Sådan gør du din virksomhed compliant med EU’s whistlerblowerdirektiv
- november 27, 2023
Hvis din virksomhed – uanset om den er privat eller offentlig – har 50 ansatte eller flere, er det bedst at læse videre:
Fra den 17. december 2023 skal du have en intern whistleblowerordning for at sikre en sikker og fortrolig kanal, hvor whistleblowere kan indberette lovovertrædelser og andre alvorlige forhold.
Det er blevet besluttet ved lov med EU’s whistleblowing-direktiv.
Derfor vil vi nu hjælpe dig med at navigere i direktivet – og når du er nået til det sidste punktum i blogindlægget, vil du vide:
Hvad er whistleblowing – og hvem kan blæse i fløjten?
Udtrykket whistleblowing kommer, som du måske har gættet, fra en person, der blæser i fløjten for at afsløre og stoppe en forseelse. Som en politibetjent eller sportsdommer.
I forbindelse med EU’s whistleblowing-direktiv drejer det sig om arbejdstagere i en organisation, der ‘siger fra’ ved at videregive oplysninger om uetiske, ulovlige eller usikre aktiviteter, de har været vidne til.
En whistleblower ikke ‘bare’ er en medarbejder. Det kan være enhver person, der har en relation til din organisation, fx en ansat, aktionær, leverandør, tidligere medarbejder, frivillig eller ulønnet praktikant, eller endda en person, du har haft til jobsamtale.
I bund og grund fungerer whistleblowing som et moralsk kompas – for organisationen og dens ‘medlemmer’ – der fremhæver vigtigheden af gennemsigtighed og ansvarlighed.
Direktivet om whistleblowing: Hvad er op og ned?
Når det kommer til at oprette en intern whistleblowerordning, har virksomheder været underlagt forskellige tidsfrister afhængigt af deres størrelse. Tidsfristerne er:
17. december 2021 for virksomheder med 250 ansatte eller flere.
17. december 2023 for virksomheder med 50 ansatte eller flere.
Så selv hvis der er mindre end 50 ansatte i din organisation, er der mindst to grunde til, at du skal være på fornavn med EU’s whistleblowing-direktiv:
Første grund: Hvis din strategi er at vækste din virksomhed, vil direktivet påvirke dig i fremtiden – og vi anbefaler, at du er godt forberedt på det scenarie.
Den anden grund: Der kan være en national lov, der forpligter dig til at have en whistleblower-ordning.
Lad os give dig et eksempel fra Justitsministeriets whistleblower-vejledning:
En lille finansiel virksomhed med 46 ansatte har etableret en whistleblower-ordning for at opfylde kravene i loven om finansiel virksomhed, som stammer fra en EU-lovgivning.
Det betyder, at virksomhedens whistleblowerordning skal leve op til kravene i både lov om finansiel virksomhed og whistleblowerloven (fra 17. december 2021), også selvom virksomheden har færre end 50 ansatte.
Typer af forseelser som medarbejdere kan indberette
EU’s whistleblowing-direktiv giver whistleblowere ret til at indberette enhver overtrædelse af EU-lovgivningen. Artikel 2 i direktivet oplister disse specifikke kategorier som eksempler:
- Offentligt udbud
- Finansielle tjenesteydelser
- Produkter og markeder
- Forebyggelse af hvidvaskning af penge og finansiering af terrorisme
- Produktsikkerhed og overensstemmelse
- Transportsikkerhed
- Beskyttelse af miljøet
- Strålingsbeskyttelse og atomsikkerhed
- Fødevare- og fodersikkerhed
- Dyresundhed og -velfærd
- Folkesundhed
- Forbrugerbeskyttelse
- Beskyttelse af privatlivets fred og personlige data
- Sikkerhed af netværk og informationssystemer
- Undgåelse/unddragelse af selskabsskat
- Statsstøtte.
Vi er nødt til at gøre én ting klart: Disse eksempler er et minimum.
Medlemsstaterne kan styrke deres beskyttelse gennem egne nationale love. Det betyder, at områder som HR og rekruttering kan få særlig beskyttelse.
I Danmark er for eksempel “alvorlige lovovertrædelser” og “andre alvorlige forhold” også dækket. De dækker over forhold, som ikke nødvendigvis er specifikt ulovlige. Det kan være overtrædelser som bestikkelse eller sexchikane.
Sådan bør din organisation håndtere indberetninger
Som det fremgår af artikel 9 i EU’s whistleblowing-direktiv, skal organisationer følge disse principper, når de håndterer interne indberetninger:
- Sikkerhed
- Fortrolighed
- Anerkendelse
- Upartiskhed
- Rettidig omhu
- Punktlighed
- Tydelighed
- Tilgængelighed.
For at dække disse principper tager vi dig gennem 6 initiativer, der ‘oversætterne’ principperne til praksis – og derfor sikrer, at din interne din whistleblower-ordning bliver compliant med EU’s direktiv.
De 6 initiativer, der gør dig compliant med whistleblowing-direktivet
Nu har du det grundlæggende på plads. Så lad os hoppe til den sjove del og gøre det hele mere hands-on, skal vi? Her er 6 initiativer, der følger principperne i EU’s whistleblowingdirektiv og derfor vil sikre din whistleblowing-compliance.
#1: Sørg for interne politikker og træning
EU’s whistleblower-direktiv er ikke lavet for at beskytte din organisation; det er lavet for at beskytte din organisations medlemmer.
Derfor er din fornemmeste opgave at sørge for, at de kender og forstår din interne whistleblower-ordning – og er i stand til at bruge den.
Først og fremmest er det et dansk lovkrav, at du har en intern whistleblowing-politik. Den bør være let at forstå og tilgå for dine medarbejdere og andre ansatte. Vi anbefaler derfor, at du forklarer og eksemplificerer politikken i retningslinjer, brochurer eller andet informativt materiale.
Dernæst anbefaler vi, at du laver et awareness-program, der tager dine medarbejdere gennem alle disse seks initiativer og sikrer, at de forstår dem og er i stand til at handle ud fra dem. Igen er det en god idé at give dem eksempler eller cases på whistleblowing eller endda – hvis du har ressourcerne – at lade dem lave en fiktiv indberetning.
Ved at følge dette initiativ skaber du tydelighed omkring din interne whistleblower-ordning og din måde at håndtere indberetninger på.
#2: Opsæt ordentlige processer og indberetningskanaler
Det er vigtigt at opbygge et stærkt fundament: Derfor må du sikre, at de interne kanaler, hvor du modtager indberetninger, er designet, etableret og drevet med sikkerhed i højsædet.
EU’s whistleblower-direktiv definerer tre typer af indberetningskanaler:
Interne indberetninger, hvor en whistleblower oplyser om overtrædelser inden for en juridisk enhed i den private eller offentlige sektor.
Eksterne indberetninger, hvor en whistleblower om overtrædelser til de kompetente myndigheder.
Offentliggørelse, hvor en whistleblower gør oplysninger om overtrædelser tilgængelige for offentligheden. Det kan ske i tilfælde, hvor whistleblower ikke har modtaget svar indenfor tidsfristen.
Udover denne skelnen tillader direktivet, at indberetninger kan være både mundtlige og skriftlige.
En mundtlig indberetningskanal kan være via hotline, indtalte beskeder/lydbeskeder eller ansigt til ansigt.
En skriftlig indberetningskanal kan være en online-kanal, e-mail eller brev.
Hvilke(n) kanal(er), der fungerer bedst for din organisation, afhænger af dine ressourcer, og hvordan disse kan understøtte kanalernes format på den bedste måde.
Hver national lov kan dog have nogle krav til kanaler.
I Danmark er det f.eks. bestemt ved lov, at organisationer som minimum skal have et skriftligt format til indberetninger.
Vi anbefaler, at du bruger både mundtlige og skriftlige kanaler, da whistleblowere kan have individuelle præferencer og fx føle sig mere tryg ved ét format fremfor et andet.
Når du følger dette initiativ, håndterer du indberetninger med sikkerhed for øje.
#3: Implementer den nødvendige support
Når fundamentet er på plads, skal du sikre den rigtige support, så den indberettede person bliver taget alvorligt, og at nogen tager hånd om indberetningen på en professionel måde.
Først og fremmest skal du udpege en uvildig enhed til opfølgning, som sikrer en åben kommunikation med den indberettende person. Hvis det bliver nødvendigt, skal enheden være i stand til at give yderligere oplysninger og konstruktiv feedback.
Det er også vigtigt at organisere undersøgelser og opfølgninger for at demonstrere rimelig omhu og indsats gennem hele processen.
Når du følger dette initiativ, håndterer du indberetninger upartisk og med rettidig omhu.
#4: Kommunikér tydeligt, hvad whistleblowere må indberette
Det er ikke ‘kun’ dig, der skal vide, hvor indberetningen vedrører et brud på de områder, der henvises til i whistleblowerloven. Whistleblowerne skal også vide det.
Derfor er du nødt til klart at kommunikere, hvilke former for forseelser de kan indberette. At give dem dette overblik kan gøres via en whistleblower-politik.
Når du følger dette princip, understøtter du initiativ nr. 1 og håndterer derfor indberetninger med tydelighed.
#5: Sørg for processer, der opfylder feedback-forpligtelser
Compliance handler bl.a. om at kende vigtige deadlines og tidsrammer. Derfor er du nødt til at opstille en rimelig tidsramme for feedback og opfølgning:
Kvittering for modtagelse bør ske inden for syv dage efter modtagelse af en indberetning.
Af respekt for en indberetning bør du følge op hos whistlebloweren inden for tre måneder.
Ved at følge dette initiativ håndterer du indberetninger med anerkendelse og rettidig omhu.
#6: Beskyt data som en sikkerhedsvagt
Okay, det føles som at vælge mellem sine børn, men alligevel er dette initiativ – og databeskyttelse generelt – nu engang vores hjertesag.
Derfor kan vi ikke understrege nok, at hvor vigtigt det er, at du følger en gennemtænkt praksis for databeskyttelse. Hele formålet med og succeskriteriet for din interne whistleblower-ordning er at sikre folks anonymitet og ret til privatliv. Det gælder både identiteten bag den person, der indberetter, og eventuelle tredjeparter, der bliver nævnt.
Du bør også, af ovenstående grund, begrænse adgangen til autoriseret personale.
Som det også er tilfældet inden for GDPR, må du kun opbevare data med en nødvendig og forholdsmæssig varighed. Dén er defineret i direktivet eller eventuelle relevante juridiske forpligtelser.
Når du følger dette initiativ, håndterer du indberetninger fortroligt og sikkert.
Som enhver anden compliance-arbejdsbyrde tager det tid og ressourcer at overholde EU’s whistleblowing-direktiv, men de seks initiativer ovenfor vil bane vejen for din whistleblowing-compliance. Hvis du alligevel er nysgerrig efter at kende en genvej, kan du bruge to vel-investerede minutter på at dykke ned i vores whistleblower-software.
