/Whistleblower%201.jpg)
Fremover skal medarbejdere, leverandører og eksterne samarbejdspartnere have nemmere adgang til at blæse i fløjten og indberette mistanke om uoverensstemmelser, kritisable forhold og lovbrud. Det nye whistleblowerdirektiv, som Ministerrådet i EU vedtog i oktober 2019, forpligter private og offentlige virksomheder med over 50 ansatte til at etablere en intern whistleblowerordning.
Det kræver en organisering, som gør det muligt at modtage og behandle indberetninger fortroligt inden for de tidsfrister, som er fastlagt i direktivet. Hvad bliver der gjort? Hvem gør det? Hvor lang tid opbevares indberetningerne? Hvad med dem, der har ført til en undersøgelse, der ikke har mundet ud i noget?
”At modtage indberetningerne er næsten det mindste af det. Man skal også have et setup, der gør det muligt at undersøge dem efterfølgende på en måde, så man sikrer fortroligheden omkring den indberettende persons identitet. Så det kræver bl.a., at man har nogle kræfter til at kunne undersøge de påstande, der fremsættes i en indberetning”, siger ph.d., cand.jur. og partner hos Kammeradvokaten Jens Teilberg Søndergaard.
Han beskæftiger sig med at hjælpe især offentlige myndigheder med at sikre juridisk compliance. En særlig udfordring for offentlige myndigheder er spørgsmålet om aktindsigt. For nogle, der gerne vil indberette ulovligheder, kan det udgøre en barriere, hvis man ved, at pressen og offentligheden kan få adgang til det. Ifølge Jens Teilberg Søndergaard bør løsningen nok være, at man fremtidssikrer lovgivningen, så man begrænser offentlighedens adgang til indberetninger. Han er derfor spændt på at se, hvordan Justitsministeriet vælger at implementere direktivet.
Sten på vejen
Hele setuppet omkring de interne whistleblowerordninger er det, der kommer til at volde de største udfordringer, vurderer advokat Christoffer Lambert-Züberlein fra SIRIUS Advokater, der rådgiver danske og internationale virksomheder i persondataretlige forhold. Ud over at man skal sikre fortroligheden i indberetningerne, er det centralt for legitimiteten i whistleblowerordningerne, at man sikrer sig, at behandlingen sker på en ordentlig måde, og at de personer, der bliver sat til arbejdet, har de nødvendige kompetencer til det.
”Den første sten på vejen er at finde ud af, hvordan administrationen af den interne ordning skal håndteres. Skal det være ude i byen hos en konsulent via et system, eller vil man holde det internt i egne rækker. Håndteringen i egne rækker kan for nogle give udfordringer, for man skal jo være sikker på, at man har fuldstændig styr på, hvilke oplysninger man behandler i ordningen, og hvad man gør med dem og hvor længe. Der bliver uundgåeligt behandlet mange personoplysninger gennem en whistleblowerordning, og ud over en henvisning til bl.a. databeskyttelsesforordningen fremgår det direkte af direktivet, at man ikke må behandle personoplysninger, der ikke er relevante for en konkret indberetning”, fastslår han.
Jens Teilberg Søndergaard og Christoffer Lambert-Züberlein er enige om, at der ikke er grund til at frygte, at det vil vælte ind med indberetninger. Modstand mod at lave whistleblowerordninger hænger sammen med, at man er nervøs for, at det vil skabe en stikkerkultur, hvor folk indsender alverdens grundløse indberetninger, som man så skal bruge en masse kræfter på at håndtere. Deres erfaringer er, at antallet af indberetninger typisk ikke er stort.
Udvidelse af reglerne
Danmark har nu to år til at implementere direktivet i dansk ret. Whistleblowerdirektivet er minimumsregler, og de enkelte lande kan vælge at indføre bestemmelser, der er mere vidtrækkende og fx udvide, hvad der kan indberettes om. Whistleblowerdirektivet kræver, at der er fortrolighed, men ikke at man som whistleblower kan være anonym.
Medlemsstaterne kan dog selv vælge at tilpasse den nationale lovgivning, så det at give en indberetning skal ske anonymt. Der kan være tekniske udfordringer forbundet med at lave en løsning, så det ikke kan spores, hvem der har givet en indberetning, hvilket kan afholde nogle fra at foretage en indberetning. Som indberetter har man mulighed for at gå direkte til offentliggørelse, hvis man har en rimelig grund.
”Muligheden for offentliggørelse i direktivet er nødvendig, men det er en lidt åben formulering, for hvad ligger der i ”rimelig grund” til at skride direkte til offentliggørelse uden at gå gennem indberetningskanalerne. Det kan være skadeligt for en virksomhed, hvis der kommer oplysninger ud, der viser sig at være upræcise eller ukorrekte, og dette måske kunne have været afklaret, hvis indberetningen i første omgang var sket gennem den interne eller eksterne indberetningskanal. Man kommer naturligt til at lægge sig op ad eksisterende rimelighedsbetragtninger, men der skal i sidste ende en domstolsprøvelse til for at afgøre, hvad ”rimelig grund” er i whistleblowerdirektivet”, påpeger Christoffer Lambert-Züberlein.
Whistleblowerdirektivet er et EU-direktiv, der kun regulerer EU-retslige forhold. Det bliver dermed vigtigt at tage stilling til, om vi i Danmark også skal tage overtrædelse af nationale bestemmelser med, fordi det bliver vanskeligt at retfærdiggøre, at man kun kan bruge whistleblowerordningen, hvis det drejer sig om overtrædelse af EU-retten, mener Jens Teilberg Søndergaard. Så hvis man ikke i Danmark vælger at udvide ordningen til at omfatte overtrædelse af nationale bestemmelser, vil man fx ikke kunne bruge ordningen til at indberette overtrædelser af den finansielle lovgivning, når reglerne er rent nationale, men godt kunne bruge ordningen, hvis der er tale om regler, som gennemfører EU-lovgivning. Det vil være svært for offentligheden at forstå.
”Det kan godt være, at der er et vist besvær forbundet med at lave de her ordninger, men formålet er jo, at virksomhederne og de offentlige myndigheder sikrer compliance. De bør investere de kræfter og den økonomi, som det kræver at etablere sådan nogle ordninger her på en seriøs måde. På længere sigt er gevinsten ved at have en kanal til at få oplysninger om, hvor det halter i organisationen, større end det tab, som vi har i dag uden indgangsporte til det”, konkluderer Jens Teilberg Søndergaard.