EU:s visselblåsardirektivet: 2021 deadline i annalkande för företag
Nästan ett år efter att Europaparlamentet antog direktivet om skydd av visselblåsare har över hälften av EU:s 27 medlemsstater börjat införliva direktivet i den nationella lagstiftningen. Nu återstår bara 15 månader tills medlemsstaternas nationella lagstiftning måste vara anpassad efter det nya direktivet. Det innebär att klockan tickar uppfordrande, inte bara för lagstiftare, utan också för de organisationer som måste efterleva de nya bestämmelserna.
Direktivet påverkar hundratusentals organisationer och små och medelstora företag i hela Europa med över 50 anställda. Men först ut att behöva uppfylla de nya bestämmelserna är sådana med 250 eller fler anställda.
Så påverkar direktivet berörda organisationer
Direktivet syftar till att ge ett tydligt skydd för personer som rapporterar om överträdelser av EU:s lagstiftning. Det innebär i sin tur att företag och organisationer måste uppfylla en rad rättsliga skyldigheter, och bland dem är säkra rapporteringskanaler (till exempel webbtjänster och telefonlinjer för visselblåsare) den viktigaste. I direktivet anges specifikt krav på att dessa kanaler
”är utformade, inrättade och drivs på ett säkert sätt som säkerställer att en konfidentiell behandling av den rapporterande personens identitet och alla tredje parters identitet som omnämns i rapporten skyddas och att åtkomst för obehörig personal förhindras.”
- Artikel 9 i Europaparlamentets och rådets direktiv (EU) 2019/1937
Dessutom ska berörda organisationer
- informera sina anställda om hur de kan rapportera missförhållanden
- vidta åtgärder för att skydda visselblåsare från uppsägning, degradering och andra former av repressalier
- utse en kompetent och opartisk person eller dito team som ska ta emot och följa upp rapporter
- besvara och följa upp rapporter inom tre månader.
Offentliga och privata organisationer och små och medelstora företag med 50 eller fler anställda kommer att omfattas av lagstiftningen, men bara sådana med 250 eller fler anställda måste följa den från december 2021. Företag och organisationer med 50–249 anställda har två år till på sig att uppfylla kraven.
Långsamt genomförande – mindre kunskap
Alla medlemsstater ska ha genomfört direktivet senast i december 2021. Det kommer sannolikt att finnas vissa skillnader mellan de lokala lagstiftningarna, men de måste reflektera det centrala syftet med direktivet: att ge en lägsta skyddsnivå för visselblåsare i hela Europa.
Precis som när EU:s dataskyddsförordning (GDPR) skulle genomföras 2018 är det troligen så att ganska få av de efterlevnadsskyldiga kommer att vara väl bevandrade i bestämmelserna innan de har införlivats i landets lagstiftning.
I Sverige har det skett en hel del. Den 29 juni 2020, en månad senare än planerat, presenterades en 802 sidor lång utredning med förslag till hur EU:s nya direktiv ska genomföras. Utredningen föreslår att den nya lagstiftningen ska träda i kraft den 1 december 2021.
Hos våra grannar i Danmark har förloppet bromsats upp lite på grund av coronapandemin (vilket också är fallet i Portugal). Danskarna förväntar sig ha ett förslag om verkställande färdigt under våren 2021, liksom Finland.
Irland inledde sitt offentliga samråd i juni, medan Lettland uppmanade allmänheten att komma med förslag på ändringar till landets egen visselblåsarlag i juli. Samma månad upprepade Sloveniens justitieministerium sitt önskemål om att prioritera genomförande av direktivet, och Bulgarien, Estland och Grekland har alla vidtagit åtgärder för införlivande under 2020.
I andra europeiska länder är ämnet föremål för livlig debatt. I Tyskland har en politisk maktkamp försenat processen, och i Spanien har olika rättsliga alternativ föreslagits och minst ett av dem har röstats ned i kongressen. Samtidigt har Tjeckiens förslag fått kraftig kritik från oppositionspartier och icke-statliga organisationer.
Återstående medlemsstater, däribland Italien, Belgien och Österrike, har gjort små eller inga framsteg alls med att genomföra lagen. Även Frankrike tillhör denna grupp, men där är företag med över 50 anställda redan skyldiga att tillhandahålla en visselblåsarkanal, enligt den befintliga lagen Sapin II.
Förbered för att efterleva
Det finns ingen anledning för företagen och organisationerna att invänta den nationella lagstiftningen innan de påbörjar vandringen mot att efterleva de nya bestämmelserna.
Det mest närliggande och brådskande kravet – att inrätta en konfidentiell rapporteringskanal – är kanske det enklaste steget för dem som inte har någon sådan lösning än.
Medelstora och stora organisationer, eller företag som har behov av en mer avancerad lösning, tjänar sannolikt på en lösning på företagsnivå, där risk- och efterlevnadsprogram och -tjänster samlas på en enda plattform. Då fungerar utbildning, kunskap och policyer som krävs enligt direktivet friktionsfritt med rapporteringsprocessen.
För små och medelstora företag som precis ska inleda sitt efterlevnadsarbete, ger en säker lösning som kan köpas och inrättas online på några timmar – som WhistleB:s nya tjänst Ready-to-launch – en bra garanti för att uppfylla det grundläggande kravet i EU:s direktiv.
Värdehöjning genom efterlevnad
Vilken väg företagen och organisationerna än väljer att ta bör ett rapporteringssystem inte bara ses som ett enkelt men nödvändigt sätt att följa lagen.
En oberoende undersökning vid George Washington University har visat på ett samband mellan ökad användning av rapporteringssystem och ett förbättrat affärsresultat. De mest framgångsrika organisationerna ser i själva verket sina visselblåsarsystem som ett viktigt redskap för att minska risker och bygga upp ett förtroende hos sina medarbetare, eftersom systemen gör det lättare att upptäcka eventuella missförhållanden i ett tidigt skede.
När december 2021 närmar sig kommer tusentals företag och organisationer upptäcka att fördelarna med att efterleva direktivet består av mycket mer än en förbockad ruta.
