Oppfyller din virksomhet kravene til varslingskanal og varslingsrutiner?

I oktober 2019 ble «Varslingsdirektivet» vedtatt i EU. Fristen for å implementere direktivet i EU er satt til 17. desember 2021. I forbindelse med gjennomføringen vil en rekke virksomheter måtte stille seg spørsmålet om de oppfyller direktivets krav til varslingskanal og varslingsrutiner, og om de er rustet for at flere vil kunne få rollen som varsler.

Varsling i Norge

Etter arbeidsmiljøloven er norske arbeidsgivere forpliktet til å utarbeide varslingsrutiner, følge opp og undersøke varsler om kritikkverdige forhold, samt sikre at varslere har et fullt forsvarlig arbeidsmiljø. Disse forpliktelsene gjelder uavhengig av EUs varslingsdirektiv.

Ettersom Norge ikke er medlem av EU, vil derfor ikke fristen 17. desember og direktivet som sådan være av avgjørende betydning for norsk lovgivning. Frem til ytterligere klargjøringer og vurderinger av hvordan og eventuelt om Norge skal implementere hele eller deler av direktivet er foretatt, vil norske arbeidsgivere være forpliktet til å etterleve kravene til varsling etter arbeidsmiljøloven. Det er særlig utvidelsen av personkretsen i direktivet som potensielt vil kunne medføre at norske virksomheter må endre sine varslingsrutiner.

I tillegg vil virksomheter som utøver aktivitet på tvers av landegrenser i Europa være forpliktet til å følge direktivet i henhold til lokal rett, og det er viktig å sørge for at både norske og internasjonale forpliktelser etterleves, og det er viktig å sørge for at både norske og internasjonale forpliktelser etterleves.

Krav etter direktivet

Direktivet skal sørge for bedre håndheving av EU-retten innenfor spesifikke områder, herunder blant annet personvern, forbrukervern, finansielle tjenester og miljøvern. Implementeringen av direktivet vil medføre at kretsen av personer som kan få rollen som varsler utvides, sammenlignet med hvem som regnes som varslere etter arbeidsmiljøloven. For eksempel vil oppdragstakere, selvstendige næringsdrivende, leverandører og frivillige kunne få et varslingsvern, i motsetning til status i dag. Direktivet skal også sikre rettighetene til den eller de det varsles om, særlig hva gjelder taushetsplikt og vern om deres identitet.

Dersom man skal merke seg kun én ting om direktivet, er at alle private virksomheter med over 50 ansatte og alle offentlige virksomheter må etablere varslingskanal for virksomheten. Varslingskanalen kan være intern eller bli håndtert av en tredjepart. På nærmere vilkår kan det også kreves varslingsrutiner og varslingskanal for private virksomheter med under 50 ansatte.

Intern eller ekstern varslingskanal?

Hvorvidt virksomheten skal håndtere varslinger selv eller opprette en ekstern varslingskanal, avhenger av flere faktorer som f.eks. størrelsen på virksomheten, arten av saker og ressursene i selskapet. Det er mange virksomheter som opplever at det er krevende å drifte en egen varslingskanal og håndtere innkommende varslinger. Det stiller krav til tilpasning, tilrettelegging, administrasjon og vedlikehold av kanalen. Særlig utvidelsen av personkrets etter direktivet, vil kunne få store konsekvenser for den enkelte virksomhets mulighet til å håndtere varsler og varslingsprosesser internt. I tillegg kan det oppstå interessekonflikter og en risiko for å avsløre varslers identitet.

Deloitte Advokatfirma erfarer at flere virksomheter velger å benytte seg av adgangen til å etablere en ekstern varslingskanal. Fordelen er at håndtering, administrasjon og oppfølging av kanalen og varsler skjer gjennom en nøytral tredjepart. Tilbakemeldingene vi får er at både virksomheten og arbeidstakerne opplever det som effektivt, trygt og forsvarlig og at moderne varslingssystemer gir mulighet for å skape bedre dialog med varsler samtidig som man bevarer anonymitet. Vår vurdering er at arbeidsgivere som legger ned innsats i sine varslingssystemer, og aktivt foretar en vurdering av hvorvidt virksomhetens varslingssystem er bedre ivaretatt gjennom en ekstern varslingskanal, vil være bedre rustet til å håndtere og implementere eventuelle endringer i lys av direktivet. Ved å ha et solid fundament og system på plass vil endringer kunne gjennomføres effektivt, samtidig som virksomheten overholder sin aktivitetsplikt, og unngår erstatningskrav og omdømmetap.

Fem tips til å bli bedre rustet for varslingsdirektivet

Deloitte Advokatfirma har følgende fem tips til å bli bedre rustet for varslingsdirektivet:

1. Informer de ansatte om virksomhetens varslingsrutiner og sørg for tilstrekkelig opplæring av ledere for hvordan et varsel skal håndteres.
2. Sørg for at varslingskanalen er tilstrekkelig tilgjengelig og brukervennlig.
3. Vurder om varslingsrutinene og varslingskanalen er oppdaterte og i tilstrekkelig grad sikrer at virksomheten etterlever krav til saksbehandling, varslervern og behandling av personopplysninger.
4. Foreta en vurdering av hvorvidt virksomheten ønsker en intern eller ekstern varslingskanal. Ved å implementere en ekstern varslingskanal, kan en nøytral tredjepart håndtere mottak og oppfølging av varsler, samt sikre etterlevelse av de overnevnte momentene. Der Deloitte er ekstern varslingskanal for sine klienter kan vi også bistå med faktaundersøkelser og granskinger ved behov.
5. Hold deg oppdatert på hvilke beslutninger og endringer som fattes på bakgrunn av direktivet i Norge, og at eventuelle endringer kan implementeres i varslingskanal og varslingsrutiner på en effektiv måte.

Dersom din virksomhet allerede opplever utfordringer knyttet til etterlevelse av de overnevnte forpliktelsene, anbefaler vi en gjennomgang av varslingssystemet i virksomheten før eventuelle endringer trer i kraft på bakgrunn av direktivet. Ta kontakt med oss for en uforpliktende prat om hvordan vi kan bistå din bedrift til å bli bedre rustet for varslingsdirektivet.