Bekendtgørelse af lov om forsikringsvirksomhed i tværgående pensionskasser, livsforsikringsselskaber og skadesforsikringsselskaber m.v. (lov om forsikringsvirksomhed) § 135

Den gældende § 75 a i lov om finansiel virksomhed fastsætter, at et forsikringsselskab skal have en whistleblowerordning, hvor ansatte kan foretage anonyme indberetninger om lovovertrædelser eller potentielle overtrædelser af den finansielle regulering begået af virksomheden, dens ansatte eller medlemmer af bestyrelsen.

Den foreslåede § 135 viderefører den gældende § 75 a i lov om finansiel virksomhed med redaktionelle ændringer. Den foreslåede bestemmelse medfører ikke materielle ændringer.

Det foreslås i stk. 1, at et forsikringsselskab skal have en ordning, hvor dets ansatte via en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af den finansielle regulering begået af virksomheden, herunder af ansatte eller medlemmer af bestyrelsen i forsikringsselskabet. Indberetninger til ordningen skal kunne foretages anonymt. Forsikringsselskabet skal følge op på indberetninger til ordningen og skriftligt kunne dokumentere, hvordan forsikringsselskabet har fulgt op på indberetningerne. Lov om beskyttelse af whistleblowere finder anvendelse på ordningen i 1. pkt., jf. dog § 2 i lov om beskyttelse af whistleblowere.

Det foreslås i 1. pkt., at et forsikringsselskab skal have en whistleblowerordning, hvor dets ansatte via en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af den finansielle regulering begået af forsikringsselskabet, herunder af ansatte eller medlemmer af bestyrelsen.

Kravet om, at der skal være en særlig kanal, skal forstås således, at kanalen skal være være oprettet med det formål, at ansatte som minimum skal kunne indberette overtrædelser eller potentielle overtrædelser af den finansielle regulering til ordningen.

At kanalen tillige skal være uafhængig og selvstændig betyder, at der skal etableres en selvstændig funktion, der er uafhængig af den daglige ledelse, og hvor indberetning kan ske uden om de normale procedurer, f.eks. direkte til den afdeling eller medarbejder, som behandler indberetningerne. Dette vil eksempelvis kunne være den complianceansvarlige. Bekendtgørelse nr. 1723 af 16. december 2015 om ledelse og styring af forsikringsselskaber m.v. stiller særlige krav til indretning af compliancefunktionen, herunder krav om uafhængighed af de afdelinger, som compliancefunktionen skal føre kontrol med. Udover compliancefunktionen vil andre funktioner, der er uafhængige af den daglige ledelse, herunder uafhængige af den ansattes foresatte, kunne varetage funktionen som ansvarlig for den uafhængige kanal.

At der kan indberettes overtrædelser eller potentielle overtrædelser af den finansielle regulering betyder, at der kan indberettes om alvorlige såvel som mindre alvorlige forseelser, og der ligeledes kan indberettes om overtrædelser, som ikke er af afgørende betydning for koncernen eller virksomheden som helhed. Det kan f.eks. være tilfælde, som alene kan medføre et påbud eller en påtale fra Finanstilsynet. Der vil tillige kunne indberettes i tilfælde af mistanke om overtrædelse af den finansielle regulering.

Den finansielle regulering omfatter den til enhver tid gældende regulering, der hører under Erhvervsministeriets ressortområde, som Finanstilsynet fører tilsyn med. Dette inkluderer også EU-regulering på det finansielle område, heriblandt forordninger og direkte gældende niveau 2-regulering, som har direkte virkning for forsikringsselskaber.

Interne whistleblowerordninger skal desuden leve op til kravene i lov om beskyttelse af whistleblowere, såfremt den pågældende virksomhed omfattes heraf, jf. det foreslåede 4. pkt. Det indebærer bl.a., at de interne whistleblowerordninger også skal tage imod indberetninger om ”alvorlige lovovertrædelser eller øvrige alvorlige forhold”, jf. § 1, stk. 1, nr. 2, i lov om beskyttelse af whistleblowere.

Det foreslås i stk. 1, 2. pkt., at indberetninger til ordningen skal kunne foretages anonymt.

At indberetninger skal kunne foretages anonymt indebærer, at den, der indberetter en overtrædelse, skal kunne gøre dette fuldstændigt anonymt, f.eks. via en løsning på virksomhedens intranet, hvor der kan indsendes indberetninger uden angivelse af navn, uden mulighed for sporing af computerens IP-adresse og lignende. Indberetningerne bør som udgangspunkt alene være tilgængelige for den afdeling eller medarbejder, som behandler indberetningerne. Anonyme henvendelser til en whistleblowerordning kan svække mulighederne for at bevise, at der er sket forskelsbehandling som følge af indberetningen, da kravet om anonymitet medfører, at selskabet i tilfælde af anonyme indberetninger ikke ved, hvem der har indgivet indberetningen. Det er imidlertid vigtigt at sikre, at de ansatte, der anvender ordningen, kan være fuldstændig anonyme, idet det kan være svært for en ansat at beslutte at indberette en overtrædelse til selskabet, hvis det ikke kan ske anonymt. En ansat kan eksempelvis være bange for at miste sit arbejde, imens andre ansatte kan føle, at de har handlet illoyalt over for en kollega eller over for virksomheden.

En overtrædelse eller en potentiel overtrædelse begået af virksomheden, herunder af ansatte eller medlemmer af bestyrelsen, omfatter enhver overtrædelse eller potentiel overtrædelse af virksomhedens forpligtelser, også selvom denne ikke kan henføres til en enkelt person, men eksempelvis skyldes en grundlæggende systemfejl i selskabet. Der vil tillige kunne blive indberettet om overtrædelser, der skyldes undladelser. Hvis en virksomhed har valgt at outsource en del af de forpligtelser, der påhviler det enkelte selskab, til en ekstern virksomhed, vil de ansatte i forsikringsselskabet også kunne indberette til forsikringsselskabets whistleblowerordning om manglende efterlevelse af forpligtelserne, som sker hos den eksterne virksomhed. Ansatte hos den eksterne virksomhed vil kunne indberette overtrædelser til Finanstilsynet.

Et forsikringsselskab kan outsource en whistleblowerordning til en ekstern leverandør. En virksomhed kan imidlertid ikke fraskrive sig sine forpligtelser efter lovgivningen, og virksomheder, der benytter sig af outsourcing, er således fortsat ansvarlige for, at ordningerne lever op til lovgivningens krav. En virksomhed, som varetager, administrerer eller på anden måde håndterer en ordning på vegne af et forsikringsselskab, skal være opmærksom på anden særlovgivning, der kan være til hinder herfor. En virksomhed, der varetager, administrerer eller på anden måde håndterer en ordning på vegne af et forsikringsselskab, skal endvidere også være opmærksom på eventulle lovbestemte oplysningsforpligtelser efter f.eks. hvidvaskloven, som forsikringsselskaberne kan være underlagt, idet bestemmelsen ikke har til hensigt at ændre herpå.

Ansattes, herunder direktionens, indberetning til whistleblowerordningen vil ikke være i strid med lovforslagets § 82 eller § 132 i selskabsloven om videregivelse af fortrolige oplysninger. Dette gælder tillige i tilfælde, hvor ordningen er outsourcet til en ekstern leverandør.

Det foreslås i stk. 1, 3. pkt., at forsikringsselskabet skal følge op på indberetninger til ordningen og skriftligt kunne dokumentere, hvordan forsikringsselskabet har fulgt op på indberetningerne.

Bestemmelsen sikrer kontrol med overholdelse af den finansielle regulering, samt at selskaberne omfattet heraf får fulgt op på indberetninger om overtrædelser og potentielle overtrædelser af den finansielle lovgivning og dokumenteret dette på fyldestgørende vis.

Bestemmelsen indebærer, at et forsikringsselskab skal kunne dokumentere, hvordan forsikringsselskabet løbende har fulgt op på indberetninger til forsikringsselskabets whistleblowerordning. Dette kan f.eks. være efter anmodning fra Finanstilsynet som led i Finanstilsynets tilsynsvirksomhed, jf. lovforslagets §§ 269 og 270.

Bestemmelsen indeholder et skriftligt dokumentationskrav, som indebærer, at forsikringsselskabet skriftligt skal sikre, at selskabet løbende får fulgt op på indberetninger til whistleblowerordningen, så forsikringsselskabet kan dokumentere over for Finanstilsynet, at selskabet på betryggende vis har fulgt op på alle indberetninger til whistleblowerordningen.

Hvilke oplysninger, forsikringsselskabet skal opbevare for at opfylde dokumentationskravet, er op til det enkelte forsikringsselskab at vurdere. Det kan f.eks. være relevant mailkorrespondance, interne undersøgelsesrapporter eller andet materiale, der dokumenterer, at forsikringsselskabet på betryggende vis har fulgt op på indberetningerne.

Som dataansvarlig vil forsikringsselskabet til enhver tid skulle efterleve principperne for behandling af personoplysninger, jf. artikel 5 i databeskyttelsesforordningen. Det betyder bl.a., at når personoplysninger ikke længere er nødvendige for at efterleve dokumentationskravet, vil forsikringsselskabet som udgangspunkt skulle slette eller anonymisere personoplysningerne.

Det foreslås i stk. 1, 4. pkt., at lov om beskyttelse af whistleblowere finder anvendelse på ordningen i 1. pkt., jf. dog § 2 i lov om beskyttelse af whistleblowere. Lov om beskyttelse af whistleblowere implementerer Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten (whistleblowerdirektivet).

Det foreslåede præciserer, at lov om beskyttelse af whistleblowere, jf. lov nr. 1436 af 29. juni 2021, finder anvendelse på ordningen i 1. pkt., jf. dog § 2 i lov om beskyttelse af whistleblowere. § 2 i lov om beskyttelse af whistleblowere implementerer whistleblowerdirektivets artikel 3, stk. 1. Artiklen regulerer whistleblowerdirektivets forhold til regler om whistleblowerordninger i sektorspecifikke EU-retsakter, herunder Rådets og Europa-Parlamentets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution, (EUT L 26 af 2.2.2016, s. 19). Lov om beskyttelse af whistleblowere finder således allerede supplerende anvendelse på virksomheder omfattet af forsikringsdistributionsdirektivet.

Det foreslåede præciserer, at reglerne i lov om forsikringsvirksomhed har forrang, når de giver whistlebloweren en bedre beskyttelse, end whistlebloweren vil få i medfør af lov om beskyttelse af whistleblowere.

Indberetninger til whistleblowerordninger i forsikringsselskaber skal derfor kunne foretages anonymt i medfør af det foreslåede i § 135, stk. 1, 2. pkt. Det er på trods af, at der ikke stilles krav om, at indberetninger til interne whistleblowerordninger skal kunne foretages anonymt i medfør af lov om beskyttelse af whistleblowere. Det betyder bl.a., at kravene om bekræftelse, opfølgning og feedback, jf. § 12, stk. 2, nr. 1-3, i lov om beskyttelse af whistleblowere ikke gælder i de tilfælde, hvor indberetningen er indgivet anonymt, og hvor det som følge af udformningen af whistleblowerordningen ikke vil være muligt at sende en sådan bekræftelse, følge op eller give feedback til whistlebloweren. Det kan f.eks. være tilfældet, hvis den anonyme indberetning indgives til en fysisk postkasse.

Bestemmelsen ændrer ikke på det skriftlige dokumentationskrav, der gælder for opfølgninger på indberetninger, og som bidrager til at sikre en effektiv tilsynsførelse, jf. lovforslagets § 135, stk. 1, 3. pkt.

Lov om beskyttelse af whistleblowere forpligter som udgangspunkt alene arbejdsgivere med 50 eller flere ansatte til at etablere en intern whistleblowerordning, jf. § 9, stk. 1, i lov om beskyttelse af whistleblowere. En undtagelse til dette udgangspunkt gælder for de arbejdsgivere, der er omfattet af anvendelsesområdet for de EU-retsakter, der er nævnt i whistleblowerdirektivets bilag, del II, herunder forsikringsdistributionsdirektivet, jf. § 2 i lov om beskyttelse af whistleblowere.

Det foreslåede præciserer, at whistleblowerordninger i forsikringsselskaber ud over at leve op til kravene i de foreslåede §§ 135-137 tillige skal opfylde minimumskravene i lov om beskyttelse af whistleblowere, i det omfang kravene giver de ansatte en bedre beskyttelse end lov om forsikringsvirksomhed. Whistleblowerordninger i forsikringsselskaber med færre end 50 ansatte skal således tillige opfylde minimumskravene i lov om beskyttelse af whistleblowere, i det omfang kravene giver de ansatte en bedre beskyttelse end lov om forsikringsvirksomhed

Et forsikringsselskab er forpligtet til at stille ordningen til rådighed for virksomhedens ansatte både i henhold til lov om forsikringsvirksomhed og lov om beskyttelse af whistleblowere.

Ansatte skal forstås i overensstemmelse med det EU-retlige arbejdstagerbegreb. EU-Domstolen har i en række sager udtalt, at arbejdstagerbegrebet i TEUF artikel 45 er et EU-retligt begreb, der ikke må fortolkes indskrænkende, og at det væsentligste kendetegn ved et arbejdsforhold er, at en person i en vis periode præsterer ydelser mod vederlag for en anden og efter dennes anvisninger. Det er dog en forudsætning, at den pågældende person for at kunne kvalificeres som arbejdstager skal udøve en reel og faktisk beskæftigelse, der ikke er af så ringe omfang, at den fremtræder som et rent marginalt supplement. EU-Domstolen har slået fast, at vurderingen af, om der er tale om en reel og faktisk beskæftigelse, skal foretages på baggrund af en konkret samlet bedømmelse af det omhandlede arbejdsforhold. I den samlede bedømmelse skal der tages hensyn til en række forhold, herunder både arbejdstid, vederlag, arbejdsforholdets varighed og andre vilkår i arbejdsforholdet, som f.eks. ret til betalt ferie, ret til løn under sygdom, samt om ansættelsesaftalen er omfattet af en kollektiv overenskomst.

Finanstilsynet har ikke kompetence til at føre tilsyn med reglerne i lov om beskyttelse af whistleblowere. I de situationer, hvor et krav eksempelvis både følger af lovforslagets §§ 135-137 og reglerne i lov om beskyttelse af whistleblowere, vil Finanstilsynet have kompetence til at føre tilsyn med overholdelsen af lovforslagets §§ 135-137.

Det fremgår af lovforslagets § 312, stk. 1, 1. pkt., at overtrædelse af lovforslagets § 135, stk. 1, kan straffes med bøde.

Ansvarssubjektet i forhold til overtrædelse af den foreslåede § 135, stk. 1, er forsikringsselskabet. Det betyder eksempelvis, at et forsikringsselskabs manglende etablering af en intern ordning eller manglende opfyldelse af dokumentationskravet vil kunne straffes med bøde, jf. lovforslagets § 287, stk. 1.

Forsikringsselskabet vil f.eks. kunne straffes med bøde i de tilfælde, hvor forsikringsselskabet undlader at følge op på henvendelser til forsikringsselskabets whistleblowerordning eller undlader at dokumentere opfølgningen.

Det foreslås i stk. 2, at et forsikringsselskab kan opfylde kravet om en whistleblowerordning i stk. 1 via kollektiv overenskomst.

I praksis betyder dette, at arbejdsmarkedets parter efter aftale med virksomhederne har mulighed for at etablere en ordning i f.eks. et fagforbund, hvortil ansatte i forsikringsselskabet kan indberette overtrædelser. En whistleblowerordning, der baserer sig på en aftale mellem de forhandlingsberettigede parter, skal leve op til kravene i stk. 1 som beskrevet ovenfor.

Adgangen til, at interne ordninger kan etableres via kollektiv overenskomst, berøres ikke af det foreslåede stk. 1.

Det foreslås i stk. 3, at stk. 1 alene finder anvendelse, når forsikringsselskabet beskæftiger flere end fem ansatte. Ordningen nævnt i stk. 1 og 2 skal være etableret, senest 3 måneder efter forsikringsselskabet har ansat den sjette ansatte.

Den foreslåede bestemmelse fastlægger en bagatelgrænse, hvorefter et forsikringsselskab, som beskæftiger fem ansatte eller færre, ikke er omfattet af kravet om etablering af en whistleblowerordning. Når et forsikringsselskab beskæftiger flere end fem ansatte, skal forsikringsselskabet senest tre måneder efter ansættelsen af den sjette ansatte have etableret en whistleblowerordning.

Det foreslås i stk. 4, at Finanstilsynet kan dispensere fra kravet i stk. 1 i særlige tilfælde, hvor Finanstilsynet vurderer, at det vil være formålsløst, at der oprettes en ordning.

Dispensation kan alene gives, hvor der foreligger særlige forhold, som tilsiger, at det ikke vil være hensigtsmæssigt at stille krav om etablering af en whistleblowerordning. Eksempler herpå kan være, hvis overskridelsen af grænsen på 5 ansatte er midlertidig, eller hvis virksomheden er under afvikling.

Finanstilsynet kan imidlertid ikke undtage fra kravene i lov om beskyttelse af whistleblowere. Forsikringsselskaber med 50 eller flere ansatte vil derfor skulle have en whistleblowerordning i henhold til lov om beskyttelse af whistleblowere og leve op til kravene i denne lov, uanset at Finanstilsynet måtte undtage virksomheden fra kravet i stk. 1.