Oplæg om Hvidvaskloven og Persondataforordningen Uddelingskopier kan hentes på: www.contar.dk/ffb20180517 1 Carsten Hedegaard Fohlmann Cand.merc.aud fra CBS Contar Regnskab ApS, etableret 1994 Næstformand i FDR Medlem af FFB Står for udvikling og vedligeholdelse af FDR s værktøjer FDRaudit Den interne kvalitetssikring for FDR-revisorer Persondatapakken (udarbejdet af Revisorjura) Hvidvaskdokumenter Repræsenterer FDR i Erhvervsstyrelsens interessentgruppe ifb. med udarbejdelse af vejledningen til Hvidvaskloven 2 Forkortelser Hvidvask og terrorfinansiering (HTF) Hvidvask (HV) Terrorfinansiering (TF) 9 Materialet må ikke gengives uden tilladelse 1
Baggrund for loven Implementering af 4. hvidvaskdirektiv fra EU Bekæmpelse af hvidvask og terrorfinansiering (HTF) 10 Overblik Hvem er omfattet af loven, definitioner og kontantforbud ( 1-6) Risikovurdering og styring ( 7-9) Kundekendskabsprocedurer ( 10-24) Undersøgelses-, noterings-, underretnings-og opbevaringspligt ( 25-30) Ansatte ( 35-36) Tavshedspligt og ansvar ( 37-39) 11 Tidsplan for vejledningen Sidste høring for udkast til den samlede vejledningen i slutningen af juni Frist for den offentlige høring den 10. august Forventet endelig offentliggørelse til oktober 13 Materialet må ikke gengives uden tilladelse 2
Tilsynet Tilsynsmyndigheden for os er Erhvervsstyrelsen De er i gang med kontrolbesøg. Mindst 4 af vores medlemmer har haft besøg i 2017 Erhvervsstyrelsens siger, at så længe virksomhederne har forsøgt at gøre det korrekt, vil kontrollen mest være et vejledningsbesøg Hvis man ikke har gjort noget og ikke vil samarbejde, vanker der bøder! 14 Hvem er omfattet Godkendte Revisorer ( 1 nr. 15) Andre revisorer, skatterådgivere og eksterne bogholdere ( 1 nr. 17) Udbydere af tjenesteydelser ( 1 nr. 18) 15 Udbyder af tjenesteydelser Skal registreres i Hvidvaskregistret hos Erhvervsstyrelsen (foregår på virk.dk) Undladelse straffes med bøde! 16 Materialet må ikke gengives uden tilladelse 3
Definition af tjenesteydelser Bistand ved oprettelse af selskaber, virksomheder og andre juridiske personer f.eks. fonde og foreninger Fungerer som ledelsesmedlem for 3. mand Kontorhotel (fsva. virtuelle kunder) Administrator for fond eller lign. 17 Udbyder af tjenesteydelser Godkendte revisorer er undtaget. Det vil sige andre revisorer og eksterne bogholdere, som udbyder de nævnte tjenesteydelser, er også omfattet af 1 nr. 18 18 Hvad er Hvidvask 1. Uberettiget at modtage eller skaffe sig selv eller andre del i økonomisk udbytte, der er opnået ved en strafbar lovovertrædelse 2.Uberettiget at skjule, opbevare, transportere, hjælpe til afhændelse eller på anden måde efterfølgende virke til at sikre det økonomiske udbytte fra en strafbar lovovertrædelse eller 3. Forsøg på eller medvirken til sådanne dispositioner 20 Materialet må ikke gengives uden tilladelse 4
Hvad er Hvidvask Nu fremgår det udtrykkeligt at skatteunddragelse er omfattet! 4. Hvidvaskdirektiv - præambel nr. 11: Det er vigtigt udtrykkeligt at fremhæve, at skattemæssige overtrædelser i forbindelse med direkte og indirekte skatter er omfattet af den brede definition af kriminel handling i dette direktiv. 21 Hvad er terrorfinansiering Straffelovens 114b: Med fængsel indtil 10 år straffes den, som 1. direkte eller indirekte yder økonomisk støtte til, 2. direkte eller indirekte tilvejebringer eller indsamler midler til eller 3. direkte eller indirekte stiller penge, andre formuegoder eller finansielle eller andre lignende ydelser til rådighed for en person, en gruppe eller en sammenslutning, der begår eller har til hensigt at begå terrorhandlinger omfattet af 114. 22 Kontantforbud Gælder ALLE erhvervsdrivende Forbud mod at modtage kontantbetalinger på kr. 50.000 eller derover Enkelttransaktion eller flere forbundene transaktioner 23 Materialet må ikke gengives uden tilladelse 5
Politikker Skal være skriftlige Skal fastsætte de overordnede strategiske mål i relation til forebyggelse af hvidvask og terrorfinansiering (HTF) 24 Politikker Skal bl.a. indeholde: Identifikation af de risici forretningsmodellen medfører Principperne for risikostyring Risikostyringens formål Risikoområder og villighed Ansvarsfordeling Risikoledelse og styring 25 Procedurer Beskrivelse af aktiviteterne Med udgangspunkt i politikken og forretningsmodellen skal procedurerne beskrive hvordan I i praksis håndtere: 27 Materialet må ikke gengives uden tilladelse 6
Procedurer Risikostyring Kundekendskabsprocedurer Undersøgelses-, noterings-og underretningspligten Opbevaringspligten Screening af medarbejdere Intern kontrol 28 Opdatering af politikker og procedurer mv. Minimum en gang om året Når virksomhedens forretningsmodel ændre sig De samfundsmæssige vurderinger ændres Andre faktorer gør en opdatering nødvendig 29 Risikovurdering og Risikostyring 30 Materialet må ikke gengives uden tilladelse 7
Risikovurdering Foretage en vurdering af hvad risikoen er for, at DIN virksomhed bliver brugt til hvidvask eller terrorfinansiering Risikoen skal identificeres og vurderes Vurderingen skal foretages af den iboende risiko (dvs. risikoen uden at tage hensyn til foranstaltninger som begrænser risikoen) 31 Risikovurderingen skal tage udgangspunkt i Bilagene til Hvidvaskloven Den nationale risikovurdering Den supranationale risikovurdering Andre vurderinger mv Egene erfaringer og viden 32 Egne erfaringer og viden Hovedsageligt skatteunddragelse Ikke indregnet omsætning (Sort arbejde) Undladelse af registrering og indberetning (Punktafgifter) Medtage private udgifter i virksomheden 34 Materialet må ikke gengives uden tilladelse 8
Risikovurdering Risikofaktorer: Kundetyper Produkter/ydelser Leveringskanaler Geografi Virksomhedens organisation 35 Risikovurdering Vurderingerne af risikoen for at virksomheden bliver brugt til hvidvask eller terrorfinansiering gradueres efter en skala som f.eks. kan være: Lav Normal Øget 36 Afgrænsning af risiko Kan enten gøres ved at ændre forretningsmodellen (så rettes ovenstående vurdering til) Eller ved hjælp af politikker og procedurer 37 Materialet må ikke gengives uden tilladelse 9
Kundekendskabsprocedurer 38 Kundekendskabsprocedurer Der skal altid gennemføres kundekendskabsprocedurer, når der etableres en forretningsforbindelse 39 Kundeforhold Definition: Når der etableres forretningsforbindelse eller foretages en enkeltstående transaktion for en kunde 40 Materialet må ikke gengives uden tilladelse 10
Hvem er kunde hos hvem? Virksomhed Revisor Bogholder 41 Hvem er kunde hos hvem? Virksomhed Bogholder Revisor Skatterådgiver 42 Etablering af forretningsforbindelse Der er etableret en forretningsforbindelse på det tidspunkt, hvor kundeforholdet forventes at have en vis varighed Hvis der er etableret en forretningsforbindelse skal der udføres kundekendskabsprocedurer 43 Materialet må ikke gengives uden tilladelse 11
Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden 47 Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden 48 Identificere de reelle ejere Følger erhvervsstyrelsens vejledning for registrering af reelle ejere Bemærk at undtagelserne for f.eks. frivillige forening ikke gælder her 49 Materialet må ikke gengives uden tilladelse 12
Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden 50 Identitetsoplysninger Der skal indhentes og kontrolleres identitetsoplysninger på: Kunder, som er fysiske personer De reelle ejere af kunder, som er juridiske personer Personer, som handler på vegne af en kunde 51 Kontrol af identitetsoplysninger Identitetsoplysningerne fra kunden skal kontrolleres via en pålidelig og uafhængig kilde. Oplysningerne hos kilden skal være aktuelle 53 Materialet må ikke gengives uden tilladelse 13
Kontrol af identitetsoplysninger Kontrollen skal være tilstrækkelig til at fjerne tvivl, om kunden er den person, som kunden udgiver sig for at være Det er en konkret vurdering på baggrund af risikovurderingen af kunden hvor omfattende og hvordan kontrollen skal være 54 Pålidelig og uafhængig kilde Pas/kørekort Opslag i CPR Oplysninger fra Skat (Skattemappen) Sundhedskort 55 Eksempel 1 Kunden oplyser sit navn og cpr nr. Kunden forviser sit kørekort (virksomheden tager kopi til dokumentationen) Virksomheden kontrollerer, at oplysningerne fra kunden stemmer overens med kørekort/pas og at billedet er af kunden 56 Materialet må ikke gengives uden tilladelse 14
Eksempel 2 Kunden oplyser sit navn og cpr nr. Virksomheden kontrollerer navn og cpr nr. ved opslag i Skattemappen Virksomheden opbevarer dokumentation for kontrollen, dvs. kopi af oplysninger fra Skattemappen 57 Eksempler ved distancekunde På en skypesamtale kan du se kunden holde sit pas op, og du modtager et scan af passet Du modtager en kopi af en telefonregning i kundens navn. Herefter sender du en SMS med en kode til det mobilnr., der fremgår af regningen. Kunden oplyser dig koden. Du sender et brev til kunden med en kode, som kunden efterfølgende oplyser 58 Uoverensstemmelse mellem oplyste oplysninger og kontrollen Slåfejl i navne mv. kan accepteres Mangler der mellemnavne mv., skal der indhentes oplysninger hos kunden igen Dog kan flere kontrolkilder gøre, at der ikke skal indhentes nye oplysninger hos kunden 59 Materialet må ikke gengives uden tilladelse 15
Skærpede krav Hvis kundevurderingen viser en øget risiko for hvidvask eller terrorfinansiering Dog altid hvis: Kunden har hjemsted eller har kunder / leverandører i et land, der er optaget på EU s liste over højrisiko lande Kunden er Politisk Eksponeret Person (PEP) 60 Hvis kundekendskabsprocedurer ikke kan gennemføres Du skal forsøge at gennemføre på anden vis end normalt Du skal vurdere om problemerne medfører mistanke om HTF Du kan/skal evt. afslutte kundeforhold 62 Dokumentation Alt skal kunne dokumenteres, og det skal kunne godtgøres, at man har et tilstrækkeligt kendskab til kunden 63 Materialet må ikke gengives uden tilladelse 16
Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden 64 Forretningsforbindelsens formål og tilsigtede beskaffenhed For at kunne vurdere risikoen for om kunden misbruger revisor eller bogholder til HTF, skal vi have kendskab til forretningsforbindelsens formål og tilsigtede beskaffenhed 65 Forretningsforbindelsens formål Hvad der formålet med det produkt, kunden ønsker at købe? Hvis det ikke står lysende klart, skal vi indhente oplysninger om, hvorfor kunden ønsker en bestemt ydelse Giver kombinationen af formål og produkt anledning til undren? 66 Materialet må ikke gengives uden tilladelse 17
Tilsigtede beskaffenhed Beskrivelse af kundens virksomhed og forretningsmodel Kundens indtægts- og formueforhold Revisorer kan henvise til virksomhedsbeskrivelsen i forbindelse med kvalitetssikringen 67 Kundekendskabsprocedurer 1.Identificerer de reelle ejere 2.Indhente identitetsoplysninger 3.Kontrollere identitetsoplysninger 4.Klarlægge forretningsforbindelsens formål og beskaffenhed 5.Risikovurdering af kunden 69 EU s sanktionsliste Kunden og de reelle ejere skal tjekkes op mod EU s sanktionsliste Execl-ark er med i hvidvaskpakken 70 Materialet må ikke gengives uden tilladelse 18
Risikovurdering af kunden Risikovurderingen skal afklare risikoen for at kunden benytter revisor / bogholder til HTF 71 Risikovurdering af kunden Følgende risikofaktorer skal indgå: Formål Omfang Regelmæssighed Varighed 72 Risikovurdering af kunden Derudover skal der indgå andre relevante risikofaktorer f.eks: Branche Selskabskonstruktion Geografi Udtrykt holdning til overholdelse af skattelovgivningen Hvilke ydelser vi leverer til kunden / og hvilke ydelser kunden har fravalgt 73 Materialet må ikke gengives uden tilladelse 19
Politisk Eksponerede Personer 74 Hvornår gennemføres kundekendskabsprocedurerne Inden arbejdet startes Hvis der ikke vurderes at være risiko for HTF, kan procedurerne færdiggøres samtidig med at arbejdet påbegyndes 80 Hvornår gennemføres kundekendskabsprocedurerne Skal løbende opdateres, så længe forretningsforbindelsen består Ved mistanke om HTF skal der ske en opdatering med henblik på øget overvågning 81 Materialet må ikke gengives uden tilladelse 20
Overvågning Ud fra den risikovurdering, der er lavet på kunden og på virksomheden, skal vi overvåge, om der er transaktioner eller lign., som giver mistanke om HTF Overvågningen skal fange usædvanlige transaktioner og aktiviteter Omfatter også forsøg på usædvanlige transaktioner og aktiviteter 82 Undersøgelsespligt Hvis der er mistanke om HTF, skal det undersøges om mistanken kan be-eller afkræftes I har tavshedspligt om mistanken Det betyder bl.a. at kunden ikke må informeres 83 Noteringspligt Resultaterne af undersøgelserne skal notes og opbevares i 5 år Husk at opbevare dem sikkert. Både så kunden ikke ved en fejl får det udleveret; og så kun de nødvendige personer har adgang 84 Materialet må ikke gengives uden tilladelse 21
Underretningspligt Hvis en mistanke om HTF ikke kan afkræftes Også underretning om afviste kunder. Her er der ikke krav om at have gennemført kundekendskabsprocedurerne 85 Underretningspligt Omgående underretning til SØIK på hvidvask.dk Det anbefales at have jeres virksomhed oprettet på forhånd, da oprettelsen kan tage op til en uge 86 Underretningspligt Hvad med kunden Fortsætte arbejdet Forhindre yderligere HTF. Dog ikke således at kunden får mistanke om underretningen Kort sagt agere som om intet er hændt 87 Materialet må ikke gengives uden tilladelse 22
Ansvar og tavshedspligt Underretninger påfører ikke indretter nogen form for ansvar Underretninger vil ikke være et brud på tavshedspligt 88 Tavshedspligt Kunden har ikke ret til indsigt i oplysningerne vedr. overvågnings-, noterings- og underretningspligten Underretningen skal holdes hemmeligt 89 Tavshedspligt Tavshedspligten er ikke til hindre for, at vi fraråder kunden at udøve ulovlig virksomhed 90 Materialet må ikke gengives uden tilladelse 23
Oplysningspligt Du skal oplyse til personer at du indsamler oplysninger jf. hvidvaskloven og hvad du bruger dem til det fremgår også af persondatapolitikken som vi kommer tilbage til senere. 91 Opbevaringspligt Skal opbevares i mindst 5 år efter ophør af forretningsforbindelsen 92 Opbevaringspligt Persondata SKAL slettes 5 år efter ophør af forretningsforbindelsen. Der er ikke krav om sletning af data vedr. juridiske personer (men data om de reelle ejere er persondata) 93 Materialet må ikke gengives uden tilladelse 24
Intern kontrol Der skal være en intern kontrol med at reglerne overholdes En gang om året kontrolleres at dokumenterne er opdaterede, og der skal tages stikprøver for at sikre, at procedurerne overholdes. Kontrollen dokumenteres (skriv et notat der beskriver, hvad du har gjort og resultatet) 94 Medarbejdere Screening af medarbejdere for at forebygge, at de misbruger deres stilling til HTF Uddannelse af medarbejdere, således at de har tilstrækkelig viden Whistleblowerordning 96 Whistleblowerordning Ved mere end 5 personer ansat Indehaver i PSV og I/S tæller ikke med Ansat rengøringspersonale tæller med Eksternt rengøringspersonale tæller ikke med 97 Materialet må ikke gengives uden tilladelse 25
Persondata hvem er hvem Dataejer: Den fysiske person som data omhandler 99 Persondata hvem er hvem Dataansvarlig: Den fysiske eller juridiske person som er ansvarlig for behandlingen af persondata overfor dataejeren. 100 Persondata hvem er hvem Databehandler: Den fysiske eller juridiske person som behandler persondata på vegne af den dataansvarlige. 101 Materialet må ikke gengives uden tilladelse 26
Hjemmel Man må kun behandle persondata når man har hjemmel til det! 103 Hjemmel Ifølge lov en retslig forpligtelse For at opfylde en aftale med dataejer Et direkte udtrykkeligt samtykke fra dataejer En berettiget interesse, som ikke overstiges af hensynet til dataejer 104 Samtykkeerklæring Medarbejder portræt på webside Ved brug af andre personfølsomme oplysninger 105 Materialet må ikke gengives uden tilladelse 27
Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 106 Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 107 Databehandler vs Dataansvarlig Groft sagt: Vi er dataansvarlig over for kundernes egne persondata Vi er databehandler over persondata på kundernes medarbejdere, kunder og leverandører 108 Materialet må ikke gengives uden tilladelse 28
Databehandler vs Dataansvarlig Hvis opgaven udføres for at kunden kan opfylde f.eks. et lovkrav så er vi databehandler Ingen forskel om vi arbejder på egne eller kundens system 109 Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 111 Interne retningslinjer Udpeg en ansvarlig for persondata Minimere adgang til persondata og opbevar den sikkert Afgør om der skal indhentes samtykke Videregives data til andre f.eks. underdatabehandler 112 Materialet må ikke gengives uden tilladelse 29
Interne retningslinjer 2 Procedurer for dataejerens ret til: Indsigt Indsigelse Berigtigelse 113 Interne retningslinjer 2 Dataportabilitet Procedurer ved sikkerhedsbrud 72 timers fristen 114 Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 116 Materialet må ikke gengives uden tilladelse 30
Persondatapolitik Skal oplyses til dataejer. Kundens ægtefælle? 117 Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 118 Persondatapakken fra FDR/FFB Vejledning inkl. tjekliste Skabelon til databehandleraftaler Interne retningslinjer Forslag til persondatapolitik Forslag til cookiepolitik Persondata og behandlingsfortegnelse 120 Materialet må ikke gengives uden tilladelse 31
Email og cloud drev Hotmail og gmail no go, der tilbydes ikke databehandleraftale G-drev /dropbox kun prof. løsninger Som udgangspunkt kun betalingsløsninger 121 IT sikkerhed Kryptering af bærbar computer Kryptering af email Fildrev i skyen Password manager 123 Konsekvensanalyse Ved indsamling af nye typer data eller ved indførelse af nye it-systemer eller lign. skal der laves en konsekvensanalyse 124 Materialet må ikke gengives uden tilladelse 32
FDR Kurser i efteråret Skattefri virksomhedsomdannelse 6/9 Bestå kvalitetskontrollen 11/9 Opløsning af selskaber 4/10 Faldgruber ved revision 25/10 + 30/10 Den tredje alder -sociale ydelser og indirekte skat 13/11 + 15/11 2-dages kursus i skat og moms 20/11 Virksomhedsordningen i teori og praksis 27/11 Aktuelt om skat 12/12 + 8/1 + 17/1 125 Contar Regnskab ApS Carsten Hedegaard Fohlmann carsten@contar.dk Telefon 7023 1948 126 Materialet må ikke gengives uden tilladelse 33