Praktiske udfordringer ved implementeringen af det europæiske whistleblowerdirektiv

Del 3 – Krav til juridiske chefer og complianceansvarlige

I del 1 og del 2 af denne serie på tre blogindlæg, har vi set på, hvad det nye EU-whistleblowerdirektiv (EU 2019/1937) (»Direktivet« eller »EUWBD«) har ændret – og hvad det ikke har ændret. Vi har også set på den adfærd, som kan forventes af whistleblowere i lyset af Direktivet.

Nedenfor går vi lidt mere i dybden med de handlinger, som kræves af juridiske chefer og complianceansvarlige for at kunne efterleve Direktivet. Vi vil også opridse de praktiske skridt, som skal tages for at kunne efterleve Direktivet.

Kreativiteten af juridiske chefer og complianceansvarlige

Juridiske og compliance-funktioner ville kunne værdsatte klarheden, der er ved dele af Direktivet, og ville kunne se, at det indholder flere fordele.

Direktivet giver mulighed for intern rapportering først. Det er ikke et krav, men medlemstaterne »tilskynder« til dette (Artikel 7(2)). Dette er en erkendelse af, at rapporter oftest er håndteret bedst af organisationer selv og så tæt på problemerne som muligt. Myndighederne, håber jeg, vil være modige nok til at levere sager tilbage, som ikke har været igennem de passende interne processer først, hvis man antager, at problemet kunne have været løst der. Kort sagt får vi god mulighed for at tage hånd om problemer på den rigtige måde, inden myndighederne bliver involveret, og der kommer offentlig granskning. Hvordan dette helt præcist kommer til at forløbe, er stadig uklart, siden medlemsstaterne endnu mangler at beskrive præcist, hvordan de vil implementere Direktivet.

Organisationer skal bekræfte modtagelsen af rapporten indenfor syv dage (Artikel 9(1)(b)) for så at »give feedback« til den rapporterende indenfor en relativt kort tidsfrist på tre måneder (Artikel 9(1)(f)). Det er fint i den største del af tilfældene, men meget kort tid for komplekse sager, som kan tage godt et år med omhyggeligt arbejde, før de bærer frugt. Selv hvis »feedback« kun betyder at holde kontakt med whistlebloweren, skal sådanne kommunikationer håndteres med ekstrem forsigtighed.

Den store indsats bag Direktivet er antageligt rettet mod komplekse sager, ikke almindelige rapporter, som kun skal administreres. Iagttagere er nødt til at erkende fleksibiliteten bag ordet »feedback« og dens inklusion af »påtænkte« tiltag (Artikel 5(13)).

Juridiske chefer og complianceansvarlige skal forsat udvise kreativitet i at afdække problemer på naturlige måder igennem deres arbejde. Det er måske igennem regelmæssige revisioner, evalueringer eller risikovurderinger, at der bliver mulighed for at indsamle oplysninger og at håndtere dem, uden at den rapporterendes identitet skal afsløres (eller selv det faktum, at der findes en rapport).

Juridiske chefer og complianceansvarlige bliver også nødt til at udvise kreativitet, for at sikre at ansvarligheden forbliver dér i organisationen, hvor der bedst kan tages hånd om problemer. Bedre brug af sagsbehandlingsværktøjer eller centrale complianceressourcer er meget administrativt udfordrende, men det er måske meget nødvendigt, hvis vi virkelig skal opfange og behandle alle sager, som kommer frem i organisationen på den rette måde.

Kulturelt har vi behov for, at medarbejdere samarbejder med deres ledere om problemer og ikke gør dem større, end de er. Selvfølgelig er der en udløsningsventil til tryk, som ikke kan håndteres lokalt, enten pga. dårlige ledere, eller fordi de er for store til at blive håndteret ordentligt. Lederes øvelse i at håndtere problemer bør forblive en prioritet for compliance-teams.

Hvad er næste skridt?

Ledelsen blive nødt til at vurdere Direktivet på en måde der passer til deres egne omstændigheder, risici og behov. Forneden er nogle eksempler på, hvad vi ser som prioriteterne:

  • Det grundlæggende
    • Sørg for, at I har implementeret det rette system for rapportering af uetisk adfærd. Vær ikke bange for at skifte system – det kan være en befriende oplevelse. Gør nok for at efterleve Direktivets krav, og gør jer nogle overvejelser om, hvad I mere kunne ønske jer, f.eks. baseret på hvad jeres organisation kunne komme til at have brug for i fremtiden.
  • Ledelse og politikker
    • Få »småtingene« formelt på plads igennem politikker og sørg for, at jeres systemer stemmer overens med disse bestemmelser.
    • Bestemmelser er nødvendige om komplekse sager – såsom, anonymitet, whistleblowerens og den omhandledes (anklagedes) rettigheder, formelle foranstaltninger, som beskytter de rapporterende mod repressalier, datasikkerhed og spændinger med andre juridiske krav. Der bør være krystalklare procedurer for eskalering til ledelsen, CEO’en, revisionsudvalg og bestyrelsen.
    • Sørg for, at der er overensstemmelse tidligt i processen for at undgå overraskelser midt i en anspændt undersøgelse. Ejerskab og ansvarlighed bør afklares hellere før end siden.
    • Tænk strategisk over selvopholdelse. Hvornår skal man beskytte sin egen organisation? Bagsiden af whistleblowing er injurier – hvornår skal man stå fast? Og hvornår begynder det at stå fast at koste sympati?
    • Som ved alle politikker er der brug for reguleringer, for at sikre at de fungerer, som de skal. Hvad kan tilføjes til rammerne af jeres compliance-reguleringer? Tænk på eskalering, godkendelser, adskillelse af pligter, osv. I vil måske også sikre at kommunikationsteams holder aktivt øje med det offentlige rum for sager under udvikling.
  • Samarbejd
    • Få de vigtige personer involveret i whistleblower-processen og aspekter, som omhandler forhindringen af repressalier. Arbejd tæt sammen med alle lederne i jeres organisation, HR, datasikkerhedsansvarlige, virksomhedsnævn og fagforeninger. At involvere medarbejdere og deres repræsentanter i diskussionen er måske den meste effektive måde at komme problemer i forkøbet.
  • Opmærksomhed
    • Oplæringsprogrammer bør indeholde oplysninger om Direktivet, som er temmelig normgivende omkring, hvilke informationer der bør gøres tilgængelige.
    • Ligeledes bør kommunikationsprogrammer opfylde de formelle krav og nok endnu mere, afhængigt af kulturen og risiciene ved jeres individuelle organisationer.
    • Dilemma-baseret træning for nøglegrupper, såsom ledelse (eller risikoudsatte funktioner) kan virkelig få folk til at tænke over kommende udfordringer.
  • Fortidige sager
    • Direktivet har ikke tilbagevirkende kraft. Men der er potentielt mulighed for at finde gamle sager frem (Artikel 4.2 muliggør whistleblowing på baggrund af tidligere arbejdsforhold). Man skal være sikker på, at man har håndteret sager troværdigt og grundigt, også i fortiden.
    • I lyset af Direktivet vil en gennemgang af betydningsfulde gamle sager muligvis hjælpe med at komme en sådan risiko i forkøbet.
  • Observer
    • Der er nogle usikkerheder beskrevet i det overstående, og behovet for forskning og observation er klart.
    • Hvad der fortsat er uklart, er, om nationale direktiver kommer til at gå (eller allerede går) længere end Direktivet. Storbritanniens unikke position er forsat uklar.
    • Man kommer til at kunne mærke mere til spændingerne mellem datasikkerhed og whistleblower-rettigheder i nogle kredse end i andre.
    • Et andet stykke lovgivning – GDPR – anses af nogen for at være overoptimistisk, upraktisk og delvis umulig at håndhæve. Databehandleraftaler har været overvældet af ligegyldige oplysninger, uden ressourcerne til at kunne behandle det hele. Direktivet kunne også blive mødt med de samme beskyldninger, medmindre det er velimplementeret og håndhævet korrekt.
    • Retspraksis kommer til at udvikle og understøtte Direktivet i praktisk brug. Især når det kommer til håndhævelse og til den afskrækkende effekt i form af straf.

Tal med vores eksperter

Vil du lære mere, diskutere idéer eller dele tanker?

Kontakt os

Share this page