Baggrund og Problem
Virksomheder og personer underlagt Hvidvaskloven er forpligtet til at undersøge, om en kunde er en politisk eksponeret person (PEP), eller om kunden er nærtstående eller har nære forretningsforbindelser til en PEP. I dag offentliggør Finanstilsynet en ”PEP-liste” i form af et excelark med alle PEP’er. Det er herefter op til de finansielle virksomheder selv at identificere de nærtstående og nære samarbejdspartnere. Det foregår typisk manuelt i virksomhedernes kundesystemer ved brug af kommercielle udbydere af PEP-informationer. Oplysningerne stammer bl.a. fra nationale og internationale PEP-lister, sanktionslister, screeninger af tilfældige hjemmesider mv. Herudover fremsøges om muligt oplysninger på Internettet manuelt.
Rammerne for identifikationsprocessen er særdeles udfordrende især ved identifikation af nærtstående og nære samarbejdspartnere. Det skyldes bl.a. de tilgængelige datas svingende kvalitet og manglende adgang til endeligt at verificere oplysningerne, der anvendes til identifikation. Dette bevirker også en forskelligartet håndtering hos virksomhederne.
Dette medfører bl.a., at der er risiko for, at
• virksomhederne noterer PEP-status på flere kunder end relevant, fordi PEP-status ikke kan afkræftes,
• nærtstående i nogle tilfælde slet ikke registreres, fordi oplysninger om dem ikke er tilgængelige hos de kommercielle udbydere eller på anden måde kan fremsøges,
• virksomhederne er tvunget til at foretage søgninger på bl.a. sociale medier og i online ugeblade for at få oplysninger om eventuel familiemæssig tilknytning til en PEP.
Anbefaling
Anbefaling
Regelforum anbefaler, at der etableres en API-baseret løsning, der gør det muligt i real tid via opslag på den enkelte kundes CPR-nummer at modtage de nødvendige oplysninger om:
1. hvorvidt kunden er en PEP, og
2. hvorvidt kunden har en relation til en PEP, og i så fald hvilken PEP, samt hvad deres relation er.
Dette muliggøres ved, at der kan modtages filtreret data fra CPR og CVR om kundens eventuelle relationer til PEP’er på baggrund af kundens CPR-nummer.
Løsningen bør etableres i regi af Finanstilsynet, så det bliver en lukket statslig løsning, som kun enheder omfattet af kravet i hvidvasklovgivningen har adgang til at søge i. De omfattede virksomheder skal kunne integrere deres systemer direkte med PEP-løsningen via et API. Det kræver, at der etableres en sikker adgangskontrol. Der vil være enheder, hvis tekniske infrastruktur ikke kan håndtere dette. Her foreslås det, at der også etableres en adgangsmekanisme gennem en webportal, hvorfra godkendte virksomheder kan logge ind på en hjemmeside, som giver mulighed for at søge på kunders CPR-numre.
Den primære fordel ved at etablere en API, som laver realtidsopslag er, at det ikke vil være nødvendigt at føre et selvstændigt register, hvor alle PEP’ers relationer lagres. Samtidig vil denne løsning kunne opfylde formålet mere effektivt, da oplysninger trækkes direkte fra kilden og derfor altid vil være ajourførte.
Regelforum støtter forslaget om en digitale løsning, som er dataminimerende i den forstand, at der sikres effektiv identifikation af den omfattede personkreds ved at indsamle oplysninger fra CPR- og CVR-registret fremfor via Internettet. Ved at indsamlingen af oplysninger foregår digitalt, kan det effektivisere og højne sikkerheden ved identifikationen af PEP, nærtstående og nære samarbejdspartnere hos virksomheder, der er omfattet af Hvidvasklovens regler herom (herefter ’virksomheden’). Det gælder bl.a. for banker og livsforsikringsselskaber. Det vil således skabe et sikkert grundlag for den videre risikovurdering af kundebestanden baseret på valide, ajourførte oplysninger.
Potentiale
En digital PEP-løsning har potentiale til at sikre følgende:
1. En markant større sikkerhed i identifikationen af PEP’ere, nærtstående og nære samarbejdspartnere og kontrol af oplysninger i forbindelse med kundekendskabs-proceduren.
2. Øget beskyttelse af de registreredes personoplysninger.
3. Virksomhederne frigives ressourcer, der i langt højere grad kan fokusere på højrisikokunder og mistænkelige forhold.
Den digitale løsning medfører en øget beskyttelse af persondata, fordi en offentligt tilgængelig PEP-liste ikke længere vil være nødvendig, og fordi virksomheder omfattet af hvidvaskloven kun vil få oplysninger om PEP-status og PEP-relationer, der er relevante for dem. Den er samtidig dataminimerende, fordi der ikke vil være behov for, at forskellige kommercielle udbydere ligger inde med oplysninger om PEP’er og deres nærtstående, og oplysningerne derfor figurerer i forskellige registre rundt omkring.
I pensionsbranchen alene anvendes der mellem 3.400-4.400 timer årligt og 5,1-6,5 mio. kr. i øvrige omkostninger på at identificere og kontrollere danske PEP og deres nærtstående og nære samarbejdspartnere. En digital løsning, som den foreslåede, vil kunne sikre entydig identifikation af den omfattede personkreds og frigive ressourcer, der kan bruges til at kontrollere andre områder, hvor den reelle risiko for hvidvask er større.
Relevant regulering
PEP’er registreres i dag med navn, stilling, fødselsdato og dato for tilføjelse eller sletning, jf. hvidvasklovens § 18, stk. 7. Den foreslåede løsning vil indebære, at PEP-listen beriges med CPR-nummer for at sikre en unik identifikationsmarkør.
Dette vil kræve en ændring i både Hvidvasklovens § 18, stk. 7, og i PEP-bekendtgørelsen, så CPR-nummer fremover indberettes sammen med de øvrige oplysninger, som myndigheder og organisationer skal indberette til Finanstilsynet. Til gengæld skal PEP-listen ikke længere være offentligt tilgængelig, da dette ikke er nødvendigt i den foreslåede løsning. Derudover kan der være behov for tilpasning af PEP-bekendtgørelsen i mindre omfang i forhold til den forslåede løsning.
Endvidere kan der være behov for at etablere en hjemmel til, at Finanstilsynet kan etablere og drive den digitale løsning.
Yderligere oplysninger
Forsikring & Pension og Finans Danmark har løbende været i dialog med Finanstilsynet om muligheden for at udarbejde en digital løsning til effektiv kontrol på PEP-området, ligesom problemstillingen har været rejst overfor Folketingets Erhvervsudvalg den 6. maj 2021.
Finanstilsynet har udarbejdet rapporten AML/TEK, der foreslår to løsninger på udfordringen med at identificere PEP’er og den tilknyttede personkreds. En registerløsning, hvor alle oplysninger samles i et register og en API-baseret løsning, som Forsikring & Pension og Finans Danmark også har foreslået.
Forslaget er imidlertid kun sendt i høring, og der er ikke truffet beslutning om, hvorvidt der overhovedet skal etableres en digital løsning, eller hvilken model der i givet fald vælges. Finanstilsynets ene forslag, om at etablere en fuld registerløsning over den omfattede personkreds, vurderes at være uhensigtsmæssigt. Det lever ikke op til kravene om proportionalitet og dataminimering, som vil kunne opfyldes ved en API-baseret løsning. Derfor lægges der op til, at Regelforum anbefaler en API-baseret løsningen på udfordringen med identifikation af PEP’er og disses nærtstående og nære samarbejdspartnere.
Regeringens svar
Svar til Regelforum
Regelforum anbefaler, at der i regi af Finanstilsynet etableres en løsning til identifikation af politisk eksponerede personer (PEP’er) og deres nærtstående og nære samarbejdspartnere.
Den foreslåede løsning svarer til den API-baserede PEP-løsning præsenteret i Finanstilsynets rapport om projekt AML/TEK. Det fremgår af rapporten, at etableringen af en PEP-løsning kan øge kvaliteten og mindske omkostningerne ved PEP-screeningen, minimere omfanget af personoplysninger, virksomhederne skal indsamle om deres kunder, og begrænse adgangen til oplysninger om PEP’er og deres relationer til de virksomheder og personer.
Den finansielle forligskreds har besluttet, at Finanstilsynet skal arbejde videre med initiativet om en API-baseret PEP-løsning i offentligt regi. Det tekniske setup for løsningen, herunder etableringsomkostninger, løbende omkostninger og finansieringen, samt de juridiske implikationer konkretiseres i løbet af 2022. Såfremt der er politisk opbakning til den foreslåede model, vil implementeringen af løsningen herefter kunne igangsættes, herunder gennemførslen af nødvendige ændringer af hvidvaskloven og PEP-bekendtgørelsen.
Regelforum vil få en tilbagemelding på, om der er politisk opbakning til at arbejde videre med implementeringen af den foreslåede model.