Lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme (hvidvaskloven) 12, stk. 1-3, og 19, stk. 2 Anvendelse af NemID som legitimation Finanstilsynets fortolkning af 11. marts 2013 Forespørgsel Finanstilsynet har modtaget flere henvendelser fra virksomheder, der er omfattet af hvidvaskloven, samt organisationer som repræsenterer disse virksomheder, med forespørgsel om, hvorledes Nem ID med tilknyttet OCES certifikat kan anvendes til opfyldelse af hvidvasklovens legitimationskrav. NemID NemID med OCES certifikat (herefter benævnt NemID) er et fælles log in til både den private og den offentlige sektor. NemID består af et bruger id, en adgangskode og et kort med "nøgler" (dvs. engangskoder). Når man logger på, taster man først sin bruger id og sin adgangskode og derefter en nøgle fra det personlige nøglekort. NemID er udviklet i samarbejde mellem DanID og Digitaliseringsstyrelsen. DanID har mulighed for at lade andre, herunder kommuner og pengeinstitutter, som såkaldt Registration Authorities at varetage opgaven vedrørende registrering af brugere i forbindelse med registrering og udstedelse af Digital Signatur (OCES certificere), der er den underliggende teknologi for NemID i det offentlige.
Finanstilsynet har noteret, at der foreligger et aftalegrundlag udarbejdet af Finansrådet og DanID, som giver de banker, der enkeltvist har indgået aftale med DanID om NemID, mulighed for at udstede NemID til bankens kunder. Hvidvasklovens legitimationskrav for privatkunder Det fremgår af hvidvaskloven 12, stk. 1, at virksomheder skal have kendskab til deres kunder, herunder kræve at kunderne legitimerer sig, når der optages en forretningsmæssig forbindelse. Er kunden en fysisk person, følger det af 12, stk. 2, at legitimationen skal omfatte navn, adresse og CPR nr., eller anden lignende dokumentation, hvis den pågældende ikke har et CPR nr. 12, stk. 7, i hvidvaskloven giver mulighed for, at virksomheden kan gennemføre legitimationsproceduren ud fra en risikovurdering afhængig af risikoen ved den enkelte kunde eller forretningsforbindelse, produktet eller transaktionen. Hvidvaskloven stiller, jf. 19, stk. 2, skærpede krav til legitimationsproceduren i de situationer, hvor et kundeforhold etableres, uden at den pågældende kunde har været fysisk til stede for at legitimere sig. I sådanne tilfælde skal der træffes yderligere foranstaltninger for at sikre kundens rette identitet. Det følger af Finanstilsynets hvidvaskvejledning, at en sådan yderligere foranstaltning kan være, at kunden underskriver dokumenter ved hjælp af digital signatur. Finanstilsynets hvidvaskvejledning indeholder ikke en nærmere beskrivelse af anvendelsen af NemID.
Finanstilsynets fortolkning Kravet i hvidvasklovens 12, stk. 2, indebærer, at virksomheden altid skal indhente følgende identitetsoplysninger: Navn Adresse CPR nr. eller anden lignende identifikationsoplysning, hvis kunden ikke har et CPR nr. Såvel navn, adresse og CPR nr. skal som udgangspunkt kontrolleres på grundlag af dokumenter, data m.v. (legitimation). Dokumentationen skal stamme fra pålidelige og uafhængige kilder, hvilket typisk vil sige, at legitimationen skal være udstedt af eller stamme fra offentlig myndighed. Hertil kommer, at de oplysninger, der følger af dokumenterne, skal være aktuelle. Hvidvasklovens 12, stk. 7, giver mulighed for at foretage legitimationsproceduren ved anvendelse af en risikovurdering afhængig af risikoen ved den enkelte kunde eller forretningsforbindelse, produktet eller transaktionen. Hvor meget og hvilken type legitimation, der skal indhentes, afhænger af en konkret risikovurdering. Virksomheden, som optager forretningsforbindelsen med kunden, skal være overbevist om, at kunden er den person, som kunden udgiver sig for at være. En risikovurdering kan aldrig føre til, at der ikke foretages nogen form for legitimationshandling. Anvendelse af NemID som led i kundelegitimeringen vil primært være relevant i situationer, hvor kunden ikke er fysisk tilstede for at legitimere sig. I sådanne situationer stiller hvidvaskloven, jf. ovenfor, krav om, at der træffes yderligere foranstaltninger for at sikre en kundes identitet. Dette gælder også tilfælde, der efter en konkret risikovurdering vurderes at være forbundet med lavere risiko. NemID kan anvendes i legitimationsproceduren til opfyldelse af hvidvasklovens krav, dog således at NemID ikke kan stå alene. NemID vil imidlertid kunne anvendes som en supplerende legitimationsforanstaltning, jf. hvidvaskloven 19, stk. 2, nr. 1.
Fører en konkret risikovurdering til, at der er tale om et kundeforhold/produkt, der vurderes forbundet med lav risiko for hvidvask og finansiering af terrorisme (der henvises til Finanstilsynets hvidvaskvejledning), kan det til opfyldelse af legitimationskravet i hvidvasklovens 12, stk. 2, sammenholdt med 19, stk. 2, anses tilstrækkeligt at: Kunden underskriver dokumenter ved anvendelse af NemID som bekræftelse på kundens navn (identitet), og at virksomheden sammenholder de fra kunden modtagne oplysninger med oplysningerne i CPR registret, som bekræftelse på kundens adresse og CPR nr. Opmærksomheden henledes på, at virksomheden i henhold til hvidvasklovens 12, stk. 5, skal overvåge de transaktioner, der foretages af virksomhedens kunder, og at denne overvågning kan føre til en ændret risikovurdering med deraf følgende behov for yderligere legitimation. Det er virksomhedens ansvar, at legitimationsproceduren er tilstrækkelig, hvilket i hvert enkelt kundeforhold skal kunne dokumenteres overfor tilsynsmyndigheden. Udstedere af NemID med OCES certifikat, herunder de banker, der som Registration Authority har medvirket ved udstedelse af NemID, kan ikke som følge af andre virksomheders brug af NemID i henhold til hvidvaskloven ifalde ansvar, såfremt det viser sig, at NemID er udstedt på et svigagtigt eller mangelfuldt grundlag. Virksomheden skal notere kontroloplysningerne, jf. hvidvaskloven 23, stk. 2, jf. 1, stk. 1, nr. 8. Ved mistanke om hvidvask eller finansiering af terrorisme, skal der træffes yderligere foranstaltninger, jf. hvidvasklovens 11.
Opbevaring og dokumentation Det følger af hvidvasklovens 23, stk. 1, at de af loven omfattede virksomheder og personer skal opbevare identitetsoplysninger i mindst 5 år efter, at kundeforholdet er ophørt. Ved identitetsoplysninger forstås faktiske oplysninger om en person eller virksomhed. De identitetsoplysninger, der kræves for kunder, henholdsvis fysiske kunder og virksomhedskunder, fremgår af 12, stk. 2 3. Udtrykket identitetsoplysninger i 23, stk. 2, skal forstås som både identitets og kontroloplysninger. Ved kontroloplysninger forstås oplysninger om den legitimation, som er tilvejebragt for kontrollere, at identitetsoplysningerne er korrekte. Kravet omfatter således også, at virksomheden opbevarer oplysninger om, hvilke legitimationsdokumenter, der er anvendt. Denne fortolkning skal ses i sammenhæng med den generelle forudsætning om, at virksomheden skal kunne godtgøre over for tilsynsmyndigheden, at legitimations proceduren har været tilstrækkelig i forhold til risikoen for hvidvask og terrorfinansiering. Hvis kunden er legitimeret ved NemID og samkørsel med CPR registeret, skal dette noteres på sagen. Samtidig skal virksomheden kunne dokumentere overfor Finanstilsynet, at denne har foretaget en risikovurdering, som indebærer at NemID og samkørsel med CPR registeret er tilstrækkelig legitimation, jf. hvidvasklovens 12, stk. 7. Kilde: Finanstilsynet.dk http://finanstilsynet.dk/da/regler og praksis/tilsynsreaktioner/2013/hvidvask 12 19 NemID.aspx