Praktiska utmaningar när EU:s visselblåsardirektiv ska implementeras

Del 3 – krav för chefsjurister och efterlevnadsansvariga

I del 1 och del 2 av den här serien om tre bloggar tittade vi på vad EU:s nya visselblåsardirektiv (EU 2019/1937) (”direktivet” eller ”EUVBD”) har förändrat – och vad som inte har förändrats. Vi har även gått igenom vilka beteenden vi kan förvänta oss av visselblåsare i ljuset av direktivet.

Nedan går vi lite djupare in på vilka åtgärder som krävs från chefsjurister och efterlevnadsansvariga för att följa direktivets krav. Vi kommer även att beskriva vilka steg som krävs härnäst för att efterleva direktivet.

Kreativitet från chefsjurister och efterlevnadsansvariga

De som arbetar med juridik och efterlevnad kommer att uppskatta tydligheten i delar av direktivet och kommer även att kunna se flera fördelar som följer av det.

Direktivet ger möjlighet till intern rapportering först. Det är inte ett krav, men medlemsstaterna har en skyldighet att ”uppmuntra” detta (artikel 7(2)). Det bekräftar att klagomål ofta hanteras bäst av organisationerna själva, och så nära problemet som möjligt. Jag hoppas att myndigheterna kommer att våga skicka tillbaka ärenden som inte har genomgått en adekvat intern process först eftersom de kan anta att problemet kunde ha korrigerats där. Kort sagt – vi får en tydlig chans att hantera problem ordentligt innan myndigheterna blandas in och innan den offentliga granskningen börjar. För närvarande är det oklart exakt hur det här kommer att utvecklas, med tanke på att medlemsstaterna ännu inte har beskrivit i detalj hur de kommer att implementera direktivet.

Organisationer måste ”bekräfta” att de har mottagit en rapport inom sju dagar (artikel 9(1)(b)) och sedan ”återkoppla” till den rapporterande personen inom en relativt kort tidsram på tre månader (artikel 9(1)(f)). Det är en rimlig tid för de flesta ärenden, men oerhört kort för komplexa ärenden som kan kräva bra över ett år av noggrant arbete för att bära frukt. Även om ”återkoppling” helt enkelt betyder ”hålla kontakten” med visselblåsaren, måste sådan kommunikation skötas otroligt noga.

Allt arbete bakom direktivet avser antagligen komplexa ärenden, inte de där anläggningsrapporterna som bara behöver behandlas. Betraktare kommer behöva acceptera den flexibilitet som finns bakom ordet ”återkoppling” och att det innefattar ”åtgärder som planeras” (artikel 5(13)).

Chefsjurister och efterlevnadsansvariga kommer behöva fortsätta att vara kreativa för att på ett naturligt sätt rikta ljuset mot problem i den normala verksamheten. Det kanske görs genom regelbundna kontroller, granskningar eller riskutvärderingar med andra metoder för att fastställa resultat och hantera dem utan att avslöja en rapporterande persons identitet (eller ens det faktum att det finns en rapport).

Chefsjurister och efterlevnadsansvariga behöver även visa kreativitet i att säkerställa att ansvarsskyldighet finns med i beräkningarna för att hantera problem på bästa sätt. Det är en stor administrativ utmaning att få chefer att använda verktyg för ärendehantering eller centrala efterlevnadsresurser bättre, men det kan vara nödvändigt om vi verkligen ska fånga in och bearbeta alla ärenden som uppstår i organisationen korrekt.

Kulturellt sett behöver vi få medarbetarna att arbeta tillsammans med sina chefer för att hantera problem och inte göra dem större än nödvändigt. Naturligtvis finns det ett sätt att ventilera sådant som inte kan hanteras lokalt, antingen på grund av chefer som inte lyckas med det arbetet eller för att de är för stora för att hanteras korrekt. Efterlevnadsteam bör även i fortsättningen prioritera att utbilda chefer i att hantera problem.

Så vad händer härnäst?

Organisationer kommer behöva utvärdera direktivet utifrån sina egna omständigheter, risker och behov. Här är några exempel på vad vi ser som de främsta prioriteringarna:

  • Grunderna
    • Se till att ni har rätt system för att rapportera förseelser. Var inte rädd för att byta system – det kan faktiskt vara befriande. Gör vad som krävs för att uppfylla kraven i direktivet och fundera på om du vill gå ännu längre, till exempel baserat på vad din organisation kan behöva i framtiden.
  • Styrning och policyer
    • Använd policyer för att lägga den formella grunden och se till att dina system har vad som krävs för dessa beslut.
    • Ni behöver föra samtal kring komplexa frågor såsom anonymitet, visselblåsare och vilka rättigheter föremålet för rapporten (den anklagade) har. Det gäller även för sådant som formella steg för att skydda rapporterande personer mot repressalier, skydd av personuppgifter och konflikter med andra rättsliga krav. Det bör finnas kristallklara förfaranden för att eskalera till ledningen, vd:n, revisionskommittén och styrelsen.
    • Se till att alla är med tidigt i processen för att undvika överraskningar som annars kan uppstå mitt under en spänd utredning. Beslut om egenansvar och ansvarsskyldighet bör fattas så tidigt som möjligt.
    • Tänk strategiskt när det gäller självbevarelsedrift. När behöver du skydda din egen organisation? Förtal är den andra sidan av visselblåsande – när behöver du ta ställning? Och när förlorar du goodwill av att ta ställning?
    • Precis som med alla andra policyer krävs det kontroller för att säkerställa att föreskrifterna fungerar som avsett. Vad kan adderas till ditt ramverk för efterlevnadskontroller? Tänk eskalering, godkännanden, åtskillnad av ansvar osv. Det kan även vara bra att se till att kommunikationsteamen aktivt övervakar det offentliga vad gäller ärenden som är på gång.
  • Samarbete
    • Involvera de personer som är viktiga i visselblåsarprocessen och aspekter av att undvika repressalier. Arbeta nära alla ledare och chefer i organisationen, HR, dataskyddsansvariga, företagsråd och fackföreningar. Det mest effektiva sättet att ligga steget före är kanske att ta in medarbetare och deras representanter i samtalen.
  • Medvetenhet
    • Utbildningsprogram bör innehålla detaljer om direktivet, vilket snarare är förhållningsregler för vilken information som bör göras tillgänglig.
    • På samma sätt bör kommunikationsprogram uppfylla de formella kraven och antagligen gå något längre, utifrån organisationens specifika kultur och risker.
    • Dilemmabaserad utbildning för nyckelgrupper såsom den verkställande ledningen (eller riskutsatta positioner) kan verkligen få människor att fundera över de utmaningar som ligger framför dem.
  • Tidigare ärenden
    • Direktivet kan inte tillämpas retroaktivt. Det kan däremot vara värdefullt att dra fram gamla ärenden (enligt artikel 4.2 gäller direktivet även för rapporterande personer i arbetsrelaterade förhållanden som har upphört). Du behöver säkerställa att du även tidigare har hanterat ärenden på ett trovärdigt och noggrant sätt.
    • En granskning av viktiga ärenden som hanterats tidigare kan hjälpa dig att föregå sådana risker.
  • Observera
    • Några osäkerheter beskrivs ovan, och det finns ett tydligt behov av att utreda och observera.
    • Det återstår att se om de nationella åtgärderna kommer att gå längre än direktivet (eller om de redan gör det). Hur Storbritannien ställer sig vet vi inte heller.
    • Motsättningarna mellan rättigheterna i fråga om personuppgiftsskydd och visselblåsare kommer att vara skarpare i somliga jurisdiktioner än i andra.
    • Vissa har menat att annan lagstiftning – GDPR – är överoptimistisk, opraktisk och delvis omöjlig att verkställa. Databehandlingsavtal har fyllts av onödig information, utan resurser att hantera allt. Samma anmärkningar kan komma att riktas mot direktivet om det inte implementeras och verkställs väl.
    • Rättspraxis behöver utvecklas för att vägleda i hur direktivet används i praktiken. Det gäller särskilt i frågan om verkställighet och hur hårda påföljderna behöver vara för att avskräcka.

Prata med våra experter

Vill du lära dig mer, diskutera idéer eller dela åsikter?

Kontakta oss

Share this page