Ny hvidvaskningslov træder i kraft den 27 juni 2017

Erhvervs- og vækstministeren har fremsat et forslag til en ny hvidvaskningslov, som vil træde i kraft den 27. juni 2017. Loven vil ændre reguleringen fra at være regelbaseret til mere risikobaseret. Dette vil medføre en række ændringer og stiller krav til virksomheder i forhold til kundekendskabsprocedurer og whistleblowerordning.

Fra regelbaseret til risikobaseret

Tidligere har de af hvidvaskningsloven omfattede virksomheder skullet være opmærksomme på kunders aktiviteter, herunder om kundernes aktiviteter kunne have særlig tilknytning til terrorisme eller hvidvaskning. Med den nye lovgivning vil virksomheder og personer omfattet af loven i større omfang skulle kigge ind ad og vurdere og identificere risikoen for, at de selv bliver misbrugt.

Det betyder, at virksomheder og personer omfattet af loven skal foretage en risikovurdering af de risikoelementer, der er forbundet med deres kunder, produkter, tjenesteydelser, transaktioner samt leveringskanaler og afsætningslande eller geografiske afsætningsområder.

Risikovurderingen skal dokumenteres og løbende opdateres. For at sikre effektiv risikostyring er det et krav, at virksomheder og personer omfattet af loven har sikret sig, at deres ansatte har modtaget tilstrækkelig undervisning i, hvordan kravene til loven opfyldes. Ændringerne i loven pålægger derfor også ledelsen et større ansvar i at sikre, at lovens regler overholdes.

Altid kundekendskabsprocedurer

En stor del af risikostyringen omfatter kundekendskabsprocedurer, som skal gennemføres i henhold til den nye lov.  

En kundekendskabsprocedure har tidligere bestået i, at kunder legitimerede sig over for virksomheden, men med den nye lov skal virksomheden i stedet gennemføre en risikovurdering af selve kundeforholdet og ikke kun kunden.

Med den nye lov bliver det et krav, at virksomheden eller personen omfattet af loven skal indhente kundens identitetsoplysninger og kontrollerer disse på grundlag af dokumenter og data samt gennemføre rimelige foranstaltninger for at klarlægge kundens ejers identitet. Dette skal som udgangspunkt udføres inden, der etableres en forretningsforbindelse. I forhold til tidligere, hvor legitimationsproceduren i praksis ofte blev foretaget samtidigt med etableringen af en forretningsforbindelse, indebærer ændringen til en "kundekendskabsprocedure” en forpligtelse til under hele kundeforholdet – også efter etablering af forretningsforbindelsen – løbende at gennemføre en risikovurdering af kundeforholdet.  

Virksomheder og personer omfattet af loven skal kunne godtgøre, at kendskabet til kunden er tilstrækkeligt. Kravet varierer dog i forhold til forretningsforbindelsens formål, omfang, regelmæssighed og varighed, og kravet kan helt frafalde ved enkeltstående aktiviteter, der ikke omfatter en transaktion.

Undersøgelse-, noterings-, underretnings- og opbevaringspligt

Hensigten med den nye bestemmelse er, at virksomheder og personer omfattet af loven skal have procedurer og systemer, der gør det muligt at identificere transaktioner med tilknytning til hvidvaskning eller finansiering af terrorisme.

Som udgangspunkt skal alle komplekse og usædvanligt store transaktioner samt usædvanlige transaktionsmønstre undersøges. Undersøgelsen skal ske med henblik på at fastslå, om der er mistanke eller rimelig grund til at formode, at transaktionerne har tilknytning til hvidvaskning eller finansiering af terrorisme. Så snart der blot er mistanke om, at en transaktion, midler eller aktivitet har haft tilknytning til hvidvask eller finansiering af terrorisme, skal SØK kontaktes omgående.

Der er et generelt krav til, at oplysninger skal noteres ned og opbevares. Virksomheder og personer omfattet af loven skal opbevare oplysninger indhentet i forbindelse med opfyldelse af kravene til kundekendskabsprocedurer, dokumentation for registreringer af transaktioner, der er gennemført som led i en forretningsforbindelse, eller enkeltstående transaktioner.

Opbevaring af oplysninger kan f.eks. bestå i at opbevare kopi af et pas, som er anvendt til kontrol af kundens identitetsoplysninger tidligere.

Oplysninger skal fortsat opbevares 5 år, men det er ikke længere tilladt at opbevare oplysninger om fysiske personer i mere end 5 år fra kundeforholdets ophør. Oplysningerne skal derfor slettes straks efter de 5 år.

Pligt til whistleblowerordning

Som noget nyt er det et krav, at virksomheder med mindst 6 ansatte skal oprette en whistleblowerordning, hvor deres ansatte kan indberette overtrædelser eller potentielle overtrædelser af hvidvaskningsloven til en særlig uafhængig kanal. Kanalen skal være godkendt af Datatilsynet og være oprettet med det formål, at ansatte som minimum skal kunne indberette overtrædelser eller potentielle overtrædelser af den finansielle regulering til ordningen.

At kanalen skal være uafhængig og selvstændig betyder, at der skal etableres en funktion uafhængig af den daglige ledelse. Det kan f.eks. i stedet være en medarbejder, der behandler indberetningerne. Kanalen skal sikre, at ansatte, som indberetter, forbliver anonyme.

Whistleblowerordningen kan etableres via en kollektiv overenskomst, som betyder, at arbejdsmarkedets parter efter aftale med virksomhederne har mulighed for at etablere en ordning i f.eks. et fagforbund, hvortil ansatte i virksomheden kan indberette overtrædelser.

Ansatte, der har indberettet virksomheden eller personens overtrædelse eller potentielle overtrædelse, må ikke udsættes for ufordelagtige behandling pga. af indberetningen. Ufordelagtig behandling er ikke kun afskedigelse men også f.eks. degradering, forflyttelse, chikane eller lignende.

Strafferetlige konsekvenser ved overtrædelse

Overtrædelse af hvidvaskningsloven straffes med bøde. Ved særligt grove eller forsætlige overtrædelser kan virksomheden eller personen omfattet af loven straffes med fængsel i op til 6 måneder.