GDPR dilemma i hvidvaskbekæmpelse

Bekæmpelse af hvidvask er det nye sort. Eller måske lidt det omvendte. Forslag om fælles register for alle bankkunder rummer et GDPR dilemma.

Den ene store hvidvask-sag efter hinanden er eksploderet lige op i ansigtet på de store banker. Sagerne skal måles i milliarder og i Danske Banks tilfælde billioner! Der er ingen tvivl om, at pengeinstitutterne for år tilbage slet ikke havde set så store svindelnumre komme. Der var nok lidt for meget ”betjent følger ællinger over gaden” og for lidt professionel skepsis.

I går (den 27. november 2019) kom pengeinstitutternes forening Finans Danmark med 25 forslag til, hvordan hvidvask kan bekæmpes bedre. Nogle forslag bedre end andre. Blandt de mere tunge af forslagene er mere IT-understøttelse i jagten, og det kommer man ikke uden om.  Alene en af de store banker har 70 transaktioner i sekundet! Det kalder på mere end blot mandetimer. I fremtiden vil AI og machine learning være omdrejningspunktet, men lige nu nok kun noget der minder om det.

Hvor langt skal vi gå?
Det drejer sig imidlertid ikke blot om bits and bytes og store servere. Det kommer også til at handle om brugen af vores persondata som bankkunder. Hvor langt skal vi gå i jagten på de kriminelle, og hvilken pris er vi villige til at betale, når det kommer til brug af vores alle sammen persondata?

Et af de problemer, som der er i dag er, at bankerne ikke må tale sammen om mistænkelige kunder. Hvis den ene bank har mistanke til en bankkunde om, at denne ikke har rent mel i posen, så kan banken ikke advare andre banker. Det gælder fx hvis kunden vælger at skifte bank eller vælger at åbne konti i flere banker på en gang. Der er lukket for udveksling af personoplysninger mellem bankerne.

I en række af de sager, som vi har set, har de kriminelle brugte flere og nogle gange mange banker, for at sprede deres lyssky aktiviteter. Fordeling er åbenlys: hvis man gerne vil sættes 1 mio. kr. sorte penge ind i banken, så vækker de mindre opsigt, hvis en kriminel fordeler pengene på 10 konti end på blot en konto.

Register over alle bankkonti
Bankerne foreslår, at der indføres et fælles register over bankkunderne. Forslaget er indtil videre beskrevet helt overordnet, men essensens er, at registreret skal rumme oplysninger om alle bankkunder i danske banker. Bankerne skal med registret få mulighed for at tjekke historikken på en ny kunde, som kommer ind i banken. Det vil også være muligt at tjekke om kunden også har konti i andre banker. Begge dele noget som banken vil kunne drage nytte af, inden en ny kunde lukkes ind.

Så langt så godt. Flere kriminelle vil blive afsløret, og det er der ingen, som kan have noget imod. Prisen for dette er imidlertid, at vi alle kommer til af aflevere persondata til systemet.

Her melder alle de bekymringer, som man kan have ved registrering af personoplysninger: er det sikkert, er der styr på hvem som har adgang til dem, er datasikkerheden i orden? Spørgsmålet om oplysningerne er korrekte kan have stor betydning. Skal vi alle som bankkunder have adgang til de personoplysninger, som er registret om én? Hvad hvis der ved en fejl kommer til at stå, at man har 10 bankkonti? Risikerer man at komme ind i et kafkask mareridt, hvor man bliver anklaget, men uden helt at vide for hvad?

Det er en politisk afvejning kombineret med reglerne om beskyttelsen af personoplysninger i GDPR, som sætter grænser for hvor langt vil man gå i jagten på kriminelle på bekostning af ærlige bankkunders persondata. Kunne man forestille sig, at registreret kommer til at lide samme skæbne som sikkerhedskontrollen i lufthavnen, hvor det kun er retskafne borgere, som passerer igennem, fordi de kriminelle har fundet andre måder at få ulovlige ting om bord på flyet?

Stasi ville være henrykt
Hvor den lander er svært at sige. Det kommer an på de politiske vinde, der blæser på det tidspunkt, at beslutningen skal tages. Jeg tør dog godt komme med et gæt: et sådant register vil der ikke være mange, som er imod. Vi er vant til, at alt om os er registret hos de offentlige myndigheder. Der synes at herske en konsensus om, at ”jeg har ikke noget at skjule, så bare overvåg mig”.

Jeg tror holdningen vil være en anden længere syd på, hvor demokratierne ikke har århundrede på bagen og hvor erindringen om diktatorer af den ene eller anden slags står frisk i erindringen. Stasi vil have været henrykt for sådan et register.

Det er et dilemma, som der helt sikkert er forskellige holdninger til. Skal vi bare fortsætte med nye måder at registrere oplysning om borgerne på, eller er det nu vil skal trykke på bremsen og sige stop for det?

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle