ISO37002 och EU:s visselblåsardirektiv: En kompletterande koppling?
I och med att EU:s direktiv om skydd för visselblåsare (direktiv 2019/1937) träder i kraft i slutet av året kommer många tusentals berörda organisationer inom EU att implementera ett visselblåsarprogram för första gången.
Därför är det kanske bra att Internationella standardiseringsorganisationen (ISO) har publicerat den frivilliga vägledande standarden om visselblåsningssystem, ISO 37002: Whistleblowing Management Systems. Standarden syftar till att tillhandahålla ”riktlinjer för implementering, hantering, utvärdering, upprätthållande och förbättring av ett stabilt och effektivt ledningssystem i en organisation för visselblåsning”.
Detta väcker en självklar fråga – hur kan de nya ISO-riktlinjerna hjälpa organisationer att ta fram ett förenligt svar på det kommande EU-direktivet om skydd för visselblåsare?
Vad är skillnaden mellan ISO 37002 och EU-direktivet?
EU:s direktiv om skydd för visselblåsare anger ett minimiskydd för visselblåsare som EU:s medlemsstater behöver införliva i nationell lag senast den 17 december 2021. Organisationer i dessa medlemsstater med minst 250 medarbetare behöver börja följa den nya lagen från samma datum. Mindre organisationer med 50–249 medarbetare har ytterligare två år på sig att uppfylla kraven.
Standarden ISO 37002 ger frivilliga riktlinjer för organisationer som tänker etablera ett visselblåsningssystem. Etableringen av sådana system står i centrum för EU-direktivets krav och standarden erbjuder ett internationellt vedertaget ramverk för att införliva globala beprövade branschmetoder för utveckling och driftsättning.
Hur skiljer sig EU-direktivet från ISO 37002?
När vi jämför syfte eller avsedda resultat för de båda dokumenten står det omedelbart klart att det finns en kompletterande relation mellan dem i deras nyckelfokusområden.
EU-direktivet
- Skapa säkra rapporteringskanaler för medarbetare (både internt och externt)
- Säkerställa att medarbetarna känner till hur och vart man ska rapportera oegentligheter
- Bekräfta mottagande av rapportera och ge feedback i rimlig tid
- Skydda visselblåsarnas identitet och de personer som nämns i rapporterna
- Skydda medarbetare från repressalier
ISO 37002
- Uppmuntra och underlätta rapportering om oegentligheter
- Säkerställa att rapporter om oegentligheter hanteras korrekt och inom rimlig tid
- Stötta och skydda visselblåsare och andra involverade intressenter
- Förbättra organisationskulturen och styrningen
- Minska risken för oegentligheter
Kärnområdena att möjliggöra rapportering, hantering av rapporterna när de tas emot samt att skydda de personer som är involverade är gemensamma nämnare för både kraven i direktivet och de riktlinjer som beskrivs i ISO-standarden.
EU-direktivet fokuserar naturligtvis på bestämmelser för att säkerställa visselblåsarnas skydd, men alla krav i direktivet tas upp även i ISO-standarden i större eller mindre grad.
Mappning av direktivets krav mot ISO-riktlinjerna
Skapa säkra rapporteringskanaler för medarbetare
Avsnitt 8 i ISO-standarden innehåller riktlinjer och rekommendationer för implementering av säkra rapporteringskanaler. Detta innefattar förslag på de vanligare metoderna att ta emot rapporter men, ännu viktigare, hur sådana metoder kan utnyttjas för att öka tillgängligheten, tillförlitligheten och effektiviteten i rapporteringsprogrammet.
Detta avsnitt i ISO-standarden innehåller också en praktisk lista med exempel på frågor att ställa till visselblåsaren som hjälper till att säkerställa att viktig information hämtas in.
Säkerställa att medarbetarna känner till hur och vart man ska rapportera oegentligheter
Detta krav i direktivet beskrivs i Avsnitt 7 i ISO-standarden, som behandlar utbildning och medvetandegörande, liksom beprövade branschmetoder för kommunikation om programmet.
Omfattande utbildning med medvetandegörande är avgörande för att klara kraven i direktivet, så de detaljerade övervägandena som beskrivs i standarden bör vara mycket värdefulla när man ska fastställa omfattningen för utbildningen.
På liknande sätt behöver man inte bara förstå hur och när man ska kommunicera, utan till vem och från vem kommunikationen ska ske kan vara viktigt för att öka medvetenheten och, kanske ännu viktigare, att bygga upp och upprätthålla tillit i rapporteringsprogrammet.
Bekräfta mottagande av rapportera och ge feedback i rimlig tid
I Avsnitt 8 i standarden finns rekommendationer för att ge feedback under varje fas i visselblåsarprocessen.
Att bygga upp feedback-loopar kring operativa åtgärder enligt definitionerna i detta avsnitt hjälper till att strukturera kommunikationen och hantera förväntningarna. Riktlinjer för bekräftelse av rapporter, acceptabla tidsramar och detaljer för vilken nivå på feedback man ska ge beskrivs också här.
Skydda visselblåsarnas identitet och de personer som nämns i rapporterna
I Avsnitt 7 föreskriver ISO-standarden vikten av att upprätthålla anonymiteten hos alla parter som är involverade i rapporterna. Särskilt värt att notera här är de exempel som finns på saker som särskilt behöver beaktas under planeringen, och de lyfter fram några av de mindre självklara sätten på vilka involverade parter potentiellt kan identifieras.
Som en del i att säkerställa sekretess är det också viktigt att fastställa rutiner för hantering av sekretessbrott och försök att identifiera involverade parter. Andra avsnitt i standarden – om dataskydd och styrning av dokumenterad information – kommer också att bidra till detta krav.
Skydda medarbetare från repressalier
I och med att skyddet av visselblåsare är drivkraften bakom direktivet finns det flera olika delar av ISO-standarden som hjälper till att definiera processer för att säkerställa att detta krav uppfylls.
Avsnitt 8 ger råd om hur man bedömer och förebygger riskerna för skadliga beteenden tidigt i rapporteringsprocessen. Att identifiera potentiella risker i denna fas är till hjälp när man ska bedöma och granska rapporterna. Detaljerade råd om hur man skyddar visselblåsare, de personer som rapporterna rör, liksom andra relevanta parter finns också. I händelse av repressalier erbjuds riktlinjer för hur man bör hantera skadliga beteenden.
Andra områden av intresse
Det finns många andra delar i ISO-standarden som fördjupar sig i områden som förbättring av organisationskultur och styrning, vilka kan vara bra att referera till när man planerar att implementera ett visselblåsarprogram.
En av de största utmaningarna många organisationer ställs inför är att få full införsäljning och acceptans av medarbetarna, men det finns många delar i standarden som innehåller riktlinjer och råd om hur man kan hantera detta.
Mer bakgrund om hur standarden är avsedd att skapa transparens, tillit och en etisk kultur genom visselblåsningssystem finns i denna intervju med ISO:s sammankallande för ISO 37002, dr. Wim Vandekerckhove.
En standard med global relevans
Då ISO-standarden omfattar många av de utmaningar som avser hur man sätter upp och hanterar ett visselblåsarprogram lämpar sig riktlinjerna inte bara för de organisationer som berörs av EU:s direktiv om skydd för visselblåsare, utan är relevant runt om i världen.
Med den globala lagstiftningen på detta område kan ISO 37002 hjälpa till att hantera kraven i andra regelverk som 2019 Treasury Laws Amendment (som stärker visselblåsardirektivet i Australien) eller det japanska visselblåsardirektivet, till exempel.
Att utnyttja internationellt erkända beprövade branschmetoder som denna hjälper inte bara till att säkerställa efterlevnaden av lagar och regler, utan hjälper också organisationer att få ut maximalt av dessa program och säkerställa att de faktiskt gör skillnad, inte bara är något som kan bockas av.
Visselblåsningssystemet WhistleB möjliggör för företag att implementera sina visselblåsarprogram så att de följer ISO 37002, klicka här om ni vill ha en kostnadsfri demo.
Jan Tadeusz Stappers, LL.M.
Chef för partnerskapsutveckling
jan.stappers@navexglobal.com