<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Personvernforordningen og hvitvaskingsloven. Godzilla vs King Kong?

 

Photo_R_RGB_HK_D4_3819

Hvis du jobber med compliance i Finansnæringen, må du ha hatt et friår for å bo sammen med en isolert stamme i det indre av Brasil eller tilbrakt et år på en forskningsstasjon i Antarktis hvis du ikke har fått med deg den nye personvernforordningen (GDPR) og kravene som settes til etterlevelse. Forordningen har et stort ris bak speilet; en bot på opp til 20 millioner euro eller 4% av global brutto omsetning ved manglende etterlevelse. Men nå ser det ut til at den får “konkurranse” fra hvitvaskingsloven. Lovforslaget, som kom i februar 2018, har et foreslått bøtenivå på 44 millioner, riktignok i norske kroner, men med en omsetningsgrense på 10% av brutto global omsetning. Har complianceavdelingen fått et prioriteringsproblem?

You win some, you loose some

Forslaget til ny hvitvaskingslov kan gjøre livet litt lettere for den hvitvaskingsansvarlige, men også litt vanskeligere.

Lettelsen består i at loven gir det juridiske grunnlaget for å behandle personopplysninger, også særlige kategorier av personopplysninger. Den gir også grunnlag for å oppbevare informasjon om kunder og transaksjoner i fem år etter at transaksjonen har funnet sted.

Men - lovforslaget inneholder også et pålegg om å «ha systemer som muliggjør raske og fullstendige svar på forespørsler fra Økokrim, tilsynsmyndigheten eller andre offentlige myndigheter om vedkommende har eller i løpet av de siste fem år har hatt kundeforhold til konkrete personer og om kundeforholdets art». Dette kan være svært krevende, særlig hos banker som har kompliserte konfigurasjoner med hensyn på systemer, produkter og konsernstrukturer. I tillegg er det mange banker og finansinstitusjoner som ikke har registrert denne informasjonen hos ganske store kundegrupper, særlig kunder som er registrert for mange år siden.

Lovforslaget innebærer slett ikke noe generelt unntak fra personvernforordningen. Det vil fremdeles stilles strenge krav til dataminimering og at opplysninger som oppbevares skal være nødvendige for formålet som virksomheten har et rettslig grunnlag for å behandle. Andre personvernregler gjelder også, som eksempelvis sikker behandling, sletterutiner og at personer skal enkelt få innsyn i hvilke opplysninger som behandles om en og hvordan behandlingen skjer.

Failing to plan is planning to fail

Dersom du er complianceansvarlig i en bank eller en organisasjon som på en annen måte er rapporteringspliktig i henhold til hvitvaskingsloven, bør du allerede nå forberede deg. Du trenger en plan. 

En detaljert kartlegging av personopplysninger som behandles bør inngå som en del av arbeidet med å implementere nytt personvernregelverk i virksomheten. 

Bruk av personopplysninger for å avdekke hvitvasking eller annen økonomisk kriminalitet er i denne sammenheng et eget formål. Opplysninger bør kartlegges i forhold til om de er nødvendige for å gjennomføre identifikasjon og undersøkelse av mistenkelige transaksjoner. Dette er ganske omfattende, det inkluderer informasjon for alle tiltak som er spesifisert i loven. Men også data utover dette kan bli omfattet. Data som tidligere har falt inn under det som har vært definert som transaksjonsdata kan være omfattet, for eksempel e-poster til og fra kundesenter eller data fra chat dersom dette er tilbudt som en kommunikasjonskanal. Dersom disse dataene er er nødvendige for å avkrefte eller bekrefte mistanke knyttet til avvikende transaksjon skal de oppbevares. 

Raskt og fullstendig

Det er en potensiell utfordring i kravet til å kunne være istand til å skaffe informasjon “raskt og fullstendig” om «kundeforhold til konkrete personer og kundeforholdets art». Det vil her komme forskrifter som inneholder flere detaljer. Men rapporteringspliktige bør allerede nå identifisere om det er systemutfordringer i å fremskaffe «fullstendige» data «raskt».

Gamle synder blir som nye

Ny hvitvaskingslov tydeliggjør en ting; rapporteringspliktige må sørge for å ha fullstendig oversikt over opplysninger om alle kunder, også kunder som har vært registrert lenge. Pålegget om utlevering gjelder alle kunder, ikke bare de kunder som er rapportert til Økokrim. Det vil sannsynligvis innebære at flere banker må gjennomføre betydelig re-legitimering og innhenting av opplysninger om kundeforholdet. Det kan være en krevende oppgave. Men den gode nyheten her er at det finnes analytiske produkter og løsninger som kan automatisere deler av dette arbeidet. 

Banken bør gå opp egne retningslinjer og rutiner. Særlig bør rutiner ivareta:

  • Hvilke opplysninger som kan utleveres til kunder. Rapporteringspliktige må særlig påse at de ikke gis ut informasjon som kan «avsløre» at en MT- melding har blitt sendt.
  • Hvordan banken responderer og samler inn data ved en forespørsel fra Økokrim eller «andre myndigheter».

Mer oversikt

En klar konsekvens av både personvernforordningen og nytt forslag til hvitvaskingslov er at det kreves mer oversikt. Det må identifiseres hvilke data som skal brukes i undersøkelser og deteksjonssystemer, og dette må begrunnes. Det forventes at organisasjoner har oversikt over prosesser, data, rapporteringslinjer og rutiner. Og har svar tilgjengelig ikke bare til enkeltkunder, men til et tilsynsmyndigheter, inkludert Datatilsynet og Økokrim. 

Nyttige lenker;

Interesseområder: Personvern, GDPR, Antihvitvask

Dele artikkelen:

Henning Gravklev

Henning Gravklev
Jeg heter Henning Gravklev og er direktør i PwCs Granskingsenhet. For det meste arbeider jeg med tilretteleggelse av programmer for compliance og svindeldeteksjon.Jeg hjelper kunder å etterleve komplekse regelverk og risikofelt på en riktig og effektiv måte. Jeg har 20 års erfaring med operasjonell risiko, og har lang erfaring med oppsett av systemer for å fange opp svindel, anti-hvitvasking, terrorfinansiering og sanksjonsbrudd. I tillegg til å jobbet i finansforetak har jeg også jobbet som leverandør av deteksjonssystemer og i betalingsindustrien. Før PwC jobbet jeg i DNB, KPMG, Experian Decision Analytics, SEB, Europay og MasterCard International. Jeg har jobbet store deler av min karriere utenfor Norge. Jeg er samfunnsøkonom fra Universitetet i Oslo, med fordypelse i økonometri og med internasjonal rett som sidefag. Jeg har også tilleggsfag fra London School of Economics. Anti- hvitvasking og svindeldeteksjon har fått form av et våpenkappløp i et samfunn i stadig og rask utvikling. Risikobildet endrer seg, men også mulighetene til å håndtere risiko - det foregår en rivende teknologisk utvikling på området. Gode Compliance- programmer settes opp i krysspunktet mellom jus, risiko, teknologi og forretningsforståelse og må alltid tilpasses den enkelte organisasjon og menneskene som jobber der. Med fare for å virke nerdete, vil jeg si dette alltid er interessant og givende. Ta gjerne kontakt dersom du har noen spørsmål eller kommentarer til blogginnleggene mine.
henning.graklev@pwc.com
Du finner meg på:

Line Marie Engebretsen

Line Marie Engebretsen
Jeg heter Line Marie Engebretsen og jobber i PwC Risk Advisory Services. Jeg jobber som rådgiver, hovedsaklig innen fagområdene personvern og informasjonssikkerhet. Jeg er forvaltningsinformatiker, og synes det tverrfaglige perspektivet mellom IKT og fag er spennende. Stadig flere digitale tjenester blir gjort tilgjengelig og informasjonsflyten mellom tjenester og på tvers av landegrenser øker. Etter min mening er derfor dette områder som vil bli mer og mer aktuelt i tiden fremover, og jeg gleder meg til å følge med på den videre utviklingen. Før jeg begynte i PwC i 2015 jobbet jeg i drøye 10 år med personvern og informasjonssikkerhet i flere store offentlige virksomheter.
line.engebretsen@pwc.com

Kommentere