Översikt


Hittar du inte vad du letar efter? Klicka här för att söka.
Annons
Annons

Dataskyddet inte längre ett skydd för brottslingar

Nyheter
Publicerad: 2022-10-13 08:58

KRÖNIKA – Louise Brown, antikorruptionsexpert på FCG

Där var den. Den totala bilden. Det regnbågsfärgade mönstret som presenterades på skärmen uppe på scenen påminde mer om ett expressionistiskt konstverk än en dataklusteranalys.  Mobilerna i publiken på konferensen Financial Fraud Forum klickade ljudlöst.

Hans Brun, analytiker på bedrägerienheten på Polisens Nationella Avdelning, pekade från talarstolen mot skärmen och förklarade hur bilden illustrerar den organiserade brottsligheten i Sverige verkar inom olika delar av näringslivet, kategoriserade brottsupplägg samt hur kopplingarna ser ut mellan olika kända kriminella grupperingar.

Merparten av deltagarna i den tysta men märkbart fascinerade publiken ruvade högst sannolikt på samma spörsmål. Hur skulle gemene AML- eller bedrägerianalytiker kunna få tillgång och tillstånd att använda denna data? 

Men tanken är både förståeligt och vanskligt önskemål, då utrymmet att hantera brottsdata av naturliga skäl är begränsat med respekt för personlig integritet och GDPR.

Programmet på konferensen Financial Fraud Forum, där Hans Brun medverkade, erbjöd ett utmärkt men omskakande program. Å ena sidan den rasande snabba kriminella realiteten, å andra sidan att noll-risk alltid kommer vara en utopi.

Med relevant information vid hand kanske, men bara kanske, kunde exempelvis upphandlingen av avfallshantering från ett bolag där huvudmannen hade 34 domar på sig, inklusive penningtvätt, där tjänsten levererades i form av att dumpa farligt byggavfall tillsammans med slaktrester kunnat förhindras. Men, att kunna ta in data på målvaktsprofiler, brottshistorik och kopplingar till bolag kända för kriminell verksamhet är än så länge en önskedröm.

Och vad händer egentligen under tiden på banken? 

Integritettsskydd genom skydd av personuppgifter är en grundläggande frihet som införlivades genom Lissabonfördraget. Samtidigt upplevs frustration i arbetet mot finansiell och organiserad brottslighet, där efterlevnad av GDPR kan innebära en utmaning. Det gör sig påmint i åtgärder för att motverka penningtvätt, i samband med screening mot sanktionslistor men också i relation till integritetsefterlevnad, integritet, arbetsgivarrelationer och regleringar om marknadsmissbruk. Syftet med att hantera personuppgifter med varsamhet och kontroll är logiskt, men om resultatet blir att brottslingar tar rygg på dataskydd, hamnar vi otvetydigt i en djupare filosofisk diskussion. Det hierarkiskt tyngre berättigade intresset att beivra penningtvätt, kontra betraktelsen vem som avgör om och när en individ avtjänat ett straff.

Alla företag måste idag kunna svara på frågor om vilken information som man samlar in, använder och sparar, vilka rättigheter som skyddas, vilken transparens man kan påvisa, vilken datatrafik som ska dokumenteras och sparas, och, vilka register som finns eller inte.

Nästa stora fråga är hur ett finansiellt institut utifrån ett riskbedömningsperspektiv kan handskas med kriminalregister, straffrättsliga förfaranden och pågående rättegångar. Att behandla uppgifter om kriminalregister är inte förenligt med GDPR, och kan leda till allvarliga konsekvenser om de sprids. Därför måste organisationer förstå detta ur ett juridiskt perspektiv. Därutöver, vilken data som ”brottsdata” tolkas inte enhetligt inom EU. Det skapar ett ytterligare lager av komplexitet.

Spola fram i tiden till en vecka senare. 

Den 30 september publicerade Integritetsskyddsmyndigheten sitt beslut ge Danske Bank tillstånd att behandla personuppgifter om lagöverträdelser (DI-2021-2183). 

Förutsättningarna för att uppfylla kraven för motverkande av penningtvätt anses enligt beslutet kräva att banken får lov att kontrollera nya kunder mot en intern lista över kunder som tidigare anmälts till finanspolisen på grund av misstänkt penningtvätt eller finansiering av terrorism. I praktiken innebär det också kontroll av kunder inom olika delar av koncernen som tidigare har anmälts till Finanspolisen, bedömts överstiga bankernas riskaptit, avslutats, och därför hamnat just på den interna så kallade ’observationslistan’.

Beslutet kom efter att banken samrått också med den danska finansinspektionen kring flera åtgärder för att motverka den ekonomiska brottsligheten och där den interna bevakningslistan blir ett viktigt verktyg. Avslutade kunder kommer i Danske Banks fall alltså inte kunna utnyttja olika filialer inom koncernen för i parallella upplägga bedriva penningtvätt och finansiering av terrorism. Analogt med månlandningen, kan detta synas vara ett litet steg för en enskild myndighet, men ett stort steg för förebyggandet av finansiell brottslighet. 

Man kan också ana ett ljus på horisonten vad gäller möjligheten att nyttja kunddata från den så kallade kundkännedomsprocessen för att identifiera bedragare. För som också blev tydligt på Financial Fraud Forum vid presentationen av dataklusteranalysen, är att ekobrott såsom bedrägeri är ett bra mycket bättre värv för kriminella entreprenörer än exempelvis kokainsmuggling. Vem väljer en fysiskt arbetsam och högst riskabel affär, när vinstmarginalen på bedrägerier är så mycket högre och det enda verktyget du behöver är en mobil. 

Långsamt tecknas nu nya förutsättningar för hur regelverken för AML och GDPR kan samverka, hur arbetet mot penningtvätt skulle kunna stärkas till nästa nivå och samtidigt behandla personuppgifter på ett sätt som integritetsskyddsmyndigheten bedömer lämpligt.  

Den färgglada dataklusteranalysen på konferensen är trots allt inte bara en önskedröm. Med hjälp av rätt data som kan användas på rätt sätt kanske det finns en möjlighet, om inte att ligga steget före den finansiella brottsligheten, så ändå ett steg på vägen framåt. 

Dagens Juridik
red@dagensjuridik.se

Dela sidan:
Skriv ut: