I dag skal vi mimre litt og se tilbake på en tid da europeiske organisasjoner befant seg i en jungel av personvernlovgivning hver gang de forsøkte å implementere en varslingsordning. Vi ser paralleller med innføringen av EUs direktiv om vern av varslere (EU 2019/1937). Og dette er i og for seg ikke en positiv ting.
Vi har sagt dette før i tidligere blogginnlegg: Enhver organisasjon har et svært viktig mål å nå i tillegg til målet om å følge varslingsloven. Målet om å opprette tidlig åpenhet ved å si fra, slik at etiske forseelser kan oppdages så tidlig som mulig. Selv om disse målene virker like, kan de ofte faktisk være i konflikt. Dette skjer i hovedsak når organisasjoner innfører et sterkt samsvar med varslingsloven som metode for å skape tidlig åpenhet gjennom å si fra. Dette fører til juridisk sjargong, kompliserte og formelle behandlingstrinn, unntak og kompliserte omfangsbegrensninger. Og når man opererer i et internasjonalt miljø, blir det enda mer komplisert.
Historisk sett har lover om personvern, samsvar og varsling vært volatile og vanskelige å fullt ut forstå. En av de viktigste grunnene til dette er at de er fulle av lokale avvik. Mens de europeiske varslingslovene sier én ting, sier de lokale varslingslovene noe ganske annet. Selskaper prøver så godt de kan å følge disse lovene og samtidig skape et trygt miljø for sine ansatte. Målet med denne bloggen er å sette fokus på det siste: viktigheten av å ikke glemme hvem disse lovene prøver å beskytte – enkeltmennesker. Enkeltmennesket bør være førsteprioritet i enhver policy du lager og hver lov du prøver å innrette deg etter.
Det er ikke noe poeng i å bagatellisere det: Før EUs personvernforordning (GDPR) ble innført, var det nesten umulig for internasjonale selskaper å fullt ut følge personvernreglene ved innføring av internasjonale varslingsordninger. De ulike europeiske landene hadde ulike regler, meninger og tolkninger, og det fantes ikke noe felles rammeverk som kunne fungere som en grunnlinje. Selv om personvernforordningen ikke nevner noe spesifikt med hensyn til en varslingsordning, førte innføringen av personvernforordningen til en endring: Den gjorde at selskaper kunne støtte seg på personvernforordningen og dens prinsipper. Dette reduserte presset på internasjonale organisasjoner til å følge hvert eneste lokale avvik. I stedet gav det større rom for å følge prinsippene i personvernlovgivning og sette fokus på å skape trygge og åpne kulturer internt i selskapene.
Og det er en bra ting.
Vi spoler frem til 2019: EUs direktiv om vern av varslere innføres. Det vi ser er et skritt tilbake med hensyn til den prinsippbaserte tilnærmingen som ble rådende etter personvenforordningen. Et av direktivets hovedmål er å innføre enda et overordnet juridisk rammeverk (denne gangen for varsling, som navnet antyder) som internasjonale selskaper må følge. I teorien skal dette gjøre samsvar enklere. Vi ser imidlertid at det diskuteres på lokalt miljø, noe som fører til lokale tolkninger og avvik (hvis du vil lese mer om dette, kan du se denne artikkelen). Vi ser tegn på at internasjonale organisasjoner er villige til å gå på akkord med det solide interne SpeakUp-sikkerhetsnettet det tok dem flere år å bygge opp. Historien gjentar seg.
Det rare er at der det før handlet om å finne den rette balansen mellom personvern og gjennomsiktighet, er konflikten nå mellom to andre ting, nemlig EUs direktiv om vern av varslere og det interne SpeakUp-sikkerhetsnettet. Disse to tingene har i bunn og grunn det samme formålet: å opprette tidlig åpenhet ved å si fra slik at etiske forseelser kan oppdages så tidlig som mulig. Vi må i tillegg huske på at den beste varslerbeskyttelsen er å ikke ha behovet for en varsler i utgangspunktet.
Hvis vi legger til side detaljene, vil vi gjerne benytte anledningen til å understreke det vi mener bør være selskapenes førsteprioritet: enkeltmennesker. Vi mener at det å skape et trygt miljø hvor alle føler at de kan si fra, er det viktigste aspektet for å skape et sunt arbeidsmiljø. Selv om det også er viktig å følge lover og regler, oppfordrer vi dere til ikke å sette praktiske metoder foran enkeltmennesker. Det er altfor lett å gå seg vill når man prøver å tilpasse seg hvert eneste unntak i de ulike lokale lovene for personvern og varsling. Dette kan bety at enkeltmenneskene som disse lovene er lagd for, blir glemt. Til syvende og sist ble disse lovene skrevet for å beskytte de ansattes rettigheter. Sørg alltid for at disse ansatte settes først når dere lager retningslinjene som skal beskytte dem. Gjennomsiktighet og åpenhet internt i organisasjonen er essensielt for å stoppe forseelser og for å skape en sunn SpeakUp-kultur.
Vi anmoder dere om å ta et valg. Les denne artikkelen for mer informasjon om dette.
Takk for oppmerksomheten, og del gjerne tanker du måtte ha om dette.