Ett visselblåsarsystem är en intern rapporteringskanal och process som gör det möjligt för personer att rapportera missförhållanden i en organisation enligt EU:s visselblåsardirektiv (2019/1937).
Guide till visselblåsarsystem enligt EU:s visselblåsardirektiv. Så skapar du en säker rapporteringskanal, intern process och korrekt uppföljning.
Kraven på visselblåsning enligt EU:s direktiv
EU:s visselblåsardirektiv (2019/1937) ställer krav på att organisationer inför interna rapporteringskanaler och rutiner för att hantera rapporter om missförhållanden i arbetsrelaterade sammanhang. Reglerna gäller bland annat organisationer med minst 50 anställda, offentliga verksamheter samt vissa reglerade sektorer.
Direktivet kräver i huvudsak att organisationer har:
- en säker intern rapporteringskanal
- en utsedd funktion som tar emot och följer upp rapporter
- rutiner för uppföljning och återkoppling
- skydd för visselblåsarens identitet och konfidentialitet
Det är viktigt att förstå att direktivet inte kräver att organisationer inför ett specifikt digitalt visselblåsarsystem. Lagen kräver en fungerande och säker rapporteringskanal, men tekniken som används kan variera. Rapporter ska kunna lämnas skriftligt, muntligt via telefon eller genom ett fysiskt möte om rapportören begär det.
Det innebär att många organisationer kan uppfylla direktivets krav utan att investera i stora och komplexa system.
Små organisationer behöver inte dyra visselblåsarsystem
När organisationer börjar arbeta med visselblåsning är en vanlig uppfattning att man måste köpa ett omfattande visselblåsarsystem. Många kommersiella lösningar är dock utvecklade för mycket stora organisationer och kan vara både kostsamma och svåra att implementera.
EU:s regelverk fokuserar i stället på säkerhet, konfidentialitet och korrekt hantering av rapporter. För många organisationer räcker därför en enklare lösning där man kombinerar:
- en säker digital rapporteringskanal
- krypterad kommunikation vid uppföljning
- tydliga interna rutiner för hantering av rapporter
En sådan modell kan vara fullt tillräcklig för att uppfylla kraven i EU:s visselblåsardirektiv, så länge kanalen skyddar rapportörens identitet och endast behöriga personer får tillgång till informationen.
Så skapar du en enkel visselblåsarlösning i praktiken
En praktisk och kostnadseffektiv lösning kan byggas med tre komponenter:
- en säker rapporteringskanal
- säker kommunikation vid uppföljning
- en tydlig intern organisation och process
1. Rapportering via säkra webbformulär
En vanlig metod för att skapa en digital visselblåsarkanal är att använda säkra webbformulär från ANON::form.
Tjänsten är utvecklad för att samla in känslig information via webben med hög säkerhet. Uppgifter krypteras redan i rapportörens webbläsare innan de skickas vidare till organisationen. Informationen levereras sedan via krypterad e-post till den utsedda mottagaren.
Med en sådan lösning kan organisationen:
- publicera en visselblåsarsida på sin webbplats
- ta emot rapporter anonymt eller med kontaktuppgifter
- ta emot rapporter direkt i en säker e-postmiljö
Rapporteringskanalen ska vara utformad så att visselblåsarens identitet och innehållet i rapporten endast är tillgängligt för behöriga personer. Detta är ett centralt krav i EU:s visselblåsardirektiv.
Säkra formulär kan därför fungera som en del av en lösning som uppfyller kraven i direktivet, så länge organisationen även har en korrekt intern process för hantering av rapporter.
2. Säker kommunikation vid uppföljning
När en rapport har kommit in behöver organisationen kunna kommunicera säkert med visselblåsaren om personen har lämnat kontaktuppgifter.
Ett enkelt sätt att göra detta är att använda den krypterade e-posttjänsten Proton Mail. Tjänsten använder end-to-end-kryptering och så kallad zero-access-kryptering, vilket innebär att endast avsändare och mottagare kan läsa innehållet i meddelanden.
En viktig funktion är att Proton även kan skicka krypterade meddelanden till mottagare som inte använder Proton. I sådana fall får mottagaren ett e-postmeddelande med en säker länk till ett skyddat meddelandefönster där innehållet kan läsas efter att ett lösenord har angetts. Mottagaren kan också svara direkt i detta skyddade gränssnitt.
Det gör att organisationen kan upprätthålla säker kommunikation även när mottagaren använder en vanlig e-posttjänst.
3. Intern organisation och process
Den tekniska rapporteringskanalen är bara en del av ett fungerande visselblåsarsystem. Organisationen måste också ha en tydlig intern struktur för hur rapporter tas emot och hanteras.
Utse en ansvarig funktion
Direktivet kräver att organisationen utser en person eller funktion som ansvarar för att ta emot rapporter och följa upp dem. Det kan exempelvis vara:
- HR
- juridik
- compliance
- ett särskilt visselblåsarteam
I många organisationer räcker ett litet team på två till tre personer.
Skapa en arbetsprocess
En enkel arbetsprocess för visselblåsarärenden kan innehålla följande steg:
- mottagning av rapport
- registrering och initial bedömning
- bekräftelse till visselblåsaren inom 7 dagar
- eventuell intern eller extern utredning
- beslut om åtgärder
- återkoppling till visselblåsaren inom högst tre månader från bekräftelsen
- dokumentation och avslut
Dessa tidsfrister följer direktivets krav på återkoppling och uppföljning.
Inför en visselblåsarpolicy
Organisationen bör även ha en tydlig visselblåsarpolicy som beskriver:
- vad som kan rapporteras
- hur rapporteringen går till
- vem som hanterar rapporterna
- hur konfidentialitet och anonymitet skyddas
- hur uppföljning och återkoppling sker
En sådan policy fungerar både som intern instruktion och som information till personer som vill rapportera missförhållanden.
I ANON::forms LITE-abonnemang genereras dessutom automatiskt en grundpolicy, vilket kan hjälpa organisationer att snabbt etablera den dokumentation som krävs för ett fungerande visselblåsarsystem.
Vad granskar myndigheter vid compliance
När tillsynsmyndigheter granskar organisationers visselblåsarsystem fokuserar de i regel på några centrala faktorer:
- finns det en intern rapporteringskanal
- skyddas visselblåsarens identitet och konfidentialitet
- finns det en utsedd funktion som hanterar rapporter
- följs tidsfristerna för bekräftelse och återkoppling
- finns det rutiner som förhindrar repressalier
Det är alltså främst organisationens processer och skyddsmekanismer som granskas, inte vilken teknisk plattform som används.
Sammanfattning: en enkel och kostnadseffektiv visselblåsarlösning
EU:s visselblåsardirektiv kräver att organisationer erbjuder en säker kanal för rapportering av missförhållanden och att rapporter hanteras enligt tydliga och konfidentiella processer.
För många organisationer kan en enkel modell vara fullt tillräcklig:
- säkra webbformulär från ANON::form som rapporteringskanal
- krypterad kommunikation via Proton Mail
- ett litet internt visselblåsarteam
- en tydlig visselblåsarpolicy och arbetsprocess
Med rätt rutiner kan denna modell utgöra en praktisk och kostnadseffektiv visselblåsarlösning enligt EU:s visselblåsardirektiv.
För organisationer som ansvarar för upphandling eller införande av visselblåsarsystem kan därför ANON::form vara ett enkelt sätt att etablera en säker visselblåsarkanal utan att införa ett stort och komplext system.