ISO37002 og EU-direktivet om vern av varslere: Et supplerende kobling?

juli 28, 2021

EU-direktivet om vern av varslere (direktiv 2019/1937) trer i kraft i slutten av inneværende år, og tusenvis av organisasjoner i hele EU må implementere et varslingssystem for aller første gang.

Heldigvis har International Organisation for Standardisation (ISO) publisert en frivillig og veiledende standard, kalt ISO 37002: Retningslinjer for varslingssystemer. Standarden leverer «retningslinjer for å implementere, håndtere, vurdere, opprettholde og forbedre et robust og effektivt varslingssystem i en organisasjon». 

Dette leder åpenbart til spørsmålet – Hvordan kan de nye ISO-retningslinjene hjelpe organisasjoner, slik at de kan oppfylle det kommende EU-direktivet om vern av varslere?

Hva er forskjellen mellom ISO 37002 og EU-direktivet?

EU-direktivet om vern av varslere er et minstekrav om vern av varslere som EU-landene må implementere i sine nasjonal lovgivning innen 17. desember 2021. Organisasjoner i EU-land med 250 eller flere ansatte må oppfylle det nye regelverket fra samme dato. Mindre organisasjoner med 50–249 ansatte har ytterligere to år på seg til å oppfylle det nye regelverket.

ISO 37002-standarden leverer frivillige retningslinjer for organisasjoner som ønsker å etablere et varslingssystem. Med etableringen av slike systemer iht. EU-direktivets krav, tilbyr standarden et internasjonalt anerkjent rammeverk som inkluderer global best praksis for utvikling og distribusjon.

Kan EU-direktivet og ISO 37002 sammenstilles?

Når vi ser på formålene, eller tiltenkt utfall, av de to dokumentene, blir det umiddelbart klart at de har noe til felles på viktige fokusområder.

EU-direktiv

  • Skape trygge varslingskanaler for ansatte (både internt og eksternt)
  • Sikre at ansatte vet hvordan og hvor de skal rapportere lovbrudd
  • Anerkjenne mottak av varslinger og gi rask tilbakemelding
  • Bevare anonymiteten til både varslere og personer som er nevnt i varslingene
  • Verne ansatte mot represalier

ISO37002

  • Oppmuntre til og tilrettelegge for varsling av lovbrudd
  • Sikre at varsler om lovbrudd behandles effektivt og til rett tid
  • Støtte og verne varslere og andre involverte parter
  • Forbedre organisasjonskulturen og styresettet
  • Redusere risikoen for lovbrudd

Kjerneområder som å muliggjøre varsling, følge opp varsler når de mottas og verne involverte parter, er felles både for EU-direktivet og ISO-standarden.

EU-direktivet har selvfølgelig et større fokus på vern av varslere, men alle kravene i direktivet følges også opp i ISO-standarden i større eller mindre grad.

Kartlegging av direktivkravene i forhold til ISO-veiledningen

Opprette trygge varslingskanaler for ansatte

Punkt 8 i ISO-standarden gir veiledning og anbefalinger for implementering av trygge varslingskanaler. Dette inkluderer forslag til vanlige metoder for mottak av varsler, men også hvordan slike metoder kan forbedres for å øke varslingssystemets tilgjengelighet, troverdighet og effektivitet. 

Dette punktet i ISO-standarden inneholder også en nyttig liste med eksempelspørsmål som kan stilles til varsleren, noe som vil bidra til å innhente viktig informasjon.


Sikre at ansatte vet hvordan og hvor de skal rapportere lovbrudd

Dette direktivkravet er nærmere beskrevet i punkt 7 i ISO-standarden, som omhandler opplæring og bevissthet, samt best praksis for kommunikasjon i varslingssystemet.  

Grundig opplæring og økt bevissthet vil være viktig for å kunne oppfylle direktivkravene, der de detaljerte aspektene i standarden vil være viktige elementer under opplæringen.  

På samme måte kan forståelse av hvordan og når man skal kommunisere, samt mellom hvem kommunikasjonen skal foregå, spille en viktig rolle for økt bevissthet, samtidig som man bygger opp og opprettholder tilliten til varslingssystemet.


Anerkjenne mottak av varslinger og gi rask tilbakemelding

Punkt 8 i ISO-standarden inneholder også anbefalinger for tilbakemelding i hver enkelt fase i varslingsprosessen.  

Tilbakemeldingsprosessen i dette punktet vil bidra til å strukturere kommunikasjonen og håndtere forventninger. Veiledning om anerkjennelse av varsler, rimelige tidsrammer og informasjon om hvilken tilbakemelding som skal gis, er også nevnt.


Bevare anonymiteten til både varslere og personer som er nevnt i varslingene

I punkt 7 i ISO-standarden nevnes viktigheten av å opprettholde taushetsplikten for alle involverte parter i en varslingssak. Spesielt nyttig er eksemplene under planleggingsfasen som fremhever noen av de mindre åpenbare metodene som potensielt kan identifisere de involverte partene.  

Som en del av planene for å sikre taushetsplikt og anonymitet er det også viktig å vite hvordan man skal håndtere brudd på taushetsplikten, eller i tilfeller der det er gjort forsøk på å identifisere de involverte partene.  Andre punkter i standarden som omhandler personvern og håndtering av dokumentert informasjon, vil også være viktig.


Verne ansatte mot represalier

Med vern av varslere som drivkraften bak direktivet, finnes det flere punkter i ISO-standarden som vil bidra til å definere prosessene som sikrer at dette kravet oppfylles.  

Punkt 8 omhandler vurdering og forebygging av risiko for skadelig atferd tidlig i varslingsprosessen. Å kunne identifisere potensielle risikoer i denne fasen vil være til hjelp når varslene vurderes og etterforskes. Detaljert veiledning om vern av varslere og involverte parter er også nyttig. Det finnes også veiledning om hvordan man skal opptre ved represalier for å forebygge skadelig atferd.

Andre interesseområder

Det finnes også andre områder i ISO-standarden som kan være av interesse, som blant annet organisasjonskultur og styresett. Disse kan brukes som referanse ved implementering av et varslingssystem.  

En av de viktigste utfordringene mange organisasjoner står overfor er å få full aksept blant de ansatte, men standarden inneholder også veiledning og synspunkter for å overvinne eventuelle motforestillinger.  

Les mer om hvordan standarden er ment å skape mer åpenhet, tillit og etisk kultur gjennom varslingssystemer i dette intervjuet med Dr. Wim Vandekerckhove, ISO-innkaller for ISO 37002. 

En standard med global relevans

Ettersom ISO-standarden dekker en lang rekke utfordringer i forbindelse med oppsett og håndtering av et varslingssystem, er veiledningen også egnet for organisasjoner i andre deler av verden som ikke omfattes av EU-direktivet om vern av varslere.

ISO 37002-standarden kan være relevant for lovgivning i andre land utenfor Europa, slik som «2019 Treasury Laws Amendment (enhancing Whistleblower Protection Act of Australia)» eller «Whistleblowers Protection Act» i Japan.

Bruk av internasjonalt anerkjent best praksis bidrar til at forpliktelsene oppfylles og hjelper organisasjoner med å få mest mulig ut av sine varslingssystemer, slik at de faktisk kan utgjøre en forskjell.

WhistleB-varslingssystem lar bedrifter implementere sine egne varslingssystemer i samsvar med ISO 37002, klikk her for gratis demo.

Jan Tadeusz Stappers, LL.M.
Seniorleder, partnerskap
jan.stappers@navexglobal.com

Forfatter:
Jan Tadeusz Stappers, LL.M., CIPP/E Legal Counsel

Kontakt oss

Meldingen ble sendt. Vi tar kontakt med deg så snart som mulig.

There seems to be some problem when sending your message. Try again soon.

Founders blog

WhistleB news Webinars Media
WhistleB blog

WhistleBs 5 på topp om varsling i 2021

best practices whistleblowing Webinar

Beste praksis for varsling

whistleblowing system Founders blog

Once again this year, risk prevention was cited as one of the key benefits of having a whistleblowing system in place

Se alle