Vejledning om Sådan laver du din virksomheds skriftlige politikker, forretningsgange og kontroller efter hvidvasklovens §8

Seneste opdatering 3. december 2025

Denne guide er til ikke-finansielle virksomheder, herunder revisorer, eksterne bogholdere, serviceproviders, skatterådgivere, ejendomsmæglere og kunsthandlere. Guiden hjælper dig med at udarbejde skriftlige politikker, forretningsgange og kontroller, som er nødvendige for at overholde hvidvaskloven og bekæmpe hvidvask samt terrorfinansiering.

  • Version 1 
  • Ansvarlig [email protected]

Indledning

Guiden er praktisk orienteret og målrettet mindre virksomheder, som med guiden i hånden vil være klædt på til at udarbejde politikker, forretningsgange og kontroller. Når du følger guiden, vil du blive ledt igennem de krav, som hvidvaskloven stiller til din virksomheds materiale. Du vil samtidig blive vejledt i de overvejelser, som du skal gøre dig, for at kunne udarbejde materialet.

Du skal først udarbejde en risikovurdering. Med en risikovurdering ved du, hvor din virksomhed er udsat for at blive misbrugt. Det er på baggrund af din viden fra risikovurderingen, at du kan udarbejde politikker, forretningsgange og kontroller, der effektivt kan bruges til at forebygge, begrænse og styre risiciene i din virksomhed.

Hvidvask er et forsøg på at skjule, at indtægter stammer fra en kriminel handling som fx skatte- og momsunddragelse, underslæb, salg af narkotika, mandatsvig, afpresning, tyveri, røveri, menneske- eller våbensmugling. Formålet med hvidvask er at få ulovligt udbytte fra en kriminel handling til at se ud som om, at det er erhvervet på lovlig vis. 

Finansiering af terrorisme er kendetegnet ved at være mindre overførsler af penge til lande eller geografiske områder, hvor der er terroraktivitet. Formålet er at finansiere terroraktiviteter i de lande, hvor midlerne overføres til. Terrorfinansiering sker oftest med midler, der er erhvervet på lovlig vis. Hvidvask og terrorfinansiering er derfor to vidt forskellige forbrydelser, som skal risikovurderes og forebygges forskelligt.

Kapitel
1
Derfor skal du udarbejde politikker, forretningsgange og kontroller

Som revisor, ekstern bogholder, serviceprovider, skatterådgiver, ejendomsmægler eller kunsthandler udbyder du ydelser, som kriminelle kan bruge til at skjule indtægter fra ulovlige handlinger som fx skatte- og momsunddragelse eller salg af narkotika, eller skjule finansiering af terroraktiviteter. Derfor er din virksomhed udsat for at blive misbrugt til hvidvask og terrorfinansiering. 

Din virksomheds forretningsmodel er afgørende for, hvordan din virksomhed kan blive misbrugt. Det afhænger fx af, hvilke ydelser du udbyder, hvilke kunder du har, og hvordan du er i kontakt med dine kunde.

Med politikker, forretningsgange og kontroller kan du effektivt forebygge, at din virksomhed misbruges til hvidvask og terrorfinansiering. Det kan du bl.a., fordi du tilrettelægger forebyggende handlinger til netop din virksomheds risici.

1.1. Sådan gør du

Du skal først konkludere på din virksomheds risikovurdering og tage stilling til de risici, som er i din virksomhed. Med overblik over din virksomheds risikoområder skal du tage stilling til, hvordan du kan nedbringe din virksomheds risici. 

Du skal tage stilling til, hvordan du sikrer, at dine forebyggende handlinger altid står mål med de risici, som din virksomhed er udsat for. Det skal du skrive ned i din virksomheds politikker. Derefter skal du udarbejde forretningsgange. Det er din virksomheds konkrete og operationelle udmøntning af politikkerne. De skal beskrive de konkrete handlinger, der skal forebygge, at din virksomhed bliver misbrugt til hvidvask og terrorfinansiering. 

Samtidig skal du etablere kontroller. Intern kontrol skal sikre, at du følger din virksomheds forretningsgange og overholder din virksomheds politikker og hvidvaskloven. 

Illustration der viser hvordan Hvidvasklovens §8 overholdes

Du kan udarbejde din virksomheds politikker, forretningsgange og kontroller i et eller flere dokumenter. Du kan søge inspiration i standardpolitikker, -forretningsgange og -kontroller fx fra din brancheorganisation. 

Du skal dog være opmærksom på, at din virksomheds konkrete risikofaktorer skal være afspejlet i standardmaterialet, ligesom du skal sikre, at materialet håndterer de risici, som er i netop din virksomhed. Materialet skal derfor tilpasses din virksomhed.

Kapitel
2
Politikker

I din virksomheds politikker skal du tage stilling til, hvilke risici du vil tillade i din virksomhed, og hvordan du skal håndtere din virksomheds risici. Politikkerne skal sikre, at der udarbejdes effektive forretningsgange, og at nye risici opdages og håndteres. 

Du skal samtidig tage stilling til, om der er risici, som du ikke vil tillade. Det kan fx være ydelser, som du ikke vil udbyde, eller kundetyper, som du ikke vil have i din virksomhed, fordi de indebærer en risiko, som du ikke ønsker, at din virksomhed skal påtage sig. 

Du skal afgrænse din virksomheds risici til risikoområder og tage stilling til, hvilke risici din virksomheds forretningsgange skal håndtere. Udbyder du fx ydelser til lande med forhøjet risiko for hvidvask og terrorfinansiering, skal du forholde dig til, hvordan du sikrer, at der udarbejdes forretningsgange, som nedbringer denne risiko. Har din virksomhed forretningsområder med begrænset risiko, er det f.eks. relevant at tage stilling til, om der skal anvendes lempede kundekendskabsprocedurer ved begrænset risiko. 

Derudover skal du tage stilling til risikostyring. Risikostyring er din virksomheds opmærksomhed på risici, og hvordan din virksomhed reagerer på nye konstaterede risici. 

Det er en kontinuerlig proces, hvor nye risici identificeres, vurderes og håndteres. Du skal tage stilling til, hvad risikostyringen skal bestå af, på hvilket grundlag der skal reageres på nye risici, og hvem der skal være ansvarlig for hvidvaskområdet i din virksomhed

2.1. Politikker - Trin for trin

Skriv ned i din virksomheds politikker, hvilke risici du vil tillade i din virksomhed. 

2.2. Politikker - Trin 1: Risici

Tag stilling til og beskriv, om der er risici, som du ikke ønsker, at din virksomhed skal påtage sig.

Du skal tage stilling til, om der er kundetyper, ydelser, leveringskanaler, lande eller geografiske områder, som du ikke ønsker i din virksomhed. Det kan fx være lande, som du ikke ønsker at levere ydelser til på grund af landenes øgede risiko for korruption eller anden kriminalitet, eller at du ikke ønsker kundeforhold, hvor du fx ikke møder kunden fysisk. 

Beskriv, hvor høj grad af risiko du vil tillade i din virksomhed (risikovillighed). 

Udbyder din virksomhed fx ydelser til kunder, som du ved tidligere har været indblandet i økonomisk kriminalitet, påtager din virksomhed sig høj risiko, som er udtryk for høj risikovillighed. Din virksomheds risikovillighed er udgangspunktet for at tage stilling til, hvordan der skal reageres på nye konstaterede risici.

Fakta om

Vær opmærksom på, at der ikke er noget forkert i at påtage sig høj risiko. Du skal blot håndtere de risici, som din virksomhed påtager sig.

2.3. Politikker - Trin 2: Risikoområder

Skriv ned i din virksomheds politikker, hvilke risikoområder der er i din virksomhed, og hvilke risici din virksomheds forretningsgange skal håndtere.

Beskriv de risikoområder, der er i din virksomhed. 

Med udgangspunkt i din virksomheds risikovurdering skal du afgrænse de identificerede risikofaktorer til risikoområder i din virksomhed. Du kan opdele risikoområderne i forskellige grader af risiko, så du fx grupperer områder med begrænset risiko, normal risiko og høj risiko. Områder med høj risiko kan f.eks. være kundeforhold, hvor du ikke møder kunden fysisk, eller hvor kunden er en politisk eksponeret person. 

Beskriv, hvordan din virksomheds forretningsgange skal udarbejdes for at nedbringe din virksomheds risici. 

Har din virksomhed fx områder med høj risiko, skal du sikre, at der udarbejdes forretningsgange, som håndterer denne høje risiko. Har din virksomhed områder med begrænset risiko, er det fx relevant at tage stilling til, om der skal anvendes lempede kundekendskabsprocedurer ved begrænset risiko.

Fakta om

Vær opmærksom på, at du ikke skal beskrive de konkrete handlinger, som skal udføres. Dem skal du beskrive i din virksomheds forretningsgange.

2.4. Politikker - Trin 3: Risikostyring

Skriv ned i din virksomheds politikker, hvordan risikostyring skal sikre, at nye risici opdages og håndteres.

Beskriv, hvilke risici risikostyringen skal håndtere.

Formålet med risikostyring er at forebygge, at din virksomhed misbruges til hvidvask og terrorfinansiering.

Beskriv, hvor ansvaret for risikostyringen ligger. 

Du kan udpege en, der er ansvarlig for hvidvaskområdet. I mindre virksomheder med få eller ingen ansatte kan ansvaret fx ligge hos indehaveren.

Beskriv, hvilket ansvar der ligger hos den ansvarlige på hvidvaskområdet. 

Den ansvarlige på hvidvaskområdet skal opdage nye risici og tage hånd om dem. Det indebærer bl.a., at vedkommende skal sikre, at virksomhedens risikovurdering samt politikker, forretningsgange og kontroller til enhver tid er opdaterede, så de tager hånd om de risici, som din virksomhed er udsat for.

Kapitel
3
Forretningsgange

I din virksomheds forretningsgange skal du beskrive, hvordan du i praksis forebygger, at din virksomhed bliver misbrugt til hvidvask og terrorfinansiering. Forretningsgangene skal sikre, at din forebyggelse er effektiv, og at du overholder hvidvaskloven. 

Din virksomhed skal overholde en række regler og pligter efter hvidvaskloven, der fordeler sig på følgende områder: 

  1. Risikostyring
  2. Kundekendskabsprocedurer
  3. Undersøgelses- og noteringspligt
  4. Underretningspligt
  5. Opbevaring af oplysninger
  6. Screening af medarbejdere
  7. Intern kontrol (Læs om intern kontrol i kapitel 4)

I din virksomheds forretningsgange skal du beskrive, hvad du i praksis skal gøre for at forebygge, at din virksomhed bliver misbrugt til hvidvask og terrorfinansiering. Du skal fx beskrive, hvordan du skal gennemføre kundekendskabsprocedurer. Procedurerne skal tilrettelægges i overensstemmelse med hvidvasklovens regler og din virksomheds politikker. Du skal beskrive, af hvem og hvordan procedurerne konkret skal udføres.

3.1. 1. Risikostyring

Du skal løbende opdage nye risici og tage stilling til dem. Risikostyring skal sikre, at der tages hånd om de risici, som din virksomhed er udsat for. Du skal beskrive din risikostyring i din virksomheds forretningsgange. 

Definition

Risikostyring er din virksomheds opmærksomhed på risici, og hvordan din virksomhed reagerer på og indarbejder nye konstaterede risici.

Din virksomheds risiko for at blive misbrugt til hvidvask og terrorfinansiering afhænger af, hvilken adgang kriminelle har til at misbruge din virksomheds ydelser. Der er flere faktorer, som har indflydelse på denne risiko. Der kan være udefrakommende faktorer som samfundsmæssige ændringer, teknologisk udvikling eller ændringer i lovgivning, som ændrer på de kriminelles metoder og dermed din virksomheds risiko. 

Derudover kan din virksomheds risiko ændres som følge af ændringer i din virksomheds forretningsmodel, hvis du fx udvider din kundeportefølje med nye kundetyper eller udbyder nye ydelser. Du skal derfor tilrettelægge en risikostyring, som sikrer, at nye risici opdages og håndteres.

Skriv ned i din virksomheds forretningsgange, hvordan du i praksis skal udføre risikostyring. 

Tag stilling til, hvem der skal være ansvarlig for hvidvaskområdet i din virksomhed. 

Du skal sætte navn på den ansvarlige på hvidvaskområdet. 

Beskriv, hvordan ændringer i risikobilledet kan opdages.

Den ansvarlige på hvidvaskområdet kan være opmærksom på udgivelser af nye nationale- eller supranationale risikovurderinger, eller rapporter fra Financial Action Task Force (FATF), som med mellemrum tager stilling til ændringer i risikobilledet. Derudover kan der abonneres på nyhedsbreve fra brancheorganisationer og myndigheder, som løbende informerer om nye tendenser på hvidvaskområdet. 

Beskriv, hvordan ændringer i virksomhedens forretningsmodel kan opdages. 

Din virksomheds medarbejdere kan fx rapportere til den ansvarlige på hvidvaskområdet, hvis de bliver opmærksomme på ændringer i ydelser, kundetyper, leveringskanaler eller geografiske områder.

Beskriv, hvornår virksomhedens risikovurdering samt politikker, forretningsgange og kontroller skal opdateres. 

Hvis virksomhedens risikovurdering ændres som led i risikostyringen eller i forbindelse med årlig opdatering, skal virksomhedens politikker, forretningsgange og kontroller opdateres.

Fakta om

Vær opmærksom på, at virksomhedens risikovurdering skal opdateres mindst én gang om året.

Beskriv, hvordan der skal reageres på nye risici. 

Din virksomheds risikovillighed er rettesnor for, hvordan der skal reageres på nye risici. I din virksomheds politik for risikostyring har du taget stilling til, hvor høj grad af risiko du er villig til, at din virksomhed skal påtage sig. Det er på baggrund af disse overvejelser, at der kan tages stilling til, om din virksomhed skal påtage sig en ny risiko eller ej.

Beskriv, hvordan nye risici skal indarbejdes i praksis. 

Du skal beskrive, hvad processen er for opdatering af virksomhedens risikovurdering samt politikker, forretningsgange og kontroller.

Beskriv, hvordan overtrædelse af virksomhedens politikker og forretningsgange skal håndteres. 

Afhængigt af overtrædelsens karakter og omfang, kan en overtrædelse fx give anledning til opdatering af virksomhedens politikker og forretningsgange.

3.2. 2. Kundekendskabsprocedurer

Du skal gennemføre kundekendskabsprocedurer på dine kunder, så du ved, hvem dine kunder er. Det gør dig i stand til at opdage, hvis deres aktiviteter har tilknytning til hvidvask og terrorfinansiering. Du skal beskrive dine kundekendskabsprocedurer i din virksomheds forretningsgange. 

Du skal forebygge, at dine kunder misbruger dine ydelser til hvidvask og terrorfinansiering ved at vide, hvem dine kunder er, og hvad dine kunder skal bruge dine ydelser til. Derfor skal du gennemføre kundekendskabsprocedurer, hvor du bl.a. kontrollerer, at kunden er den, som kunden udgiver sig for at være. 

Som en del af kundekendskabsprocedurerne skal du vurdere, hvilken risiko det enkelte kundeforhold udgør. Er kunden fx distancekunde, som du aldrig eller kun sjældent mødes med fysisk, kan der være en øget risiko for, at kunden misbruger din virksomhed. Risikovurderingen af det enkelte kundeforhold skal du bruge til at fastslå omfanget af dine kundekendskabsprocedurer, og i hvilken grad du skal overvåge kunden. 

Du skal med mellemrum gennemføre kundekendskabsprocedurer, så du er sikker på, at du har de rigtige oplysninger om dine kunder. Du skal løbende overvåge dine kunders aktiviteter og vurdere, om deres adfærd svarer til det, som du forventer hos dem. Du skal sammenholde kundens adfærd med sammenlignelige kunders adfærd. Har du fx flere virksomhedskunder inden for samme branche, skal du være opmærksom på, om deres adfærd ligner hinanden, eller om én kundes adfærd fx skiller sig ud. Hvis en kunde agerer usædvanligt, kan det være tegn på aktiviteter, som har tilknytning til hvidvask og terrorfinansiering.

Skriv ned i din virksomheds forretningsgange, at du skal gennemføre kundekendskabsprocedurer, når: 

  • Du får en ny kunde
  • En kundes relevante omstændigheder ændrer sig
  • Det er et passende tidspunkt
  • Du har mistanke om hvidvask eller terrorfinansiering
  • Du er i tvivl om oplysninger, du tidligere har indhentet.

Beskriv, hvornår du har fået en ny kunde. 

Du har fået en ny kunde, når det er aftalt, at du skal levere dine ydelser til kunden. Du har derfor ikke fået en ny kunde, hvis du giver et tilbud.

Beskriv, hvornår en kundes ændrede omstændigheder er relevante.

Det kan fx være ændringer i kundens ejerkreds eller i kundens efterspørgsel på dine ydelser.

Beskriv, hvornår det er et passende tidspunkt at gentage kundekendskabsprocedurer. 

Du skal gennemføre kundekendskabsprocedure med passende intervaller i løbet af et kundeforhold.

Skriv ned i din virksomheds forretningsgange, at du skal indhente identitetsoplysninger på dine kunder, og at du skal kontrollere oplysningernes rigtighed.

Beskriv, hvilke identitetsoplysninger du skal indhente, og hvordan du skal indhente dem.

Hvis kunden er en fysisk person, skal du indhente navn og CPR-nummer. Hvis kunden er en juridisk person, skal du indhente navn og CVR-nummer. Du kan bede din kunde oplyse sine identitetsoplysninger mundtligt eller sende oplysningerne i en sikker e-mail. 

Beskriv, hvordan du skal kontrollere din kundes identitetsoplysninger ved en pålidelig og uafhængig kilde. 

Hvis din kunde er en fysisk person kan pas, kørekort eller sundhedskort være kontrolkilder. Hvis din kunde er en juridisk person, kan kontrollen bestå i opslag i CVR (Det Centrale Virksomhedsregister) eller kopi af stiftelsesdokumenter eller vedtægter.

Skriv ned i din virksomheds forretningsgange, at du skal klarlægge en kundevirksomheds ejer og kontrolstruktur.

Beskriv, hvordan du klarlægger en kundevirksomheds ejer- og kontrolstruktur.

Hvis din kunde er en virksomhed, skal du identificere, hvem der ejer og kontrollerer virksomheden (reelle ejere). Du kan fx undersøge ejeraftaler. 

Beskriv, hvilke identitetsoplysninger du skal indhente på de reelle ejere, og hvordan du skal indhente dem. 

Du skal indhente navn og CPR-nummer på fysiske personer. 

Beskriv, hvordan du skal kontrollere identitetsoplysningerne på de reelle ejere. 

Du kan fx kontrollere identiteten på fysiske personer ved at indhente pas eller kørekort.

Skriv ned i din virksomheds forretningsgange, at du skal vurdere din kundes formål og tilsigtede beskaffenhed.

Beskriv, hvordan du skal vurdere en kundes formål med forretningsforbindelsen.

Du skal vurdere, hvad kunden skal bruge dine ydelser til. Det følger oftest af ydelsen og giver oftest ikke anledning til spørgsmål. Det kan dog være nødvendigt at spørge kunden.

Beskriv, hvordan du skal vurdere en kundes tilsigtede beskaffenhed. 

Du skal vurdere, hvad der ligger til grund for, at kunden skal bruge dine ydelser. Det kan fx bestå i at forstå, hvor kundens midler kommer fra, herunder hvordan en kundevirksomhed opnår sin indtjening. Det kan 
være nødvendigt at spørge kunden.

 Skriv ned i din virksomheds forretningsgange, at du løbende skal overvåge dine kunder. 

Beskriv, hvordan du skal overvåge dine kunder. 

Din risikovurdering af den enkelte kunde har betydning for omfanget af din overvågning af kunden. 

Skriv ned i din virksomheds forretningsgange, at du løbende skal ajourføre oplysninger om dine kunder. 

Beskriv, hvordan du skal ajourføre oplysningerne om dine kunder.

Du skal løbende opdatere de oplysninger og dokumenter, som du enten har modtaget fra dine kunder eller observeret om dine kunder som led i kundekendskabsprocedurer og løbende overvågning.

Skriv ned i din virksomheds forretningsgange, at du skal vurdere, hvilken risiko den enkelte kunde udgør.

Beskriv, hvordan du skal vurdere risikoen ved det enkelte kundeforhold.

Du skal vurdere risikoen ved den ydelse, som kunden ønsker, samt forholde dig til kundeforholdets formål, omfang, regelmæssighed og varighed. Du skal inddrage de faktorer, som følger af Hvidvasklovens bilag 2 og 3. På den baggrund kan du vurdere, om kundeforholdet udgør en normal risiko, eller om kundeforholdet indebærer en øget eller begrænset risiko for din virksomhed.

Find Hvidvasklovens bilag 2 og 3 på Retsinformation.dk

Beskriv, hvilken betydning risikovurderingen har for omfanget af dine kundekendskabsprocedurer.

Skriv ned i din virksomheds forretningsgange, at du skal fastlægge, om dine kunder er politisk eksponerede (PEP) eller nærtstående eller nær samarbejdspartner til en PEP.

Beskriv, hvordan du skal fastlægge, om dine kunder er PEP eller nærtstående eller nær samarbejdspartner til en PEP.

Du kan bede din kunde be- eller afkræfte, at kunden er PEP eller nærtstående eller nær samarbejdspartner til en PEP. Du kan derudover slå op i PEP-listen, som er en liste over politisk eksponerede personer i Danmark. Vær dog opmærksom på, at nærtstående og nære samarbejdspartnere til en PEP ikke fremgår af listen. Derudover kan du foretage en vurdering af kundens politiske eksponering ud fra søgninger på Internettet. Dette er særligt relevant for personer, der kan være politisk eksponeret i udlandet. 

Find PEP-listen på Finanstilsynets hjemmeside

Fakta om

Vær opmærksom på, at hvis din kunde er PEP, eller nærtstående eller nær samarbejdspartner til en PEP, udgør kunden en øget risiko i din virksomhed. Det betyder, at du skal tage stilling til omfanget af kundekendskabsprocedurerne i det enkelte kundeforhold.

3.3. 3. Undersøgelses- og noteringspligt

Bliver du opmærksom på usædvanlige transaktioner eller aktiviteter hos dine kunder, skal du iværksætte en undersøgelse og notere, hvad du kommer frem til. Du skal beskrive din undersøgelses- og noteringspligt i din virksomheds forretningsgange. 

Hvis du bliver opmærksom på usædvanlige transaktioner eller aktiviteter, skal du undersøge baggrunden for dem. Du skal fastslå, om der er mistanke om eller rimelig grund til at formode, at transaktionerne eller aktiviteterne har tilknytning til hvidvask eller terrorfinansiering. Det gælder usædvanlige transaktioner og aktiviteter, der er komplekse, usædvanligt store, foretages i et usædvanligt mønster, eller ikke har et åbenbart økonomisk eller lovligt formål. Det kan være en adfærd hos din kunde, som du ikke forventer at se ud fra dit kendskab til kunden, eller udenlandske pengeoverførsler, som du har adgang til at se. Du skal være opmærksom på, at din kunde ikke må vide, at du undersøger kunden. 

Hvis du derfor ikke kan stille kunden spørgsmål uden at give kunden viden om din undersøgelse, eller hvis du finder det uhensigtsmæssigt at kontakte kunden, kan du enten udvide din overvågning af kunden for at afgøre, om kundens transaktion eller aktivitet er mistænkelig, eller foretage underretning til Hvidvasksekretariatet. 

Du har pligt til at skrive et notat om din undersøgelse af kunden. Notatet skal kunne genopfriske din hukommelse og give andre en forståelse af sagen. 

Skriv ned i din virksomheds forretningsgange, hvordan du efterlever din undersøgelsespligt. 

Beskriv, hvornår du har pligt til at undersøge. 

Du har pligt til at iværksætte undersøgelse, når du opdager usædvanlige transaktioner eller aktiviteter, der er komplekse, usædvanligt store, foretages i et usædvanligt mønster eller ikke har et klart økonomisk eller 
lovligt formål. 

Beskriv, hvordan du identificerer transaktioner hos dine kunder, som er komplekse, usædvanligt store, foretages i et usædvanligt mønster eller ikke har et åbenbart økonomisk eller lovligt formål. 

En kundes transaktion kan være kompleks, hvis den involverer flere parter eller går på tværs af landegrænser. Transaktionen skal sammenholdes med dit kendskab til kunden og eventuelt kundens branche for at 
afgøre, om transaktionen er usædvanlig og uden et økonomisk eller lovligt formål.

Beskriv, hvordan du identificerer aktiviteter hos dine kunder, som er usædvanlige og uden et klart økonomisk eller lovligt formål. 

En usædvanlig aktivitet hos en kunde er en aktivitet, der afviger fra det, som kunden normalt gør. Det kan også være en aktivitet, der afviger fra det, som man normalt kan forvente hos den type kunde. Det kan være 
ændringer i kundens adfærd, hvis kundens efterspørgsel på dine ydelser pludselig ændrer sig uden grund.

Beskriv, hvordan du undersøger baggrunden for en usædvanlig transaktion eller aktivitet.

Det kan være nødvendigt at kontakte kunden for at spørge ind til baggrunden for en usædvanlig transaktion eller aktivitet. Vær dog opmærksom på, at du ikke må give kunden viden om, at du har mistanke og er i 
færd med at undersøge. Du kan evt. udvide din overvågning af kunden med henblik på at afgøre, om transaktionen eller aktiviteten er mistænkelig.

Skriv ned i din virksomheds forretningsgange, hvordan du efterlever din noteringspligt. 

Skriv ned i din virksomheds forretningsgange, hvordan du efterlever din noteringspligt. 

Beskriv, hvilke oplysninger notatet skal indeholde. 

Notatet skal indeholde oplysninger om kunden, transaktionen eller aktiviteten og din konklusion på undersøgelsen. Vær opmærksom på, at notatet skal kunne genopfriske din hukommelse og give andre en forståelse af sagen. 

Beskriv, hvordan du skal skrive notatet. 

Du skal beskrive, i hvilket format notatet skal skrives og hvor det skal gemmes.

3.4. 4. Underretningspligt

Du skal underrette Hvidvasksekretariatet, hvis du bliver opmærksom på mistænkelige transaktioner eller aktiviteter, der kan have tilknytning til hvidvask eller terrorfinansiering. Du skal beskrive din underretningspligt i din virksomheds forretningsgange. 

Hvis du er vidende om, har mistanke om eller rimelig grund til at tro, at en kundes transaktion eller aktivitet har tilknytning til hvidvask eller terrorfinansiering, skal du underrette Hvidvasksekretariatet. 

Det kan være, hvis: 

  • Det står dig klart, at en kundes transaktion eller aktivitet har tilknytning til hvidvask eller terrorfinansiering.
  • Du undersøger en kundes transaktion eller aktivitet og ikke kan afkræfte din mistanke om, at den har tilknytning til hvidvask eller terrorfinansiering.
  • En kunde forsøger på en transaktion eller aktivitet, som virker mistænkelig.
  • En person, som endnu ikke er din kunde, spørger om hjælp til en aktivitet, der virker mistænkelig. 

Du skal underrette Hvidvasksekretariatet med det samme. Du bør derfor sørge for, at du er oprettet i deres system, så du er klar til at foretage underretning. Vær opmærksom på, at din kunde ikke må vide, at du har foretaget underretning. En underretning er ikke en politianmeldelse. Når du foretager underretning, vurderer Hvidvasksekretariatet, om sagen skal undersøges nærmere.

Skriv ned i din virksomheds forretningsgange, hvordan du efterlever din underretningspligt.

Beskriv, hvornår du har pligt til at foretage underretning. 

Du har pligt til at underrette Hvidvasksekretariatet, hvis du er vidende om, har mistanke om eller rimelig grund til at tro, at en kundes aktivitet har tilknytning til hvidvask eller terrorfinansiering.

Beskriv, hvilke transaktioner og aktiviteter du har pligt til at underrette om.

På baggrund af din virksomheds risikovurdering skal du tage stilling til, hvordan det konkret kan se ud i din virksomhed, når dine kunder misbruger dine ydelser til hvidvask og terrorfinansiering

Beskriv, hvordan du skal foretage underretning.

Hvis der er en ansat i din virksomhed, som skal forestå underretningerne, skal du fx beskrive, hvordan din virksomheds øvrige ansatte skal kontakte vedkommende og formidle sagen. 

3.5. 5. Opbevaringspligt

Du skal gemme alle oplysninger, dokumenter og registreringer på dine kunder. Du skal beskrive din opbevaringspligt i din virksomheds forretningsgange. 

Du skal opbevare: 

  • Alle oplysninger, som du indhenter i forbindelse med kundekendskabsprocedurer, herunder identitets- og kontroloplysninger samt kopi af legitimationsdokumenter.
  • Dokumenter og registreringer i forbindelse med undersøgelses- og noteringspligten. 

Fakta om

Når et kundeforhold stopper, skal du opbevare alle oplysningerne i 5 år.

Personoplysninger skal du slette 5 år efter forretningsforbindelsens ophør, medmindre andet er fastsat i anden lovgivning.

Når et kundeforhold stopper, skal du opbevare alle oplysningerne i 5 år.

Personoplysninger skal du slette 5 år efter forretningsforbindelsens ophør, medmindre andet er fastsat i anden lovgivning.

Beskriv, hvilke oplysninger du har pligt til at opbevare. 

Du har pligt til at opbevare oplysninger, dokumenter og registreringer på dine kunder. Det vil oftest være, hvad du kommer i besiddelse af som led i kundekendskabsprocedurer eller i forbindelse med undersøgelsespligten. 

Beskriv, hvor du opbevarer oplysninger, dokumenter og registreringer på dine kunder.

Opbevares det elektronisk, kan du angive drev og mappe

Beskriv, hvor du opbevarer oplysninger, dokumenter og registreringer på dine kunder.

Opbevares det elektronisk, kan du angive drev og mappe

Beskriv, hvornår du skal slette personoplysninger. 

Sletning skal som udgangspunkt være sket senest én måned efter 5-årsfristen, medmindre afgørende hensyn taler imod. Der kan fastsættes et interval for sletningen. 

Beskriv, hvordan du skal slette personoplysninger. 

Hvis oplysningerne slettes manuelt, skal du beskrive, hvordan sletningen foregår, og hvem der gør det.

3.6. 5. Screening af medarbejdere

Du skal forebygge, at dine medarbejdere misbruger deres stilling til hvidvask og terrorfinansiering. Du skal beskrive din screening af medarbejdere i din virksomheds forretningsgange. 

Du skal forebygge, at dine medarbejdere misbruger deres stilling eller ubevidst kommer til at medvirke til hvidvask eller terrorfinansiering. 

Det skal du gøre ved at sikre:

  • At din medarbejder ikke er dømt for et strafbart forhold, som øger risikoen for, at medarbejderen misbruger sin stilling.
  • At din medarbejder bliver undervist i regler og pligter på hvidvaskområdet, så medarbejderen kan varetage sin stilling forsvarligt. 

Før du ansætter en medarbejder, kan du fx kontrollere vedkommendes straffeattest. Det gælder kun medarbejdere, som varetager arbejdsopgaver, der kan misbruges. Hvis medarbejderen er dømt for et strafbart forhold, skal du vurdere, om forholdet øger risikoen for, at vedkommende misbruger sin stilling. 

Du skal derudover sikre, at du bliver gjort opmærksom på, hvis dine medarbejdere i løbet af deres ansættelse bliver dømt for et strafbart forhold. Du skal derudover løbende undervise dine medarbejdere i, hvordan de i praksis efterlever hvidvasklovens regler og pligter.

Skriv ned i din virksomheds forretningsgange, hvordan du forebygger, at dine medarbejdere misbruger deres stilling til hvidvask og terrorfinansiering. 

Beskriv, hvordan du sikrer, at dine medarbejdere ikke er dømt for et strafbart forhold, der øger risikoen for, at de misbruger deres stilling. 

Du skal sikre dette inden ansættelsen af medarbejderen, men også i løbet af ansættelsen, hvor du f.eks. kan bede medarbejderen fremvise straffeattest, hvis ikke du i ansættelseskontrakten har skrevet, at medarbejderen selv skal oplyse dig om nye domme. 

Beskriv, hvordan du sikrer, at dine medarbejdere har tilstrækkelige kvalifikationer på hvidvaskområdet til at varetage deres stilling. 

Du skal undervise dine medarbejdere i, hvordan de efterlever regler og pligter efter hvidvaskloven samt virksomhedens forretningsgange. Det er ikke nok at undervise medarbejderne i hvidvaskloven, hvis ikke lovens regler og pligter overføres til praksis i din virksomhed. Der skal ske efteruddannelse med passende intervaller og som minimum ved ændring af virksomhedens forretningsgange. Du skal beskrive, hvornår og hvordan dine medarbejdere undervises.

Kapitel
4
Kontroller

Du skal etablere en intern kontrol, hvor du kontrollerer, at din virksomheds politikker og forretningsgange bliver overholdt. Du skal beskrive din interne kontrol i din virksomheds forretningsgange. 

Du skal føre kontrol med, at din virksomheds politikker og forretningsgange bliver overholdt. Det kan du gøre ved at udtage stikprøver, hvor du fx kontrollerer, at der er gennemført tilstrækkelige kundekendskabsprocedurer i en kundesag. 

Du skal udføre intern kontrol med faste intervaller, hvor du kontrollerer områderne: 

  1. Risikostyring
  2. Kundekendskabsprocedurer
  3. Undersøgelses-, noterings- og underretningspligt
  4. Opbevaring af oplysninger
  5. Screening af medarbejdere.

Du skal derudover føre kontrol med, at der bliver først kontrol på de pågældende områder, og at kontrollerne er egnede. Det betyder, at du skal følge op på, at der bliver udført kontrol som planlagt, og at kontrollerne omfatter samtlige områder. Der skal være uafhængighed mellem den, der foretager kontrollen, og den, der kontrolleres. 

Du skal kunne dokumentere de kontroller, der er blevet udført. 

Det afhænger af din virksomheds størrelse og risiko, hvor mange stikprøver der bør udtages, hvor ofte kontrollerne bør udføres, og hvor høj grad af uafhængighed der bør være og kan lade sig gøre mellem den, der foretager kontrollen, og den, der kontrolleres.

Skriv ned i din virksomheds forretningsgange, hvordan du kontrollerer overholdelsen af din virksomheds politikker og forretningsgange. 

Beskriv, hvad du skal kontrollere. 

Du skal kontrollere, at virksomhedens politikker og forretningsgange overholdes på områderne risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger samt screening af medarbejdere. 

Beskriv, hvem der skal udføre kontrollerne. 

Den ansvarlige på hvidvaskområdet i din virksomhed kan være kontrollant. Der skal dog sikres en uafhængighed i kontrollerne. Det betyder, at det ikke må være den samme person, som udfører kontrol og samtidig bliver kontrolleret. 

I mindre virksomheder kan indehaveren kontrollere sine medarbejdere. Hvis ikke der er nogen medarbejdere, må kontrollen udføres uden uafhængighed, og da kan indehaveren fx udtage stikprøver på sine egne opgaver 2-3 gange i kvartalet.

Beskriv, hvornår kontrollerne skal udføres. 

Kontrollerne skal udføres med et fast interval. Intervallerne skal fastlægges ud fra din virksomheds risiko. Kontrollerne skal udføres med et fast interval. Intervallerne skal fastlægges ud fra din virksomheds risiko. 

Beskriv, hvordan kontrollerne skal udføres. 

Der kan udtages stikprøver. Antallet af stikprøver skal fastlægges ud fra din virksomheds risiko. 

Beskriv, hvordan udførte kontroller skal dokumenteres. 

Udførte kontroller kan noteres og gemmes.

Skriv ned i din virksomheds forretningsgange, hvordan du kontrollerer, at kontrollerne bliver udført og er egnede. 

Beskriv, hvad du skal kontrollere. 

Du skal kontrollere, at der bliver udført intern kontrol af overholdelsen af din virksomheds politikker og forretningsgange. Du skal samtidig kontrollere, at der i de udførte kontroller er uafhængighed imellem kontrollanten og den, der bliver kontrolleret. 

Beskriv, hvem der skal udføre kontrollen af kontrollerne. 

Det kan være den samme person som kontrollerer overholdelsen af virksomhedens politikker og forretningsgange. Kontrollen af kontrollerne kan også overlades til en ekstern kontrollant.

Beskriv, hvornår kontrollen af kontrollerne skal udføres. 

Kontrollerne bør udføres forskudt, hvis det er den samme person, som er kontrollant i begge kontroller. 

Beskriv, hvordan kontrollen af kontrollerne skal udføres. 

Fakta om

Vær opmærksom på, at der bør være uafhængighed mellem den, der udfører kontrollerne og den der kontrollerer, at der er udført kontrol. 

Beskriv, hvordan udførte kontroller af kontrollerne skal dokumenteres. 

De kan noteres og gemmes.

Kapitel
5
Whistleblowerordning

Hvis din virksomhed har mere end 5 ansatte, skal du etablere en whistleblowerordning, hvor din virksomheds ansatte kan indberette interne overtrædelser eller potentielle overtrædelser af hvidvasklovgivningen. 

En whistleblowerordning er en ordning, hvor ansatte anonymt kan indberette andre ansattes eller bestyrelsesmedlemmers overtrædelser eller potentielle overtrædelser af hvidvasklovgivningen. 

Ordningen skal foregå via en særlig, uafhængig og selvstændig kanal. Det betyder, at kanalen skal være oprettet til det formål at indberette overtrædelser, og at indberetningen skal ske til en selvstændig funktion, fx en ansvarlig på hvidvaskområdet, som er uafhængig af virksomhedens daglige ledelse. 

Ansatte skal kunne foretage indberetning anonymt. Det kan fx ske via en løsning på virksomhedens intranet, hvor der ikke skal angives navn, og hvor den ansattes computer ikke kan spores. En whistleblowerordning kan outsources til en ekstern leverandør. Det er dog til enhver tid virksomhedens ansvar, at ordningen lever op til lovgivningens krav. 

Kravet om en whistleblowerordning gælder kun, hvis din virksomhed har mere end 5 ansatte. I opgørelsen af ansatte indgår alle ansatte, der har en ansættelseskontrakt med virksomheden.

Kapitel
6
Opdatering af politikker, forretningsgange og kontroller

Din virksomheds politikker, forretningsgange og kontroller skal holdes opdaterede. 

Du skal opdatere dine politikker, forretningsgange og kontroller:

  • Hvis der sker ændringer i din virksomheds risikovurdering:
    • Hvis der sker ændringer i din virksomheds forretningsmodel fx som følge af, at du udvider din virksomheds kunde portefølje med nye kundetyper, eller du begynder at udbyde nye ydelser.
    • Hvis risikobilledet i samfundet ændrer sig og der fx udgives en ny national eller supranational risikovurdering.
  • Hvis der sker ændringer i, hvordan arbejdsopgaverne skal løses rent praktisk i din virksomhed.