomheden identificere og gennemføre rimelige

foranstaltninger for at kontrollere kundens reelle ejere. Virksomheden skal derfor vurdere trusten, herun-

der trustens stiftere, forvaltere (trustee(s)) og protektoren, som trustens reelle ejere.

Reelle ejere i andre typer juridiske personer mv.

Kunder, der er ejet af et selskab med ejerandele, der handles på et reguleret marked

Er kunden ejet af en (børsnoteret) virksomhed, hvis ejerandele handles på et reguleret marked, vil det

være kundens daglige ledelse, der skal betragtes som reelle ejere, da der ikke er reelle ejere af den

(børsnoterede) virksomhed.

Ved identifikation af, hvem der er reel ejer i andre typer juridiske personer mv., kan henvises til Erhvervs-

styrelsens Vejledning om reelle ejere, som bl.a. omhandler identifikation af reelle ejere i selskaber, fonde,

visse foreninger og i virksomheder, som er omfattet af finansiel lovgivning mv. I forbindelse med udførelse

af kundekendskabsprocedurer er Erhvervsstyrelsens Vejledning, bilag 2, et fortolkningsbidrag til at af-

gøre, hvem der skal betragtes som reelle ejere i de situationer, hvor der ikke kan identificeres fysiske

personer, der ejer eller kontrollerer virksomheden i en sådan grad, at de bliver reelle ejere i hvidvasklo-

vens forstand.

9.7.

Forretningsforbindelsens formål og tilsigtede beskaffenhed

Henvisning til hvidvaskloven: § 11, stk. 1, nr. 4.

Henvisning til 4. hvidvaskdirektiv: Artikel 13, stk. 1, nr. c.

Virksomheden skal vurdere forretningsforbindelsens formål og tilsigtede beskaffenhed. Hvis det er rele-

vant, skal virksomheden også indhente oplysninger om formålet og den tilsigtede beskaffenhed hos kun-

den.

Virksomheden skal foretage en konkret vurdering af, om det er relevant at indhente oplysninger. Vurde-

ringen kan bl.a. bero på produkttypen.

Viden om forretningsforbindelsens formål og tilsigtede beskaffenhed hjælper virksomheden til at vurdere,

om forretningsforbindelsen har et legitimt formål og til at få en dybere indsigt i forretningsforbindelsens

samlede risikoprofil.

Kravet om, at virksomheden skal vurdere forretningsforbindelsens formål, betyder, at virksomheden skal

kende kundens formål med, hvorfor kunden ønsker den pågældende forretningsforbindelse, f.eks. at

kunden skal bruge en indlånskonto til udbetaling af løn eller at kunden ønsker at investere i aktier og

andre værdipapirer.

Formålet med forretningsforbindelsen er relevant for virksomhedens vurdering af det konkrete kundefor-

hold, herunder i vurderingen af, om der er risiko for hvidvask eller finansiering af terrorisme. Derudover

er oplysningerne relevante for virksomhedens overvågning af kundeforholdet og til virksomhedens afgø-

relse af, om en specifik transaktion eller lignende er usædvanlig for kunden og for kundens formål med

forretningsforbindelsen.

Virksomheden skal have indsigt i, hvorfor kunden ønsker produktet eller ydelsen. Hvis virksomheden

vurderer, at det er relevant at indhente oplysninger om formålet, kan virksomheden f.eks. have brug for

oplysninger om:

1) Hvorfor kunden ønsker et bestemt produkt eller tjenesteydelse.

2) Hvad der er den forventede størrelse, antal eller frekvens af transaktioner, som kunden ønsker

gennemført.

Hvis virksomheden ud fra en risikobaseret vurdering ikke indhenter oplysninger om formålet, kan virk-

somheden benytte sin overvågning af kunden til at vurdere, om kundens formål med forretningsforbin-

delsen er i overensstemmelse med virksomhedens viden herom. Her kan virksomheden ud fra overvåg-

ningen vurdere, hvad der er typisk eller sædvanligt for det pågældende kundetypeforhold, og om den

konkrete kunde afviger fra dette.

Kravet om, at virksomheden skal vurdere forretningsforbindelsens tilsigtede beskaffenhed, betyder, at

virksomheden skal kende karakteren af forretningsforbindelsen, dvs. de egenskaber og forhold, der til-

sammen giver forretningsforbindelsen sin karakter.

Virksomheden vil oftere have behov for at indhente oplysninger om den tilsigtede beskaffenhed end om

formålet, fordi formålet kan være fastlagt i eller følge af produkttypen. Forretningsforbindelsens tilsigtede

beskaffenhed siger noget konkret om kunden og kundens anvendelse af produktet. Dette kan f.eks. være

at forstå oprindelsen af kundens midler, eller forstå hvordan en virksomhedskunde opnår sin indtjening.

Hvis virksomheden vurderer, at det er relevant at indhente oplysninger om den tilsigtede beskaffenhed,

kan virksomheden f.eks. have brug for oplysninger om:

1) Kundens konkrete forretningsmodel, hvis kunden er en juridisk person.

2) Kundens indtægts- og formueforhold.

3) Hvordan kunden påtænker at anvende midlerne.

9.8.

Løbende overvågning af forretningsforbindelsen

Henvisning til hvidvaskloven: § 11, stk. 1, nr. 5.

Henvisning til 4. hvidvaskdirektiv: Artikel 13, stk. 1, litra d.

Virksomheden skal løbende overvåge den etablerede forretningsforbindelse. Kravet gælder både i for-

hold til overvågning af de transaktioner, som kunden foretager, og i forhold til andre af kundens aktiviteter,

generelt betegnet kundens adfærd, som virksomheden f.eks. får kendskab til gennem den almindelige

kontakt med kunden.

Formålet med overvågningen er blandt andet at afdække, om den enkelte kundes adfærd, herunder kun-

dens transaktioner og aktiviteter, er i overensstemmelse med virksomhedens kendskab til kunden. Virk-

somheden skal overvåge kundens adfærd for at sikre, at denne stemmer overens med kundens forret-

nings- og risikoprofil og samtidig, om kundens transaktioner og aktiviteter er overensstemmende med

andre kunder med samme forretnings- og risikoprofil.

Ved ”kundens forretningsprofil” menes der oplysninger om kundens profil på baggrund af oplysninger om

f.eks. formål med forretningsforbindelsen, omfang af transaktioner, transaktioners størrelse, regelmæs-

sighed og varighed.

Ved ”kundens risikoprofil” menes der,

at overvågningen af forretningsforbindelsen

skal ske ud fra den profil af kunden, som virksomheden er kommet frem til på baggrund af sin risikovur-

dering af forretningsforbindelsen med kunden, se afsnit 13 om risikovurdering

–

kundekendskabsproce-

durer.

Overvågningen bør tilrettelægges efter den enkelte kundes forhold og løbende justeres på baggrund af

kundens historik og virksomhedens viden om kunden. Dog kan virksomheder med en simpel forretnings-

model vælge at overvåge alle eller en gruppe af sine kunder på samme måde, f.eks. en pengeoverfør-

selsvirksomhed, der har samme kundetyper og kun overfører penge til et geografisk område.

Virksomheden skal ved overvågningen sikre sig, at de transaktioner og aktiviteter, som kunden foretager,

er i overensstemmelse med virksomhedens viden om kunden og dennes forretnings- og risikoprofil. Hvis

en kundes forretnings- og risikoprofil ændrer sig, skal virksomheden justere overvågningen af kunden.

Hvis der er tale om, at virksomheden har foretaget en undersøgelse af kunden på baggrund af mistæn-

kelige forhold, kan det være relevant at udvide overvågningen, se afsnit 24.1 om udvidet overvågning.

Virksomheden skal ud fra en risikovurdering søge oplysning om oprindelsen af kundens midler, hvis en

transaktion er usædvanlig ud fra virksomhedens viden om kundens indtjenings- og formueforhold, her-

under likviditet. Virksomheden skal i sådanne tilfælde kende oprindelsen af de midler, som vedrører for-

retningsforbindelsen. Det vil typisk ikke være tilstrækkeligt for at afkræfte en mistanke blot at indhente

yderligere oplysninger fra kunden om midlernes oprindelse. Virksomheden skal indhente dokumentation

f.eks. i form af en salgsaftale, lønsedler, boopgørelse eller lignende.

Begrebet midlernes oprindelse dækker over, hvor følgende har oprindelse:

1) Kundens formue.

2) Midler, der indgår i transaktionen.

3) Midlerne, der er en del af forretningsforbindelsen.

Ønsker en kunde f.eks. at indsætte/har indsat et stort beløb, som virksomheden vurderer er usædvanlig

for kunden, kan virksomheden eksempelvis indhente oplysninger og dokumentation for oprindelsen af de

midler, som kunden ønsker at indsætte/har indsat.

I forhold til kunder med en øget risiko kan det være nødvendigt at kende midlernes oprindelse, inden

virksomheden foretager en transaktion eller anden aktivitet for kunden. Det vil f.eks. være relevant i til-

fælde, hvor virksomheden ud fra deres risikovurdering af forretningsforbindelsen har vurderet, at der er

tale om et kundeforhold med øget risiko for hvidvask og finansiering af terrorisme. Se afsnit 14 om skær-

pede kundekendskabsprocedurer.

I forhold til forretningsforbindelser, der handler om rådgivnings- og formidlingsopgaver, skal virksomhe-

den overvåge, om kundens forespørgsler er usædvanlige i forhold til virksomhedens oplysninger om

kunden og dennes forretnings- og risikoprofil.

Da kravet om overvågning både gælder for transaktioner og aktiviteter, kan det være relevant både at

have en manuel og systembaseret overvågning. En manuel overvågning kan f.eks. være, at virksomhe-

den har fastlagt, hvordan de ansatte rapporterer mistænkelig adfærd til den hvidvaskansvarlige. Den

systembaserede overvågning kan f.eks. være et IT-system, der overvåger kundernes transaktioner og

aktiviteter, og ved usædvanlig eller mistænkelig adfærd udløser en alarm.

Der er ikke krav om, at virksomheder har et IT-system til overvågning, men i virksomheder med et stort

antal af kunder og komplekse produkter og transaktioner, kan det være nødvendigt for at sikre den for-

nødne overvågning. Det kan f.eks. være aktuelt i forbindelse med et pengeinstituts overvågning af deres

kunder.

9.9.

Løbende ajourføring af oplysninger om kunden

Henvisning til hvidvaskloven: § 11, stk. 1, nr. 5.

Henvisning til 4. hvidvaskdirektiv: Artikel 13, stk. 1, litra d.

Oplysninger, dokumenter og data, der er indhentet om en kunde, skal løbende ajourføres med henblik

på, at virksomheden kan vurdere, om forretningsforbindelsens risiko er ændret. Det betyder, at der kan

være behov for, at oplysninger, som virksomheden indhenter som led i sine kundekendskabsprocedurer,

bliver opdateret i løbet af kundeforholdet.

Virksomheden kan fastsætte procedurer for ajourføringen. Virksomheden kan f.eks. beslutte, at ajourfø-

ring af oplysninger om kunder, der er inddelt i forskellige risikoklassifikationer, kan ske med forskellige

intervaller afhængig af, om risikoen er begrænset, mellem eller høj.

Se afsnittene 8.2 om ændring af en kundes relevante omstændigheder og 8.3 om kundekendskabspro-

cedurer ved passende tidspunkter.

10. Når en person handler på vegne af en kunde

Henvisning til hvidvaskloven: § 11, stk. 2.

Henvisning til 4. hvidvaskdirektiv: Artikel 13, stk. 1.

Når en person handler på vegne af en kunde, eller når der er tvivl om, hvorvidt en person handler på

egne vegne, skal virksomheden:

1) identificere personen og

2) kontrollere personens identitet ved en pålidelig og uafhængig kilde.

Kravet opstår i de tilfælde, hvor en person selv oplyser, at vedkommende handler på vegne af en anden,

eller hvor virksomheden er i tvivl om, hvorvidt personen handler på egne vegne.

Den fysiske eller juridiske person, som en anden person handler på vegne af, er kunden, og det er derfor

denne person, som virksomheden skal gennemføre kundekendskabsprocedurer på.

Virksomheden er alene forpligtet til at identificere og kontrollere identiteten af den person, der handler på

vegne af kunden. Det betyder, at virksomheden ikke skal gennemføre andre kundekendskabsprocedurer

på denne person, herunder f.eks. formål og tilsigtede beskaffenhed.

Når fysiske eller juridiske personer handler på vegne af en kunde, skal virksomheden sikre, at den fysiske

eller juridiske person har beføjelse til dette.

Anvendelsesområdet for bestemmelsen vedrører tredjeparter, og på denne baggrund er stillingsfuldmag-

ter ikke omfattet af hvidvasklovens § 11, stk. 2, fordi indehaverne af en stillingsfuldmagt handler som en

del af virksomheden og ikke som en uafhængig tredjepart på vegne af virksomheden. Det kan dog følge

af anden lovgivning, at virksomheden bør sikre sig, at den pågældende person handler på baggrund af

en stillingsfuldmagt og inden for rammerne af denne.

Hvis virksomheden er i tvivl, om en kunde handler på egne vegne, kan det i nogle tilfælde være tilstræk-

keligt at spørge kunden. Hvis virksomheden ikke kan afkræfte tvivlen ved at spørge kunden, eller hvis

der er tvivl om, hvorvidt kundens oplysninger er korrekte, skal virksomheden kontrollere kundens identitet.

Ved fuldmagtsforhold er det virksomheden, der skal vurdere, hvilken dokumentation der er nødvendig.

Der er nogle produkter, hvor der naturligt foreligger et fuldmagtsforhold, f.eks. børneopsparinger. Dette

produkt er af begrænset risiko, og barnet som kunde kan f.eks. identificeres og kontrolleres ved sin dåbs-

attest, Forældrene eller bedsteforældrene skal identificeres og kontrolleres som fuldmagtshavere, der

handler på vegne af barnet.

Der er andre fuldmagtsforhold, hvor alene ét dokument kan være tilstrækkelig dokumentation. Dette kan

f.eks. være en kommunalt ansat, som kan fremvise sit identitetskort, der er udstedt af kommunen, og

som dokumenterer ansættelsesforholdet.

I situationer, hvor fuldmagtsforholdet ikke er klart, eller hvor der er tvivl om fuldmagtsforholdet, skal virk-

somheden have oplysninger eller dokumentation fra personen, som skal bevise, at personen har den

nødvendige beføjelse til at handle på kundens vegne.

Kravet til, at virksomheden sikrer, at den fysiske eller juridiske person, der handler på vegne af kunden,

har beføjelse til dette, gælder ikke, hvis den pågældende person er en advokat med beskikkelse i Dan-

mark eller i et andet EU- eller EØS-land.

11. Begunstigede ved livs- og pensionsforsikringer

Henvisning til hvidvaskloven: § 12, stk.1 og 2.

Henvisning til 4. hvidvaskdirektiv: Artikel 13, stk. 5.

Ved livs- og pensionsforsikringer skal der indhentes identitetsoplysninger på den, der er begunstiget i

forhold til policen. Livs- og pensionsselskaber skal således som led i deres kundekendskabsprocedurer

indhente navn på begunstigede.

Hvis der er tale om en unavngiven person eller en gruppe af unavngivne personer, skal virksomheden

have tilstrækkelige oplysninger til at kunne identificere de begunstigede på udbetalingstidspunktet.

”Tilstrækkelige

oplysninger” betyder, at livs- eller pensionsforsikringsselskabet vurderer, at selskabet kan

identificere den begunstigede på det tidspunkt, hvor udbetalingen finder sted. Indsættelse af nærmeste

pårørende som begunstiget vil være tilstrækkeligt, da den begunstigede ved udbetalingstidspunktet vil

kunne identificeres ud fra de gældende regler for nærmeste pårørende.

Så snart den begunstigede er identificeret eller udpeget, skal virksomheden indhente identitetsoplysnin-

ger om vedkommende. Indhentning af identitetsoplysninger på den begunstigede kan f.eks. ske ved, at

kunden (forsikringstager) oplyser virksomheden om navnet på den pågældende.

Formålet med at indhente oplysninger om navn på den begunstigede er, at disse oplysninger skal ind-

drages i risikovurderingen af kundeforholdet, herunder om der skal iværksættes skærpede kundekend-

skabsprocedurer.

Hvis en begunstiget er en PEP, skal der gennemføres skærpede kundekendskabsprocedurer, se afsnit

15 om politisk eksponerede personer.

Kontrol af identitetsoplysninger for begunstigede

Begunstigedes identitetsoplysninger skal kontrolleres på samme måde som kunder efter § 11, stk. 2. For

fysiske personer vil identitetsoplysningerne være navn og cpr.nr.

Kontrollen skal ske på grundlag af dokumenter, data eller oplysninger indhentet fra en pålidelig og uaf-

hængig kilde, se afsnit 9.2 om kontrol af identitetsoplysninger.

Kontrollen af identitetsoplysninger skal ske før udbetaling til den begunstigede finder sted.

Det betyder, at kontrollen af identitetsoplysninger kan vente med at blive gennemført til et tidspunkt inden

udbetalingen til den begunstigede, men oplysning om navn kan ikke vente til dette tidspunkt.

12. Korrespondentforbindelser

Henvisning til hvidvaskloven: § 2, nr. 4 og §§ 19, 20.

Henvisning til 4. hvidvaskdirektiv: Artikel 19 og 24.

Henvisning til: European Banking Authority, Retningslinjer for risikofaktorer, JC 2017 37, 04.01.2018.

Indgåelse af en korrespondentforbindelse med en respondent er omfattet af hvidvaskloven. Dette gælder

både for korrespondentforbindelser i EU- og EØS-lande såvel som korrespondentforbindelser udenfor

EU/EØS.

Hvis der er tale om en korrespondentforbindelse indenfor EU/EØS er hovedreglen, at virksomheden kan

gennemføre almindelige kundekendskabsprocedurer, herunder foretage en konkret risikovurdering af

den konkrete forretningsforbindelse med respondenten mv. Den konkrete risikovurdering kan medføre,

at virksomheden kommer frem til, at virksomheden skal gennemføre skærpede kundekendskabsproce-

durer på respondenten.

Når en virksomhed etablerer en korrespondentforbindelse med ren respondent udenfor EU/EØS, skal

virksomheden gennemføre skærpede kundekendskabsprocedurer på respondenten, se afsnit 12.1. om

grænseoverskridende korrespondentforbindelse.

12.1. Grænseoverskridende korrespondentforbindelse

Inden virksomheder omfattet af hvidvasklovens § 1, stk. 1, nr. 1-13 og 19, etablerer en grænseoverskri-

dende korrespondentforbindelse, dvs. hvor respondenten er etableret i et land, der ikke er del af EU/EØS,

skal virksomheden gennemføre en række skærpede foranstaltninger ud over de almindelige kundekend-

skabskrav.

Det betyder, at etablering af en korrespondentforbindelse med en respondent udenfor EU/EØS er betin-

get af, at skærpede foranstaltninger gennemføres. Som nævnt ovenfor kan korrespondentforbindelser

beliggende indenfor EU/EØS efter en konkret vurdering også kan være genstand for skærpede kunde-

kendskabsprocedurer.

Forpligtelsen til at gennemføre skærpede kundekendskabsprocedurer påhviler korrespondenten. Korre-

spondenten er den virksomhed, der leverer ydelser til den anden virksomhed, mens respondenten er den

virksomhed, der modtager ydelserne direkte fra korrespondenten.

En korrespondentforbindelse defineres som:

1) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut

(respondenten), herunder oprettelse af løbende konto eller passivkonto, samt øvrige ydelser som

likviditetsstyring (cash management), international overførsel af midler mv.

2) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-13 eller 19, (korrespondenten)

til en anden virksomhed omfattet af § 1, stk. 1, nr. 1-13 eller 19, (respondenten), hvor der leveres

lignende ydelser, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller

overførsler af midler.

En korrespondentforbindelse omfatter ikke kun forretningsforbindelser mellem banker, men også forret-

ningsforbindelser mellem de virksomheder, der er oplistet i bestemmelsen, f.eks. udbydere af betalings-

tjenester, hvis der leveres en pengeinstitutydelse eller en lignende ydelse.

Internationale elektroniske pengeoverførsler understøttes af et meddelelsessystem, der udbydes af

SWIFT (Society for Worldwide Interbank Financial Telecommunication), kaldet RMA (Relationship Ma-

nagement Application). For at kunne kommunikere meddelelser om pengeoverførsler ved brug af SWIFT-

systemet er det en forudsætning, at virksomheder har åbnet en RMA med hinanden.

Det er i SWIFT-systemet muligt at styre, hvilke typer beskeder (MT-typer) der kan udveksles gennem

RMA’en.

Åbning af en RMA medfører ikke i sig selv, at der etableres en korrespondentforbindelse. Virksomheden

skal derfor vurdere, hvornår der er tale om etablering af en forretningsforbindelse, og hvor der dermed

skal gennemføres kundekendskabsprocedurer.

En korrespondentforbindelse er ofte karakteriseret ved dens løbende og gentagne karakter. Der vil derfor

i almindelighed ikke være etableret en korrespondentforbindelse ved gennemførelse af en enkeltstående

transaktion. Virksomheden skal dog i vurderingen af, om der er tale om en enkeltstående transaktion eller

etablering af en korrespondentforbindelse, tage højde for risikoen i transaktionen, herunder beløbsstør-

relse og produkt. Virksomheden skal have klare procedurer for dette, herunder for hvordan det sikres, at

det kun er tale om en enkeltstående transaktion.

Et eksempel på en korrespondentforbindelse:

1) En udenlandsk bank X (respondenten), som er beliggende uden for EU/EØS, har en konto i bank

Y (korrespondenten), som er beliggende i Danmark.

2) Den udenlandske bank X beder bank Y om at overføre penge fra den udenlandske banks konto

i bank Y til Z-bank.

3) Det er bank Y, der leverer en pengeinstitutydelse til den udenlandske bank, hvorfor bank Y er

korrespondent og skal foretage skærpede kundekendskabsprocedurer over for den udenlandske

bank”.

12.2. Korrespondentens forpligtelser

Hvis en korrespondent, f.eks. et pengeinstitut eller en pengeoverførselsvirksomhed i Danmark, skal etab-

lere en forretningsforbindelse med en respondent fra et land, som ikke er et EU- eller EØS-land, skal

korrespondenten:

1) indhente tilstrækkelige oplysninger om respondenten, så korrespondenten forstår, hvori respon-

dentens virksomhed består,

2) bedømme respondentens omdømme ud fra offentligt tilgængelige oplysninger,

3) bedømme kvaliteten af det tilsyn, som føres med respondenten i det pågældende land, hvor re-

spondenten er etableret, f.eks. på baggrund af evalueringsrapporter fra FATF, IMF mv. eller ved

at kontakte respondentens tilsynsmyndighed om deres tilsynsvirksomhed,

4) indhente tilstrækkelige oplysninger til at sikre, at respondenten har effektive kontrolprocedurer

med henblik på at overholde regler om bekæmpelse af hvidvask og finansiering af terrorisme,

5) indhente godkendelse hos den hvidvaskansvarlige,

6) dokumentere sit henholdsvis respondentens ansvar for at opfylde reglerne i hvidvaskloven.

Ad 1-3: Tilstrækkelige oplysninger om respondentens virksomhed, omdømme og underlagte tilsyn:

Virksomheden kan f.eks. indhente oplysninger til brug for disse vurderinger via søgninger på internettet,

private udbydere af information eller fra respondenten selv.

Ad 4: Tilstrækkelige oplysninger til at sikre, at respondenten har effektive kontrolprocedurer med henblik

på at overholde regler om bekæmpelse af hvidvask og finansiering af terrorisme:

Når virksomheden skal indhente tilstrækkelige oplysninger, skal virksomheden foretage en vurdering på

baggrund af de krav, der gælder i henhold til internationale standarder, som svarer til de krav, som gælder

i den danske hvidvasklov.

Korrespondenten skal altid foretage en vurdering af respondenten, og korrespondenten bør derfor selv

vurdere omfanget af undersøgelsen af respondenten.

Som en del af undersøgelsen af respondenten kan korrespondenten eksempelvis:

1) benytte

Wolfsberg Group’s Standard Anti-Money

Laundering Questionnaire, til den potentielle

respondentforbindelse med henblik på besvarelse,

2) indhente oplysninger om respondentens politik på hvidvaskområdet,

3) undersøge, om respondenten har været dømt, involveret eller mistænkt for hvidvask eller terror-

finansiering og

4) indhente oplysninger om respondentens procedurer for kontrol, compliancefunktion eller lig-

nende.

Det er af afgørende betydning, at korrespondenten, ud fra en risikovurdering, ikke alene forlader sig på

information levereret af respondenten selv, f.eks. via

Wolfsberg Group’s Standard Anti-Money

Launde-

ring Questionnaire.

Ad 5: Godkendelse hos den hvidvaskansvarlige:

Den hvidvaskansvarlige skal i sin godkendelse af en korrespondentforbindelse foretage en reel vurdering

af respondentforbindelsen på baggrund af de oplysninger, som korrespondenten har indhentet om re-

spondenten. Der gælder ingen formkrav til godkendelsen, men virksomheden skal kunne dokumentere

den.

Ad 6: Dokumentere sit henholdsvis respondentens ansvar for opfyldelse af reglerne i hvidvaskloven:

Korrespondenten skal sikre sig, at der er klare aftaler mellem korrespondenten og respondenten om

ansvaret for opfyldelse af kravene i hvidvaskloven i tilfælde, hvor midler tilhørende respondentens kunder

vil blive indsat på en konto, der er oprettet af korrespondenten i Danmark. Ansvaret skal derfor være

”dokumenteret”,

og det betyder, at det skal være skrevet ned, hvem der har ansvaret for de enkelte

forpligtelser, og at denne aftale om ansvaret er vedtaget af både korrespondenten og respondenten.

Der er visse faktorer, der kan indikere en øget risiko, som korrespondenten skal være opmærksom på,

bl.a. følgende:

1) hvis kontoen kan benyttes af andre enheder i respondentbankens koncern, dvs. andre enheder,

der ikke selv har været underlagt korrespondentbankens kundekendskabsprocedurer

2) hvis kontoen kan bruges af andre banker eller kunder, der har et direkte forhold til respondenten,

men som ikke har et direkte forhold til korrespondenten. I sådanne tilfælde vil det betyde, at kor-

respondenten leverer tjenesteydelser til andre banker end den respondent, der er indgået en

korrespondentforbindelse med.

Omvendt er der faktorer, der kan bidrage til at begrænse risikoen, bl.a.:

1) Når virksomheder handler på egne vegne og derfor ikke håndterer transaktioner på vegne af

deres kunder, f.eks. i forbindelse med valutatransaktioner mellem to banker, hvor bankerne er

ejerne, og afviklingen af transaktionerne ikke involverer en tredjemand. Dvs. transaktionen sker

på respondentbankens egen regning.

2) Når transaktionen vedrører salg, køb eller pantsætning af værdipapirer på regulerede markeder,

f.eks. når banken optræder som eller bruger en depotbank med direkte adgang, normalt gennem

en lokal deltager til et værdipapirafviklingssystem i EU eller i et tredjeland.

Virksomheder, der indgår korrespondentforbindelser, kan bl.a. søge vejledning i konkrete risikovurderin-

ger og risikofaktorer i EBAs retningslinjer for risikofaktorer.

Virksomheden skal kunne godtgøre over for den myndighed, der fører tilsyn med virksomhedens over-

holdelse af hvidvaskloven, at virksomheden har et tilstrækkeligt kendskab til respondenten i forhold til

risikoen for hvidvask og finansiering af terrorisme.

12.3. Gennemstrømningskonti

Hvis respondentforbindelsens kunde har direkte adgang til at disponere over midler indestående på en

konto hos korrespondentforbindelsen, skal korrespondenten sikre sig, at respondenten gennemfører kun-

dekendskabsprocedurer, samt at respondenten kan udlevere kundekendskabsoplysninger efter anmod-

ning fra korrespondenten.

Hvis respondentforbindelsens kunde har direkte adgang til at råde over midler, der indestår på en konto

hos korrespondenten, såkaldte gennemstrømningskonti, skal korrespondenten sikre sig, at respondenten

i det land, som respondenten er etableret i, er underlagt krav om at gennemføre kundekendskabsproce-

durer.

Korrespondenten kan f.eks. sikre dette ved at indhente stikprøver på respondentens oprettede kundefor-

hold. Det er ikke tilstrækkeligt, at respondenten i lovgivningen er underlagt krav om kundekendskabspro-

cedurer. Korrespondenten skal undersøge og dermed sikre, at respondenten faktuelt gennemfører dem.

Derudover skal korrespondenten sikre sig, at respondenten efter anmodning kan udlevere kundekend-

skabsoplysninger til korrespondenten. Dette kan f.eks. ske i overensstemmelse med vilkår, der er fastsat

i en kontrakt.

Disse krav betyder, at korrespondenter i Danmark er ansvarlige for respondentforbindelsers kundefor-

bindelser på samme måde, som hvis disse kunder havde haft direkte kundeforbindelse med korrespon-

denten i Danmark.

12.4. Virksomheden må ikke have en korrespondentforbindelse med et tomt selskab

Et tomt selskab er i hvidvasklovens forstand et selskab, der driver samme type virksomhed som de i § 1,

stk. 1, nr. 1-13 og 19, nævnte virksomheder og personer, men som ikke er til stede i det land, hvor

selskabet har hjemsted, ikke ledes eller administreres i det pågældende land, og ikke indgår i en reguleret

finansiel koncern.

Virksomheden må ikke have direkte eller indirekte relationer med et tomt selskab, og derfor må virksom-

heden ikke etablere eller opretholde en sådan forbindelse. Derudover skal virksomheden træffe rimelige

foranstaltninger for at undgå at etablere korrespondentforbindelser med virksomheder, hvor der foreligger

offentligt tilgængelige oplysninger om, at respondentforbindelsen lader tomme bankselskaber anvende

korrespondentforbindelsens konti.

Med rimelige foranstaltninger forstås, at virksomheden foretager en vurdering af potentielle respondent-

forbindelser, inden virksomheden indgår i en forretningsforbindelse med dem. I vurderingen kan bl.a.

indgå en afklaring af, om den potentielle respondentforbindelse tidligere har tilladt, at den pågældende

respondentforbindelse lader tomme selskaber anvende sine konti.

Virksomheden må derfor f.eks. ikke oprette en korrespondentforbindelse, før virksomheden har foretaget

søgninger i offentligt tilgængelige kilder om respondentforbindelsen.

13. Risikovurdering

–

kundekendskabsprocedurer

Henvisning til hvidvaskloven: § 11, stk. 3.

Henvisning til 4. hvidvaskdirektiv: Artikel 13, stk. 2.

Virksomheden skal gennemføre kundekendskabsprocedurer i alle forretningsforbindelser. Kravene i §

11, stk. 1 og 2, kan derfor aldrig undlades, heller ikke i tilfælde af begrænset risiko.

Det betyder, at der for enhver kunde skal indhentes identitetsoplysninger. Identitetsoplysningerne skal

kontrolleres, kundens forretnings- og risikoprofil skal klarlægges og kundeforholdet skal overvåges. Ved

kunder, der er juridiske personer, skal der altid også indhentes identitetsoplysninger på reelle ejere. Se

afsnit 9.6 om reelle ejere.

Virksomhedens kundekendskabsprocedurer kan gennemføres ud fra en risikovurdering af det konkrete

kundeforhold.

Kundekendskabsproceduren og risikovurderingen fastlægger kundens risikoprofil på tidspunktet for ind-

gåelsen af forretningsforbindelsen. Risikoprofilen kan ændres i løbet af kundeforholdet, og derfor er der

krav om, at virksomheden gennemfører kundekendskabsprocedurer løbende med et vist interval i hele

kundeforholdet, således at oplysningerne om kunden holdes ajour se afsnit 8.3 om kundekendskabspro-

cedurer ved passende tidspunkter.

I forbindelse med indgåelsen af forretningsforbindelsen eller ved senere kundekendskabsprocedurer kan

der være behov for, at virksomheden også undersøger oprindelsen af kundens midler for at vurdere

eventuelle risici forbundet med hvidvask eller finansiering af terrorisme.

Risikovurderingen omfatter overordnet en vurdering af:

1) Risikoen for hvidvask og/eller finansiering af terrorisme.

2) Om kunden er den person, som kunden udgiver sig for at være.

Virksomheden bør tilrettelægge niveauet af sine kundekendskabsprocedurer ud fra den overordnede ri-

sikovurdering, som virksomheden har foretaget af sin forretningsmodel. Se afsnit 3 om risikovurdering.

Virksomheden kan også vurdere den enkelte forretningsforbindelse til en kunde ud fra de samme risiko-

faktorer. Dog skal risikovurderingen af den enkelte kunde foretages konkret i forhold til kunden.

Risikovurderingen kan forholde sig til:

1) Hvem kunden er?

2) Hvilke produkter eller ydelser ønsker kunden?

3) Er der med forretningsforbindelsen til kunden nogle relevante geografiske forhold, der skal tages

i betragtning?

4) Hvilke leveringskanaler er der til kunden?

De oplistede faktorer er ikke udtømmende, og der er ikke krav om, at virksomheden tager dem alle i

betragtning. Virksomheden skal således selv fastlægge de relevante risikofaktorer.

I risikovurderingen skal dog indgå forretningsforbindelsens:

1) formål

2) omfang

3) regelmæssighed

4) varighed.

Disse fire faktorer indikerer ikke i sig selv en begrænset eller høj risiko. F.eks. kan en kundes formål med

forretningsforbindelsen konkret indikere en høj risiko. På den anden side kan en forretningsforbindelse

til en kunde f.eks. indikere en begrænset risiko, hvis den er regelmæssig og varig. Dette beror på en

konkret vurdering, og virksomheden må forholde sig til hver faktor, og hvad de tilsammen indikerer for

kundens risikoprofil.

Risikovurderingen skal inddrage de faktorer, som følger af hvidvasklovens bilag 2 og 3. Bilagene oprem-

ser faktorer, der kan være tegn på henholdsvis begrænset og øget risiko.

I virksomhedens vurdering af ovenstående fire oplistede forhold kan virksomheden f.eks. vurdere omfan-

get af de aktiver, som kunden ønsker at indsætte, størrelsen af de transaktioner, som kunden ønsker at

gennemføre eller kundens forventede varighed af forretningsforbindelsen med virksomheden.

Virksomheden kan fastlægge en model for sine indledende kundekendskabsprocedurer og risikovurde-

ringer, f.eks. at kunderne placeres i kategorier med begrænset, mellem eller høj risiko. Dette er relevant

for, at virksomheden kan vurdere, om der i forhold til den enkelte kunde skal foretages lempede eller

skærpede kundekendskabsprocedurer, og med hvilken frekvens den løbende ajourføring af kundekend-

skabsprocedurerne skal gennemføres.

14. Skærpede kundekendskabsprocedurer

Henvisning til hvidvaskloven: § 17.

Henvisning til 4. hvidvaskdirektiv: Artikel 18.

Skærpede kundekendskabsprocedurer skal anvendes ud over de almindelige kundekendskabsprocedu-

rer. Det betyder, at de supplerer de almindelige procedurer i situationer, hvor forretningsforbindelsen

vurderes at have en øget eller høj risiko for hvidvask og/eller finansiering af terrorisme.

Der kan ikke gives en udtømmende liste over, hvilke situationer der medfører skærpede kundekend-

skabsprocedurer, eller hvad disse ultimativt skal indebære. Det er virksomheden, der på baggrund af sin

risikovurdering skal vurdere, hvad der i sådanne tilfælde kan betrygge virksomheden i sit kendskab til

forretningsforbindelsen og i bekæmpelsen af den øgede risiko for hvidvask og/eller finansiering af terro-

risme.

Virksomhederne skal dog altid gennemføre skærpede kundekendskabsprocedurer, hvis kunden har

hjemsted i et land, der er opført på Europa-Kommissionens liste over lande, hvor der vurderes at være

en øget risiko for hvidvask eller finansiering af terrorisme.

Dette kan dog undlades på baggrund af en risikovurdering for en filial eller et majoritetsejet datterselskab

af en juridisk person, hvor den juridiske person er etableret i et EU- eller EØS-land og underlagt krav, der

følger af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 om forebyggende foran-

staltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme,

og filialen eller det majoritetsejede datterselskab overholder koncernens politikker og procedurer, jf. § 9,

stk. 2.

Hvis en virksomhed har kunder, der har hjemsted i et land, der er opført på Europa-Kommissionens liste

over lande, hvor der vurderes at være en øget risiko for hvidvask eller finansiering af terrorisme, er det

nødvendigt, at virksomheden sikrer, at virksomheden løbende har kendskab til Europa-Kommissionens

liste.

Det betyder ikke, at virksomheden ikke bør indgå forretningsforbindelser med sådanne kunder, men det

forpligter virksomheden til at gennemføre skærpede kundekendskabsprocedurer i sådanne kundeforhold.

Virksomheden skal selv tilrettelægge virksomhedens skærpede kundekendskabsprocedurer ud fra en

risikovurdering.

Hvis det konkrete kundeforhold omfattes af undtagelsen, fordi det er en filial eller et majoritetsejet datter-

selskab af en juridisk person, der er etableret i et EU- eller EØS-land og underlagt krav, der følger 4.

hvidvaskdirektiv, skal virksomheden f.eks. indhente koncernens politikker og procedurer og foretage stik-

prøver for at undersøge, om filialen eller datterselskabet lever op til koncernens politikker og procedurer.

Derudover skal der altid gennemføres skærpede kundekendskabsprocedurer:

1) hvis kunden er en politisk eksponeret person (PEP). Her kræves bl.a. en godkendelse af forret-

ningsforbindelsen af virksomhedens hvidvaskansvarlige (§ 7, stk. 2-personen) ved indgåelse af

forretningsforbindelsen med kunden, se afsnit 15 om politisk eksponerede personer og

2) ved etablering af en grænseoverskridende korrespondentforbindelse med respondenter fra lande

uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle

område.

I disse situationer skal virksomheden følge de procedurer, der følger af hvidvasklovens §§ 18 og 19. Se

afsnit 15 om politisk eksponerede personer og afsnit 12 om korrespondentforbindelser.

De foranstaltninger, der iværksættes ved øget eller høj risiko, kan bl.a. fastlægges ud fra, om der er en

øget risiko for hvidvask og/eller for finansiering af terrorisme. Behovet kan være forskelligt ud fra hvilken

risiko, som virksomheden har identificeret i sin risikovurdering af forretningsforbindelsen. Der er dog ikke

krav om, at virksomheden skræddersyr de skærpede kundekendskabsprocedurer til hver forretningsfor-

bindelse. Målet er, at virksomheden i henhold til sine politikker og procedurer varetager og forebygger de

øgede risici, som forretningsforbindelsen konkret indebærer.

De skærpede kundekendskabsprocedurer kan f.eks. være, at virksomheden:

1) Indhenter oplysninger om kundens adresse eller fødested.

2) Indhenter oplysninger fra andre kilder end fra kunden selv.

3) Indhenter yderligere oplysninger om kunden, f.eks. om kundens formål og tilsigtede beskaffenhed

med forretningsforbindelsen.

4) Indhenter oplysninger om kundens formue og midlers oprindelse.

5) Kontrollerer kundens oplysninger hos flere uafhængige og pålidelige kilder.

6) Gennemfører kundekendskabsprocedurer oftere i løbet af kundeforholdet.

7) Løbende gennemgår kundens transaktioner.

8) Indhenter oplysninger om kundens forretningsaktiviteter.

9) Indhenter yderligere oplysninger om kundens reelle ejer/ejere.

10) Undersøger kundens tidligere forretningsaktiviteter.

11) Undersøger kunden eller kundens reelle ejeres relationer ved f.eks. at foretage internetsøgninger.

12) Sender en kontrakt eller et andet dokument til kundens adresse med anmodning om, at kunden

returnerer det i underskrevet stand (f.eks. relevant ved forretningsforbindelser, som ikke er ind-

gået ved fysisk kontakt).

13) Indhenter den øverste ledelses godkendelse ved etablering eller fortsættelse af forretningsforbin-

delsen til kunden.

Virksomheden skal allerede fra indgåelsen af kundeforholdet med kunden vurdere, om der er tale om en

høj risiko. Et eksempel på et kundeforhold med potentielt højere risiko kan være en ny kunde, som ikke

har bopæl eller driver virksomhed i landet (typisk en valutaudlænding), men som alligevel ønsker at op-

rette en konto her i landet.

Gennemførelse af skærpede kundekendskabsprocedurer kan imidlertid også være nødvendige i løbet af

kundeforholdet som led i virksomhedens overvågning af kunden. Dette kan f.eks. være:

1) Hvis kunden ændrer transaktionsmønster, f.eks. ved at foretage langt større transaktioner end

sædvanligt eller til geografiske områder, som kunden ikke tidligere har været forbundet med.

2) Hvis kunden har et usædvanligt mønster, eller kundens brug af transaktioner, produkter og/eller

tjenesteydelser er væsentlig mere komplekse end andre lignende kunders ”normale” adfærd.

3) Hvis der opstår tvivl om, hvorvidt kundens oplysninger er korrekte, eller hvis virksomheden får

kendskab til et påviseligt formål, som ikke er overensstemmende med kundens oplysninger.

Hvis virksomheden i ovenstående eller andre tilfælde vurderer, at kunden har høj risiko, skal virksomhe-

den iværksætte skærpede kundekendskabsprocedurer til trods for, at kunden ikke tidligere har været i

kategori for høj risiko.

15. Politisk eksponerede personer (PEP’er)

Politisk eksponerede personer (PEP’er) er personer, der bestrider et særligt offentligt tillidshverv,

og der-

for kan være modtagelige for bestikkelse og anden korruption. Det er i samfundets interesse at forebygge,

at dette sker, og skulle det ske, er det i samfundets interesse, at det opdages i tide og herefter retsforføl-

ges.

På globalt plan er bestikkelse og korruption et stort problem, og der er derfor indført fælles internationale

standarder for bekæmpelsen af dette. Såvel definitionen

af PEP’er som kravene til at håndtere PEP’ers

transaktioner er fastlagt i internationale standarder på baggrund af erfaringer indsamlet gennem en år-

række fra myndigheder verden over.

Reglerne

om identifikation af PEP’er er forebyggende

og skal ikke tolkes som en

stigmatisering af PEP’er

som personer, der deltager i kriminelle aktiviteter. Virksomhederne har derfor ikke grundlag for at afvise

at indgå et kundeforhold eller lukke eksisterende kundeforhold alene med den begrundelse, at en person

er PEP eller er nærtstående eller nær samarbejdspartner til en PEP.

Hvidvaskloven

pålægger ikke PEP’er, deres nærtstående eller nære samarbejdspartnere

forpligtelser.

PEP’erne

bør dog være opmærksomme på, at de selv samt deres nærtstående og nære samarbejds-

partnere kan blive bedt om at forklare eller dokumentere deres økonomi eller en transaktion.

For at støtte virksomhederne i arbejdet, fører Finanstilsynet på vegne af erhvervsministeren en liste over

indenlandske

PEP’er,

som bidrager til

en entydig identifikation og afgrænsning af PEP’er. Listen er of-

fentligt tilgængelig. De organisationer, myndigheder og virksomheder, der er omfattet af bekendtgørelsen

om indberetning og offentliggørelse af oplysninger om indenlandske politisk eksponerede personer, er

forpligtet til at indberette til Finanstilsynet.

15.1.

15.1.1.

Hvem er PEP?

Politisk eksponerede personer

En politisk eksponeret person (PEP) er en person, der bestrider et eller flere af de højtstående offentlige

erhverv, der er listet nedenfor. Definitionen er fælles for hele EU. Den tager dog højde for, at de enkelte

medlemslande har indrettet sig forskelligt.

Virksomheden skal have procedurer til at afgøre, om en kunde, kundens reelle ejer, den begunstigede til

en livsforsikringspolice eller den begunstigedes reelle ejer er PEP.

Definitionen af

de indenlandske (danske) PEP’er

er afgrænset således:

1) Statschef, regeringschef, minister og viceminister eller assisterende minister. Dette omfatter i

Danmark ministre samt departementschefer.

2) Parlamentsmedlemmer eller medlemmer af tilsvarende lovgivende organer. Dette omfatter i Dan-

mark medlemmer af Folketinget og danske medlemmer af Europa-Parlamentet.

3) Medlemmer af politiske partiers styrende organer. Dette omfatter i Danmark hovedbestyrelser

eller tilsvarende højtstående organer i henhold til vedtægterne i politiske partier, der er repræ-

senteret i Folketinget.

4) Højesteretsdommere, medlemmer af forfatningsdomstole og andre højtstående retsinstanser,

hvis afgørelser kun er genstand for yderligere prøvelse under ekstraordinære omstændigheder.

Dette omfatter i Danmark højesteretsdommere og danske dommere ved internationale domstole.

5) Medlemmer af revisionsretter og øverste ledelsesorgan for centralbanker. Dette omfatter i Dan-

mark direktionen for Danmarks Nationalbank, danske statsrevisorer og det danske medlem af

Den Europæiske Revisionsret.

6) Ambassadører, chargé d’affaires og højtstående officerer i de væbnede styrker. Dette omfatter i

Danmark de øverste chefer i de væbnede styrker, nærmere defineret som forsvarschef, vicefor-

svarschef, værnschefer samt ambassadører for danske ambassader.

7) Medlemmer af statsejede virksomheders administrative, ledende eller kontrollerende organer.

Dette omfatter i Danmark bestyrelsen og den administrerende direktør i selskaber, hvor staten

ejer 50 pct. eller mere eller på anden måde har reel kontrol over selskabet. Datterselskaber af

sådanne statsejede selskaber er ikke omfattet af begrebet. Selvejende institutioner, der helt eller

delvist er finansieret via finansloven, er heller ikke omfattet af begrebet.

Definitionen omfatter også direktøren i styrelser og medlemmer af bestyrelsen i styrelser, hvor

denne personkreds har en egentlig beslutningskompetence.

8) Direktører, vicedirektører, bestyrelsesmedlemmer og personer med tilsvarende hverv i internati-

onale organisationer. Dette omfatter i Danmark personer, der er indstillet, udpeget eller ansat af

regeringen, et ministerium eller en minister i en international organisation, som er etableret ved

indgåelse af en formel international politisk aftale.

Finanstilsynets liste indeholder oplysninger om navn, tilhørsforhold og fødselsdato for indenlandske

PEP’er

og har til formål at sikre en ensartethed i brugen af definitionen for ovenstående omfattede per-

soner.

Listen angiver aktuelle PEP’er.

Listen indeholder dog også et ekstra faneblad, som angiver de

personer, der er ophørt som PEP’er. Personen vil stå anført på listen i minimum 12 måneder efter, at

vedkommendes status som PEP er ophørt. Listen indeholder ikke oplysninger om nærtstående, nære

samarbejdspartnere eller

udenlandske PEP’er,

som må identificeres på anden måde.

Listen bygger på oplysninger, der bliver indberettet til Finanstilsynet. Den pålægger de virksomheder,

styrelser og organisationer, der står i et arbejdsgiverlignende forhold til en PEP, at indberette navneop-

lysninger og at indberette, når der sker ændringer, indenfor en frist på tre hverdage.

Listen fastlægger, hvem der er PEP’er, og

den kan lægges til grund af virksomheden. En person, der

ikke fremgår af listen, kan godt være PEP givet indberetningsfristen. Hvis en virksomhed eller person har

konkret viden om, at en kunde er PEP, vil denne viden gå forud for listens angivelser.

15.1.2.

Nærtstående og nære samarbejdspartnere

Henvisning til hvidvaskloven: § 2, nr. 6 og 7 og § 18.

Henvisning til 4. hvidvaskdirektiv: Artikel 20-23.

Nærtstående og nære samarbejdspartnere til en PEP skal ikke betragtes som

PEP’er

alene som følge af

deres forbindelse til en PEP. Nærtstående og nære samarbejdspartnere, der er kunder i virksomheden,

skal identificeres, fordi de kan drage fordel af eller blive misbrugt i forbindelse med hvidvask mv.

Nærtstående

Definitionen af en nærtstående til en PEP følger af hvidvaskloven § 2, nr. 6.

Nærtstående til en PEP omfatter:

1) ægtefælle, registreret partner eller samlever

2) børn og disses ægtefæller, registrerede partnere eller samlevere

3) forældre.

Begrebet omfatter dermed ikke f.eks. søskende eller stedbørn og stedforældre.

Nære samarbejdspartnere

Definitionen af nære samarbejdspartnere til en PEP følger af hvidvaskloven § 2, nr. 7.

Nære samarbejdspartnere til en PEP omfatter:

1) En fysisk person, som er reel ejer af en virksomhed eller anden form for juridisk person i fælles-

skab med en eller flere PEP’er.

En fysisk person, der på anden måde har en nær forretningsforbindelse med en eller flere PEP’er

Dette kan f.eks. være en samhandelspartner over en længere periode.

3) En fysisk person, som er den eneste reelle ejer af en virksomhed eller anden form for juridisk

person, der er oprettet til fordel for en PEP. Det betyder, at den fysiske person direkte eller indi-

rekte kontrollerer alle ejerandelene eller stemmerettighederne mv. i den pågældende virksomhed

eller anden juridisk person.

Hvis en person deltager i bestyrelsesarbejde med en PEP, hvor bestyrelsen er vurderet til at være den

reelle ejer af en juridisk person, vil personen ikke af den grund skulle anses for at være en nær samar-

bejdspartner. Virksomheden vil i sådanne tilfælde skulle vurdere, om der er tale om en nær forretnings-

mæssig forbindelse med en PEP, der falder ind under punkt 2 ovenfor.

En virksomhed skal behandle

PEP’ers

nærtstående og nære samarbejdspartnere efter samme regler

som PEP’er.

Derfor er den konkrete risikovurdering af en PEP også afgørende for, hvordan en virksom-

hed tilrettelægger

kundekendskabsproceduren for PEP’ens nærtstående og nære samarbejdspartnere.

Placeres en PEP i en kategori med mellem risiko, skal PEP’ens nærtstående og

nære samarbejdspart-

nere betragtes på samme måde, medmindre virksomhedens individuelle vurdering af de pågældende

tilsiger andet.

15.2.

15.2.1.

Kundekendskab og risikovurdering

Fastlæggelse af om en kunde er PEP, nærtstående eller nær samarbejdspartner

Henvisning til hvidvaskloven: § 18, stk. 1.

Henvisning til 4. hvidvaskdirektiv: Artikel 20-23.

Virksomheden

skal ud fra en risikovurdering indhente oplysninger om PEP’er. PEP’en selv vil som regel

være den primære kilde til oplysningerne, men det er muligt og somme tider nødvendigt at indhente

oplysninger fra andre kilder.

Virksomheden skal have forretningsgange og systemer, der sikrer, at vurderingen sker, når et kundefor-

hold etableres eller udvides. En virksomhed skal ved afgørelsen iagttage følgende:

1) Virksomheden skal altid søge at fastlægge, om en kunde er PEP. Det kan ske ved at konsultere

den liste, som Finanstilsynet udarbejder for indenlandske PEP’er. I forhold til virksomhedens fast-

læggelse af, om en kunde er udenlandsk PEP, kan dette ske ved at søge på internettet eller ved

at bruge en kommerciel tjenesteudbyder, der tilbyder sådanne oplysninger. Hvis det påtænkte

forretningsomfang ikke er ubetydeligt, kan det være nødvendigt også at spørge nærmere ind til,

hvad PEP’ens stilling indebærer.

2) Virksomheden skal træffe rimelige foranstaltninger til at identificere kunder, der er nærtstående

eller nær samarbejdspartner

til PEP’er..

Det kan ske

ved at spørge PEP’en, hvis PEP’en også

er kunde i virksomheden, om denne har kendskab til, at nærtstående eller nære samarbejdspart-

nere også er kunder. Det kan også ske ved, at virksomheden f.eks. opfylder det ved de alminde-

lige krav om kundekendskab, ved at søge på internettet eller ved at bruge en kommerciel tjene-

steudbyder, der tilbyder sådanne oplysninger etc.

Hvis virksomheden i øvrigt har begrundet formodning om, at en kunde er nærtstående til eller

nær samarbejdspartner med en PEP, skal virksomheden træffe rimelige foranstaltninger til at

fastlægge, om det er tilfældet. Dette gælder også, selvom PEP’en

ikke er kunde i virksomheden.

3) En virksomhed skal træffe rimelige foranstaltninger til at afgøre, om en kunde er en udenlandsk

PEP ved etableringen af forretningsforbindelsen. I de tilfælde, hvor virksomheden alene har en

formodning om eller indikation på, at en kunde er en udenlandsk PEP, bør virksomheden under-

søge dette nærmere for at få det endeligt afklaret.

”Rimelige foranstaltninger”

Ved ”rimelige foranstaltninger” forstås

eksempelvis følgende tiltag, idet det vil være op til virksomheden i

det konkrete tilfælde at vurdere, hvad der er tilstrækkeligt til at opfylde kravene i hvidvaskloven:

1) Virksomheden indhenter oplysninger hos den pågældende PEP.

2) Virksomheden bruger den information om kunderne, der allerede er tilgængelig i virksomheden.

3) Virksomheden bruger de eksterne kilder, som virksomheden har adgang til, f.eks. internet og

nyhedsmedier.

4) Virksomheden abonnerer hos en eller flere af de tjenesteudbydere, der tilbyder information om,

hvem der er PEP, nærtstående til en PEP eller nær samarbejdspartner med en PEP.

5) Virksomheden verificerer aktivt oplysninger, som virksomheden er usikker på, f.eks. ved at

spørge de relevante kunder.

6) Hvad udenlandske PEP’er angår, overvejer virksomheden, om den må samarbejde med lokale

på stedet, f.eks. advokater, bankforbindelser mv. i det pågældende land, for at få afklaret, om der

er tale om en PEP.

Hvis en virksomhed alene har et begrænset antal kunder, vil det efter en risikovurdering kunne være en

tilstrækkelig procedure at få den enkelte kunde til at oplyse, om denne er PEP, og/eller rutinemæssigt at

søge på kundernes navne på internettet.

Kommercielle udbydere af PEP-lister

Virksomheden kan som en del af sine procedurer for kundekendskab abonnere på private kommercielle

udbydere af løsninger til PEP-lister og fastlæggelse af nærtstående og nære samarbejdspartnere til

PEP’er.

Brugen af sådanne systemer vil normalt være en hensigtsmæssig måde at skaffe oplysningerne

på, men er ikke et krav. Virksomheden bør dog vurdere, om der er behov for at virksomheden (også)

benytter andre kilder til informationen.

Reelle ejere

Når en virksomhed fastlægger de reelle ejere af en kunde (juridisk person), skal virksomheden fastlægge,

om der er PEP’er blandt

disse. Det skal ske efter de samme principper, som virksomheden skal følge,

når den fastlægger, om en kunde er PEP. Hvis der blandt en kundes reelle ejere er en PEP, medfører

dette dog ikke i sig selv, at kunden skal behandles på samme måde som en PEP. Virksomheden skal

foretage

en konkret risikovurdering med udgangspunkt i PEP’ens kontrol over kunden,

og virksomheden

skal

vurdere, om kunden handler på vegne af PEP’en.

En forsikringsvirksomhed skal i relation til den begunstigede i henhold til en forsikringspolice fastlægge,

om den begunstigedes reelle ejer i en forsikringspolice er en PEP. Fastlæggelsen heraf skal ske, inden

udbetalingen finder sted eller ved hel eller delvis overdragelse af policen.

Tidspunkt for fastlæggelsen

Virksomheden skal gennemføre kundekendskabsprocedurer for alle kunder, når den etablerer forret-

ningsforbindelser. Fastlæggelse af, om en kunde er PEP, nærtstående eller nær samarbejdspartner, skal

ske samtidigt.

Det er tilstrækkeligt, at pensionsselskaber, firmapensionsordninger og arbejdsmarkedspensionsordnin-

ger fastlægger, om en kunde er PEP samtidig med at etableringen af kundeforholdet er iværksat.

Det er særligt for PEP’er, deres nærtstående og nære samarbejdspartnere,

at deres status kan ændre

sig i løbet af kundeforholdet. En kunde, der ikke er PEP, kan f.eks. blive PEP ved at få en ny stilling eller

blive valgt til Folketinget. Virksomheden skal derfor løbende overvåge, om kunder er blevet PEP’er. Det

kan f.eks. ske:

1) ved tilstrækkeligt hyppigt at gennemgå tilgængelige oplysninger om, hvem der er PEP’er, herun-

der Finanstilsynets liste over PEP’er, og holde disse oplysninger op mod virksomhedens kunde-

2) når et kundeforhold i øvrigt gennemgås, f.eks. ved optagelse af nye lån og

3) når en kundes transaktion giver anledning til nærmere undersøgelser.

Hvis en person ophører med at være PEP, skal risikovurderingen og overvågningen fortsætte i mindst

12 måneder herefter, se afsnit 15.2.6 om ophør af PEP status.

15.2.2. Oprindelsen af midlerne og formuen

Henvisning til hvidvaskloven: § 18, stk. 2.

Henvisning til 4. hvidvaskdirektiv: Artikel 20-23.

Virksomheden skal træffe passende foranstaltninger for at fastslå oprindelsen af PEP’ens midler og for-

mue. Virksomheden kan nøjes med at indhente oplysninger om de midler og den del af formuen, der er

omfattet af forretningsforbindelsen eller transaktionen. Et realkreditinstitut er eksempelvis ikke forpligtet

til at spørge ind til PEP’ens

beholdning af eventuelle værdipapirer. Ved optagelse af realkreditlån vil den

sædvanlige låneprocedure være tilstrækkelig til at fastslå

PEP’ens

formueforhold. Ved førtidig tilbagebe-

taling af lånet skal realkreditinstituttet fastslå midlernes oprindelse.

PEP’ens bankforbindelse vil

dog ofte

skulle fastslå en del flere forhold vedrørende oprindelsen af midlerne og formuen, fordi kundeforholdet

typisk omfatter flere ydelser, som kan være forbundet med risici for hvidvask.

Virksomheden skal fastslå oprindelsen

af PEP’ens midler og formue

på baggrund af en risikovurdering.

Den kan f.eks. indeholde oplysninger om:

1) i hvilket land kunden har bopæl,

2) kundens stilling, og

3) kundens renommé.

Passende foranstaltninger kan også være, at virksomheden indlægger en risikovurdering i henhold til det

produkt, en kunde har valgt. Ved produkter med høj risiko og store transaktioner må virksomheden fore-

tage mere tilbundsgående undersøgelser end f.eks. ved en livsforsikring med en lav årlig præmie. Om-

vendt kan virksomheden foretage mindre tilbundsgående undersøgelser ved produkter med en begræn-

set risikovurdering.

Nogle pensionsselskaber har ikke direkte kundekontakt, fordi der er tale om obligatorisk firmapension

eller arbejdsmarkedspension, som kunden ikke selv kan indbetale på. I de tilfælde bør kundens økono-

miske forhold ikke fastlægges med samme detaljeringsgrad som f.eks. ved andre former for forsikring.

På baggrund af risikovurderingen kan virksomheden bede kunden om at give de fornødne oplysninger.

Det kan være nødvendigt at indhente oplysningerne hos den pågældende, hvis virksomheden ikke er i

besiddelse af oplysningerne i forvejen, eller hvis de oplysninger, som virksomheden har, ikke længere

vurderes at være aktuelle. Behovet for og omfanget af oplysningerne må vurderes på baggrund af om-

stændighederne, herunder kundens transaktioner. I visse situationer, eksempelvis et flerårigt kundefor-

hold, hvor virksomheden i forvejen har et godt indblik i kundens økonomiske forhold, vil den på baggrund

af en risikovurdering kunne beslutte, at kendskabet er tilstrækkeligt til at kunne fastslå oprindelsen af de

midler og den del af formuen, der er omfattet af forretningsforbindelsen. Virksomheden kan også indhente

oplysningerne hos eksterne kilder.

Det vil altid være kundens midler og formue, der skal undersøges, da det er disse midler, der er omfattet

af forretningsforbindelsen eller transaktionen. I tilfælde, hvor PEP’en er reel ejer af kunden

(en juridisk

person), er det derfor stadig kundens (den juridiske persons) midler og formue, der er omfattet af be-

stemmelsen, og ikke den reelle ejers midler eller formue.

De oplysninger, virksomheden kan lægge til grund, kan eksempelvis være følgende en kombination

heraf:

1) Årsopgørelse fra Skatteforvaltningen.

2) Lønsedler.

3) Regnskabsoplysninger.

4) Eventuelle virksomhedsårsrapporter.

5) Udskrifter fra selskabsbøger/virksomhedsudskrifter fra offentlige registre berigtiget af kunden til

at dokumentere ejerforhold.

6) Ejendomsoplysninger, herunder ejendomsskatteoplysninger og BBR-oplysninger.

7) Oplysninger om værdipapirer i depot, herunder i udenlandske depoter.

8) Oplysninger fra kontobevægelser mv.

Detaljerede oplysninger om PEP’ens formueforhold i forbindelse med kundekendskabsproceduren, her-

under oplysninger om midlernes oprindelse, kan undlades, hvis kunden ikke får adgang til et produkt, der

giver mulighed for at foretage transaktioner.

15.2.3. Godkendelse af kundeforholdet

Henvisning til hvidvaskloven: § 18, stk. 3.

Henvisning til 4. hvidvaskdirektiv: Artikel 20-23.

Virksomhedens hvidvaskansvarlige (§ 7, stk. 2-personen) skal godkende et kundeforhold med en PEP

samt kundeforhold med nærtstående og nære samarbejdspartnere til en PEP. Det er ikke et krav, at

andre i virksomhedens ledelse godkender kundeforholdet, bortset fra de godkendelser, der følger af an-

den lovgivning, f.eks. ledelsesbekendtgørelsen og virksomhedens interne politikker og procedurer.

Med godkendelsen vurderer den hvidvaskansvarlige, at virksomheden med det påtænkte kundeforhold

fortsat kan leve op til lovgivningen, og at virksomheden derfor kan indgå kundeforholdet. Ved godkendel-

sen bør den hvidvaskansvarlige tage højde for, i hvilket omfang produktet i sig selv indebærer en risiko

for at kunne bruges til hvidvask.

Hvis den hvidvaskansvarlige finder, at risikoen for, at virksomheden kan blive misbrugt i forbindelse med

bestikkelse og andre former for korruption, er for høj, skal den hvidvaskansvarlige afstå fra at godkende

kundeforholdet.

Kravet om godkendelse forudsætter ikke, at den hvidvaskansvarlige skal foretage en egentlig prøvelse

af alle oplysningerne i det enkelte kundeforhold. Godkendelsen skal dog ske på et tilstrækkeligt oplyst

grundlag. Der ligger heller ikke i kravet, at den hvidvaskansvarlige skal kreditvurdere kunden, vurdere,

om forsikringsdækning er passende, eller på anden måde vurdere, om de tjenesteydelser, virksomheden

tilbyder kunden, er passende for kunden. Dog bør den hvidvaskansvarlige vurdere, om påtænkte aftaler

med kunden f.eks. giver kunden særlig mulighed for at skjule bestikkelse.

Særligt hvad angår videreførelse af kundeforhold, bør virksomheden i sine procedurer fastlægge et pas-

sende interval for gennemgang og eventuel fornyet

godkendelse af kundeforhold med PEP’er,

nærtstå-

ende eller

nære samarbejdspartnere til PEP’er. Intervallet

bør fastsættes ud fra den risiko for hvidvask

eller korruption, som virksomheden vurderer, at kunden potentielt udgør. Det vil derfor ofte være relevant

at fastsætte forskellige intervaller, f.eks. ved at differentiere

mellem PEP’er og nærtstående eller nære

samarbejdspartnere til en PEP, som er henholdsvis fra eller ikke fra lande kendt for et højt korruptionsni-

veau.

Hvis en virksomhed vurderer, at den ikke kan godkende eller videreføre et kundeforhold, som er omfattet

af bestemmelsen, må virksomheden vurdere, om den skal træffe foranstaltninger om afbrydelse eller

afvikling af kundeforholdet. Hvad angår eksisterende kundeforhold, som virksomheden ikke kan god-

kende, henvises desuden afsnit 18.1 om virksomhedens pligt til at afbryde eller afvikle et kundeforhold.

Når virksomheden er et pensionsselskab og ikke har direkte kundekontakt, fordi der er tale om en obli-

gatorisk firmapension eller arbejdsmarkedspension, er det ikke et krav, at den hvidvaskansvarlige god-

kender kundeforholdet.

15.2.4. Skærpet overvågning

Henvisning til hvidvaskloven: § 18, stk. 4.

Henvisning til 4. hvidvaskdirektiv: Artikel 20-23.

Risikovurdering

Når virksomheden har identificeret kunden, skal virksomheden foretage en risikovurdering af kundefor-

holdet. Risikovurderingen skal bl.a. fastlægge, om PEP’en, dennes nærtstående eller nære samarbejds-

partner, kan misbruge virksomheden til at dække over hvidvask, herunder bestikkelse.

Risikovurderingen skal indeholde de relevante risikofaktorer for det pågældende kundeforhold. Det vil i

høj grad være en individuel vurdering.

Ved risikovurderingen bør virksomheden lægge vægt på følgende:

1) Virksomhedens egen vurdering af de risici for hvidvask, som virksomheden er udsat for.

2) En vurdering af, i hvilket omfang risikoen ville blive øget ved et forretningsforhold med den på-

gældende PEP, og/eller dennes nærtstående eller nære samarbejdspartnere. Det er en sag-til-

sag-vurdering og ikke en automatisk vurdering, om et kundeforhold skaber risiko for hvidvask.

3) Eventuelle oplysninger fra offentlige myndigheder. Dette omfatter såvel de nationale risikovurde-

ringer i de pågældende lande som de internationale risikovurderinger.

PEP’ens funktion og risikoeksponering i forhold til de produkter

eller tjenesteydelser, som

PEP’en

ønsker

eller har i virksomheden, skal samlet set udgøre grundlaget for vurderingen af kundeforholdets risikoka-

tegoriseringen.

Kategoriseringen afhænger som nævnt af en individuel vurdering baseret på den konkrete risikovurdering

af kundeforholdet. En kunde kan eksempelvis placeres i kategorier som øget risiko eller normal risiko.

Det er også muligt at placere kunder i to kategorier, f.eks. øget og normal/begrænset. Det væsentligste

er her, at virksomheden identificerer kunder med høj risiko.

Om risikoen vil blive øget ved et forretningsforhold med den pågældende PEP og/eller dennes nærtstå-

ende eller nære samarbejdspartnere kan afhænge af:

1) Den pågældendes position og mulighed for politisk og administrativ indflydelse samt kundeforhol-

dets karakter, herunder de produkter eller tjenesteydelser, virksomheden tilbyder kunden. Dette

vil variere afhængigt af arten af en persons funktion. Der vil typisk være tale om stor politisk og

administrativ indflydelse, hvis den pågældende er bemyndiget til at træffe afgørende politiske

eller administrative beslutninger eller kan omgøre eller ændre sådanne beslutninger. Der kan

f.eks. være tale om:

a) ministre

b) departementschefer

c) direktører i organer, der kan træffe uafhængige beslutninger på væsentlige områder.

2) Karakteren af den pågældendes stilling, og om der er risiko for misbrug af stillingen. Hvis en

position holdes i et land, hvor der vurderes at være begrænset risiko for omfattende korruption,

vil den pågældende kunne have en fremtrædende offentlig funktion, uden at der er en forøget

risiko.

3) Muligheden for, at en tjenesteydelse kan bruges til at dække over korruption, f.eks. til at placere

pengebeløb eller til at kanalisere pengebeløb til andre juridiske personer eller til konti i udlandet.

4) Andre relevante risikofaktorer.

Virksomheden skal søge at fastlægge, hvilken funktion PEP’en

har, og hvilken indflydelse eller potentiel

indflydelse denne funktion indebærer, samt

om PEP’en er i særlig risiko for

at være involveret i bestik-

kelse eller anden form for korruption.

En minister med stor politisk og administrativ indflydelse vil alene på baggrund af sin funktion være for-

bundet med større risiko end et menigt medlem af Folketinget. På samme måde vil en bestyrelsesfor-

mand med større politisk og administrativ indflydelse end et almindeligt bestyrelsesmedlem alene på

baggrund af sin funktion være forbundet med større risiko.

Følgende produkter og tjenesteydelser vil normalt kunne indebære en begrænset risiko for hvidvask og

korruption efter hvidvasklovens bilag 2.

Dette gælder ikke kun for PEP’er,

men for alle kunder:

a) Livsforsikringer, hvor den årlige præmie er lav.

b) Pensionsforsikringer, hvis der ikke er nogen tidlig tilbagekøbsklausul, og policen ikke kan bruges

til sikkerhedsstillelse.

c) Pensionsordninger el. lign., der udbetaler pension til ansatte, og hvor bidragene indbetales gen-

nem fradrag i lønnen, og reglerne for den pågældende ordning ikke tillader overdragelse af et

medlems rettigheder i henhold til ordningen.

d) Finansielle produkter eller tjenesteydelser, som leverer behørigt definerede og begrænsede tje-

nesteydelser til visse kundetyper med det formål at fremme finansiel inklusion.

e) Produkter, hvor risikoen for hvidvask af penge og finansiering af terrorisme styres af andre fakto-

rer, f.eks. udgiftslofter eller gennemsigtighed i forhold til ejerskab (f.eks. visse former for elektro-

niske penge).

Følgende produkter og tjenesteydelser vil normalt i sig selv kunne indebære en øget risiko for hvidvask

og korruption efter bilag 3, pkt. 2. Dette

gælder ikke kun for PEP’er, men for alle kunder:

1) Private banking.

2) Produkter eller transaktioner, som kan fremme anonymitet.

3) Forretningsforbindelser eller transaktioner uden direkte kontakt og uden sikkerhedsforanstaltnin-

ger såsom elektroniske underskrifter.

4) Betalinger fra ukendte eller ikkeassocierede tredjemænd.

5) Nye produkter og nye forretningsprocedurer, herunder nye leveringsmekanismer, og brug af nye

teknologier eller teknologier under udvikling til både nye og eksisterende produkter.

En PEP, der i kraft af sin stilling vurderes at have en særlig høj politisk og administrativ position, jf. oven-

for, vil normalt skulle placeres i kategorien høj

risiko, hvis PEP’en ønsker at foretage andre end alminde-

lige forretninger, som f.eks. oprettelse af lønkonti, porteføljeplejeaftaler og andre lignende normale trans-

aktioner. Virksomheden skal være opmærksom på, at risikoen for bestikkelse og anden korruption som

regel ikke afhænger af størrelsen og sammensætningen af kundens formue.

Virksomheden er ikke forpligtet til at have en særlig kategorisering af PEP’er.

Den kategorisering, som

virksomheden bruger til andre kunder, kan også

bruges til PEP’er. Eksempelvis

kan kategorien høj risiko

indeholde såvel PEP’er med høj risiko

som andre kunder med høj risiko. Tilsvarende vil en PEP, der

vurderes at indebære en begrænset risiko, efter omstændighederne kunne placeres i en kategori med

normal risiko.

Kategoriseringen

er relevant for virksomhedens fastlæggelse af behovet for overvågning af PEP’en og/el-

ler dennes nærtstående og nære samarbejdspartnere. Virksomheden skal udføre skærpet overvågning

indtil virksomheden ikke længere vurderer, at personen udgør en øget risiko for hvidvask og korruption.

Hvis personens hverv er ophørt skal faktorer som f.eks. personens fortsatte relation til sit tidligere hverv,

herunder tidligere samarbejdspartnere og kolleger, indgå i vurderingen.

Kravet om, at den skærpede overvågning skal fortsætte indtil det er vurderet, at personen ikke længere

udgør en øget risiko gælder ikke for nærtstående eller nære samarbejdspartnere. Virksomheden bør dog

vurdere, om også disse personer fortsat kan være forbundet med en højere risiko for hvidvask. I bekræf-

tende fald bør virksomheden tilrettelægge kundekendskabsprocedurer og overvågning efter den vurde-

rede risiko.

Kundeovervågning

Overvågning af PEP’ers transaktioner kan ske

med samme systemer, som virksomheden bruger til at

overvåge andre kunder med samme risikokategorisering. Virksomheden behøver altså ikke at have andre

systemer til overvågning af PEP’er end de systemer,

virksomheden bruger til overvågning af andre kun-

der. Systemerne skal dog være indrettet sådan, at en skærpet overvågning er mulig. Virksomheden skal

løbende overvåge alle kunders transaktioner med henblik på at konstatere, om transaktionerne er usæd-

vanlige for såvel kunden selv som for andre lignende kunder. Transaktioner kan være usædvanlige med

hensyn til:

1) størrelse,

2) hyppighed,

3) afsender og modtager af en betaling til hhv. fra

PEP’en,

4) at de sker gennem komplicerede selskabskonstruktioner,

5) at de sker gennem mange led,

6) at de sker gennem led, der ikke virker naturlige for den pågældende transaktion,

7) at de foretages i valutaer, der ikke er sædvanlige for den pågældende kunde.

Overvågningen skal dog

være skærpet for PEP’er

og være baseret på en risikovurdering.

En skærpet overvågning vil, afhængig af virksomhedens systemer til overvågning, kunne indebære:

1) at der er en hyppigere opdatering af kundekendskabet (dvs. formål og omfang med kundeforhol-

det) end for kunder med begrænset risiko,

at overvågningen af PEP’ers transaktioner sker hyppigere end for kunder

med begrænset risiko,

3) at der er øget opmærksomhed på mistænkelige transaktioner gennem intensivering af den ma-

skinelle overvågning af kundeforholdet,

4) at kriterierne for, hvornår transaktioner bliver taget ud til individuel vurdering, er strengere end for

andre kunders transaktioner,

5) at der foretages

en manuel granskning af PEP’ers transaktioner i højere grad end for kunder

med

begrænset risiko,

6) at der er skærpede kriterier for, hvornår virksomheden spørger ind til transaktionerne, og jo min-

dre forklaringerne giver mening eller er sandsynlige, desto mere skal virksomheden efterspørge

dokumentation og,

7) at der er skærpede kriterier (f.eks. lavere beløbsgrænser) for, hvornår virksomheden indhenter

dokumentation for transaktioner og formuebevægelser. Det kan f.eks. være dokumentation for

tildeling af medarbejderaktier,

salg af bolig, arv, bodeling mv., idet PEP’en

sædvanligvis og let vil

kunne give denne dokumentation (f.eks. brev fra arbejdsgiver eller advokat).

Intensiteten af den skærpede overvågning bør være proportional med virksomhedens vurdering af risi-

koen. Jo større risikoen er, desto mere skal overvågningen skærpes.

Udenlandske PEP’er

Virksomheden skal altid gennemføre skærpede kundekendskabsprocedurer, når virksomheden indgår

forretningsforbindelse med en udenlandsk PEP. Udenlandske PEP’er vil ofte

udgøre høj risiko, fordi virk-

somheden ikke har samme førstehåndskendskab som i forhold til

indenlandske PEP’er.

Virksomheden

vil som udgangspunkt ikke have samme adgang og kendskab til informationer om personens hverv, gra-

den af personens beføjelser og kontrol i kraft af hvervet lønniveau.

En PEP kan udgøre en høj risiko, hvis den pågældende har en fremtrædende offentlig funktion i et land,

der anses for at have en større risiko for korruption. Virksomheden bør træffe alle rimelige foranstaltninger

til at vurdere, om landet på baggrund af foreliggende oplysninger er eller kan være karakteriseret ved

f.eks.:

1) Politisk ustabilitet.

2) Svage statsinstitutioner.

3) Svag beskyttelse mod hvidvask.

4) Væbnet konflikt.

5) Ikkedemokratiske regeringsformer.

6) Udbredt organiseret kriminalitet.

7) En politisk økonomi domineret af et lille antal personer/enheder med tætte forbindelser til staten.

8) Fravær af eller mangler i en fri presse og lovlige eller andre foranstaltninger, der begrænser jour-

nalistisk undersøgelse.

9) Et strafferetligt system, der er sårbart overfor politisk indblanding.

10) Manglende ekspertise og færdigheder i forbindelse med bogføring, regnskab og revision, især i

den offentlige sektor.

11) Lov og kultur, som virker imod whistlebloweres interesser.

12) Svagheder i gennemsigtigheden af ejerregistre for virksomheder, jord og aktier.

13) Overtrædelse af menneskerettigheder.

Omvendt kan der være mulighed for at PEP’er indgår i kategorisen som almindelig risiko, hvis de besidder

en stilling i et land, hvor risikoen for korruption er lav. Virksomheden skal træffe alle rimelige foranstalt-

ninger til at vurdere, om landet på baggrund af foreliggende oplysninger er eller kan være karakteriseret

ved f.eks.:

1) Politisk stabilitet og frie og retfærdige valg.

2) Stærke og uafhængige statsinstitutioner.

3) Troværdige foranstaltninger mod hvidvask.

4) En fri presse.

5) Et uafhængigt retsvæsen og et strafferetligt system uden politisk indblanding.

Et system, hvor politisk korruption og lignende forseelser bliver effektivt undersøgt og retsforfulgt.

Stærke traditioner for revision indenfor den offentlige sektor.

Juridisk beskyttelse af whistleblowere.

Veludviklede registre for ejerskab af jord, virksomheder og aktier.

15.2.5. Begunstigede i henhold til forsikringspolicer

Henvisning til hvidvaskloven: § 18, stk. 5.

Henvisning til 4. hvidvaskdirektiv: Artikel 20-23.

Hvis en begunstiget eller en reel ejer af en begunstiget i henhold til en forsikringspolice er PEP, skal

virksomheden på baggrund af en risikovurdering sikre, at omstændighederne omkring forsikringsforhol-

det afklares. Den hvidvaskansvarlige skal desuden orienteres om, at udbetaling skal finde sted i henhold

til forsikringspolicen og i tilfælde af en hel eller delvis overdragelse af policen.

Kravene gælder både inden udbetaling påbegyndes og i forbindelse med hel eller delvis overdragelse af

policen, når den begunstigede er PEP, eller når den begunstigedes reelle ejer er en PEP. I de tilfælde,

hvor der er tale om, at den begunstigede er en juridisk person, er det relevant at afklare, om dennes

reelle ejer er en PEP. Kravet gælder også, når den begunstigede eller dennes reelle ejer er en nærtstå-

ende eller en nær samarbejdspartner til en PEP.

Der er f.eks. tale om delvis overdragelse, hvis en livsforsikring bliver brugt til at stille sikkerhed for et

lånearrangement. Det er helt normalt, at långiver i forbindelse med oprettelse af et lån eller efterfølgende

sikrer ydelsen af lånet i tilfælde af f.eks. dødsfald. Sikkerhedsstillelse bevirker ikke, at långiver/panthaver

bliver begunstiget, men en eventuel begunstiget i livsforsikringen må typisk vige for panthaverens krav.

Nogle forsikringspolicer kan omsættes, og sker dette, vil der være tale om en overdragelse i henhold til

hvidvasklovens § 18, stk. 5. Der er typisk kun praksis for overdragelse af privattegnede livsforsikringer,

da det i betingelserne for de fleste firmapensions- og arbejdsmarkedspensionsordninger fremgår, at de

ikke kan stilles til sikkerhed for lån eller overdrages til tredjemand. Det forhold, at omstændighederne

omkring forsikringsforholdet skal afklares, betyder, at virksomheden bør foretage en nærmere undersø-

gelse af forretningsforbindelsen med forsikringstager.

Undersøgelsen bør tage udgangspunkt i, om den begunstigede eller dennes reelle ejer er PEP, med det

formål at afklare, om der kan være korruption eller anden kriminalitet involveret i forsikringsforholdet.

Virksomheden kan f.eks. vurdere, om det er naturligt, at den pågældende person er den begunstigede i

forsikringsforholdet. Hvis virksomheden i forbindelse med undersøgelsen opdager forhold, der forekom-

mer mistænkelige, skal virksomheden foretage underretning til Hvidvasksekretariatet i SØIK, se afsnit 25

om underretningspligt.

Det er et krav, at virksomheden orienterer den hvidvaskansvarlige, inden der sker udbetaling eller hel

eller delvis overdragelse af en forsikringspolice til en begunstiget, som er PEP, eller til en begunstiget,

hvis reelle ejer er PEP. Der er ikke tale om, at den hvidvaskansvarlige skal godkende udbetalingen eller

overdragelsen. Den hvidvaskansvarlige bør dog orienteres i så god tid, at vedkommende har mulighed

for at reagere, hvis det vurderes, at udbetalingen eller overdragelsen er forbundet med en risiko for hvid-

vask eller korruption.

15.2.6. Ophør af PEP-status

Henvisning til hvidvaskloven: § 18, stk. 6.

Henvisning til 4. hvidvaskdirektiv: Artikel 20-23.

Når en person ikke længere i medfør af sin stilling skal betragtes som PEP, skal virksomheden i minimum

12 måneder efter ophøret af personens PEP-status vurdere, om der er en øget risiko forbundet med

personen.

Det gælder dog ikke for PEP’ens nærtstående

eller nære samarbejdspartnere. Disse skal som udgangs-

punkt behandles som andre kunder, når PEP’en ikke længere er PEP.

Nærtstående eller nære samar-

bejdspartnere vil alene skulle undergives skærpede kundekendskabsprocedurer, hvis virksomheden vur-

derer, at der er grundlag for at betragte kunden som værende i kategorien med højere risiko.

Kravet om vurdering i minimum 12 måneder blev indført i forbindelse med ikrafttrædelsen af den nye

hvidvasklov. Virksomheder er dermed ikke forpligtet til at iagttage kravet for så vidt angår kunder, der

ophørte med at være PEP’er før lovens ikrafttræden.

Dette gælder uanset, om kundens status som PEP

ophørte tidligere end 12 måneder før loven trådte i kraft.

16. Lempede kundekendskabsprocedurer

Henvisning til hvidvaskloven: § 21.

Henvisning til 4. hvidvaskdirektiv: Artikel 15 og 16.

Henvisning til: Bekendtgørelse nr. 1359 om lempede krav til kundekendskabsproceduren efter lov

om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme (hvidvaskloven).

Virksomheden kan ud fra en risikovurdering anvende lempede kundekendskabsprocedurer i forhold til de

forretningsforbindelser, der vurderes at have en begrænset risiko for hvidvask og finansiering af terro-

risme.

Lempede kundekendskabsprocedurer er en mulighed, som virksomheden kan benytte efter en konkret

vurdering. Det er ikke et krav til virksomheden, som eksempelvis kravet til, at der i tilfælde med høj risiko

skal gennemføres skærpede kundekendskabsprocedurer.

De lempede procedurer er ikke en undtagelse til kravene til kundekendskabsprocedurer i hvidvaskloven.

Det er derfor alene en mulighed for at justere den videre kundekendskabsprocedure og overvågning af

kunden. Det betyder, at alle kravene i § 11 skal opfyldes, men de kan opfyldes med et minimum af for-

anstaltninger.

Virksomheden kan fastlægge, om kunden eller transaktionen indebærer begrænset risiko. Det betyder,

at virksomheden først skal vurdere konkret, om der i relation til kunden eller transaktionen er risikofakto-

rer, der kan indikere, at der ikke er begrænset risiko, før virksomheden må gennemføre de lempede

kundekendskabsprocedurer.

Vurderingen skal være en objektiv vurdering af kundens omstændigheder, herunder.

1) produktet eller ydelsen, som kunden ønsker

2) formålet, omfanget, regelmæssigheden og varigheden af forretningsforbindelsen med kunden.

I vurderingen skal virksomheden tage de faktorer, der følger af hvidvasklovens bilag 2, i betragtning.

Eksempler på lempede kundekendskabsprocedurer kan være:

1) At virksomheden indhenter begrænsede identitetsoplysninger om kunden, dog skal det sikres, at

kundens identitet kontrolleres - med begrænsede identitetsoplysninger forstås, at lovens mini-

mumskrav, som er indhentelse af navn og cpr-nr. eller lignende, opfyldes, men at der f.eks. ikke

indhentes yderligere identitetsoplysninger.

2) At virksomheden gennemfører kundekendskabsprocedurer med henblik på at opdatere kundens

identitetsoplysninger sjældnere end for andre kunder, f.eks. sjældnere end for kunder med mel-

lem og høj risiko.

3) At virksomheden ikke indhenter oplysninger om kundens formål med forretningsforbindelsen,

fordi det er givet i selve produkttypen, og fordi produkttypen ikke har høj risiko.

4) At virksomheden overvåger kunden i et mere begrænset omfang, end virksomheden f.eks. over-

våger kunden med en højere risikoprofil. Overvågning af forretningsforbindelsen med kunden kan

dog ikke undlades.

Undtagelse for udstedere af elektroniske penge

Udsteder af elektroniske penge kan i visse tilfælde undtages fra kravene til kundekendskabsprocedurer

i hvidvasklovens §§ 11, 14 og 18.

Følgende betingelser skal være opfyldt:

Betalingsinstrumentet er ikke genopfyldeligt eller har en maksimal månedlig betalingstransakti-

onsgrænse på 250 euro, og kan udelukkende anvendes i Danmark.

Det maksimale elektronisk lagrede beløb må ikke overstige 250 euro.

Betalingsinstrumentet kan udelukkende anvendes til køb af varer eller tjenesteydelser.

Betalingsinstrumentet kan ikke finansieres med anonyme elektroniske penge.

Udstederen skal foretage tilstrækkelig overvågning af transaktioner eller forretningsforbindelser

til at kunne opdage usædvanlige eller mistænkelige transaktioner.

Grænsen i nr. 2) forhøjes til 500 euro for betalingsinstrumenter, som udelukkende kan bruges i Danmark.

17. Tidspunkt for gennemførelse af kundekendskabsprocedurer

Henvisning til hvidvasklovens: § 14, stk. 1-4.

Henvisning til 4. hvidvaskdirektiv: Artikel 10, stk. 1 og 14, stk. 4.

Virksomheden skal altid identificere og kontrollere kunden og eventuelle reelle ejere inden, at virksom-

heden etablerer forretningsforbindelsen til kunden eller gennemfører en enkeltstående transaktion.

Virksomheden kan dog godt etablere forretningsforbindelsen til kunden eller gennemføre transaktionen i

forbindelse med, at virksomheden opfylder kravene om indhentelse af oplysninger om kundens formål

og forretningsforbindelsens tilsigtede beskaffenhed.

Dette forudsætter dog, at de indledende kundekendskabsprocedurer, der skal sikre kontrol af identiteten

af kunden eller transaktionen, ikke har vist at kunden eller transaktionen har øget risiko. Er dette tilfældet,

skal virksomheden gennemføre skærpede kundekendskabsprocedurer, inden forretningsforbindelsen

etableres eller transaktionen gennemføres.

Virksomheden skal fastsætte kravene til de indledende kundekendskabsprocedurer i forhold til den risiko

for hvidvask og finansiering af terrorisme, der er forbundet med den enkelte forretningsforbindelse eller

transaktion.

Hvis forretningsforbindelsen eller transaktionen indebærer en øget risiko, skal virksomheden gennemføre

yderligere foranstaltningerne. Virksomheden skal følge de krav, som hvidvaskloven stiller til skærpede

kundekendskabsprocedurer, f.eks. ved en forretningsforbindelse til en PEP. Hvis forretningsforbindelsen

ikke omfattet af hvidvasklovens skærpede kundekendskabskrav i §§ 18 eller 19, skal virksomheden gen-

nemføre skærpede kundekendskabsprocedurer, som efter virksomhedens vurdering er nødvendige for

at imødegå den øgede risiko for hvidvask og finansiering af terrorisme.

Kundekendskabsprocedurer skal gennemføres i hele kundeforholdet dvs. fra etableringen til den ende-

lige afvikling af forretningsforbindelsen. Kundekendskabsprocedurer kan derfor aldrig afsluttes før forret-

ningsforbindelsen er afviklet. Ved kundeforhold med begrænset risiko har virksomheden mulighed for at

gennemføre dele af kundekendskabsprocedurerne, herunder indhente af oplysninger om formål og tilsig-

tet beskaffenhed, efter at etableringen er sket.

Virksomhedens kundekendskabsprocedurer skal altid gennemføres på baggrund af en risikovurdering.

17.1. Kontrol af identitetsoplysninger under etablering af forretningsforbindelsen

Kravet om, at virksomheden altid skal foretage identifikation og kontrol af en kunde, inden forretningsfor-

bindelsen etableres eller inden en enkeltstående transaktion gennemføres, kan undtagelsesvist fraviges.

Kontrollen af identitetsoplysninger kan gennemføres under etableringen af forretningsforbindelsen, hvis:

1) det er nødvendigt for ikke at afbryde den normale forretningsgang og

2) der er begrænset risiko for hvidvask eller finansiering af terrorisme.

De to betingelser skal begge være opfyldt, før undtagelsesmuligheden er gældende, og kontrollen af

identitetsoplysninger skal i disse tilfælde gennemføres hurtigst muligt.

Hvis det viser sig, at det ikke er muligt at gennemføre kontrollen, kan der være pligt for virksomheden til

at afbryde eller afvikle forretningsforbindelsen. Undtagelsen giver alene adgang til, at de indledende kun-

dekendskabsprocedurer kan foretages under eller efter etableringen af forretningsforbindelsen, men der

er ikke mulighed for, at de kan undlades.

Ad: Det er nødvendigt for ikke at afbryde den normale forretningsgang

Med ”den normale forretningsgang” forstås den procedure, der i normale tilfælde foregår, når virksomhe-

den etablerer en forretningsforbindelse med en kunde. Det er vigtigt at bemærke, at det kræver en vur-

dering af, at det i den konkrete situation er nødvendigt at udskyde kontrollen af identitetsoplysninger.

Undtagelsen giver virksomheden mulighed for f.eks. at påbegynde etablering af en forretningsforbindelse

ved f.eks. at oprette en konto eller indhente oplysninger til at påbegynde en rådgivningsopgave. Virksom-

heden kan dog ikke gå videre og f.eks. foretage en transaktion eller udføre rådgivningsopgaven før for-

retningsforbindelsens identitetsoplysninger er indhentet og kontrolleret.

Ad: Der ikke er risiko for hvidvask eller finansiering af terrorisme

Denne betingelse skal ses i sammenhæng med den risikovurdering, som virksomheden foretager i for-

bindelse med etablering af en ny forretningsforbindelse og de indledende kundekendskabsprocedurer.

For at en eventuel etablering af en forretningsforbindelse kan påbegyndes uden at identitetsoplysninger

er kontrolleret, er det er en ufravigelig betingelse, at forretningsforbindelsen indebærer en begrænset

risiko.

17.2. Transaktioner med værdipapirer for en kunde

Der gælder en særlig undtagelse til kravet om, at identitetsoplysninger indhentes og kontrolleres, inden

en forretningsforbindelse etableres, når der er tale om oprettelse af konto, depot eller lignende, der tillader

transaktioner i værdipapirer for en kunde.

Hvis virksomheden har indført passende sikkerhedsforanstaltninger, der sikrer, at transaktionerne ikke

gennemføres, før identitetsoplysningerne er indhentet og kontrolleret, kan virksomheden f.eks. oprette

kontoen til transaktioner i værdipapirer.

18. Utilstrækkelige oplysninger eller oplysninger, der ikke kan ajourføres

Henvisning til hvidvasklovens: § 14, stk. 5 og 15.

Henvisning til 4. hvidvaskdirektiv: Artikel 14, stk. 4.

Hvis virksomheden bliver bekendt med, at de indhentede oplysninger er utilstrækkelige og ikke kan ajour-

føres, skal virksomheden træffe passende foranstaltninger for at imødegå risikoen for hvidvask og finan-

siering af terrorisme, herunder skal virksomheden overveje, om forretningsforbindelsen skal afvikles.

Dette kan f.eks. være tilfældet, hvis virksomheden i sine løbende kundekendskabsprocedurer bliver be-

kendt med, at de indhentede oplysninger om en kunde ikke er tilstrækkelige, eller hvis virksomheden som

led i sine kundekendskabsprocedurer vil ajourføre de indhentede oplysninger, og kunden ikke ønsker at

udlevere dem, eller hvis virksomheden ikke kan få kontakt til kunden.

Med passende foranstaltninger forstås, at virksomheden konkret skal vurdere hvilke foranstaltninger, der

skal iværksættes. Virksomheden bør altid forsøge at gennemføre kundekendskabsprocedurerne på en

anden måde, hvis der ikke er en konkret risiko for hvidvask eller finansiering af terrorisme.

Passende foranstaltningerne kan f.eks. være, at virksomheden:

1) nægter at tilbyde kunden nye produkter,

2) intensiverer overvågningen af kunden,

3) sætter beløbsgrænser på kundens transaktioner eller

4) inddrager kundens engagement eller dele heraf, f.eks. nogle af kundens produkter.

De foranstaltninger, som virksomheden iværksætter, skal altid være passende i forhold til den konkrete

risiko for hvidvask og finansiering af terrorisme i forhold til kundeforholdet.

Hvidvaskloven indeholder ikke regler for afvikling af et kundeforhold eller afslag på indgåelse af nye kun-

deforhold. I tilfælde hvor virksomheden vurderer, at kundekendskabsproceduren ikke konkret kan gen-

nemføres på en anden måde, og at risikoen for hvidvask og finansiering af terrorisme er høj, kan virk-

somheden enten afbryde eller afvikle forretningsforbindelsen. Se afsnit 18.1 nedenfor om virksomheders

pligt til at afbryde eller afvikle et kundeforhold.

18.1. Virksomhedens pligt til at afbryde eller afvikle et kundeforhold

Virksomheden har kun en forpligtelse til på hvidvaskområdet at afbryde eller afvikle en forretningsforbin-

delse, hvis virksomheden har udtømt alle muligheder for at gennemføre kundekendskabsprocedurer, og

virksomheden på denne baggrund må konkludere, at det ikke er muligt at gennemføre kundekendskabs-

procedurerne i forhold til den konkrete forretningsforbindelse.

Dette betyder, at virksomheden først skal forsøge at gennemføre kundekendskabsprocedurerne på en

anden måde end den, der er virksomhedens normale procedure.

Det er f.eks. ikke tilstrækkelig årsag til afvikling af kundeforholdet, at kunden ikke ønsker at udlevere

oplysninger eller at kunden ikke er i besiddelse af den type identifikationsoplysninger, som virksomheden

indsamler normalt i henhold til sine interne procedurer.

I sådanne tilfælde skal virksomheden vurdere, om årsagen til at kunden nægter at udleverer oplysnin-

gerne medfører en risiko for hvidvask og finansiering for terrorisme. Hvis dette ikke er tilfældet, skal virk-

somheden forsøge at indhente oplysninger på anden vis. Det kunne eksempelvis være en situation, hvor

en kunde ikke har et offentligt udstedt legitimationsdokument. I dette tilfælde, kan virksomheden i stedet

bl.a. indhente kundens dåbsattest.

Hvidvasklovens pligt til at afbryde eller afvikle en forretningsforbindelse er derfor betinget af, at kunde-

kendskabsprocedurerne ikke kan gennemføres og at der vurderes at være en risiko for hvidvask og fi-

nansiering af terrorisme. Anvendelsesområdet for bestemmelsen er meget begrænset. Virksomheden vil

i langt de fleste af sådanne tilfælde efterfølgende skulle foretage underretning til Hvidvasksekretariatet i

SØIK.

Hvis virksomheden vurderer, at en forretningsforbindelse skal afbrydes eller afvikles, må virksomheden

ikke foretage yderligere transaktioner eller aktiviteter for kunden. Hvis der er tale om faste lån, skal dette

afvikles i forhold til den afviklingsprofil, der er er aftalt med kunden. Kreditrammen skal inddrages, even-

tuelt også i forhold til afviklingsaftalen.

Særligt i forhold til advokaters klientforhold

Ovenstående afsnit om muligheden for at afbryde eller afvikle et kundeforhold gælder ikke for advokater,

når de fastslår en klients retsstilling eller forsvarer eller repræsenterer en klient under eller i forbindelse

med en retssag, herunder rådgiver om indledning eller undgåelse af et sagsanlæg.

Undtagelsen gælder ikke i disse tilfælde, fordi klientens ret til advokatbistand og retssikkerhed vejer tun-

gere end hensynet til et tilstrækkeligt kundekendskab.

Det er dog ikke formålet med denne bestemmelse at undtage advokater fra at gennemføre kundekend-

skabsprocedurer. Advokaten har samme pligt til at forsøge at gennemføre kundekendskabsprocedurerne

på anden vis og derved også udtømme alle muligheder for dette.

19. Behandling af personoplysninger

Henvisning til hvidvasklovens: § 16.

Henvisning til 4. hvidvaskdirektiv: Artikel 43, stk. 3.

Henvisning til anden lovgivning: Databeskyttelsesforordningens artikel 5, stk. 1, litra b 13 og 14.

Personoplysninger, der er indhentet med henblik på at opfylde kravene i hvidvaskloven, skal behandles

i overensstemmelse med de databeskyttelsesretlige regler, der som udgangspunkt finder anvendelse

ved behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehand-

ling. Ved personoplysninger forstås enhver form for information om en identificeret eller identificerbar

fysisk person.

Det betyder bl.a., at kravet i databeskyttelsesforordningens artikel 5, stk. 1, litra b, skal overholdes. De

indsamlede oplysninger må således ikke viderebehandles på en måde, der er uforenelig med de udtryk-

keligt angivne og legitime formål, hvortil oplysningerne er indsamlet.

Endvidere skal f.eks. reglerne i databeskyttelsesforordningens artikel 13 og 14 om oplysningspligt over-

holdes. Hvis der indsamles personoplysninger om en registreret person

–

eksempelvis en kunde

–

skal

virksomheden bl.a. give den registrerede oplysninger om formålene med den behandling, som person-

oplysningerne skal bruges til, retsgrundlaget for behandlingen samt oplysninger om eventuelle modta-

gere eller kategorier af modtagere af personoplysningerne.

Hvis kunden er en fysisk person skal virksomheden, inden den etablerer en forretningsforbindelse eller

gennemfører en enkeltstående transaktion, informere kunden om de regler der gælder for behandling af

personoplysninger med henblik på forebyggelse af hvidvask og finansiering af terrorisme. Kravet gælder

ikke, når kunden er en juridisk person.

Alle personoplysninger, herunder f.eks. om kundens navn og cpr-nr. eller om kundens reelle ejere, som

virksomheden indhenter i henhold til hvidvaskloven må kun behandles af virksomheden i overensstem-

melse med hvidvaskloven. Personoplysningerne må derfor ikke også benyttes i andre sammenhænge i

virksomheden.

Virksomheden skal således oplyse den registrerede om, hvorfor virksomheden indhenter oplysninger om

den pågældende, når virksomheden gennemfører kundekendskabsprocedurer.

20. Bistand fra tredjemand

Del 4

–

Bistand fra tredjemand og outsourcing

Henvisning til hvidvaskloven: § 22 (også jf. § 9, stk. 2).

Henvisning til 4. hvidvaskdirektiv: Artikel 25-27.

Henvisning til anden lovgivning: Databeskyttelsesforordningens artikel 28, stk. 3 og kapitel 5.

Virksomheder kan overlade indhentelse og kontrol af oplysninger i henhold til hvidvasklovens § 11, stk.

1, nr. 1-4 til en tredjemand. Se afsnit 23 om sondringen mellem §§ 22, 23 og 24. Muligheden for bistand

fra tredjemand forudsætter, at visse betingelser er opfyldt, jf. nedenfor.

Virksomheden kan få bistand fra en tredjemand, hvis denne:

1) er omfattet er hvidvasklovens § 1, stk. 1 eller

2) er en virksomhed eller person, som svarer til de virksomheder eller personer, der er oplistet i § 1,

stk. 1, som er etableret i et EU-/EØS-land eller en tilsvarende virksomhed eller person i øvrige

lande, der er underlagt krav om bekæmpelse af hvidvask og finansiering af terrorisme, der svarer

til de krav, der følger af 4. hvidvaskdirektiv, og virksomheden/virksomheden er underlagt tilsyn af

en myndighed eller

3) er en medlemsorganisation eller sammenslutning af virksomheder og personer som nævnt i nr.

1 og 2, og er underlagt krav om bekæmpelse af hvidvask og finansiering af terrorisme, der svarer

til de krav, der følger af 4. hvidvaskdirektiv, og medlemsorganisationen eller sammenslutningen

er underlagt tilsyn af en myndighed.

Ad 1: Hvidvasklovens § 1, stk. 1:

En virksomhed kan få bistand fra en tredjemand, hvis denne tredjemand er omfattet af hvidvasklovens §

1, stk. 1. Det betyder, at alle de virksomheder og personer, der er omfattet af hvidvaskloven, kan indgå i

en aftale om at yde bistand til § 11, stk. 1, nr. 1-4. Dette omfatter oplysninger, der ud fra en risikovurdering

indhentes fra/om kunden for at gennemføre kundekendskabsprocedurerne.

Det betyder, at de oplysninger, som tredjemand har indhentet for at opfylde § 11, stk. 1, nr. 1-4, er om-

fattet af bestemmelsen om bistand fra tredjemand, og oplysningerne kan derfor benyttes af virksomhe-

den.

Ad 2: Bistand fra en tredjemand etableret i EU/EØS:

Virksomheden kan også modtage bistand fra en tredjemand, hvis denne er etableret i et andet EU/EØS-

land eller i øvrige lande, der er underlagt krav om bekæmpelse af hvidvask og finansiering af terrorisme.

Det er dog på den betingelse, at tredjemanden er en virksomhed eller person, der svarer til de virksom-

heder og personer, , der er omfattet af hvidvaskloven, og at virksomheden er underlagt krav om bekæm-

pelse af hvidvask og finansiering af terrorisme, der svarer til kravene i 4. hvidvaskdirektiv. Endvidere skal

tredjemanden være underlagt et tilsyn med overholdelse af reglerne.

Er disse krav opfyldt, kan virksomheden benytte sig af de oplysninger, der er indhentet om en kundes

identitet på samme vis, som hvis tredjemanden var etableret i Danmark. Virksomheden skal dog være

opmærksom på, at virksomheden selv bærer ansvaret for at vurdere, hvorvidt tredjemanden er underlagt

krav, der svarer til 4. hvidvaskdirektiv. Se afsnit 20.2 om ansvar. Derudover skal virksomheden kunne

begrunde en sådan vurdering over for den tilsynsmyndighed, der fører tilsyn med virksomheden i Dan-

mark, og virksomheden bør derfor også dokumentere en tredjemandens vurderingen.

Ad 3: Bistand fra en tredjemand, der er en medlemsorganisation/sammenslutning af virksomheder/per-

soner:

Virksomheden kan også modtage bistand fra en tredjemand, som er en medlemsorganisation eller en

sammenslutning af virksomheder eller personer, af samme type, som de under nr. 1 og 2 nævnte. Virk-

somheden skal i tilfælde af, at virksomheden modtager bistand fra en sådan tredjemand sikre, at denne

er underlagt krav om bekæmpelse af hvidvask eller finansiering af terrorisme, der svarer til kravene i 4.

hvidvaskdirektiv. Virksomheden skal sikre dette, inden virksomheden lægger oplysninger til grund, der er

indhentet af medlemsorganisationen eller sammenslutningen.

Hvornår kan virksomheden få bistand fra en tredjemand?

Virksomheden kan få bistand fra tredjemand i de situationer, hvor kunden er kunde hos tredjemanden og

også er/skal være kunde hos virksomheden, og hvor tredjemanden derfor allerede har foretaget kunde-

kendskabsprocedurer i relation til kunden. Det betyder, at de oplysninger, som tredjemanden har indhen-

tet om kunden, kan genbruges af virksomheden.

Det er ikke et krav, at tredjemanden er samme virksomhedstype som virksomheden selv. F.eks. kan et

pengeinstitut lægge oplysninger om en kundes identitet til grund, som er indhentet af en revisor eller en

udbyder af betalingstjenester. Det afgørende er, at denne tredjemand overholder hvidvaskloven, og at

tredjemanden også har den pågældende fysiske eller juridiske person som kunde.

Virksomheden kan få bistand til at indhente oplysninger til de almindelige kundekendskabsprocedurer i

§ 11, stk. 1, nr. 1-4. Det betyder, at virksomheden ikke kan få bistand til at indhente yderligere oplysninger

til at opfylde de skærpede kundekendskabsprocedurer, herunder §§ 17, 18 og 19. Virksomheden skal

derfor selv, når en kunde efter virksomhedens vurdering udgør en høj risiko, indhente oplysninger, der

supplerer de oplysninger, som tredjemanden har stillet til rådighed samt gennemføre andre relevante

skærpede foranstaltninger.

I henhold til § 18 kan tredjemand dog godt oplyse virksomheden om, at en kunde er PEP eller er nært-

stående eller nær samarbejdspartner til en PEP, hvorefter virksomheden selv skal gennemføre skærpede

procedurer i overensstemmelse med § 18.

Det bemærkes, at hvis en virksomhed benytter kommercielle udbydere af PEP-lister, er det ikke bistand

fra tredjemand i henhold til § 22. Se afsnit

15 om politisk eksponerede personer (PEP’er).

Virksomheden skal selv fortage risikovurderingen af kunden

Virksomheden skal selv foretage risikovurderingen af kunden, og derfor skal virksomheden være op-

mærksom på, at den samme kunde kan have forskellige risikoprofiler i forhold til tredjemanden og i forhold

til virksomheden. Det kan være begrundet i forskelle i tredjemandens og virksomhedens forretningsmo-

del, geografiske placering mv.

Virksomheden kan derfor have behov for at indhente identitets- eller kontroloplysninger, der supplerer de

oplysninger, som virksomheden modtager fra tredjemanden.

100

Virksomheden skal også være opmærksom på, at en tredjemands vurdering af, om der, i forhold til kun-

dens forretningsforbindelse til tredjemandens virksomhed, er behov for at indhente oplysninger om kun-

dens formål og tilsigtede beskaffenhed, ikke nødvendigvis er identisk med virksomhedens egen vurdering

og forhold til kunden.

Forretningsforbindelsens formål og den tilsigtede beskaffenhed vurderes bl.a. ud fra den ydelse eller det

produkt, som kunden ønsker. Vurderingen, af om der er behov for kendskab til kundens formål og den

tilsigtede beskaffenhed, skal foretages konkret.

Det kan derfor være tilfældet, at virksomheden skal indhente oplysninger om formålet og den tilsigtede

beskaffenhed selv, hvis tredjemanden ikke har indhentet sådanne oplysninger, eller indhente oplysnin-

ger, der supplerer de oplysninger, som virksomheden har modtaget fra tredjemanden.

20.1. Betingelser

Hvis virksomheden ønsker at lade en tredjemand indhente oplysninger om virksomhedens kunde/kun-

ders identitet, skal virksomheden inden en aftale herom indgås:

- Indhente tilstrækkelige oplysninger om tredjemand,

- Sikre, at tredjemand forpligter sig til efter anmodning straks til virksomheden omfattet af loven at

fremsende kopi af identitets- og kontroloplysninger om kunden/kunderne og eventuelle reelle

ejere samt anden relevant dokumentation.

Ad: Indhente tilstrækkelige oplysninger om tredjemand:

Virksomheden skal indhente tilstrækkelige oplysninger til at afgøre, om tredjemanden opfylder kravene

til kundekendskabsprocedurer og opbevaring af oplysninger. Det er virksomhedens ansvar at faslægge,

hvad der er tilstrækkeligt.

Med tilstrækkelige oplysninger skal forstås, at virksomheden f.eks. indhenter en redegørelse fra tredje-

mand, hvori tredjemand beskriver de procedurer, som tredjemanden har indført med henblik på at opfylde

kundekendskabsprocedurerne. Virksomheden kan f.eks. også indhente tredjemandens politikker og pro-

cedurer, der vedrører kundekendskab i henhold til § 11, stk. 1-4 og opbevaring af oplysninger i henhold

til § 30.

Derudover vil det være relevant at indhente oplysninger om, hvorvidt tredjemand har modtaget påbud fra

tilsynsmyndigheden i relation til kundekendskabskravene. Hvis dette er tilfældet, kan virksomheden un-

dersøge, om påbuddet er opfyldt.

Det kan også være relevant, at virksomheden foretager stikprøver af tredjemandens forretningsforbindel-

ser.

Ad: Sikre at tredjemand forpligter sig til efter anmodning straks til virksomheden omfattet af loven at

fremsende kopi af identitets- og kontroloplysninger om kunden/kunderne og eventuelle reelle ejere samt

anden relevant dokumentation:

Denne betingelse er relevant, fordi virksomheden, som skal bruge oplysningerne inden oprettelsen af et

kundeforhold, skal foretage en selvstændig risikovurdering af kunden. Risikovurderingen skal bl.a. tage

de produkter eller ydelser, som kunden tilbydes, i betragtning.

101

Derudover skal tredjemanden forpligte sig til efter anmodning straks at fremsende relevante kontroldoku-

menter og anden relevant dokumentation til virksomheden eller personen omfattet af loven samt doku-

mentation for, at denne overholder kravene til opbevaring i 4. hvidvaskdirektiv.

Det betyder, at virksomheden skal have stillet oplysningerne, der er indhentet i henhold til § 11, stk. 1,

nr. 1-4, til rådighed, når virksomheden skal foretage en risikovurdering af kunden. Det er dog ikke nød-

vendigt, at virksomheden også får stillet kontroldokumenterne til rådighed på dette tidspunkt, da disse til

enhver tid skal kunne fremsendes af tredjemand efter anmodning fra virksomheden.

Behovet for, at de nævnte oplysninger straks skal stilles til rådighed, har baggrund i formålet med reglerne

om kundekendskabsprocedurer. Kundekendskabsprocedurer skal hjælpe til at sikre en effektiv efterforsk-

ning bl.a. ved hurtigt at kunne stille de nødvendige oplysninger om kundens eller dennes reelle ejeres

identitet mv. til rådighed for efterforskningsmyndighederne.

Det er derfor nødvendigt, at tredjemands forpligtelser fremgår af den kontrakt, som virksomheden omfat-

tet af loven indgår med tredjemand.

20.2. Ansvaret

Virksomheden, som benytter identitetsoplysninger, der er indhentet af tredjemand, er ansvarlig for sine

egne forpligtelser til at overholde hvidvasklovens krav. Virksomheden kan ikke fritages for ansvar ved

bistand fra tredjemand, og virksomheden bærer derfor selv ansvaret for, at der gennemføres kundekend-

skabsprocedurer, herunder at indhentelse af oplysninger om kunden gennemføres i overensstemmelse

med hvidvaskloven.

Virksomheden er endvidere ansvarlig for, at der foretages en korrekt risikovurdering af virksomhedens

kunder, herunder stillingtagen til, hvad risikovurderingen kræver i forhold til kundekendskab, overvågning

af kunden mv. i overensstemmelse med hvidvaskloven.

Hvis en kunde eller kundegruppe risikovurderes til at være høj risiko, skal virksomheden sikre, at virk-

somheden gennemfører skærpede kundekendskabsprocedurer. Det vil som udgangspunkt medføre, at

der er behov for at indhente tilstrækkelige supplerende oplysninger om den pågældende kunde eller

kundegruppe.

Virksomhedens ansvar betyder derfor, at virksomheden skal sikre et tilstrækkeligt kendskab til tredje-

manden, som betrygger virksomheden i, at tredjemandens opfyldelse af hvidvasklovens § 11, stk. 1, nr.

1-4 er effektiv. Det er således virksomheden, der over for tilsynsmyndigheden skal redegøre for kunde-

kendskabets tilstrækkelighed.

Hvis virksomheden indgår en længerevarende aftale med en tredjemand om at bruge de oplysninger,

som tredjemanden indhenter i henhold til § 11, stk. 1, nr. 1-4, bør virksomheden foretage løbende kon-

troller, som sikrer, at tredjemanden indhenter tilstrækkelige identitetsoplysninger om kunderne. Derud-

over skal virksomheden kontrollere at oplysningerne er brugbare og praktisk let tilgængelige at modtage

kopi af efter anmodning fra virksomheden uden forsinkelser.

Virksomheden, som bistår som tredjemand, er fortsat ansvarlig for sin egen overholdelse af hvidvasklo-

ven.

102

Endelig skal virksomheden være særlig opmærksom på, at de databeskyttelsesretlige regler skal over-

holdes i forbindelse med behandling af personoplysninger hos tredjemand. Hvis tredjemand er databe-

handler

–

hvorved forstås en fysisk eller juridisk person, en offentlig myndighed, en institution eller et

andet organ, der behandler personoplysninger på den dataansvarliges vegne

–

skal virksomheden såle-

des være opmærksom på de særlige krav, der indeholdt i de databeskyttelsesretlige regler.

Dette indebærer bl.a., at der skal indgås en databehandleraftale med databehandleren. Databehandler-

aftaler skal indgås mellem den dataansvarlige og databehandleren og skal leve op til kravene i databe-

skyttelsesforordningen.

Der henvises til Datatilsynets

vejledninger om ”Dataansvarlige og databehandlere” samt ”Tilsynet med

databehandlere og underdatabehandlere”, der er tilgængelige på tilsynets hjemmeside (www.datatilsy-

net.dk).

20.3. Tredjemand etableret i land med høj risiko

Virksomheden kan ikke benytte muligheden for bistand fra en tredjemand, hvis tredjemanden er etableret

i et land, som er opført på Europa-Kommissionens liste over lande, hvor der vurderes at være en høj

risiko for hvidvask eller finansiering af terrorisme.

Dette gælder dog ikke, hvis tredjemanden er et majoritetsejet datterselskab eller en filial, der er etableret

i et sådant højrisiko land, men hvor enheden, der har etableret datterselskabet/filialen, selv er etableret i

et EU/EØS-land og på betingelse af, at datterselskabet/filialen til fulde overholder koncernens politikker

og procedurer. Se del 2 om risikovurdering og risikostyring.

Hvis virksomheden vil benytte et af virksomheden ejet datterselskab/en filial som bistand til opfyldelse af

§ 11, stk. 1, nr. 1-4, skal virksomheden foruden betingelserne beskrevet i afsnit 20.1 indhente oplysnin-

ger, der forsikrer virksomheden i, at datterselskabet/filialen til fulde overholder koncernens politikker og

procedurer.

21. Koncernforhold

Henvisning til hvidvaskloven: § 23.

Henvisning til 4. hvidvaskdirektiv: Artikel 28.

Virksomheder, der er del af en koncern, kan overlade det til en anden virksomhed i koncernen at opfylde

kravene i § 11, stk. 1, nr. 1-4. Dette omfatter indhentelse af oplysninger fra/om kunden ud fra en risiko-

vurdering for at gennemføre kundekendskabsprocedurerne. Det er en forudsætning, at koncernen i over-

ensstemmelse med 4. hvidvaskdirektiv:

1) anvender kundekendskabsprocedurer,

2) har regler om opbevaring af oplysninger og programmer til bekæmpelse af hvidvask og finansie-

ring af terrorisme og

3) at en myndighed fører tilsyn på koncernniveau med at kravene, der svarer til kravene i 4. hvid-

vaskdirektiv, overholdes.

103

Hvis en virksomhed i en koncern benytter en anden virksomhed i koncernen som tredjemand, skal kon-

cernen overholde de ovenfor tre oplistede punkter, og derved anses virksomheden for at overholde de

krav, der er til bistand fra tredjemand i hvidvaskloven.

Med programmer til bekæmpelse af hvidvask og finansiering af terrorisme menes koncernens politikker

og procedurer på hvidvaskområdet. Se afsnit 4 om politikker, procedurer og kontroller.

Kravet om, at der føres et tilsyn på koncernniveau skal forstås således, at en eller flere tilsynsmyndighe-

der fører tilsyn med, at kravene om kundekendskabsprocedurer, regler om opbevaring af oplysninger og

programmer til bekæmpelse af hvidvask og finansiering af terrorisme overholdes. Herunder at tilsyns-

myndigheden i moderselskabets hjemland fører tilsyn med, at koncernens politikker og procedurer effek-

tiv overholder disse krav.

Bestemmelsen har til formål, at gentagne kundekendskabsprocedurer i en koncern ikke medfører unø-

dige forsinkelser eller administrative omkostninger. Bestemmelsen om bistand fra en anden virksomhed

indenfor en koncern betyder derfor, at betingelserne i nogen grad adskiller sig fra kravene i § 22. Se afsnit

20 om bistand fra tredjemand.

De oplysninger, som en anden virksomhed i koncernen har indhentet for at opfylde § 11, stk. 1, nr. 1-4,

er omfattet af bestemmelsen, og oplysningerne kan derfor også benyttes til virksomhedens opfyldelse af

kravene til kundekendskabsprocedure.

En anden virksomhed i koncernen kan efter denne bestemmelse bistå med at gennemføre skærpede

kundekendskabsprocedurer efter §§ 17-19. Den anden virksomhed i koncernen kan også bistå med at

foretage en risikovurdering af kunden. Det er dog vigtigt at bemærke, at risikovurderingen altid skal fore-

tages i forhold til den konkrete kunde, herunder med inddragelse af risikofaktorer som bl.a. produktet eller

tjenesteydelsen, som kunden tilbydes, geografiske forhold, omfang og varighed af forretningsforbindel-

sen med kunden mv. Se afsnit 13 om risikovurdering - kundekendskabsprocedurer.

Den virksomhed, som bistår med gennemførelse af kundekendskabsprocedurerne er en del af koncer-

nen, og da virksomheden, der benytter sig af bistand fra koncernvirksomheden, har sikret, at koncernen

opfylder de tre betingelser oplistet i dette afsnit, er der ikke et krav om, at virksomheden indhenter yder-

ligere oplysninger om koncernvirksomheden.

104

22. Outsourcing

Henvisning til hvidvaskloven: § 24.

Henvisning til 4. hvidvaskdirektiv: Artikel 28.

Henvisning til anden lovgivning: Bekendtgørelse nr. 1304 af 25. november 2010 om outsourcing af

væsentlige aktivitetsområder med senere ændringer i bekendtgørelse nr. 1737 af 19. december 2017

om ændring af bekendtgørelse om outsourcing af væsentlige aktivitetsområder.

Henvisning til anden lovgivning: Databeskyttelsesforordningens artikel 28, stk. 3 og kapitel 5.

En virksomhed kan vælge kontraktmæssigt at outsource opgaver til en anden virksomhed, i det følgende

kaldet leverandøren, med henblik på at overholde kravene i hvidvaskloven. Se afsnit 23 om sondringen

mellem forskellene i §§ 22, 23 og 24.

Det kan f.eks. være opgaver som:

1) Indhentelse af identitets- og kontroloplysninger til brug for virksomhedens kundekendskabspro-

cedurer.

2) Overvågning af kundetransaktioner.

3) Opbevaring af oplysninger mv.

4) Underretninger.

Leverandøren behøver ikke være omfattet af hvidvaskloven.

Alle opgaver, der følger af hvidvaskloven, kan som udgangspunkt outsources. Virksomheden kan dog

aldrig outsource det ansvar, som følger af hvidvaskloven. Se afsnit 20.2 om ansvar nedenfor. Virksom-

heden skal være opmærksom på, at opgaven i hvidvasklovens § 7, stk. 2 ikke kan outsources, dvs. at

virksomhedens forpligtelse til at udpege en hvidvaskansvarlig kun kan varetages af virksomheden selv.

Ligeledes kan den hvidvaskansvarliges ansvar heller ikke outsources. Se afsnit 6.1 om den hvidvaskan-

svarlige.

Virksomheder, der er underlagt outsourcingbekendtgørelsen skal være opmærksom på, at bekendtgø-

relsen i nogle tilfælde kan stille højere krav end kravene i hvidvaskloven, som virksomheden skal opfylde.

Virksomheder, der er underlagt outsourcingbekendtgørelsen, skal vurdere, om aktiviteten er omfattet af

bekendtgørelsen.

22.1. Betingelser

Muligheden, for at en virksomhed kan outsource opgaver med henblik på at opfylde kravene i hvidvask-

loven, er betinget af nogle krav, som skal være opfyldt før en kontrakt indgås med en leverandør.

Inden virksomheden indgår en aftale om outsourcing med leverandøren, skal virksomheden være sikker

på:

1) at leverandøren har fornøden evne og kapacitet til at varetage opgaven på tilfredsstillende vis

2) at leverandøren har den eller de nødvendige tilladelser.

105

Det betyder, at leverandøren skal have relevant og fagligt kendskab til at løse opgaven og have tilstræk-

kelige ressourcer til at løse opgaven.

Hvis leverandøren ikke er etableret i Danmark, skal virksomheden særligt have fokus på at sikre, at le-

verandøren har de fornødne tilladelser, der kræves for virksomhed af den pågældende art. Derudover er

det relevant at være betrygget i, at leverandøren har det fornødne kendskab til den nationale lovgivning,

så leverandøren kan leve op til betingelserne på samme vis som en leverandør, der er etableret i Dan-

mark.

22.2. Hvem kan en virksomheden outsource til i henhold til hvidvaskloven?

Der stilles ikke krav i hvidvaskloven til, hvem en virksomhed outsourcer opgaver til. Det betyder, at der

ikke er et krav om, at leverandøren er omfattet af hvidvaskloven.

Leverandøren er derfor ikke en afgrænset kreds af personer og virksomheder, som det gælder i hvid-

vasklovens §§ 22 og 23.

En leverandør kan f.eks. være en forhandler af varer, hvor kunden/køberen tilbydes finansiering hos

virksomheden. Her kan virksomheden f.eks. indgå en aftale med forhandleren om, at denne i forbindelse

med salget indhenter oplysninger om kundens identitetsoplysninger og kontrolkilder, som virksomheden

skal bruge i sin risikovurdering af kunden.

22.3. Kontrol af leverandøren

Når virksomheden har indgået en aftale med en leverandør om outsourcing af opgaver, skal virksomhe-

den løbende føre kontrol med leverandøren.

Det er derfor vigtigt, at virksomheden, inden aftalen bliver indgået, sikrer, at det er muligt for virksomhe-

den løbende at gennemføre de relevante kontroller.

Kontrollen skal sikre:

1) at leverandøren lever op til de forpligtelser, som følger af aftalen med virksomheden og

2) at aftalen om outsourcing med leverandøren fortsat er forsvarlig.

Når virksomheden skal vurdere, om aftalen om outsourcing fortsat er forsvarlig, skal virksomheden vur-

dere dette ud fra de forpligtelser, som påhviler virksomheden. Dvs. at virksomheden skal være sikker på,

at virksomheden ved brug af leverandøren til fulde lever op til hvidvasklovens krav på samme måde, som

hvis virksomheden selv varetog opgaverne i overensstemmelse med hvidvaskloven.

22.4. Ansvar

Virksomheden kan aldrig outsource sit ansvar. Det betyder, at virksomheden altid bærer det fulde ansvar

for at de forpligtelser, som virksomheden har i henhold til hvidvaskloven og anden relevant lovgivning på

området, vil virksomheden altid bærer det fulde ansvar for at overholde.

Med anden relevant lovgivning menes bl.a. EU’s forordninger på hvidvaskområdet, databeskyttelseslov-

givningen mv.

106

Når en virksomhed vælger at outsource en opgave med henblik på overholdelse af hvidvaskloven, vil

leverandøren blive betragtet som en del af virksomheden. Ansvaret, for at opgaven varetages i overens-

stemmelse med kravene i hvidvaskloven, påhviler virksomheden.

Virksomheden er derfor også ansvarlig for, at leverandøren følger fornødne procedurer til bekæmpelse

af hvidvask og finansiering af terrorisme i sin udførelse af opgaven for virksomheden.

Virksomheden skal ved outsourcing være opmærksom på, om outsourcing har en betydning for virksom-

hedens risici, og hermed den residuale risiko virksomheden har efter at have fastlagt sine politikker på

hvidvaskområdet. F.eks. kan det have betydning for risikoprofilen, hvis virksomheden eksempelvis out-

sourcer en opgave til en virksomhed etableret uden for Danmark, som har et lavere niveau i deres regu-

lering end Danmark, og hvor der ikke er et tilstrækkeligt tilsyn med bekæmpelse af hvidvask og finansie-

ring af terrorisme, eller omvendt hvis virksomheden eksempelvis outsourcer en opgave til en virksomhed,

som er specialiseret i at løse den pågældende opgaver, og som derfor kan løse opgaven mere effektivt

end virksomheden selv.

Endelig skal virksomheden være særlig opmærksom på, at de databeskyttelsesretlige regler skal over-

holdes i forbindelse med behandling af personoplysninger hos tredjemand. Hvis tredjemand er databe-

handler

–

hvorved forstås en fysisk eller juridisk person, en offentlig myndighed, en institution eller et

andet organ, der behandler personoplysninger på den dataansvarliges vegne

–

skal virksomheden såle-

des være opmærksom på de særlige krav, der indeholdt i de databeskyttelsesretlige regler.

Dette indebærer bl.a., at der skal indgås en databehandleraftale med databehandleren. Databehandler-

aftaler skal indgås mellem den dataansvarlige og databehandleren og skal leve op til kravene i databe-

skyttelsesforordningen.

Der henvises til Datatilsynets vejledninger om ”Dataansvarlige og databehandlere” samt ”Tilsynet med

databehandlere og underdatabehandlere”, der er tilgængelige på tilsynets hjemmeside (www.datatilsy-

net.dk).

23. Sondring mellem §§ 22, 23 og 24

Nedenfor følger et skema, som sammenligner mulighed for bistand fra tredjemand til de almindelige kun-

dekendskabsprocedurer og outsourcing til en anden virksomhed (leverandør) til udførelse af opgaver på

baggrund af krav i hvidvaskloven.

§ 22:

Bistand fra tredje-

mand til kundekendskabs-

procedurer.

§ 23:

Bistand fra en an-

den virksomhed i kon-

cernen til kundekend-

skabsprocedurer.

§ 24:

Outsourcing af op-

gaver til opfyldelse af

hvidvaskloven.

107

Hvornår er mulighe-

den relevant?

Når virksomheden og tred-

jemand

har

samme

kunde(r), og identitets- og

kontroloplysninger

mv.

kan genbruges.

Når to/flere virksomhe-

der i samme koncern

har samme kunde(r), og

identitets- og kontrolop-

lysninger mv. kan gen-

bruges.

Virksomheden kan over-

lade det til en anden

virksomhed i koncernen

at indhente og kontrol-

lere oplysninger efter §

11, stk. 1. nr. 1-4.

Den anden virksomhed i

koncernen kan også bi-

stå med en risikovurde-

ring af kunden og even-

tuelt med at gennemføre

skærpede kundekend-

skabsprocedurer.

Kundekendskabsproce-

durer skal ikke unødven-

digt foretages dobbelt

inden for en koncern.

Når virksomheden ser

fordel i, at en anden virk-

somhed varetager be-

stemte opgaver.

Indhold

Virksomheden kan over-

lade det til en anden virk-

somhed (tredjemand) at

indhente og kontrollere

oplysninger efter § 11, stk.

1. nr. 1-4.

Virksomheden kan out-

source opgaver til en an-

den virksomhed (leve-

randør) med henblik på

overholdelse af hvid-

vaskloven.

Formål

Virksomheden skal selv

foretage en risikovurde-

ring af kunden og f.eks.

gennemføre

skærpede

kundekendskabsprocedu-

rer, hvis det er nødvendigt.

Virksomheden kan gen-

bruge oplysninger indhen-

tet til brug for kundekend-

skabsprocedurer.

Virksomheden kan opti-

mere sin drift ved at out-

source relevante opga-

ver.

Til hvem og hvornår

Tredjemanden skal være

en virksomhed eller per-

son, der er omfattet af

hvidvasklovens § 1, stk. 1

eller en tilsvarende virk-

somhed/person i et andet

land, der er underlagt til-

svarende krav om be-

kæmpelse af hvidvask og

finansiering af terrorisme.

Tredjemanden

skal

være en virksomhed i

koncernen, som har ind-

hentet oplysningerne,

og som følger koncer-

nens procedurer og pol-

tikker.

Der er ikke krav til, hvil-

ken virksomhed eller

person, som leverandø-

ren er.

108

Forpligtelser

Virksomheden skal ind-

hente tilstrækkelige oplys-

ninger om tredjemand og

sikre, at tredjemand kan

stille identitets- og kontrol-

oplysninger til rådighed.

Virksomheden

skal

sikre, at koncernen bru-

ger kundekendskabs-

procedurer, har regler

om opbevaring og pro-

grammer til bekæm-

pelse af hvidvask og fi-

nansiering af terrorisme

og er underlagt tilsyn på

området.

Virksomheden

ansvaret.

bærer

Virksomheden skal kon-

trollere leverandøren.

Virksomheden

skal

sikre, at leverandøren

har evne, kapacitet, tilla-

delse og kendskab både

fagligt til opgaven og til

lovgivningen.

Ansvar

Virksomheden bærer an-

svaret.

Virksomheden bærer an-

svaret.

109

24. Undersøgelsespligt

Del 5

–

Undersøgelses-, noterings-, underretnings- og opbevaringspligt

Henvisning til hvidvaskloven: § 25, stk. 2.

Henvisning til 4. hvidvaskdirektiv: Artikel 40.

Virksomheden skal undersøge, om det forhold, der er vurderet til at være usædvanligt, giver grundlag for

mistanke eller formodning om hvidvask eller finansiering af terrorisme eller om en mulig mistanke kan

afkræftes.

Virksomheden skal undersøge:

1) baggrunden for og formålet med alle komplekse og usædvanligt store transaktioner samt

2) alle usædvanlige transaktionsmønstre og aktiviteter, der ikke har et klart økonomisk eller påvise-

ligt lovligt formål, f.eks. hvor en transaktion ikke svarer til kundens normale adfærdsmønster, eller

hvor virksomheden ikke har viden om, hvorfra kundens midler stammer.

Virksomheden skal have procedurer og systemer, der gør det muligt at identificere de ovenstående trans-

aktioner og aktiviteter.

Hvis det på baggrund af kundens adfærd står virksomheden klart, at der er tale om hvidvask eller finan-

siering af terrorisme, kan der ske underretning direkte uden, at virksomheden foretager en egentlig un-

dersøgelse.

Nedenstående figur illustrerer processen fra undersøgelsespligten til underretningspligten samt eventuel

iværksættelse af en udvidet overvågning af kunden.

110

Virksomheden skal ved vurderingen af den usædvanlige adfærd tage udgangspunkt i de oplysninger,

den har om kunden, herunder eventuelle oplysninger om forretningsforbindelsens formål og tilsigtede

beskaffenhed. Heri kan oplysninger om omfang og forventet grænseoverskridende aktivitet også blive

inddraget. Disse oplysninger skal virksomheden sammenholde med det, der virker mistænkeligt. I banker

og andre steder med kundeansvarlige, kan det være relevant at inddrage den kundeansvarlige i forhold

til viden om kunden.

Virksomheden kan også inddrage oplysninger fra offentligt tilgængelige kilder, f.eks. via internetsøgnin-

ger, hvis virksomheden vurderer, at der er tale om en pålidelig og uafhængig kilde.

Det kan være nødvendigt, at virksomheden kontakter kunden for at indhente yderligere oplysninger om

formålet med transaktionen eller aktiviteten. Kundens verbale forklaring kan dog i mange tilfælde ikke

være tilstrækkelig til at afkræfte en mistanke. Det kan derfor være nødvendigt at bede kunden om at

underbygge sin forklaring, f.eks. med dokumentation i form af:

1) En salgsaftale ved bilsalg.

2) En skifteretsattest eller boopgørelse ved arv.

3) En købsaftale ved ejendomssalg.

4) En salgsaftale ved virksomhedssalg.

5) En årsopgørelse ved opsparing/formue.

6) En eller flere lønsedler ved indkomst fra ansættelsesforhold.

Virksomhedens undersøgelse kan med fordel bygges op omkring fastlæggelse af følgende:

Hvem

er kunden?

Hvordan

fremstår kunden?

Hvad

ønsker kunden udført?

Hvor

foregår transaktionen/aktiviteten?

Hvornår

skal virksomheden udføre transaktioner eller aktiviteter for kunden?

Hvordan

skal transaktionen/aktiviteten udføres?

Hvorfor

gør kunden som han/hun gør?

Hvis virksomheden vurderer, at en forespørgsel vil give kunden viden om, at virksomheden har mistanke

og er i gang med at foretage en undersøgelse, eller hvis virksomheden finder det uhensigtsmæssigt at

kontakte kunden om sagen, skal virksomheden foretage en underretning til Hvidvasksekretariatet i SØIK.

Hvis virksomheden ikke kan afkræfte mistanken helt, skal der også ske underretning. Virksomheden skal

være opmærksom på, at det ligger i kravet, at mistanken skal afkræftes helt, hvis der ikke skal ske un-

derretning. Det er således ikke tilstrækkeligt, at mistanken kun er blevet svækket. Se afsnit 25 om under-

retningspligten til Hvidvasksekretariatet i SØIK.

Kravet om undersøgelsespligt skal ses i sammenhæng med underretningspligten til Hvidvasksekretaria-

tet i SØIK. Virksomheden skal basere sin underretning til Hvidvasksekretariatet i SØIK på vurderinger i

den konkrete situation i forhold til:

1) handlingernes karakter og afvigelse fra normale kundehandlinger

2) fortielser og andre særegne og atypiske forhold hos kunden.

Hvis virksomhedens undersøgelse, herunder virksomhedens spørgsmål om formål mv., giver kunden

anledning til at afstå fra transaktionen eller aktiviteten, er mistanken ikke blevet afkræftet. Derimod kan

dette underbygge mistanken, og virksomheden bør dermed foretage en underretning til Hvidvasksekre-

tariatet i SØIK.

111

24.1. Udvidet overvågning

Virksomheden skal, hvor det er relevant udvide overvågningen af forretningsforbindelsen, hvis der er

mistanke eller rimelig grund til at formode, at en kundes transaktioner eller aktiviteter har eller har haft

tilknytning til hvidvask eller finansiering af terrorisme.

Virksomheden skal således, hvor det er relevant, udvide overvågningen af kunden for at afgøre, om

transaktionerne eller aktiviteterne virker mistænkelige. Det betyder, at virksomheden på baggrund af risi-

koen skal vurdere, om der er behov for at iværksætte en skærpet overvågning af kunden. Det vil bl.a.

gøre sig gældende, hvor der er givet underretning til Hvidvasksekretariatet i SØIK.

En udvidelse af overvågningen af en kunde kan f.eks. være;

1) At virksomheden justerer den automatiserede overvågning af kunden, således at tærskelværdi-

erne for, hvornår en alarm bliver udløst i virksomhedens overvågningssystem, bliver sat lavere.

2) At virksomheden har en skærpet opmærksomhed på kundens adfærd, herunder forespørgsler,

aktiviteter mv. Det kan f.eks. være et notat på kundens profil hos virksomheden, der skærper

medarbejdernes opmærksomhed på en bestemt type adfærd hos kunden.

3) At virksomheden manuelt gennemgår kundens relevante transaktioner med jævne mellemrum

I nogle specifikke kundeforhold kan den løbende overvågning ske som led i den ydelse der udbydes, hvis

selve ydelsen medfører en indsigt i kundens forhold. Dette gør sig eksempelvis gældende for en godkendt

revisors afgivelse af erklæringer, hvor bl.a. kundens økonomiske forhold gennemgås. Oplysninger, som

indhentes i forbindelse med udførelse af sådanne opgaver, vil kunne indgå i virksomhedens opfyldelse

af hvidvasklovens krav om løbende overvågning. Virksomheden skal i sådanne tilfælde notere og opbe-

vare materiale, dokumentation m.v., i overensstemmelse med hvidvasklovens krav herom.

Virksomheden skal samtidig være opmærksom på, at virksomheden skal gennemføre kundekend-

skabsprocedurer, når en kundes relevante omstændigheder ændrer sig, se afsnit 8.2.

24.2.

Noteringspligten

Henvisning til hvidvaskloven: § 25, stk. 2.

Henvisning til 4. hvidvaskdirektiv: Artikel 40.

Virksomheden skal notere og opbevare resultaterne af de undersøgelser der foretages i forbindelse

med forretningsforbindelsen eller den enkeltstående transaktion samt eventuelle oplysninger som mod-

tages fra kunden. Se afsnit 26 om opbevaringspligten.

Noteringspligten omfatter faktuelle oplysninger om kunden og transaktionen samt en konklusion af virk-

somhedens undersøgelse. Notatet skal være tilstrækkeligt til at genopfriske hukommelsen og give an-

dre, herunder andre medarbejdere og politiet, en forståelse af sagen. Det er således ikke tilstrækkeligt i

forbindelse med en undersøgelse af en transaktion eller aktivitet at notere et enkelt ord, som f.eks.

rejse eller kasino.

De noterede oplysninger kan f.eks. være:

1) Kundens forklaring med formålet for transaktionen eller aktiviteten.

2) Dokumentation for kundens forklaring.

3) Forklaring fra andre relevante medarbejdere i virksomheden, eksempelvis den kundeansvarlige.

112

Forpligtelsen til at notere resultaterne af undersøgelser gælder både undersøgelser, hvor virksomheden

underretter Hvidvasksekretariatet i SØIK og undersøgelser, hvor virksomheden har afkræftet mistanken

helt, og derfor ikke foretaget underretning.

24.3.

Begrænsning i retten til indsigt

Henvisning til hvidvaskloven: § 25, stk. 2.

Henvisning til 4. hvidvaskdirektiv: Artikel 40.

I forhold til undersøgelser har den registrerede person ikke ret til indsigt i personoplysninger, der er eller

vil blive behandlet i forbindelse med en undersøgelse ved mistanke om hvidvask og finansiering af ter-

rorisme. Det vil sige, at personens indsigtsret i virksomhedens undersøgelser efter hvidvaskloven er

afskåret både i igangværende og allerede foretagne undersøgelser. Se afsnit 31 om tavshedspligt.

25. Underretningspligt

Henvisning til hvidvaskloven: § 26, stk. 1 og 5.

Henvisning til 4. hvidvaskdirektiv: Artikel 33.

Der skal ske underretning til Hvidvasksekretariatet i SØIK, hvis virksomheden er vidende om, har mis-

tanke om eller rimelig grund til at formode, at en transaktion, midler eller aktivitet har eller har haft til-

knytning til hvidvask eller finansiering af terrorisme. Dette gælder også virksomheder omfattet af hvid-

vasklovens § 1, nr. 9, om udenlandske virksomheders filialer mv. Eksempelvis skal en underretning

vedrørende en kunde i en filial i Danmark af en udenlandsk virksomhed indgives til Hvidvasksekretaria-

tet i SØIK.

Hvidvasksekretariatet i SØIK skal underrettes omgående. Virksomheden skal således tilrettelægge be-

handlingen af mistænkelige transaktioner og aktiviteter sådan, at processen fremskyndes mest muligt.

Med processen forstås stadiet fra overvågning af kundetransaktioner, konstatering af noget mistænke-

ligt til undersøgelse og afklaring af, om mistanken kan anses for afkræftet.

Underretningspligten gælder også i forbindelse med

forsøg

på at foretage en transaktion eller ved en

henvendelse fra en potentiel kunde med ønske om gennemførelse af en transaktion eller aktivitet. Der

skal således også gives underretning om kundeforhold, der bliver afvist, hvis virksomheden vurderer, at

der er tale om forsøg på hvidvask eller finansiering af terrorisme.

Hvor der er tale om en ny potentiel kunde, skal virksomheden ikke gennemføre kundekendskabsproce-

durerne, hvis der er fare for, at kunden bliver bekendt med, at der bliver foretaget en underretning til

Hvidvasksekretariatet i SØIK. Det kan dog alligevel være muligt at identificere den pågældende på an-

det grundlag i nogle tilfælde, f.eks. på baggrund af oplysninger eller dokumenter, der er modtaget fra

den potentielle kunde.

113

Det er ikke hensigten, at den underretningspligtige skal gå ind i en nærmere strafferetlig vurdering af

forholdet. De af loven omfattede virksomheder og personer skal derimod se på, om der er forhold, der

er atypiske i forhold til normale kundeforhold, herunder om transaktionen vedrører beløbsstørrelser eller

betalingsmåder, der i den konkrete sammenhæng forekommer atypiske.

Der kan opstå situationer, hvor der ikke i forbindelse med den konkrete transaktion eller aktivitet fore-

kommer noget atypisk, men hvor virksomheden er i besiddelse af andre oplysninger, der konkret giver

anledning til mistanke alligevel.

En underretning er ikke en anmeldelse, og underretningspligten kan ikke opfyldes ved fremsendelse til

politiet. Hvis der er tale om egentlig anmeldelse af et strafbart forhold, kan der derimod ske anmeldelse

til den relevante politikreds.

Virksomheden har tavshedspligt om, at der er givet underretning, eller at dette overvejes. Det betyder,

at den registrerede person ikke har ret til indsigt i, at der er sket underretning til Hvidvasksekretariatet i

SØIK vedrørende den pågældende person. Se afsnit 31 om tavshedspligt.

Hvidvaskloven går forud for revisorlovens § 22, stk. 1.

For godkendte revisorer, finder reglerne i revisorlovens § 22, stk. 1, ikke anvendelse på forhold, der er

omfattet af hvidvaskloven.

Det bemærkes, at hvidvasklovens regler om tavshedspligt medfører, at revisorer i disse tilfælde ikke må

underrette ledelsen eller indføre underretningen i revisionsprotokollen, som foreskrevet i revisorlovens §

22, stk. 1, pkt. 1 og 2.

25.1. Overtrædelse af kontantforbuddet

Hvis en virksomheds kunde overtræder kontantforbuddet, vil det som udgangspunkt være en usædvanlig

eller mistænkelig aktivitet. Virksomheden skal derfor i sådanne tilfælde foretage en undersøgelse af ak-

tiviteten for at vurdere, om virksomheden skal underrette Hvidvasksekretariatet i SØIK. Hvis virksomhe-

den ikke kan afkræfte, at der er tale om hvidvask eller finansiering af terrorisme, skal der ske underret-

ning. Se afsnit 2.3 om kontantforbuddet.

25.2. Begrænsning i retten til indsigt

I forhold til underretninger har den registrerede person ikke ret til indsigt i personoplysninger, der er eller

vil blive behandlet i forbindelse med en underretning til Hvidvasksekretariatet i SØIK ved mistanke om

hvidvask og finansiering af terrorisme. Det vil sige, at personens indsigtsret i virksomhedens underret-

ninger efter hvidvaskloven er afskåret med hensyn til oplysninger om, at der er givet underretning eller at

dette overvejes. Se afsnit 23 om tavshedspligt.

25.3.

Undtagelse til underretningspligten

Henvisning til hvidvaskloven: § 27, stk. 2-4.

Henvisning til 4. hvidvaskdirektiv: Artikel 33.

Visse virksomheder, herunder revisorer, er i særlige tilfælde undtaget fra underretningspligten.

114

Undtagelsen gælder ikke, hvis virksomheden ved eller burde vide, at kunden søger bistand med henblik

på hvidvask eller finansiering af terrorisme.

Godkendte revisorer

Revisionsvirksomheder og revisorer, som er godkendt i henhold til revisorlovgivningen, er undtaget fra

underretningspligten i forhold til oplysninger, som de modtager fra eller indhenter om en kunde (klient),

når de repræsenterer kunden i Landsskatteretten.

Undtagelsen gælder, uanset om oplysningerne fra kunden modtages før, under eller efter sagen.

Bistand til advokater

Virksomheder som nævnt i hvidvasklovens § 1, stk. 1, nr. 14-17, herunder bl.a., godkendte revisorer,

skatterådgivere og bogholdere, er undtaget fra pligten til at underrette i samme omfang som advokater,

når de bistår en advokat før, under og efter en retssag, eller bistår advokater med at fastslå advokatens

klients retsstilling.

25.4.

Virksomhedens pligt til at undlade at gennemføre transaktioner

Henvisning til hvidvaskloven: § 26, stk. 3 og 4.

Henvisning til 4. hvidvaskdirektiv: Artikel 35.

Mistanke om hvidvask

Indtil der er sket underretning, skal virksomheden undlade at gennemføre transaktioner, hvis de har vi-

den, mistanke om eller rimelig grund til at formode, at en transaktion eller aktivitet har tilknytning til hvid-

vask. Kravet gælder kun, hvis transaktionen ikke allerede er gennemført, f.eks. ved straksoverførsler,

hvor transaktionen ofte vil være gennemført, inden virksomheden får viden eller mistanke om, at trans-

aktionen har tilknytning til hvidvask.

Figuren nedenfor illustrerer processen i forbindelse med undladelse af at gennemføre transaktioner i

tilfælde, hvor der er mistanke om hvidvask.

115

Hvis gennemførelse af transaktionen ikke kan undlades, eller hvis virksomheden vurderer, at det vil

skade efterforskningen at undlade at gennemføre transaktionen, skal virksomheden i stedet indgive un-

derretningen omgående efter gennemførelsen.

Mistanke om finansiering af terrorisme

Hvis virksomheden har viden, mistanke om eller rimelig grund til at formode, at en transaktion vedrører

finansiering af terrorisme, skal virksomheden undlade at gennemføre transaktionen, indtil virksomheden

har indhentet godkendelse fra Hvidvasksekretariatet i SØIK.

Hvidvasksekretariatet i SØIK vil hurtigst muligt beslutte, om transaktionen kan gennemføres.

Figuren nedenfor illustrerer processen i forbindelse med undladelse af at gennemføre transaktioner i

tilfælde, hvor der er mistanke om finansiering af terrorisme.

Virksomheden undlader at gennemføre

en transaktion.

De har mistanke om eller rimelig grund

til at formode, at en transaktion har

tilknytning til finansiering af terrorisme.

Virksomheden foretager en

underretning til Hvidvasksekretariatet i

SØIK.

Virksomheden spørger samtidig til

godkendelse af transaktionen.

Virksomheden kan gennemføre

transaktionen, hvis de får

Hvidvasksekretariatet i SØIKs

godkendelse

25.5.

Formkrav til underretning til Hvidvasksekretariatet i SØIK

Henvisning til hvidvaskloven: § 26, stk. 6.

Henvisning til anden lovgivning: Bekendtgørelse nr. 1403 af 1. december 2017 om indsendelse af

underretninger m.v. til Statsadvokaten for Særlig Økonomisk og International Kriminalitet.

Virksomheder skal foretage digital underretning om mistanke om hvidvask eller finansiering af terro-

risme til Hvidvasksekretariatet i SØIK.

Underretning skal som udgangspunkt ske på dansk. Hvis dette ikke er muligt, kan underretningen ske

på engelsk.

Underretning skal foretages i XML-format via

www.hvidvask.dk.

Virksomheden skal inden udløbet af

den efterfølgende bankdag kontrollere, om underretningen er accepteret eller afvist.

Ved IT-problemer, som nedbrud eller midlertidig kapacitetsnedgang, hvor hjemmesiden

www.hvid-

vask.dk

er utilgængelig 8 timer i træk i tidsrummet mellem kl. 8 og 16 på hverdage, skal underretning

ske i XML-format ved e-mail eller andet elektronisk medie efter aftale med Hvidvasksekretariatet i

116

SØIK. Dette gælder dog ikke planlagte nedlukninger med henblik på opdatering, som har været annon-

ceret forinden på hjemmesiden, og hvor annonceringens anvisninger bliver fulgt.

For nærmere information om underretningen, herunder kravene til XML-format, se Hvidvasksekretaria-

tet i SØIKs

brugervejledninger på www.hvidvask.dk

26. Opbevaringspligten

Henvisning til hvidvaskloven: § 30.

Henvisning til 4. hvidvaskdirektiv: Artikel 40-43.

Virksomheden har pligt til at opbevare følgende oplysninger:

1) Alle oplysninger indhentet i forbindelse med kundekendskabsprocedurer, herunder de indhen-

tede identitets- og kontroloplysninger og kopi af foreviste legitimationsdokumenter.

2) Dokumentation for og registreringer af transaktioner, når der er tale om en forretningsforbin-

delse eller en enkeltstående transaktion.

3) Dokumenter og registreringer i forbindelse med undersøgelses- og noteringspligten.

Virksomheden skal opbevare de pågældende oplysninger i mindst 5 år efter forretningsforbindelsens

ophør og ved enkeltstående transaktioner mindst 5 år efter transaktionens gennemførelse.

Nedenstående figurer illustrerer opbevaringspligten for henholdsvis forretningsforbindelser og enkelt-

stående transaktioner.

http://www.anklagemyndigheden.dk/da/brugervejledninger

117

Ad 1)

Ved ”identitetsoplysninger” er der tale om de faktiske oplysninger om en person eller virksomhed. Når

kunden er en fysisk person er der tale om navn og cpr-nr. De samme oplysninger skal opbevares om

reelle ejere. Når kunden er en juridisk person, skal der ske opbevaring af navn og cvr-nr. samt oplysnin-

ger om den juridiske persons ejer- og kontrolstruktur. Virksomheden kan ud fra en risikovurdering også

have indhentet yderligere identitetsoplysninger, som f.eks. oplysninger om kundens adresse.

Ved ”kontroloplysninger” er der tale om de oplysninger, som virksomheden har brugt for at kontrollere,

at identitetsoplysningerne er korrekt. Ved brug af NemID eller andre digitale signaturer med OCES-

standard eller elektroniske databaser skal virksomheden opbevare et revisionsspor, der dokumenterer,

at der er sket kontrol af den enkelte kundens identitetsoplysninger. Oplysninger om kontrollen af en juri-

disk persons ejer- og kontrolstruktur, herunder reelle ejere, skal også opbevares.

Ved ”legitimationsdokumenter” er der tale om fysiske dokumenter, som sundhedskort, pas og kørekort.

Virksomheden skal opbevare en kopi af disse dokumenter. Det er ikke tilstrækkeligt alene at notere op-

lysninger om den dokumentation, der er forevist. Kravet om en kopi af legitimationsdokumenter kan

f.eks. opfyldes ved at tage en fotokopi af dokumentet eller indscanne et billede af dokumentet.

Da alle oplysninger indhentet i forbindelse med virksomhedens kundekendskabsprocedurer skal opbe-

vares betyder det, at der skal ske opbevaring af oplysninger om forretningsforbindelsens formål og til-

sigtede beskaffenhed, midlernes oprindelse mv. samt oplysninger, virksomheden har indhentet for at

kunne risikovurdere kunden.

Virksomheden skal også opbevare andre relevante oplysninger, som f.eks. godkendelse af forretnings-

forbindelser med politisk eksponerede personer (PEP’er) og korrespondentforbindelser.

Hvis en kunde som del af sin forretningsforbindelse har delt produkt eller tjenesteydelse med en anden

kunde, f.eks. en fælles bankkonto, og forretningsforbindelsen ophører med kunden, skal virksomheden

mindst opbevare oplysningerne i fem år efter at forretningsforbindelsen er ophørt. Virksomheden er så-

ledes ikke forpligtet til at opbevare oplysninger om en forretningsforbindelse fem år efter, at forretnings-

forbindelsen med den anden kunde, som kunden har delt produkt eller tjenesteydelse med, ophører. Se

figur nedenfor.

Ad 2)

Virksomheden skal opbevare dokumentation for transaktioner og registreringer heraf, når de bliver gen-

nemført som led i en forretningsforbindelse eller som en enkeltstående transaktion.

118

Det er ikke alle dokumenter og registreringer, som virksomheden skal opbevare, men alene oplysninger

der har betydning for en konkret transaktion, det vil sige oplysninger om karakteren af og formålet med

transaktionen. Det er f.eks. dokumenter, telefonnotater mv. af ordregivende karakter samt kontoover-

sigter.

Hvis f.eks. et lånetilbud ikke udvikler sig til, at kunden optager et lån, er der ikke krav om, at tilbuddet

bliver opbevaret.

Ad 3)

Virksomheden skal opbevare dokumenter og registreringer vedrørende undersøgelser foretaget efter

kravene i hvidvaskloven, se afsnit 24 om undersøgelsespligten.

Kravet betyder, at virksomheden som minimum skal opbevare notater om undersøgelser af transaktio-

ner og aktiviteter, herunder resultatet af undersøgelsen og grundlaget for resultatet.

Det er ikke tilstrækkeligt at anføre, at der er foretaget en undersøgelse. Notatet skal indeholde oplysnin-

ger om, hvorfor og hvordan der er foretaget en undersøgelse, og hvad konklusionen er.

Sletning af personoplysninger

De personoplysninger, som virksomheden opbevarer, skal slettes, når der er gået 5 år efter forretnings-

forbindelsens ophør eller 5 år fra gennemførelsen af en enkeltstående transaktion. De pågældende per-

sonoplysninger skal herefter slettes, medmindre anden lovgivning stiller krav om, at de skal opbevares i

længere tid. Virksomheden kan fastsætte et interval for sletningen, dog må dette interval som udgangs-

punkt ikke være længere end en måned efter 5-års fristen, medmindre afgørende hensyn taler herimod.

Oplysninger om juridiske personer er ikke underlagt samme krav. Disse oplysninger skal virksomheden

som minimum opbevare i 5 år. Herefter kan de slettes. Ved oplysninger om fysiske personer, f.eks. re-

elle ejere af en juridisk person, er der tale om personoplysninger.

119

27. Grænseoverskridende virksomhed

Del 6

–

Grænseoverskridende virksomhed og sanktioner

Henvisning til hvidvaskloven: § 31.

Henvisning til 4. hvidvaskdirektiv: Artikel 45, stk. 2-3 og stk. 5.

27.1. Virksomheder, der driver virksomhed i et andet EU/EØS-land

Danske virksomheder, der driver virksomhed i et andet EU- eller EØS-land, skal sikre, at den etablerede

virksomhed overholder de regler om hvidvask og finansiering af terrorisme, som gælder i værtslandet

(etableringslandet).

En virksomhed kan drive virksomhed i andre lande ved f.eks. at etablere et datterselskab eller en filial.

Virksomhedens ansvar for at sikre, at etablerede virksomheder overholder værtslandets lovgivning gæl-

der kun etablerede virksomheder, der er omfattet af 4. hvidvaskdirektiv.

Hvis virksomheden f.eks. har etableret et datterselskab i et andet land i EU, som udelukkende varetager

HR-opgaver, it-drift eller administration af ejendomme, er bestemmelsen ikke relevant.

Det skal bemærkes, at grænseoverskridende virksomhed uden etablering (i værtslandet), ikke er omfattet

af værtslandets regler og tilsyn på hvidvaskområdet.

Virksomheden skal sikre, at den etablerede virksomhed lever op til værtslandets regler ved at sikre, at

den etablerende virksomheds politikker, procedurer og kontroller om risikostyring, kundekendskabspro-

cedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af med-

arbejdere og intern kontrol overholder de nationale bestemmelser i værtslandet.

Derudover skal virksomheden, som moderselskab, føre kontrol med den etablerede virksomheds over-

holdelse af moderselskabets politikker, procedurer og kontroller. Kontrollen skal udføres med passende

intervaller, og kan f.eks. gennemføres ved at udtage stikprøver af den etablerede virksomheds forret-

ningsforbindelser, dokumenterede kundekendskabsoplysninger, gennemgang af virksomhedens under-

retninger og/eller ved f.eks. at tage på kontrolbesøg i den etablerede virksomhed.

27.2. Hvis værtslandets regler om hvidvask og finansiering af terrorisme er lempeligere

Hvis virksomheden har etableret en virksomhed i et land, der ikke er et EU- eller EØS-land, hvis regler

om hvidvask og finansiering af terrorisme er lempeligere end de regler, der gælder i den danske hvidvas-

klov, skal den forpligtede virksomhed i Danmark sikre, at den etablerede virksomhed opfylder den danske

hvidvasklovs krav og danske krav om databeskyttelse. Dette skal dog kun overholdes i det omfang, at

det det ikke vil stride imod den nationale ret i værtslandet.

120

Hvis værtslandets regler om hvidvask og finansiering af terrorisme er strengere end

de danske

Hvis virksomheden har etableret virksomhed i et land, der ikke er et EU- eller EØS-land, hvis regler om

hvidvask og finansiering af terrorisme er skærpede i forhold til de regler, der gælder i den danske hvid-

vasklov, skal den forpligtede virksomhed i Danmark kontrollere, at den etablerede virksomhed overholder

etableringslandets regler. Da disse regler er skærpede i forhold til den danske hvidvasklov, er virksom-

heden ikke forpligtet til at foretage sig yderligere.

Virksomheden skal stadig have politikker og procedurer på koncernniveau, der skal tilpasses hele kon-

cernen. Se afsnit 5 om koncerner.

27.3.

27.4. Hvis værtslandets regler ikke tillader gennemførelse af kravene i hvidvaskloven

Hvis virksomheden har etableret en virksomhed i et land, der ikke er et EU- eller EØS-land, hvis regler

ikke muliggør gennemførelse og overholdelse af kravene i hvidvaskloven, skal virksomheden i stedet

træffer andre foranstaltninger for at sikre, at risikoen for hvidvask og finansiering af terrorisme i den etab-

lerede virksomhed imødegås på en anden måde.

En virksomhed, der er underlagt den danske hvidvasklov, skal underrette den danske tilsynsmyndighed,

som påser virksomhedens overholdelse af hvidvaskloven, om at virksomheden har etableret et dattersel-

skab eller en filial i et land, hvor det ikke er muligt at gennemføre og overholde krav svarende til kravene

i hvidvaskloven.

Virksomheden skal foretage underretningen, uanset om virksomheden har iværksat effektive foranstalt-

ninger for at imødekomme risikoen for hvidvask og finansiering af terrorisme i den etablerede virksomhed.

Tilsynsmyndigheden vil vurdere, om de iværksatte foranstaltningerne er tilstrækkelige til at risikoen er

imødekommet, eller om det er nødvendigt at iværksætte yderligere tilsynsforanstaltninger.

Virksomheden kan finde vejledning til at mitigere risici for hvidvask og finansiering af terrorisme, hvor

virksomheden har etableret en virksomhed i et land, der ikke er et EU- eller EØS-land, hvis regler ikke

muliggør gennemførelse og overholdelse af kravene i hvidvaskloven, i EBA’s tekniske standarder på

området.

27.5.

Udveksling af oplysninger om underretninger

Henvisning til hvidvaskloven: § 32.

Henvisning til 4. hvidvaskdirektiv: Artikel 45, stk. 8.

Virksomheder i en koncern, der er omfattet af hvidvaskloven, har pligt til at udveksle oplysninger om

underretninger til Hvidvasksekretariatet i SØIK til øvrige virksomheder i koncernen.

Final Report on Draft Joint Regulatory Technical Standards on the measures credit institutions and financial institutions shall take to

mitigate the risk of money

laundering and terrorist financing where a third country’s law does not permit the application of group-wide

policies and procedures:

https://esas-joint-committee.europa.eu/Publications/Reports/Final%20Re-

port%20on%20Joint%20RTS%20on%203rd%20countries.pdf

121

Pligten omfatter kun underretninger, der vedrører midler, hvor der er mistanke om, at midlerne stammer

fra udbytte fra en kriminel handling eller forbundet med finansiering af terrorisme. Virksomheden skal

derfor kun videregive oplysninger, når underretningen vedrører en kundes midler, og ikke hvis underret-

ningen vedrører en kundes øvrige aktiviteter.

Virksomheder har dog mulighed for at udveksle oplysninger inden for en koncern, når en kundes øvrige

aktiviteter mistænkes for hvidvask eller finansiering af terrorisme. Se afsnit 31.1 om undtagelser til tavs-

hedspligten.

Udvekslingen af oplysninger er begrænset til, at virksomheden skal give meddelelse om, at der er mis-

tanke om, at en kundes midler er udbytte fra en kriminel handling eller for at være forbundet med finan-

siering af terrorisme i tilfælde, hvor virksomheden har underrettet Hvidvasksekretariatet i SØIK. Udveks-

lingen af oplysninger skal kun ske til relevante modtagere. Det betyder, at det kun skal ske til virksomhe-

der i koncernen, som har samme kunde(r) og til de personer, der eksempelvis behandler mistænkelige

transaktioner i koncernen.

Den eller de virksomheder, som modtager meddelelsen herom skal på den baggrund selv vurdere og

dokumentere, om virksomheden herefter vil gennemføre skærpede kundekendskabsprocedurer.

27.5.1. Nødvendige oplysninger

Virksomheder i en koncern må ikke ved udvekslingen af oplysninger udveksle personoplysninger ud over

det, der er nødvendigt for at opfylde kravet.

Det betyder, at den virksomhed, der sender oplysningerne, skal foretage en afvejning i det konkrete til-

fælde. Afvejning skal tage udgangspunkt i, hvilke oplysninger der er nødvendige at udveksle for at over-

holde kravet. Virksomheden må aldrig sende yderligere oplysninger end de oplysninger, der er indgået i

underretningen til Hvidvasksekretariatet hos SØIK.

Oplysninger, der udveksles, kan indeholde kundens navn, adresse og cpr-nr., hvis virksomheden vurde-

rer, at det er nødvendigt. Pligten til at udveksle oplysninger giver som udgangspunkt ikke adgang til, at

virksomheden udveksler oplysninger om kundens engagement i virksomheden eller lignende oplysnin-

ger.

122

28. Forordninger om forhøjet risiko og finansielle sanktioner

Henvisning til hvidvaskloven: §§ 47, 51, 57, 60, 64, 65, 66 og bilag 3, pkt. 3 c.

Henvisning til 4. hvidvaskdirektiv: artikel 9.

Henvisning til anden lovgivning: Forordning (EU) 2016/1675 af 14. juli 2016 om identificering af højri-

sikotredjelande med strategiske mangler med senere ændringer.

Erhvervsstyrelsens vejledning om indefrysning offentliggjort den 1. maj 2008 med senere ændringer.

https://eksportkontrol.erhvervsstyrelsen.dk/vejledning-om-indefrysning.

Det følgende kapitel om forordninger om forhøjet risiko og finansielle sanktioner beskriver overordnet,

hvordan virksomheden skal overholde disse. For yderligere vejledning henvises til Erhvervsstyrelsens

hjemmeside,

www.eksportkontrol.dk,

ligesom der nedenfor henvises til Erhvervsstyrelsens vejledninger

på området.

28.1. Forordning om tredjelande med forhøjet risiko

EU-kommissionen har den 14. juli 2016 udstedt delegeret forordning (EU) 2016/1675 af 14. juli 2016 til

supplering af 4. hvidvaskdirektiv, som er ændret ved delegeret forordning EU 2018/212. Forordningen

der angiver en liste over lande, der er vurderet til at have strategiske mangler i deres internationale ord-

ning for bekæmpelse af hvidvask og finansiering

af terrorisme, herefter betegnet ”højrisikotredjelande”.

EU-kommissionen kan foreslå ændringer til listen herunder tilføje eller fjerne lande fra listen.

Forordningen er udarbejdet for at sikre effektive beskyttelsesmekanismer for hele det indre marked med

det formål at øge retssikkerheden for økonomiske aktører og berørte parter generelt i deres relationer

med tredjelande.

EU-kommissionen har i 4. hvidvaskdirektiv beføjelse til at identificere højrisikotredjelande, og forordnin-

gens liste over højrisikotredjelande fastlægges på baggrund af en vurdering af kriterier i henhold til 4.

hvidvaskdirektivs artikel 9.

Kriterierne omfatter bl.a. tredjelandes retlige og institutionelle rammer for bekæmpelse af hvidvask og

finansiering af terrorisme, herunder bl.a. foranstaltninger vedrørende kundekendskabskrav, krav om op-

bevaring af registreringer m.fl.

Virksomheder, der er omfattet af 4. hvidvaskdirektiv, bør anvende skærpede kundekendskabsprocedurer

i forbindelse med fysiske eller juridiske personer, der er etableret i et af de i forordningen oplistede højri-

sikotredjelande. Se afsnit 14 om skærpede kundekendskabsprocedurer.

I forordningens bilag følger en liste over de lande, som er vurderet til at være høj risiko.

Landene, der er opført på listen, har forpligtet sig til at afhjælpe de identificerede mangler, og de har

udarbejdet en handlingsplan herfor i fællesskab med FATF.

123

28.2. Finansielle sanktioner i FN- og EU-systemet

FNs Sikkerhedsråd vedtager de såkaldte sikkerhedsresolutioner, også kendt som UNSCRs, på bl.a. ter-

rorområdet, herunder restriktioner mod finansiering af terrorisme. Resolutionerne kan indeholde restrik-

tioner mod såvel lande som personer, grupper, juridiske enheder og organer.

Sikkerhedsresolutionerne får retsvirkning i Danmark via EU-forordninger, der gennemfører resolutio-

nerne. EU-forordningerne er direkte gældende i Danmark.

Udover sikkerhedsresolutionerne kan EU også vælge på eget initiativ at indføre sanktioner mod et land

(også kaldet autonome sanktioner), herunder finansielle sanktioner mod lande, personer, grupper, juridi-

ske enheder og organer. Dette er f.eks. tilfældet med sanktionerne mod Rusland, herunder mod russiske

juridiske enheder, hvor EU har vedtaget en forordning om restriktive foranstaltninger over for Rusland.

Alle EU-forordninger, der indeholder sanktioner, kan findes på EU's hjemmeside, på

www.sanctions-

map.eu.

De relevante forordninger på hjemmesiden vil være markeret med et ”frost-tegn”, der

betyder,

at forordningen vedrører indefrysning, og at midler ikke må stilles til rådighed for de personer, grupper,

juridiske enheder og organer, som er omfattet af indefrysningen.

Der sker jævnligt ændringer til FN’s sikkerhedsresolutioner og EU-forordningerne, særligt ændringer til

indefrysningslisterne. Det er derfor vigtigt, at virksomheden sikrer sig, at den altid anvender de opdate-

rede lister.

Hvis virksomheden vil modtage orientering direkte, hver gang EU opdaterer sanktionerne, herunder in-

defrysningslisterne, kan virksomheden tilmelde sig Erhvervsstyrelsens nyhedsmail, https://eksportkon-

trol.erhvervsstyrelsen.dk/abonner.

EU har oprettet en database, der indeholder en samlet oversigt over navnene på alle de personer, grup-

per, juridiske enheder og organer, som er omfattet af indefrysning i henhold til EU’s sanktioner. EU op-

daterer løbende databasen. På Erhvervsstyrelsens hjemmeside findes en vejledning i brug af databasen,

se https://eksportkontrol.erhvervsstyrelsen.dk/vejledning-om-indefrysning.

28.3. Screening af kunder og transaktioner

I den gamle hvidvasklov var det et krav, at virksomheden havde procedurer for screening af EU-forord-

ninger, der indeholdt finansielle sanktioner. Dette er ikke længere et krav efter den nye hvidvasklov. Virk-

somhederne skal dog stadig overholde EU-forordningerne og bl.a. sikre, at midler ikke stilles til rådighed

hverken direkte eller indirekte for de personer, grupper, juridiske enheder og organer, der står opført i

indefrysningsbilagene til forordningerne.

For at sikre at virksomheden ikke stiller midler direkte eller indirekte til rådighed for personer mv., der er

omfattet af indefrysning, skal virksomheden

screene deres kunder og transaktioner. Med ”screening”

menes, at virksomheden skal sikre, at hverken kunden eller transaktionsmodtageren, står opført i en af

EU-forordningerne.

124

Virksomheden kan holde sig opdateret via EU’s database, se

beskrivelse i afsnit 28.2 om finansielle

sanktioner i FN- og EU-systemet. Der er også flere private aktører, der udbyder en service med screening

mod diverse lister, der sikrer at alle de lister, der screenes mod, er opdaterede.

28.4. Navne- og identitetsmatch

Hvis virksomheden ved screening af kunden eller transaktionen

får et såkaldt ”match”,

hvor der f.eks. er

navnesammenfald mellem kunden eller transaktionsmodtageren og en person, gruppe, juridisk enhed

eller organ, som er omfattet af indefrysning, skal virksomheden undersøge, om der alene er tale om et

navnesammenfald eller om der også foreligger et identitetssammenfald. Ved identitetssammenfald for-

stås, at kunden eller transaktionsmodtageren er oplistet i en af forordningerne, og at der dermed ikke må

stilles midler til rådighed for denne person, gruppe, juridiske enhed eller organ.

Hvis der er tale om et identitetssammenfald, må virksomheden derfor ikke oprette konti, investere, over-

føre eller på anden måde give personen adgang til det finansielle marked. Se Erhvervsstyrelsens Vejled-

ning om indefrysning,

https://eksportkontrol.erhvervsstyrelsen.dk/sites/default/files/media/2016-01-

16_vejledning_om_indefrysning_da.pdf.

Virksomheden har pligt til at undersøge, hvorvidt der alene er navne sammenfald eller et identitetssam-

menfald. Når virksomheden har foretaget denne undersøgelse og konstateret, at kunden er oplistet i en

af EU-forordningerne om sanktioner mod ISIL og Al-Qaida, terrorisme generelt, Afghanistan, Iran, Nord-

korea og Syrien, skal virksomheden straks foretage en underretning til Hvidvasksekretariatet i SØIK med

de oplysninger, som virksomheden har om kunden. Kontakt til Hvidvasksekretariatet skal først ske, når

identitetssammenfald er konstateret.

28.5. Indirekte tilrådighedsstillelse

I mange af EU's forordninger om finansielle sanktioner er der fastsat en bestemmelse om, at ingen pen-

gemidler eller økonomiske ressourcer direkte eller indirekte må stilles til rådighed for eller være til fordel

for de fysiske eller juridiske personer, enheder eller organer, der er omfattet af indefrysning.

EU har vedtaget en vejledning om ejerskab og kontrol til brug for undersøgelse af indirekte tilrådigheds-

stillelse. Vejledningen finder du på Erhvervsstyrelsens hjemmeside.

125

29. Whistleblowerordning

Del 7

–

Ansatte og whistleblowerordning

Henvisning til hvidvaskloven: § 35.

Henvisning til 4. hvidvaskdirektiv: Artikel 61, stk. 3.

Henvisning til anden lovgivning: Lov om finansiel virksomhed § 75 a.

Virksomheder skal have en ordning, hvor virksomhedens ansatte via en særlig, uafhængig og selvstæn-

dig kanal kan indberette overtrædelser eller potentielle overtrædelser af hvidvasklovgivningen begået af

virksomheden, herunder af ansatte eller medlemmer af bestyrelsen i virksomheden. Indberetninger til

ordningen skal kunne foretages anonymt.

Efter de generelle regler i lov om finansiel virksomhed skal virksomheder, der er underlagt den finansielle

lovgivning, have en whistleblowerordning.

De virksomheder, der er omfattet af kravet om en whistleblowerordning i hvidvaskloven, er virksomheder

omfattet af hvidvasklovens § 1, stk. 1, nr. 5, 8 og 11, for så vidt angår alternative investeringsfonde og

nr. 13-20.

Kravet om, at virksomheden skal have en whistleblowerordning, omfatter dog kun virksomheder, der

beskæftiger flere end fem ansatte. Se afsnit 29.1 nedenfor om undtagelse.

At virksomheden skal have en særlig kanal betyder, at kanalen skal være oprettet med det formål, at

ansatte skal kunne indberette overtrædelser eller potentielle overtrædelser af hvidvasklovgivningen til

ordningen.

Hvis virksomheden har en whistleblowerordning i henhold til anden lovgivning, kan denne ordning også

omfatte indberetninger efter hvidvasklovgivningen. Det er ikke et krav, at virksomheden opretter en sær-

skilt whistleblowerordning for indberetning af overtrædelse efter hvidvasklovgivningen, så længe virksom-

heden sikrer, at ansatte kan foretage indberetninger af overtrædelser eller potentielle overtrædelser af

hvidvasklovgivningen via en whistleblowerordning.

Overtrædelse af anden lovgivning som f.eks. markedsføringsloven eller straffeloven (f.eks. underslæb,

bedrageri m.v.) omfattes dog ikke af bestemmelsens anvendelsesområde i hvidvaskloven.

Virksomhedens ansatte skal kunne indberette såvel alvorlige som mindre alvorlige overtrædelser eller

potentielle overtrædelser. Det kan f.eks. være tilfælde, som kun vil kunne medføre at virksomheden mod-

tager et påbud eller en påtale fra tilsynsmyndigheden.

At kanalen skal være uafhængig og selvstændig betyder, at der skal etableres en selvstændig funktion,

der er uafhængig af den daglige ledelse, og hvor indberetning kan ske uden om de normale procedurer,

126

f.eks. direkte til den afdeling eller medarbejder, som behandler indberetningerne. Dette vil eksempelvis

kunne være en complianceansvarlig.

Anonymitet

Det forhold, at indberetninger skal kunne foretages anonymt, betyder, at den, der indberetter en overtræ-

delse eller en potentiel overtrædelse, kan gøre dette fuldstændigt anonymt. Det kan f.eks. være via en

løsning på virksomhedens intranet, hvor der kan indsendes indberetninger uden angivelse af navn og

uden mulighed for sporing af computerens IP-adresse og lignende.

Indberetningerne bør som udgangspunkt alene være tilgængelige for den afdeling eller medarbejder,

som behandler indberetningerne, eksempelvis den complianceansvarlige.

Det er vigtigt at sikre, at ansatte, der anvender ordningen, kan være fuldstændig anonyme, da det kan

være svært for en ansat at beslutte at indberette en overtrædelse til virksomheden, hvis dette ikke kan

ske anonymt. En ansat kan eksempelvis være bange for at miste sit arbejde, imens andre ansatte kan

føle, at de har handlet illoyalt over for en kollega eller over for virksomheden

En overtrædelse eller en potentiel overtrædelse begået af virksomheden, herunder af ansatte eller med-

lemmer af bestyrelsen, omfatter enhver overtrædelse eller potentiel overtrædelse af virksomhedens for-

pligtelser. Det gælder også selvom en overtrædelse eller den potentiel overtrædelse ikke kun skyldes én

enkelt person, men eksempelvis skyldes en grundlæggende systemfejl i virksomheden.

Der vil derfor også kunne blive indberettet overtrædelser, der skyldes undladelser, dvs. pligter som virk-

somheder ikke opfylder.

Hvis en virksomhed eller person har valgt at outsource en del af sine opgaver til vil de ansatte i virksom-

heden også kunne indberette den eksterne virksomheds manglende efterlevelse af forpligtelser til virk-

somhedens whistleblowerordning. Ansatte hos den eksterne virksomhed vil også kunne indberette over-

trædelser til den relevante tilsynsmyndighed. Se afsnit 22 om outsourcing.

Outsourcing

En whistleblowerordning kan outsources til en ekstern leverandør, men virksomheden kan ikke fraskrive

sig sine forpligtelser efter lovgivningen, og virksomheder, der benytter sig af outsourcing, er således fort-

sat ansvarlig for, at ordningerne lever op til lovgivningens krav. Se afsnit 22 om outsourcing.

En virksomhed, som varetager, administrerer eller på anden måde håndterer en ordning på vegne af en

virksomhed, skal være opmærksom på anden særlovgivning, der kan være til hinder herfor. En sådan

ekstern virksomhed skal også være opmærksom på eventuelle lovbestemte oplysningsforpligtelser, som

virksomhederne kan være underlagt.

Ansattes, herunder direktionens, indberetning til whistleblowerordningen vil ikke være i strid med tavs-

hedspligten i § 132 i selskabsloven eller særlovgivningens tavshedsregler, herunder tavshedspligten i lov

om finansiel virksomhed. Dette gælder også i tilfælde, hvor ordningen er outsourcet til en ekstern leve-

randør.

Kollektiv overenskomst

Whistleblowerordningen kan etableres via en kollektiv overenskomst.

127

I praksis betyder dette, at arbejdsmarkedets parter efter aftale med virksomhederne har mulighed for at

etablere en ordning i f.eks. et fagforbund, hvortil ansatte i virksomheden kan indberette overtrædelser.

En whistleblowerordning, der baserer sig på en aftale mellem de forhandlingsberettigede parter, skal leve

op til kravene i § 35 stk. 1 som beskrevet lige ovenfor.

29.1. Undtagelse til whistleblowerordningen

For virksomheder, der ikke har flere end fem ansatte, er der ikke en forpligtelse i hvidvaskloven til at have

en whistleblowerordning.

Dog skal virksomheder i sådanne tilfælde være opmærksomme på, at så snart de ansætter en sjette

medarbejder, omfattes de af kravet.

Virksomheder skal etablere en whistleblowerordning senest tre måneder efter ansættelse af den sjette

ansatte. Dette er for at sikre, at virksomheder har den fornødne tid til at etablere ordningen, når virksom-

heden overskrideler grænsen på fem ansatte.

Ved opgørelsen af antallet af ansatte i virksomheden, skal der ikke sondres mellem kategorier af ansatte

i virksomheden. Det betyder, at alle ansatte, der har en ansættelseskontakt med virksomheden, herunder

eksempelvis ansatte uden direkte kundekontakt, interne administrationsmedarbejdere m.fl., skal indgå i

den samlede opgørelse af virksomhedens ansatte. Alle ansatte skal have mulighed for at anvende en

virksomheds whistleblowerordning, og alle ansatte skal indgå i den samlede opgørelse af virksomhedens

ansatte.

Bestyrelsesmedlemmer er ikke ansatte i en virksomhed, og de er derfor ikke omfattet. Rengøringsperso-

nale, der ikke er ansat af virksomheden, men af et særskilt rengøringsselskab, er heller ikke omfattet.

Ansatte i virksomheder med fem ansatte eller derunder har mulighed for at indberette overtrædelser eller

potentielle overtrædelser til den relevante tilsynsmyndigheds whistleblowerordning.

29.2.

Ansatte, der indberetter virksomheden

Henvisning til hvidvaskloven: § 36.

Henvisning til 4. hvidvaskdirektiv: Artikel 38 og 61, stk. 2, litra b.

Den ansattes indberetning omfatter bl.a. enhver anmeldelse eller meddelelse til tilsynsmyndighederne

eller til en virksomheds whistleblowerordning, som kan omhandle virksomhedens, herunder en ansats

eller et bestyrelsesmedlems, overtrædelse eller potentiel overtrædelse af hvidvaskloven og regler udstedt

i medfør heraf. Indberetning omfatter også indberetning om overtrædelse eller potentiel overtrædelse af

2. pengeoverførselsforordning og forordninger, der indeholder regler om finansielle sanktioner mod

lande, personer, grupper, juridiske enheder og organer.

Virksomheden må ikke udsætte ansatte for ufordelagtig behandling eller ufordelagtige følger som følge

af, at den ansatte har indberettet virksomhedens overtrædelse eller potentielle overtrædelse af hvidvask-

loven til en tilsynsmyndighed eller til en whistleblowerordning i virksomheden.

128

Virksomheden må ikke udsætte ansatte for ufordelagtig behandling eller ufordelagtige følger som følge

af, at den ansatte har foretaget en underretning til Hvidvasksekretariatet i SØIK, heller ikke hvis det er en

intern underretning på baggrund af en ansats mistanke om hvidvask eller finansiering af terrorisme.

Ufordelagtig behandling kan f.eks. være afskedigelse, degradering, forflyttelse, chikane eller lignende.

Som udgangspunkt er alle former for ufordelagtig behandling omfattet.

Indberetning til whistleblowerordninger etableret via en kollektiv overenskomst er også omfattet af be-

stemmelsen.

Krav om årsagssammenhæng

Det er en forudsætning for bestemmelsens anvendelsesområde:

1) at den ansatte har indberettet en overtrædelse eller en potentiel overtrædelse til tilsynsmyndig-

heden og

2) at der er årsagssammenhæng mellem den ufordelagtige behandling/følge og det forhold, at den

ansatte har indberettet en overtrædelse.

Bestemmelsen finder derfor kun anvendelse i forbindelse med ufordelagtig behandling eller ufordelagtige

følger, som besluttes, efter at den ansatte har indberettet en virksomheds overtrædelse eller potentielle

overtrædelse.

Ved en intern underretning forstås, at en ansat internt i virksomheden har underrettet f.eks. den hvid-

vaskansvarlige om en mistanke. Beskyttelsen af den ansatte gælder, uanset om den hvidvaskansvarlige

afkræfter mistanken efter en nærmere undersøgelse. Se afsnit 24 om undersøgelsespligt.

Godtgørelse til den ansatte

Hvis en ansat har indberettet og derefter oplevet en ufordelagtig behandling eller følge, kan den ansatte

få tilkendt en godtgørelse i overensstemmelse med principperne i ligebehandlingsloven. Godtgørelsen

vil blive fastsat under hensyn til den ansattes ansættelsestid og sagens omstændigheder i øvrigt, herun-

der med iagttagelse af det EU-retlige effektivitetsprincip.

Den ansatte kan ikke få ret til godtgørelse i medfør af flere forskellige regelsæt for samme hændelse. Det

samme gør sig gældende, hvis den ansatte er berettiget til en godtgørelse i henhold til overenskomster

og andre arbejdsretlige aftaler.

En ansat, der mener at have været udsat for ufordelagtig behandling eller følge som følge af, at pågæl-

dende har foretaget en indberetning om overtrædelse eller en potentiel overtrædelse, skal gøre krav på

godtgørelse gældende over for virksomheden ved de almindelige domstole.

Beskyttelsen af den ansatte i hvidvasklovens § 36 kan ikke fraviges

Kravet til virksomheden, om at virksomheden ikke må behandle en ansat ufordelagtigt på baggrund af

den ansattes indberetning, kan ikke forudgående eller efterfølgende ved aftale fraviges til ugunst for

den ansatte.

Det er muligt at indgå aftaler, der stiller den ansatte bedre end lovforslagets bestemmelser.

129

30. Ansvarsfrihed

Del 8

–

Tavshedspligt og ansvar

Henvisning til hvidvaskloven: § 37.

Henvisning til 4. hvidvaskdirektiv: Artikel 37.

Underretning til Hvidvasksekretariatet i SØIK

De underretninger og oplysninger, som virksomheder i god tro videregiver til Hvidvasksekretariatet i

SØIK i forbindelse med en underretning, medfører ikke, at en eventuel tavshedspligt overtrædes, og

påfører derfor ikke virksomhedens ansatte eller ledelse nogen form for ansvar i den forbindelse.

Den samme ansvarsfrihed gør sig gældende for standsning af transaktioner i forbindelser med under-

retninger, se afsnit 25.4 om virksomhedens pligt til at undlade at gennemføre transaktioner.

Det er i den forbindelse et krav, at virksomheden er i god tro. Virksomheden kan dermed ikke udnytte

bestemmelsen til f.eks. at standse transaktioner, hvis virksomheden er vidende om, at der ikke forelig-

ger et forhold, der er omfattet af underretningspligten.

31. Tavshedspligt

Henvisning til hvidvaskloven: § 38, stk. 1 og 8.

Henvisning til 4. hvidvaskdirektiv: Artikel 39.

Virksomheden, herunder virksomhedens ledelse og ansatte, har pligt til at hemmeligholde:

1) at der er sket underretning til Hvidvasksekretariatet i SØIK,

2) at det overvejes, om der skal gives en underretning,

3) at der er iværksat en undersøgelse eller

4) at der vil blive iværksat en undersøgelse.

Tavshedspligten omfatter kun ovenstående oplysninger. Hvis en virksomhed får mistanke om, at en an-

sat i en anden virksomhed hvidvasker udbytte fra f.eks. underslæb eller mandatsvig over for virksomhe-

den, er tavshedspligten ikke til hinder for, at den førstnævnte virksomhed kan oplyse den sidstnævnte

virksomhed om mistanken om underslæb eller mandatsvig.

Revisorer eller andre, der udfører eller har udført et særligt hverv for virksomheden, har samme pligt til

at hemmeligholde ovenstående oplysninger.

Tavshedspligten er tidsubegrænset. Det betyder, at uanset om en underretning ikke medfører, at kun-

den bliver sigtet for et kriminelt forhold, må virksomheden ikke informere kunden om, at der tidligere er

foretaget en underretning vedrørende kunden.

Tavshedspligten er ikke til hinder for, at advokater, revisorer, eksterne bogholdere og skatterådgivere

fraråder deres klient at udøve ulovlig virksomhed.

130

For så vidt angår øvrige virksomheder kan disse fraråde deres kunder at begå strafbare forhold, hvis

virksomheden vurderer, at det kan ske uden at kunden bliver klar over, at underretning er indgivet eller

vil blive indgivet.

31.1.

Undtagelser til tavshedspligten

Henvisning til hvidvaskloven: § 38, stk. 2-7.

Henvisning til 4. hvidvaskdirektiv: Artikel 39.

Videregivelse til tilsynsmyndigheder og organisationer

Virksomheden kan efter anmodning videregive oplysninger om, at der er givet underretning eller at

dette overvejes, til de myndigheder eller organisationer, der fører tilsyn med overholdelse af hvidvasklo-

ven. Det er her tale om Advokatrådet (Advokatsamfundet), Erhvervsstyrelsen, Spillemyndigheden og

Finanstilsynet.

Der er ikke tale om en generel informationspligt til tilsynsmyndigheden eller organisationen, men alene

en mulighed for at videregive oplysninger om underretninger på baggrund af en anmodning.

Videregivelse i forbindelse med retshåndhævelsesformål

Videregivelsen af oplysninger om underretninger kan også ske, hvis der er tale om retshåndhævelses-

formål. Retshåndhævelsesformål omfatter forebyggelse, efterforskning, opdagelse og retsforfølgning

af straffelovsovertrædelser og desuden beskyttelse mod og forebyggelse af trusler mod den offentlige

sikkerhed.

Videregivelse af oplysninger mellem virksomheder i samme koncern

Virksomheder i samme koncern kan videregive oplysninger om følgende:

1) At der givet underretning eller at dette overvejes.

2) At der er eller vil blive iværksat en undersøgelse.

Undtagelsen til tavshedspligten gælder for virksomheder i samme koncern, der er underlagt Finanstilsy-

nets tilsyn eller lignende virksomheder i koncernen i sådanne virksomheder med hjemsted eller som er

hjemmehørende i et EU- eller EØS-land.

Se afsnit 27.5 om virksomheders pligt til at udveksle oplysninger.

Videregivelse af oplysninger til filialer og majoritetsejede datterselskaber i tredjelande

Virksomheder kan videregive oplysninger til filialer og majoritetsejede datterselskaber beliggende i tred-

jelande om følgende:

1) At der givet underretning eller at dette overvejes.

2) At der er eller vil blive iværksat en undersøgelse.

Der er alene adgang til at udveksle oplysninger med sådanne virksomheder, hvis disse fuldt ud overhol-

der koncernens politikker og procedurer på hvidvaskområdet, herunder procedurer for udveksling af op-

lysninger i koncernen. Det er et krav, at koncernens politikker og procedurer på hvidvaskområdet opfyl-

der kravene i 4. hvidvaskdirektiv. Se afsnit 5.2 om koncernfælles risikovurdering, politikker og procedu-

rer.

131

Se afsnit 27.5 om virksomheders pligt til at udveksle oplysninger.

Videregivelse af oplysninger mellem virksomheder med samme juridiske eller organisatoriske struktur

Advokater, revisorer og revisionsvirksomheder, der er godkendt i henhold til revisorloven samt virksom-

heder, der i øvrigt erhvervsmæssigt leverer samme ydelser som de tidligere nævnte virksomhedsgrup-

per, herunder revisorer, som ikke er godkendt i henhold til revisorloven, skatterådgivere og eksterne

bogholdere, kan videregive oplysninger mellem hinanden om følgende:

1) At der givet underretning eller at dette overvejes.

2) At der er eller vil blive iværksat en undersøgelse.

For at der kan ske udveksling af oplysninger, skal virksomhederne levere deres ydelser inden for

samme juridiske enhed eller organisatoriske struktur. Det vil sige både den person, der videregiver op-

lysningerne, og den person, oplysningerne videregives til, skal have fælles ejerskab, fælles ledelse eller

fælles kontrol med overholdelse af regler om forebyggelse af hvidvask og finansiering af terrorisme.

Der kan derfor ikke ske udveksling mellem f.eks. to advokater, hvis disse ikke tilhører samme juridiske

enhed eller organisatoriske struktur. Kravet om, at personerne udøver deres virksomhed inden for

samme juridiske enhed eller organisatoriske struktur, betyder ikke, at personerne skal være arbejdsta-

gere i samme juridiske enhed eller organisatoriske struktur.

Der kan kun ske udveksling af oplysninger mellem ovenstående virksomheder, hvis de har hjemsted

eller er hjemmehørende i et EU- eller EØS-land samt i tredjelande, der opfylder kravene i 4. hvidvaskdi-

rektiv.

Videregivelse af oplysninger mellem virksomheder, der ikke er del af samme gruppe eller koncern

Videregivelse af oplysninger mellem virksomheder, der ikke er en del af samme gruppe eller koncern

mv. kan ske om følgende:

1) At der givet underretning eller at dette overvejes.

2) At der er eller vil blive iværksat en undersøgelse.

Tre betingelser skal være opfyldt, før der kan ske videregivelse:

1) oplysningerne vedrører samme kunde og samme transaktion,

2) modtageren af oplysningerne er underlagt krav til bekæmpelse af hvidvask og finansiering af

terrorisme, der svarer til kravene i 4. hvidvaskdirektiv, og

3) modtageren er underlagt forpligtelser med hensyn til tavshedspligt og beskyttelse af personop-

lysninger.

Ad 1)

Det er et krav, at kunden er kunde hos både modtageren og afsenderen af oplysningerne, og at oplys-

ningerne vedrører en transaktion, som både involverer modtageren og afsenderen. Kunden skal derfor

være en fælles kunde på tidspunktet for videregivelsen af oplysningerne.

Ad 2)

Modtageren af oplysningerne skal være underlagt krav til bekæmpelse af hvidvask og finansiering af

terrorisme, der svarer til kravene i 4. hvidvaskdirektiv. Afsenderen skal inden oplysningerne bliver vide-

regivet kontrollere, at dette er opfyldt.

132

Hvis modtageren er etableret i et EU- eller EØS-land, hvor 4. hvidvaskdirektiv er implementeret vil dette

krav være opfyldt. Er modtageren etableret uden for et EU-eller EØS-land, kan oplysninger om, hvorvidt

kravene er opfyldt, findes i f.eks. FATF’s evalueringsrapporter.

Ad 3)

Modtageren og afsenderen skal være underlagt forpligtelser med hensyn til tavshedspligt og beskyt-

telse af personoplysninger.

Der kan kun ske udveksling af oplysninger mellem virksomheder, der har hjemsted eller er hjemmehø-

rende i et EU- eller EØS-land samt i tredjelande, der opfylder kravene i 4. hvidvaskdirektiv.

Følgende virksomheder kan ikke benytte undtagelsen til tavshedspligten og videregive oplysninger mel-

lem virksomheder, der ikke er en del af samme gruppe eller koncern mv:

1) udbydere af tjenesteydelser til virksomheder,

2) udbydere af spil,

3) ejendomsmæglere, ejendomsmæglervirksomheder og virksomheder, der leverer samme ydel-

ser som ejendomsmæglere eller ejendomsmæglervirksomheder.

133

32. Pengeoverførselsforordningen

Del 9

–

Pengeoverførsler

Henvisning til del 9:

Europa-Parlamentets og Rådets forordning (EU) 2015/847 af 20. maj 2015 om oplysninger, der skal

medsendes ved pengeoverførsler, og om ophævelse af forordning (EF) nr. 1781/2006.

Henvisning til anden lovgivning: Direktiv 2015/2366 om betalingstjenester i det indre marked og om

ændring af direktiv 2002/ 65/EF og 2009/110/EF og 2013/36/EU og forordning (EU) nr. 1093/2010 og

om ophævelse af direktiv 2007/64/EF af 25. november 2015, artikel 3.

Henvisning til anden relevant vejledning: EBAs endelige retningslinjer af 16. januar 2018:

”Fælles retningslinjer i henhold til artikel 25 i forordning (EU) 2015/847

om de foranstaltninger, beta-

lingsformidlere bør træffe med henblik på at konstatere, om oplysninger om betaler eller betalings-

modtager mangler eller er ufuldstændige, og de procedurer, de bør indføre for at håndtere en pen-

geoverførsel, som mangler de krævede oplysninger”.

32.1. Baggrund

Pengeoverførselsforordningens formål er at forebygge, opdage og efterforske hvidvask og finansiering

af terrorisme. Forordningen omfatter pengeoverførsler, når mindst én af de involverede betalingsformid-

lere - dvs. virksomhederne som udfører pengeoverførslen for en kunde - er etableret i EU.

Pengeoverførselsforordningen fastsætter regler om de oplysninger om betaler og betalingsmodtager, der

skal medsendes ved pengeoverførsler, uanset valuta.

Oplysningerne skal følge med pengeoverførslen for at det er muligt at spore transaktionen tilbage til

betaleren eller frem til betalingsmodtageren.

Pengeoverførselsforordningen vedrører som udgangspunkt alle pengeoverførsler, der helt eller delvist

gennemføres elektronisk, uanset hvilket meddelelses-, betalings- eller afviklingssystem, der benyttes.

Pengeoverførsler, hvor en betaling afsendes eller modtages uden for EU er også omfattet af forordnin-

gen.

32.2.

Definitioner

Henvisning til pengeoverførselsforordningen: artikel 3.

I forordningen defineres relevante begreber. Nedenfor følger udvalgte definitioner.

Med

”betaler”

forstås en fysisk eller juridisk person, der er indehaver af en betalingskonto og som tillader

en pengeoverførsel fra denne betalingskonto, eller, hvis der ikke er nogen betalingskonto, som udsteder

en betalingsordre.

134

Med

”betalingsmodtager”

forstås en person, som er den tiltænkte modtager af pengeoverførslen.

Med

”betalingsformidler”

forstås de kategorier af udbydere af betalingstjenester, som er omfattet af artikel

1, stk. 1, i direktiv 2015/2366 om betalingstjenester i det indre marked, fysiske og juridiske personer, der

drager fordel af undtagelser i henhold til artikel 32 i direktivet og juridiske personer, der drager fordel af

undtagelser i henhold til artikel 9 i Europa-Parlamentets og Rådets direktiv 2009/110/EF (19) om adgang

til at optage og udøve virksomhed som udsteder af elektroniske penge og tilsyn med en sådan virksom-

hed, og som udbyder tjenester i form af pengeoverførsler.

Med

”mellembetalingsformidler”

forstås en betalingsformidler, som hverken er betalers eller betalings-

modtagers betalingsformidler, og som modtager og videresender en pengeoverførsel på vegne af beta-

lers eller betalingsmodtagers betalingsformidler eller på vegne af en anden mellembetalingsformidler.

Med

”betalingskonto”

forstås en betalingskonto som defineret i artikel 4, nr. 12), i direktiv 2015/2366 om

betalingstjenester i det indre marked.

Med

”midler"

forstås midler som defineret i artikel 4, nr. 25), i direktiv 2015/2366 om betalingstjenester i

det indre marked.

Med

”pengeoverførsel”

forstås en transaktion, der helt eller delvist gennemføres elektronisk på en beta-

lers vegne gennem en betalingsformidler med henblik på at stille midler til rådighed for en betalingsmod-

tager gennem en betalingsformidler, uanset om betaler og betalingsmodtager er den samme person, og

uanset om betalerens og betalingsmodtagerens betalingsformidler er den samme, herunder:

a) En kreditoverførsel som defineret i artikel 2, nr. 1), i forordning (EU) nr. 260/2012 om tekniske og

forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro.

b) En direkte debitering som defineret i artikel 2, nr. 2), i forordning (EU) nr. 260/2012 om tekniske og

forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro.

c) Pengeoverførsler som defineret i artikel 4, nr. 22), i direktiv 2015/2366 om betalingstjenester i det

indre marked, uanset om de er indenlandske eller grænseoverskridende

d) En overførsel gennemført ved hjælp af et betalingskort, et elektronisk pengeinstrument eller en mo-

biltelefon eller andet digitalt udstyr eller IT-udstyr, der anvender teknologi med forud- eller efterbeta-

ling og som har tilsvarende karakteristika om betalingskort mv.

Pengeoverførselsforordningen skelner mellem: betalers betalingsformidler, betalingsmodtagers beta-

lingsformidler og mellembetalingsformidlere. Derudover skelnes der mellem overførsler inden for og uden

for EU.

135

32.3. Indledende overblik over pengeoverførselsforordningen

Udgangspunkt

Udgangspunktet er, at der ved en pengeoverførsel skal medsendes fuldstændige oplysninger om betaler

og betalingsmodtager. Der er dog visse undtagelser til oplysningsforpligtelsen.

Undtagelser for betalingsformidlere indenfor EU

Hvis alle betalingsformidlere i relation til en pengeoverførsel er etableret inden for EU, kan der medsen-

des begrænsede oplysninger om betaler og betalingsmodtager.

Dog kan betalingsmodtagerens betalingsformidler eller mellembetalingsformidleren kræveflere oplysnin-

ger i følgende situationer:

1) Hvis pengeoverførslen er over 1.000 euro kan betalingsmodtagers betalingsformidler eller mel-

lembetalingsformidler kræve fuldstændige oplysninger.

2) Hvis pengeoverførslen er under 1.000 euro kan betalingsmodtagers betalingsformidler eller mel-

lembetalingsformidler kræve at få oplysninger om som minimum betaler og betalingsmodtagers

navn og betalingskontonummer/transaktionsindentifikator.

Undtagelser for betalingsformidlere uden for EU

Hvis en eller flere betalingsformidlere i relation til en pengeoverførsel er etableret uden for EU, gælder

der kun en undtagelse, hvis

1) pengeoverførslen er under 1.000 euro, i disse tilfælde kan medsendes begrænsede oplysninger.

Hvis pengeoverførslen derimod er over 1.000 euro gælder udgangspunktet, og der skal medsendes fuld-

stændige oplysninger.

Hvad er fuldstændige oplysninger?

1) betalerens navn,

2) betalerens betalingskontonummer (eller transaktionsidentifikator),

3) betalerens adresse, officielle personlige dokumentnummer, kunde-id-nummer eller fødselsdato

–sted,

4) betalingsmodtagerens navn, og

5) betalingsmodtagerens betalingskontonummer (eller transaktionsidentifikator).

Hvad er begrænsede oplysninger?

1) betalerens og betalingsmodtagerens betalingskontonummer, eller

2) en entydig transaktionsidentifikator, hvis de ikke har et betalingskontonummer.

Hvem skal sende oplysningerne?

Betalers betalingsformidler er forpligtet til at kontrollere og medsende de nødvendige oplysninger i for-

bindelse med en pengeoverførsel for sin kunde.

Hvem skal undersøge, om oplysningerne er tilstrækkelige?

Betalers betalingsformidler skal sikre, at der ikke er mangler i de oplysninger, som medsendes penge-

overførslen.

Betalingsmodtagers betalingsformidler og mellembetalingsformidler skal sikre, at der er medsendt de

nødvendige oplysninger med en pengeoverførsel inden en pengeoverførsel kan godkendes.

136

32.4.

Undtagelser i forordningen

Henvisning til pengeoverførselsforordningen: artikel 2.

Det følger af pengeoverførselsforordningen artikel 2, der vedrør forordningens anvendelsesområde, føl-

ger, at visse tjenester ikke er omfattet. For en udtømmende liste over undtagelser, se pengeoverførsels-

forordningen.

Direktiv 2015/2366 anfører i artikel 3, litra a) -m) og o) de tjenester, som pengeoverførselsforordningen

ikke finder anvendelse på, herunder er bl.a. oplistet:

1) Betalingstransaktioner, der udelukkende foretages kontant direkte fra betaleren til betalingsmod-

tageren uden noget mellemled.

2) Betalingstransaktioner fra betaleren til betalingsmodtageren gennem en handelsagent, som ved

aftale har tilladelse til at forhandle eller afslutte salg eller køb af varer eller tjenesteydelser på

vegne af enten kun betaleren eller kun betalingsmodtageren mv.

Se henvisning til direktivet i tekstboksen til slut i afsnittet.

Tilsvarende finder pengeoverførselsforordningen ikke anvendelse på pengeoverførsler, der foretages

ved hjælp af et betalingskort, et elektronisk pengeinstrument, en mobiltelefon eller lignende, hvis:

1) dette kort, instrument eller udstyr udelukkende anvendes til at betale for varer eller tjenesteydel-

ser,

2) nummeret på dette kort, instrument eller udstyr medsendes ved alle overførsler i forbindelse med

transaktionen.

Det betyder omvendt, at hvis en sådant kort, instrument eller lignende derimod kan benyttes til overførs-

ler, der

kan foretages ”person til person”,

ér sådanne transanktioner med kort, instrumenter og lignende

omfattet af pengeoverførselsforordningen.

Hvis virksomheden gør brug af undtagelserne i a) og b), bør virksomheden derfor have procedurer, der

kan fastslå, at en pengeoverførsel ikke er en person-til-person overførsel, men i stedet er en pengeover-

førsel, der sker som en betaling for varer eller tjenesteydelser.

Indenlandske pengeoverførsler til en betalingsmodtagers betalingskonto i forbindelse med køb af varer

og tjenesteydelser er ikke omfattet af pengeoverførselsforordningen, hvis:

1) modtagerens betalingsformidler er omfattet af hvidvaskloven,

2) denne via entydigt referencenummer kan finde frem til den juridiske eller fysiske person, som

leverer varer eller tjenesteydelser, og

3) beløbet ikke overstiger et beløb der modsvarer værdien af 1.000 euro.

137

32.5.

Betalers betalingsformidlers forpligtelser

Henvisning til pengeoverførselsforordningen: artikel 4 og 10.

Betalers betalingsformidler skal altid sikre, at der ved en pengeoverførsel medsendes oplysninger om

betaler og betalingsmodtager.

Betalers betalingsformidler bør derfor have politikker og procedurer der i forhold til betalingsformidlerens

forretningsmodel effektivt kan sikre, at betalingsformidleren efterlever pengeoverførselsforordningens

krav.

Betalers betalingsformidler skal sikre, at følgende oplysninger om betaleren medsendes:

1) Betalerens navn.

2) Betalerens betalingskontonummer.

3) Betalerens adresse, officielle personlige dokumentnummer, kunde-id-nummer eller fødselsdato

–sted.

Betalers betalingsformidler skal sikre, at følgende oplysninger om betalingsmodtager medsendes:

1) Betalingsmodtagerens navn.

2) Betalingsmodtagerens betalingskontonummer.

Hvis betaleren eller betalingsmodtageren ikke har en betalingskonto, skal betalers betalingsformidler i

stedet medsende en entydig transaktionsidentifikator, som gør det muligt at spore pengeoverførslen.

Med en ”entydig transaktionsidentifikator” forstås

en kombination af bogstaver, tal eller symboler, fastlagt

af betalingsformidleren i overensstemmelse med protokollerne for de betalings-, afviklings- og meddelel-

sessystemer, der anvendes til at foretage pengeoverførslen.

Kontrol af oplysninger om betaler

Betalers betalingsformidler skal kontrollere de oplysninger om betaler, der skal medsendes, før penge-

overførslen må gennemføres. Kontrollen skal ske ved brug af dokumenter, data eller oplysninger fra en

pålidelig og uafhængig kilde.

Betalerens identitet kan kontrolleres på samme måde, som kontrol gennemføres i henhold til hvidvasklo-

vens §§ 10 og 11, der beskriver de kundekendskabsprocedurer, som virksomheder skal gennemføre ved

nye kunder og ved etablerede kunder. Se del 3 om kundekendskabsprocedurer.

Det betyder, at betalers betalingsformidlers procedurer skal sikre, at de nødvendige oplysninger om be-

taler bliver kontrolleret og følger med pengeoverførslen fra betaler til betalingsmodtager.

Hvis der indgår en mellembetalingsformidler i pengeoverførslen, skal mellembetalingsformidleren sikre,

at de modtagne oplysninger om betaleren og om betalingsmodtageren bliver opbevaret sammen med

overførslen.

138

32.5.1. Pengeoverførsler inden for EU

Henvisning til pengeoverførselsforordningen: artikel 5.

Hvis alle betalingsformidlere, der er involveret i betalingskæden, er etableret inden for EU, kan en pen-

geoverførsel ledsages af begrænsede oplysninger om betaler og betalingsmodtager.

En sådan pengeoverførsel skal som minimum ledsages af:

1) betalerens og betalingsmodtagerens betalingskontonummer, eller

2) en entydig transaktionsidentifikator, hvis de ikke har en betalingskonto.

På trods af muligheden for, at en pengeoverførsel kan ledsages af begrænsede oplysninger, kan beta-

lingsmodtagerens betalingsformidler dog anmode om supplerende oplysninger. Hvilke supplerende op-

lysninger, som betalingsmodtagerens betalingsformidler kan anmode om, afgøres ud fra, om pengeover-

førslen er på et beløb, der overstiger 1.000 euro.

Betalingsformidlere og mellembetalingsformidlere bør have politikker og procedurer til at vurdere, om en

pengeoverførsel på under 1.000 euro hænger sammen med andre pengeoverførsler, dvs. om de er ind-

byrdes forbundne og tilsammen overstiger grænsen på 1.000 euro.

Pengeoverførsler kan f.eks. hænge sammen, hvis de henholdsvis fra og til den samme betalingskonto,

eller hvis de sendes inden for en kort periode.

Pengeoverførsel over 1.000 euro

Betalingsmodtagerens betalingsformidler kan kræve, at de fuldstændige oplysninger om betaler eller be-

talingsmodtager stilles til rådighed inden for en frist på 3 arbejdsdage, hvis pengeoverførslen er på et

beløb over 1.000 euro. Se afsnit 32.5 om forpligtelser for betalers betalingsformidler.

Pengeoverførsel under 1.000 euro

Hvis pengeoverførslen er på et beløb under 1.000 euro, kan betalingsmodtagers betalingsformidler in-

denfor en frist på 3 arbejdsdage kræve, at betalers og betalingsmodtagers navn og betalingskontonum-

mer/transaktionsidentifikator, som minimum stilles til rådighed.

I de tilfælde, hvor pengeoverførslen er under 1.000 euro, har betalers betalingsformidler som udgangs-

punkt ikke pligt til at kontrollere oplysningerne om betaler.

Betalers betalingsformidler skal dog altid kontrollere oplysningerne, hvis

1) betalerens betalingsformidler har modtaget midlerne, der skal overføres, i kontanter eller i ano-

nyme elektroniske penge, eller

2) betalerens betalingsformidler har en rimelig begrundet mistanke om hvidvask og/eller finansiering

af terrorisme.

139

32.5.2. Pengeoverførsler uden for EU

Henvisning til pengeoverførselsforordningen: artikel 6.

For pengeoverførsler til betalingsformidlere, der er etableret uden for EU, skal betalers betalingsformidler

altid medsende fuldstændige oplysninger om betaler og betalingsmodtager.

Pengeoverførsler under 1.000 euro

Kravet om, at der skal medsendes fuldstændige oplysninger gælder dog ikke, hvis pengeoverførslen ikke

overstiger 1.000 euro.

En sådan pengeoverførsel skal i stedet som minimum ledsages af begrænsede oplysninger:

1) Betaleren og betalingsmodtagerens navn.

2) Betalerens og betalingsmodtagerens betalingskontonummer eller en entydig transaktionsidenti-

fikator, hvis de ikke har en betalingskonto.

I de tilfælde, hvor pengeoverførslen er under 1.000 euro, har betalers betalingsformidler som udgangs-

punkt ikke pligt til at kontrollere oplysningerne om betaler.

Dog skal betalers betalingsformidler altid kontrollere oplysningerne, hvis

- betalerens betalingsformidler har modtaget midlerne, der skal overføres, i kontanter eller i ano-

nyme elektroniske penge, eller

- betalerens betalingsformidler har en rimeligt begrundet mistanke om hvidvask og/eller finansie-

ring af terrorisme.

Batchfiloverførsel

Hvis en enkelt betaler gennemfører en batchfiloverførsel til en betalingsmodtager uden for EU, finder

kravet om at medsende fuldstændige oplysninger om betaler og betalingsmodtager ikke anvendelse på

140

hver enkelt overførsel i batchoverførslen. I stedet er det afgørende, at batchfilen samlet indeholder de

fuldstændige oplysninger og at oplysningerne om betaler er blevet kontrolleret.

32.6.

Betalingsmodtagers betalingsformidlers forpligtelser

Henvisning til pengeoverførselsforordningen: artikel 7, 8, 9 og 10.

Betalingsmodtagers betalingsformidler skal konstatere, om der mangler oplysninger om betaler eller be-

talingsmodtager.

Betalingsmodtagers betalingsformidler er derfor forpligtet til at have effektive procedurer, der kan bruges

til at konstatere om de oplysninger, der medsendt, i det system der anvendes, er udfyldt med tegn eller

input i overensstemmelse med det anvendte system. Betalingsformidlerens procedurer bør derfor også

kunne forhindre eller standse en gennemførelse af en pengeoverførsel, hvis der ikke i forbindelse med

pengeoverførslen er anvendt tegn eller input i overensstemmelse med systemet, eller hvis oplysningerne

er meningsløse, f.eks.

hvis tegnene er tilfældige tegn som ”ABCDEFG”, eller hvis navnet ikke er angivet,

men der f.eks. i stedet kun står ”kunde”.

Effektive procedurer forudsætter ikke, at der sker en manuel gennemgang. Betalingsformidleren kan ek-

sempelvis have et system, hvori der er angivet en liste med tegn eller ord, der er meningsløse, og som

derfor skal medføre, at en overførsel ikke gennemføres eller standses, hvis der medfølger sådanne op-

lysninger.

Derudover bør betalingsmodtagers betalingsformidler have procedurer, der sikrer, at der gennemføres

efterfølgende overvågning eller realtidsovervågning, der kan bruges til at konstatere, om der mangler

oplysninger om betaler eller betalingsmodtager, f.eks. om der er opgivet betaler og betalingsmodtagers

betalingskontonummer eller en entydig transaktionsidentifikator.

Procedurerne for overvågningen skal være proportionale i forhold til betalingsformidlerens forretnings-

model og risici for hvidvask og finansiering af terrorisme, som forretningsmodellen er eksponeret for.

141

Betalingsformidleren kan også foretage regelmæssige stikprøver af pengeoverførsler, der er blevet gen-

nemført, for at vurdere, om procedurerne er effektive.

Ved en direkte debiteringsopkrævning

Det er som udgangspunkt betalers betalingsmodtager, der skal medsende de nødvendige oplysninger

med en pengeoverførsel, men hvis pengeoverførslen sker som en direkte debitering, er det betalings-

modtagerens betalingsformidler, der bør sende de nødvendige oplysninger om betaler og betalingsmod-

tager til betalerens betalingsformidler som en del af den direkte debiteringsopkrævning.

Pengeoverførsler over 1.000 euro

Ved pengeoverførsler på over 1.000 euro, h skal betalingsmodtagers betalingsformidler, uanset om pen-

geoverførslen modtages som en eller flere sammenhængende overførsler, altid kontrollere, om de med-

sendte oplysninger om betalingsmodtageren er korrekte, før betalingsmodtageren krediteres midlerne

eller får dem stillet til rådighed. Kontrollen skal foretages på grundlag af uafhængige og pålidelige doku-

menter. Bemærk at kontrollen af betalingsmodtagerens oplysninger allerede bør være foretaget i forbin-

delse med betalingsformidlerens gennemførelse af kundekendskabsprocedurer på betalingsmodtageren.

Se del 3 om kundekendskabsprocedurer.

Pengeoverførsler under 1.000 euro:

Betalingsmodtagerens betalingsformidler er som udgangspunkt ikke forpligtet til at kontrollere oplysnin-

gerne om betalingsmodtageren i henhold til pengeoverførselsforordningen, hvis pengeoverførslen eller

flere sammenhængende pengeoverførsler ikke overstiger et beløb på 1.000 euro. Se afsnit 32.5.1 ved-

rørende en beskrivelse af, hvornår pengeoverførsler er sammenhængende.

Betalingsmodtagers betalingsformidler har dog altid pligt til at kontrollere oplysningerne, hvis:

1) betalerens betalingsformidler har modtaget midlerne, der skal overføres, i kontanter eller i ano-

nyme elektroniske penge, eller

2) betalerens betalingsformidler har en rimelig begrundet mistanke om hvidvask og/eller finansiering

af terrorisme.

Manglende eller ufuldstændige oplysninger

Betalingsmodtagerens betalingsformidler skal have risikobaserede procedurer til at fastslå, hvorvidt en

pengeoverførsel, hvor der mangler oplysninger eller hvor der er medsendt ufuldstændige oplysninger,

skal afvises, suspenderes, eller om der skal træffes andre foranstaltninger.

I tilfælde, hvor betalingsmodtagerens betalingsformidler bliver bekendt med, at en pengeoverførsel

mangler oplysninger, eller hvor oplysningerne er ufuldstændige, skal betalingsformidleren afvise over-

førslen eller bede om de manglende oplysninger.

Hvis en betalers betalingsformidler gentagne gange ikke sender de nødvendige oplysninger eller sender

ufuldstændige oplysninger med en pengeoverførsel, skal betalingsmodtagers betalingsformidler træffe

foranstaltninger i form af udsendelse af advarsler og fastsættelse af frister for at modtage oplysninger og

herefter tage stilling til, om fremtidige pengeoverførsler fra den pågældende betalingsformidler skal be-

grænses eller afvises.

142

Betalingsmodtagerens betalingsformidler indberetter undladelsen og de trufne foranstaltninger til den re-

levante tilsynsmyndighed, som fører tilsyn med den pågældende virksomheds overholdelse af hvidvask-

loven.

32.7.

Mellembetalingsformidlers forpligtelser

Henvisning til pengeoverførselsforordningen: artikel 10, 11, 12 og 13.

Mellembetalingsformidler skal sikre, at samtlige oplysninger, der medsendes en pengeoverførsel, opbe-

vares sammen med overførslen.

Mellembetalingsformidler skal, ligesom betalingsmodtagers betalingsformidler, have effektive procedurer

til:

1) at konstatere om de oplysninger, der medsendt i det system, der anvendes, er udfyldt med tegn

eller input i overensstemmelse med det anvendte system,

2) at sikre, at de modtagne oplysninger, der er medsendt, opbevares sammen med overførslen og

3) at sikre, at der gennemføres efterfølgende overvågning eller realtidsovervågning, der kan bruges

til at konstatere, om der mangler oplysninger om betaler eller betalingsmodtager.

Se afsnit 32.6 om betalingsmodtagers betalingsformidler.

Der gælder de samme regler for mellembetalingsformidler ved pengeoverførsler, hvor betaler eller beta-

lingsmodtagers betalingsformidler er etableret uden for EU og for batchfiloverførsler, se afsnit 32.5.2.

143

Bilag 1

Eksempel på en proces til udarbejdelse af en risikovurdering

Eksemplet er ikke bindende. Det er derfor frit for virksomheder og personer, som er omfattet

af hvidvaskloven, hvordan de udarbejder en risikovurdering.

Nedenstående eksempel viser trin, som en virksomhed eller person (i det følgende

virksomhed)

kan følge

i udarbejdelsen af virksomhedens risikovurdering. Det er dog vigtigt, at den enkelte virksomhed selv do-

kumenterer, hvordan den har vurderet sine risici, og at virksomheden selv beslutter hvilke tiltag, der skal

iværksættes som følge af risikovurderingen.

1) Indsamling af intern og ekstern data til vurdering af de forskellige risikofaktorområder

a) Virksomheden skal dokumentere/begrunde sine vurderinger i interne oplysninger og i eks-

terne relevante risikovurderinger, rapporter, vejledninger mv.

2) Identificer de iboende risici i virksomhedens forretningsmodel

a) Hvilke risici er der for, at virksomheden kan misbruges til hvidvask og finansiering af terro-

risme i forhold til blandt andet følgende risikofaktorer:

i. kunder

ii. produkter, tjenesteydelser og transaktioner

iii. leveringskanaler

iv. lande og geografiske områder

3) Vurder størrelsen og karakteren af de iboende risici

–

eksempelvis ved at vægte dem ud fra en

fastsat skala

a) Dette kan f.eks. ske ved at foretage en vurdering af sandsynligheden for misbrug og konse-

kvensen af misbrug placeret i en skala, der vægter om den konkrete risiko er begrænset,

mellem eller høj i forhold til sandsynlighed og konsekvens.

b) Vægtningen kan ske individuelt for hver risikofaktor, så virksomheden kan se, hvor risiciene

er størst.

4) Resultat af risiciene i virksomhedens risikofaktorer

a) Virksomheden kan konkludere på risikoniveauet for hver af de under punkt 2 oplistede risiko-

faktorer, f.eks. ved at udregne en score for hver risikofaktor.

144