Erhvervsudvalget 2020-21
ERU Alm.del Bilag 375
Offentligt
2420457_0001.png
Indenrigs- og Boligudvalget 2020-21
BOU Alm.del - Bilag 152
Offentligt
Folketingets Indenrigs- og boligudvalg
ERHVERVSMINISTEREN
21. juni 2021
Jeg oplyste i forbindelse med min besvarelse af SOU samrådsspørgsmål
AF vedr. misbrug af identitetsoplysninger (NemID), at jeg havde bedt Fi-
nanstilsynet om at gå i dialog med Finans Danmark, så det sikres, at ban-
kerne er fuldt ud opmærksomme på denne forpligtelse og vejleder deres
kunder, hvis de oplever identitetstyveri, og der for eksempel bliver optaget
lån i deres navn.
Finanstilsynet har afholdt møde med Forbrugerrådet TÆNK, Finans Dan-
mark/LOPI, Finans & Leasing, og Danske Kreditråd, samt indhentet skrift-
lige besvarelser fra organisationerne på en række spørgsmål.
Vedlagt fremsender jeg til udvalgets orientering Finanstilsynets afrappor-
tering fra denne dialog.
ERHVERVSMINISTERIET
Slotsholmsgade 10-12
1216 København K
Tlf.
33 92 33 50
Fax.
33 12 37 78
CVR-nr. 10092485
EAN nr. 5798000026001
[email protected]
www.em.dk
Med venlig hilsen
Simon Kollerup
ERU, Alm.del - 2020-21 - Bilag 375: Kopi af Afrapportering fra dialogmøde vedr. misbrug af identitetsoplysninger, fra erhvervsministeren
2420457_0002.png
Indenrigs- og Boligudvalget 2020-21
BOU Alm.del - Bilag 152
Offentligt
Finanstilsynet
15. juni 2021
J.nr. 0050-0009
/AAF
Afrapportering fra dialogmøde vedr. misbrug af
identitetsoplysninger (NemID)
1. Baggrund
På samrådet i Social- og Indenrigsudvalget den 27. august 2020 om misbrug
af NemID lovede erhvervsministeren, at Finanstilsynet ville foranledige en di-
alog med relevante organisationer om, hvordan de finansielle virksomheder
rådgiver og vejleder kunder i forbindelse med misbrug af identitetsoplysnin-
ger, herunder NemID, således som virksomhederne er forpligtet til i henhold
til reglerne om god skik.
På den baggrund afholdte Finanstilsynet den 30. oktober 2020 et dialogmøde
med: Finans Danmark, Lokale Pengeinstitutter (LOPI), Finans & Leasing,
Dansk Kredit Råd (DKR), Forbrugerrådet TÆNK og Forbrugerombudsman-
den.
Der er efter dialogmødet indhentet skriftlige bidrag fra de respektive organi-
sationer, herunder oplysninger om, hvordan medlemsvirksomheder i de en-
kelte organisationer håndterer misbrugssituationer, der falder
uden
for lov om
betalinger, samt de situationer, hvor kunden selv har handlet uagtsomt/skø-
desløst.
Finanstilsynet har modtaget besvarelser fra Forbrugerrådet TÆNK, Finans
Danmark/LOPI, Finans & Leasing, og Danske Kreditråd. Endvidere har MAP
Group
1
af egen drift indsendt et bidrag.
2. God skik
Reglerne om god skik følger af § 43 i lov om finansiel virksomhed og regler
udstedt i medfør heraf, og gælder bl.a. for pengeinstitutter. Der er i andre love
fastsat tilsvarende regler for andre udlånsvirksomheder, bl.a. forbrugslåns-
virksomheder og ejendomskreditselskaber.
ERU, Alm.del - 2020-21 - Bilag 375: Kopi af Afrapportering fra dialogmøde vedr. misbrug af identitetsoplysninger, fra erhvervsministeren
2420457_0003.png
2/5
Ifølge reglerne om god skik, skal finansielle virksomheder drive deres virk-
somhed i overensstemmelse med redelig forretningsskik og god praksis in-
denfor virksomhedsområdet. Kravet er begrundet i hensynet til forbrugerne
og skal sikre, at kunder i finansielle virksomheder kan have tillid til de finan-
sielle markeder og de finansielle virksomheder. Finansielle virksomheder skal
således handle redeligt og loyalt over for sine kunder med henblik på at be-
skytte deres interesser.
God skik er en dynamisk norm, som afspejler den gældende samfundsopfat-
telse af sund og rimelig erhvervsudøvelse.
Reglerne om god skik tilsiger, at de finansielle virksomheder skal rådgive sine
kunder, hvorved forstås anbefalinger, vejledninger, herunder oplysninger om
risici forbundet med en disposition, og oplysninger om umiddelbare konse-
kvenser af kundens valgmuligheder. Det betyder, at et pengeinstitut er for-
pligtet til at oplyse kunder, der gør indsigelse om identitetstyveri, om de civil-
retlige regler, der gælder for dette område, og om mulighederne for at få en
indsigelse om, at man på grund af identitetstyveri ikke er bundet af eksempel-
vis en låneaftale prøvet.
Derimod rummer god skik ikke en forpligtelse for de finansielle virksomheder
til at fungere som kundens rådgiver i den pågældende misbrugssituation.
3. Håndtering af sager og forebyggelse af misbrug
Dialogen med organisationerne illustrerer, at de finansielle virksomheder al-
lerede i dag er bevidste om forpligtelsen til at vejlede deres kunder. De rele-
vante virksomheder har således en række processer, der har til formål at
hjælpe kunder, der gør indsigelse om misbrug af deres identitetsoplysninger,
ligesom virksomhederne også arbejder med forebyggelse af misbrug.
Håndtering af indsigelser om misbrug
Finans Danmark/LOPI har oplyst, at trods et begrænset antal sager om iden-
titetstyveri yder pengeinstitutter vejledning til kunder, der gør indsigelse om
misbrug, ligesom de opfordres til at rette henvendelse til politiet og eventuelt
en advokat. Lånesager kan afhængig af sagens omstændigheder sættes i
bero. I disse tilfælde spærres NemID og eventuelle kompromitterede beta-
lingsinstrumenter, ligesom kunden vejledes om forholdsregler (f.eks. kredit-
advarsel og generelle sikkerhedsråd). Sagen anmeldes til politiet af enten
pengeinstituttet, kunden eller begge parter alt efter sagens omstændigheder.
DKR har oplyst, at kunder, der gør gældende, at de har været udsat for mis-
brug af identifikationsoplysninger, bliver bedt om at redegøre skriftligt for for-
løbet og vedlægge relevant dokumentation, herunder politianmeldelse. Med-
lemsvirksomhederne suspenderer videre sagsskridt, indtil forholdet er endelig
afklaret eller evt. strafferetlig forfølgning er tilendebragt. Endvidere slettes evt.
ERU, Alm.del - 2020-21 - Bilag 375: Kopi af Afrapportering fra dialogmøde vedr. misbrug af identitetsoplysninger, fra erhvervsministeren
2420457_0004.png
3/5
registrering i RKI Experian eller tilsvarende i det øjeblik, kunden gør indsi-
gelse. Medlemsvirksomhederne har i vid udstrækning udarbejdet særlige
”service levels” for
deres håndtering af denne proces, som også finder anven-
delse i de tilfælde, hvor fordringen er sendt til ekstern inkasso.
Finans & Leasing har oplyst, at medlemsvirksomhederne indledningsvist un-
dersøger, om der reelt er tale om en misbrugssituation ved at stille krav om
politianmeldelse og en række spørgsmål til de nærmere omstændigheder i
sagen, herunder kundens opbevaring/håndtering af NemID, omfang af mis-
brug m.v. På den baggrund træffes der afgørelse om, hvorvidt kravet mod
kunden skal fastholdes. Såfremt indsigelsen godtages, bliver lånet afskrevet
som tab, og der foretages politianmeldelse af forholdet.
En lang række medlemsvirksomheder hjælper endvidere kunden med:
At spærre NemID.
Registrering af kreditadvarsel.
at logge på skat.dk for at se ”Oversigt over hændelser” hvor det vil
fremgå hvilke selskaber, offerets skatteoplysninger er blevet delt med.
Det vil give offereret mulighed for straks at kontakte øvrige banker/fi-
nansieringsselskaber hvor identiteten er forsøgt misbrugt, og få brem-
set eventuelle lån.
Opfordring til at undersøge om kundens NemKonto er blevet flyttet,
og i så fald til at kontakte den bank, hvortil NemKonto er flyttet.
Opfordring til at tjekke Kreditstatus for overblik.
Endvidere hjælper enkelte medlemsvirksomheder også kunden med oplys-
ning om, hvilken konto, et kontantlån er udbetalt til.
Forebyggelse af misbrug
Finans Danmark/LOPI har oplyst, at der kontinuerligt arbejdes på sikkerhe-
den, herunder i antisvindel løsninger. Både hos Finans Danmark og med-
lemsvirksomheder er der et løbende fokus på vejledning og kommunikation
til kunderne for at forebygge misbrug af identitetsoplysninger.
Finans Danmark/LOPI arbejder for at styrke samarbejdet i sektoren om ud-
vekslingen af oplysninger, der kan forhindre misbrug, kriminalitet og hvidvask
til gavn for sektoren og samfundet. Visse pengeinstitutter advarer også via
forskellige kanaler (f.eks. instituttets hjemmeside, sociale medier og brevud-
sendelser) om forskellige former for svindel, herunder identitetstyveri.
Der vurderes at være en række lovgivningsmæssige udfordringer i relation til
at kunne indsamle yderligere data og udveksle disse på tværs af pengeinsti-
tutterne/datacentralerne med det formål at bekæmpe misbrug. Det drejer sig
særligt om samspillet mellem og mulighederne i GDPR, videregivelses-/tavs-
hedspligt bestemmelserne i lov om finansiel virksomhed og den kommende
ERU, Alm.del - 2020-21 - Bilag 375: Kopi af Afrapportering fra dialogmøde vedr. misbrug af identitetsoplysninger, fra erhvervsministeren
2420457_0005.png
4/5
MitID-lovs bestemmelser om dataansvar og behandling af personoplysninger.
Finans Danmark/LOPI arbejder på et løsningsforslag med en potentiel fælles
platform til udveksling af MitID-oplysninger med det formål at forebygge svin-
del relateret til identitetstyveri.
DKR oplyser, at forebyggelse løbende drøftes på medlemsmøder og i DKR’s
bestyrelse. DKR deltager aktivt i fora for antisvindel som f.eks. Politiets
gruppe hos LCIK
FIT (forum mod IT-relateret økonomisk kriminalitet) samt
i eSkat brugerforum. Endvidere sker der løbende erfaringsdeling med med-
lemsvirksomhederne samt fokus på relevant retspraksis.
Finans & Leasing oplyser, at have nedsat en antisvindelgruppe, der mødes
hvert halve år og som drøfter seneste udviklinger og tendenser indenfor svin-
del, samt udveksler erfaringer med antisvindel tiltag. Endvidere har største-
delen af medlemsvirksomhederne
”antisvindel”-personale,
der arbejder med
at forebygge svindel samt diverse manuelle og automatiserede værn og pro-
cesser mod svindel.
Finans og Leasing har sammen med Experian udviklet it-systemet Kreditsta-
tus, som også kan anvendes af kunder til at tjekke, om der mod kundens vilje
(f.eks. pga. ID-tyveri) er optaget lån hos de tilsluttede selskaber. Kreditstatus
bruges også af gældsrådgivere mv. til at få overblik over kundens gæld hos
de tilsluttede selskaber.
4. Finanstilsynets vurdering
Som nævnt ovenfor tilsiger reglerne om god skik, at de finansielle virksom-
hede skal handle redeligt og loyalt overfor sine kunder, og at de finansielle
virksomheder skal bistå sine kunder med rådgivning, hvor det er relevant eller
hvis kunden anmoder herom.
Reglerne bevirker, at en udlånsvirksomhed er forpligtet til at oplyse kunder,
der gør indsigelse om identitetstyveri, om de civilretlige regler, der gælder for
dette område, og om mulighederne for at få en indsigelse prøvet. Henset til
kompleksiteten i disse sager er udlånsvirksomhederne derimod ikke forpligtet
til konkret at rådgive den enkelte kunde, der har været udsat for et identitets-
tyveri om, hvordan vedkommende skal forholde sig eller virke som en rådgiver
i det videre forløb.
Finanstilsynet kan på baggrund af dialogen med interessenterne konkludere,
at organisationerne og deres medlemsvirksomheder i høj grad er opmærk-
somme på deres vejledningsforpligtelse. Finanstilsynet vurderer således, at
udlånsvirksomheder allerede i dag har fokus på at hjælpe kunder, der har
været udsat for misbrug af deres identitetsoplysninger. Med forskellige varia-
tioner rådes kunderne således f.eks. til at spærre deres NemID, får bistand
med at anmelde forholdet til politiet, registrere kreditadvarsel på www.bor-
ger.dk, samt bliver opfordret til at logge på www.skat.dk
for at se ”Oversigt
ERU, Alm.del - 2020-21 - Bilag 375: Kopi af Afrapportering fra dialogmøde vedr. misbrug af identitetsoplysninger, fra erhvervsministeren
5/5
over hændelser”,
og til at undersøge om deres NemKonto er blevet flyttet, og
i så fald til at kontakte den bank, hvortil NemKonto er flyttet.
Finanstilsynet noterer sig i den forbindelse, at misbrugssituationerne primært
sker i de lånevirksomheder, hvor adgangen til lån overvejende er digital og
hurtigt effektueret. Det vurderes dog samtidig, at lånevirksomhederne har stor
fokus på at efterleve de identifikationskrav, der gælder efter hvidvaskreglerne.
Finanstilsynet har også noteret sig, at interessenterne vurderer, at denne
slags misbrugssager ikke er hyppigt forekommende. Trods dette er de alvor-
lige, fordi de medfører en vanskelig situation og stort besvær for den foruret-
tede forbruger.
I dialogen med Finanstilsynet har interessenterne endvidere peget på en
række forhold, hvor de vurderer, at der med fordel kan foretages forbedringer
af de sikkerhedsmæssige elementer ved den nuværende NemID/NemKonto-
ordning og den vejledning/hjælp, de forurettede forbrugere har behov for.
De sikkerhedsmæssige aspekter ved NemID/NemKonto henhører under Di-
gitaliseringsstyrelsen, hvorfor dette arbejde falder uden under Finanstilsynets
opgaver som tilsynsvirksomhed i forhold til pengeinstitutter og udlånsvirksom-
heder. De modtagne forslag er derfor oversendt til Digitaliseringsstyrelsen.
Ligeledes har interessenterne peget på en række lovgivningsmæssige udfor-
dringer i relation til at kunne indsamle yderligere data og udveksle disse på
tværs af interessenterne med det formål at bekæmpe misbrug. Forslagene
fordrer en dialog med Datatilsynet som ansvarlig myndighed på databeskyt-
telsesområdet, som Finanstilsynet vil foranledige.
Forbrugerrådet TÆNK har fremhævet, at forbrugerne ofte finder det uover-
skueligt at få det fulde overblik af misbruget, og at vide, hvad der konkret skal
foretages i sådanne situationer. På den baggrund finder man det hensigts-
mæssigt i højere grad at bistå forbrugere med, hvad der gøres i denne slags
sager. Finanstilsynet har i relation hertil noteret, at Finansministeren i sin be-
svarelse af SOU samrådsspørgsmål L har oplyst, at regeringen vil oprette en
”hotline”, der kan kontaktes 365
dage om året, så man kan søge om hjælp og
vejledning, hvis man har været udsat for digital identitetstyveri.