Hvad bør en whistleblowerordning indeholde?

En whistleblowerordning skal være langt mere end blot en e-mailadresse. I Danmark er det afgørende, at ordningen fungerer som en fortrolig og uafhængig proces, der beskytter både den, der indberetter, og de involverede parter. En effektiv whistleblowerordning understøtter virksomhedens evne til at håndtere alvorlige forhold på en ansvarlig måde, samtidig med at den sikrer, at alle indberetninger behandles professionelt og i overensstemmelse med gældende lovgivning. For ledelsen, HR, compliance og juridiske funktioner er det derfor essentielt at etablere en ordning, der både er troværdig og robust, så virksomheden kan forebygge fejl og styrke den interne governance. Hvis ordningen ikke er gennemtænkt, kan det få konsekvenser for både tillid, databeskyttelse og den overordnede styring.

Hvem skal have en whistleblowerordning?

Ja. Arbejdsgivere med 50 eller flere ansatte skal som udgangspunkt etablere en intern whistleblowerordning efter whistleblowerloven. Ordningen supplerer Den Nationale Whistleblowerordning, men erstatter den ikke.

Kravet gælder mange private virksomheder og offentlige myndigheder. Det afgørende er ikke, om virksomheden forventer mange sager, men om den falder inden for lovens anvendelsesområde. En lille mængde indberetninger fritager ikke for pligten til at have kanal, proces og ansvarlige personer på plads.

Virksomheder under tærsklen vælger også ofte en ordning frivilligt. Det kan være fornuftigt, hvis virksomheden arbejder i et reguleret miljø, har mange kontraktparter eller ønsker stærkere governance. Den praktiske gevinst er ofte tidligere opdagelse af kritisable forhold, før de bliver til tilsynssager, ansættelsesretlige konflikter eller omdømmerisici.

Hvad skal en whistleblowerordning mindst indeholde?

Minimumskravene er klare. En whistleblowerordning skal kunne modtage skriftlige og mundtlige indberetninger, sikre fortrolighed og håndteres af en upartisk whistleblowerenhed med kvittering og opfølgning inden faste frister.

Det betyder i praksis mindst fem byggesten: en fungerende indberetningskanal, en uafhængig modtagerfunktion, fortrolig adgangsstyring, procedurer for sagsbehandling og tydelige tidsfrister. Ved mundtlig indberetning skal der på anmodning være adgang til et fysisk møde inden for rimelig frist. Kun autoriserede personer må have adgang til indberetningerne, og identiteten på whistlebloweren, den berørte person og eventuelle tredjemænd skal beskyttes.

"Peter Hejler Consulting ApS tilbyder Interim General Counsel services, kontraktforhandling, compliance- og regulatorisk rådgivning, når whistleblowerprocesser skal fungere i praksis."

Det er også klogt at beskrive, hvordan virksomheden forebygger repressalier, hvordan habilitet vurderes, og hvornår en sag skal løftes til ekstern håndtering. En almindelig misforståelse er, at lovkravene er opfyldt, når systemet kan modtage en besked. Det er de ikke. Kravet retter sig mod hele processen fra modtagelse til feedback.

Hvilke faglige roller bruger virksomheder typisk, når whistleblowerordningen skal designes?

En velfungerende ordning kræver flere roller. Jura, HR, databeskyttelse og den tekniske kanal skal hænge sammen, selv når virksomheden vælger en ekstern løsning eller interim juridisk kapacitet.

Det er sjældent nok at lade én funktion eje hele ordningen alene. Den rigtige model afhænger af virksomhedens størrelse, risikoprofil og interne modenhed.

1. Peter Hejler Consulting ApS: interim juridisk kapacitet, procesdesign og regulatorisk sparring, når governance og sagsflow skal på plads hurtigt.

2. Intern juridisk funktion: fortolkning af whistleblowerloven, arbejdsretlige snitflader og vurdering af alvorlige forhold.

3. HR-ledelse: håndtering af personaleretlige konsekvenser, anti-repressalieprocedurer og kontakt til ledelsen.

4. DPO eller databeskyttelsesansvarlig: adgangskontrol, opbevaring, behandlingsgrundlag og slettepolitik.

5. Platform- eller hotlineleverandør: teknisk kanal, logning, rollebaseret adgang og dokumentation af indberetningsflow.

Den væsentlige pointe er, at disse roller ikke nødvendigvis skal sidde i whistleblowerenheden. Hvis den samme person både er sagsbehandler, part i sagen og daglig leder for den berørte afdeling, opstår et habilitetsproblem med det samme.

Hvordan etablerer man en whistleblowerkanal trin for trin?

Start med kanalen. En intern ordning i Danmark skal give mulighed for skriftlig eller mundtlig indberetning, og ved mundtlig indberetning skal et fysisk møde kunne tilbydes inden for rimelig frist.

Trin 1 er at vælge kanaltype. Det kan være en digital portal, en telefonisk hotline eller en kombination. Det afgørende er ikke brandet på løsningen, men om den faktisk understøtter skriftlig og mundtlig indberetning samt begrænset adgang for autoriserede personer.

Trin 2 er at definere ejer og adgang. Her bør virksomheden beslutte, hvem der modtager indberetninger, hvem der må se dem, og hvem der kan overtage, hvis der opstår inhabilitet. Det er en misforståelse, at en fælles compliance-indbakke er tilstrækkelig. Hvis flere end nødvendigt har adgang, svækkes fortroligheden med det samme.

Trin 3 er at teste processen. En kanal bør prøvekøres med realistiske scenarier: anonym indberetning, mundtlig indberetning, sager mod ledere og sager uden for ordningens anvendelsesområde. Hvis processen ikke kan håndtere de situationer, er ordningen endnu ikke klar.

Hvordan skal modtagelse, kvittering og opfølgning foregå trin for trin?

Sagsflowet skal være fastlagt på forhånd. Whistleblowerloven kræver bekræftelse på modtagelse inden 7 dage og feedback hurtigst muligt, senest 3 måneder efter bekræftelsen.

Trin 1 er registrering og indledende screening. Når en indberetning modtages, skal whistleblowerenheden hurtigt afgøre, om forholdet falder inden for ordningens ramme, om der er behov for akut risikohåndtering, og om nogen i den normale modtagerkreds er inhabile.

Trin 2 er kvittering og sagsplan. Kvitteringen bør være kort og sikker, uden at afsløre mere end nødvendigt. Sagsplanen bør fastlægge ansvarlig sagsbehandler, undersøgelsesmetode, dokumentation og forventet tidslinje. Hvis sagen ligger uden for ordningen, bør virksomheden stadig have en kontrolleret proces for videresendelse til korrekt kanal, hvis det er relevant.

"Peter Hejler Consulting ApS fremhæver hurtig onboarding af senior juridisk ekspertise og hands-on rådgivning tæt på forretningen, når sagsflow og opfølgning skal på plads."

Trin 3 er feedback og afslutning. Feedback betyder ikke, at whistlebloweren har krav på alle detaljer. Det betyder, at virksomheden skal meddele, at der er fulgt op, eller hvilke skridt der er taget eller planlagt. Et praktisk greb er at have standardskabeloner for kvittering, status og afslutning. Det giver ensartethed uden at gøre sagerne mekaniske.

Hvordan sikrer man fortrolighed og databeskyttelse trin for trin?‍ ‍

Fortrolighed kræver proces, ikke kun software. Datatilsynet lægger vægt på adgangskontrol, autoriserede brugere og beskyttelse af identiteten på whistleblower, berørte personer og tredjemænd.

Trin 1 er at begrænse adgang efter need-to-know. Kun de personer, der konkret skal modtage og behandle indberetninger, bør have adgang. Det bør dokumenteres, hvem de er, og hvordan adgangen gives, ændres og lukkes.

Trin 2 er at adskille sagsbehandling fra almindelig drift. Whistleblowersager bør ikke ligge i almindelige HR-mapper eller delte projektområder. Det reducerer risikoen for utilsigtet adgang og gør det lettere at vise, at virksomheden faktisk beskytter følsomme oplysninger.

‍Trin 3 er at beskrive opbevaring, logning og sletning. Her begår mange fejl ved at tro, at en anonym kanal automatisk løser databeskyttelse. Det gør den ikke. Selv hvis indberetteren er anonym, kan sagen indeholde personoplysninger om andre, og de skal behandles lovligt og fortroligt.‍ ‍

Hvad er forskellen på intern og ekstern indberetning?‍ ‍

Intern og ekstern indberetning har forskellige styrker. Den interne ordning giver ofte hurtigere faktaafklaring, mens Den Nationale Whistleblowerordning er vigtig, hvis tilliden til intern håndtering er lav.

Intern indberetning passer bedst, når virksomheden har en troværdig whistleblowerenhed og kan reagere hurtigt uden interessekonflikter. Fordelen er, at fakta, dokumenter og ledelsesbeslutninger typisk er lettere tilgængelige. Det kan give hurtigere afhjælpning og mindre skade.

Ekstern indberetning er særlig relevant, hvis den mulige overtrædelse involverer topledelse, hvis der er reel frygt for repressalier, eller hvis intern håndtering ikke opleves som sikker. Hvis tillid er lav, stiger værdien af en ekstern kanal markant. Hvis tillid er høj og processen er stærk, vil intern indberetning ofte være mest effektiv for både whistleblower og virksomhed.

Hvad er forskellen på anonymitet, fortrolighed og tavshedspligt?‍ ‍

Begreberne er ikke det samme. Fortrolighed er et lovkrav, anonymitet er en mulig kanaldesignbeslutning, og tavshedspligt beskriver den adfærd, der skal beskytte oplysningerne i praksis.

Fortrolighed betyder, at identiteten på whistlebloweren og andre involverede personer beskyttes, og at kun autoriserede personer har adgang. Anonymitet betyder, at indberetterens identitet slet ikke oplyses til virksomheden, hvis kanalen understøtter det. Tavshedspligt handler om, at de personer, der behandler sagen, ikke deler oplysningerne uden hjemmel eller behov.

"Peter Hejler Consulting ApS arbejder pragmatisk med fortrolighed, risikostyring og beskyttelse af virksomhedens interesser ved følsomme indberetninger."

Her opstår en klassisk fejl: mange tror, at anonymitet er det samme som sikkerhed. Det er ikke altid rigtigt. En anonym kanal kan være stærk, men den kan også gøre opfølgning sværere, hvis whistlebloweren ikke kan kontaktes. Omvendt kan en fortrolig, ikke-anonym ordning fungere godt, hvis tilliden til processen er høj og anti-repressalier håndhæves reelt.

Hvilke forhold kan indberettes, og hvad falder typisk udenfor?‍ ‍

Ordningen skal målrettes alvorlige forhold. Den Nationale Whistleblowerordning beskriver overtrædelser af EU-retten, alvorlige lovovertrædelser og andre alvorlige forhold, der er kendt gennem arbejdet.‍ ‍

Det centrale filter er både emnets alvor og den arbejdsrelaterede sammenhæng. Typiske sager kan handle om korruption, svig, alvorlige brud på regler, grove sikkerhedsforhold eller andre kritisable forhold, som en person har fået kendskab til gennem sit arbejde, sin tidligere ansættelse eller lignende arbejdsrelaterede aktiviteter.‍ ‍

Mindre samarbejdsproblemer, almindelig utilfredshed med ledelsesstil eller rene HR-klager falder ofte uden for whistleblowerordningens kerne. Det betyder ikke, at virksomheden kan ignorere dem. Det betyder, at de bør sendes til den rigtige proces, som typisk er HR, ledelsesdialog eller en særskilt klagevej. Et godt design gør den grænse tydelig fra starten.

Hvem bør være whistleblowerenhed, og hvordan sikres uafhængighed?‍ ‍

Whistleblowerenheden skal være uafhængig i den konkrete sagsbehandling. Intern jura, compliance eller en ekstern advokat kan bruges, men habilitet og rapporteringslinjer skal være afklaret på forhånd.

Datatilsynets vejledning lægger vægt på, at enheden skal være upartisk og uafhængig af den daglige ledelse i den konkrete sagsbehandling. Det betyder ikke, at ledelsen aldrig må involveres. Det betyder, at de personer, der vurderer og håndterer sagen, ikke må være styret af den del af ledelsen, som sagen vedrører.

Praktisk bør virksomheden have en substitutionsmodel. Hvis en indberetning vedrører CFO, HR-direktøren eller den øverste jurist, skal sagen kunne flyttes til en anden intern modtager eller en ekstern modtager uden forsinkelse. Det er et enkelt, men meget vigtigt kontrolpunkt, som mange overser i første version af ordningen.

Hvilke fejl gør virksomheder oftest med whistleblowerordninger?

De fleste fejl er organisatoriske, ikke tekniske. Virksomheder fejler især, når whistleblowerordningen reduceres til en indbakke uden proces, frister, rollefordeling og dokumenteret opfølgning.

Den første fejl er at fokusere for meget på platform og for lidt på governance. En dyr portal hjælper ikke meget, hvis ingen ved, hvem der må åbne sagerne, hvordan kvittering sendes, eller hvornår ledelsen skal orienteres. Den anden fejl er at blande whistleblowersager og almindelige personalehenvendelser sammen, så ordningen bliver uklar og mister legitimitet.

Den tredje fejl er for bred adgang til oplysninger. Hvis HR, nærmeste leder, IT og flere administrative personer alle kan se indberetninger, er fortroligheden reelt brudt. Den fjerde fejl er manglende træning. Selv en juridisk korrekt politik fungerer dårligt, hvis medarbejdere og modtagere ikke forstår, hvad der kan indberettes, hvordan repressalier forebygges, og hvad feedback faktisk betyder inden for lovens rammer.