I dag vill vi ta med dig på en nostalgitripp: tillbaka till perioden när europeiska organisationer befann sig i en djungel av integritetslagstiftning varje gång de försökte att implementera ett visselblåsningssystem. Vi ser paralleller med inrättandet av EU:s visselblåsningsdirektiv (EU 2019/1937). Och det är i sig inte något bra.
Vi har sagt detta förr i våra bloggartiklar; alla organisationer har ett mycket viktigt mål att uppnå utöver att efterleva visselblåsningslagen. Syftet är att skapa tidig insyn genom uppgiftslämning så att etiska oegentligheter kan förhindras eller upptäckas så tidigt som möjligt. Även om dessa mål till synes kan verka lika kan de egentligen ofta stå i konflikt med varandra. Det händer huvudsakligen när organisationer ser strikt efterlevnad av visselblåsarlagen som ett medel till att skapa tidig transparens genom att lämna uppgifter. Detta leder till juridisk terminologi, komplicerade formella processteg, undantag och komplicerade begränsningar av tillämpningsområde. Det är klart att det blir än mer komplicerat när man bedriver verksamhet i en internationell miljö.
Historiskt sett har lagar om integritet, efterlevnad och visselblåsning varit ombytliga och svåra att helt förstå. En av huvudorsakerna till detta är att de är fyllda av lokala avvikelser. Medan europeiska integritetslagar kan säga en sak så säger lokala visselblåsningslagar något helt annat. Företag gör sitt bästa för att efterleva dessa lagar och strävar på samma gång efter att skapa en säker miljö för deras anställda. Målet med denna blogg är att framhäva det sistnämnda: vikten av att inte glömma bort vem dessa lagar försöker att skydda – människor. Människor ska alltid vara i främsta ledet av varje policy du utformar och varje lag som du försöker att efterleva.
Det går inte att tona ned det, innan den allmänna dataskyddsförordningen (GDPR) infördes var det nästan omöjligt för internationella företag att efterleva reglerna för integritet när de genomförde ett visselblåsningssystem. Olika europeiska länder hade olika regler, åsikter och tolkningar och det fanns inte en övergripande ram som kunde fungera som grundscenario. Även om den allmänna dataskyddsförordningen i och för sig inte nämner något mer i detalj om ett visselblåsningssystem, ledde fastställandet av den allmänna dataskyddsförordningen till en förändring. Den gjorde det möjligt för företag att bättre kunna förlita sig på dataskyddsförordningen och de principer den fastslår. Det gjorde det mindre angeläget att för internationella organisationer att efterleva varje enskild lokal avvikelse. Det gav istället mer utrymme att följa dataskyddslagens principer och fokusera på att skapa hälsosamma och öppna kulturer inom företagen.
Detta var positivt…
Låt oss blicka framåt till 2019 och till antagandet av EU:s visselblåsningsdirektiv. Vad vi ser är ett steg tillbaka när det gäller den principbaserade inställningen som blev dominerande efter den allmänna dataskyddsförordningen. Ett av direktivets huvudsakliga mål är att åberopa ett annat övergripande ramverk av lagar (den här gången avseende visselblåsning som namnet antyder) som internationella företag måste efterleva. Detta bör teoretiskt sett underlätta efterlevnad. Vi ser dock att det finns diskussioner på en lokal nivå som leder till lokala tolkningar och avvikelser (för att läsa mer om detta, se följande artikel). Vi ser tecken på att internationella organisationer är villiga att kompromissa om det solida interna säkerhetsnätet hos SpeakUp som det tog dem många år att bygga upp. Historien verkar upprepa sig själv.
Det konstiga är att där det förr handlade om att hitta rätt balans mellan integritet och transparens, verkar den nuvarande striden att vara mellan två saker: EU:s visselblåsningsdirektiv och SpeakUp:s interna säkerhetsnät. Dessa två saker har i huvudsak samma syfte: att skapa tidig insyn genom uppgiftslämning så att etiska oegentligheter kan förhindras eller upptäckas så tidigt som möjligt. Vi bör dessutom inte glömma bort att det ultimata visselblåsarskyddet första och främst förhindrar att det finns en visselblåsare!
Utan att gå in på de tekniska detaljerna skulle vi vilja ta tillfället i akt att understryka vad vi anser bör vara företagets främsta prioritet: människorna. Vi anser att garantera en säker miljö där alla känner att de kan lämna uppgifter är den viktigaste aspekten när det gäller att skapa en sund företagskultur. Även om det också är viktigt att följa lagar och regelverk, betonar vi vikten av att inte falla för att sätta de praktiska aspekterna framför människorna. Det är alltför enkelt att tappa bort sig när man försöker att följa varje undantag för olika lokala dataskydds- och visselblåsningslagar. Detta kan innebära att människor för vilka dessa lagar inrättades glöms bort. Skälet till att de ovan nämnda lagarna existerar är trots allt för att skydda anställdas rättigheter. Se alltid till att samma anställda kommer i första rummet vid utformande av policyer för att skydda dem. Transparens och öppenhet i er organisation är viktigt för att sätta stopp för oegentligheter och skapa en sund SpeakUp-kultur.
Vi uppmanar dig att ta ställning i frågan, se följande artikel för att läsa mer om detta.
Tack för att ha läst detta och vi ber dig att dela dina eventuella åsikter med oss!