Whistleblowerordninger | BOARD OFFICE

Whistleblowerordninger – governance, compliance og ESG i organisationer | BOARD OFFICE

Whistleblowerordninger

 

 

Whistleblowerordninger – governance, compliance og ESG i organisationer

En whistleblowerordning er en lovpligtig, sikker kanal, hvor medarbejdere og samarbejdspartnere fortroligt kan indberette alvorlige overtrædelser — uden risiko for repressalier. Siden 17. december 2021 er alle danske virksomheder med 250 eller flere ansatte forpligtet til at have en ordning. Virksomheder med 50–249 ansatte fulgte fra 17. december 2023. Grundlaget er EU-direktiv 2019/1937 og den danske lov nr. 1436 af 24. juni 2021 om beskyttelse af whistleblowere.

Nøglefakta om whistleblowerpligten i Danmark

EU-direktiv Direktiv (EU) 2019/1937 af 23. oktober 2019
Dansk lovgrundlag Lov nr. 1436 af 24. juni 2021 om beskyttelse af whistleblowere
Ikrafttrædelse (250+ ansatte) 17. december 2021
Ikrafttrædelse (50–249 ansatte) 17. december 2023
Hvem er omfattet Private virksomheder med 50+ ansatte og alle offentlige myndigheder
Ekstern ordning Datatilsynet (ekstern kanal som supplement til intern ordning)
Sanktioner Bøder og i alvorlige tilfælde straffelovens bestemmelser
ESG-placering Primært Governance (G) — understøtter også S og E
BOARD OFFICE løsning board-office.dk/whistleblower

En whistleblowerordning er ikke blot et lovkrav — den er et aktivt governance-redskab. Organisationer med velfungerende indberetningskanaler opdager potentielt skadelige forhold tidligere, dokumenterer opfølgning over for revisorer og myndigheder, og sender et klart signal til medarbejdere og samarbejdspartnere om en kultur med ansvar og transparens.

Lovgivning og krav: EU-direktivet og dansk implementering

EU's whistleblowerdirektiv (2019/1937) forpligter alle medlemsstater til at sikre, at personer der indberetter overtrædelser af EU-lovgivning, har adgang til fortrolige rapporteringskanaler og er beskyttet mod repressalier. Danmark implementerede direktivet i lov nr. 1436 af 24. juni 2021, der trådte i kraft 17. december 2021.

Tabel 1 — Hvem er omfattet, og hvornår?

Organisationstype Tærskel Frist Krav
Private virksomheder 250+ ansatte 17. dec. 2021 Intern whistleblowerordning
Private virksomheder 50–249 ansatte 17. dec. 2023 Intern whistleblowerordning
Offentlige myndigheder Alle (uanset størrelse) 17. dec. 2021 Intern whistleblowerordning
Alle organisationer Løbende Adgang til ekstern kanal hos Datatilsynet

Tabel 2 — Minimumskrav til en lovpligtig whistleblowerordning

Krav Beskrivelse Lovgrundlag
Sikker rapporteringskanal Fortrolig kanal der kan modtage skriftlige og mundtlige indberetninger Direktiv 2019/1937, art. 8-9
Dokumenteret procedure Klar proces for modtagelse, vurdering og opfølgning på indberetninger Direktiv 2019/1937, art. 9
Beskyttelse mod repressalier Whistleblowere må ikke fyres, degraderes eller på anden måde straffes Lov nr. 1436/2021, §§ 10-19
Anonymitetsmulighed Indberetninger skal kunne afgives anonymt — systemet må ikke kræve identifikation Direktiv 2019/1937, art. 6
Kvittering og opfølgning Kvittering senest 7 dage; tilbagemelding om opfølgning senest 3 måneder Direktiv 2019/1937, art. 9
Intern kommunikation Alle medarbejdere skal have tydelig information om ordningens formål og brug Direktiv 2019/1937, art. 7

Whistleblowerordningens rolle i ESG

Whistleblowerordninger er et centralt element i ESG-rapportering og governance-vurderinger. Investorer, kreditorer og ratingbureauer tillægger tilstedeværelsen af velfungerende indberetningskanaler stigende vægt — særligt under Governance (G), men ordningen understøtter også de sociale og miljømæssige dimensioner.

Tabel 3 — Whistleblowerordninger i ESG-rammen

ESG-dimension Whistleblowerordningens rolle Eksempler på indberetningsemner
Governance (G) Primær placering — robuste kontrolmekanismer, transparens, bestyrelsestilsyn og dokumenteret opfølgning Korruption, svig, regnskabsmanipulation, bestikkelse, magtmisbrug
Social (S) Styrker medarbejdertryghed og arbejdskultur — sikrer at sociale overtrædelser kan rapporteres fortroligt Diskrimination, chikane, mobning, brud på arbejdsrettigheder, sociale sikkerhedsbrud
Miljø (E) Giver mulighed for at indberette miljøovertrædelser, før de får større konsekvenser Ulovlige udledninger, manglende miljøgodkendelser, svigt i miljørapportering, overtrædelse af grænseværdier

Hvem er whistleblowerordninger relevante for?

Whistleblowerordninger berører hele organisationen — fra bestyrelsen, der har det overordnede governance-ansvar, til de medarbejdere og samarbejdspartnere, der skal bruge kanalen i praksis. Nedenstående tabel viser rollerne og deres primære interesser i ordningen.

Tabel 4 — Roller og interesser i whistleblowerordningen

Rolle Primær interesse Ansvar
Bestyrelse Governance-tilsyn, risikostyring, dokumentation over for myndigheder og revisorer Overordnet ansvar for at ordningen eksisterer og fungerer
Topledelse Strategisk håndtering af compliance-risici, kultursignalering Etablering, kommunikation og løbende evaluering
Compliance-funktion / DPO Procesejerskab, lovoverholdelse, GDPR-compliance i ordningens drift Procedurer, opfølgning, dokumentation
HR Medarbejdertryghed, anti-repressalie-håndtering, intern kommunikation Kulturformidling, uddannelse af ledere
Medarbejdere og samarbejdspartnere Fortrolig og tryg adgang til at indberette bekymringer Primære brugere af rapporteringskanalen
Revisorer og myndigheder Dokumentation for at ordningen opfylder lovkrav og er operationel Ekstern verifikation og tilsyn

Processen i praksis: fra indberetning til opfølgning

En lovpligtig whistleblowerordning er ikke blot en kanal til at modtage indberetninger — den kræver en dokumenteret, tidsbunden proces fra modtagelse til afslutning. Direktivets artikel 9 stiller specifikke krav til tidsfrister og procedurer.

Tabel 5 — De fire processer i en whistleblowerordning

Fase Indhold Tidsfrist
1. Modtagelse Indberetning modtages via sikker, fortrolig kanal — skriftligt, mundtligt eller anonymt Kvittering senest 7 dage
2. Vurdering og triage Ansvarlig enhed vurderer alvorlighed, relevans og korrekt opfølgningsproces Hurtigst muligt
3. Opfølgning og håndtering Sagen undersøges og håndteres af ledelse eller udpegede enheder med dokumentation Tilbagemelding senest 3 måneder
4. Afslutning og læring Resultater dokumenteres; relevante ændringer implementeres i styringsmekanismer Løbende

Whistleblowerordning med og uden central platform

Mange organisationer etablerer whistleblowerordninger med manuelle processer — e-mail, papirskemaer eller separate systemer uden for den øvrige governance-infrastruktur. Det skaber risiko for manglende sporbarhed, GDPR-problemer og vanskeligheder med at dokumentere overholdelse over for myndigheder og revisorer.

Tabel 6 — Med og uden central governance-platform

Område Uden central platform Med BOARD OFFICE
Fortrolighed Svær at garantere ved e-mail eller papirbaserede kanaler Krypteret, adgangsstyret kanal — AES-256, dansk hosting
Anonymitet Vanskelig at sikre teknisk ved e-mail (metadata, IP-adresser) Understøtter anonym indberetning
Sporbarhed Mangelfuld — svært at dokumentere modtagelse, vurdering og opfølgning Komplet audit-log med tidsstempler for alle handlinger
GDPR-compliance Risiko ved ukrypterede kanaler og uklar databehandling Integreret i ISAE 3000-certificeret databehandlingsinfrastruktur
Tidsfrister Manuel overvågning — risiko for at overskride 7-dages og 3-måneders frister Procesflow understøtter overholdelse af lovpligtige frister
Integration med governance Isoleret system — svært at koble til øvrig compliance og bestyrelsesrapportering Integreret med bestyrelsesportal, datarum og compliance-dokumentation

Praktiske anbefalinger

En whistleblowerordning lever eller dør med den organisationskultur, den er forankret i. Teknisk compliance er nødvendigt, men ikke tilstrækkeligt. For at drive en effektiv ordning anbefales det at:

  • Etabler tydelige politikker og procedurer — dokumentér hvem der modtager indberetninger, hvad der sker med dem, og hvem der er ansvarlig for opfølgning.
  • Kommunikér bredt og aktivt — alle medarbejdere og relevante samarbejdspartnere skal kende ordningen, dens formål og hvordan de bruger den. Passiv tilgængelighed er ikke nok.
  • Sikr teknisk anonymitet — brug en platform der teknisk understøtter anonym indberetning uden metadata-lækage, ikke blot en e-mail-adresse.
  • Uddann de ansvarlige — den enhed eller person, der modtager og vurderer indberetninger, skal være uddannet i fortrolig håndtering og kende reglerne for beskyttelse mod repressalier.
  • Overhold tidsfristerne — kvittering inden 7 dage og tilbagemelding inden 3 måneder er lovpligtige krav, ikke retningslinjer.
  • Evaluer løbende — ordningen bør gennemgås mindst én gang om året og opdateres, efterhånden som organisationen og lovgivningen udvikler sig.

BOARD OFFICE og whistleblowerfunktionen

BOARD OFFICE tilbyder en whistleblowerfunktion som en integreret del af bestyrelses- og governance-platformen. Det betyder, at organisationer kan etablere og drive en lovpligtig whistleblowerordning inden for den samme krypterede og GDPR-konforme infrastruktur, der allerede håndterer bestyrelsesdokumenter, referater og governance-processer — uden at skulle introducere et separat system med egne sikkerhedskrav og databehandleraftaler.

Whistleblowerfunktionen understøtter fortrolig og anonym indberetning, dokumenteret opfølgning og integration med organisationens øvrige compliance- og risikostyringsrammer. Alle indberetninger og processkridt logges med fuld sporbarhed, hvilket giver bestyrelsen og revisorer det dokumentationsgrundlag, der kræves for at påvise lovoverholdelse.

Sikkerhedsarkitekturen er den samme som på resten af platformen: AES-256-kryptering, dansk hosting hos ScanNet, ISAE 3402 Type 2-certificering via PwC og ISAE 3000-erklæring for GDPR-compliance. Læs mere om sikkerheden på den uddybende side om sikkerhed og certificeringer.

Whistleblowerfunktionen kan kombineres med de øvrige moduler på platformen: Datarum til sikker opbevaring af sagsrelateret dokumentation, BOARD Assistant til AI-drevet dokumentanalyse og BOARD Meet til fortrolige møder om sager.

Book en demo af BOARD OFFICE

Ofte stillede spørgsmål om whistleblowerordninger

Hvad er en whistleblowerordning?

En whistleblowerordning er en struktureret og sikker kanal, hvor medarbejdere, samarbejdspartnere og andre interessenter fortroligt kan indberette alvorlige overtrædelser af lovgivning eller interne politikker — uden risiko for repressalier. Ordningen er lovpligtig i Danmark for virksomheder med 50 eller flere ansatte.

Er whistleblowerordninger obligatoriske i Danmark?

Ja. Ifølge lov nr. 1436 af 24. juni 2021, der implementerer EU-direktiv 2019/1937, er private virksomheder med 250 eller flere ansatte forpligtet siden 17. december 2021, og virksomheder med 50–249 ansatte siden 17. december 2023. Alle offentlige myndigheder er også forpligtet uanset størrelse.

Hvad er EU-direktiv 2019/1937?

Direktiv (EU) 2019/1937 af 23. oktober 2019 er EU's whistleblowerdirektiv, der forpligter alle medlemsstater til at beskytte personer, der indberetter overtrædelser af EU-lovgivning. Direktivet stiller krav til fortrolige rapporteringskanaler, beskyttelse mod repressalier, anonymitetsmulighed og specifikke tidsfrister for opfølgning.

Hvem kan indberette via en whistleblowerordning?

Typisk ansatte, tidligere ansatte, jobansøgere, samarbejdspartnere, leverandører, aktionærer og andre med tilknytning til organisationen. Bredden af potentielle indberettere afhænger af ordningens konkrete design, men loven stiller krav om at mindst ansatte og samarbejdspartnere har adgang.

Hvad kan der indberettes om?

Alvorlige overtrædelser af EU-lovgivning eller dansk ret — herunder korruption, svig, regnskabsmanipulation, bestikkelse, diskrimination, chikane, miljøovertrædelser og brud på databeskyttelsesregler. Organisationer kan også vælge at udvide ordningen til at dække overtrædelser af interne politikker.

Skal ordningen tillade anonym indberetning?

Ja. Direktivets artikel 6 kræver, at ordningen kan modtage anonyme indberetninger. Det stiller tekniske krav til kanalen — en simpel e-mail-adresse er typisk ikke tilstrækkelig, da e-mail indeholder metadata, der kan afsløre afsenderens identitet.

Hvad er tidsfristerne i loven?

Direktivet (art. 9) kræver, at whistlebloweren modtager en kvittering senest 7 dage efter indberetningen, og en tilbagemelding om opfølgning senest 3 måneder efter kvitteringen. Disse frister er lovpligtige og skal kunne dokumenteres.

Hvad er beskyttelse mod repressalier?

Lov nr. 1436/2021 §§ 10-19 forbyder enhver form for gengældelse mod whistleblowere — herunder afskedigelse, degradering, lønnedsættelse, chikane eller diskrimination. Bevisbyrden er omvendt: det er arbejdsgiveren, der skal bevise, at en negativ handling ikke er en repressalie mod en indberetning.

Hvad er sanktionerne for manglende overholdelse?

Virksomheder, der ikke har etableret en lovpligtig whistleblowerordning, kan pålægges bøder. I alvorlige tilfælde kan straffelovens bestemmelser finde anvendelse. Manglende ordning eller manglende beskyttelse af whistleblowere kan desuden medføre civilt erstatningsansvar over for den krænkede part.

Hvad er Datatilsynets rolle i whistleblowing?

Datatilsynet driver en ekstern whistleblowerkanal, som alle kan bruge som supplement til den interne ordning. Datatilsynet har desuden tilsynsansvar for, at whistleblowerordningernes behandling af persondata sker i overensstemmelse med GDPR.

Hvad er sammenhængen mellem whistleblowerordninger og GDPR?

Driften af en whistleblowerordning involverer behandling af persondata — både om den indberettende person og om den person, der indberettes om. Behandlingen skal ske i overensstemmelse med GDPR (forordning (EU) 2016/679), herunder krav til dataminimering, formålsbegrænsning, sikkerhed og slettefrister.

Hvad har whistleblowerordninger med ESG at gøre?

Whistleblowerordninger er et centralt element i ESG-vurderinger, primært under Governance (G). Investorer, kreditorer og ratingbureauer vurderer tilstedeværelsen og effektiviteten af indberetningskanaler som en indikator for organisationens governance-modenhed. En velfungerende ordning bidrager desuden til Social (S) ved at styrke medarbejdertrygheden og til Miljø (E) ved at muliggøre indberetning af miljøovertrædelser.

Kan en whistleblowerordning deles af flere virksomheder?

Ja. For private virksomheder med 50–249 ansatte tillader direktivet, at de deler en fælles intern rapporteringskanal med andre virksomheder i samme koncern eller branche. Virksomheder med 250 eller flere ansatte skal have en selvstændig ordning.

Hvad er kravene til den ansvarlige enhed i en whistleblowerordning?

Den enhed eller person, der modtager og håndterer indberetninger, skal være uafhængig, uddannet og udstyret til at håndtere sagerne fortroligt. Det kan være en intern compliance-funktion, en HR-funktion eller en ekstern betroet tredjepart. Anonymitet over for alle andre end den ansvarlige enhed skal sikres.

Hvordan indgår whistleblowerordninger i bestyrelsens governance-ansvar?

Bestyrelsen har det overordnede ansvar for, at organisationen har en velfungerende whistleblowerordning. Det indebærer at sikre, at ordningen er etableret og kommunikeret, at der sker opfølgning på indberetninger, og at ordningen evalueres løbende. En ordning integreret i governance-platformen giver bestyrelsen direkte adgang til status og dokumentation.

Understøtter BOARD OFFICE anonym indberetning?

Ja. BOARD OFFICEs whistleblowerfunktion er designet til at understøtte anonym indberetning inden for en krypteret og GDPR-konform infrastruktur, uden at metadata eller brugeridentifikation kompromitterer anonymiteten.

Kilder og regulatoriske referencer

  • Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten. eur-lex.europa.eu
  • Lov nr. 1436 af 24. juni 2021 om beskyttelse af whistleblowere (Danmark). retsinformation.dk
  • Justitsministeriet. Vejledning om whistleblowerordninger på private arbejdspladser (december 2021). justitsministeriet.dk
  • Datatilsynet. Whistleblowerordning — ekstern rapporteringskanal. datatilsynet.dk
  • Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (GDPR). eur-lex.europa.eu
  • BOARD OFFICE. Whistleblower. board-office.dk/whistleblower

Se artikler