Hvidvaskloven § 8

§ 25, stk. 1 og 4, i den gældende hvidvasklov, § 34 i bekendtgørelse nr. 67 af 25. januar 2012 om onlinekasino samt § 54 i bekendtgørelse nr. 466 af 19. maj 2016 om landbaserede kasinoer stiller krav om udarbejdelse af tilstrækkelige skriftlige interne regler, interne uddannelses- og instruktionsprogrammer samt at virksomheder og personer skal sørge for, at deres ansatte er bekendt med de pligter, som fremgår af den nugældende hvidvasklov.

Den foreslåede § 8 omhandler krav til udarbejdelse af skriftlige politikker, procedurer og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol. Politikker, procedurer og kontroller skal udarbejdes med udgangspunkt i risikovurderingen foretaget i henhold til forslaget til § 7, stk. 1. Lovforslagets § 8 fastsætter endvidere, at politikker, kontroller og procedurer, som er udarbejdet i henhold til forslaget til bestemmelsens stk. 1, skal godkendes af den i § 7, stk. 2, udpegede person, samt at virksomheder, der i anden lovgivning er forpligtet til at have en compliance-funktion, skal udpege en compliance-ansvarlig. Har en virksomhed en uafhængig revisionsfunktion, skal denne yderligere sikre virksomhedens overholdelse af de udarbejdede politikker, procedurer og kontroller. Det foreslås endvidere, at virksomheder, hvor dette vurderes relevant, skal udpege et medlem af bestyrelsen, der er ansvarlig for virksomhedens gennemførelse af kravene i denne lov og regler udstedt i medfør heraf. Endeligt foreslås, at virksomheder og personer skal sikre, at ledelse og ansatte har modtaget tilstrækkelig undervisning i kravene i denne lov samt relevante krav om databeskyttelse.

Bestemmelsen viderefører kravene i § 25, stk. 1, i den gældende hvidvasklov om skriftlige regler og ledelseskontrol, dog med en række indholdsmæssige ændringer, som afspejler kravene i 4. hvidvaskdirektiv. Som noget nyt foreslås det, at der skal udarbejdes politikker. Der foretages endvidere en redaktionel ændring, hvorefter kravet i § 25, stk. 1, i den gældende hvidvasklov om ”skriftlige interne regler” erstattes af et krav om skriftlige procedurer. De forslåede krav om screeningsprocedurer, compliance-funktion og uafhængig revisionsfunktion er nye krav. Herudover er kravet om, at ansatte, herunder ledelsen, skal modtage undervisning en nyaffatning af de tidligere forpligtelser i relation hertil. Endeligt stilles der som noget nyt krav om undervisning i databeskyttelse. Der henvises til afsnit 3.4.2. i de almindelige bemærkninger.

Bestemmelsen gennemfører artikel 8 og 46, stk. 1, i 4. hvidvaskdirektiv.

Der foreslås i stk. 1, 1. pkt., at virksomheden eller personen skal have tilstrækkelige skriftlige politikker, procedurer og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Forslaget gennemfører artikel 8, stk. 3 og 4, i 4. hvidvaskdirektiv.

At politikker, procedurer og kontroller skal være ”skriftlige”, indebærer ikke, at disse skal foreligge i papirform. De kan lagres digitalt. Skriftlighedskravet indebærer, at politikker, procedurer og kontroller skal være dokumenterede, hvilket både kan ske skriftligt og også f.eks. i form af videoer eller lignende.

Politikker, procedurer og kontroller skal være udarbejdet med henblik på anvendelse i den pågældende virksomhed eller af den pågældende person. Der kan derfor kun i meget begrænset omfang anvendes f.eks. standardpolitikker, -procedurer og -kontroller udarbejdet af en brancheorganisation. Dette vil dog kunne være relevant i tilfælde, hvor risikoforholdene er enkle, og hvor der som følge heraf i den pågældende branche anses at være en klar forståelse heraf. Ved brug af standarder skal virksomheden eller personen dog altid sikre, at disse kan anvendes til styring af risici i forbindelse med pågældendes udbud af produkter. Dette betyder f.eks., at det skal sikres, at alle produkter og kundetyper er afspejlet i standarden.

Det foreslåede krav om en politik indebærer, at virksomheden eller personen skal fastsætte de overordnede strategiske mål i relation til forebyggelse af hvidvask og finansiering af terrorisme med udgangspunkt i risikovurderingen i den foreslåede § 7. Politikken skal indeholde identifikation og afgrænsning af de risici, som virksomheden ønsker at påtage sig på de pågældende områder, og anvisninger på, hvorledes de strategiske mål opnås.

En politik for risikostyring udgør det overordnede grundlag for strategisk og operationel risikostyring. En risikostyringspolitik fastsætter blandt andet formål, risikoområder, ansvarsfordeling, risikovillighed samt den organisatoriske forankring af risikoledelse og -styring.

Virksomheder og personer skal yderligere have procedurer. Ved procedurer forstås en beskrivelse af de aktiviteter, der skal udføres, herunder at sikre, at lovgivningen og anden relevant regulering samt de af virksomhedens ledelse besluttede politikker og retningslinjer efterleves og overholdes. Med formuleringen præciseres, at det ikke er nok blot at indarbejde afskrift af lovens bestemmelser. Procedurerne skal tage udgangspunkt i virksomhedens forretningsmodel og særlige forhold og på en klar og tydelig måde beskrive, hvordan netop denne virksomhed skal overholde reglerne. En procedure skal indeholde en beskrivelse af forretningsområdet, dets ansvarsplacering, herunder hvem der er ansvarlig for udførelse af de enkelte opgaver, og hvorledes disse skal udføres. Procedurer skal være lettilgængelige og overskuelige for de ansatte.

Det foreslåede krav om kontrol indebærer, at en virksomhed eller person skal foretage kontrol af, om virksomheden eller personen overholder lovens krav. For virksomheder, der har en compliance-funktion, skal kontrol både udføres i virksomhedens drift og også af compliance-funktionen, jf. det foreslåede stk. 3. For andre virksomheder eller personer skal det fastlægges, hvordan kontrollen udføres. For at der kan være tale om kontrol, skal der dog være en vis uafhængighed mellem den, der foretager kontrollen, og den, der kontrolleres. I små virksomheder er det tilstrækkeligt, at den direkte leder kontrollerer den ansatte, mens det kan være hensigtsmæssigt i større virksomheder, at kontrollen foretages af en anden afdeling end i den udførende.

Kontrolforanstaltningerne skal være beskrevet, og foretagne kontroller skal dokumenteres. Kontroller skal foretages med en passende hyppighed på områderne risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt og opbevaring af oplysninger. Ydermere ligger der i kravet om intern kontrol, at der også skal foretages kontrol af, om kontrollerne foretages.

Det foreslås yderligere, at virksomheder og personer skal have screeningsprocedurer i relation til deres medarbejdere. Dette kan blandt andet indebære, at en virksomhed inden ansættelsen af en person sikrer, at denne ikke er dømt for et strafbart forhold, der begrunder en nærliggende fare for misbrug af den pågældendes stilling, ligesom det sikres, at virksomheden bliver bekendt med, såfremt medarbejdere dømmes for et sådant forhold i løbet af deres ansættelse. Der kan anlægges en risikovurdering, alt efter hvilken funktion en ansat skal varetage i virksomheden. Det vil f.eks. ikke være aktuelt for personer, der ikke varetager funktioner, der sikrer opfyldelse af denne lov. For personer, som ansættes i en stilling, hvor denne direkte eller indirekte kan misbruge stillingen til hvidvask eller finansiering af terrorisme, vil det altid være relevant med en nærmere undersøgelse af personen inden ansættelsen.

Virksomheder og personer skal samtidigt sikre, at ansatte har tilstrækkelige kvalifikationer til at varetage stillingen. Dette kan dog ske gennem uddannelse efter ansættelsen.

Sikring mod, at en person misbruger en stilling, skal yderligere indarbejdes i virksomhedernes procedurer og interne kontroller og tages højde for ved udarbejdelse af disse.

Det foreslås i stk. 1, 2, pkt., at politikker, kontroller og procedurer skal udarbejdes med udgangspunkt i risikovurderingen foretaget efter forslaget til § 7 under hensyntagen til virksomhedens størrelse. Den foreslåede bestemmelse medfører, at kravene til politikker, procedurer og kontroller afhænger af virksomhedens eller personens risikoprofil i relation til hvidvask og finansiering af terrorisme. Politikker, procedurer og kontroller skal derudover udmøntes under hensyn til virksomhedens størrelse og art. Virksomheder og personer, der i henhold til § 7, stk. 3, er fritaget for at udarbejde en individuel risikovurdering, er ikke undtaget fra at udarbejde politikker, procedurer og kontroller efter denne bestemmelse. Politikker, procedurer og kontroller skal afspejle den risikovurdering, der skal udarbejdes i henhold til forslaget til § 7, stk. 1. Ved ændring af virksomhedens eller personens risikovurdering skal det overvejes, om der skal ske ændringer af virksomhedens eller personens politikker, procedurer og kontroller for at sikre, at lovgivningens krav overholdes. På samme måde skal det undersøges, om der skal ske ændringer i politikker, procedurer og kontroller ved ændringer i reguleringen på området.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. Ansvarssubjekterne for overtrædelse af § 8, stk. 1, er virksomheder og personer omfattet af § 1, stk. 1, og den strafbare handling består i ikke at have tilstrækkelige skriftlige politikker, procedurer og kontroller. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der ikke har udarbejdet procedurer for intern kontrol af virksomhedens kundekendskabsprocedurer.

Det foreslås i stk. 2, at personer udnævnt i henhold til § 7, stk. 2, skal godkende politikker, procedurer og kontroller, der er udarbejdet i henhold til stk. 1. Der henvises til forslaget til § 7, stk. 2, samt bemærkningerne hertil, hvoraf bl.a. følger, at den person, som er udpeget i henhold til § 7, stk. 2, skal have et tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering til at kunne træffe beslutninger, der kan påvirke virksomhedens risikoeksponering. Forslaget om, at der skal ske godkendelse af den i henhold til § 7, stk. 2, foreslåede person, er ikke til hinder for, at den endelige godkendelse af politikker, procedurer og kontroller sker af virksomhedens bestyrelse. Hensigten med godkendelsen af den person, som er udpeget i henhold til § 7, stk. 2, er at sikre, at politikkerne, kontrollerne og procedurerne er godkendt af en person med indgående kendskab til området for hvidvask og terrorfinansiering.

I tilfælde, hvor en virksomhed eller person ikke er pålagt krav om at udpege en person i henhold til § 7, stk. 2, er der i det foreslåede stk. 2 ikke noget krav om, at der skal ske godkendelse af en udpeget person.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. Ansvarssubjekterne for overtrædelse af § 8, stk. 2, er virksomheder omfattet af § 1, stk. 1, nr. 1-8, 10, 11 og 19, og den strafbare handling består i, at den af virksomheden udpegede person ikke har godkendt skriftlige politikker, kontroller og procedurer. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, hvor virksomhedens procedurer for underretningspligt ikke er godkendt af den i § 7, stk. 2, udpegede person.

Det foreslås i stk. 3, at den daglige ledelse i virksomheder, som er omfattet af § 1, stk. 1, nr. 1-7, og som i henhold til anden lovgivning er forpligtet til at have en compliance funktion, skal udpege en compliance-ansvarlig på ledelsesniveau, der skal kontrollere og vurdere, om procedurerne i henhold til stk. 1, og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive. Om kravene til en compliance-funktion henvises til bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl. og bekendtgørelse nr. 1723 af 16. december 2015 om ledelse og styring af forsikringsselskaber m.v.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. Ansvarssubjekterne for overtrædelse af § 8, stk. 3, er virksomheder, som er omfattet af § 1, stk. 1, nr. 1-7, og den strafbare handling består i ikke at have udpeget en compliance-ansvarlig på ledelsesniveau, der skal sikre, at virksomheden overholder hvidvaskloven og regler udstedt i medfør heraf, hvis virksomheden i anden lovgivning er forpligtet til at have en compliance-funktion. Et eksempel på overtrædelse af bestemmelsen er et pengeinstitut, der har udpeget en ansat uden ledelsesansvar som compliance-ansvarlig.

Det foreslås i stk. 4, at bestyrelser i virksomheder, som er omfattet af § 1, stk. 1, nr. 1-7, og som har en intern revision, skal sikre, at den interne revision vurderer, hvorvidt virksomhedens politikker, procedurer og kontroller, jf. kravene i denne lov og regler udstedt i medfør heraf, er tilrettelagt og fungerer på betryggende vis. Hvis en virksomhed har etableret en intern revision, skal denne dermed også varetage revision med kravene i denne lov og regler udstedt i medfør heraf. Om kravene til intern revision henvises til bekendtgørelse nr. 1912 af 22. december 2015 om revisionens gennemførelse i finansielle virksomheder m.v. samt finansielle koncerner.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. Ansvarssubjekterne for overtrædelse af § 8, stk. 4, er virksomheder omfattet af § 1, stk. 1, nr. 1-7, og den strafbare handling består i, at virksomheden ikke har sikret, at en etableret uafhængig revisionsfunktion undersøger virksomhedens overholdelse af skriftlige politikker, procedurer og kontroller. Et eksempel på overtrædelse af bestemmelsen er et pengeinstitut, hvor bestyrelsen i pengeinstituttet ikke har sikret, at funktionsbeskrivelsen for den interne revision indeholder bestemmelser om, at den interne revision skal sikre virksomhedens overholdelse af skriftlige politikker, procedurer og kontroller.

Det foreslås i stk. 5, at virksomheder, hvor det vurderes relevant, skal udpege et medlem af bestyrelsen, der er ansvarlig for virksomhedens gennemførelse af kravene i denne lov og regler udstedt i medfør heraf. Bestemmelsen gennemfører artikel 46, stk. 4, i 4. hvidvaskdirektiv. I det omfang virksomheden udpeger et medlem af bestyrelsen, der er ansvarlig for virksomhedens gennemførelse af kravene i henhold til hvidvasklovgivningen, vil denne person få en særlig forpligtelse til at sikre, at virksomheden efterlever reglerne.

En bestyrelse udgør det øverste ledelsesorgan i en virksomhed og har det endelige ansvar for dennes drift, herunder at virksomheden drives forsvarligt og i overensstemmelse med gældende lovgivning. Det overordnede ansvar for, at virksomheden overholder reglerne på hvidvaskområdet, påhviler således som hidtil bestyrelsen som et kollektivt organ. De øvrige bestyrelsesmedlemmer har ligeledes som hidtil hver især et ansvar for at sikre, at virksomheden efterlever hvidvasklovgivningen. Det betyder, at virksomhedens udpegning af et bestyrelsesmedlem i medfør af det foreslåede stk. 5 ikke fritager den samlede bestyrelse fra det overordnede ansvar for, at virksomheden lever op til hvidvasklovgivningen. Tilsvarende skal de øvrige bestyrelsesmedlemmer fortsat medvirke til at sikre virksomhedens efterlevelse af hvidvasklovgivningen.

Det foreslås i stk. 6, at virksomheden og personen skal sikre, at ansatte, herunder ledelsen, har modtaget tilstrækkelig undervisning i kravene i denne lov, regler udstedt i medfør heraf samt relevante krav om databeskyttelse. For så vidt angår kravene til databeskyttelse henvises til den foreslåede § 16 og § 25, stk. 3. Henset til bestemmelsens krav om tilstrækkelig undervisning i relevante krav om databeskyttelse kan det efter omstændighederne være nødvendigt, at ansatte undervises i de til enhver tid gældende databeskyttelsesregler, som ligger ud over de områder inden for databeskyttelse, som følger af dette lovforslag. Forslaget gennemfører artikel 46, stk. 1, i 4. hvidvaskdirektiv.

Det vil ikke være tilstrækkeligt til opfyldelse af bestemmelsen, at skriftlige politikker og procedurer udleveres og gennemgås med de ansatte, da det foreslåede krav omfatter alle lovens bestemmelser og regler udstedt i medfør heraf dog således, at der alene stilles krav om undervisning inden for de for de enkelte medarbejdergruppers relevante arbejdsområder.

Dette kræver, at der er tilstrækkelige undervisningsprogrammer, og at virksomheden har tilstrækkelige procedurer og kontroller med henblik på sikring af, at undervisningen gennemføres i forhold til de medarbejdere, der har med behandling af kundeforhold at gøre.

Undervisningen skal sikre, at virksomhedens relevante medarbejdere, herunder nyansatte, til stadighed har et betryggende kendskab til de pligter, der gælder på hvidvaskområdet, og virksomhedens procedurer på hvidvaskområdet, og hvilken betydning kravene har for den enkelte medarbejder i det job, som han eller hun skal bestride.

For medarbejdere, der er beskæftiget i særlige forretningsområder, f.eks. værdipapirhandel, import-eksportfinansiering og grænseoverskridende korrespondentforbindelser, skal undervisningen være tilpasset disse medarbejderes særlige funktioner, herunder med fremhævelse af de indikatorer på hvidvask eller finansiering af terrorisme, der kunne tænkes at forekomme på disse særlige områder. Det er, jf. ovenfor, ikke et krav, at der sker undervisning inden for områder, der ikke er relevante for den eller de pågældende medarbejdere. F.eks. behøver en medarbejder, der alene etablerer forretningsforbindelser med fysiske kunder, ikke at blive undervist i de krav, som gælder ved etablering af korrespondentforbindelser.

Det, at undervisning skal være tilstrækkelig, betyder, at medarbejderen efterfølgende skal kunne varetage sin jobfunktion på fuldt forsvarlig måde i overensstemmelse med lovgivningens krav. Der vil derfor ikke være tale om tilstrækkelig undervisning, hvis undervisningen alene gennemgår lovgivningens krav, men denne ikke er relateret til f.eks. virksomheden eller personens produktudbud, kundetyper m.v., hvorefter den pågældende medarbejder ikke modtager redskaber til at udføre sin arbejdsfunktion.

Et krav om tilstrækkelig undervisning indebærer desuden et krav om efteruddannelse med passende intervaller og som minimum ved opdatering af virksomhedens procedurer, hvor dette har betydning for den pågældende medarbejders arbejdsfunktion.

Med bestemmelsen følger ikke et krav om undervisning af medarbejdere, der ikke på nogen måde varetager funktioner, der relaterer sig til hvidvask eller terrorfinansiering. Det vil derfor med den foreslåede bestemmelse ikke være nødvendigt at undervise kantinepersonale eller lignende.

For så vidt angår undervisning af ledelsen, ligger der heri ikke et generelt krav om undervisning af hele virksomhedsledelsen men på samme måde som ved medarbejderne et krav om, at den del af en virksomheds ledelse, der beskæftiger sig med hvidvask og terrorfinansiering, herunder virksomhedens daglige ledelse og øverste ledelse, har modtaget tilstrækkelig undervisning på området til at kunne varetage deres ledelsesopgaver. Ledelsen skal også efteruddannes med passende intervaller.

Virksomheder og personer skal stille krav om og sikre, at medarbejderne rent faktisk deltager i undervisningen.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. Ansvarssubjekterne for overtrædelse af § 8, stk. 6, er virksomheder og personer omfattet af § 1, stk. 1, og den strafbare handling består i utilstrækkelig undervisning af ledelse og ansatte i kravene, som er fastsat i hvidvaskloven, regler udstedt i medfør heraf samt relevante krav om databeskyttelse. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der ikke har undervist de medarbejdere, der udfører virksomhedens kundekendskabsprocedurer.

Der henvises i øvrigt til afsnit 3.4. i de almindelige bemærkninger.