1. Indledning
Den nye hvidvasklov blev vedtaget af Folketinget i juni og trådte i kraft den 26. juni 2017. Loven implementerer 4. hvidvaskdirektiv fra EU og gennemfører Financial Action Task Forces anbefalinger og er et led i kampen mod hvidvask og terrorfinansiering sammen med indførelsen af det reelle ejerregister og flere andre tiltag.

De væsentligste ændringer gennemgås nedenfor.


2. Fra regelbaseret til risikobaseret regulering
Indsatsen på hvidvask og terrorbekæmpelsesområdet skal være mere målrettet og effektiv og basere sig på en mere risikobaseret tilgang. Der skal være fleksibilitet og mulighed for at fokusere på de forretningsområder og kundeforhold, hvor risikoen er størst. Man skal demonstrere, at man har overblik over, hvilke risici der kan være ved den konkrete virksomhed, og at man forholder sig konkret på sagsniveau.

Der stilles større krav til individuel vurdering og håndtering af risici i den specifikke virksomhed, hvilket gør, at tilgangen til anti-hvidvask behandling skal være mere konkret og følges løbende.

3.Definitionen for Politisk Eksponerede Personer (PEP) udvides
Definitionen inkluderes nu i selve loven og udvides til også at omfatte politisk eksponerede personer bosiddende i Danmark. Derudover omfattes medlemmer af politiske partiers styrelsesorgan. Lokal- og regionsrådspolitikere samt medlemmer af lokale politiske organer omfattes fortsat ikke.


4. Risikostyring og risikovurdering
En risikovurdering skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurdering af risici, der er forbundet med kunder, produkter og tjenesteydelser, transaktioner samt leveringskanaler og geografiske områder. Risikovurderingen skal dokumenteres og løbende opdateres.

Der skal være tilstrækkelige politikker, procedurer og kontroller, som skal omfatte blandt andet kundekendskabsprocedurer, undersøgelses- noterings- og underretningspligt, opbevaring af oplysninger og intern kontrol samt screeningsprocedurer, der sikrer høje standarder ved ansættelse af personale.

Ledelse og ansatte skal modtage tilstrækkelig undervisning i kravene i hvidvaskningsloven samt relevante krav om databeskyttelse.


5. Kundens identitetsoplysninger
Kravene ændres, så det ikke længere er et krav at indhente kundens adresse. Navn og CPR-nr. på privatpersoner og CVR-nr. på virksomheder skal dog altid indhentes og gemmes.

Disse identitetsoplysninger skal kontrolleres, men det er ikke længere et krav, at der skal gemmes kopi af pas/kørekort etc. Kontrol kan ske via an uafhængig og pålidelig kilde. Det samme gælder for reel ejer. Værdien af kopi af identifikationsdokumenter ”nedgraderes” i den nye lov, med baggrund i at oplysningerne stammer direkte fra kunden/reel jer, og dermed ikke kommer direkte via en uafhængig og pålidelig kilde, men kan være forfalsket, udløbet etc. Det såkaldte ”legitimationskrav” ændres dermed til et ”kontrolkrav”.

Opslag i CPR og CVR vil opfylde krav til kontrol ved lavrisiko.

Begrebet ”lejlighedskunde” afskaffes og i stedet indføres begrebet ”en enkeltstående transaktion”. Finanstilsynet har bekræftet, at man ikke kan betragte kunder, som kun har en enkelt leasingaftale som en enkeltstående transaktion. Identifikation af kunde og reel ejer samt kontrol af identitetsoplysningerne skal således foretages for samtlige aftaler.


6. Skærpede krav til kundekendskabsprocedurer
Loven indeholder en oversigt over situationer, der indeholder en øget risiko for hvidvask eller terrorfinansiering. Her skal der være skærpede krav til kundekendskabsproceduren herunder kontrol af kundens identitet ved flere kilder, indhentelse af yderligere oplysninger om kunden herunder oplysninger om, hvorfra kundens midler oprinder, og at der etableres øget overvågning af kundeforholdet.


7. Lempede krav til kundekendskabsprocedurer
Loven indeholder nu en oversigt over ikke-udtømmende faktorer som kendetegner situationer, der potentielt indebærer en begrænset risiko for hvidvask eller terrorfinansiering.

Lempede kundekendskabsprocedurer betyder ikke, at indholdet af de almindelige kundekendskabsprocedurer helt kan fraviges. Lempede kundekendskabsprocedurer betyder alene, at kundekendskabsprocedurerne kan udføres i mindre omfattende grad, f.eks. at der alene sker kontrol af identitetsoplysninger ved en enkelt uafhængig og pålidelig kulde, eksempelvis CPR-registret eller at tidspunktet for indhentning af oplysning om formål og omfang udskydes til et senere tidspunkt i kundeforholdet.


8. Personoplysninger – information og opbevaring
Identitets- og kontroloplysninger skal opbevares i mindst 5 år efter kundeforholdes ophør. Personoplysninger skal slettes 5 år efter kundeforholdes ophør. Dokumenter og registreringer vedrørende transaktioner eller aktiviteter, der gennemføres som led i kundeforholdet skal opbevares i mindst 5 år efter transaktionens eller aktivitetens gennemførelse. Personoplysninger i disse skal slettes 5 år efter transaktionens eller aktivitetens gennemførelse.

Det bliver endvidere et krav at kunden, hvis det er en privatperson (enkeltmandsvirksomhed), inden etablering eller gennemførelse af transaktionen informeres om de regler der gælder for behandling af personoplysninger. Reelle ejere omfattes som udgangspunkt ikke af informationspligten. Informationen kan gives i generelle vilkår.


9. SG Finans´ tiltag
SG Finans har siden hvidvaskloven kom i høring i sommeren 2016 arbejdet med aktivt med implementeringen af loven og bidraget med input under lovgivningsprocessen. SG Finans har en klar strategi for, hvordan vi modvirker risikoen for at SG Finans´ produkter anvendes til hvidvask og terrorfinansiering. Vi ønsker at basere vores strategi på en risikovurdering, som løbende vurderes. Vi ønsker bl.a. at fokusere på automatiserede KYC processer, der sikrer indledende screening og løbende overvågning af kundeporteføljen.

SG Finans har derfor implementeret nye procedurer og kontroller, der understøtter strategien, og vi arbejder målrettet på at give en god kundeoplevelse ved at udnytte egne og offentlige oplysninger i digitale løsninger med høj sikkerhed. Derudover sikrer interne procedurer og uddannelse af alle medarbejdere har fokus på området.