Beskrivelse av saksgang ved varsling v. 1.2

Formål

Denne beskrivelsen eksisterer fordi alle ansatte skal kjenne til hvordan varslingssaker blir behandlet

Operativt ansvarlig rolle

HR-direktør forvalter innholdet og er kontaktperson ved spørsmål, gjennomføring mm.

Berører følgende roller

Alle roller berøres direkte eller indirekte av dette dokumentet

Beskrivelse


1. Innledning

Dette dokumentet beskriver behandlingsrutiner for varslingstjenesten hos ECURA AS (ECURA). Dette dokumentet utgjør et tillegg til:

• ECURAs rutine om varsling, varslings-skjema og skjema for oppfølging av varslingsaker

Disse behandlingsrutiner er referert til i ovenstående dokumenter. 

2. Generelt

Alle innkomne varsler registreres umiddelbart av varslingsmottaker hos ECURA eller hos BDO.

Alle varsler som adresseres til lokal ledelse eller tillitsvalgt skal snarest videreformidles til øverste leder i ECURA som er endelig varslingsmottaker.

Dette gjelder også varsler som er mottatt via ekstern varslingskanal BDO som ECURA benytter dersom varselet ikke gjelder øverste leder selv. Varslingsmottaker har ansvar for saksbehandlingen av mottatt varsel, herunder utarbeidelse av rapport om varslingssaken. Varslingsmottaker skal også påse at opplysningene i varslersaker behandles og oppbevares på betryggende måte i henhold til krav til personvern og informasjonssikkerhet.

Varslingsmottaker skal påse at uvedkommende ikke får tilgang til informasjon fra varslersaker. Informasjon om varsler som sendes per e-post skal sendes kryptert. 

3. Rapportering

Det skal utarbeides rapport i forbindelse med saksbehandling i hver enkelt varslersak. Varslingsmottaker har ansvar for å utarbeide eller påse at det utarbeides rapport etter hver varslingssak.

Formålet med rapporten er å ha et beslutningsgrunnlag for endelig avgjørelse i den enkelte varslersak.

Rapporten skal normalt inneholde en gjengivelse av hovedpunkter i den informasjon som er mottatt fra varsler og angi eventuelle forslag til ytterligere undersøkelser som bør gjennomføres med bakgrunn i varselet med mindre saken kan avsluttes uten ytterligere saksbehandling.

Varslingsmottaker i ECURA skal normalt informeres om mottatt varsel senest dagen etter at varselet er mottatt av eksternt varslingsmottak, med mindre det er åpenbart at varselet gjelder forhold som kan vente. 

4. Undersøkelser

Det skal gjennomføres undersøkelser om de faktiske forhold saken gjelder innenfor de rammer som følger blant annet av arbeidsmiljøloven og personvernlovgivningen. De innledende undersøkelsene som foretas i hver varslersak skal primært bidra til å:

• Vurdere hva varslet gjelder
• Vurdere varslets karakter og alvorlighetsgrad
• Avklare om varselet er saklig begrunnet og om umiddelbare tiltak er påkrevet
• Klargjøre hvilke undersøkelser som kan utføres for ytterligere å belyse forholdet som varselet gjelder
• Gi grunnlag for å utforme en kortfattet vurdering og anbefaling om hvordan saken skal håndteres av ECURA

Saksbehandlingen skal omfatte slike undersøkelser som er nødvendige for å avdekke de faktiske forhold det er varslet om, og avklare relevante konsekvenser av de faktiske forhold som avdekkes. I forbindelse med slike undersøkelser kan det være aktuelt å innhente dokumentasjon eller gjennomføre samtaler. Dersom varsler velger å være anonym, skal varslersaken saksbehandles så langt dette er mulig.

Søk og sikring av elektronisk lagret informasjon skal kun gjøres dersom det er saklig grunn til det, og dersom de lovbestemte vilkår for å gjennomføre slike undersøkelser er oppfylt.

Eventuell sikring og analyse av elektronisk lagret informasjon skal kun gjennomføres når vilkårene for slike undersøkelser er oppfylt. Ved undersøkelser på elektronisk lagret informasjon skal det utarbeides rapport som viser hvordan elektronisk lagret materiale er sikret og hvilke undersøkelser som er gjort på elektronisk lagret informasjon.

5. Avgjørelse i varslingssaker

ECURAs avgjørelser i varslingssaker, vil normalt gå ut på:

• Henvisning av saken til rette vedkommende hos ECURA for videre håndtering
• Avslutning av saken og gjennomføre korrigerende tiltak
• Oversendelse av saken til offentlig kontrollmyndighet eller annen offentlig myndighet Undersøkelser og avgjørelser i forbindelse med varslingssaker vil behandles i samarbeid med lokal ledelse med mindre konkrete årsaker tilsier at dette ikke er hensiktsmessig.

6. Informasjon til varsler og den det er varslet om

Varslingsmottaker eller den varslingsmottaker delegerer ansvaret til, har ansvar for å informere:

• Varsleren om at varsel er mottatt så snart varselet er mottatt og registrert av varslingsmottaker,
• Varsler om resultatet av saken såfremt varsleren ikke er anonym,
• Den personen som det er varslet om, så langt dette kan gjøres uten å skade formålet med undersøkelsene.

Informasjon til den det er varslet om skal gis slik at varsleren ikke risikerer gjengjeldelse/ represalier. 

7. Informasjonsplikt etter Personopplysningsloven

I tråd med kravene i Personopplysningsloven gir ECURA følgende informasjon:

a) Behandlingsansvarlige for ECURA er øverste leder i ECURA eller den han delegerer ansvaret til.
b) Formålet med behandlingen er å oppfylle arbeidsmiljølovens bestemmelser om varsling, samt å legge forholdene til rette for forebygging og avdekking av kritikkverdige forhold, herunder økonomisk kriminalitet.
c) Opplysningene som samles inn vil etter omstendighetene kunne bli utlevert til påtalemyndigheten dersom det besluttes å anmelde forholdet, eller dersom påtalemyndigheten begjærer utlevering.
d) For den varselet gjelder er det frivillig å gi fra seg opplysningene
e) Den varselet gjelder har rett til å kreve innsyn og rett til å kreve retting/sletting, se ytterligere informasjon i egne punkter i denne rutinen. 

Ved mottatte varsler skal ECURA informere den/de varselet gjelder om hvilke opplysninger som samles inn, samt opplysningene som fremgår i punkt a-e ovenfor. Dette skal gjøres så snart opplysningene er innhentet/mottatt med mindre:

1) innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,
2) varsling er umulig eller uforholdsmessig vanskelig, eller
3) det er på det rene at den varselet gjelder allerede kjenner til informasjonen varslet skal inneholde
4) opplysningene er påkrevd å hemmeligholde av hensyn til forebygging, undersøkelser, avsløring og rettslig forfølgelse av straffbare handlinger (POL § 23 første ledd bokstav b).

Når det unnlates å gi informasjon fordi det er umulig eller uforholdsmessig vanskelig, skal informasjonen likevel gis senest når det gjøres en henvendelse til den varselet gjelder på grunnlag av opplysningene.

8. Overordnet rapportering

Varslingsmottaker utarbeider, minst en gang pr år, en overordnet rapport til styret i ECURA som oppsummerer:

• Antall varsler mottatt i perioden
• Type forhold det er varslet om uten å beskrive enkeltsaker
• Avgjørelsesmåtene i sakene
• Beskrivelse av tiltak som er iverksatt for å motvirke eventuelle kritikkverdige forhold det er varslet om
• Tilbakemeldinger og kommentarer varslingsmottaker har fått som kan beskrive tilliten til varslingsmottaker og effekten av varslingsordningen
• Eventuelle påstander om at varsler er utsatt for gjengjeldelse som følge av varslingen

All overordnet rapportering skal ta hensyn til varsleren, slik at enkeltsaker ikke identifiseres eller at det blir kjent hvem som har varslet. 

9. Konfidensialitet

Dokumenter som gjelder varsling vil normalt være interne dokumenter som er konfidensielle.

10. Registrering/arkivering av varsler

Meldingen registreres og arkiveres i eget arkivsystem med begrenset tilgang hos varslingsmottaker. Saken skal arkiveres og for øvrig behandles i samsvar med det til enhver tid gjeldende regelverk og godkjente saksbehandlingsrutiner.

Saksopplysningene skal lagres på kryptert område hos ECURA og eventuelt ekstern varselmottaker BDO og skal kun være tilgjengelig for de ansatte som har et tjenstlig behov for slik tilgang, dvs. kun de som arbeider med varslingssaker.

11. Sletterutiner

Rapporter og dokumenter i varslersaker skal normalt slettes senest 3 måneder etter at saksbehandlingen er avsluttet med mindre særlige forhold gjør det nødvendig å oppbevare opplysningene utover dette.

Oppbevaring utover 3 måneder krever skriftlig begrunnelse i hver enkelt sak. Denne begrunnelsen oppbevares sammen med rapporten fra varslingsmottaker.

Ansvarlig for at dette gjøres er øverste leder for varslingssaker i ECURA

Varslingsmottaker BDO skal slette opplysningene senest 3 måneder etter at varsel/rapport er oversendt ECURA.

Ansvarlig for at dette gjøres er øverste leder i ECURA. Personopplysninger skal slettes i det informasjonssystemet som benyttes ved behandlingen av personopplysninger.

ECURA skal som et minimum en gang pr. år gjennomgå sine informasjonssystem for å påse at all informasjon er slettet i henhold til sletterutinene som beskrevet ovenfor. 

12. Innsynsrett for den eller de som varselet gjelder

Den som varselet gjelder skal informeres om forholdet som ledd i de undersøkelser som utføres med mindre slik informasjon kan ødelegge formålet med undersøkelsene. Dersom forholdet gjelder mistanke om regelbrudd som tilsynsmyndigheter eller politiet/ påtalemyndigheten vil kunne tenkes å forfølge, skal vedkommende som varselet gjelder, ikke informeres før nevnte myndigheter er orientert. Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling: 

a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant,
b) hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,
c) formålet med behandlingen,
d) beskrivelser av hvilke typer personopplysninger som behandles,
e) hvor opplysningene er hentet fra, og
f) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker

Dersom den som ber om innsyn er den varselet gjelder, skal den behandlingsansvarlige opplyse om:
a) hvilke opplysninger som behandles, og
b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten 

Den varselet gjelder kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a - f i den grad dette er nødvendig for at vedkommende skal kunne ivareta egne interesser.

Forespørsler om innsyn til BDO skal videreformidles til ECURA. ECURA, ved sitt kontaktpunkt for varslingskanalen er ansvarlig for at innsyn gis i tråd med det som er beskrevet ovenfor.

Før det gis innsyn skal den varselet gjelder levere inn en skriftlig og undertegnet forespørsel. Av hensyn til kravet om konfidensialitet, må den varselet gjelder også inngi en bekreftet kopi av legitimasjon.

Informasjon skal sendes skriftlig til vedkommende.

Hvis informasjonen skal sendes elektronisk, for eksempel ved bruk av e-post, må informasjonen krypteres eller sikres på annen måte. Dersom informasjonen sendes pr. post skal dette fortrinnsvis sendes til vedkommendes folkeregistrerte adresse.

Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten.

Det kan ikke kreves betaling for å gi informasjon etter forespørsel om innsyn. 

Retting og/eller sletting av mangelfulle opplysninger

Dersom det er behandlet personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den behandlingsansvarlige av eget tiltak eller på forespørsel av den varselet gjelder, rette de mangelfulle opplysningene.

Den behandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for vedkommende, f.eks. ved å varsle mottakere av utleverte opplysninger. Retting av uriktige eller ufullstendige personopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.

Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes.

Avviksmeldinger

Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik.

Øverste leder er ansvarlig for at det føres oversikt over avviksmeldinger og at avviksmelding sendes Datatilsynet dersom avviket har medført uautorisert utlevering av særlig verneverdige personopplysninger.