8 Øvrige plikter
8.1 Innledning
Fjerde hvitvaskingsdirektiv stiller krav om at rapporteringspliktige gjennomfører en del ytterligere tiltak som systematisk bør behandles separat fra regler om utarbeidelse av risikovurderinger og rutiner, kundetiltak, undersøkelser og rapportering mv. Hvitvaskingslovutvalget har samlet drøftelsen av disse kravene i NOU 2016: 27 kapittel 8, «Øvrige tiltak». I tillegg drøftes en videreføring av en bestemmelse om elektroniske overvåkningssystemer i gjeldende hvitvaskingslov i dette kapittelet.
8.2 Gjeldende rett
Hvitvaskingsloven § 23 stiller krav om at rapporteringspliktige utarbeider forsvarlige interne kontroll- og kommunikasjonsrutiner for å sikre oppfyllelse av pliktene i hvitvaskingsloven. I tredje ledd er det bestemt at rapporteringspliktige skal treffe nødvendige tiltak for å sikre at ansatte og andre som utfører oppgaver på vegne av den rapporteringspliktige er kjent med pliktene som påhviler den rapporteringspliktige etter hvitvaskingsloven, lærer å kjenne igjen mistenkelige transaksjoner, jf. § 17, og er kjent med den rapporteringspliktiges interne rutiner for håndtering av mistenkelige transaksjoner.
I hvitvaskingsloven § 24 er enkelte rapporteringspliktige, finansinstitusjoner, pålagt å etablere elektroniske overvåkningssystemer. I hvitvaskingsforskriften § 18 første ledd er det presisert at systemet skal ha til formål å oppdage transaksjoner som kan ha tilknytning til utbytte av straffbare handlinger eller forhold som rammes straffelovens terrorbestemmelser. I annet ledd er Finanstilsynet gitt hjemmel til å gjøre unntak fra kravet om å etablere elektroniske overvåkingssystemer.
Hvitvaskingsloven § 26 gir enkelte regler om filialer og datterselskaper etablert i stater utenfor EØS. Reglene gjelder for rapporteringspliktige som nevnt i § 4 første ledd, det vil si rapporteringspliktige i finanssektoren. De rapporteringspliktige skal sikre at filialene og datterselskapene er kjent med kontroll- og kommunikasjonsrutinene som beskrevet i § 23, samt anvender tilsvarende tiltak for kundekontroll, løpende oppfølging og oppbevaring som beskrevet i hvitvaskingsloven kapittel 2 og 4. Dersom den lokale lovgivningen ikke tillater anvendelse av kundekontroll mv., skal den rapporteringspliktige informere tilsynsmyndigheten om det og iverksette andre tiltak som er egnet til å motvirke risikoen for hvitvasking og terrorfinansiering.
8.3 EØS-rett
Fjerde hvitvaskingsdirektiv artikkel 8 nr. 4 bokstav a og b stiller krav om internkontroll hos rapporteringspliktige. Dersom virksomhetens art og størrelse tilsier det, skal det utpekes en etterlevelsesansvarlig på ledelsesnivå («compliance officer») og ansatte skal kontrolleres («employee screening»), se bokstav a. Etter bokstav b kan størrelsen og arten på virksomheten tilsi at det etableres en uavhengig revisjonsfunksjon for å teste de interne rutinene («policies, controls and procedures»).
Artikkel 46 stiller krav om opplæring av rapporteringspliktiges ansatte. Opplæringen skal være proporsjonal med risikoen for hvitvasking og terrorfinansiering og virksomhetens art og størrelse. Opplæringen skal omfatte ansattes kjennskap til regelverket fastsatt i medhold av direktivet, herunder relevante personvernkrav, og også hjelpe dem med å kjenne igjen aktivitet som kan være relatert til hvitvasking eller terrorfinansiering, og instruere dem om hvordan de skal gå frem i slike saker. Direktivet presiserer at forpliktelsene i denne bestemmelsen skal påhvile selskapet, ikke den enkelte rapporteringspliktige fysiske person, der det er relevant.
Medlemsstatene skal sørge for at individer som rapporterer om mistanke om hvitvasking eller terrorfinansiering enten internt eller til den finansielle etterretningsenheten, er vernet mot å bli eksponert for trusler og fiendtlige handlinger, se artikkel 38. Diskriminerende og andre negative arbeidsrelaterte handlinger nevnes særskilt.
Rapporteringspliktige skal etablere særskilte rutiner for varsling, slik at ansatte og andre i lignende posisjoner kan melde om brudd på reglene internt, se artikkel 61 nr. 3. Varslingskanalen skal være anonym og uavhengig. Kravene til varslingskanalen skal være proporsjonale med virksomhetens art og størrelse. I forordningen om opplysninger som skal følge pengeoverføringer stilles lignende krav til foretakene underlagt forordningen, se forordningen artikkel 21 nr. 2. Etter forordningen skal varslingsrutinene utarbeides i samarbeid med kompetente myndigheter.
Fjerde hvitvaskingsdirektiv gir særlige regler om utarbeidelse av rutiner for rapporteringspliktige som er del av konsern. Artikkel 45 nr. 1 til nr. 8 lyder som følger:
«1. Medlemsstatene skal kreve at ansvarlige enheter som er del av et konsern, innfører retningslinjer og framgangsmåter på konsernplan, herunder retningslinjer for personvern og retningslinjer og framgangsmåter for utveksling av opplysninger innenfor konsernet med henblikk på bekjempelse av hvitvasking av penger og finansiering av terrorisme. Retningslinjene og framgangsmåtene skal gjennomføres på en effektiv måte i filialer og majoritetseide datterselskaper i medlemsstater og tredjestater.
2. Medlemsstatene skal kreve at ansvarlige enheter som driver virksomhet i en annen medlemsstat, sørger for at disse virksomhetene overholder denne medlemsstats nasjonale bestemmelser som innarbeider dette direktiv.
3. Medlemsstatene skal sikre at dersom de ansvarlige enhetene har filialer eller majoritetseide datterselskaper i tredjestater der minstekravene fastsatt for bekjempelse av hvitvasking av penger og finansiering av terrorisme er mindre strenge enn i medlemsstaten, skal deres filialer og majoritetseide datterselskaper i tredjestaten gjennomføre medlemsstatens krav, herunder med hensyn til personvern, i den utstrekning tredjestatens lovgivning tillater det.
4. Medlemsstatene og de europeiske tilsynsmyndighetene skal underrette hverandre om tilfeller der en tredjestats lovgivning ikke tillater gjennomføring av de nødvendige retningslinjer og framgangsmåter i henhold til nr. 1. I disse tilfellene kan det iverksettes samordnede tiltak for å finne en løsning.
5. Dersom en tredjestats lovgivning ikke tillater gjennomføring av retningslinjene og framgangsmåtene i henhold til nr. 1, skal medlemsstatene kreve at ansvarlige enheter sørger for at filialer og majoritetseide datterselskaper i tredjestaten treffer ytterligere tiltak for å håndtere risikoen for hvitvasking av penger og finansiering av terrorisme på en effektiv måte, og at de underretter vedkommende myndigheter i sin hjemstat. Dersom de ytterligere tiltakene ikke er tilstrekkelige, skal vedkommende myndigheter i hjemstaten iverksette ytterligere tilsynstiltak, herunder kreve at konsernet ikke inngår forretningsforbindelser, eventuelt avslutter forretningsforbindelser, og ikke gjennomfører transaksjoner, og om nødvendig krever at konsernet skal avvikle sin virksomhet i tredjestaten.
6. De europeiske tilsynsmyndighetene skal utarbeide utkast til tekniske reguleringsstandarder som angir typen ytterligere tiltak som nevnt i nr. 5, og de tiltakene som kreditt- og finansinstitusjonene som et minstekrav skal iverksette dersom tredjestatens lovgivning ikke tillater gjennomføring av tiltakene som kreves i nr. 1 og 3.
De europeiske tilsynsmyndighetene skal framlegge utkastene til tekniske reguleringsstandarder nevnt i første ledd for Kommisjonen innen 26. desember 2016.
7. Kommisjonen delegeres myndighet til å vedta de tekniske reguleringsstandardene nevnt i nr. 6 i samsvar med artikkel 10–14 i forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.
8. Medlemsstatene skal sikre at utveksling av opplysninger er tillatt innenfor konsernet. Opplysninger om mistanker om at beløp er utbytte av kriminell virksomhet eller kan knyttes til finansiering av terrorisme, og som rapporteres til finansetterretningsenheten, skal utveksles innen konsernet, med mindre finansetterretningsenheten ikke har gitt instruks om annet.»
I tillegg åpner artikkel 45 nr. 9 for at nasjonale myndigheter kan stille krav om at betalingstjenestetilbydere og e-pengeutstedere som opererer i en medlemsstat på andre måter enn gjennom en filial, skal utpeke et sentralt kontaktpunkt på territoriet for å sikre etterlevelse av hvitvaskingsregelverket. Kontaktpunktet skal også legge til rette for tilsyn fra kompetente myndigheter, herunder å gi kompetente myndigheter dokumenter og opplysninger etter begjæring. EU-kommisjonen er gitt myndighet til å fastsette tekniske standarder for når det er rimelig å kreve utpeking av et sentralt kontaktpunkt og hvilke funksjoner kontaktpunktet burde ha, se artikkel 45 nr. 11.
Artikkel 31 nr. 2 pålegger medlemsstatene å sikre at forvaltere av truster («trustees») opplyser om sin status og gir opplysninger om reelle rettighetshavere i trusten når de inngår kundeforhold eller gjennomfører transaksjoner i kraft av å være forvalter. Det samme gjelder for forvaltere av lignende juridiske arrangementer, jf. artikkel 31 nr. 8.
8.4 FATFs anbefalinger
Utvalget redegjør slik for FATFs anbefalinger om diverse tiltak i NOU 2016: 27 punkt 8.4:
«FATF-anbefaling 18 gjelder utarbeidelse av rutiner («programmes») hos rapporteringspliktige. Rapporteringspliktige må blant annet etablere internkontroll, se «interpretive note» til anbefaling 18 punkt 1 bokstav a. Internkontrollen skal inkludere passende ordninger for etterlevelsesfunksjon («compliance management arrangements») og tilstrekkelige prosedyrer for bakgrunnskontroll av ansatte («adequate screening procedures») for å sikre høy standard ved ansettelser. Etterlevelsesfunksjonen bør innebære ansettelse av en etterlevelsesansvarlig («compliance officer»), se punkt 3. Rapporteringspliktig skal etablere en uavhengig kontrollfunksjon til å kontrollere virksomhetens rutiner («test the system») for overholdelse av hvitvaskingsregelverket, se punkt 1 bokstav c. Omfanget og typen av tiltak skal tilpasses virksomhetens størrelse og risikoen for hvitvasking og terrorfinansiering, se punkt 2.
FATF-anbefaling 18 inneholder også anbefalinger knyttet til øvrige tiltak. Ansatte skal delta i løpende opplæringsprogrammer, se «interpretive note» til anbefaling 18 punkt 1 bokstav b. Omfanget og typen av opplæringen skal tilpasses virksomhetens størrelse og risikoen for hvitvasking og terrorfinansiering, se punkt 2.
Rapporteringspliktige i konsern skal implementere rutiner på konsernnivå, herunder rutiner og prosedyrer for utlevering av informasjon innad i konsernet for arbeid mot hvitvasking og terrorfinansiering, se anbefaling 18 første ledd. Dersom rapporteringspliktige har filialer eller majoritetseide datterselskaper i utlandet, skal rapporteringspliktige gjennom konsernets rutiner sikre at filialene og datterselskapene anvender tiltak mot hvitvasking og terrorfinansiering i samsvar med hjemstatens regelverk som gjennomfører FATFs anbefalinger.
Konsernets etterlevelsesfunksjon, kontrollfunksjon og/eller funksjon for tiltak mot hvitvasking og terrorfinansiering bør få tilgang til kunde-, konto- og transaksjonsinformasjon fra filialer og datterselskap når det er nødvendig for å motvirke hvitvasking og terrorfinansiering, se «interpretive note» til anbefaling 18 punkt 4. Tilfredsstillende foranstaltninger bør være på plass med hensyn til konfidensialitet og bruk av informasjonen.
Etter «interpretive note» til anbefaling 18 punkt 5 skal rapporteringspliktig sikre at filialer og majoritetseide datterselskaper i utlandet overholder hjemstatens hvitvaskingsregelverk når vertsstatens rett stiller lempeligere krav til tiltak mot hvitvasking og terrorfinansiering. Dersom lokal rett ikke tillater effektiv implementering av konsernets rutiner, skal konsernet iverksette ytterligere tiltak for å håndtere risikoen for hvitvasking og terrorfinansiering. Dessuten må tilsynsmyndigheten i hjemstaten varsles. Dersom de ytterligere tiltakene ikke er tilstrekkelige, kan kompetente myndigheter i hjemstaten vurdere ytterligere tilsynstiltak, herunder underlegge konsernet forsterket kontroll. Dette skal inkludere, «as appropriate», å be om at konsernet avslutter sin virksomhet i vertsstaten.»
I «interpretive note» til anbefaling 25 nr. 2 kreves det at alle stater skal sikre at forvaltere av trusts og andre juridiske arrangementer opplyser om sin status til rapporteringspliktige når de inngår kundeforhold eller gjennomfører transaksjoner i kraft av å være forvalter.
8.5 Utvalgets forslag
Utvalget drøfter i NOU 2016: 27 punkt 8.5 de ytterligere tiltakene rapporteringspliktige skal være forpliktet til å gjennomføre ved siden av plikten til å gjennomføre kundetiltak mv.
Utvalget foreslår, i samsvar med fjerde hvitvaskingsdirektiv, en bestemmelse om internkontroll som skal gjelde alle rapporteringspliktige, se lovutkastet § 36 første ledd. Utvalget presiserer i NOU 2016: 27 punkt 8.5.2 at alle rapporteringspliktige skal sørge for en form for internkontroll. På bakgrunn av fjerde hvitvaskingsdirektiv foreslår utvalget at der en risikovurdering av virksomhetens art og omfang tilsier det, skal internkontrollen også omfatte utnevning av en særskilt etterlevelsesansvarlig, skikkethetsvurderinger av ansatte og opprettelse av en intern uavhengig kontrollfunksjon, se lovutkastet § 36 annet ledd. Risikovurderingen kan tilsi at bare enkelte av de særlige tiltakene iverksettes. Om betydningen av internkontroll uttaler utvalget følgende:
«Internkontroll skal gjøre rapporteringspliktige i stand til å avdekke svakheter og identifisere forbedringspotensial ved eget arbeid med tiltak mot hvitvasking og terrorfinansiering. Formålet med å identifisere eventuelle svakheter er at rapporteringspliktige kan gjøre nødvendige endringer i virksomhetens rutiner for overholdelse av hvitvaskingsloven. Internkontroll med etterlevelsen av regelverket er en forutsetning for at rutinene effektivt skal kunne oppdateres av øverste ledelse, se lovforslaget §§ 7 og 8 og omtalen under punkt 4.5.4.»
Videre foreslår utvalget en bestemmelse om opplæring av ansatte, se lovutkastet § 37. Utvalget uttaler følgende om betydningen av opplæring i NOU 2016: 27 punkt 8.5.3:
«Plikten til å gjennomføre opplæring av ansatte er en sentral forpliktelse for rapporteringspliktige. Det er i stor grad fysiske personer, ansatte og eventuelle oppdragstakere, som i praksis skal sørge for at rapporteringspliktige overhoder hvitvaskingslovens forpliktelser. Ansatte skal f.eks. gjennomføre kundetiltak overfor kunder, gjennomføre undersøkelser og rapportere til Økokrim. Opplæring av ansatte er derfor en nødvendig forutsetning for at rapporteringspliktige skal kunne overholde hvitvaskingslovens regler. Uten opplæring av ansatte er det vanskelig å tenke seg at rapporteringspliktige kan etterleve hvitvaskingsregelverket, herunder den risikobaserte tilnærmingen ved gjennomføring av lovens tiltak.
(…)
Utvalget foreslår at ansatte også skal få jevnlig opplæring slik at deres kunnskap vedlikeholdes og oppdateres, se annet ledd. Jevnlig opplæring er nødvendig bl.a. fordi kriminelle tar i bruk nye metoder for hvitvasking og terrorfinansiering. Ansattes kunnskap må dessuten nødvendigvis oppdateres i takt med den virksomhetsinnrettede risikovurderingen, jf. lovforslaget § 6.
Lovforslaget § 37 må, i likhet med alle lovens bestemmelser om tiltak, ses i sammenheng med bestemmelsen om risikobaserte tiltak i lovforslaget § 5. Omfanget av opplæringen kan derfor justeres i samsvar med en risikobasert tilnærming. Noe opplæring må alle rapporteringspliktige gjennomføre, men hvor mye opplæring som gis og hvor ofte kunnskapen skal oppdateres, vil variere.»
Utvalget drøfter i NOU 2016: 27 punkt 8.5.4.1 hvordan fjerde hvitvaskingsdirektiv artikkel 38, om vern av ansatte som rapporterer, skal gjennomføres. Utvalget viser bl.a. til arbeidsmiljølovens regler om vern av varslere, straffelovens bestemmelser som kriminaliserer trusler mv., samt svenske og danske forslag til gjennomføring av direktivet. Utvalget foreslår en bestemmelse om at rapporteringspliktige skal sørge for at den som rapporterer om mistanke om hvitvasking eller terrorfinansiering, enten internt eller til Økokrim, ikke utsettes for negative reaksjoner, se lovutkastet § 38 første ledd. Utvalget presiserer at ansvaret eksempelvis kan omfatte å etablere rutiner som sikrer anonymitet om ansatte som har gjennomført undersøkelser. Utvalget bemerker at ansvaret naturligvis også innebærer et forbud mot at den rapporteringspliktige selv utsetter ansatte for negative reaksjoner som følge av varsling om mulig misbruk av virksomheten til hvitvasking eller terrorfinansiering.
Videre foreslår utvalget en særskilt bestemmelse om varsling om mulige brudd på hvitvaskingsregelverket, jf. lovutkastet § 38 annet ledd. Det skal bero på en risikovurdering av virksomhetens art og omfang om det er nødvendig å etablere en uavhengig og anonym varslingskanal.
Utvalget foreslår at gjeldende hvitvaskingslov § 24 og hvitvaskingsforskriften § 18 om elektroniske overvåkningssystemer videreføres, se lovutkastet § 39. Den eneste forskjellen i utvalgets forslag sammenlignet med gjeldende rett, er at reglene er samlet i hvitvaskingsloven.
Utvalget foreslår en samlet bestemmelse til gjennomføring av fjerde hvitvaskingsdirektiv sine krav til utarbeidelse av rutiner på konsernnivå, se NOU 2016: 27 punkt 8.5.6 og lovutkastet § 40. Utvalget har drøftet forståelsen av «group»-definisjonen i hvitvaskingsdirektivet i NOU 2016: 27 punkt 6.5.7.2, og legger der til grunn at den tilsvarer konserndefinisjonen i regnskapsloven § 13. På samme måte som direktivet artikkel 45, skiller utkastet til § 40 mellom konsern etablert i EØS og filialer og majoritetseide datterselskaper etablert utenfor EØS. Utvalgets utkast ligger tett opptil fjerde hvitvaskingsdirektiv artikkel 45. På bakgrunn av at Kommisjonen kan fylle ut direktivet med tekniske standarder om hvilke tiltak rapporteringspliktige skal iverksette når lokal rett ikke tillater etterlevelse av hvitvaskingsdirektivets krav i tredjeland, foreslår utvalget en forskriftshjemmel som gjør det mulig løpende å oppdatere norsk rett, se lovutkastet § 40 sjette ledd.
Utvalget uttaler følgende om tilsynsmyndighetens adgang til å anmode rapporteringspliktig om å avvikle virksomhet i tredjeland som ikke tillater etterlevelse av hvitvaskingsdirektivets krav, se NOU 2016: 27 punkt 8.5.6:
«Etter direktivet skal tilsynsmyndigheten, om nødvendig, også anmode rapporteringspliktig om å avslutte virksomheten i tredjeland. Når direktivet ikke krever at tilsynsmyndigheten skal ha hjemmel til å pålegge at virksomheten i tredjeland opphører, finner ikke utvalget det nødvendig å uttrykkelig regulere tilsynsmyndighetens adgang til å anmode rapporteringspliktige om opphør av virksomheten.»
Utvalget foreslår en forskriftshjemmel for å kunne gi nærmere regler om utpeking av nasjonale kontaktpunkt for agenter av utenlandske betalingsforetak og e-pengeforetak, se lovutkastet § 41. Utvalget påpeker at tekniske standarder ikke er vedtatt, og har derfor ikke foreslått utfyllende regler. Etter utvalgets oppfatning er det ønskelig å innføre en mulighet til å kreve at utenlandske betalings- og e-pengeforeak har et nasjonalt kontaktpunkt, og viser til at dette kan lette tilsynsvirksomheten.
I forslaget til en særskilt lov om register over reelle rettighetshavere foreslår utvalget en bestemmelse om forvalters plikt til å opplyse om sin status som forvalter til rapporteringspliktige, se lovutkastet § 6 annet punktum. Utvalget viser til at en slik plikt er påkrevd i fjerde hvitvaskingsdirektiv og FATFs anbefalinger, samt ble nevnt i FATFs oppfølgingsrapport om Norge fra 2014.
8.6 Høringsinstansenes syn
Etter Datatilsynets syn er det viktige sider av fjerde hvitvaskingsdirektiv artikkel 45 som ikke gjenspeiles i utkastet til bestemmelse om rutiner på konsernnivå. Datatilsynet viser til at direktivets krav om felles policy og prosedyre for utveksling og behandling av data, må sees i lys av at overføring av personopplysninger til land utenfor EØS i utgangspunktet er forbudt etter personverndirektivet og personvernforordningen. Overføring kan likevel skje dersom tredjelandet er ansett som trygt, eller det gis tilstrekkelige garantier. En slik garanti kan være interne avtaleverk i konserner for utveksling av personopplysninger.
Electronic Money Association (EMA) er sterkt imot innføring av mulighet til å kreve et nasjonalt kontaktpunkt for agenter av utenlandske e-pengeforetak. EMA viser til at kostnadene vil virke uoverkommelige og forhindre vekst i bransjen. EMA viser til at distribusjon av e-penger ikke er regulert, men at reguleringene knytter seg til utstedelsen og bruken av e-penger. Organisasjonen mener det er mer hensiktsmessig å benytte kontaktpunkter innad i e-pengeforetakene, eksempelvis en etterlevelsesansvarlig («compliance officer»).
Næringslivets Hovedorganisasjon (NHO) forstår utvalget slik at rapporteringspliktige alltid må implementere enkelte av tiltakene i lovutkastet § 36 annet ledd. NHO er ikke enig i en slik forståelse, og mener at for eksempelvis små virksomheter vil en risikovurdering tilsi at det verken er nødvendig med «compliance officer», «employee screening» eller «independent audit function».
Western Union Payment Services Ireland Limited (WUPSIL) understreker at dersom det skal innføres krav om sentrale kontaktpunkt, må kravet gjelde alle leverandører av betalingstjenester som er etablert i Norge. WUPSIL viser til at man må unngå konkurransevridning og regulatorisk arbitrasje. WUPSIL anfører videre at det bør vurderes om
det er tilstrekkelig at kontaktpunktet er en person med de nødvendige kvalifikasjonene og nødvendig kunnskap om lokale AML/CFT-krav, uten at det må være en fysisk person som befinner seg i Norge, så lenge kontaktpunktet er tilgjengelig og kan møte lokale myndigheter etter rimelig varsel.
kommunikasjon til lovgivere i hjemland og vertsland kan skje på engelsk, og viser til praksis i EU når det gjelder meldinger om agentetableringer.
kontaktpunktet kan være ansatt i et tilknyttet selskap eller agent, og ikke i det rapporteringspliktige foretaket selv.
kontaktpunktet ikke skal ha noe personlig ansvar for manglende etterlevelse, men at det skal forbli hos den rapporteringspliktige juridiske enheten, dens hvitvaskingsansvarlige, styre og øverste ledelse.
8.7 Departementets vurdering
8.7.1 Internkontroll
Departementet foreslår en bestemmelse om internkontroll og særskilte interne tiltak som del av internkontrollen, se lovforslaget § 35. Departementet slutter seg til utvalgets vurderinger, og presiserer på bakgrunn av høringen at tiltakene som er nevnt i lovforslaget § 35 annet ledd, alle er avhengige av en risikovurdering. Risikovurderingen av virksomhetens omfang og art kan tilsi at alle tiltakene må gjennomføres, at ett eller to av tiltakene må gjennomføres, eller at ingen av tiltakene må gjennomføres.
Departementet finner grunn til å sitere følgende fra flertallets redegjørelse for forholdet mellom internkontroll og ansvaret for å følge opp virksomhetens rutiner i NOU 2016: 27 punkt 4.5.4:
«Der virksomhetens omfang tilsier det, må det etableres tydelige retningslinjer for fordeling av ansvar mellom «førstelinjeforsvaret» som består i gjennomføring av den daglige etterlevelsen av loven, eventuell etterlevelsesansvarlig sitt ansvar, og øverste ledelses overordnede ansvar. For de foretak som også må etablere en uavhengig kontrollfunksjon fordi virksomhetens omfang og art tilsier det, bør kontrollfunksjonen rapportere til øverste ledelse.»
Departementet bemerker at det ikke foreslås en definisjon av «øverste ledelse», slik utvalget foreslo, se punkt 4.7.4. Departementet påpeker imidlertid at kravet til «uavhengig» kontrollfunksjon legger føringer for hvem det kan rapporteres til i rapporteringspliktiges ledelse. Den uavhengige kontrollfunksjonen kan eksempelvis ikke måtte rapportere til personen(e) med ansvar for gjennomføring av rutinene den interne kontrollfunksjonen skal kontrollere, men må kunne rapportere høyere opp i virksomheten. For å avskjære eventuell tvil om at kontrollfunksjonen kan utføres av eksterne aktører, foreslår departementet å ta ut ordet «intern» fra lovteksten.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 8 og FATF-anbefaling 18.
8.7.2 Opplæring
Departementet slutter seg til utvalgets vurderinger og foreslår en bestemmelse om opplæring av ansatte, se lovforslaget § 36. Ingen høringsinstanser har uttalt seg om utvalgets utkast. Departementet foreslår at bestemmelsen presiserer at opplæring også må gis til andre enn ansatte som utfører oppdrag for rapporteringspliktige.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 46 og FATF-anbefaling 18.
8.7.3 Vern mot negative reaksjoner. Varslingssystemer
Departementet foreslår en bestemmelse om rapporteringspliktiges tiltak for å sikre at ansatte som rapporterer til Økokrim, vernes mot negative reaksjoner som følge av rapporteringen, se lovforslaget § 37 første ledd. I annet ledd foreslås en bestemmelse om etablering av interne varslingskanaler om brudd på loven eller forskrifter gitt i medhold av loven. Departementet slutter seg i hovedsak til utvalgets vurderinger, men har gjort enkelte endringer i utvalgets lovutkast.
Departementet understreker at fjerde hvitvaskingsdirektiv artikkel 38 er generell i ordlyden. Departementet antar at den delen av bestemmelsen som gjelder intern rapportering, i Norge håndteres av reglene i arbeidsmiljøloven om varsling om kritikkverdige forhold i virksomheten, se arbeidsmiljøloven kapittel 2 A (slik det lyder fra 1. juli 2017). Dette inkluderer vern mot gjengjeldelse som følge av varsling, se arbeidsmiljøloven § 2 A-2. Departementets forslag henviser derfor ikke til intern rapportering. Departementet bemerker at arbeidsmiljølovens regler om varsling, herunder vern mot gjengjeldelse, også vil gjelde for varsling i samsvar med særskilt varslingssystem opprettet etter lovforslaget § 37 annet ledd.
Departementets forslag innebærer imidlertid at rapporteringspliktige må iverksette tiltak for å sikre at ansatte ikke risikerer å bli utsatt for trusler og lignende alvorlige reaksjoner som følge av rapportering. Hvilke tiltak som er aktuelle, vil bero eksempelvis på hvordan den rapporteringspliktige organiserer gjennomføring av kundetiltak, undersøkelser og rapportering.
Lovforslaget gjennomfører fjerde hvitvaskingsdirektiv artikkel 38 og deler av artikkel 61.
8.7.4 Elektroniske overvåkingssystemer
Departementet foreslår en særskilt bestemmelse om elektroniske overvåkingssystemer, se lovforslaget § 38. Departementet deler utvalgets vurdering av at reglene som tidligere er blitt delt i hvitvaskingsloven § 24 og -forskriften § 18, bør samles på lovs nivå. Departementet har gjort en endring i lovteksten som synes å bygge på en inkurie fra utvalgets side hva gjelder avgrensningen av hvem det er som skal være underlagt krav om elektronisk overvåkingssystem.
Lovforslaget har ikke et direkte motstykke i verken fjerde hvitvaskingsdirektiv eller FATFs anbefalinger.
8.7.5 Rapporteringspliktiges virksomhet i utlandet
Departementet foreslår en bestemmelse om rapporteringspliktiges virksomhet i utlandet, se lovforslaget § 39. Som redegjort for i punkt 4.7.3, foreslår imidlertid departementet at lovutkastets første ledd plasseres i lovforslaget § 8 om rutiner. For øvrig er det ikke kommet merknader til lovutkastet, og departementet har kun gjort lovtekniske endringer.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 45 og deler av FATF-anbefaling 18.
8.7.6 Nasjonalt kontaktpunkt for agenter av utenlandske betalingsforetak og e-pengeforetak
Departementet foreslår at det innføres hjemmel til å gi nærmere regler i forskrift om krav om utpeking av et nasjonalt kontaktpunkt for agenter av utenlandske betalingsforetak og e-pengeforetak, se lovforslaget § 40. Departementet viser til at tekniske standarder foreløpig ikke er vedtatt av EU-kommisjonen og tatt inn i EØS-avtalen. Forskriftshjemmelen gjør det mulig å implementere og tilpasse norske regler til EØS-forpliktelsene når disse vedtas av Kommisjonen. Departementet presiserer at plikten til å utpeke et nasjonalt kontaktpunkt vil rette seg mot det utenlandske foretaket som har agenter i Norge, og at forskriftshjemmelen også gir mulighet til å pålegge kontaktpunktet plikter.
Departementet bemerker at høringsinnspill til utformingen av krav om nasjonalt kontaktpunkt vil bli vurdert i forbindelse med utforming av utfyllende regler med hjemmel i lovbestemmelsen.
Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 45.
8.7.7 Særlig om forvalter av utenlandsk trust eller lignende juridisk arrangements plikt til å opplyse om forvalterforholdet
Departementet foreslår en særlig bestemmelse om at forvaltere av utenlandske juridiske arrangementer har plikt til å opplyse om at vedkommende er en forvalter til rapporteringspliktig når vedkommende skal inngå kundeforhold eller gjennomføre en transaksjon som utløser plikt til å gjennomføre kundetiltak. Plikten inntrer så lenge kundeforholdet inngås eller transaksjonen utføres som ledd i forvalterens arbeid som forvalter. Dersom kundeforholdet inngås eller transaksjonen gjennomføres for forvalterens private formål, er det ikke nødvendig å opplyse om forvalteransvaret. Departementet foreslår at bestemmelsen inntas i kapittelet om øvrige plikter, se lovforslaget § 41.