Ilmoitus saapui — mitä tehdä ensimmäisten 72 tunnin aikana
Whistleblowing-ilmoituksen käsittely alkaa ennen kuin luet sisältöä. Väärät ensi askeleet vuotaavat tutkinnan tai paljastavat ilmoittajan. Tässä 72 tunnin playbook ilmoituksen tullessa.
Ensimmäinen whistleblowing-ilmoitus on aina se vaikein. Teoreettinen compliance on kauniina kansiossa — mutta kun tulee oikea ilmoitus joka väittää jotain oikeasti hankalaa, ensimmäiset tunnit ratkaisevat onnistuuko tutkinta vai vuotaako se.
Tämä on 72 tunnin playbook. Se on lainsäädännön (1171/2022) ja GDPR:n mukainen ja suunniteltu niin että et tee yhtäkään peruuttamatonta askelta ensimmäisen 3 päivän aikana.
Tunti 0–2: älä tee mitään
Kirjaimellisesti. Älä vielä lue ilmoitusta sisällöllisesti. Älä vielä avaa tutkintaa. Älä vielä soita mitään. Sen sijaan tee nämä kolme tarkistusta:
1. Kenellä on pääsy?
Jos nimetty käsittelijä on itse ilmoituksen aiheessa tai raportoitavan henkilön lähimmäinen, pääsy on ensimmäinen vuoto. Varmista että järjestelmä rajoittaa pääsyn ilmoituksiin joita käsittelijä ei voi oikeutetusti käsitellä.
Esimerkiksi:
- HR-johtaja ei saa käsitellä ilmoituksia joissa hän itse mainitaan
- Talousjohtaja ei saa käsitellä ilmoituksia jotka koskevat hänen suoria alaisiaan
Velton pipeline-järjestelmässä voidaan asettaa role-based access control niin että näitä konflikteja ei pääse syntymään. Tarkista että samanlainen rajoitus on teidän järjestelmässä.
2. Onko ilmoitus selvästi väärässä kanavassa?
Toisinaan työntekijä käyttää whistleblowing-kanavaa valittaakseen asioista jotka eivät kuulu lain piiriin:
- Henkilökohtainen riita kollegan kanssa
- Tyytymätön palkkaus
- Yleinen tyytymättömyys esimieheen
Nämä eivät ole direktiivin (2019/1937) tarkoittamia rikkomuksia. Et silti sulje ilmoitusta — ilmoittajansuojelulaki suojaa myös niitä jotka uskoivat ilmoituksen aiheellisuuteen. Mutta käsittely ohjataan oikeaan kanavaan (esimieheen, työsuojeluvaltuutetulle, jne.) ja tämä dokumentoidaan.
3. Onko kyseessä välitön turvallisuusuhka?
Jos ilmoituksesta käy ilmi:
- Välitön uhka ihmisten turvallisuudelle
- Käynnissä oleva rikos
- Luvaton pääsy turvallisuusjärjestelmiin
Keskeytät tämän playbookin ja siirryt suoraan kriisiprotokollaaan (hätäkokous, poliisi jos tarpeen). 72h-playbook koskee "normaaleja" whistleblowing-ilmoituksia.
Tunti 2–24: vastaanottovahvistus
Ilmoittajansuojelulaki 14 § vaatii vastaanottovahvistuksen 7 vuorokauden sisällä. Älä odota viimeistä hetkeä — tee se 24h sisään.
Mitä vastaus sisältää: Ilmoituksesi on vastaanotettu [pvm]. Käsittelijä: [nimetty henkilö / tehtävänimike, ei yksityishenkilön nimeä] Seuraava askel: alustava arviointi, kesto arviolta 14–21 pv Sinua koskee: kostotoimien kielto (ilmoittajansuojelulaki 23 §). Jos koet irtisanomis-, siirto- tai muuta painostusyritystä tämän ilmoituksen jälkeen, ilmoita siitä kanavassa välittömästi. Voit palata ilmoitukseesi referenssikoodilla [XXX]. Seuraavan päivityksen saat [pvm + 21 pv] mennessä, viimeistään [pvm + 90 pv]. Kriittiset yksityiskohdat:
- Älä paljasta mitään ilmoituksen sisällöstä vahvistuksessa (se on jo rekisteröity, ei tarvetta toistaa)
- Aikataulu pitää olla realistinen — lupaus päivityksestä 3 kk sisään on lakiminimi
- Kostotoimien maininta tekee oikeudellisen suojan ilmoittajalle selväksi
Tunti 24–48: tutkintatiimin kokoaminen
Kokoa tutkintatiimi kolmesta rooleista:
1. Pääkäsittelijä
Henkilö joka raportoi suoraan hallitukselle tai toimitusjohtajalle (riippumatta raportoitavasta kohteesta). Yleensä Chief Compliance Officer, päälakimies tai ulkopuolinen asianajaja.
2. Asiantuntija (sisältöön)
Riippuu ilmoituksen aiheesta:
- Taloudellinen rikkomus → tilintarkastaja tai sisäinen tarkastus
- Syrjintä → tasa-arvo- ja yhdenvertaisuusvaltuutettu tai HR-asiantuntija (ei HR-johtaja jos raportoitava alue)
- Tietosuojarikkomus → tietosuojavastaava (DPO)
- Ympäristörikkomus → ulkoinen ympäristöasiantuntija
3. Dokumentoija
Henkilö joka kirjaa tutkinnan vaiheet. Tämä on erillinen rooli, ei pääkäsittelijä. Miksi: jos pääkäsittelijä joutuu myöhemmin todistajaksi oikeudessa, dokumentointi on arvokasta objektiivista evidenssiä.
Kaikkien kolmen pitää allekirjoittaa NDA tutkinnasta. Ilmoittajan henkilöllisyys pysyy piilossa myös tältä tiimiltä, jos on tekninen mahdollisuus — parhaassa järjestelmässä ilmoitusta käsitellään pelkän referenssikoodin kautta.
Tunti 48–72: evidence preservation
Ennen kuin aloitat aktiivista tutkintaa, säilytä olemassa oleva evidenssi kunnes tutkinta valmis:
Sähköpostit ja Teams/Slack
Jos ilmoitus koskee tietyn henkilön kommunikaatiota, pyydä IT:tä tallentamaan kyseisen kauden sähköposti- ja chat-backupit erikseen niin että niitä ei poisteta retention-politiikan takia. Tämä pyyntö ei saa paljastaa ilmoitusta IT:lle — yleensä tehdään legal holdina ilman syytäkuvausta.
Dokumentit
Sama dokumenteille — legal hold.
Kulukortit / matkakuitit
Jos ilmoitus koskee taloudellista rikkomusta, kulukortti- ja matkakuittijärjestelmän data.
Mitä et tee:
- Älä pyydä kopiota raportoitavan henkilön koneelta (johtaa epäilyihin)
- Älä käynnistä kameran- tai kuunteluseurantaa — laitonta
- Älä "kerää taustatietoa" sosiaalisesta mediasta — ei kelpaa evidenssinä, voi tulkita kostotoimeksi
Anti-retaliation ankkurointi
Päivämäärällä ennen aktiivista tutkintaa, pyydä HR:ltä kirjallinen lista:
- Kenen työsuhteet ovat aktiivisesti tarkastelussa tai uhattuna
- Kenelle on valmiusluontelu irtisanomisprosessissa
- Kuka on lomautettu tai siirtymässä lomautukseen
Tallenna tämä lista päivämäärän kanssa. Jos ilmoituksen jälkeen joku ilmoittajalle ominaisuuksiltaan sopiva henkilö irtisanotaan, lista todistaa että päätös oli jo prosessissa (tai ei ollut). Ilmoittajansuojelulain 23 § kääntää todistustaakan työnantajalle — tämä lista on teidän puolustuksenne tai hälytyskellonne.
Ensimmäinen viestintä ilmoittajalle (72h kohdalla)
72h kohdalla voit antaa ensimmäisen sisällöllisen päivityksen, jos asia on selvä: Päivitys ilmoitukseesi [XXX]: [ ] Tutkinta käynnistetty — arvioitu valmistumisaika [pvm] [ ] Lisätietoja tarvitaan: [mitä kysymyksiä] [ ] Ilmoitus ohjattu [HR-prosessiin / työsuojeluvaltuutetulle] [ ] Alustavaa arviointia jatketaan Seuraava päivitys: [pvm] Tämä ei korvaa 3 kk lopullista vastausta, mutta pitää ilmoittajan informoituna ja vahvistaa että prosessi etenee.
Mitä et koskaan tee
- Älä etsi ilmoittajaa. Järjestelmässä hänen henkilöllisyys on piilossa. Jos yrität johtaa sen, rikot ilmoittajansuojelulain 12 §.
- Älä puhu ilmoituksesta sosiaalisesti. Ei kahvihuoneessa, ei lounaalla, ei paljon puheenakaan tutkintatiimin ulkopuolella. Vuoto on tutkinnan pilaamista.
- Älä lupaa "ei mitään tapahdu" raportoitavalle henkilölle. Suljettu tutkinta on suljettu — avoin on avoin. Ei spekulatiivisia vakuutuksia.
- Älä päätä tutkintaa 72h sisään. Jos tekee niin, viestii että ilmoitus on turha. Minimikäsittelyaika on realistisesti 2–3 viikkoa edes triviaaliin ilmoitukseen.
Lopuksi — 72h yhteenveto
| Aika | Toimenpide |
|---|---|
| 0–2 h | Pääsynhallinnan tarkistus, triage (oikea kanava?) |
| 2–24 h | Vastaanottovahvistus ilmoittajalle (kostotoimien muistutus) |
| 24–48 h | Tutkintatiimin kokoaminen (pääkäsittelijä + asiantuntija + dokumentoija), NDA:t |
| 48–72 h | Evidence preservation (legal hold IT:ltä), HR-irtisanomislista ankkuriksi |
| 72 h | Ensimmäinen sisällöllinen päivitys ilmoittajalle |
Velton rooli tässä
Velton whistleblowing-moduuli:
- Pakottaa vastaanottovahvistuksen 7 pv:n sisällä muistutusjärjestelmällä
- Tarjoaa rooli-pohjaisen pääsyn (HR-johtaja ei näe häntä itseään koskevia ilmoituksia)
- Säilyttää ilmoittajan identiteetin tekniikan tasolla piilossa — ei ole olemassa sinne katsottavaksi
- Logittaa kaikki tutkintaaskeleet audit-kirjalle (kuka luki, kuka vastasi, milloin)
Aloita: velto.fi/ilmoittaja.
Saa uudet kirjoitukset sähköpostiin
Lyhyt viesti kun uusi blogi ilmestyy. Ei muuta — ei myyntiä, ei tarjouksia.
Voit perua tilauksen milloin tahansa yhdellä klikkauksella.
Lisää luettavaa
18. huhtikuuta 2026
Miten valita whistleblower-kanava — 8 tarkistuskohtaa ennen allekirjoitusta
Markkinoilla on kymmeniä ilmoituskanavia hintahaitarilla 0 €/kk → 800 €/kk. Ero ei ole hinnassa vaan arkkitehtuurissa. Näin tunnistat pintaratkaisut ja valitset kanavan joka oikeasti täyttää direktiivin vaatimukset.
18. huhtikuuta 2026
GDPR ja ilmoittajakanava — mitä dataa saa kerätä, mitä ei
Ilmoittajansuojelulaki vaatii säilyttämään dataa 5 vuotta, GDPR vaatii minimoimaan sen. Nämä eivät ole ristiriidassa kun tiedät mikä on ilmoitusdatan minimisisältö ja mikä on ylimääräistä riskiä.
17. huhtikuuta 2026
Puhelinmyyjä soittaa kesken työpäivän — nopea vastaus ilman epäkohteliaisuutta
Olet palaverissä, työn alla keskittymistä vaativa tehtävä, tai ajat autoa. Myyjä ei tiedä mitään siitä. Yhden lauseen vastaus hoitaa tilanteen.