Visselblåsarlagen: Komplett guide för arbetsgivare 2025

Innehållsförteckning

• Vad är visselblåsarlagen?
• För vilka gäller visselblåsarlagen?
• Vad kan rapporteras enligt visselblåsarlagen?
• Vem kan visselblåsa?
• Anonymitet och skydd för visselblåsare
• Interna rapporteringskanaler – krav och utformning
• Implementering av visselblåsarsystem
• Hantering av visselblåsarärenden
• Sanktioner och tillsyn
• Vanliga frågor om visselblåsarlagen

Vad är visselblåsarlagen?

Visselblåsarlagen (Lag om skydd för personer som rapporterar om missförhållanden) är den svenska implementeringen av EU:s visselblåsardirektiv. Lagen trädde i kraft den 17 december 2021 och har som huvudsyfte att:

1. Stärka skyddet för personer som rapporterar om missförhållanden (visselblåsare)
2. Göra det enklare och säkrare att larma om missförhållanden
3. Ställa tydligare krav på organisationer att inrätta rapporteringskanaler
4. Skydda visselblåsare mot repressalier från arbetsgivare
5. Ge rätt till skadestånd om en visselblåsare utsätts för repressalier

Den svenska visselblåsarlagen går längre än EU-direktivet i vissa avseenden och ger ett mer omfattande skydd, särskilt gällande vilka områden som omfattas och vem som kan rapportera.

Skapa ett konto hos Wndy för att få tillgång till juridiskt granskade visselblåsarpolicys och verktyg för compliance. Kom igång gratis!

För vilka gäller visselblåsarlagen?

Visselblåsarlagen implementeras stegvis baserat på organisationens storlek:

Företag med 250+ anställda

• Kravet på intern rapporteringskanal gäller sedan 17 juli 2022
• Full implementering krävs inklusive rutiner för uppföljning och återkoppling

Företag med 50-249 anställda

• Kravet på intern rapporteringskanal gäller sedan 17 december 2023
• Samma krav på fullständig implementering som större företag
• Om ett företag under året passerar 50 anställda måste visselblåsarfunktionen upprättas vid ingången av nästa kalenderår

Företag med färre än 50 anställda

• Omfattas av lagen men behöver inte inrätta intern rapporteringskanal
• Visselblåsning sker istället via externa rapporteringskanaler
• Skyddet för visselblåsare gäller oavsett företagets storlek

Offentlig verksamhet

• Kravet på intern rapporteringskanal gäller sedan 17 juli 2022
• Särskilda bestämmelser kan gälla för sekretessbelagd information

Kom igång med Wndy för att säkerställa att ditt företag uppfyller alla lagkrav enligt visselblåsarlagen. 

Vad kan rapporteras enligt visselblåsarlagen?

Visselblåsarlagen omfattar rapportering av missförhållanden inom flera områden. Detta är en utvidgning jämfört med tidigare lagstiftning som endast omfattade allvarliga missförhållanden.

Missförhållanden som kan rapporteras:

1. Brott mot svensk lagstiftning
   • Ekonomisk brottslighet
   • Korruption
   • Miljöbrott
   • Arbetsmiljöbrott
2. Brott mot EU-rätt inom områden som:
   • Offentlig upphandling
   • Finansiella tjänster
   • Produktsäkerhet
   • Transportskydd
   • Miljöskydd
   • Strålskydd
   • Livsmedels- och fodersäkerhet
   • Djurhälsa
   • Folkhälsa
   • Konsumentskydd
   • Skydd av privatlivet och personuppgifter
   • Säkerhet i nätverks- och informationssystem
3. Missförhållanden av allmänintresse, exempelvis:
   • Allvarlig vanvård
   • Produkter som utgör säkerhetsrisker
   • Finansiering av terrorism
   • Skattebedrägeri
   • Allvarliga överträdelser av företagspolicyer
   • Systematiska brister i arbetsmiljön

Kravet på allmänintresse innebär att rapporten ska ha ett samhällsintresse och inte enbart beröra personliga eller enskilda arbetsrättsliga konflikter.

Vem kan visselblåsa?

Den svenska visselblåsarlagen ger ett brett skydd som omfattar flera kategorier av personer i arbetsrelaterade sammanhang.

Personer som kan visselblåsa med lagens skydd:

• Anställda (nuvarande och tidigare)
• Arbetssökande
• Praktikanter
• Volontärer
• Egenföretagare och konsulter
• Personer i företagets förvaltnings-, lednings- eller tillsynsorgan
• Aktieägare som är verksamma i bolaget
• Personer som bistår vid rapportering
• Anhöriga till visselblåsare som drabbas av repressalier

En viktig skillnad i den nya lagen är att skyddet gäller både före anställningen (t.ex. för arbetssökande) och efter anställningens upphörande.

Anonymitet och skydd för visselblåsare

Anonymitet och skydd för visselblåsare är centrala aspekter av den svenska visselblåsarlagen.

Anonymitetsskydd

• Visselblåsare har rätt att vara anonyma
• Rapporteringskanaler måste utformas så att anonymitet kan garanteras
• Identiteten får endast röjas om visselblåsaren uttryckligen samtycker eller om det krävs enligt lag
• Även tredje personer som nämns i rapporteringen har rätt till sekretesskydd

Skydd mot repressalier

Visselblåsarlagen förbjuder alla former av repressalier mot visselblåsare, inklusive:

• Uppsägning eller avskedande
• Ändrade arbetsuppgifter, ansvarsområden eller arbetstider
• Utebliven befordran eller löneökning
• Trakasserier eller mobbning
• Skadeståndskrav
• Svartlistning inom en bransch
• Förtida avslut av varukontrakt eller avtal om tjänster

Skadestånd vid repressalier

Om en visselblåsare utsätts för repressalier har denne rätt till skadestånd. Skadeståndet omfattar:

• Ekonomisk ersättning för förlorad inkomst
• Ersättning för kränkning
• Eventuell ytterligare skada orsakad av repressalierna

Interna rapporteringskanaler – krav och utformning

För företag med 50 eller fler anställda ställer visselblåsarlagen specifika krav på de interna rapporteringskanalerna. Dessa krav säkerställer att rapporteringen är säker, konfidentiell och effektiv.

Tekniska krav på rapporteringskanal

1. Tillgänglighet och användarvänlighet
   • Kanalen ska vara lättillgänglig för alla potentiella visselblåsare
   • Gränssnittet ska vara intuitivt och enkelt att använda
   • Information om hur kanalen används ska finnas tillgänglig
2. Format för rapportering
   • Ska möjliggöra både skriftlig och muntlig rapportering
   • Skriftlig: via post, e-post, eller digital plattform
   • Muntlig: via telefon, röstmeddelandesystem eller fysiskt möte
3. Säkerhet och sekretess
   • Högsta sekretess för visselblåsarens identitet
   • Dataskydd enligt GDPR
   • Skydd mot obehörig åtkomst
   • Säker lagring av information

Organisatoriska krav

1. Behöriga mottagare
   • Tydligt utsedda personer som har behörighet att ta emot rapporter
   • Kan vara interna medarbetare eller extern tredje part
   • Oberoende ställning för att undvika intressekonflikter
2. Tidsramar
   • Bekräftelse av mottagen rapport inom 7 dagar
   • Återkoppling till visselblåsaren inom högst 3 månader
   • Tydlig tidplan för utredning och uppföljning
3. Dokumentation
   • Dokumenterad policy för visselblåsning
   • Rutiner för mottagande, hantering och uppföljning
   • Spårbarhet i ärendehantering
   • Gallring enligt lagkrav (max 2 år efter avslutat ärende)

Exempel på kanalutformning

• Digital plattform: Krypterad webportal med möjlighet till anonym rapportering
• Telefonlinje: Dedikerad telefonlinje bemannad av behöriga personer eller med inspelningsmöjlighet
• E-postsystem: Särskild e-postadress med begränsad åtkomst
• Fysiska möten: Möjlighet att boka konfidentiella möten på begäran av visselblåsaren

Det är tillåtet att anlita tredje part för att hantera den interna rapporteringskanalen, så länge tredje parten uppfyller kraven på oberoende, sekretess och säkerhet.

Implementering av visselblåsarsystem

Att implementera ett visselblåsarsystem som uppfyller lagens krav kräver noggrann planering och strukturerad implementering.

Steg-för-steg implementeringsguide

1. Förberedelse och planering
   • Utse ansvarig projektledare
   • Identifiera behöriga mottagare av rapporter
   • Besluta om intern hantering eller extern lösning
   • Utforma tidsplan för implementering
2. Utformning av policy och rutiner
   • Skapa en visselblåsarpolicy som beskriver:
     • Syftet med visselblåsarsystemet
     • Vilka missförhållanden som kan rapporteras
     • Vem som kan rapportera
     • Hur rapportering sker
     • Hantering av anonymitet
     • Process för utredning och återkoppling
   • Utveckla rutiner för mottagande och hantering
   • Skapa mallar för dokumentation
3. Val och implementering av teknisk lösning
   • Välja en säker teknisk plattform
   • Säkerställa GDPR-efterlevnad
   • Testa systemet för säkerhet och funktionalitet
   • Integrera med befintliga system vid behov
4. Utbildning av nyckelpersoner
   • Träna behöriga mottagare
   • Utbilda HR och ledning
   • Säkerställa kompetens kring sekretess och utredningsmetodik
5. Information och kommunikation
   • Informera alla anställda om visselblåsarsystemet
   • Tillgängliggöra policy och instruktioner
   • Skapa förtroende för systemet genom öppen kommunikation
6. Löpande uppföljning och utvärdering
   • Regelbunden översyn av systemet
   • Uppdatering baserat på erfarenheter
   • Säkerställa fortsatt regelefterlevnad

Vanliga utmaningar vid implementering

• Skapa förtroende – Anställda måste känna sig trygga att använda systemet
• Balansera anonymitet och utredningsbehov – Tillräcklig information trots anonymitet
• Datasäkerhet – Hantera känslig information säkert
• Kompetensförsörjning – Säkerställa rätt kompetens hos behöriga mottagare
• Kostnad vs compliance – Hitta kostnadseffektiva lösningar som uppfyller lagkrav

Hantering av visselblåsarärenden

Korrekt hantering av visselblåsarärenden är avgörande för att uppfylla lagens krav och skapa förtroende för systemet.

Mottagande av rapport

1. Initial bedömning
   • Kontrollera om ärendet faller inom lagens tillämpningsområde
   • Bekräfta mottagande inom 7 dagar
   • Bedöma behov av ytterligare information
2. Sekretess och dokumentation
   • Säkra all information med strikt åtkomstkontroll
   • Dokumentera ärendet i säkert system
   • Skydda visselblåsarens identitet

Utredningsprocess

1. Planering av utredning
   • Utse utredare (intern eller extern)
   • Fastställa omfattning och metodik
   • Upprätta tidplan
2. Genomförande av utredning
   • Insamling av relevant information
   • Intervjuer vid behov
   • Analys av underlag
   • Säkerställa objektivitet och rättssäkerhet
3. Beslut och åtgärder
   • Bedöma om missförhållande föreligger
   • Besluta om åtgärder
   • Dokumentera beslut och motivering

Återkoppling och avslut

1. Återkoppling till visselblåsaren
   • Ge återkoppling inom 3 månader
   • Informera om utredningsresultat (med hänsyn till sekretess)
   • Informera om eventuella åtgärder
2. Avslut och gallring
   • Formellt avsluta ärendet
   • Dokumentera lärdomar
   • Gallra personuppgifter enligt lagkrav (max 2 år)

Specialfall: Externa rapporteringskanaler

Om rapportering sker via extern kanal (myndighet) gäller andra regler:

• Myndigheten har eget utredningsansvar
• Organisationen kan bli kontaktad av myndigheten
• Samma skydd för visselblåsaren gäller

Sanktioner och tillsyn

Efterlevnad av visselblåsarlagen övervakas av tillsynsmyndigheter, och bristande efterlevnad kan leda till sanktioner.

Tillsynsmyndighet

Arbetsmiljöverket är ansvarig tillsynsmyndighet för visselblåsarlagen med befogenhet att:

• Begära in uppgifter från företag
• Genomföra inspektioner
• Utfärda förelägganden
• Utdöma vite

Potentiella sanktioner

1. Vite
   • Storleken anpassas efter företagets ekonomiska situation
   • Ska vara tillräckligt stort för att säkerställa efterlevnad
   • Kan utdömas om företaget inte följer lagen eller inte lämnar begärda uppgifter
2. Skadestånd
   • Visselblåsare som utsätts för repressalier har rätt till skadestånd
   • Omfattar både ekonomisk ersättning och ersättning för kränkning
   • Betalas av arbetsgivaren

Företagets ansvar och skyldigheter

• Uppgiftsskyldighet – Skyldighet att lämna uppgifter till Arbetsmiljöverket
• Dokumentationsplikt – Dokumentera system och hantering
• Efterlevnad – Säkerställa att systemen uppfyller lagkraven
• Skydd – Aktivt skydda visselblåsare från repressalier

Vanliga frågor om visselblåsarlagen

Vad är skillnaden mellan visselblåsning och vanliga klagomål?

Visselblåsning handlar om rapportering av allvarliga missförhållanden eller lagöverträdelser av allmänintresse. Vanliga klagomål eller arbetsrättsliga konflikter omfattas normalt inte av visselblåsarlagen.

Måste visselblåsaren ha bevis för missförhållanden?

Nej, visselblåsaren behöver endast ha rimliga skäl att tro att informationen är sann vid rapporteringstillfället. Det krävs inte definitiva bevis.

Kan visselblåsaren vara helt anonym?

Ja, visselblåsarlagen garanterar rätten till anonymitet. Rapporteringskanaler måste vara utformade så att anonymitet kan upprätthållas om visselblåsaren önskar det.

Måste företaget implementera ett digitalt system?

Nej, lagen kräver inte specifikt ett digitalt system. Kravet är att det ska finnas säkra kanaler för både skriftlig och muntlig rapportering, vilket kan uppfyllas på olika sätt.

Vad händer om företaget inte inrättar en visselblåsarfunktion?

Arbetsmiljöverket kan utfärda föreläggande och utdöma vite om ett företag med 50 eller fler anställda inte inrättar en intern rapporteringskanal enligt lagens krav.

Hur länge får visselblåsarinformation sparas?

Personuppgifter får sparas så länge det är nödvändigt för ärendehanteringen, men maximalt i två år efter att ärendet avslutats.

Kan man outsourca hanteringen av visselblåsarfunktionen?

Ja, företag kan anlita en extern part för att hantera rapporteringskanalen och utredningar, så länge kraven på sekretess, oberoende och säkerhet uppfylls.

Säkerställ efterlevnad av visselblåsarlagen med Wndy

Att implementera och förvalta ett visselblåsarsystem som uppfyller alla lagkrav kan vara utmanande. Wndy erbjuder experthjälp för att göra processen smidig och säker.

Våra HR-experter hjälper dig med:

• Skräddarsydd visselblåsarpolicy anpassad till din verksamhet
• Implementering av säkra rapporteringskanaler
• Utbildning av behöriga mottagare
• Löpande support vid hantering av ärenden
• Uppdateringar vid lagändringar

Som kund hos Wndy får du tillgång till:

• Juridiskt granskade mallar för visselblåsarpolicy
• Expertråd vid specifika frågeställningar
• Utbildningsmaterial för hela organisationen