Whistleblowerordning – hvad betyder det for din virksomhed?
Læs mere om whistleblower reglerne. Og bliv klogere på, hvad du som virksomhed skal være opmærksom på for at leve op til kravene.
Om whistleblower reglerne
EU vedtog i 2019 reglerne om whistleblowere, hvilket i 2021 blev implementeret i dansk ret. Reglerne har til formål at sikre, at det er nemt og sikkert at indberette lovovertrædelser, at der bliver fulgt op på disse indberetninger, samt at whistleblowere er beskyttet mod eventuelle repressalier. Reglerne fastsætter således en række minimumskrav til indberetningskanaler og beskyttelse af whistleblowere.
I CSRD (Regler for bæredygtighedsrapportering) fremgår det af ESRS G1 om god forretningsskik, at virksomheder skal rapportere om deres whistleblowerordning og herunder, hvordan de beskytter whistleblowere.
Hvad reglerne betyder for din virksomhed
Whistleblowerreglerne betyder, at virksomheder med 50 eller flere ansatte skal have en whistleblowerordning pr. 17. december 2021. For virksomheder med mellem 50-249 ansatte var der en udskudt frist til den 17. december 2023.
Hvad skal en whistleblowerordning indeholde?
- En indberetningskanal (intern eller ekstern)
- En procedure for håndtering af indberetninger
- En whistleblowerpolitik
DI anbefaler altid, at du søger juridisk rådgivning for at sikre, at din whistleblowerordning, herunder indberetningskanal, procedure og politik, lever op til lovgivningen.
Din indberetningskanal
Din virksomheds whistleblowerordning skal først og fremmest bestå af en sikker indberetningskanal, som overholder GDPR-reglerne og andre krav til sikkerhed. Din virksomhed skal selv sørge for at etablere og vedligeholde indberetningskanalen. Du vælger selv, om indberetningskanalen skal:
- håndteres i din egen virksomhed,
- bestå af et eksternt IT-håndteringssystem, hvor I som virksomhed håndterer sagerne og dialogen med whistlebloweren
- eller om den skal håndteres af en ekstern partner (f.eks. en advokat eller revisor).
Indberetningskanalen er til for, at whistleblowere sikkert kan indberette alvorlige forhold, såsom lovovertrædelser, der sker i eller i forbindelse med din virksomhed. Dette omfatter, men er ikke begrænset til:
- Korruption
- Bestikkelse
- Tyveri
- Underslæb
- Bedrageri
- Seksuel chikane
- Grov chikane, f.eks. på grund af race, køn, farve, sprog, formueforhold, national eller social oprindelse, politisk eller religiøst tilhørsforhold.
Krav til indberetningskanalen
- Whistleblowere skal kunne indberette mundtligt, skriftligt eller begge dele
- Alle ansatte skal kunne indberette gennem indberetningskanalen
- Øvrige personer, der er i forbindelse med din virksomhed, kan også gives mulighed for at bruge indberetningskanalen
- De personer, der har ansvaret for indberetningskanalen, skal være upartiske og kompetente
Din indberetningsprocedure
Loven stiller også en række krav til indberetningsproceduren. Det vil sige, hvordan de indberettede oplysninger skal behandles, og hvordan whistleblowere skal beskyttes. Proceduren skal sikre, at indberetningen håndteres fortroligt og rettidigt, og at whistlebloweren ikke bliver udsat for repressalier grundet sin indberetning. Det er valgfrit for virksomheden, om man gør det muligt at foretage anonym indberetning.
Krav til proceduren
- Indberetningskanalen skal udformes på en måde, som sikrer fortrolighed i forhold til whistlebloweren samt de øvrige personer, der er nævnt i indberetningen
- Der skal udpeges en whistleblowerenhed, som har ansvar for at kommunikere med whistlebloweren og følge op på sagerne (kan med fordel være den samme ansatte eller afdeling, som tager imod indberetningerne)
- Whistlebloweren skal modtage en bekræftelse på indberetningen inden for syv dage
- Whistlebloweren skal modtage en tilbagemelding om sagens udfald samt en begrundelse herfor inden for tre måneder
- Der skal være klare og let tilgængelige oplysninger om, hvordan whistleblowere kan indberette oplysninger til eksterne whistleblowerordninger – f.eks. den generelle, eksterne whistleblowerordning, som administreres af Datatilsynet
Krav til whistleblowerbeskyttelse
- Alle whistleblowere, der benytter indberetningskanalen med rimelig grund, har krav på beskyttelse
- Whistleblowerens identitet må ikke videregives til uvedkommende
- Oplysningerne i indberetningen må kun videregives som led i opfølgning på sagen
- Behandling af personoplysninger skal følge GDPR-reglerne
- Indberetninger må kun opbevares så længe, det er nødvendigt
- Enhver form for trusler om og forsøg på repressalier mod whistleblowere eller øvrige beskyttede personer er forbudt.
Koncernfælles whistleblowerordninger
Arbejdspladser med 50 eller flere ansatte kan etablere en koncernfælles whistleblowerordning. Det betyder, at der for en koncern vil kunne oprettes én whistleblowerordning, der kan modtage indberetninger for hele koncernen.
Se nyeste webinar her:
Hvem skal kunne indberette igennem virksomheden interne whistleblowerordning?
Egne medarbejdere skal kunne indberette via whistleblowerordningen. Øvrige samarbejdspartnere, underleverandører osv., kan gives mulighed for at indberette, hvilket kan give mulighed for at håndtere flere sager internt, frem for at det bliver gjort eksternt.
Hvad skal en whistleblower kunne indberette om?
Alvorlige lovovertrædelser og alvorlige forhold. Det gælder eksempelvis strafbare forhold, grove eller gentagne overtrædelser af lovgivning, grove personalerelaterede konflikter på arbejdspladsen og seksuel chikane jf. ligebehandlingsloven. Det er ikke tanken, at en whistleblowerordning skal erstatte eksisterende systemer, der håndtere konkrete tvister mellem medarbejdere – men der vil være snitflader mellem disse og whistleblowerordninger. Afgrænsningen vil blive udpenslet i Justitsministeriets vejledningsmaterialet.
Hvad skal whistleblowerordningen ikke bruges til?
Overtrædelser af interne retningslinjer af mindre alvorlig karakter og mindre grove personrelaterede konflikter. Herudover gælder der specifikke regler for eksempelvis klassificerede oplysninger og oplysninger som er omfattet af advokaters tavshedspligt. Hvis man er i tvivl om en indberetning hører hjemme i whistleblowerordningen eller ej, vil det være muligt at spørge Datatilsynet til råds.
Hvilke krav er der til den data, whistlebloweren skal kunne præsentere?
Det er der som sådan ingen krav til ud over, at indberetningen skal ske i god tro, og den skal falde ind under whistleblowerområdet – hvor sker problemet, og hvad er problemet.
Hvordan kan man skabe mere opmærksomhed omkring ens whistleblowerordning?
Et sted at starte er, at det bliver kommunikeret ud fra toppen. Det er vigtigt, at ledelsen viser, at de står bag.
Læs mere og hent DI's skabelon til din whistleblower-politik.
Skal det være muligt at indberette anonymt igennem whistleblowerordningen?
Direktivet giver mulighed for variation mellem EU-landende på dette område. I Danmark er det op til virksomheden selv, om og hvordan man vil behandle anonyme indberetninger. Det vil være muligt at indberette anonymt i den eksterne whistleblowerordning i Datatilsynet, som administrerer den offentlige whistleblowerordning, som er åben for alle.
Hvordan beregnes medarbejderantallet?
Det er antal årsværk der tæller, herunder fuldtids- og deltidsansatte, ansatte med tidsbegrænsede ansættelseskontrakter, samt vikarer.