<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Personvernforordningen og hvitvaskingsloven. Godzilla vs King Kong?

Photo_R_RGB_HK_D4_3819 ‹ Tilbake til artikler

Hvis du jobber med compliance i Finansnæringen, må du ha hatt et friår for å bo sammen med en isolert stamme i det indre av Brasil eller tilbrakt et år på en forskningsstasjon i Antarktis hvis du ikke har fått med deg den nye personvernforordningen (GDPR) og kravene som settes til etterlevelse. Forordningen har et stort ris bak speilet; en bot på opp til 20 millioner euro eller 4% av global brutto omsetning ved manglende etterlevelse. Men nå ser det ut til at den får “konkurranse” fra hvitvaskingsloven. Lovforslaget, som kom i februar 2018, har et foreslått bøtenivå på 44 millioner, riktignok i norske kroner, men med en omsetningsgrense på 10% av brutto global omsetning. Har complianceavdelingen fått et prioriteringsproblem?

You win some, you loose some

Forslaget til ny hvitvaskingslov kan gjøre livet litt lettere for den hvitvaskingsansvarlige, men også litt vanskeligere.

Lettelsen består i at loven gir det juridiske grunnlaget for å behandle personopplysninger, også særlige kategorier av personopplysninger. Den gir også grunnlag for å oppbevare informasjon om kunder og transaksjoner i fem år etter at transaksjonen har funnet sted.

Men - lovforslaget inneholder også et pålegg om å «ha systemer som muliggjør raske og fullstendige svar på forespørsler fra Økokrim, tilsynsmyndigheten eller andre offentlige myndigheter om vedkommende har eller i løpet av de siste fem år har hatt kundeforhold til konkrete personer og om kundeforholdets art». Dette kan være svært krevende, særlig hos banker som har kompliserte konfigurasjoner med hensyn på systemer, produkter og konsernstrukturer. I tillegg er det mange banker og finansinstitusjoner som ikke har registrert denne informasjonen hos ganske store kundegrupper, særlig kunder som er registrert for mange år siden.

Lovforslaget innebærer slett ikke noe generelt unntak fra personvernforordningen. Det vil fremdeles stilles strenge krav til dataminimering og at opplysninger som oppbevares skal være nødvendige for formålet som virksomheten har et rettslig grunnlag for å behandle. Andre personvernregler gjelder også, som eksempelvis sikker behandling, sletterutiner og at personer skal enkelt få innsyn i hvilke opplysninger som behandles om en og hvordan behandlingen skjer.

Failing to plan is planning to fail

Dersom du er complianceansvarlig i en bank eller en organisasjon som på en annen måte er rapporteringspliktig i henhold til hvitvaskingsloven, bør du allerede nå forberede deg. Du trenger en plan. 

En detaljert kartlegging av personopplysninger som behandles bør inngå som en del av arbeidet med å implementere nytt personvernregelverk i virksomheten. 

Bruk av personopplysninger for å avdekke hvitvasking eller annen økonomisk kriminalitet er i denne sammenheng et eget formål. Opplysninger bør kartlegges i forhold til om de er nødvendige for å gjennomføre identifikasjon og undersøkelse av mistenkelige transaksjoner. Dette er ganske omfattende, det inkluderer informasjon for alle tiltak som er spesifisert i loven. Men også data utover dette kan bli omfattet. Data som tidligere har falt inn under det som har vært definert som transaksjonsdata kan være omfattet, for eksempel e-poster til og fra kundesenter eller data fra chat dersom dette er tilbudt som en kommunikasjonskanal. Dersom disse dataene er er nødvendige for å avkrefte eller bekrefte mistanke knyttet til avvikende transaksjon skal de oppbevares. 

Raskt og fullstendig

Det er en potensiell utfordring i kravet til å kunne være istand til å skaffe informasjon “raskt og fullstendig” om «kundeforhold til konkrete personer og kundeforholdets art». Det vil her komme forskrifter som inneholder flere detaljer. Men rapporteringspliktige bør allerede nå identifisere om det er systemutfordringer i å fremskaffe «fullstendige» data «raskt».

Gamle synder blir som nye

Ny hvitvaskingslov tydeliggjør en ting; rapporteringspliktige må sørge for å ha fullstendig oversikt over opplysninger om alle kunder, også kunder som har vært registrert lenge. Pålegget om utlevering gjelder alle kunder, ikke bare de kunder som er rapportert til Økokrim. Det vil sannsynligvis innebære at flere banker må gjennomføre betydelig re-legitimering og innhenting av opplysninger om kundeforholdet. Det kan være en krevende oppgave. Men den gode nyheten her er at det finnes analytiske produkter og løsninger som kan automatisere deler av dette arbeidet. 

Banken bør gå opp egne retningslinjer og rutiner. Særlig bør rutiner ivareta:

  • Hvilke opplysninger som kan utleveres til kunder. Rapporteringspliktige må særlig påse at de ikke gis ut informasjon som kan «avsløre» at en MT- melding har blitt sendt.
  • Hvordan banken responderer og samler inn data ved en forespørsel fra Økokrim eller «andre myndigheter».

Mer oversikt

En klar konsekvens av både personvernforordningen og nytt forslag til hvitvaskingslov er at det kreves mer oversikt. Det må identifiseres hvilke data som skal brukes i undersøkelser og deteksjonssystemer, og dette må begrunnes. Det forventes at organisasjoner har oversikt over prosesser, data, rapporteringslinjer og rutiner. Og har svar tilgjengelig ikke bare til enkeltkunder, men til et tilsynsmyndigheter, inkludert Datatilsynet og Økokrim. 

Nyttige lenker;

Line Marie Engebretsen

Line Marie Engebretsen

Jeg heter Line Marie Engebretsen og jobber i PwC Risk Advisory Services. Jeg jobber som rådgiver, hovedsaklig innen fagområdene personvern og informasjonssikkerhet. Jeg er forvaltningsinformatiker, og synes det tverrfaglige perspektivet mellom IKT og fag er spennende. Stadig flere digitale tjenester blir gjort tilgjengelig og informasjonsflyten mellom tjenester og på tvers av landegrenser øker. Etter min mening er derfor dette områder som vil bli mer og mer aktuelt i tiden fremover, og jeg gleder meg til å følge med på den videre utviklingen. Før jeg begynte i PwC i 2015 jobbet jeg i drøye 10 år med personvern og informasjonssikkerhet i flere store offentlige virksomheter.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Innebygd personvern - en metode som bygger tillit

Personvernforordningen (GDPR) stiller krav til innebygd personvern. Men hva er egentlig innebygd personvern? Innebygd personvern - privacy ...

Les artikkelen
Les artikkelen

Motstridende plikter - Tar du samfunnsansvaret når du avvikler et kundeforhold?

Aktører som er pålagt å etterleve hvitvaskingsregelverket har flere lovverk å forholde seg til. Vi erfarer at mange finner det krevende å ...

Les artikkelen
Les artikkelen

Midlenes opprinnelse

Hvordan innvirker hvitvaskingsloven på virksomheter som ikke er omfattet av loven? Vi har den senere tid opplevd en større pågang av ...

Les artikkelen