Praktiske utfordringer ved implementering av EU-direktivet om vern av varslere

Del 3 – Krav til for juridiske direktører og samsvarsansvarlige

I del 1 og del 2 av denne tredelte bloggserien så vi på hvilke endringer EUs nye direktiv om vern av varslere (EU 2019/1937) («direktivet» eller «EUWBD») har innført, og hva som ikke er endret. Vi så også på atferd som kan forventes fra varslere i sammenheng med direktivet.

Nedenfor skal vi gå dypere inn i handlinger som krever fra juridiske direktører og samsvarsansvarlige i møte med direktivet. Vi vil også oppsummere de neste praktiske trinnene som kreves for å innfri kravene til direktivet.

Kreativiteten til juridiske direktører og samsvarsansvarlige

Juridiske avdelinger og samsvarsavdelinger vil sette pris på de tydelige delene av direktivet, og vil også se en rekke fordeler som direktivet tilbyr.

Direktivet legger til rette for intern rapportering først. Dette er ikke et krav, men medlemsstatene har en plikt til å «oppmuntre» dette (artikkel 7(2)). Dette er en anerkjennelse om at klager ofte blir best håndtert av organisasjonen selv og så nærme problemet som mulig. Jeg håper myndighetene har mot til å sende tilbake saker som ikke først har gått gjennom en grundig intern prosess, gitt at problemet kan løses på det stadiet. Kort sagt – vi får en mulighet til å håndtere problemene på en skikkelig måte før myndighetene blir involvert og før det blir en offentlig sak. Det er uklart nøyaktig hvordan dette vil utvikle seg, da medlemsstatene ennå ikke har planlagt hvordan de skal implementere direktivet.

Organisasjonene må «anerkjenne» mottak av en rapport innen sju dager (artikkel 9(1)(b)) og deretter «gi tilbakemelding» om rapporten innen en relativt kort periode på tre måneder (artikkel 9(1)(f)). Dette er helt i orden for de fleste sakene, men er utrolig kort tid for kompliserte saker som kan ta godt over et år med møysommelig arbeid før de bærer frukter. Selv om «tilbakemelding» bare betyr «å holde kontakten» med varsleren, skal en slik kommunikasjon administreres svært forsiktig.

Hensiktene bak direktivet er trolig rettet mot kompliserte saker, ikke enkle rapporter som bare må gjennomgås og løses. Publikum må anerkjenne fleksibiliteten bak frasen «tilbakemelding» og inkluderingen av «påtenkt tiltak» (artikkel 5(13)).

Juridiske direktører og samsvarsansvarlige må fortsatt være kreative for å avsløre problemer naturlig under den daglige forretningsdriften. Kanskje jevnlige revisjoner, gjennomganger og risikovurderinger vil avsløre andre metoder for å finne resultater og håndtere disse mens man samtidig ikke avslører varslerens identitet (eller det faktum at det finnes en rapport).

Juridiske direktører og samsvarsansvarlige må også være kreative for å sikre at ansvaret havner i den avdelingen det hører hjemme, der problemet håndteres best mulig. Administrativt sett er en av de store utfordringene å få overordnede til å bruke problemløsingsverktøy eller sentrale samsvarsressurser oftere. Dette kan imidlertid være nødvendig hvis vi virkelige ønsker å fange opp og behandle alle saker som dukker opp i organisasjonen på en skikkelig måte.

Kulturelt sett trenger vi at ansatte jobber sammen med sine overordnede for å løse problemer uten å gjøre problemene større enn de trenger å være. Det finnes selvsagt en kanal for å rapportere ting som ikke kan håndteres lokalt, enten pga. svak ledelse eller fordi sakene er for store til å løses lokalt. Opplæring av overordnede i problemhåndtering bør være en prioritet for samsvarsteamene.

Hva er det neste?

Organisasjonene må vurdere direktivet i henhold til egne omstendigheter, risikoer og behov. Nedenfor finner du et par eksempler på det vi ser på som prioriteringer:

  • Det grunnleggende
    • Sørg for at du har riktig rapporteringssystem for kritikkverdige forhold på plass. Ikke vær redd for å bytte ut systemet – det kan være en frigjørende opplevelse. Gjør nok for å innfri kravene i direktivet og tenk på om du vil gå enda lenger, for eksempel basert på hva organisasjonen kan trenge i fremtiden.
  • Styring og retningslinjer
    • Få det praktiske på plass, formelt gjennom retningslinjer, og sørg for at systemene er utformet på linje med disse avgjørelsene.
    • Kompliserte saker skal diskuteres, f.eks. anonymitet, rettighetene til varsler og den omtalte (anklagde), formelle tiltak som beskytter varslere mot gjengjeldelse, databeskyttelse og spenninger med andre lovmessige krav. Krystallklare prosedyrer for opptrapping til ledelse, adm.dir., kontrollkomité og styre skal være på plass.
    • Sørg for at linjene er tydelige fra begynnelsen for å unngå overraskelser, kanskje midt i en anspent etterforskning. Eierskap og ansvar skal avgjøres heller før enn etter.
    • Tenk strategisk rundt selvoppholdelse. Når trenger du å beskytte organisasjonen din? Injurie er baksiden av varsling – når må du sette ned foten? Og når mister du goodwill fordi du satte ned foten?
    • Som med alle retningslinjer må kontroller være på plass for å forsikre at de fungerer etter planen. Hva kan legges til i rammeverket for samsvarskontroller? Tenk på opptrapping, godkjenninger, deling av ansvarsområder osv. Du vil kanskje også sikre at kommunikasjonsteamene aktivt holder et øye på det offentlige rom for fremspringende saker.
  • Samarbeid
    • Involver de som betyr noe i varslingsprosessen og aspekter ved ikke-gjengjeldelse. Jobb tett med alle ledere og overordnede i organisasjonen, HR, datavernansvarlige, samarbeidsutvalg og fagforbund. Å få de ansatte og deres representanter med i samtalen er kanskje den mest effektive metoden for å forhindre problemer på.
  • Bevissthet
    • Opplæringsprogrammer skal inneholde informasjon om direktivet som er ganske hevdvunnen om hva slags informasjon som skal bli gjort tilgjengelig.
    • På samme måte skal kommunikasjonsprogrammer innfri de formelle kravene og sannsynligvis gå enda lenger, i tråd med organisasjonens individuelle kultur og risiko.
    • Dilemmabasert opplæring for nøkkelgrupper, så som toppledelsen (eller risikoeksponerte funksjoner), kan virkelig få folk til å tenke på utfordringene som venter i fremtiden.
  • Tidligere saker
    • Direktivet har ikke tilbakevirkende kraft. Men man kan se potensialet til å dra frem gamle saker (artikkel 4.2 tillater varsling fra tidligere arbeidsrelasjoner). Du må forsikre deg om at du har håndtert sakene troverdig og grundig, også i fortiden.
    • En gjennomgang av tidligere, betydelige saker i lys av direktivet kan bidra til å unngå en slik risiko.
  • Observer
    • Det finnes noen usikkerheter oppført ovenfor, og behovet for forskning og observasjon er tydelig.
    • Det gjenstår å se om nasjonale tiltak vil gå (eller allerede har gått) lenger enn direktivet. Storbritannias unike posisjon gjenstår å se.
    • Spenningene mellom datavern og varslerrettigheter vil føles enda mer på kroppen i enkelte jurisdiksjoner.
    • Et annet regelverk, personvernforordningen, blir sett på av noen som overoptimistisk, upraktisk og delvis umulig å håndheve. Databehandlingsavtaler har vært overfylte med unyttig informasjon, uten ressursene til ta tak i alle punktene. Direktivet kan få samme dom, med mindre det blir godt implementert og håndhevd.
    • Rettspraksis må vokse fram og veilede praktisk bruk av direktivet. Særlig for håndhevelse og hvor avskrekkende det kan bli i form av sanksjoner.

Snakk med ekspertene våre

Vil du lære mer, diskutere ideer eller dele meningene dine?

Ta kontakt

Share this page