NemID som legitimering i henhold til hvidvaskningsloven

Lov om forebyggende foranstaltninger mod
hvidvask af udbytte og finansiering af
terrorisme (hvidvaskloven) § 12, stk. 1-3, og §
19, stk. 2 – Anvendelse af NemID som
legitimation
Finanstilsynets fortolkning af 11. marts 2013
Forespørgsel
Finanstilsynet har modtaget flere henvendelser fra virksomheder, der er omfattet
af hvidvaskloven, samt organisationer som repræsenterer disse virksomheder,
med forespørgsel om, hvorledes Nem­ID med tilknyttet OCES­certifikat kan
anvendes til opfyldelse af hvidvasklovens legitimationskrav.
NemID
NemID med OCES­certifikat (herefter benævnt NemID) er et fælles log­in til
både den private og den offentlige sektor. NemID består af et bruger­id, en
adgangskode og et kort med "nøgler" (dvs. engangskoder). Når man logger på,
taster man først sin bruger­id og sin adgangskode og derefter en nøgle fra det
personlige nøglekort.
NemID er udviklet i samarbejde mellem DanID og Digitaliseringsstyrelsen.
DanID har mulighed for at lade andre, herunder kommuner og pengeinstitutter,
som såkaldt ”Registration Authorities” at varetage opgaven vedrørende
registrering af brugere i forbindelse med registrering og udstedelse af Digital
Signatur (OCES­certificere), der er den underliggende teknologi for NemID i det
offentlige.
Penneo ApS
Holsteinsgade 29B, Kld. 2100 København Ø ­ Østergade 47A­B, 9400 Nørresundby/Aalborg
[email protected] ­ +45 60204002
Finanstilsynet har noteret, at der foreligger et aftalegrundlag udarbejdet af
Finansrådet og DanID, som giver de banker, der enkeltvist har indgået aftale
med DanID om NemID, mulighed for at udstede NemID til bankens kunder.
Hvidvasklovens legitimationskrav for privatkunder
Det fremgår af hvidvaskloven § 12, stk. 1, at virksomheder skal have kendskab
til deres kunder, herunder kræve at kunderne legitimerer sig, når der optages en
forretningsmæssig forbindelse. Er kunden en fysisk person, følger det af § 12,
stk. 2, at legitimationen skal omfatte navn, adresse og CPR­nr., eller anden
lignende dokumentation, hvis den pågældende ikke har et CPR­nr.
§ 12, stk. 7, i hvidvaskloven giver mulighed for, at virksomheden kan
gennemføre legitimationsproceduren ud fra en risikovurdering afhængig af
risikoen ved den enkelte kunde eller forretningsforbindelse, produktet eller
transaktionen.
Hvidvaskloven stiller, jf. § 19, stk. 2, skærpede krav til legitimationsproceduren i
de situationer, hvor et kundeforhold etableres, uden at den pågældende kunde
har været fysisk til stede for at legitimere sig. I sådanne tilfælde skal der træffes
yderligere foranstaltninger for at sikre kundens rette identitet. Det følger af
Finanstilsynets hvidvaskvejledning, at en sådan yderligere foranstaltning kan
være, at kunden underskriver dokumenter ved hjælp af digital signatur.
Finanstilsynets hvidvaskvejledning indeholder ikke en nærmere beskrivelse af
anvendelsen af NemID.
Penneo ApS
Holsteinsgade 29B, Kld. 2100 København Ø ­ Østergade 47A­B, 9400 Nørresundby/Aalborg
[email protected] ­ +45 60204002
Finanstilsynets fortolkning
Kravet i hvidvasklovens § 12, stk. 2, indebærer, at virksomheden altid skal
indhente følgende identitetsoplysninger:
● Navn
● Adresse
● CPR­nr. eller anden lignende identifikationsoplysning, hvis kunden ikke
har et CPR­nr.
Såvel navn, adresse og CPR­nr. skal som udgangspunkt kontrolleres på
grundlag af dokumenter, data m.v. (legitimation). Dokumentationen skal stamme
fra pålidelige og uafhængige kilder, hvilket typisk vil sige, at legitimationen skal
være udstedt af eller stamme fra offentlig myndighed. Hertil kommer, at de
oplysninger, der følger af dokumenterne, skal være aktuelle.
Hvidvasklovens § 12, stk. 7, giver mulighed for at foretage
legitimationsproceduren ved anvendelse af en risikovurdering afhængig af
risikoen ved den enkelte kunde eller forretningsforbindelse, produktet eller
transaktionen. Hvor meget og hvilken type legitimation, der skal indhentes,
afhænger af en konkret risikovurdering. Virksomheden, som optager
forretningsforbindelsen med kunden, skal være overbevist om, at kunden er den
person, som kunden udgiver sig for at være. En risikovurdering kan aldrig føre
til, at der ikke foretages nogen form for legitimationshandling.
Anvendelse af NemID som led i kundelegitimeringen vil primært være relevant i
situationer, hvor kunden ikke er fysisk tilstede for at legitimere sig. I sådanne
situationer stiller hvidvaskloven, jf. ovenfor, krav om, at der træffes yderligere
foranstaltninger for at sikre en kundes identitet. Dette gælder også tilfælde, der
efter en konkret risikovurdering vurderes at være forbundet med lavere risiko.
NemID kan anvendes i legitimationsproceduren til opfyldelse af hvidvasklovens
krav, dog således at NemID ikke kan stå alene. NemID vil imidlertid kunne
anvendes som en supplerende legitimationsforanstaltning, jf. hvidvaskloven §
19, stk. 2, nr. 1.
Penneo ApS
Holsteinsgade 29B, Kld. 2100 København Ø ­ Østergade 47A­B, 9400 Nørresundby/Aalborg
[email protected] ­ +45 60204002
Fører en konkret risikovurdering til, at der er tale om et kundeforhold/produkt, der
vurderes forbundet med lav risiko for hvidvask og finansiering af terrorisme (der
henvises til Finanstilsynets hvidvaskvejledning), kan det til opfyldelse af
legitimationskravet i hvidvasklovens § 12, stk. 2, sammenholdt med § 19, stk. 2,
anses tilstrækkeligt at:
● Kunden underskriver dokumenter ved anvendelse af NemID som
bekræftelse på kundens navn (identitet), og
● at virksomheden sammenholder de fra kunden modtagne oplysninger
med oplysningerne i CPR­registret, som bekræftelse på kundens
adresse og CPR­nr.
Opmærksomheden henledes på, at virksomheden i henhold til hvidvasklovens §
12, stk. 5, skal overvåge de transaktioner, der foretages af virksomhedens
kunder, og at denne overvågning kan føre til en ændret risikovurdering med
deraf følgende behov for yderligere legitimation.
Det er virksomhedens ansvar, at legitimationsproceduren er tilstrækkelig, hvilket
i hvert enkelt kundeforhold skal kunne dokumenteres overfor
tilsynsmyndigheden.
Udstedere af NemID med OCES­certifikat, herunder de banker, der som
”Registration Authority” har medvirket ved udstedelse af NemID, kan ikke som
følge af andre virksomheders brug af NemID i henhold til hvidvaskloven ifalde
ansvar, såfremt det viser sig, at NemID er udstedt på et svigagtigt eller
mangelfuldt grundlag.
Virksomheden skal notere kontroloplysningerne, jf. hvidvaskloven
§ 23, stk. 2, jf. § 1, stk. 1, nr. 8.
Ved mistanke om hvidvask eller finansiering af terrorisme, skal der træffes
yderligere foranstaltninger, jf. hvidvasklovens § 11.
Penneo ApS
Holsteinsgade 29B, Kld. 2100 København Ø ­ Østergade 47A­B, 9400 Nørresundby/Aalborg
[email protected] ­ +45 60204002
Opbevaring og dokumentation
Det følger af hvidvasklovens § 23, stk. 1, at de af loven omfattede virksomheder
og personer skal opbevare identitetsoplysninger i mindst 5 år efter, at
kundeforholdet er ophørt.
Ved ”identitetsoplysninger” forstås faktiske oplysninger om en person eller
virksomhed. De identitetsoplysninger, der kræves for kunder, henholdsvis
fysiske kunder og virksomhedskunder, fremgår af § 12, stk. 2­3. Udtrykket
”identitetsoplysninger” i § 23, stk. 2, skal forstås som både identitets­ og
kontroloplysninger. Ved kontroloplysninger forstås oplysninger om den
legitimation, som er tilvejebragt for kontrollere, at identitetsoplysningerne er
korrekte.
Kravet omfatter således også, at virksomheden opbevarer oplysninger om,
hvilke legitimationsdokumenter, der er anvendt. Denne fortolkning skal ses i
sammenhæng med den generelle forudsætning om, at virksomheden skal kunne
godtgøre over for tilsynsmyndigheden, at legitimations­proceduren har været
tilstrækkelig i forhold til risikoen for hvidvask og terrorfinansiering. Hvis kunden
er legitimeret ved NemID og samkørsel med CPR­registeret, skal dette noteres
på sagen.
Samtidig skal virksomheden kunne dokumentere overfor Finanstilsynet, at
denne har foretaget en risikovurdering, som indebærer at NemID og samkørsel
med CPR­registeret er tilstrækkelig legitimation, jf. hvidvasklovens § 12, stk. 7.
Kilde:
Finanstilsynet.dk
http://finanstilsynet.dk/da/Regler­og­praksis/Tilsynsreaktioner/2013/Hvidvask­12­19­NemID.aspx
Penneo ApS
Holsteinsgade 29B, Kld. 2100 København Ø ­ Østergade 47A­B, 9400 Nørresundby/Aalborg
[email protected] ­ +45 60204002