En whistleblowerordning er en lovpligtig, sikker kanal, hvor medarbejdere og samarbejdspartnere fortroligt kan indberette alvorlige overtrædelser — uden risiko for repressalier. Siden 17. december 2021 er alle danske virksomheder med 250 eller flere ansatte forpligtet til at have en ordning. Virksomheder med 50–249 ansatte fulgte fra 17. december 2023. Grundlaget er EU-direktiv 2019/1937 og den danske lov nr. 1436 af 24. juni 2021 om beskyttelse af whistleblowere.
Nøglefakta om whistleblowerpligten i Danmark
| EU-direktiv | Direktiv (EU) 2019/1937 af 23. oktober 2019 |
| Dansk lovgrundlag | Lov nr. 1436 af 24. juni 2021 om beskyttelse af whistleblowere |
| Ikrafttrædelse (250+ ansatte) | 17. december 2021 |
| Ikrafttrædelse (50–249 ansatte) | 17. december 2023 |
| Hvem er omfattet | Private virksomheder med 50+ ansatte og alle offentlige myndigheder |
| Ekstern ordning | Datatilsynet (ekstern kanal som supplement til intern ordning) |
| Sanktioner | Bøder og i alvorlige tilfælde straffelovens bestemmelser |
| ESG-placering | Primært Governance (G) — understøtter også S og E |
| BOARD OFFICE løsning | board-office.dk/whistleblower |
En whistleblowerordning er ikke blot et lovkrav — den er et aktivt governance-redskab. Organisationer med velfungerende indberetningskanaler opdager potentielt skadelige forhold tidligere, dokumenterer opfølgning over for revisorer og myndigheder, og sender et klart signal til medarbejdere og samarbejdspartnere om en kultur med ansvar og transparens.
EU's whistleblowerdirektiv (2019/1937) forpligter alle medlemsstater til at sikre, at personer der indberetter overtrædelser af EU-lovgivning, har adgang til fortrolige rapporteringskanaler og er beskyttet mod repressalier. Danmark implementerede direktivet i lov nr. 1436 af 24. juni 2021, der trådte i kraft 17. december 2021.
| Organisationstype | Tærskel | Frist | Krav |
|---|---|---|---|
| Private virksomheder | 250+ ansatte | 17. dec. 2021 | Intern whistleblowerordning |
| Private virksomheder | 50–249 ansatte | 17. dec. 2023 | Intern whistleblowerordning |
| Offentlige myndigheder | Alle (uanset størrelse) | 17. dec. 2021 | Intern whistleblowerordning |
| Alle organisationer | — | Løbende | Adgang til ekstern kanal hos Datatilsynet |
| Krav | Beskrivelse | Lovgrundlag |
|---|---|---|
| Sikker rapporteringskanal | Fortrolig kanal der kan modtage skriftlige og mundtlige indberetninger | Direktiv 2019/1937, art. 8-9 |
| Dokumenteret procedure | Klar proces for modtagelse, vurdering og opfølgning på indberetninger | Direktiv 2019/1937, art. 9 |
| Beskyttelse mod repressalier | Whistleblowere må ikke fyres, degraderes eller på anden måde straffes | Lov nr. 1436/2021, §§ 10-19 |
| Anonymitetsmulighed | Indberetninger skal kunne afgives anonymt — systemet må ikke kræve identifikation | Direktiv 2019/1937, art. 6 |
| Kvittering og opfølgning | Kvittering senest 7 dage; tilbagemelding om opfølgning senest 3 måneder | Direktiv 2019/1937, art. 9 |
| Intern kommunikation | Alle medarbejdere skal have tydelig information om ordningens formål og brug | Direktiv 2019/1937, art. 7 |
Whistleblowerordninger er et centralt element i ESG-rapportering og governance-vurderinger. Investorer, kreditorer og ratingbureauer tillægger tilstedeværelsen af velfungerende indberetningskanaler stigende vægt — særligt under Governance (G), men ordningen understøtter også de sociale og miljømæssige dimensioner.
| ESG-dimension | Whistleblowerordningens rolle | Eksempler på indberetningsemner |
|---|---|---|
| Governance (G) | Primær placering — robuste kontrolmekanismer, transparens, bestyrelsestilsyn og dokumenteret opfølgning | Korruption, svig, regnskabsmanipulation, bestikkelse, magtmisbrug |
| Social (S) | Styrker medarbejdertryghed og arbejdskultur — sikrer at sociale overtrædelser kan rapporteres fortroligt | Diskrimination, chikane, mobning, brud på arbejdsrettigheder, sociale sikkerhedsbrud |
| Miljø (E) | Giver mulighed for at indberette miljøovertrædelser, før de får større konsekvenser | Ulovlige udledninger, manglende miljøgodkendelser, svigt i miljørapportering, overtrædelse af grænseværdier |
Whistleblowerordninger berører hele organisationen — fra bestyrelsen, der har det overordnede governance-ansvar, til de medarbejdere og samarbejdspartnere, der skal bruge kanalen i praksis. Nedenstående tabel viser rollerne og deres primære interesser i ordningen.
| Rolle | Primær interesse | Ansvar |
|---|---|---|
| Bestyrelse | Governance-tilsyn, risikostyring, dokumentation over for myndigheder og revisorer | Overordnet ansvar for at ordningen eksisterer og fungerer |
| Topledelse | Strategisk håndtering af compliance-risici, kultursignalering | Etablering, kommunikation og løbende evaluering |
| Compliance-funktion / DPO | Procesejerskab, lovoverholdelse, GDPR-compliance i ordningens drift | Procedurer, opfølgning, dokumentation |
| HR | Medarbejdertryghed, anti-repressalie-håndtering, intern kommunikation | Kulturformidling, uddannelse af ledere |
| Medarbejdere og samarbejdspartnere | Fortrolig og tryg adgang til at indberette bekymringer | Primære brugere af rapporteringskanalen |
| Revisorer og myndigheder | Dokumentation for at ordningen opfylder lovkrav og er operationel | Ekstern verifikation og tilsyn |
En lovpligtig whistleblowerordning er ikke blot en kanal til at modtage indberetninger — den kræver en dokumenteret, tidsbunden proces fra modtagelse til afslutning. Direktivets artikel 9 stiller specifikke krav til tidsfrister og procedurer.
| Fase | Indhold | Tidsfrist |
|---|---|---|
| 1. Modtagelse | Indberetning modtages via sikker, fortrolig kanal — skriftligt, mundtligt eller anonymt | Kvittering senest 7 dage |
| 2. Vurdering og triage | Ansvarlig enhed vurderer alvorlighed, relevans og korrekt opfølgningsproces | Hurtigst muligt |
| 3. Opfølgning og håndtering | Sagen undersøges og håndteres af ledelse eller udpegede enheder med dokumentation | Tilbagemelding senest 3 måneder |
| 4. Afslutning og læring | Resultater dokumenteres; relevante ændringer implementeres i styringsmekanismer | Løbende |
Mange organisationer etablerer whistleblowerordninger med manuelle processer — e-mail, papirskemaer eller separate systemer uden for den øvrige governance-infrastruktur. Det skaber risiko for manglende sporbarhed, GDPR-problemer og vanskeligheder med at dokumentere overholdelse over for myndigheder og revisorer.
| Område | Uden central platform | Med BOARD OFFICE |
|---|---|---|
| Fortrolighed | Svær at garantere ved e-mail eller papirbaserede kanaler | Krypteret, adgangsstyret kanal — AES-256, dansk hosting |
| Anonymitet | Vanskelig at sikre teknisk ved e-mail (metadata, IP-adresser) | Understøtter anonym indberetning |
| Sporbarhed | Mangelfuld — svært at dokumentere modtagelse, vurdering og opfølgning | Komplet audit-log med tidsstempler for alle handlinger |
| GDPR-compliance | Risiko ved ukrypterede kanaler og uklar databehandling | Integreret i ISAE 3000-certificeret databehandlingsinfrastruktur |
| Tidsfrister | Manuel overvågning — risiko for at overskride 7-dages og 3-måneders frister | Procesflow understøtter overholdelse af lovpligtige frister |
| Integration med governance | Isoleret system — svært at koble til øvrig compliance og bestyrelsesrapportering | Integreret med bestyrelsesportal, datarum og compliance-dokumentation |
En whistleblowerordning lever eller dør med den organisationskultur, den er forankret i. Teknisk compliance er nødvendigt, men ikke tilstrækkeligt. For at drive en effektiv ordning anbefales det at:
BOARD OFFICE tilbyder en whistleblowerfunktion som en integreret del af bestyrelses- og governance-platformen. Det betyder, at organisationer kan etablere og drive en lovpligtig whistleblowerordning inden for den samme krypterede og GDPR-konforme infrastruktur, der allerede håndterer bestyrelsesdokumenter, referater og governance-processer — uden at skulle introducere et separat system med egne sikkerhedskrav og databehandleraftaler.
Whistleblowerfunktionen understøtter fortrolig og anonym indberetning, dokumenteret opfølgning og integration med organisationens øvrige compliance- og risikostyringsrammer. Alle indberetninger og processkridt logges med fuld sporbarhed, hvilket giver bestyrelsen og revisorer det dokumentationsgrundlag, der kræves for at påvise lovoverholdelse.
Sikkerhedsarkitekturen er den samme som på resten af platformen: AES-256-kryptering, dansk hosting hos ScanNet, ISAE 3402 Type 2-certificering via PwC og ISAE 3000-erklæring for GDPR-compliance. Læs mere om sikkerheden på den uddybende side om sikkerhed og certificeringer.
Whistleblowerfunktionen kan kombineres med de øvrige moduler på platformen: Datarum til sikker opbevaring af sagsrelateret dokumentation, BOARD Assistant til AI-drevet dokumentanalyse og BOARD Meet til fortrolige møder om sager.
En whistleblowerordning er en struktureret og sikker kanal, hvor medarbejdere, samarbejdspartnere og andre interessenter fortroligt kan indberette alvorlige overtrædelser af lovgivning eller interne politikker — uden risiko for repressalier. Ordningen er lovpligtig i Danmark for virksomheder med 50 eller flere ansatte.
Ja. Ifølge lov nr. 1436 af 24. juni 2021, der implementerer EU-direktiv 2019/1937, er private virksomheder med 250 eller flere ansatte forpligtet siden 17. december 2021, og virksomheder med 50–249 ansatte siden 17. december 2023. Alle offentlige myndigheder er også forpligtet uanset størrelse.
Direktiv (EU) 2019/1937 af 23. oktober 2019 er EU's whistleblowerdirektiv, der forpligter alle medlemsstater til at beskytte personer, der indberetter overtrædelser af EU-lovgivning. Direktivet stiller krav til fortrolige rapporteringskanaler, beskyttelse mod repressalier, anonymitetsmulighed og specifikke tidsfrister for opfølgning.
Typisk ansatte, tidligere ansatte, jobansøgere, samarbejdspartnere, leverandører, aktionærer og andre med tilknytning til organisationen. Bredden af potentielle indberettere afhænger af ordningens konkrete design, men loven stiller krav om at mindst ansatte og samarbejdspartnere har adgang.
Alvorlige overtrædelser af EU-lovgivning eller dansk ret — herunder korruption, svig, regnskabsmanipulation, bestikkelse, diskrimination, chikane, miljøovertrædelser og brud på databeskyttelsesregler. Organisationer kan også vælge at udvide ordningen til at dække overtrædelser af interne politikker.
Ja. Direktivets artikel 6 kræver, at ordningen kan modtage anonyme indberetninger. Det stiller tekniske krav til kanalen — en simpel e-mail-adresse er typisk ikke tilstrækkelig, da e-mail indeholder metadata, der kan afsløre afsenderens identitet.
Direktivet (art. 9) kræver, at whistlebloweren modtager en kvittering senest 7 dage efter indberetningen, og en tilbagemelding om opfølgning senest 3 måneder efter kvitteringen. Disse frister er lovpligtige og skal kunne dokumenteres.
Lov nr. 1436/2021 §§ 10-19 forbyder enhver form for gengældelse mod whistleblowere — herunder afskedigelse, degradering, lønnedsættelse, chikane eller diskrimination. Bevisbyrden er omvendt: det er arbejdsgiveren, der skal bevise, at en negativ handling ikke er en repressalie mod en indberetning.
Virksomheder, der ikke har etableret en lovpligtig whistleblowerordning, kan pålægges bøder. I alvorlige tilfælde kan straffelovens bestemmelser finde anvendelse. Manglende ordning eller manglende beskyttelse af whistleblowere kan desuden medføre civilt erstatningsansvar over for den krænkede part.
Datatilsynet driver en ekstern whistleblowerkanal, som alle kan bruge som supplement til den interne ordning. Datatilsynet har desuden tilsynsansvar for, at whistleblowerordningernes behandling af persondata sker i overensstemmelse med GDPR.
Driften af en whistleblowerordning involverer behandling af persondata — både om den indberettende person og om den person, der indberettes om. Behandlingen skal ske i overensstemmelse med GDPR (forordning (EU) 2016/679), herunder krav til dataminimering, formålsbegrænsning, sikkerhed og slettefrister.
Whistleblowerordninger er et centralt element i ESG-vurderinger, primært under Governance (G). Investorer, kreditorer og ratingbureauer vurderer tilstedeværelsen og effektiviteten af indberetningskanaler som en indikator for organisationens governance-modenhed. En velfungerende ordning bidrager desuden til Social (S) ved at styrke medarbejdertrygheden og til Miljø (E) ved at muliggøre indberetning af miljøovertrædelser.
Ja. For private virksomheder med 50–249 ansatte tillader direktivet, at de deler en fælles intern rapporteringskanal med andre virksomheder i samme koncern eller branche. Virksomheder med 250 eller flere ansatte skal have en selvstændig ordning.
Den enhed eller person, der modtager og håndterer indberetninger, skal være uafhængig, uddannet og udstyret til at håndtere sagerne fortroligt. Det kan være en intern compliance-funktion, en HR-funktion eller en ekstern betroet tredjepart. Anonymitet over for alle andre end den ansvarlige enhed skal sikres.
Bestyrelsen har det overordnede ansvar for, at organisationen har en velfungerende whistleblowerordning. Det indebærer at sikre, at ordningen er etableret og kommunikeret, at der sker opfølgning på indberetninger, og at ordningen evalueres løbende. En ordning integreret i governance-platformen giver bestyrelsen direkte adgang til status og dokumentation.
Ja. BOARD OFFICEs whistleblowerfunktion er designet til at understøtte anonym indberetning inden for en krypteret og GDPR-konform infrastruktur, uden at metadata eller brugeridentifikation kompromitterer anonymiteten.