Del 1 – Hvilke endringer kommer med EU-direktivet om vern av varslere?
EU-direktivet om vern av varslere (EU 2019/1937) («direktivet» eller «EUWBD») blir diskutert av mange for tiden. Og ikke uten grunn, siden det er et nytt og omfattende regelverk som skal implementeres i nasjonale lover og etterfølges i en rekke organisasjoner. Men hvilke endringer fører det med seg? Og hvordan skal organisasjoner håndtere disse endringene?
I denne serien i tre deler, skrevet i samarbeid med den erfarne samsvarseksperten Ezekiel Ward fra North Star Compliance, skal vi se nærmere på direktivet fra perspektivet til multinasjonale organisasjoner. Direktivet inneholder mye som skal tolkes og etterfølges i årene som kommer.
Så, hva er nytt med direktivet om vern av varslere?
For det første er dette et svært detaljert dokument til direktiv å være. Det omfatter generelle mål for medlemsstatene, men beskriver også hva som forventes å skje i individuelle saker. Organisasjoner med over 250 ansatte må være i samsvar med bestemmelsene innen 17. desember 2021. Organisasjoner med over 50 ansatte må være i samsvar innen 17. desember 2023. Dokumentet inneholder informasjon om hvordan individuelle rapporter skal håndteres, så som foreslåtte tidsrammer for svar og hva slike svar skal inneholde. Det grunnleggende for å samsvare med direktivet er oppført i denne tidligere publiserte artikkelen.
For det andre er dette en kanal for varslere å rapportere eksternt til myndighetene i medlemslandet. Under visse forhold kan en varsler avsløre en sak offentlig.
For de tredje er det beskrevet regler mot gjengjeldelse som vil fange oppmerksomheten til de som er vant med å håndtere varslingsklager. Det praktiske ved hvordan man skal håndtere gjengjeldelse krever etterforskning.
Hva er ikke nytt?
Som vi allerede har nevnt, er det mye i direktivet som ikke er nytt. En samsvarsekspert i et multinasjonalt selskap vil sannsynligvis se på reglene og komme fram til at de allerede innførte noen av disse kravene for flere år siden.
Dette handler om gjengjeldelse. Et diskré og for øyeblikket lite omtalt poeng er at direktivet ikke påvirker ting du ser utenfor arbeidsrelatert kontekst (jf. artikkel 4). Utenfor arbeidsplassen har gjengjeldelsen mindre makt enn i et arbeidsmiljø (formålsparagraf, art. 36). Det er verdt å merke seg at visse bransjer er ekskludert, så som forsvaret og nasjonal sikkerhet.
Varsling har forandret seg. Hvis samsvarsprogrammet fungerer som det skal, vil varslersystemene og de interne prosessene ha blitt mindre administrativt tyngende i senere år. Ta for eksempel krav rundt datavern, hvor det tidligere var krav til en registrering for hver medlemslands datavernsmyndighet. Nå sørger personvernforordningen for at slike trinn blir mer effektive. Samtidig har antall rapporter generelt sett økt. Tvangs- og omdømmekonsekvensene øker. Og verden er blitt mer ustabil. Så det er mange utfordringer å ta tak i.
Vi har også de samme spenningene med hensyn til anonymitet og personvern (datavern). Enkeltpersoner har også rettigheter, og disse kan være i direkte strid med en varslerens vern. Å kjenne anklageren og blitt gitt mulighet til å krysseksaminere anklagene er i mange jurisdiksjoner en «selvfølge».
Det ser ut som om anonymitet og personvern vil kollidere med virkeligheten på et eller annet punkt i varslingsprosessen. Organisasjoner må være ett steg i forkant med hensyn til hvordan disse prosessene kan utspille seg.
Neste gang
I neste ukes blogg skal vi se nærmere på hva slags varsleratferd som kan oppmuntres av direktivet. Vi skal også se på hvordan organisasjoner på best mulig måte kan håndtere faren for gjengjeldelse. Følg oss på LinkedIn eller abonner her på North Star Compliance for å holde deg oppdatert!