Oplæg om Hvidvaskloven og Persondataforordningen For revisions- og bogholderivirksomheder 1 Carsten Hedegaard Fohlmann Cand.merc.aud fra CBS Contar Regnskab ApS, etableret 1994 Næstformand i FDR Medlem af FFB Står for udvikling og vedligeholdelse af FDR s værktøjer FDRaudit Den interne kvalitetssikring for FDR-revisorer Persondatapakken (udarbejdet af Revisorjura) Hvidvaskdokumenter Repræsenterer FDR i Erhvervsstyrelsens interessentgruppe ifb. med udarbejdelse af vejledningen til Hvidvaskloven 2 Forkortelser Baggrund for loven Hvidvask og terrorfinansiering (HTF) Hvidvask (HV) Terrorfinansiering (TF) Implementering af 4. hvidvaskdirektiv fra EU Bekæmpelse af hvidvask og terrorfinansiering (HTF) 3 4 Overblik Hvem er omfattet af loven, definitioner og kontantforbud ( 1-6) Risikovurdering og styring ( 7-9) Kundekendskabsprocedurer ( 10-24) Undersøgelses-, noterings-, underretnings-og opbevaringspligt ( 25-30) Ansatte ( 35-36) Tavshedspligt og ansvar ( 37-39) Tidsplan for vejledningen Sidste høring for udkast til den samlede vejledningen i slutningen af juni Frist for den offentlige høring den 10. august Forventet endelig offentliggørelse til oktober 5 6 Materialet må ikke gengives uden tilladelse 1
Tilsynet Tilsynsmyndigheden for os er Erhvervsstyrelsen De er i gang med kontrolbesøg. Mindst 4 af vores medlemmer har haft besøg i 2017 Erhvervsstyrelsens siger, at så længe virksomhederne har forsøgt at gøre det korrekt, vil kontrollen mest være et vejledningsbesøg Hvis man ikke har gjort noget og ikke vil samarbejde, vanker der bøder! Hvem er omfattet Godkendte Revisorer ( 1 nr. 15) Andre revisorer, skatterådgivere og eksterne bogholdere ( 1 nr. 17) Udbydere af tjenesteydelser ( 1 nr. 18) 7 8 Udbyder af tjenesteydelser Definition af tjenesteydelser Skal registreres i Hvidvaskregistret hos Erhvervsstyrelsen (foregår på virk.dk) Undladelse straffes med bøde! Bistand ved oprettelse af selskaber, virksomheder og andre juridiske personer f.eks. fonde og foreninger Fungerer som ledelsesmedlem for 3. mand Kontorhotel (fsva. virtuelle kunder) Administrator for fond eller lign. 9 10 Udbyder af tjenesteydelser Godkendte revisorer er undtaget. Det vil sige andre revisorer og eksterne bogholdere, som udbyder de nævnte tjenesteydelser, er også omfattet af 1 nr. 18 Hvad er Hvidvask 1. Uberettiget at modtage eller skaffe sig selv eller andre del i økonomisk udbytte, der er opnået ved en strafbar lovovertrædelse 2.Uberettiget at skjule, opbevare, transportere, hjælpe til afhændelse eller på anden måde efterfølgende virke til at sikre det økonomiske udbytte fra en strafbar lovovertrædelse eller 3. Forsøg på eller medvirken til sådanne dispositioner 11 12 Materialet må ikke gengives uden tilladelse 2
Hvad er Hvidvask Nu fremgår det udtrykkeligt at skatteunddragelse er omfattet! 4. Hvidvaskdirektiv - præambel nr. 11: Det er vigtigt udtrykkeligt at fremhæve, at skattemæssige overtrædelser i forbindelse med direkte og indirekte skatter er omfattet af den brede definition af kriminel handling i dette direktiv. 13 Hvad er terrorfinansiering Straffelovens 114b: Med fængsel indtil 10 år straffes den, som 1. direkte eller indirekte yder økonomisk støtte til, 2. direkte eller indirekte tilvejebringer eller indsamler midler til eller 3. direkte eller indirekte stiller penge, andre formuegoder eller finansielle eller andre lignende ydelser til rådighed for en person, en gruppe eller en sammenslutning, der begår eller har til hensigt at begå terrorhandlinger omfattet af 114. 14 Kontantforbud Gælder ALLE erhvervsdrivende Forbud mod at modtage kontantbetalinger på kr. 50.000 eller derover Enkelttransaktion eller flere forbundene transaktioner Politikker Skal være skriftlige Skal fastsætte de overordnede strategiske mål i relation til forebyggelse af hvidvask og terrorfinansiering (HTF) 15 16 Politikker Skal bl.a. indeholde: Identifikation af de risici forretningsmodellen medfører Principperne for risikostyring Risikostyringens formål Risikoområder og villighed Ansvarsfordeling Risikoledelse og styring Procedurer Beskrivelse af aktiviteterne Med udgangspunkt i politikken og forretningsmodellen skal procedurerne beskrive hvordan I i praksis håndtere: 17 18 Materialet må ikke gengives uden tilladelse 3
Procedurer Risikostyring Kundekendskabsprocedurer Undersøgelses-, noterings-og underretningspligten Opbevaringspligten Screening af medarbejdere Intern kontrol Opdatering af politikker og procedurer mv. Minimum en gang om året Når virksomhedens forretningsmodel ændre sig De samfundsmæssige vurderinger ændres Andre faktorer gør en opdatering nødvendig 19 20 Risikovurdering Foretage en vurdering af hvad risikoen er for, at DIN virksomhed bliver brugt til hvidvask eller terrorfinansiering Risikoen skal identificeres og vurderes Vurderingen skal foretages af den iboende risiko (dvs. risikoen uden at tage hensyn til foranstaltninger som begrænser risikoen) Risikovurderingen skal tage udgangspunkt i Bilagene til Hvidvaskloven Den nationale risikovurdering Den supranationale risikovurdering Andre vurderinger mv Egene erfaringer og viden 21 22 Egne erfaringer og viden Hovedsageligt skatteunddragelse Ikke indregnet omsætning (Sort arbejde) Undladelse af registrering og indberetning (Punktafgifter) Medtage private udgifter i virksomheden Risikovurdering Risikofaktorer: Kundetyper Produkter/ydelser Leveringskanaler Geografi Virksomhedens organisation 23 24 Materialet må ikke gengives uden tilladelse 4
Risikovurdering Vurderingerne af risikoen for at virksomheden bliver brugt til hvidvask eller terrorfinansiering gradueres efter en skala som f.eks. kan være: Lav Normal Øget Afgrænsning af risiko Kan enten gøres ved at ændre forretningsmodellen (så rettes ovenstående vurdering til) Eller ved hjælp af politikker og procedurer 25 26 Kundekendskabsprocedurer Kundeforhold Der skal altid gennemføres kundekendskabsprocedurer, når der etableres en forretningsforbindelse Definition: Når der etableres forretningsforbindelse eller foretages en enkeltstående transaktion for en kunde 27 28 Hvem er kunde hos hvem? Hvem er kunde hos hvem? Virksomhed Revisor Bogholder Virksomhed Bogholder Revisor Skatterådgiver 29 30 Materialet må ikke gengives uden tilladelse 5
Etablering af forretningsforbindelse Der er etableret en forretningsforbindelse på det tidspunkt, hvor kundeforholdet forventes at have en vis varighed Hvis der er etableret en forretningsforbindelse skal der udføres kundekendskabsprocedurer Hvornår er der ikke etableret forretningsforbindelse Der vil ikke være etableret en forretningsforbindelse, hvis det er en rådgivningsopgave af generel karakter, som ikke involvere kundens konkrete oplysninger, og hvis der ikke er udsigt til gentagende opgaver I så fald kan kundekendskabsprocedurer ud fra en risikovurdering udelades 31 32 Kundekendskabsprocedurer Udeladelse Skal kunne godtgøre, at der ikke var etableret forretningsforbindelse Skal kunne godtgøre, at risikovurderingen medførte, at der ikke var risiko for HTF Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden 33 34 Kundekendskabsprocedurer Identificere de reelle ejere 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden Følger erhvervsstyrelsens vejledning for registrering af reelle ejere Bemærk at undtagelserne for f.eks. frivillige forening ikke gælder her 35 36 Materialet må ikke gengives uden tilladelse 6
Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden Identitetsoplysninger Der skal indhentes og kontrolleres identitetsoplysninger på: Kunder, som er fysiske personer De reelle ejere af kunder, som er juridiske personer Personer, som handler på vegne af en kunde 37 38 Kontrol af identitetsoplysninger Kontrol af identitetsoplysninger Identitetsoplysningerne fra kunden skal kontrolleres via en pålidelig og uafhængig kilde. Oplysningerne hos kilden skal være aktuelle Kontrollen skal være tilstrækkelig til at fjerne tvivl, om kunden er den person, som kunden udgiver sig for at være Det er en konkret vurdering på baggrund af risikovurderingen af kunden hvor omfattende og hvordan kontrollen skal være 39 40 Pålidelig og uafhængig kilde Eksempel 1 Pas/kørekort Opslag i CPR Oplysninger fra Skat (Skattemappen) Sundhedskort 41 Kunden oplyser sit navn og cpr nr. Kunden forviser sit kørekort (virksomheden tager kopi til dokumentationen) Virksomheden kontrollerer, at oplysningerne fra kunden stemmer overens med kørekort/pas og at billedet er af kunden 42 Materialet må ikke gengives uden tilladelse 7
Eksempel 2 Kunden oplyser sit navn og cpr nr. Virksomheden kontrollerer navn og cpr nr. ved opslag i Skattemappen Virksomheden opbevarer dokumentation for kontrollen, dvs. kopi af oplysninger fra Skattemappen Eksempler ved distancekunde På en skypesamtale kan du se kunden holde sit pas op, og du modtager et scan af passet Du modtager en kopi af en telefonregning i kundens navn. Herefter sender du en SMS med en kode til det mobilnr., der fremgår af regningen. Kunden oplyser dig koden. Du sender et brev til kunden med en kode, som kunden efterfølgende oplyser 43 44 Uoverensstemmelse mellem oplyste oplysninger og kontrollen Slåfejl i navne mv. kan accepteres Mangler der mellemnavne mv., skal der indhentes oplysninger hos kunden igen Dog kan flere kontrolkilder gøre, at der ikke skal indhentes nye oplysninger hos kunden Skærpede krav Hvis kundevurderingen viser en øget risiko for hvidvask eller terrorfinansiering Dog altid hvis: Kunden har hjemsted eller har kunder / leverandører i et land, der er optaget på EU s liste over højrisiko lande Kunden er Politisk Eksponeret Person (PEP) 45 46 Hvis kundekendskabsprocedurer ikke kan gennemføres Dokumentation Du skal forsøge at gennemføre på anden vis end normalt Du skal vurdere om problemerne medfører mistanke om HTF Du kan/skal evt. afslutte kundeforhold Alt skal kunne dokumenteres, og det skal kunne godtgøres, at man har et tilstrækkeligt kendskab til kunden 47 48 Materialet må ikke gengives uden tilladelse 8
Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden Forretningsforbindelsens formål og tilsigtede beskaffenhed For at kunne vurdere risikoen for om kunden misbruger revisor eller bogholder til HTF, skal vi have kendskab til forretningsforbindelsens formål og tilsigtede beskaffenhed 49 50 Forretningsforbindelsens formål Hvad der formålet med det produkt, kunden ønsker at købe? Hvis det ikke står lysende klart, skal vi indhente oplysninger om, hvorfor kunden ønsker en bestemt ydelse Giver kombinationen af formål og produkt anledning til undren? Tilsigtede beskaffenhed Beskrivelse af kundens virksomhed og forretningsmodel Kundens indtægts- og formueforhold Revisorer kan henvise til virksomhedsbeskrivelsen i forbindelse med kvalitetssikringen 51 52 Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden Risikovurdering af kunden Risikovurderingen skal afklare risikoen for at kunden benytter revisor / bogholder til HTF 53 54 Materialet må ikke gengives uden tilladelse 9
Risikovurdering af kunden Følgende risikofaktorer skal indgå: Formål Omfang Regelmæssighed Varighed Risikovurdering af kunden Derudover skal der indgå andre relevante risikofaktorer f.eks: Branche Selskabskonstruktion Geografi Udtrykt holdning til overholdelse af skattelovgivningen Hvilke ydelser vi leverer til kunden / og hvilke ydelser kunden har fravalgt 55 56 Politisk Eksponerede Personer Nærtstående til en PEP En person som bestrider et eller flere højtstående offentlige erhverv. Finanstilsynet fører en PEP liste Ægtefælle, registreret partner eller samlever Børn og deres ægtefælle, registreret partner eller samlever Forældre 57 58 Nære samarbejdspartnere til en PEP Fysiske personer som: Ejer virksomhed eller anden juridisk person sammen med en PEP Er nær forretningsforbindelse til en PEP Kontrollerer en juridisk enhed som er oprettet til fordel for en PEP Politisk Eksponerede Personer PEP medfører, at kunden skal vurderes i forhold til deres hverv og den dermed forbundne risiko for hvidvask, korruption og terrorfinansiering Nærtstående og samarbejdspartnere til en PEP skal vurderes i forhold til PEP ens hverv og forbindelsen til kunden og den dermed forbundne risiko for HTF 59 60 Materialet må ikke gengives uden tilladelse 10
Politisk Eksponerede Personer Kundekendskabsprocedurerne skal opdateres oftere for en PEP Der skal laves dybere risikovurdering Hvis du har en PEP, så læs vejledningen Hvornår gennemføres kundekendskabsprocedurerne Inden arbejdet startes Hvis der ikke vurderes at være risiko for HTF, kan procedurerne færdiggøres samtidig med at arbejdet påbegyndes 61 62 Hvornår gennemføres kundekendskabsprocedurerne Skal løbende opdateres, så længe forretningsforbindelsen består Ved mistanke om HTF skal der ske en opdatering med henblik på øget overvågning Overvågning Ud fra den risikovurdering, der er lavet på kunden og på virksomheden, skal vi overvåge, om der er transaktioner eller lign., som giver mistanke om HTF Overvågningen skal fange usædvanlige transaktioner og aktiviteter Omfatter også forsøg på usædvanlige transaktioner og aktiviteter 63 64 Undersøgelsespligt Noteringspligt Hvis der er mistanke om HTF, skal det undersøges om mistanken kan be-eller afkræftes I har tavshedspligt om mistanken Det betyder bl.a. at kunden ikke må informeres Resultaterne af undersøgelserne skal notes og opbevares i 5 år Husk at opbevare dem sikkert. Både så kunden ikke ved en fejl får det udleveret; og så kun de nødvendige personer har adgang 65 66 Materialet må ikke gengives uden tilladelse 11
Underretningspligt Underretningspligt Hvis en mistanke om HTF ikke kan afkræftes Også underretning om afviste kunder. Her er der ikke krav om at have gennemført kundekendskabsprocedurerne Omgående underretning til SØIK på hvidvask.dk Det anbefales at have jeres virksomhed oprettet på forhånd, da oprettelsen kan tage op til en uge 67 68 Underretningspligt Hvad med kunden Ansvar og tavshedspligt Fortsætte arbejdet Forhindre yderligere HTF. Dog ikke således at kunden får mistanke om underretningen Kort sagt agere som om intet er hændt Underretninger påfører ikke indretter nogen form for ansvar Underretninger vil ikke være et brud på tavshedspligt 69 70 Tavshedspligt Tavshedspligt Kunden har ikke ret til indsigt i oplysningerne vedr. overvågnings-, noterings- og underretningspligten Underretningen skal holdes hemmeligt Tavshedspligten er ikke til hindre for, at vi fraråder kunden at udøve ulovlig virksomhed 71 72 Materialet må ikke gengives uden tilladelse 12
Oplysningspligt Opbevaringspligt Du skal oplyse til personer at du indsamler oplysninger jf. hvidvaskloven og hvad du bruger dem til det fremgår også af persondatapolitikken som vi kommer tilbage til senere. Skal opbevares i mindst 5 år efter: Transaktionen er udført Ophør af forretningsforbindelsen 73 74 Opbevaringspligt Persondata SKAL slettes 5 år efter ophør af forretningsforbindelsen. Der er ikke krav om sletning af data vedr. juridiske personer (men data om de reelle ejere er persondata) 75 Intern kontrol Der skal være en intern kontrol med at reglerne overholdes En gang om året kontrolleres at dokumenterne er opdaterede, og der skal tages stikprøver for at sikre, at procedurerne overholdes. Kontrollen dokumenteres (skriv et notat der beskriver, hvad du har gjort og resultatet) 76 Medarbejdere Whistleblowerordning Screening af medarbejdere for at forebygge, at de misbruger deres stilling til HTF Uddannelse af medarbejdere, således at de har tilstrækkelig viden Whistleblowerordning Ved mere end 5 personer ansat Indehaver i PSV og I/S tæller ikke med Ansat rengøringspersonale tæller med Eksternt rengøringspersonale tæller ikke med 77 78 Materialet må ikke gengives uden tilladelse 13
Persondata hvem er hvem Dataejer: Den fysiske person som data omhandler Persondata hvem er hvem Dataansvarlig: Den fysiske eller juridiske person som er ansvarlig for behandlingen af persondata overfor dataejeren. 79 80 Persondata hvem er hvem Hjemmel Databehandler: Den fysiske eller juridiske person som behandler persondata på vegne af den dataansvarlige. Man må kun behandle persondata når man har hjemmel til det! 81 82 Hjemmel Ifølge lov en retslig forpligtelse For at opfylde en aftale med dataejer Et direkte udtrykkeligt samtykke fra dataejer En berettiget interesse, som ikke overstiges af hensynet til dataejer Samtykkeerklæring Medarbejder portræt på webside Ved brug af andre personfølsomme oplysninger 83 84 Materialet må ikke gengives uden tilladelse 14
Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 85 86 Databehandler vs Dataansvarlig Databehandler vs Dataansvarlig Groft sagt: Vi er dataansvarlig over for kundernes egne persondata Vi er databehandler over persondata på kundernes medarbejdere, kunder og leverandører 87 Hvis opgaven udføres for at kunden kan opfylde f.eks. et lovkrav så er vi databehandler Ingen forskel om vi arbejder på egne eller kundens system 88 Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 89 Interne retningslinjer Udpeg en ansvarlig for persondata Minimere adgang til persondata og opbevar den sikkert Afgør om der skal indhentes samtykke Videregives data til andre f.eks. underdatabehandler 90 Materialet må ikke gengives uden tilladelse 15
Interne retningslinjer 2 Interne retningslinjer 2 Procedurer for dataejerens ret til: Indsigt Indsigelse Berigtigelse Dataportabilitet Procedurer ved sikkerhedsbrud 72 timers fristen 91 92 Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse Persondatapolitik Skal oplyses til dataejer. Kundens ægtefælle? 93 94 Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 95 96 Materialet må ikke gengives uden tilladelse 16
Email og cloud drev IT sikkerhed Hotmail og gmail no go, der tilbydes ikke databehandleraftale G-drev /dropbox kun prof. løsninger Som udgangspunkt kun betalingsløsninger Kryptering af bærbar computer Kryptering af email Fildrev i skyen Password manager 97 98 FDR Kurser i efteråret Skattefri virksomhedsomdannelse 6/9 Bestå kvalitetskontrollen 11/9 Opløsning af selskaber 4/10 Faldgruber ved revision 25/10 + 30/10 Den tredje alder -sociale ydelser og indirekte skat 13/11 + 15/11 2-dages kursus i skat og moms 20/11 Virksomhedsordningen i teori og praksis 27/11 Aktuelt om skat 12/12 + 8/1 + 17/1 Contar Regnskab ApS Carsten Hedegaard Fohlmann carsten@contar.dk Telefon 7023 1948 99 100 Materialet må ikke gengives uden tilladelse 17