Offentlig adgang til oplysninger om reelle ejere i CVR udfases, hvis det fremsatte lovforslag gennemføres. Oplysningerne fjernes fra cvr.dk, og adgang indskrænkes til særligt berettigede aktører. Ændringen forventes at træde i kraft senest i juli 2025 efter nødvendige IT-tilpasninger hos Erhvervsstyrelsen.
Adgangen ændres
Forslaget gennemfører EU-retlige krav efter EU-Domstolens dom, som fastslog, at generel offentlig adgang til reelle ejeres data strider mod privatlivsbeskyttelsen i EU’s charter. Implementeringen sker via ændringer i hvidvaskreguleringen samt justeringer i selskabsloven og loven om Det Centrale Virksomhedsregister.
Virksomheders registreringspligt består uændret: Selskaber skal fortsat identificere og indberette reelle ejere. Det er alene den brede offentligheds adgang, der begrænses. Dette skærper behovet for dokumenterede processer for at fastslå ejerskab og kontrollere ejerkæder.
Adgangskredse og sanktioner
Adgang forbeholdes en snæver kreds. Følgende grupper vil fortsat kunne indhente oplysninger om reelle ejere, forudsat hjemmel og formål:
- Kompetente myndigheder, herunder tilsyns- og skattemyndigheder.
- Forpligtede enheder efter hvidvaskloven som banker, advokater og revisorer.
- Personer med legitim interesse, f.eks. ved efterforskning af økonomisk kriminalitet eller due diligence.
Uretmæssig videregivelse til uvedkommende kan sanktioneres med bøde. Aktører med adgang skal derfor sikre passende tekniske og organisatoriske foranstaltninger ved håndtering og deling af oplysninger.
Konsekvenser og næste skridt
For rådgivere og finansielle virksomheder betyder den snævrere adgang, at KYC- og due diligence-processer i højere grad må baseres på direkte indhentning fra kunden og dokumentation fra tredjemand. Kontrolspor, samtykkegrundlag og aftalevilkår om brug og deling af ejerdata bør gennemgås.
Virksomheder anbefales at følge Folketingets behandling, opdatere interne politikker for identifikation af reelle ejere og instruere relevante medarbejdere i de nye rammer. Desuden bør man sikre, at databehandleraftaler og adgangsstyring afspejler den begrænsede adgang og sanktionsrisiko.
