Logo og hjelpeverktøy

Hovedmeny

Informasjonsdeling for å styrke Eika-bankenes anti-hvitvaskingsarbeid

I dette sandkasseprosjektet har Eika Gruppen og KPMG utforsket det juridiske handlingsrommet for økt og mer effektiv datadeling mellom banker i arbeidet mot økonomisk kriminalitet. Prosjektet konkluderer med at gjeldende regelverk gir et visst, men begrenset handlingsrom for datadeling.

Illustrasjon av vasket seddel
Illustrasjon av vasket seddel

Om prosjektet

Eika Gruppen AS består av nærmere 50 lokale sparebanker av ulike størrelser i Norge. Gruppen er en allianse eid av bankene, som har flere fellestjenester for medlemsbankene.

Eika Gruppen AS ønsker å se på mulighetene for mer samarbeid på tvers i alliansen. De vil både øke effektiviteten i egen virksomhet samtidig som de vil levere bedre på sitt eget samfunnsoppdrag om å bidra i bekjempelsen av økonomisk kriminalitet.

I dette sandkasseprosjektet har virksomheten, sammen med KPMG, fått veiledning fra Datatilsynet og Finanstilsynet. Målet var å identifisere juridiske begrensninger, vurdere handlingsrommet for datadeling og utforske praktiske løsninger som kan styrke bankenes arbeid med anti-hvitvasking.

Sluttrapporten er utarbeidet av Eika og KPMG og oppsummerer vurderingene som er gjort i prosjektet. Vurderingene bygger på veiledning fra Datatilsynet og Finanstilsynet gjennom deres samarbeid i det regulatoriske sandkassearbeidet.

Behovet for regelverksendringer ble også diskutert. Datatilsynet brukte erfaringene fra prosjektet som grunnlag for å gi innspill til Finansdepartementets høring om endringer i finansforetaksloven. Finanstilsynet brukte erfaringene i deres arbeid med høringsutkastet.

Oppsummering av diskusjoner og funn i prosjektet

Her oppsummerer vi et utvalg av deltakernes funn fra sandkassen, som vi mener kan ha stor overføringsverdi til tilsvarende virksomheter. Rapporten inneholder konteksten for vurderingene, og vi anbefaler derfor at rapporten leses i sin helhet.

I prosjektet har deltagerne utforsket mulighetene for å dele data etter gjeldende lov i ulike faser av et anti-hvitvaskingsarbeid. Et slikt arbeid vil inkludere vurdering av kunder, deteksjonsfasen og utredningsfasen.

  • Det er taushetspliktene i finansforetaksloven og avsløringsforbudet etter hvitvaskingsloven som i utgangspunktet setter begrensningene for å dele personopplysninger om et kundeforhold mellom banker. Hvis det ikke er adgang til å dele personopplysninger på grunn av taushetsplikt, vil det heller ikke være adgang til å dele etter personvernregelverket. Derfor må aktører identifisere ett eller flere unntak fra taushetsplikten eller avsløringsforbudet før de vurderer om delingen er i tråd med personvernregelverket. Diskusjonene i dette sandkasseprosjektet har i hovedsak handlet om rekkevidden av unntakene i disse lovbestemmelsene.
  • Å dele data med formål om å vurdere kunder: Å vurdere en kunde betyr i denne sammenheng å vurdere hvilken risiko de utgjør. Denne vurderingen kan skje både ved etablering av et kundeforhold og underveis i kundeforholdet. I prosjektet har deltagerne utredet adgangen til å dele informasjon om allerede identifisert mistanke om hvitvasking eller annen økonomisk kriminalitet mellom banker i alliansen, for bruk i kundevurderingen.
    • Deltagerne har konkludert med at adgangen til deling av data for bruk i kundevurderinger er snevert etter gjeldende regler i finansforetaksloven og hvitvaskingsregelverket.
    • Mulighetene til å dele data etter gjeldende rett knytter seg primært til mistanke om bedrageri.
  • Å dele data i deteksjonsfasen: Deteksjonsfasen er fasen før alarmen går på en kunde, og før undersøkelsesplikten etter hvitvaskingsregelverket trer inn. Deltagerne ønsket å utforske mulighetene etter gjeldende lov for å dele data som ikke er forbundet med mistanke i den enkelte bank, men som samlet kan identifisere mistanke.
    • Deltagerne har konkludert med at det er svært begrenset adgang til å dele data for å avdekke potensiell mistanke, altså før mistanke er etablert.. Å dele slike data vil normalt ikke oppfylle vilkåret om nødvendighet som følger av både hvitvaskingsloven og finansforetaksloven.

  • Å dele data i utredningsfasen: Med utredningsfasen mener vi fasen etter at alarmen har gått på en kunde. Deltagerne ønsket å utforske hvordan utredere i Eika Gruppen eller den enkelte alliansebanken kan trekke inn data fra andre banker i alliansen der det er relevant for nærmere undersøkelser i deres egen bank.
    • Deltagerne har konkludert med at det hvitvaskingsloven gir et handlingsrom til å utveksle nødvendige opplysninger i denne fasen.
  • Deltagerne har fremhevet at de ser for seg at endringene i finansforetaksloven § 16-2, som var på høring høsten 2025, vil gi et større rom for deling. Dette gjelder særlig i deteksjonsfasen.

Vi presiserer at det er viktig at betalingstjenesteytere vurderer prinsippet om dataminimering gjennomgående og kontinuerlig. På den måten vil de bare dele og behandle informasjon som er nødvendig for å forebygge, etterforske eller avsløre betalingsbedragerier.

Last ned

Sluttrapport: sandkasseprosjekt med Eika og KPMG (pdf).

Sluttrapporten er utarbeidet av sandkassedeltakerne: Eika Gruppen og KPMG. De juridiske vurderingene i rapporten er foretatt av virksomhetene, med veiledning fra Datatilsynet og Finanstilsynet.