Uppdaterad för 2024

Visselblåsarlagen i Sverige – Vad ditt företag behöver veta

Den 17 december 2021 trädde Lag (2021:890) om skydd för personer som rapporterar om missförhållanden i kraft i Sverige. Lagen, som ofta kallas visselblåsarlagen, implementerar EU:s visselblåsardirektiv (2019/1937) och ställer tydliga krav på organisationer att upprätta interna rapporteringskanaler och skydda personer som rapporterar om missförhållanden. Denna guide ger dig en komplett översikt över lagkraven, tidsfristerna, sanktionerna och de steg du behöver ta för att säkerställa efterlevnad.

Bakgrund och rättslig kontext

Visselblåsarlagen (Lag 2021:890) bygger på EU:s direktiv 2019/1937 om skydd för personer som rapporterar om överträdelser av unionsrätten. Sverige valde att gå längre än direktivets minimikrav genom att även inkludera rapportering om missförhållanden som strider mot svensk lagstiftning, inte enbart EU-rätten.

Syftet med lagen är att skapa trygga kanaler för anställda och andra personer att rapportera om allvarliga missförhållanden utan rädsla för repressalier. Genom att uppmuntra tidig rapportering kan organisationer upptäcka och åtgärda problem innan de eskalerar till allvarliga skador för verksamheten, dess anställda eller samhället i stort.

Arbetsmiljöverket är den myndighet som ansvarar för tillsyn av att verksamhetsutövare med 50 eller fler arbetstagare upprättar interna rapporteringskanaler. Myndigheten tar även emot externa rapporter om missförhållanden inom sitt tillsynsområde, och kan vidta åtgärder om organisationer inte uppfyller sina skyldigheter enligt lagen.

Viktigt Alla verksamhetsutövare med 50 eller fler anställda är skyldiga att ha interna rapporteringskanaler på plats. Underlåtenhet att upprätta sådana kanaler kan leda till vitesförelägganden från Arbetsmiljöverket.

Vem omfattas av lagen?

Visselblåsarlagen gäller för ett brett spektrum av organisationer inom både privat och offentlig sektor. Skyddet gäller inte bara anställda utan även konsulter, volontärer, praktikanter, aktieägare och personer i företagsledningen.

Privat sektor

Alla privata verksamhetsutövare med 50 eller fler anställda är skyldiga att upprätta interna rapporteringskanaler. Detta omfattar aktiebolag, handelsbolag, ekonomiska föreningar och andra juridiska personer. Företag med 250 eller fler anställda var tvungna att ha sina kanaler på plats redan den 17 juli 2022, medan företag med 50 till 249 anställda fick en förlängd tidsfrist till den 17 december 2023. Även mindre företag kan frivilligt välja att inrätta rapporteringskanaler, vilket rekommenderas som god praxis.

Offentlig sektor

Alla kommuner, regioner och statliga myndigheter med 50 eller fler anställda omfattas av lagen. Offentliga verksamhetsutövare har samma skyldigheter som privata när det gäller att upprätta interna rapporteringskanaler, bekräfta mottagande av rapporter och ge återkoppling till rapporterande personer. Den offentliga sektorn har dessutom ett särskilt ansvar att säkerställa att rapporteringskanaler är tillgängliga och att skyddet för visselblåsare upprätthålls i enlighet med offentlighetsprincipen och sekretesslagstiftningen.

Krav på interna rapporteringskanaler

Lagen ställer detaljerade krav på hur interna rapporteringskanaler ska utformas och drivas. Följande krav måste uppfyllas för att säkerställa efterlevnad:

  • Kanalen ska möjliggöra rapportering både skriftligt och muntligt, och på begäran genom fysiska möten inom skälig tid.
  • Rapporterande personer ska kunna rapportera anonymt om de så önskar. Anonymiteten ska skyddas genom hela processen.
  • Mottagande av en rapport ska bekräftas till den rapporterande personen inom sju dagar från mottagandet.
  • Återkoppling om vilka åtgärder som vidtagits ska ges inom tre månader från bekräftelsen av mottagandet.
  • En eller flera oberoende och självständiga personer eller enheter ska utses som ansvariga för att ta emot, följa upp och lämna återkoppling på rapporter.
  • Tydlig och lättillgänglig information om rapporteringsförfarandet ska finnas tillgänglig för alla potentiella rapporterande personer.
  • Alla personuppgifter som behandlas inom ramen för rapporteringen ska hanteras i enlighet med dataskyddsförordningen (GDPR) och kompletterande svensk lagstiftning.
  • Dokumentation och register över inkomna rapporter ska bevaras i enlighet med lagens krav, normalt inte längre än två år efter att ärendet avslutats.
  • Kanalen ska vara säker och konfidentiell, och obehöriga personer ska inte ha tillgång till rapporterade uppgifter.
  • Verksamhetsutövaren ska se till att de personer som hanterar rapporter har lämplig utbildning och kompetens.

Tidsfrister för implementering

ÅtgärdTidsfrist
Företag med 250+ anställda ska ha interna kanaler17 juli 2022
Företag med 50–249 anställda ska ha interna kanaler17 december 2023
Bekräftelse av mottagande till rapporterande personInom 7 dagar
Återkoppling om vidtagna åtgärderInom 3 månader
Offentliga verksamhetsutövare med 50+ anställda17 december 2023

Organisationer som ännu inte har implementerat interna rapporteringskanaler bör agera omedelbart för att undvika sanktioner. Arbetsmiljöverket genomför löpande tillsyn och kan när som helst kontrollera att kraven efterlevs.

Sanktioner vid bristande efterlevnad

Vad händer om ditt företag inte uppfyller kraven?

  • Arbetsmiljöverket kan utfärda förelägganden och förbud förenade med vite mot verksamhetsutövare som inte uppfyller sina skyldigheter att upprätta interna rapporteringskanaler.
  • Vitesbeloppen fastställs utifrån verksamhetens storlek, art och de omständigheter som råder i det enskilda fallet. Beloppen kan bli betydande för större organisationer.
  • Repressalier mot en rapporterande person kan leda till skadeståndsskyldighet. Den som utsätter en visselblåsare för repressalier kan bli skyldig att betala ersättning för den skada som uppstått.
  • Den som hindrar eller försöker hindra rapportering kan dömas till skadestånd. Detta gäller även försök att identifiera en anonym rapporterande person.
  • Brott mot tystnadsplikten avseende en rapporterande persons identitet kan leda till straffrättsliga påföljder enligt tillämplig lagstiftning.
  • Vid allvarliga eller upprepade överträdelser kan Arbetsmiljöverket vidta ytterligare åtgärder, inklusive offentliggörande av bristerna, vilket kan medföra betydande anseendeskador.

Utöver de rättsliga sanktionerna riskerar organisationer som inte uppfyller kraven betydande skador på sitt anseende och sin förmåga att attrahera och behålla kompetenta medarbetare.

Skydd för visselblåsare

Visselblåsarlagen ger ett starkt skydd för personer som rapporterar om missförhållanden. Skyddet omfattar flera dimensioner och syftar till att säkerställa att ingen som rapporterar i god tro ska behöva drabbas av negativa konsekvenser.

  • Förbud mot repressalier: Arbetsgivare och andra verksamhetsutövare får inte utsätta en rapporterande person för repressalier som uppsägning, degradering, omplacering, lönesänkning, trakasserier eller andra negativa åtgärder som en följd av rapporteringen.
  • Omvänd bevisbörda: Om en rapporterande person gör gällande att denne utsatts för repressalier är det arbetsgivaren som har bevisbördan att visa att åtgärden inte var en följd av rapporteringen.
  • Konfidentialitetsskydd: Identiteten på den rapporterande personen ska skyddas och får inte röjas utan personens uttryckliga samtycke, utom i fall där det krävs enligt lag.
  • Skadeståndsskydd: En rapporterande person som utsätts för repressalier har rätt till skadestånd. Skadeståndet ska täcka både ekonomisk och ideell skada.
  • Ansvarsfrihet: En rapporterande person som i samband med rapporteringen åsidosätter tystnadsplikt ska inte hållas ansvarig för detta, förutsatt att personen hade skälig anledning att tro att rapporteringen var nödvändig för att avslöja missförhållandet.
  • Skydd för medhjälpare: Skyddet gäller även för personer som bistår den rapporterande personen, exempelvis fackliga företrädare eller kollegor som hjälper till med rapporteringen.
  • Skydd mot diskriminering: En rapporterande person skyddas även mot indirekt diskriminering och subtila former av negativ behandling som kan kopplas till rapporteringen.

Skyddet gäller under förutsättning att den rapporterande personen vid tidpunkten för rapporteringen hade skälig anledning att anta att informationen om missförhållandena var sann. Skyddet gäller inte för information som personen vet är falsk.

Steg för att uppnå efterlevnad

1

Kartlägg er situation

Fastställ hur många anställda er organisation har och vilka tidsfrister som gäller. Identifiera befintliga rapporteringskanaler och bedöm om de uppfyller lagens krav.

2

Utse ansvarig funktion

Identifiera och utse en eller flera oberoende personer eller en enhet som ska ansvara för att ta emot, följa upp och lämna återkoppling på rapporter.

3

Välj en säker rapporteringskanal

Implementera en digital rapporteringslösning som uppfyller kraven på konfidentialitet, anonymitet och säkerhet. Se till att kanalen möjliggör både skriftlig och muntlig rapportering.

4

Upprätta rutiner och riktlinjer

Dokumentera förfarandet för rapportering, inklusive hur rapporter tas emot, bekräftas, utreds och följs upp. Fastställ tidsramar i enlighet med lagen.

5

Informera alla berörda

Se till att alla anställda, konsulter och andra potentiella rapporterande personer informeras om rapporteringskanalen och hur den fungerar. Gör informationen lättillgänglig.

6

Utbilda hanterande personal

Ge de personer som ansvarar för att hantera rapporter utbildning i lagens krav, dataskydd, utredningsmetodik och konfidentiell hantering av känsliga uppgifter.

7

Säkerställ dataskyddsefterlevnad

Genomför en konsekvensbedömning avseende dataskydd (DPIA) om det behövs och se till att all behandling av personuppgifter inom rapporteringsprocessen uppfyller GDPR:s krav.

8

Testa och utvärdera

Genomför tester av rapporteringskanalen för att säkerställa att den fungerar korrekt. Utvärdera och förbättra rutinerna löpande baserat på erfarenheter och eventuella lagändringar.

Så kan Whistlebox hjälpa dig

Whistlebox erbjuder en komplett digital lösning för att uppfylla kraven i den svenska visselblåsarlagen. Vår plattform är utformad för att göra det enkelt, säkert och kostnadseffektivt att upprätta och driva en intern rapporteringskanal som uppfyller alla lagkrav.

Helt anonym rapportering med krypterad kommunikation som skyddar visselblåsarens identitet genom hela processen.
Automatisk bekräftelse av mottagande inom den lagstadgade sjudagarsfristen, med inbyggda påminnelser för återkoppling.
Intuitiv ärendehantering som gör det enkelt att följa upp, utreda och dokumentera varje rapport i enlighet med lagens krav.
GDPR-kompatibel datahantering med automatisk radering av personuppgifter när de inte längre behövs.
Stöd för rapportering på flera språk, inklusive svenska, engelska och övriga nordiska språk.
Fullständig revisionslogg som dokumenterar alla åtgärder och beslut, vilket ger trygghet vid tillsyn från Arbetsmiljöverket.
Enkel installation utan behov av teknisk kompetens – ni kan vara igång inom minuter.
Dedikerad kundsupport som hjälper er genom hela implementeringsprocessen och ger löpande stöd.
Skapa gratis kontoBoka en demo