Baggrund og juridisk kontekst
Whistleblowerloven (Lov nr. 1436 af 29/06/2021) bygger på EU's direktiv 2019/1937 om beskyttelse af personer, der indberetter overtrædelser af EU-retten. Danmark valgte at gå videre end direktivets minimumskrav ved også at omfatte indberetninger om alvorlige overtrædelser af dansk lovgivning og andre alvorlige forhold.
Formålet med loven er at skabe trygge kanaler for medarbejdere og andre personer til at indberette om alvorlige forhold uden frygt for repressalier. Ved at fremme tidlig indberetning kan organisationer opdage og afhjælpe problemer, før de eskalerer til alvorlige skader for virksomheden, dens medarbejdere eller samfundet som helhed.
Datatilsynet fører tilsyn med, at virksomheder og organisationer med 50 eller flere ansatte etablerer interne indberetningskanaler i overensstemmelse med loven. Datatilsynet kan udstede påbud og træffe foranstaltninger, hvis organisationer ikke opfylder deres forpligtelser. Justitsministeriet er den overordnede ansvarlige myndighed for lovens administration.
Vigtigt Alle arbejdsgivere med 50 eller flere ansatte er forpligtede til at have interne indberetningskanaler på plads. Manglende etablering af sådanne kanaler kan medføre bøder og andre sanktioner.
Hvem er omfattet af loven?
Whistleblowerloven gælder for et bredt spektrum af organisationer inden for både den private og den offentlige sektor. Beskyttelsen gælder ikke kun ansatte, men også konsulenter, frivillige, praktikanter, aktionærer og personer i ledelsen.
Privat sektor
Alle private virksomheder med 50 eller flere ansatte er forpligtede til at etablere interne indberetningskanaler. Dette omfatter aktieselskaber, anpartsselskaber, interessentskaber og andre juridiske enheder. Virksomheder med 250 eller flere ansatte skulle have deres kanaler på plads senest den 17. december 2021, mens virksomheder med 50 til 249 ansatte fik en forlænget frist til den 17. december 2023. Mindre virksomheder kan frivilligt vælge at oprette indberetningskanaler, hvilket anbefales som god praksis.
Offentlig sektor
Alle kommuner, regioner og statslige myndigheder med 50 eller flere ansatte er omfattet af loven. Offentlige arbejdsgivere har de samme forpligtelser som private, når det gælder etablering af interne indberetningskanaler, bekræftelse af modtagelse af indberetninger og afgivelse af feedback til indberettende personer. Den offentlige sektor har desuden et særligt ansvar for at sikre, at indberetningskanaler er tilgængelige, og at beskyttelsen af whistleblowere opretholdes i overensstemmelse med offentlighedsloven og reglerne om aktindsigt.
Krav til interne indberetningskanaler
Loven stiller detaljerede krav til, hvordan interne indberetningskanaler skal udformes og drives. Følgende krav skal opfyldes for at sikre overholdelse:
- Kanalen skal muliggøre indberetning både skriftligt og mundtligt, og på anmodning gennem fysiske møder inden for en rimelig frist.
- Indberettende personer skal kunne indberette anonymt, hvis de ønsker det. Anonymiteten skal beskyttes gennem hele processen.
- Modtagelse af en indberetning skal bekræftes over for den indberettende person inden for syv dage fra modtagelsen.
- Feedback om, hvilke foranstaltninger der er truffet, skal gives inden for tre måneder fra bekræftelsen af modtagelsen.
- En eller flere uafhængige og upartiske personer eller enheder skal udpeges som ansvarlige for at modtage, følge op på og give feedback på indberetninger.
- Klar og let tilgængelig information om indberetningsproceduren skal være tilgængelig for alle potentielle indberettende personer.
- Alle personoplysninger, der behandles i forbindelse med indberetningen, skal håndteres i overensstemmelse med databeskyttelsesforordningen (GDPR) og supplerende dansk lovgivning.
- Dokumentation og registre over modtagne indberetninger skal opbevares i overensstemmelse med lovens krav og databeskyttelsesreglerne.
- Kanalen skal være sikker og fortrolig, og uautoriserede personer må ikke have adgang til indberettede oplysninger.
- Arbejdsgiveren skal sikre, at de personer, der håndterer indberetninger, har passende uddannelse og kompetence til at varetage opgaven.
Frister for implementering
| Handling | Frist |
|---|---|
| Virksomheder med 250+ ansatte skal have interne kanaler | 17. december 2021 |
| Virksomheder med 50-249 ansatte skal have interne kanaler | 17. december 2023 |
| Bekræftelse af modtagelse til indberettende person | Inden for 7 dage |
| Feedback om trufne foranstaltninger | Inden for 3 måneder |
| Offentlige arbejdsgivere med 50+ ansatte | 17. december 2023 |
Organisationer, der endnu ikke har implementeret interne indberetningskanaler, bør handle omgående for at undgå sanktioner. Datatilsynet gennemfører løbende tilsyn og kan til enhver tid kontrollere, at kravene overholdes.
Sanktioner ved manglende overholdelse
Hvad sker der, hvis din virksomhed ikke opfylder kravene?
- • Virksomheder, der ikke etablerer interne indberetningskanaler som krævet af loven, kan straffes med bøde. Bødeniveauet fastsættes under hensyntagen til virksomhedens størrelse og overtrædelsens karakter.
- • Repressalier mod en indberettende person er forbudt og kan medføre erstatningsansvar. Den, der udsætter en whistleblower for repressalier, kan blive pålagt at betale godtgørelse for den skade, der er opstået.
- • Den, der hindrer eller forsøger at hindre indberetning, kan straffes med bøde. Dette gælder også forsøg på at identificere en anonym indberettende person.
- • Brud på fortroligheden vedrørende en indberettende persons identitet kan medføre strafansvar efter gældende lovgivning.
- • Datatilsynet kan udstede påbud om, at virksomheden bringer sine forhold i overensstemmelse med loven inden for en fastsat frist.
- • Ved gentagne eller alvorlige overtrædelser kan myndighederne træffe yderligere foranstaltninger, herunder offentliggørelse af overtrædelsen, hvilket kan medføre betydelig omdømmeskade for virksomheden.
Ud over de juridiske sanktioner risikerer organisationer, der ikke opfylder kravene, betydelig skade på deres omdømme og deres evne til at tiltrække og fastholde kompetente medarbejdere.
Beskyttelse af whistleblowere
Whistleblowerloven giver en stærk beskyttelse for personer, der indberetter om overtrædelser og alvorlige forhold. Beskyttelsen omfatter flere dimensioner og har til formål at sikre, at ingen, der indberetter i god tro, skal udsættes for negative konsekvenser.
- ✕Forbud mod repressalier: Arbejdsgivere og andre må ikke udsætte en indberettende person for repressalier som afskedigelse, degradering, omplacering, lønnedsættelse, chikane eller andre negative foranstaltninger som følge af indberetningen.
- ✕Omvendt bevisbyrde: Hvis en indberettende person gør gældende, at vedkommende er blevet udsat for repressalier, er det arbejdsgiveren, der har bevisbyrden for, at foranstaltningen ikke var en følge af indberetningen.
- ✕Fortrolighedsbeskyttelse: Den indberettende persons identitet skal beskyttes og må ikke afsløres uden personens udtrykkelige samtykke, undtagen i tilfælde, hvor det kræves efter loven.
- ✕Erstatningsbeskyttelse: En indberettende person, der udsættes for repressalier, har ret til godtgørelse og erstatning. Erstatningen skal dække både økonomisk og ikke-økonomisk skade.
- ✕Ansvarsfrihed: En indberettende person, der i forbindelse med indberetningen tilsidesætter en tavshedspligt, skal ikke holdes ansvarlig herfor, forudsat at personen havde rimelig grund til at tro, at indberetningen var nødvendig for at afsløre forholdet.
- ✕Beskyttelse af hjælpere: Beskyttelsen gælder også for personer, der bistår den indberettende person, for eksempel faglige repræsentanter eller kolleger, der hjælper med indberetningen.
- ✕Beskyttelse mod diskrimination: En indberettende person beskyttes også mod indirekte diskrimination og subtile former for negativ behandling, der kan knyttes til indberetningen.
Beskyttelsen gælder under forudsætning af, at den indberettende person på tidspunktet for indberetningen havde rimelig grund til at antage, at oplysningerne om forholdene var korrekte. Beskyttelsen gælder ikke for oplysninger, som personen ved er usande.
Trin til at opnå overholdelse
Kortlæg jeres situation
Fastslå, hvor mange ansatte jeres organisation har, og hvilke frister der gælder. Identificer eksisterende indberetningskanaler og vurder, om de opfylder lovens krav.
Udpeg ansvarlig funktion
Identificer og udpeg en eller flere uafhængige personer eller en enhed, der skal være ansvarlig for at modtage, følge op på og give feedback på indberetninger.
Vælg en sikker indberetningskanal
Implementer en digital indberetningsløsning, der opfylder kravene til fortrolighed, anonymitet og sikkerhed. Sørg for, at kanalen muliggør både skriftlig og mundtlig indberetning.
Udarbejd procedurer og retningslinjer
Dokumenter proceduren for indberetning, herunder hvordan indberetninger modtages, bekræftes, undersøges og følges op. Fastlæg tidsrammer i overensstemmelse med loven.
Informer alle berørte
Sørg for, at alle medarbejdere, konsulenter og andre potentielle indberettende personer informeres om indberetningskanalen og dens funktion. Gør informationen let tilgængelig.
Uddan det personale, der håndterer indberetninger
Giv de personer, der er ansvarlige for at håndtere indberetninger, uddannelse i lovens krav, databeskyttelse, undersøgelsesmetoder og fortrolig håndtering af følsomme oplysninger.
Sikr databeskyttelsesoverholdelse
Gennemfør en konsekvensanalyse vedrørende databeskyttelse (DPIA), hvis det er nødvendigt, og sørg for, at al behandling af personoplysninger i indberetningsprocessen opfylder GDPR's krav.
Test og evaluer
Gennemfør tests af indberetningskanalen for at sikre, at den fungerer korrekt. Evaluer og forbedr procedurerne løbende baseret på erfaringer og eventuelle lovændringer.
Sådan kan Whistlebox hjælpe dig
Whistlebox tilbyder en komplet digital løsning til at opfylde kravene i den danske whistleblowerlov. Vores platform er designet til at gøre det enkelt, sikkert og omkostningseffektivt at etablere og drive en intern indberetningskanal, der opfylder alle lovkrav.