8 Øvrige tiltak

8.1 Innledning

Fjerde hvitvaskingsdirektiv krever gjennomføring av ytterligere tiltak fra rapporteringspliktiges side i arbeidet med å avdekke og motvirke hvitvasking og terrorfinansiering, ved siden av dem som for øvrig er gjort rede for i utredningen. Rapporteringspliktige må implementere internkontroll, gjennomføre opplæring av ansatte og verne ansatte mot negative reaksjoner ved rapportering. Om virksomhetens art og størrelse tilsier det, må rapporteringspliktige etablere særskilte varslingskanaler. Visse rapporteringspliktige må også etablere elektroniske overvåkingssystemer for å bidra til avdekking av mistenkelige transaksjoner. Det stilles i direktivet krav om gjennomføring av rutiner på konsernnivå. Siden disse tiltakene ikke passer inn i lovens øvrige kapitler, finner utvalget det hensiktsmessig å foreslå et samlet kapittel i loven om øvrige tiltak.

Utvalget understreker at verken kapittelets overskrift eller plassering er av betydning for viktigheten av at forpliktelsene etterleves av rapporteringspliktige.

Direktivet gir hjemmel for å kreve at visse utenlandske rapporteringspliktige har et sentralt kontaktpunkt for sine agenter etablert i medlemsstaten. Selv om dette ikke er et eget tiltak, har utvalget valgt å plassere også denne bestemmelsen i dette kapittelet.

8.2 Norsk rett

Etter hvitvaskingsloven § 23 skal rapporteringspliktige ha forsvarlige interne kontroll- og kommunikasjonsrutiner som sikrer oppfyllelse av lovens plikter.

Opplæring av ansatte og andre personer som utfører oppgaver på vegne av rapporteringspliktig er regulert i hvitvaskingsloven § 23 tredje ledd. Personene skal bli kjent med pliktene som er pålagt rapporteringspliktige i loven, lære å kjenne igjen mistenkelige transaksjoner, jf. § 17, og bli kjent med den rapporteringspliktiges interne rutiner for håndtering av mistenkelige transaksjoner.

Finansinstitusjoner er pålagt å ha elektroniske overvåkingssystemer, jf. hvitvaskingsloven § 24 første ledd. Forskriftshjemmelen i § 24 annet ledd er benyttet til å gi hvitvaskingsforskriften § 18. Her er det presisert at overvåkingssystemet skal ha til formål å identifisere transaksjoner som kan ha tilknytning til hvitvasking eller terrorfinansiering, se hvitvaskingsforskriften § 18 første ledd. Finanstilsynet kan ved enkeltvedtak gjøre unntak fra kravet om overvåkingssystemer, se hvitvaskingsforskriften § 18 annet ledd.

Hvitvaskingsloven § 26 gir enkelte regler om filialer og datterselskap etablert i stater utenfor EØS. Rapporteringspliktige skal påse at filialer og datterselskaper er kjent med rutinene fastsatt i medhold av § 23, og at de anvender tilsvarende tiltak for kundekontroll, løpende oppfølging og oppbevaring som beskrevet i hvitvaskingsloven kapittel 2 og 4. Hvis lovgivningen i en stat der rapporteringspliktiges filialer eller datterselskap opererer ikke tillater anvendelse av de nevnte tiltakene, skal den rapporteringspliktige informere tilsynsmyndigheten om dette, se § 26 annet ledd. Rapporteringspliktige må også iverksette andre tiltak som er egnet til å motvirke risikoen for hvitvasking og terrorfinansiering.

8.3 EØS-rett

Fjerde hvitvaskingsdirektiv artikkel 8 nr. 4 bokstav a og b stiller krav om internkontroll hos rapporteringspliktige. Dette er regulert samme sted som de alminnelige forpliktelsene om å etablere rutiner for overholdelse av direktivets forpliktelser.

Dersom virksomhetens art og størrelse tilsier det, skal det utpekes en etterlevelsesansvarlig på ledelsesnivå («compliance officer»), og ansatte skal kontrolleres («employee screening»), se artikkel 8 nr. 4 bokstav a. Etter bokstav b kan virksomhetens art og størrelse tilsi at det etableres en uavhengig kontrollfunksjon for å overvåke og kontrollere rutinene.

Fjerde hvitvaskingsdirektiv stiller krav om løpende opplæring av ansatte, se artikkel 46. Opplæringstiltakene skal være proporsjonale med risikoen for hvitvasking og terrorfinansiering og virksomhetens art og størrelse. Opplæringen skal gjøre de ansatte kjent med regelverket som implementeres for å gjennomføre direktivet, herunder relevant regelverk knyttet til vern av opplysninger, se artikkel 46 nr. 1 første ledd. Ansatte skal gjennom opplæringsprogram settes i stand til å gjenkjenne aktivitet som kan være relatert til hvitvasking eller terrorfinansiering, se nr. 1 annet ledd. Ansatte skal dessuten lære hva de skal gjøre hvis de oppdager aktivitet som kan være relatert til hvitvasking eller terrorfinansiering («instruct them as to how to proceed in such cases»).

Medlemsstatene skal treffe tiltak slik at ansatte som rapporterer mistanke om hvitvasking eller terrorfinansiering internt eller til FIU-en, skal vernes mot trusler, fiendtlige handlinger og negative eller diskriminerende handlinger i arbeidsforholdet, se artikkel 38 .

Rapporteringspliktige skal etablere rutiner for varsling om brudd på regler som gjennomfører fjerde hvitvaskingsdirektiv gjennom en særlig intern, uavhengig og anonym varslingskanal, se artikkel 61 nr. 3. Rutinene («appropriate procedures») skal være proporsjonale med virksomhetens art og omfang («proportionate to the nature and (…) size»). Også forordningen om opplysninger som skal følge pengeoverføringer1 stiller krav om etablering av varslingsrutiner for foretakene som underlegges forordningen, se forordningen artikkel 21 nr. 2. Etter forordningen skal varslingsrutinene utarbeides i samarbeid med relevante myndigheter.

For rapporteringspliktige som er del av konsern, stiller direktivet særskilte krav i artikkel 45. Rapporteringspliktige som er del av konsern skal utarbeide rutiner på konsernnivå, se artikkel 45 nr. 1. Rutinene skal implementeres i konsernforetak etablert i EØS og i filialer og majoritetseide datterselskaper etablert utenfor EØS (tredjeland), se artikkel 45 nr. 1.

Dersom rapporteringspliktige er etablert i andre medlemsstater, skal rapporteringspliktig sikre at lokale regler som gjennomfører hvitvaskingsdirektivet blir fulgt. I tredjeland der regelverket for tiltak mot hvitvasking og terrorfinansiering er lempeligere enn reglene nedfelt i fjerde hvitvaskingsdirektiv, skal rapporteringspliktig sikre at filialer og majoritetseide datterselskaper overholder fjerde hvitvaskingsdirektiv så langt lokal rett tillater. Dersom tredjelandets rett ikke tillater overholdelse av konsernets rutiner fastsatt for å gjennomføre fjerde hvitvaskingsdirektiv, må rapporteringspliktig varsle tilsynsmyndigheten i hjemstaten. Rapporteringspliktig må videre iverksette ytterligere tiltak for å håndtere risikoen for hvitvasking og terrorfinansering ved filialen eller datterselskapet i tredjelandet. Dersom de ytterligere tiltakene ikke er tilstrekkelige, skal tilsynsmyndigheten kunne anvende ytterligere tilsynstiltak, herunder kreve at konsernet avslutter kundeforhold, ikke etablerer kundeforhold, ikke utfører transaksjoner og, om nødvendig, anmode konsernet om å opphøre virksomheten i tredjelandet, se artikkel 45 nr. 5.

De europeiske tilsynsmyndighetene (ESA-ene) skal utarbeide forslag til tekniske standarder for hvilke ytterligere tiltak kreditt- og finansinstitusjoner må gjennomføre etter artikkel 45 nr. 5, se artikkel 45 nr. 6. Frist for fremleggelse av forslag til tekniske standarder er 26. desember 2016. Europakommisjonen er delegert kompetanse til å vedta de tekniske standardene, jf. artikkel 45 nr. 7.

Statene kan stille krav om sentralt kontaktpunkt for agenter av utenlandske e-pengeforetak og betalingsforetak med hovedsete i annen EØS-stat, se artikkel 45 nr. 9. Det sentrale kontaktpunktet skal sikre etterlevelse av hvitvaskingsregelverket på vegne av foretaket og legge til rette for tilsyn, herunder ved å utlevere dokumenter og opplysninger etter anmodning fra relevante myndigheter. ESA-ene skal utarbeide forslag til tekniske standarder for når det kan kreves sentrale kontaktpunkt. Fristen for å fremlegge forslag er 26. juni 2017, se artikkel 45 nr. 10. Europakommisjonen er delegert kompetanse til å vedta de tekniske standardene, jf. artikkel 45 nr. 11.

8.4 FATFs anbefalinger og rapport

FATF-anbefaling 18 gjelder utarbeidelse av rutiner («programmes») hos rapporteringspliktige. Rapporteringspliktige må blant annet etablere internkontroll, se «interpretive note» til anbefaling 18 punkt 1 bokstav a. Internkontrollen skal inkludere passende ordninger for etterlevelsesfunksjon («compliance management arrangements») og tilstrekkelige prosedyrer for bakgrunnskontroll av ansatte («adequate screening procedures») for å sikre høy standard ved ansettelser. Etterlevelsesfunksjonen bør innebære ansettelse av en etterlevelsesansvarlig («compliance officer»), se punkt 3. Rapporteringspliktig skal etablere en uavhengig kontrollfunksjon til å kontrollere virksomhetens rutiner («test the system») for overholdelse av hvitvaskingsregelverket, se punkt 1 bokstav c. Omfanget og typen av tiltak skal tilpasses virksomhetens størrelse og risikoen for hvitvasking og terrorfinansiering, se punkt 2.

FATF-anbefaling 18 inneholder også anbefalinger knyttet til øvrige tiltak. Ansatte skal delta i løpende opplæringsprogrammer, se «interpretive note» til anbefaling 18 punkt 1 bokstav b. Omfanget og typen av opplæringen skal tilpasses virksomhetens størrelse og risikoen for hvitvasking og terrorfinansiering, se punkt 2.

Rapporteringspliktige i konsern skal implementere rutiner på konsernnivå, herunder rutiner og prosedyrer for utlevering av informasjon innad i konsernet for arbeid mot hvitvasking og terrorfinansiering, se anbefaling 18 første ledd. Dersom rapporteringspliktige har filialer eller majoritetseide datterselskaper i utlandet, skal rapporteringspliktige gjennom konsernets rutiner sikre at filialene og datterselskapene anvender tiltak mot hvitvasking og terrorfinansiering i samsvar med hjemstatens regelverk som gjennomfører FATFs anbefalinger.

Konsernets etterlevelsesfunksjon, kontrollfunksjon og/eller funksjon for tiltak mot hvitvasking og terrorfinansiering bør få tilgang til kunde-, konto- og transaksjonsinformasjon fra filialer og datterselskap når det er nødvendig for å motvirke hvitvasking og terrorfinansiering, se «interpretive note» til anbefaling 18 punkt 4. Tilfredsstillende foranstaltninger bør være på plass med hensyn til konfidensialitet og bruk av informasjonen.

Etter «interpretive note» til anbefaling 18 punkt 5 skal rapporteringspliktig sikre at filialer og majoritetseide datterselskaper i utlandet overholder hjemstatens hvitvaskingsregelverk når vertsstatens rett stiller lempeligere krav til tiltak mot hvitvasking og terrorfinansiering. Dersom lokal rett ikke tillater effektiv implementering av konsernets rutiner, skal konsernet iverksette ytterligere tiltak for å håndtere risikoen for hvitvasking og terrorfinansiering. Dessuten må tilsynsmyndigheten i hjemstaten varsles. Dersom de ytterligere tiltakene ikke er tilstrekkelige, kan kompetente myndigheter i hjemstaten vurdere ytterligere tilsynstiltak, herunder underlegge konsernet forsterket kontroll. Dette skal inkludere, «as appropriate», å be om at konsernet avslutter sin virksomhet i vertsstaten.

Norge fikk i FATFs evalueringsrapport kritikk på enkelte punkter for gjennomføringen av anbefalingene knyttet til øvrige tiltak.

For gjennomføringen av anbefaling 18 fikk Norge karakteren «Partially Compliant». FATF-rapporten påpekte at det ikke er krav i hvitvaskingsloven om kontroll av ansatte for å sikre høy standard, med unntak av enkelte sentrale personer i visse rapporteringspliktige, se f.eks. finansforetaksloven § 3-5 første og tredje ledd. Det er heller ikke krav om en uavhengig kontrollfunksjon som skal kontrollere rapporteringspliktiges rutiner for tiltak mot hvitvasking og terrorfinansiering.

Norge ble dessuten kritisert for at hvitvaskingslovens regler om filialer og datterselskaper etablert utenfor EØS, se § 26, ikke også gjelder for filialer og datterselskaper innenfor EØS-området.

8.5 Utvalgets vurderinger

8.5.1 Innledning

Utvalget har gjennomgått og foreslått regler om utarbeidelse av risikovurderinger og rutiner hos rapporteringspliktige, se punkt 4.3 og 4.4. Fjerde hvitvaskingsdirektiv stiller også krav om at rapporteringspliktige gjennomfører andre, spesifikke tiltak. Tiltakene er nødvendige elementer i forebyggingen og avdekkingen av hvitvasking og terrorfinansiering. Som nevnt i punkt 8.1, anser utvalget det hensiktsmessig å foreslå et samlet kapittel om rapporteringspliktiges forpliktelser knyttet til øvrige tiltak.

8.5.2 Internkontroll

Fjerde hvitvaskingsdirektiv stiller krav om at rapporteringspliktige etablerer internkontroll med egen etterlevelse av hvitvaskingsregelverket, se artikkel 8 nr. 4 bokstav a og b. Utvalget foreslår en egen bestemmelse om internkontroll for å gjennomføre direktivbestemmelsene, se lovforslaget § 36. Utvalgets flertall, med unntak av utvalgsmedlem Sigurdsen, presiserer at kravet om internkontroll supplerer kravet om å utnevne et særskilt medlem av virksomhetens ledelse med ansvar for etterlevelse av hvitvaskingsregelverket, se lovforslaget § 8 bokstav c og omtalen under punkt 4.4.

Internkontroll skal gjøre rapporteringspliktige i stand til å avdekke svakheter og identifisere forbedringspotensial ved eget arbeid med tiltak mot hvitvasking og terrorfinansiering. Formålet med å identifisere eventuelle svakheter er at rapporteringspliktige kan gjøre nødvendige endringer i virksomhetens rutiner for overholdelse av hvitvaskingsloven. Internkontroll med etterlevelsen av regelverket er en forutsetning for at rutinene effektivt skal kunne oppdateres av øverste ledelse, se lovforslaget §§ 7 og 8 og omtalen under punkt 4.5.4.

Alle rapporteringspliktige skal sørge for en viss form for internkontroll med overholdelsen av hvitvaskingsregelverket. Fjerde hvitvaskingsdirektiv skiller ut enkelte interne kontrolltiltak som bare er nødvendig å implementere dersom en risikovurdering tilsier det. Risikovurderingen skal ta hensyn til virksomhetens art og omfang. Tiltakene omfatter utnevnelse av en etterlevelsesansvarlig («compliance officer»), skikkethetsvurderinger av ansatte («employee screening») og opprettelse av en intern uavhengig kontrollfunksjon («independent audit function»). Utvalget foreslår en tilsvarende regel, se lovforslaget § 36 annet ledd bokstav a til c. Risikovurderingen kan tilsi at rapporteringspliktig må implementere enkelte av tiltakene, men ikke alle. Kravene vil variere med virksomhetens art og omfang.

Når det gjelder forholdet mellom øverste ledelses ansvar og internkontroll, viser utvalget til omtalen under punkt 4.5.4.

8.5.3 Opplæring

Utvalget foreslår en særskilt bestemmelse om opplæring av ansatte, se lovforslaget § 37. Forslaget bygger på fjerde hvitvaskingsdirektiv artikkel 46 nr. 1.

Plikten til å gjennomføre opplæring av ansatte er en sentral forpliktelse for rapporteringspliktige. Det er i stor grad fysiske personer, ansatte og eventuelle oppdragstakere, som i praksis skal sørge for at rapporteringspliktige overhoder hvitvaskingslovens forpliktelser. Ansatte skal f.eks. gjennomføre kundetiltak overfor kunder, gjennomføre undersøkelser og rapportere til Økokrim. Opplæring av ansatte er derfor en nødvendig forutsetning for at rapporteringspliktige skal kunne overholde hvitvaskingslovens regler. Uten opplæring av ansatte er det vanskelig å tenke seg at rapporteringspliktige kan etterleve hvitvaskingsregelverket, herunder den risikobaserte tilnærmingen ved gjennomføring av lovens tiltak.

Alle rapporteringspliktige må sørge for opplæring av ansatte, se lovforslaget § 37. Ansatte må ha kunnskap om rapporteringspliktiges forpliktelser etter hvitvaskingsloven, herunder rutinene rapporteringspliktige har etablert i samsvar med loven, se første ledd bokstav a. I direktivet artikkel 46 er det særlig fremhevet at ansatte skal være i stand til å gjenkjenne aktivitet som kan være knyttet til hvitvasking og terrorfinansiering. Lovforslaget § 37 første ledd bokstav b peker derfor hen mot forhold som utløser undersøkelsesplikt, jf. lovforslaget § 20. Samlet sett må ansatte ha kunnskap om hva hvitvasking og terrorfinansiering er, hvilken risiko for hvitvasking og terrorfinansiering som er identifisert ved virksomheten gjennom virksomhetsinnrettede risikovurderinger, hvilke måter virksomheten kan bli misbrukt av kriminelle, og hvilke forpliktelser rapporteringspliktige har etter hvitvaskingsregelverket.

Utvalget foreslår at ansatte også skal få jevnlig opplæring slik at deres kunnskap vedlikeholdes og oppdateres, se annet ledd. Jevnlig opplæring er nødvendig bl.a. fordi kriminelle tar i bruk nye metoder for hvitvasking og terrorfinansiering. Ansattes kunnskap må dessuten nødvendigvis oppdateres i takt med den virksomhetsinnrettede risikovurderingen, jf. lovforslaget § 6.

Lovforslaget § 37 må, i likhet med alle lovens bestemmelser om tiltak, ses i sammenheng med bestemmelsen om risikobaserte tiltak i lovforslaget § 5. Omfanget av opplæringen kan derfor justeres i samsvar med en risikobasert tilnærming. Noe opplæring må alle rapporteringspliktige gjennomføre, men hvor mye opplæring som gis og hvor ofte kunnskapen skal oppdateres, vil variere.

8.5.4 Vern mot negative reaksjoner ved rapportering. Varsling

8.5.4.1 Vern mot negative reaksjoner ved rapportering

Fjerde hvitvaskingsdirektiv krever at medlemsstatene skal sikre at fysiske personer som rapporterer om mistanke om hvitvasking og terrorfinansiering, enten internt eller til FIU-en, vernes mot trusler, fiendtlige handlinger («hostile action») og diskriminerende eller negative arbeidsrelaterte reaksjoner, se artikkel 38.

Utvalget har vurdert nærmere hvordan forpliktelsen skal gjennomføres i norsk rett. Utvalget påpeker innledningsvis at forpliktelsen etter artikkel 38 skal påhvile medlemsstatene. Det er derfor opp til medlemsstaten å vurdere hvordan fysiske personer som rapporterer skal sikres vern.

Arbeidsmiljøloven2 gir i dag regler om varsling om kritikkverdige forhold i virksomheten og vern mot gjengjeldelse overfor varslere. Virksomheten skal legge til rette for varsling, se § 3-6. Reglene gjelder både varsling internt i virksomheten og varsling til tilsynsmyndigheter eller andre offentlige myndigheter, se arbeidsmiljøloven §§ 2-4 annet ledd og 3-6. Arbeidstaker som er blitt utsatt for ulovlig gjengjeldelse har krav på oppreisning, i tillegg til eventuelt erstatningskrav etter alminnelige regler, se § 2-5 tredje ledd. Utvalget legger til grunn at arbeidsmiljøloven er tilstrekkelig for å sikre etterlevelse den delen av artikkel 38 som gjelder vern av fysiske personer mot negative arbeidsrelaterte reaksjoner som følge av rapportering internt av mistanker om hvitvasking og terrorfinansiering.

Når det gjelder medlemsstatenes plikt til å verne fysiske personer som varsler enten internt eller eksternt mot trusler eller andre represalier, jf. artikkel 38, påpeker utvalget at vernet i første rekke er etablert ved straffebudene for trusler, vold og annen alvorlig kriminalitet rettet mot fysiske personer. Spørsmålet er så hvor mye lenger artikkel 38 går.

I Sverige er det foreslått en bestemmelse om beskyttelse av ansatte m.fl. delt opp i to ledd.3 Etter første ledd skal rapporteringspliktige etablere rutiner for å verne ansatte og andre representanter for virksomheten mot trusler og represalier («hot eller fientliga åtgärder») som følge av at de undersøker eller varsler om mistanker om hvitvasking eller terrorfinansiering. I omtalen av forslaget presiseres det at kravene til rutiner vil variere med virksomhetens art og omfang.4 Etter annet ledd skal ansatte som har informert om mistanke om hvitvasking eller terrorfinansiering, enten internt eller til Polismyndigheten, ikke utsettes for uheldige («ogynnsamma») eller diskriminerende ansattelsestiltak («anställningsåtgärder») om den ansatte hadde grunn til å regne med at informasjonen burde sendes. Utredningen foreslår å gi Regjeringen kompetanse til å fylle ut bestemmelsen om vern av ansatte i forskrift.

I Danmark foreslås det at rapporteringspliktige forbys å utsette ansatte for «ufordelagtig behandling eller ufordelagtige følger» som følge av at den ansatte har rapportert enten internt eller til FIU-en om mistanke om hvitvasking eller terrorfinansiering.5 Bestemmelsen gjelder dermed både intern og ekstern rapportering, men lovforslaget gir ikke rapporteringspliktige ansvar for å verne ansatte mot trusler og andre negative reaksjoner i alminnelighet. I stedet innebærer lovforslaget et forbud mot at rapporteringspliktige selv utsetter ansatte for negative reaksjoner.

Utvalget foreslår etter dette en bestemmelse om at rapporteringspliktige skal sørge for at den som rapporterer om mistanke om hvitvasking eller terrorfinansiering, enten internt eller til Økokrim, ikke utsettes for negative reaksjoner, se forslaget til § 38 første ledd. Ansvaret går f.eks. ut på å etablere rutiner for å sikre anonymitet for den enkelte ansatte som har gjennomført undersøkelser, slik at vedkommende ikke utsettes for represalier. Ansvaret omfatter også naturligvis et forbud mot at den rapporteringspliktige selv utsetter den ansatte for negative reaksjoner, f.eks. ved å si opp eller avskjedige vedkommende for varsling av mulig misbruk av virksomheten til hvitvasking eller terrorfinansiering.

8.5.4.2 Varsling

Fjerde hvitvaskingsdirektiv stiller krav om etablering av interne varslingsrutiner når ansatte mistenker brudd på reglene som gjennomfører direktivet, se artikkel 61 nr. 3. De interne varslingsrutinene skal etablere en særlig, uavhengig og anonym varslingskanal i virksomheten. Kravene til varslingsrutiner skal stå i et rimelig forhold til virksomhetens art og størrelse.

Arbeidsmiljølovens regler om varsling gir ikke uttrykkelige regler om anonym varsling. Direktivet krever dessuten etablering av en «specific» varslingskanal i virksomheten for brudd på regler som gjennomfører direktivet. Utvalget foreslår derfor at det skal etableres et uavhengig og anonymt internt varslingssystem dersom en risikovurdering av virksomhetens art og omfang tilsier det, se lovforslaget § 38 annet ledd. Utvalget bemerker at et anonymt varslingssystem kan være vanskelig å implementere i praksis i mange rapporteringspliktige virksomheter, f.eks. fordi det er få ansatte. Anonym varsling har en side til personopplysningsretten. Disse reglene bør man være oppmerksom på. «Working Group» opprettet etter personverndirektivet artikkel 29, som et rådgivende organ om vern av personopplysninger og privatliv, utarbeidet i 2006 en rådgivende uttalelse (Opinion 1/2006) om anvendelsen av regler om vern av personopplysninger i varslersaker. I den forbindelse ble det blant annet uttalt:

«Under no circumstances can the person accused in a whistleblower’s report obtain information about the identity of the whistleblower from the scheme on the basis of the accused person’s right of access, except where the whistleblower maliciously makes a false statement. Otherwise, the whistleblower’s confidentiality should always be guaranteed.»

Det er vist til uttalelsen i Det europeiske datatilsynets retningslinjer for varslingssystemet internt i EU utgitt i juli 2016.

Varslingssystemet skal gjelde brudd på hvitvaskingsloven og forskrift i medhold av loven. Forordning (EU) 2015/847 foreslås gjennomført i forskrift, se kapittel 11, lovforslaget § 60 og forskriftsforslaget § 7. Lovforslaget dekker derfor også kravene til etablering av varslingssystemer i forordningen for de rapporteringspliktige som er underlagt forordningen.

Utvalget påpeker at lovforslaget § 38 første ledd om vern mot negative reaksjoner, jf. punkt 8.5.4.1, også vil gjelde for varsling gjennom det uavhengige og anonyme varslingssystemet etter annet ledd.

8.5.5 Elektroniske overvåkingssystemer

Gjeldende hvitvaskingslov krever at finansinstitusjoner etablerer elektroniske overvåkningssystemer, jf. § 24. I hvitvaskingsforskriften § 18 er det presisert at systemet skal ha som formål å identifisere transaksjoner som kan ha tilknytning til utbytte av straffbare handlinger eller terrorfinansiering. Verken fjerde hvitvaskingsdirektiv eller FATF-anbefalingene sier noe uttrykkelig om etablering av overvåkingssystemer.

Utvalget foreslår at bestemmelsene om elektroniske overvåkingssystemer videreføres, men unntaksadgangen er flyttet fra forskrift til lov, se lovforslaget § 39. Lovforslaget er oppdatert i samsvar med ikrafttredelse av ny finansforetakslov. Bestemmelsen omfatter samme krets rapporteringspliktige som tidligere.

8.5.6 Gjennomføring av rutiner på konsernnivå, rapporteringspliktiges virksomhet i utlandet mv.

Fjerde hvitvaskingsdirektiv artikkel 45 gjelder etablering og implementering av rutiner på konsernnivå. Utvalget foreslår en bestemmelse om konsernrutiner som gjennomfører fjerde hvitvaskingsdirektiv, se lovforslaget § 40.

Når det gjelder avgrensningen av hva som er konsernnivå i direktivets forstand, viser utvalget til redegjørelsen under punkt 6.5.7.2. Med konsernnivå menes derfor i det følgende foretak i konsern slik dette er definert i regnskapsloven § 1-3.

På samme måte som direktivet artikkel 45, omfatter lovforslaget § 40 alle rapporteringspliktige som er del av konsern. Videre skiller forslaget mellom foretak i konsernet etablert i EØS og filialer og majoritetseide datterselskaper i konsernet etablert i stat utenfor EØS (tredjeland).

Overordnet skal rapporteringspliktige sikre at rutinene fastsatt etter lovforslaget § 7 implementeres på konsernnivå og i filialer og majoritetseide datterselskaper, se lovforslaget § 40 første ledd. Første ledd gjelder også i Norge.

I motsetning til gjeldende hvitvaskingslov § 26 retter lovforslaget § 40 seg også mot rapporteringspliktiges datterselskaper og filialer innenfor EØS. Rapporteringspliktige må derfor sikre seg at virksomheter som drives i andre EØS-stater overholder lokal rett som gjennomfører fjerde hvitvaskingsdirektiv, se lovforslaget § 40 annet ledd.

Dersom rapporteringspliktig driver virksomhet gjennom filialer eller majoritetseide datterselskaper i tredjeland, gjelder tredje til sjette ledd. Ordlyden i lovforslaget ligger tett opptil ordlyden i fjerde hvitvaskingsdirektiv artikkel 45 nr. 3 til 5. Dersom lokal rett har lempeligere regler om tiltak mot hvitvasking og terrorfinansiering enn norsk rett, skal rapporteringpsliktig sikre at filialen eller datterselskapet overholder hvitvaskingsloven med forskrifter. Bestemmelsen må ses i sammenheng med første ledd om implementering av rutiner på konsernnivå – rutinene skal være utarbeidet i samsvar med lovforslaget § 7. Dersom filialen eller datterselskapet overholder rutinene, vil dette medføre at hvitvaskingsloven etterleves.

Lokal rett kan hindre etterlevelse av norsk hvitvaskingslov, f.eks. ved at regler om taushetsplikt forhindrer rapportering eller utlevering av opplysninger i den grad hvitvaskingsloven forutsetter. I slike tilfeller skal tilsynsmyndigheten i Norge varsles, og rapporteringspliktig skal iverksette ytterligere tiltak for å avdekke og forebygge hvitvasking og terrorfinansering, se lovforslaget § 40 fjerde ledd. Europakommisjonen er gitt kompetanse til å vedta tekniske standarder for hvilke tiltak rapporteringspliktige skal iverksette, se direktivet artikkel 45 nr. 7. ESA-ene skal utarbeide utkast til tekniske standarder. For å gi departementet mulighet til å endre regelverket i takt med Europakommisjonens tekniske standarder, foreslår utvalget en forskriftshjemmel for å kunnne spesifisere hvilke ytterligere tiltak rapporteringspliktige skal iverksette, se lovforslaget § 40 sjette ledd. Det foreligger foreløpig ikke forslag fra ESA-ene til tekniske standarder. Utvalget foreslår derfor ingen forskriftsbestemmelse.

Hvis de ytterligere tiltakene rapporteringspliktig iverksetter ikke er tilstrekkelige, foreslår utvalget at tilsynsmyndigheten kan beslutte at rapporteringspliktig ikke etablerer kundeforhold, at kundeforhold avsluttes eller at transaksjoner ikke gjennomføres, se lovforslaget § 40 femte ledd. Bestemmelsen gjennomfører fjerde hvitvaskingsdirektiv artikkel 45 nr. 5. Etter direktivet skal tilsynsmyndigheten, om nødvendig, også anmode rapporteringspliktig om å avslutte virksomheten i tredjeland. Når direktivet ikke krever at tilsynsmyndigheten skal ha hjemmel til å pålegge at virksomheten i tredjeland opphører, finner ikke utvalget det nødvendig å uttrykkelig regulere tilsynsmyndighetens adgang til å anmode rapporteringspliktige om opphør av virksomheten.

8.5.7 Nasjonalt kontaktpunkt

Fjerde hvitvaskingsdirektiv åpner for at medlemsstatene kan kreve at utenlandske betalingsforetak og e-pengeforetak som er etablert i staten på andre måter enn gjennom filialer, etablerer nasjonale kontaktpunkter, se artikkel 45 nr. 9. ESA-ene skal utarbeide utkast til tekniske standarder for når det kan kreves nasjonale kontaktpunkt, se nr. 10. Vedtak om slike standarder er delegert til Europakommisjonen, se artikkel 45 nr. 11.

Etter direktivet artikkel 45 nr. 9 skal det sentrale kontaktpunktet, på vegne av det utenlandske betalings- eller e-pengeforetaket, sikre at foretakets agenter etterlever lokalt hvitvaskingsregelverk. Kontaktpunktet skal også legge til rette for tilsyn med agentene, herunder ved å bidra med opplysninger og dokumenter etter anmodning fra tilsynsmyndigheten.

Utvalget anser det ønskelig å innføre en mulighet til å kreve at utenlandske betalingsforetak og e-pengeforetak har et nasjonalt kontaktpunkt for sine agenter. Vedkommende vil kunne ha en koordinerende rolle overfor tilsynsmyndigheter, og dermed lette tilsynsvirksomheten.

Foreløpig har ikke ESA-ene utarbeidet forslag til standarder. I påvente av at det utarbeides og vedtas tekniske standarder i EU, foreslår utvalget en hjemmel for departementet til å fastsette nærmere regler om nasjonale kontaktpunkt i forskrift, se lovforslaget § 41. Utvalget foreslår ikke forskriftsbestemmelser i medhold av hjemmelen.

Utvalget bemerker at eventuelt krav om kontaktpunkt ikke får betydning for spørsmålet om agenter er underlagt loven, jf. § 4 første ledd bokstav g, men eventuelt kontaktpunkt kan få betydning for den praktiske gjennomføringen av tilsyn.