Sandkasseprosjekt påpeker hull i hvitvaskingsloven

Økonomisk kriminalitet er blitt mer koordinert, mer profesjonell og mer fragmentert på tvers av banker. Mens kriminelle nettverk opererer sømløst i et «åpent marked» og sprer aktivitet på tvers av finansinstitusjoner, er norske banker bundet av taushetsplikt, avsløringsforbud og snevre unntak.

Et regulatorisk sandkasseprosjekt mellom Eika Gruppen og KPMG, gjennomført i dialog med Datatilsynet og Finanstilsynet, viser at denne asymmetrien i stor grad er et resultat av dagens regelverk.

Hovedkonklusjonen er klar: Ja, det finnes et juridisk handlingsrom for datadeling i anti-hvitvaskingsarbeidet, men det er både snevert og faseavhengig.

Tre faser – og tre ulike rettslige realiteter

I prosjektet har deltakerne analysert datadeling i tre sentrale faser av anti-hvitvaskingsarbeidet: Kundevurdering (KYC), deteksjon og utredning. Vurderingene avdekker et tydelig mønster: Jo tidligere i prosessen, desto strengere er sperrene.

I deteksjonsfasen, altså før en konkret mistanke er etablert, er handlingsrommet i praksis svært begrenset. Prosjektgruppen har vurdert om banker i alliansen kan dele data som isolert sett ikke gir mistanke, men som samlet kan avdekke mønstre som «bankshopping» og profesjonell hvitvasking.

Konklusjonen er ikke oppløftende.

– Å dele slike data vil normalt ikke oppfylle vilkåret om nødvendighet som følger av både hvitvaskingsloven og finansforetaksloven, heter det i rapporten.

Det betyr at banker i liten grad kan samarbeide om å oppdage mistenkelig aktivitet før alarmen går i én enkelt bank. For profesjonelle aktører gir dette et strukturelt forsprang: Aktiviteten kan spres, uten at helheten blir synlig.

Når alarmen går, åpnes et begrenset rom

Situasjonen endrer seg først i utredningsfasen, etter at mistanke er etablert og undersøkelsesplikten etter hvitvaskingsloven er utløst. Her konkluderer prosjektet med at gjeldende rett gir et faktisk, men strengt avgrenset handlingsrom.

Hvitvaskingsloven åpner for at banker kan utveksle nødvendige opplysninger med andre banker, dersom dette er relevant for nærmere undersøkelser i egen virksomhet. Ifølge rapporten kan dette i prinsippet organiseres mer strukturert enn dagens manuelle praksis.

Dette forutsetter imidlertid strenge rammer: klare nødvendighetsvurderinger, dokumentasjon, tilgangsstyring og tekniske løsninger som sikrer sporbarhet. Delingen kan ikke være generell eller forebyggende, men knyttet til konkrete utredninger.

Kundevurdering: Snevert rom for samarbeid

I kundevurderingsfasen er adgangen til datadeling igjen snever, enten det er ved etablering eller løpende oppfølging av kundeforhold. Prosjektgruppen har vurdert om banker kan dele informasjon om kunder der det allerede foreligger mistanke, for å styrke risikovurderingene på tvers av alliansen.

Også her konkluderes det med at taushetsplikten i finansforetaksloven og avsløringsforbudet i hvitvaskingsloven setter klare grenser. Systematisk deling av slike opplysninger vurderes som rettslig risikofylt etter gjeldende regler.

Avsløringsforbudet – nødvendig, men hemmende

Et sentralt tema i prosjektet er avsløringsforbudet i hvitvaskingsloven § 28. Forbudet skal hindre at kunder eller tredjeparter får kjennskap til pågående undersøkelser, rapportering til Økokrim eller etterforskning.

Prosjektgruppen understreker at dette forbudet er en reell skranke for samarbeid, særlig i de tidlige fasene. Samtidig presiseres det at deling i utredningsfasen normalt ikke vil innebære brudd på avsløringsforbudet, så lenge informasjonen avgrenses til primærforbrytelsen og ikke gir mottaker grunnlag for å forstå at rapporteringsplikt er utløst.

Likevel peker rapporten på et regulatorisk paradoks: Det kan være enklere å dele informasjon om betalingsbedrageri enn om hvitvasking, selv om hvitvasking ofte er selve forutsetningen for at kriminaliteten kan fortsette.

Personvern er ikke hovedhindringen

Datatilsynet har vært tydelig i prosjektet: Det er ikke personvernregelverket som i seg selv stopper datadeling.

Dersom det ikke finnes adgang til deling etter taushetspliktene i finansforetaksloven eller hvitvaskingsloven, finnes det heller ikke behandlingsgrunnlag etter personvernforordningen. Der slik adgang foreligger, vil behandlingsgrunnlag typisk kunne finnes i GDPR artikkel 6, forutsatt at kravene til nødvendighet, formålsbegrensning og dataminimering er oppfylt.

Prosjektet peker på at det identifiserte handlingsrommet i dag er dårlig tilpasset et kriminalitetsbilde der aktørene opererer på tvers av banker. Deltakerne viser særlig til forslagene om endringer i finansforetaksloven § 16-2, som var på høring høsten 2025.

Ifølge rapporten kan disse endringene gi et større rom for datadeling, særlig i deteksjonsfasen, blant annet ved å fjerne krav om styrevedtak og vilkåret om «særlige tilfeller».

Samtidig understrekes det at sandkasseprosjektet ikke gir grønt lys for konkrete løsninger.

Vurderingene er prinsipielle, og eventuelle implementeringer vil kreve ytterligere juridiske og tekniske avklaringer. Likevel er budskapet tydelig: Skal bankene kunne samarbeide mer effektivt mot profesjonell hvitvasking, må regelverket klargjøres.

Datatilsynet arrangerer seminar om prosjektene fredag 6. november.