Blogg

GDPR ställer höga krav på lagringen av personuppgifter. Det görs olika tolkningar av hur datalagring får ske inom ramen för GDPR, inte minst kopplat till datalagring eller molntjänster genom amerikanska företag.  Amerikanska Cloud Act ger amerikanska myndigheter möjligheter att komma åt företags data på ett sätt som inte är förenligt med GDPR. Alla amerikanska företag lyder under Cloud Act, oavsett var datan lagras. Tidigare har många europeiska företag lutat sig mot en överenskommelse mellan EU och USA som heter Privacy Shield för att möjliggöra användandet av amerikanska molntjänster. Under sommaren underkändes dock Privacy Shield av EU-domstolen.   Lantero har från början jobbat med en svensk systemlösning och använder en svensk underleverantör för sin datalagring.   

I en krönika i Folkbladet skriver Erik Isberg om tystnadskulturen inom Region Västerbotten. Krönikan knyter an till tidigare initiativ från tidningen att uppmärksamma en generell tystnadskultur inom många offentliga verksamheter och den ofta begränsade kunskapen om vad som gäller kring meddelarfrihet och anställdas rättigheter.  Isberg berättar om ett specifikt fall med en anställd som uppmärksammat problem och blivit bestraffad. Han pekar på den centrala frågan kring att en sund arbetsmiljö kräver ett löpande arbete för att främja kunskap och skapa en god kultur inom organisationer. Enligt Isberg är det en gemensam angelägenhet för media, arbetsgivare och fack. 

Dagens Juridik publicerar en debattartikel av Karin Schurmann och Josefine Syrén på Kompass Advokat. De sammanfattar på ett föredömligt kortfattat sätt de stora dragen i det nyligen antagna EU-direktivet om visselblåsning. Väl värd att läsa. Men.. Frågan i artikelns rubrik, om fler kommer våga blåsa i pipan, blir dock inte besvarad. Men om det blir fler visselblåsningar i sig är kanske inte det långsiktigt viktigaste resultatet av lagstiftningen.  Istället bör vi eftersträva ett klimat där organisationer ser det som en självklarhet att det ska vara möjligt att anmäla. Och medarbetare och andra intressenter känner att de har den möjligheten på ett tryggt och säkert sätt. Det primära syftet att skaffa ett visselblåsarsystem ska inte vara lagefterlevnad. Det handlar om att bygga ett klimat av förtroende inom verksamheten där felaktigheter uppmärksammas tidigt. Därmed kan större skador undvikas. Om det leder till att fler kommer blåsa i pipan återstår att se, men nu skapas iallafall de rätta förutsättningarna.

Andreas Wahlström går in som delägare i Lantero, med särskilt ansvar för partnersamarbeten. Fokus kommer att vara på utveckling av den internationella verksamheten, med tyngdpunkt på Europa. Andreas har arbetat mycket med affärsutveckling och kommunikation av komplexa tjänster. Under de senaste åren hos Nordea. Han har också erfarenhet från små och medelstora företag, ofta med fokus på att förstå kundbehov och paketera lösningar. – 2020 har varit intensivt så här långt och i och med att EU gör visselblåsarsystem obligatoriska så räknar vi med fortsatt stor aktivitet, säger vd Petter Tiger. Jag tror att Andreas blir en stor tillgång i att förstå utvecklingen, att konceptualisera och kommunicera vårt erbjudande.  – Det känns väldigt kul att komma in i ett företag där så mycket händer just nu. Området påverkas i högsta grad av GDPR, Cloud Act och sommarens EU-dom om Privacy Shield, säger Andreas Wahlström. För många organisationer kommer lagstiftningen att kännas som en börda, men vårt mål är att våra kunder ska få ut affärsnytta genom effektivisering, bättre processer och profilering mot kunder och anställda. #visselblåsarsystem #gdpr #nordea #privacyshield

Institutet mot mutor (IMM) har uppdaterat sin näringslivskod. IMM arbetar för ett bättre och mer proaktivt arbete mot korruption i näringslivet och den uppdaterade koden är det senaste tillskottet i en bra katalog med verktyg och vägledningar.  Upplägget är praktiskt inriktat och syftar till att vara en kärnfull handbok. I de flesta fall kommer man som användare att behöva söka vidare information från andra källor, men formatet gör IMM:s kod till ett utmärkt första steg.  Läs mer på deras hemsida. 

Flera aktörer i visselblåsarbranschen har gjort en välvillig tolkning av GDPR för att kunna bygga sina visselblåsarsystem på amerikanska lösningar som Microsoft Azure. En ny EU-dom klargör nu att sådana lösningar inte är kompatibla med GDPR.  I det så kallade Schrems II-målet (C-311/18) upphävs ”Privacy Shield”, vilket är det arrangemang som många visselblåsarleverantörer har lutat sig emot för att kunna motivera lösningar på sådana plattformar. Domen innebär indirekt att tillräckliga garantier för efterlevnad av GDPR inte kommer kunna ges, på grund av de amerikanska molnleverantörernas behandling av personuppgifter.    ”Det är många företag, myndigheter och organisationer som kommer att behöva se över sina visselblåsarlösningar under hösten,” säger Lanteros vd Petter Tiger. ”Vi har ofta förvånats över att så få leverantörer väljer svensk datalagring och upplägg med egna servrar där man kontrollerar sin servermiljö." Domen tydliggör att amerikansk lagstiftning innebär att amerikanska bolag och deras dotterbolag inte kan behandla personuppgifter på ett tillräckligt säkert sätt, eftersom obehöriga (amerikanska myndigheter) kan komma att bereda sig tillgång till personuppgifter. Utan Privacy Shield måste man nu luta sig mot EU-kommissionens standardklausuler för överföring av personuppgifter till tredje land. En vanlig missuppfattning är att problemet kan hanteras genom att datacenter placeras inom EU, men skyldigheten för amerikanska molntjänstleverantörer gäller under vissa omständigheter oavsett geografi. 

I höstas kom EU:s direktiv om ökad trygghet för visselblåsare. Nu är utredningen om den svenska implementeringen klar.  I korthet: - Lagen träder i rakt i december 2021 - Bolag med fler än 50 anställda måste ha en visselblåsarkanal - Viss samordning av visselblåsarlösningar godtas för bolag med färre än 250 anställda - Det undantag som diskuterats för kommuner med färre än 10 000 invånare kommer inte att tillämpas, bland annat för att samtliga svenska kommuner har fler än 50 anställda - Vissa specifika krav på både funktionalitet i visselblåsarfunktionen och hur snabbt ärenden ska hanteras Utredningen innehåller inga stora överraskningar, men är mer långtgående än tidigare regleringar på området och ger en del detaljerad vägledning för hur såväl kanal som handläggningsrutiner bör se ut. 

Oppositionsrådet i Region Västerbotten, Nicklas Sandström (M), lyfter i en debattartikel i Folkbladet upp behovet av ett visselblåsarsystem för regionen.  Utifrån en rapport från regionens revisorer framträder en bild av hur medarbetarna inom organisationen inte känner till eller förstår begrepp som meddelarfrihet och tystnadskultur. Vidare är det många som upplever att man inte öppet kan diskutera problem inom verksamheten.   Sandström pekar på behovet av att missförhållanden uppmärksammas och adresseras. Om anställda inte upplever att frågorna kan diskuteras öppet och heller inte har en allmän förståelse för principerna kring meddelarfriheten, så är det naturligt att i likhet med många andra regioner, kommuner och företag överväga ett visselblåsarsystem.  Den politiska majoriteten har främst invänt med att det innebär kostnader att upprätta ett visselblåsarsystem. Från Lanteros sida betraktar vi detta som ett svagt argument då den huvudsakliga kostnaden är kopplad till hanteringen av ärenden snarare än till själva rapporteringsfunktionen. Om kostnaderna för att handlägga rapporter om missförhållanden är skäl nog att inte upprätta en rapporteringskanal, så har man troligen en skev uppfattning om vad missförhållandena i sig kan kosta. 

Mycket har hänt i samhället till följ av coronapandemin, för individer och företag, vad gäller umgängesformer och arbetssätt, prioriteringar och verksamhetsförutsättningar. Lantero har sett en tudelad bild, där många företag går in i ett överlevnadsläge och skjuter alla projekt de kan på framtiden. Andra fokuserar på vad som kommer efter och utnyttjar läget att beta av sådant som varit eftersatt. Här kommer några reflektioner utifrån vad vi har sett så här långt och tips på vad man som organisation kan passa på att göra.  * Inventera att göra-listan. Många anställda har svårt att utföra sina ordinarie uppgifter. Se då till att inventera listan över vad som blivit liggande och faktiskt kan göras nu. Vi ser exempelvis många företag som passar på att få visselblåsarsystem på plats och tar tiden att sätta stabila utredningsrutiner. * Kom i kapp med utbildningar. Många bekantar sig just nu med digitala verktyg och acceptansen är större än vanligt för webbaserade utbildningar. Det är både lättare att få acceptans från arbetsgivaren att initiera utbildningsprojekt med e-learningverktyg och från anställda att faktiskt genomföra utbildningarna.  * Se över säkerhetsrutiner. Oavsett den övergripande IT-miljön finns det ofta stora säkerhetsbrister i organisationer kopplat till hur de anställda tillämpar rutiner, hanterar lösenord, mm. Finns det webbaserade tjänster (exempelvis visselblåsarsystem) där ni kan etablera flerfaktorsautenticering? Är det möjligt att sprida förståelsen för att känslig information inte bör skickas via mejl (inte ens krypterat) och istället börja arbeta med Rekommenderat e-brev, där försändelserna skyddas med BankID? * Höj medvetenheten om korruptionsrisker. Det finns utmärkt material till stöd för ett stärkt arbete mot korruption genom Institutet mot mutor. Bland annat kommer en uppdaterad version av Kod mot korruption i näringslivet. 

Lanteros seminarium tillsammans med CredAbility var mycket välbesökt. Det är möjligt att se seminariet här.  Under en och en halv timme diskuterade vi vad visselblåsning är, hur man kan arbeta systematiskt mot missförhållanden, vad rådande lagstiftning säger, vad som kommer hända när det nya EU-direktivet på området implementeras i svensk lag under 2021, vad pågående standardiseringsarbete innebär och vilka erfarenheterna är från företag och intresseorganisationer som under lång tid jobbat med dessa frågor.  Seminariet hölls den 7 februari 2020. Deltog gjorde: Louise Brown, vd CredAbility (moderator) Kajsa Hessel, regionchef Sweco/ordförande Byggcheferna Olle Ingemarsson, HR-chef Kommunal Jessica Löfström, grundare Expanderamera Petter Tiger, vd Lantero Ulrik Åshuvud, ordförande Transparency International Sverige