Nye love og regler får den administrative byrde til at stige
GDPR.
HVL.
PEP.
Øget dokumentationskrav, whistleblowerordninger og risikovurdering. Der er ikke noget at sige til, at de administrative opgaver i øjeblikket synes at fjerne fokus fra planerne om at pleje sine kunderelationer og målene om øget vækst.
Der sker meget i øjeblikket
For det første er der skærpelsen af hvidvaskningsloven (HVL) som trådte i kraft den 26. juni sidste år, og stiller større krav til risikovurdering. Tidligere indeholdte HVL ikke regler om risikovurdering og risikostyring, men med skærpelsen gik loven fra at være primært regelbaseret til at være mere risikobaseret. Det betyder, at det nu overlades til virksomhederne selv at identificere, vurdere og håndtere risici forbundet med hvidvaskning og finansiering af terrorisme. Ansvaret for at vurdere om interessenter har forbindelser til Politisk Eksponerede Personer (PEP), og hvorvidt dette har indflydelse på den enkelte samarbejdspartner, påhviler nu også virksomhederne alene.
Kort sagt: med den nye hvidvaskningslov er det virksomhederne selv, der løbende skal identificere og håndtere risici samt vurdere, om deres kundeforhold kan kategoriseres som værende begrænset, almindelig eller øget risiko. Samtidig er der arbejdet med de nye udfordringer, som følger med den kommende EU-persondataforordning (GDPR). Og de eksisterende persondataudfordringer, for den sags skyld.
Uvished komplicerer arbejdet
Selvom arbejdet med at opstille procedure for de nye love og regler er startet for langt de fleste, er det fortsat svært at tilpasse sig for alvor. Det skyldes ikke mindst antallet af tvivlspørgsmål, som har omgivet lovgivningen: Hvordan en whistleblowerordning kan se ud med den nye HVL har Erhvervsministeren præciseret, og Finanstilsynet har udgivet en vejledning til regler om PEP Bedst som der er ved at være entydighed omkring procedurerne i HVL, begynder uvisheden at fylde mere og mere ift. GDPR, som træder i kraft den 25. maj 2018.
Hvor nogle regler er på plads, er mange det ikke
Datatilsynet udgav forrige år en tjekliste med 12 forberedende spørgsmål til GDPR. Spørgsmål relaterer sig til den kommende men også nuværende Persondatalov, som i forvejen kræver en struktureret arbejdsindsats at overholde. At man skal indgå databehandleraftaler og have styr på dataflows og registreredes rettigheder og være i stand til at påvise, dokumentere og indberette eventuelle brud på datasikkerheden er regler, der ér på plads.
Men som Timbed kunne skrive i juli sidste år, så er GDPR en forordning med plads til fortolkning med plads til fortolkning. Det vil sige, at EU i et vist omfang giver medlemslandene mulighed for at afvige fra de ”fælles” EU-regler. Og det komplicerer ikke kun forståelsen af reglerne, men øger også arbejdsbyrden forbundet med håndtering og beskyttelse af persondata. Herhjemme mangler vi at holde 52 elementer i GDPR op mod danske lovgivning, og derfor er det i øjeblikket umuligt at komme helt i mål med arbejdet.
Klarhed kun for de få
Når der kommer fuldkommen klarhed omkring reglerne, vil det kun komme de virksomheder, der udelukkende driver forretning i Danmark, til gode. For de virksomheder, der samarbejder eller har kunder udenfor landets grænser, er det ikke nok at følge dansk lovgivning. En dansk webshop med én tysk kunde, skal overholde tysk lovgivning. Importerer webshoppen sine produkter fra Spanien, er det også nødvendig at overholde spansk lovgivning.
Vi opdaterer bloggen løbende frem mod den 25. maj 2018.
Forklaring af forkortelser – A-Z.
HVL – hvidvaskningslov. Skærpelsen af loven skyldes, at man på nationalt og internationalt niveau har anerkendt vigtigheden af at koordinere indsatsen for at forebygge og helt bekæmpe hvidvask. Man har også anerkendt, at det kræver samarbejde på tværs af offentlige myndigheder og det private erhvervsliv – det er ikrafttrædelsen af den nye hvidvaskningslov et udtryk for.
PEP – politisk eksponerede personer, der har eller har haft et højerestående offentligt hverv eller været politisk involveret. Hent Finanstilsynets vejledning til reglerne.
GDPR – General Data Protection Regulation. EU-forordning, der har til formål at beskytte privatpersoners interesser og som skal gøre det nemt for medlemslandene at efterleve reglerne på persondataområdet. Forordningen er gældende for alle borgere i EU, og hensigten er at beskytte personhenførbare data (til dagligt omtalt som persondata). Læs mere om hvad personhenførbare data bruges til.
Atea får ISO anti-bestikkelsescertificering som den første danske virksomhed
Sidste år rullede Atea-sagen, en af de største bestikkelses- og korruptionssager herhjemme i nyere tid. Nu kan it-selskabet bryste sig af at være den første danske virksomhed med en ISO-certificering hvilket betyder, at der er styr på alle processer i virksomheden.
ISO37001, som er navnet på den højeste internationale antibestikkelsescertificering, som Atea altså nu har opnået, stiller skarpe krav til forebyggelse af ulovlig og korrumperet adfærd. Atea har arbejdet på at gennemgå og tilpasse sine interne forretningsgange for at opnå den eftertragtede certificering, siden det i sommeren 2015 kom frem, at tidligere topfolk fra Atea har været involveret i en større sag om bestikkelse, der i øjeblikket er ved at blive afgjort ved retten:
»Når du som kunde siger, at Atea er da dem med den der sag, så kan jeg sige, at det har noget med fortiden at gøre. I den nutid vi er i, er der nogle eksterne folk, der har vurderet os, og de finder, at vi kan leve op til den højest mulige standard på det her område. Nu kan jeg kigge på kunderne og sige, at det der foregår i retten drejer sig om forhold tilbage fra 2014 og bagud. Vi er i 2018 nu. Vi står for noget andet end det, der bliver talt om derude, og hvis de er i tvivl, så kan jeg fortælle, at vi er ISO-certificeret«, siger adm. direktør Morten Felding til computerworld.dk.
Bekræfter status quo-tendensen
ISO-certificeringen er et udtryk for at Atea nu har styr på sine forebyggende processer og en overbygning på den ”self-cleaning”-proces, selskabet har skullet gennemføre i henhold til EU-lovgivning. Certificeringen er altså ikke en garanti for at Atea aldrig igen vil bryde loven, men det er uden tvivl et skridt i den rigtige retning. At være den første danske virksomhed der opnår den type certificering, betyder også at Atea som det eneste danske selskab er udstyret med et dokumenteret og internationalt anerkendt våben mod korruption:
»Vi har siden 2015 arbejdet seriøst med at udvide og udvikle vores compliance-program. Det har været en vigtig selvrenselsesproces, der har sikret os det bedst tænkelige beredskab mod bestikkelse, korruption og anden uetisk forretningsmæssig adfærd«, fortæller Morten Felding i en pressemeddelelse fra Atea.
Atea-sagens forløb bekræfter status quo-tendensen: virksomheder har det med ikke at ændre adfærd, før der er et tydeligt incitament for at gøre det. Og nogle gange skal der en skandalesag til. For Atea er arbejdet hen mod en ISO37001-certificeringen en direkte konsekvens af bestikkelses- og korruptionssagen, men hos Timbed håber vi, at andre virksomheder vil se fornuften i løbende at stoppe op og gennemgå og tilpasse interne forretningsgange.
Vurder selv: Er Atea-sagen et udtryk for ethical blindness? Og kunne Atea have undgået sagen gennem god selskabsledelse?
Læs Kommentaren fra december, hvis du tænker noget i retningen af ’hvordan er det nu lige med ethical blindness – hvad er det, hvordan opstår det og kan det undgås. I november havde vi fokus på governance eller ‘god selskabsledelse, som det hedder på dansk. Her skrev vi at: »Kort sagt handler det om at skabe, implementere og monitorere nogle ledelsesmæssige rammer, der balancerer magten som tilfalder organisationers øverste ledelse.«
Leave A Comment