Därför behöver alla ett visselblåsarsystem!

För cirka ett år sedan ringde en säkerhetschef vid ett stort företag till mig sent en fredag kväll. Han var upprörd för att någon okänd hade skickat ett sms till företagets vd och skrivit: Vet du om att en person i din ledningsgrupp är dömd för sexbrott? Detta var alltså ett bra tag innan #MeToo-rörelsen drog igång och föga anade jag då vilken relevans våra slutsatser och beslut skulle komma att få idag, ett år senare.

Då var säkerhetschefens första känsla att vi med förenade krafter borde försöka finna ut vem som skickat detta ”nidings-sms” och förstört fredagsmyset för företagets vd. Mitt motförslag var att strunta i vem som skickat detta och istället fokusera på den eventuella sanningshalten i sms:et och agera utifrån detta.

Annars fanns ju en risk att nästa sms skulle gå till kvällspressen och då skulle man verkligen få en varumärkeskris att hantera. På frågan om företaget hade några alternativa formella rapporteringskanaler för att anställda skulle kunna anmäla oegentligheter annat än att skicka anonyma sms till företagets vd, var svaret nej.

I kölvattnet på #MeToo kan jag inte annat än att undra hur många av de nu ”drabbade” företagen som haft ett system på plats dit anställda kunnat vända sig för att anmäla dessa vidrigheter. Jag gissar att inte många av dem har det, och om de har det, så har man ofta diametralt gått bort sig i vilka de viktigaste parametrarna är för att anställd skall vilja och våga använda systemet.

När anställda inte hyser tilltro till systemet, ofta på grund av att man vet att det är några av företagets chefer som tar del av inkomna anmälningar, låter många bli att anmäla eller går istället till sociala nätforum eller till media.

Traditionellt har drivkraften att inrätta visselblåsarsystem (VB-system) kommit från hållbarhetsperspektivet. Företag som vill agera etiskt rätt är angelägna om att få veta om någon avviker från det etiska regelverket och därmed blir ett VB-system en avgörande parameter för att vara trovärdig i sitt hållbarhetsarbete.

Men VB-system är även en viktig del i företagets totala risk- och säkerhetsarbete, och i takt med att allt fler företag inser detta famlar man ofta i hur man sätter upp sina system.

Forskning visar att de absolut största skälen till varför folk inte blåser i ”visslan” är att man antingen inte trodde på att företaget skulle korrigera felet eller att man var rädd för att utsättas för repressalier om ens identitet blev avslöjad. Givet detta bör man tänka sig noga för kring viket systemstöd man sätter upp och hur anmälningar som görs skall hanteras.

I alltför många fall har vi sett hur visselblåsaren hänvisas till att skicka ett mejl till någon i företagets ledningsgrupp, ofta chefsjuristen eller Head of Internal Audit. I andra anmodas man att lämna uppgifter om sin identitet så att företagets internutredare kan kontakta vederbörande för ”kompletterande uppgiftstagning”. Dessa typer av lösningar är förkastliga om man verkligen är mån om att få veta vad som pågår.

Låt mig därför dra upp några viktiga principer kring upprättande av visselblåsarsystem:

  1. Läs in er på Datainspektionens handledningsdokument för företag som vill upprätta VB.
  2. Se till att upprätta en policy kring VB samt en policy kring hantering av personuppgifter som efterlever den nya kommande Dataskyddsförordningen (GDPR)
  3. Formera en etisk kommitté för beslutsfattande kring inkommande ärenden. Kommittén bör ha styrelserepresentation och inte vara fler än tre personer.
  4. Använd ett systemstöd som medger möjlighet till fullständig anonymitet och omöjlig spårbarhet till anmälaren. Använd inte intranätet eller företagets mailsystem som rapporteringskanal. Ha heller inga klickbara länkar från intranätet till en extern webbportal då dessa skapar misstro avseende arbetsgivarens möjligheter till spårbarhet av de som använt sådan länk.
  5. Försäkra dig om att systemet möjliggör dialog med anmälaren utan att denne behöver röja sin identitet. Det är mycket viktigt att kunna kommunicera med anmälaren för kompletterande uppgiftstagning men ändå med bibehållet anonymitetsskydd.
  6. Ha en utomstående aktör som tar emot anmälningarna för dialog med anmälaren och som granskar dem mot gällande lagstiftning. Intern mottagning och hantering av anmälningar äventyrar tilltron till en opartisk hantering av ärendet och påverkar även tilltron till anonymitetsskyddet.
  7. Undvik i det längsta att internutreda med egen personal som utredare. Det är INTE säkerhetschefens roll att utreda oegentligheter som anmälts via VB-systemet. Även om man tänker att detta kan motiveras med att man vill hålla ärendet ”innanför väggarna” innan man vet var utredningen leder så skapar det misstro till systemet och organisationen. En regel bör vara att man inte skall utreda dem som man skall dela matsal med.
  8. Vackla aldrig i beslutet att utreda, hur jobbigt resultatet än kan bli. Att stoppa huvudet i sanden och hoppas på tur kan aldrig vara en strategi. Att utreda och ta anmälningar på allvar är heller inte bara en fråga om att skydda varumärket utan ytterst en fråga om att faktiskt värna sina viktigaste tillgångar, sin egen personal.

Tillbaka till ärendet där vi började, hur gick det med det anonyma sms:et om sexbrott? Vår bakgrundskontroll av samtliga medlemmar i ledningsgruppen visade att en av dem nyligen var dömd för sexuella brott och hade fler öppna ärenden hos de rättsvårdande myndigheterna där åtal var att vänta.

Han fick gå på dagen. I dag har företaget ett fungerande visselblåsarsystem.

Mattias Nygren, 2Secure
redaktionen@forvaltarforum.se

Mattias Nygren har under 15 år arbetat vid Polisens Nationella Insatsstyrka (NI). Han har därefter haft en karriär som säkerhetschef inom FN där han arbetat med valsäkerhet, matleveranssäkerhet, evakueringsplanering och skydd av FN:s personal och tillgångar. Han har erfarenhet av arbete i en rad olika högriskländer. Mattias grundade tillsammans med några kollegor från NI säkerhetskonsultföretaget 2Secure som i dag är en av landets ledande aktörer inom kvalificerade säkerhetstjänster för såväl privatpersoner som företag och myndigheter.