Billy ApS er en dansk virksomhed med tilladelse som udbyder af kontooplysningstjenester efter lov om betalinger. Virksomheden udbyder et regnskabsprogram for mikrovirksomheder (1-9 ansatte). Virksomheden henter oplysninger som dato, beløb og beskrivelse af en transaktion fra deres kunders bankkonti. Oplysningerne kan bruges til afstemning mellem bogføring og bankkonti som en del af regnskabsprogrammet.
Den primære risiko en udbyder af kontooplysningstjenester er datasikkerhed, idet virksomheden tilgår oplysninger fra betalingskonti og dertilhørende betalingstransaktioner. Forretningsmodellen medfører risici for kundernes data, da virksomheden skal sikre, at data, der indhentes, ikke bliver brugt til andre formål end at levere kontooplysningstjenesten, og at det kun er data, som kunden har samtykket til at give, der behandles.
På baggrund af inspektionen er der et antal områder, der giver anledning til tilsynsmæssige reaktioner.
Virksomheden har fået et påbud om at sikre, at bestyrelsens forhandlingsprotokoller afspejler de drøftelser, der blev ført på møderne.
Virksomheden har fået et påbud om at have effektive former for virksomhedsstyring, herunder effektive procedurer til at identificere, forvalte, overvåge og rapportere om de risici, virksomheden er eller kan blive udsat for.
Virksomheden har fået et påbud om at sikre, at virksomheden har procedurer med henblik på adskillelse af funktioner i forbindelse med håndtering og forebyggelse af interessekonflikter.
Virksomheden har fået et påbud om at sikre, at virksomhedens ansatte kan foretage anonyme indberetninger via whistleblower-ordningen, og at virksomheden har procedurer for den skriftlige dokumentation for opfølgning på indberetninger via whistleblower-ordningen.
Virksomheden har fået et påbud om at indhente og dokumentere brugernes udtrykkelige samtykke til at benytte kontooplysningstjenesten, herunder at klarlægge omfanget af adgangen ved at identificere, hvilke konti hos hvilke(n) udbyder(e) der gives adgang til.
Virksomheden har fået en serviceoplysning om, at den bør vurdere, om
der er tilstrækkeligt klare procedurer til at sikre, at virksomheden løbende gennemgår og opdaterer forretningsgange ved ændringer i interne forhold eller relevant regulering.