En samlet platform til compliance-håndtering og dataudveksling

Compliance work cannot tolerate invented answers. This paper introduces RAG Intelligence — a category of compliance technology built for one purpose: to make AI defensible in the contexts where defensibility is the entire point.

Executive summary

Compliance work cannot tolerate invented answers. Yet the dominant model for AI today, generative AI, is built to produce plausible-sounding output, not provably-sourced output. For any regulated work, this is not a limitation that can be patched with better prompting. It is an architectural mismatch.

This paper introduces RAG Intelligence: a category of compliance technology in which every output is retrieved from verified source material, cited to its origin, and never generated from a model's internal parameters. It is built for one purpose — to make AI defensible in the contexts where defensibility is the entire point.

RAG Intelligence is not autonomous. It does not make decisions, file reports, or replace the responsibility of the compliance officer. It does the part of compliance work that software can do well — retrieving the right document, surfacing the relevant data, paragraph, or business procedure, drafting a sourced summary — and leaves every decision in the hands of a human.

For any EU regulated firm preparing for the AI Act (Regulation (EU) 2024/1689, mostly applicable from 2 August 2026), RAG Intelligence is the standard that lets you adopt AI without exposing the firm to the risks that have made compliance teams rightly sceptical of it.

The problem with generative AI in compliance

Generative AI systems produce answers by predicting what text should come next. They draw on patterns learned during training, not on verifiable source material. When they are right, they are useful. When they are wrong, they are confidently, fluently, and convincingly wrong.

For most use cases this trade-off is acceptable. For compliance work, it is not — and under any plausible regulatory future, it will not be.

A compliance officer reviewing a customer file is not looking for plausible answers. They are assembling a defensible record. Every conclusion — this customer is low-risk, this beneficial owner is identified, this transaction does not require a Suspicious Activity Report (SAR) — must be traceable to a source the firm can produce on demand, years later, to a regulator, an auditor, or a court. This applies for any compliance work under any legal framework.

Generative AI breaks this requirement in three ways:

It cannot show its work

The output of a generative model is not derived from a specific document; it is synthesised from statistical patterns across an entire training corpus. There is no citation to produce, no audit trail to follow, no way to answer the only question that matters in a regulatory review: where did this come from?

It invents what it does not know

Generative models do not distinguish between facts they have seen and facts that are merely consistent with what they have seen. Faced with a customer who resembles other customers in the training data — but is not them — the model fills in the gaps from pattern, not from the file in front of it. A beneficial owner is named who does not actually own the company. An ownership structure is described that resembles other structures the model has seen but is not the one on the customer's documents. A risk profile is asserted that no document in the file supports. The output looks the same whether it is correct or fabricated. For a recipe, this is acceptable. For compliance, fabrication is not a quality problem — it is a liability event.

It cannot be governed at the output layer

Because generative output is a product of the model's internal weights, the firm cannot constrain what the model can say to what the firm has actually verified. The model's universe of possible answers is whatever it was trained on, much of which the firm does not control, did not approve, and cannot audit.

These are not edge cases. They are how generative AI works. No amount of prompt engineering changes the underlying architecture.

The autonomous-agent problem

The direction enterprise AI is moving makes this worse, not better. The most actively-marketed category in 2026 is agentic AI — systems designed to take actions, make decisions, and execute workflows with minimal human oversight. A specific sub-category has emerged in regulated industries: AI compliance agents, marketed as autonomous or semi-autonomous systems that take over the collection of data, the reviews, risk assessments, and onboarding decisions on the firm's behalf.

For most domains, autonomy is a reasonable productivity goal. For compliance, it is the opposite of what the regulation requires.

National legislation across the EU — and equivalent regimes in the UK, the US, and other jurisdictions — places the obligation to assess, decide, and report on a named human: the firm's designated compliance officer. The incoming AMLR and AMLD6, applying from 10 July 2027, are a good example: they harmonise these obligations across the EU and increase the standards for documented, defensible decision-making, supervised by the new EU Anti-Money Laundering Authority (AMLA). The EU AI Act explicitly classifies certain compliance and risk-scoring applications as high-risk, with mandatory human oversight requirements. GDPR Article 22 restricts solely automated decision-making that produces legal or similarly significant effects on individuals.

An AI system that approves customers, assigns risk classifications, or files reports on its own is not a productivity tool. It is a regulatory exposure — and the AI compliance agent category, at least where it takes autonomous action on decisions the regulation reserves for a human, is exactly that exposure dressed as innovation.

This is the trap that has made compliance teams across regulated industries wary of AI adoption: the louder the AI is marketed, the less it looks like something the firm's designated compliance officer can sign their name to.

What RAG Intelligence is

RAG Intelligence is the application of Retrieval-Augmented Generation — a well-established technical pattern in AI — to the specific demands of regulated work.

In a RAG system, every output is constructed in two steps. First, the system retrieves the relevant source material from a controlled knowledge base — the firm's own customer files, the applicable legislation, supervisory guidance, the firm's internal policies. Second, the language model is constrained to produce output only on the basis of what was retrieved, with citations back to the source.

RAG Intelligence is the discipline of doing this correctly for compliance work. That means three architectural commitments that go beyond generic RAG:

Retrieval is the source of truth, not a hint

Many RAG implementations use retrieval as one input among others, blending retrieved content with the model's parametric knowledge. RAG Intelligence does not. If the retrieved sources do not contain the answer, the system says so. It does not fill in the gap from the model's training data.

Every output is cited

Not summarised with a footnote — cited at the level of the specific source, the specific document, and where possible the specific passage. A compliance officer reading a RAG Intelligence output can verify every claim against the source it came from.

The system never decides

RAG Intelligence retrieves, surfaces, summarises, and drafts. It does not approve customers, assign risk scores, file reports, or take any action that the regulation reserves for a human. Decisions are made by the firm's designated compliance officer. RAG Intelligence assembles the basis on which they decide.

The shorthand is: retrieved, not generated. Supportive, not autonomous. Cited, not summarised.

Why this matters for regulated professional services

For any firm operating under specific legal obligations and preparing for the EU AI Act's high-risk requirements, the question of AI adoption is not whether AI can help with compliance. The benefits — faster onboarding, more consistent risk assessment, easier document review — are obvious. The question is whether the firm can adopt AI without taking on a new category of risk in the process.

RAG Intelligence is designed around this question. Five properties make it fit for purpose.

Defensibility

Every output produced by a RAG Intelligence system can be defended in front of a regulator, an auditor, or a court, because every output is grounded in a source the firm controls and can produce. There should be no hallucination to explain, no model behaviour to defend, no black box to apologise for. There is only the source, and what was retrieved from it.

Regulatory alignment

Because RAG Intelligence is decision-support rather than decision-making, it is designed to sit outside the EU AI Act's high-risk categorisation for autonomous decision systems, and outside GDPR Article 22's restrictions on solely automated decisions. It belongs to the same regulatory category as the calculators, search tools, and document templates the firm already uses — a tool the compliance professional applies, not an actor the firm has to govern.

Data sovereignty

A correctly-built RAG Intelligence system runs on EU-based infrastructure with self-hosted language models inside the EU. No customer data leaves the EU. No third-party model provider sees a single customer file. The firm's data stays the firm's data.

Auditability

Every retrieval, every query, every output, every citation can be logged. The firm has, on demand, a full record of what the AI was asked, what it retrieved, and what it produced. This is what an internal control system looks like. It is also what makes ISAE 3000 and ISO 27001 assurance possible over AI workflows — something generative AI, by its nature, makes far harder.

Human authority

The compliance officer remains the compliance officer. They review what the system surfaces, they confirm what the system drafts, they make the call. The system reduces the time they spend on retrieval and assembly. It does not reduce the time they spend on judgement, and it does not pretend to.

Workflow automation is not enough

The compliance technology market has, until now, been defined by workflow automation. Existing platforms collect documents, route them through approval flows, schedule reassessments, and produce audit logs. They make compliance work faster. They do not make it more intelligent.

Workflow automation answers the question did the firm collect the right documentation? It does not answer does the documentation actually support the conclusion? That is the question regulators, auditors, and supervisors will increasingly ask.

RAG Intelligence is the layer above workflow automation. It does not replace the workflow — clients still need to be onboarded, documents still need to be collected, reassessments still need to be scheduled. But it adds something workflow automation cannot: every conclusion in the file, drawn from the actual source material in the file, cited to the page it came from. The compliance officer reviewing the assessment is not reading a summary the system invented. They are reading what the documentation actually says, organised for a decision.

Workflow automation gets the documentation collected. RAG Intelligence makes sure the documentation answers the question.

What RAG Intelligence is not

Defining a category is partly a matter of saying what falls inside it and partly a matter of saying what does not. RAG Intelligence is a precise term. It excludes several things that are sometimes marketed adjacent to it.

It is not generative AI with retrieval bolted on

A generative system that also searches the web or also consults a vector store is not RAG Intelligence if it still falls back on parametric knowledge when retrieval is thin. The discipline of RAG Intelligence is that retrieval is the floor, not a feature.

It is not agentic AI

A system that takes actions, makes decisions, or executes workflows autonomously is not RAG Intelligence, regardless of how well it cites its sources. RAG Intelligence is bounded by design: it informs the human, it does not act on the human's behalf.

It is not a chatbot

A conversational interface is a delivery mechanism. RAG Intelligence is an architectural standard. A chat experience built on RAG Intelligence is fine; a chat experience that calls itself RAG-powered while generating uncited summaries is not.

It is not a compliance decision system

RAG Intelligence does not assess risk levels, classify customers, or determine whether a Suspicious Activity Report is warranted. It surfaces the inputs to those decisions. The decisions belong to the firm's designated compliance officer.

The distinction matters because the regulatory and reputational risk profile of compliance AI depends entirely on which side of these lines a system sits on. RAG Intelligence is the side a regulated firm can actually adopt.

A standard, not a product

RAG Intelligence is not a Meo feature. It is a category — a standard that any compliance technology can meet or fail to meet. A platform delivers RAG Intelligence if, and only if:

1. All outputs are derived from retrieved source material in the firm's controlled knowledge base.
2. Every output is cited to its specific source at a level of granularity that supports independent verification.
3. The system does not produce ungrounded inferences when retrieval returns insufficient material — it reports the gap.
4. The system does not make compliance decisions, take regulated actions, or operate autonomously on the firm's behalf.
5. Every query and output is logged in a manner that supports audit and regulatory review.

A platform that meets these five criteria delivers RAG Intelligence. One that does not, does not — regardless of how it is marketed.

We publish this definition because the category needs one. As AI adoption in compliance accelerates, firms will be asked to evaluate a growing number of tools claiming to be safe for regulated work. Is it RAG Intelligence? is the question that cuts through the marketing and points at the architecture.

What this means for the next decade of compliance

The regulated firms that thrive in the next ten years will be the ones that adopt AI without abandoning the standards that make regulated professional work worth paying for: defensibility, traceability, and accountable human judgement.

This is not a contradiction. The wrong AI threatens those standards. The right AI reinforces them — by automating the parts of compliance work that should be automated, while leaving the parts that should not be exactly where they belong.

The window in which firms can choose their architecture rather than have it chosen for them is narrowing. The AI Act's high-risk classifications come into force across 2026 and 2027. Firms that adopt the wrong AI architecture now will spend the second half of the decade unwinding it.

RAG Intelligence is our name for the right architecture. We did not invent retrieval-augmented generation. We did not invent the regulatory principles it serves. We are naming the discipline of bringing the two together correctly, and committing — publicly, in writing — to the architectural standards that make it real.

If you are a compliance officer, a managing partner, or a procurement lead at a regulated firm, the question to ask of any AI tool entering your firm is no longer does it use AI? The answer is yes; it always will be. The question is now: is it RAG Intelligence?

If the answer is no, the firm will eventually be asked to explain why.

About Meo

Meo is a compliance platform for regulated industries. Founded in Copenhagen and built around the ability to evidence compliance, it covers the full workflow from initial risk assessment, to data exchange, to ongoing data management and audit-ready documentation. These are the activities at the core of regulatory frameworks spanning financial crime prevention, data protection, information security, and sector-specific obligations.

Meo ApS — RAG Intelligence for Compliance.
Always retrieved. Never generated.

‍

Hvad er GDPR? Forstå reglerne på få minutter

I en digital verden, hvor persondata deles, lagres og behandles konstant, er beskyttelse af privatlivet vigtigere end nogensinde. Derfor blev GDPR – General Data Protection Regulation – indført som et fælles regelsæt for hele EU.

GDPR handler grundlæggende om at give personer kontrol over deres egne data og sikre, at virksomheder håndterer oplysninger ansvarligt. I denne artikel får du en klar introduktion til, hvad GDPR betyder, hvornår reglerne gælder, og hvordan virksomheder kan sikre compliance.

‍Hvad betyder GDPR?

GDPR står for General Data Protection Regulation, på dansk Databeskyttelsesforordningen. Reglerne trådte i kraft den 25. maj 2018 og fastlægger, hvordan personoplysninger må indsamles, anvendes og opbevares.

Formålet med GDPR er at:

• Beskytte individers ret til privatliv.
  
  
• Skabe gennemsigtighed i, hvordan data anvendes.
  
  
• Styrke tilliden mellem borgere og virksomheder.
  
  

GDPR gælder alle typer personoplysninger, men skelner mellem almindelige og personfølsomme oplysninger – et centralt begreb, som vi ser nærmere på nedenfor.

Hvad er personfølsomme oplysninger?

Personfølsomme oplysninger er data, der kan afsløre noget om en persons privatliv, helbred, overbevisninger eller identitet på et dybere niveau.

Eksempler på personfølsomme oplysninger er:

• Helbredsoplysninger.
  
  
• Politisk eller religiøs overbevisning.
  
  
• Seksuel orientering.
  
  
• Fagforeningsmæssigt tilhørsforhold.
  
  
• Biometriske og genetiske data.
  
  

Disse adskiller sig fra almindelige personoplysninger, som fx:

• Navn, adresse og e-mail.
  
  
• Telefonnummer.
  
  
• IP-adresse eller kundedata.
  
  

Selvom almindelige oplysninger også er beskyttet af GDPR, stilles der strengere krav til behandling af de personfølsomme.

Hvornår gælder GDPR?

GDPR gælder hver gang personoplysninger behandles – det vil sige, når data:

• Indsamles (fx via formularer, cookies eller apps).
  
  
• Opbevares (i databaser, systemer eller arkiver).
  
  
• Deles (med tredjeparter, leverandører eller samarbejdspartnere).
  
  
• Slettes eller anonymiseres.
  
  

Kort sagt: Hvis din virksomhed på nogen måde håndterer persondata om kunder, medarbejdere eller leverandører, gælder GDPR.

Det gælder også, selvom virksomheden ikke har base i EU – så længe data tilhører EU-borgere.

Hvem gælder GDPR for?

GDPR gælder for alle organisationer og virksomheder, der behandler personoplysninger – uanset størrelse.

Eksempler:

• En webshop, der indsamler kundedata ved køb
  
  
• En advokat, der håndterer klientoplysninger
  
  
• En forening, der opbevarer medlemslister
  
  
• En SaaS-virksomhed, der lagrer brugerdata i skyen
  
  

Dog gælder GDPR ikke for behandlinger, der kun foretages til rent privat brug, fx personlige kontaktlister eller billeder til privat anvendelse.

Hvad sker der, hvis man ikke overholder GDPR?

Overtrædelse af GDPR kan få alvorlige konsekvenser – både økonomisk og omdømmemæssigt.

Tilsynet med GDPR i Danmark varetages af Datatilsynet, som kan udstede påbud, politianmelde sager og anbefale bøder. Bødestørrelser kan være betydelige. Helt op til 20 millioner euro, eller 4 % af virksomhedens globale årlige omsætning – alt efter hvilket beløb der er højest.

Ud over økonomiske sanktioner risikerer virksomheder tab af kundetillid og skade på brandets troværdighed.

De centrale trin i arbejdet med GDPR-compliance

For at leve op til GDPR skal virksomheder arbejde systematisk med databeskyttelse og dokumentation. Her er de vigtigste trin:

1. Kortlægning af data – Hvilke persondata indsamler og behandler virksomheden?
   
   
2. Retsgrundlag – Har I lovligt grundlag (samtykke, kontrakt, lovkrav osv.) for behandlingen?
   
   
3. Dataminimering – Indsamles kun de nødvendige oplysninger?
   
   
4. Sikker opbevaring – Er data beskyttet mod uautoriseret adgang og brud?
   
   
5. Sletning og opdatering – Bliver data slettet eller anonymiseret, når de ikke længere er relevante?
   
   
6. Dokumentation og procedurer – Kan virksomheden dokumentere, at reglerne overholdes?

Sådan kan Meo hjælpe

Hos Meo.io hjælper vi virksomheder med at strukturere, dokumentere og automatisere GDPR-processer. Vores platform gør det nemt at:

• Holde styr på databehandlere og samtykker
  
  
• Etablere sikre arbejdsgange for deling og opbevaring af persondata
  
  
• Overvåge compliance og dokumentere indsatsen over for Datatilsynet
  
  

Ved at digitalisere GDPR-arbejdet med Meo.io reduceres risikoen for fejl – og virksomheden sparer tid på manuelle processer.

Mindst 68.000.000.000 kr. eller 68 milliarder danske kroner hvidvaskes i Danmark hvert år. Da økonomisk kriminalitet ikke registreres systematisk, er det af naturlige årsager svært at kende til det faktisk omfang, men Hvidvask udgør en alvorlig trussel mod et velfungerende samfund og samfundsøkonomien generelt. 

For at imødegå denne trussel har EU vedtaget en række omfattende regler og love, der skal forebygge og begrænse hvidvask og terrorfinansiering. Danmark – ligesom øvrige EU-lande er forpligtet til at følge og implementere disse regler og love.  Den vigtigste danske lovgivning på området er hvidvaskloven, men der er flere andre love der også er påvirket, herunder den danske selskabslovgivning.

I denne artikel får du overblik over, hvad hvidvask er, hvordan de forskellige love fungerer, hvilke virksomheder der er omfattet, og hvordan du bedst sikrer, at din virksomhed overholder reglerne og kan være med til at bekæmpe økonomisk kriminalitet.

Hvad er hvidvask?

Som udgangspunkt er hvidvask nemt at forklare. Det er en proces, hvor ulovligt opnåede midler (sorte penge) – fx fra skatteunddragelse, bedrageri, narkotikahandel eller anden kriminalitet – forsøges gjort lovlige (hvide penge) ved at skjule deres oprindelse gennem en række transaktioner. Målet med hvidvask er at få midlerne til at fremstå som legitime og dermed kunne indgå åbent i den lovlige økonomi.

Eksempel: Penge fra handel med narkotika skal bruges til at betale for køb af et hus.  

De fleste vil forstå hvidvask gennem banker - som typisk foregår i tre faser:

1. Placering: De ulovlige penge bringes ind i det finansielle system.
2. Sløring: Pengene overføres og flyttes mellem konti, lande eller værdier for at gøre sporet uklart.
3. Integration: Midlerne reintroduceres som tilsyneladende legitime aktiver.
   
   

Men Hvidvask finder sted i alle brancher – ikke kun i finansielle virksomheder – og rammer især der, hvor der er høj værdi, komplekse transaktioner eller brug af kontanter.
‍

Hvad er hvidvaskloven?

Den danske hvidvasklov implementerer EU's anti-hvidvaskdirektiver og fastlægger krav til en lang række virksomheder og personer med henblik på at forebygge og opdage hvidvask og terrorfinansiering. Hvidvaskloven er under justitsministeriet og tilsyn føres via en række forskellige myndigheder herunder:  

• Finanstilsynet fører tilsyn med finansielle virksomheder
• Erhvervsstyrelsen fører tilsyn med ikke-finansielle virksomheder
• Advokatsamfundet fører tilsyn med advokater
• Spillemyndigheden fører tilsyn med spillevirksomheder, kasinoer mf. 

Alle virksomheder der er underlagt hvidvaskloven skal således følge det samme sæt spilleregler, men der er stor forskel på hvordan de enkelte myndigheder udøver deres tilsyn og hvilke krav de stiller til de underliggende virksomheder.  

Loven indeholder regler om risikovurdering, kundekendskab, overvågning, underretning og dokumentation. Virksomhederne skal følge loven for alle omfattede aktiviteter – også når disse kun udgør en mindre del af den samlede forretning.

Centrale krav i hvidvaskloven:

Selve hvidvaskloven er på 34 sider, og de mest centrale områder er følgende: 

• Risikovurdering: Udarbejdelse af skriftlig risikovurdering baseret på den nationale risikovurdering og virksomhedens specifikke forhold
• Interne systemer: Etablering af skriftlige politikker, procedurer og kontroller tilpasset identificerede risici
• Registreringspligt: Registrering i Erhvervsstyrelsens Register til bekæmpelse af hvidvask for visse erhvervsaktiviteter
• Kundekendskab: Identifikation og legitimation af kunder samt verificering af reelle ejere
• PEP-kontrol: Skærpet overvågning af politisk eksponerede personer (PEP'er), deres nærtstående og samarbejdspartnere 
• Løbende overvågning: Kontinuerlig overvågning af kundeforhold og transaktioner for mistænkelige aktiviteter
• Medarbejderuddannelse: Sikring af at ansatte, herunder ledelsen, har modtaget tilstrækkelig undervisning i hvidvasklovens krav 
• Ansvarlig person: Udpegning af medlem af direktionen ansvarlig for virksomhedens gennemførelse af hvidvasklovens krav (hvor relevant)
• Underretningspligt: Straks underretning til Hvidvasksekretariatet ved mistanke om hvidvask eller terrorfinansiering
• Dokumentation og opbevaring: Opbevaring af alle relevante dokumenter i minimum fem år efter kundeforholdets ophør

Er man som virksomhed underlagt hvidvaskloven - bør man have en grundlæggende dokumentation for at man har gennemarbejdet loven og taget eksplicit stilling til om man er omfattet af de enkelte punkter i loven og i givet fald hvordan. 

Er man direkte eller indirekte omfattet af hvidvaskloven?

Du kan være omfattet af EU´s direktiver vedr. bekæmpelse af hvidvask direkte eller indirekte, da det er en meget kompleks lovgivning. EU's AML-direktiver påvirker nemlig dansk lovgivning både direkte og indirekte. Nogle love nævner eksplicit, at de implementerer direktiver, mens andre er blevet ændret mere indirekte.

Lovgivningen opdateres konstant og der kommer løbende ændringer. AML-direktiverne påvirker ikke kun én type lovgivning, men har konsekvenser på tværs af mange områder - fra finansiel lovgivning til straffeloven.

Følgende love har en eller flere referencer til direktiverne og er påvirket af de løbende tiltag på området i mere eller mindre grad.  

• Hvidvaskloven (hovedloven)
• Selskabsloven (reelle ejere)
• Skattekontrolloven
• Skatteindberetningsloven
• Toldloven
• Lov om visse erhvervsdrivende virksomheder
• Lov om erhvervsdrivende fonde
• Lov om Det Centrale Virksomhedsregister
• Lov om finansiel virksomhed
• Straffeloven (§114b om terrorfinansiering) Fight against money laundering and terrorist financing - Consilium
• Forskellige love om finansielle virksomheder
• Retsplejeloven (i forbindelse med efterforskning)
• Lov om betalinger
• Spilleloven

Så selvom man som virksomhed ikke er direkte omfattet af hvidvaskloven - kan man alligevel være påvirket indirekte af de tiltag der er på området. 

Det er lidt nemmere at forholde sig til hvidvaskloven - hvis man er direkte omfattet af den. Loven nævner specifikt en række virksomheder, brancher og aktiviteter - både finansielle og ikke-finansielle virksomheder, som udfører aktiviteter med særlig risiko for at blive misbrugt til hvidvask og dermed direkte omfattet.
‍

Eksempler på omfattede brancher og aktiviteter:

Finansielle virksomheder (under Finanstilsynets tilsyn):

• Pengeinstitutter
• Realkreditinstitutter
• Fondsmæglerselskaber
• Livsforsikringsselskaber og tværgående pensionskasser
• Sparevirksomheder
• Udstedere af elektroniske penge og udbydere af betalingstjenester
• Forsikringsformidlere (når de formidler livsforsikringer eller andre investeringsrelaterede forsikringer)
• Øvrige virksomheder der erhvervsmæssigt udøver finansielle aktiviteter
• Investeringsforvaltningsselskaber og forvaltere af alternative investeringsfonde (hvis de har direkte kundekontakt)
• Danske UCITS og alternative investeringsfonde (hvis de har direkte kundekontakt)
• Operatører af regulerede markeder (auktionsplatforme)
• Forbrugslånsvirksomheder

Ikke-finansielle virksomheder (under Erhvervsstyrelsens tilsyn):

• Revisorer og revisionsvirksomheder (godkendt i henhold til revisorloven)
• Ejendomsmæglere og ejendomsmæglervirksomheder
• Andre erhvervsrådgivere:
• Revisorer ikke godkendt efter revisorloven
• Skatterådgivere
• Eksterne bogholdere
• Andre der yder skatterådgivning som hovederhverv
• Udbydere af tjenesteydelser til virksomheder:
  
  • Virksomhedsoprettere
  • Professionelle ledelsesmedlemmer
  • Kontorhoteller med tillægsydelser

• Kunsthandlere (ved transaktioner over 10.000 EUR)

Advokater (under Advokatsamfundets tilsyn):

• Advokater (ved visse aktiviteter som køb/salg af fast ejendom, forvaltning af klientmidler mv.)

Spillevirksomheder (under Spillemyndighedens tilsyn):

• Udbydere af spil:
• Online og landbaseret væddemål
• Online og landbaserede kasinoer

Nye omfattede virksomheder af hvidvaskloven fra 2027:

• Professionelle fodboldklubber
• Kryptosektoren (stort set hele sektoren)
• Luksusvarehandlere:
• Luksusbiler
• Fly
• Yachter
• Andre luksusvarer

Vigtige ændringer i 2027:

• Reguleringen på hvidvaskområdet kommer til at ske gennem en forordning, dvs. at hvidvaskloven, som vi kender den, bliver ophævet.
• Kontantgrænsen sættes til maksimalt 10.000 EUR på EU-niveau (Danmark har allerede 15.000 kr.)
• Ansvaret for overholdelse af hvidvasklovgivningen flyttes fra den enkelte advokat til advokatvirksomheden 

Særlige registreringspligter

Nogle virksomheder skal registreres i "Erhvervsstyrelsens register til bekæmpelse af hvidvask" før de begynder deres aktivitet:

• Virksomhedsoprettere
• Professionelle ledelsesmedlemmer
• Kontorhoteller med tillægsydelser
• Visse tjenesteydelser til virksomheder

Hvis du er i tvivl om, hvorvidt din virksomhed er omfattet, bør du kontakte en juridisk rådgiver.

Konsekvenser ved manglende overholdelse af hvidvaskloen

Overtrædelse af hvidvaskloven kan få alvorlige konsekvenser. Myndighederne har i de seneste år skærpet kontrollen, og både små og store virksomheder er blevet mødt med bøder og påbud.

Typer af sanktioner:

• Standardbøder: For manglende interne retningslinjer, politikker og dokumentation.
• Transaktionsbøder: For mangelfuldt kundekendskab eller ulovlige transaktioner. Bøden udmåles som en procentsats af transaktionsbeløbet.
• Bøder for systemiske mangler: Hvis virksomheden systematisk har undladt at opfylde sine forpligtelser, udmåles bøden efter opnået besparelse.
  
  

I værste fald kan gentagne eller grove overtrædelser medføre, at ledelsen ifalder personligt ansvar, eller at virksomheden mister sin ret til at drive virksomhed inden for den pågældende sektor.

Sådan sikrer du compliance med hvidvaskloven

Virksomheder, der er omfattet af hvidvaskloven, bør arbejde systematisk og dokumenteret med compliance. Her er en række konkrete tiltag som man bør kigge på:

• Udarbejd en risikovurdering og opdater den løbende
• Etabler interne politikker og procedurer
• Implementer processer for kundekendskab (KYC) 
• Gennemfør løbende overvågning af kundeforhold og transaktioner
• Underret til Hvidvasksekretariatet, når der opstår mistanke
• Opbevar dokumentation i overensstemmelse med GDPR og AML-regler
  

Det anbefales desuden at uddanne medarbejdere i hvidvaskforståelse og at fordele klare roller og ansvar internt.

Eksempler på hvidvask i praksis

Hvidvask kan ske i mange former – ofte uden at det er tydeligt ved første øjekast. Her er nogle eksempler:

• En virksomhed sælger kunstværker til kontant betaling uden at registrere kundens identitet.
• En bilforhandler tilbyder afbetaling uden at kontrollere kundens baggrund eller reelle ejerforhold.
• En revisor bliver bedt om at overføre midler på vegne af en kunde uden at kende beløbenes oprindelse.
  
  

I alle tilfælde bør virksomhedens kontrolprocedurer være tilstrækkelige til at opdage og håndtere risikoen for hvidvask.

‍

Populære indlæg: Databeskyttelse og DPO - Hvad er en Databeskyttelsesrådgiver og Datasikkerhed.

Digital hjælp til at overholde reglerne

MEO er en danskudviklet compliance-platform, der automatiserer hele processen omkring KYC, AML og dokumentation. Med MEO kan din virksomhed nemt:

• Sikre, at du kan dokumentere alle dine AML forpligtelser 
• Udveksle data med dine kunder og samarbejdspartnere
• System implementere dine forretningsgange 
• Verificere ID og reelle ejere i realtid
• Screene kunder mod PEP-lister og internationale sanktionsregistre
• Leve op til både GDPR- og hvidvaskkrav
  
  

Platformen kan integreres direkte i dine eksisterende arbejdsgange og reducerer behovet for manuel håndtering væsentligt.

Klar til at sikre din virksomhed?

Overholdelse af hvidvaskloven er ikke blot et juridisk krav – det er en nødvendighed for at drive en sund og troværdig virksomhed. Med den rette indsats og de rette værktøjer kan du minimere risikoen og samtidig effektivisere din compliance-indsats. Ønsker du at se, hvordan MEO kan hjælpe din virksomhed? Book en gratis demo og få en konkret gennemgang af, hvordan du kan automatisere dine AML-processer og styrke din compliance.

‍

Læs også Hvad er due Diligence? og Hvad er CCD: Customer Due Diligence?

‍