Frågor och svar om visselblåsarlagen

I december 2021 infördes en ny lag som gör att verksamheter med minst 50 anställda måste införa en visselblåsarfunktion utifrån en rad olika krav. Med rätt verktyg och förhållningssätt kan ni snabbare upptäcka och åtgärda missförhållanden, samtidigt som visselblåsarens identitet hålls hemlig, men vad innebär egentligen den nya lagstiftningen, vad ska man tänka på och hur inför man en visselblåsarfunktion rent konkret? Det får ni veta i följande frågor och svar.

Vad ligger bakom den nya lagstiftningen?

Det är en kedja av beslut som i grunden bygger på ett EU-direktiv, som nu införlivas i svensk lag:

7 oktober 2019. Europeiska rådet antar visselblåsardirektivet, som skapar en minimistandard inom EU för att skydda personer som slår larm om oegentligheter om exempelvis penningtvätt, offentlig upphandling och folkhälsa inom EU.
30 juni 2020. För att se över hur direktivet ska genomföras i svensk rätt tillsätts en utredning, vilket resulterar i ett betänkande med förslag på ny lagstiftning (SOU 2020:38) som ska ersätta nuvarande visselblåsarlag. Syftet är att det ska bli enklare, säkrare och tryggare att rapportera om missförhållanden.
29 september 2021. Riksdagen röstar ja till arbetsmarknadsutskottets förslag om ny lagstiftning.
17 december 2021. Den nya lagen, som heter Lag om skydd för personer som rapporterar om missförhållanden, träder i kraft.
17 juli 2022. Samtliga offentliga arbetsgivare som har minst 50 arbetstagare, samt alla arbetsgivare med fler än 249 arbetstagare (både inom privata och offentliga verksamheter), ska ha inrättat ett visselblåsarsystem.
17 december 2023. Privata arbetsgivare med 50-249 anställda ska ha inrättat ett visselblåsarsystem.

Vad innebär lagen i korthet?

I grunden handlar det om att ge ett starkare skydd för visselblåsare både inom privata och offentliga verksamheter, och som ställer krav på säkra och anonyma rapporteringssystem. Här är några av de viktigaste punkterna.

Arbetsgivare med minst 50 anställda måste inrätta system för hantering av visselblåsarärenden, inklusive tydliga rutiner för uppföljning.
Anmälda ärenden ska hanteras av särskilt utsedda personer som är oberoende och självständiga. Arbetsgivaren kan anlita extern part för detta.
Visselblåsarens identitet ska hållas hemlig och denne ska skyddas mot repressalier, som exempelvis uppsägning, hot, degradering och försämrade förmåner. Om detta trots allt sker kan skadestånd utkrävas.
Fler än tidigare omfattas av skyddet och möjligheten att larma. Utöver anställda handlar det exempelvis om volontärer, konsulter och praktikanter.
Det finns tydliga krav på processen, exempelvis vad gäller tidsfrister om återkoppling och gallring av ärenden.

På vilket sätt stärks skyddet för visselblåsare jämfört med tidigare?

Den nu gällande lagstiftningen är en ren skyddsreglering för att skydda arbetstagaren mot repressalier, och är inte tillräcklig för att leva upp till kraven i EU:s visselblåsardirektiv. Den nya lagen innebär en tydligare ordning för hur rapporter om missförhållanden ska omhändertas, bland annat genom att det ska införas särskilda rapporteringskanaler och att uppgifter som visselblåsares identitet ska omfattas av sekretess för att ge ett bättre skydd för den enskilde.

Vad är en rapporteringskanal?

Det är en kanal som gör det möjligt för visselblåsare att slå larm om ett missförhållande skriftligen, muntligen eller vid ett fysiskt möte. Funktionen ska kunna ta emot larm/rapporter samt ge möjlighet till kontakt, återkoppling och uppföljning med visselblåsaren på ett säkert sätt.

Utöver detta ska ett antal myndigheter ha en så kallad extern rapporteringskanal, dit visselblåsare kan slå larm om den interna kanalen exempelvis inte är lämplig eller tillräcklig.

Kan en koncern ha en gemensam visselblåsarfunktion?

Mindre företag, med 50 till 249 anställda, kan till viss del få dela på visselblåsarfunktionen kopplat till mottagning och utredning av ärenden.

När det gäller större företag är däremot inte tillåtet att dela på visselblåsarfunktionen. Trots att det i nuläget är relativt vanligt med den typen av koncerngemensamma lösningar, så behöver samtliga privata koncernbolag med fler än 249 anställda införa egna interna rapporteringskanaler. Däremot finns inga hinder att parallellt med detta ha kvar den koncerngemensamma lösningen.

Denna del av lagstiftningen går i linje med EU-direktivet, men har kritiserats av Svenskt näringsliv och flertalet chefsjurister på stora svenska företag, eftersom de anser att det ska finnas en möjlighet för koncerner att ha en gemensam visselblåsarfunktion. Kritiken till trots står det alltså klart att varje bolag, med fler än 249 anställda, i en koncern inte får dela interna rapporteringskanaler och förfaranden.

Vilka omfattas av den nya lagen?

Verksamheter med minst 50 anställda, inklusive offentliga organisationer och myndigheter, måste införa interna och säkra rapporteringskanaler för att hantera larm från visselblåsare.

En stor skillnad jämfört med tidigare är att inte bara anställda, utan även volontärer, praktikanter, egenföretagare, leverantörer, aktieägare och tidigare anställda omfattas av den nya lagen.

Går Sverige längre än vad EU-direktivet kräver?

Ja, EU-direktivet öppnar visserligen upp för att de allra minsta kommunerna skulle kunna undantas från kravet på interna rapporteringskanaler, men Sverige anser att även kommuner med färre än 10 000 invånare ska omfattas av det kravet. Detta motiveras bland annat med att det är viktigt att säkerställa att reglerna om offentlig upphandling respekteras inom offentlig verksamhet.

Utöver detta går Sverige också längre när det gäller vad som kan anmälas inom ramen för en visselblåsarfunktion (se nästa punkt).

Vilken typ av information kan rapporteras?

Den tidigare visselblåsarlagen kräver ett allvarligt missförhållande med fängelse på straffskalan, men utgångspunkten i den kommande lagstiftningen är något bredare och bygger på att det ska finnas ett allmänintresse av att informationen kommer fram. I praktiken innebär det att sådant som strider mot svensk lagstiftning och EU-rätten alltid kan rapporteras utan risk för repressalier, samt vid missförhållanden som är av intresse för en bredare krets av människor. Det ska också finnas ett legitimt intresse av att uppgifterna kommer fram.

Områden som nämns i direktivet är exempelvis offentlig upphandling, finansiella tjänster, förhindrande av penningtvätt och finansiering av terrorism, miljöskydd, folkhälsa, konsumentskydd och livsmedelssäkerhet. Beroende på omständigheterna kan det även anses finnas ett allmänintresse av att brott mot interna regler och principer kommer fram. Dessutom anses allmänheten generellt sett ha ett större intresse av att allmänna medel används ansvarsfullt än att privata medel gör det.

Rapporter som däremot handlar om den enskildes egen arbetssituation omfattas normalt sett inte av skyddet eftersom det finns andra sätt att hantera den typen av frågor. Undantaget är att missförhållandet är så pass allvarligt att det anses vara av allmänintresse att det kommer fram.

När visselblåsaren larmar krävs också att denne har skälig anledning att anta att informationen som lämnas är sann. Personer som medvetet lämnar felaktig information ska inte skyddas av den nya lagen.

Vem i organisationen ska hantera rapporteringskanalen?

Verksamheten ska utse särskilda oberoende och självständiga personer för att hantera mottagning, uppföljning och återkoppling av tips. Dessa personer kan antingen vara anställda hos arbetsgivaren eller anlitas av extern part för att hantera visselblåsarfunktionen för arbetsgivarens räkning.

Hur ska dokumentationen hanteras?

Uppgifter som framgår i rapporterna ska raderas senast två år efter att ärendet har avslutats. Anledningen till att de sparas har att göra med att dessa kan komma att användas som bevisning i rättstvister eller verkställighetsåtgärder. Därför är det också viktigt att dokumentera sådant som framkommer vid muntlig rapportering, om visselblåsaren lämnar samtycke till det. Självfallet måste lagringen även anpassas till andra gällande regelverk som exempelvis GDPR.

Måste visselblåsaren kunna vara anonym?

Det finns inga hinder i den nya lagen mot att visselblåsare ska kunna larma anonymt, men det finns heller inga krav på det. Däremot ska visselblåsarens identitet hållas hemlig genom den starkaste formen av sekretess.

En del leverantörer, exempelvis CRD Protection, erbjuder krypterade visselblåsarfunktioner med anonym tvåvägskommunikation, som möjliggör att utredare och visselblåsare kan kommunicera med varandra utan att visselblåsaren någonsin behöver röja sin identitet, inte ens för utredaren.

Vilka intressenter ska kunna anmäla?

Den nya lagstiftningen ger en bredare beskrivning av vilka som ska kunna skyddas när de larmar. Utöver anställda personer kan det även handla om praktikanter, volontärer och leverantörer.

Vilka tidsfrister måste man ta hänsyn till?

Den interna rapporteringskanalen måste utformas så att visselblåsaren inom sju dagar får en bekräftelse på att ärendet mottagits. Visselblåsaren ska även få en återkoppling inom tre månader om åtgärder som har vidtagits och skälen för dessa. Rapporterna måste gallras senast två år efter att de har avslutats.

Vad händer om visselblåsaren trots allt drabbas av repressalier?

Om en arbetsgivare bryter mot repressalieförbudet, alternativt hindrar att någon slår larm, har visselblåsaren rätt till skadestånd.

Vad händer om organisationen inte uppfyller kraven i lagen?

Då kan tillsynsmyndigheten, Arbetsmiljöverket, utfärda ett föreläggande som innebär att arbetsgivaren informeras om krav på att vidta specifika åtgärder. Ett föreläggande kan även förenas med vite i form av ett visst belopp som ska betalas till staten. De som inte inför en visselblåsarfunktion enligt kraven riskerar också att bryta mot MBL och kollektivavtalen, vilket i sin tur kan leda till en skadeståndsprocess.

Vad ska en visselblåsarfunktion innehålla?

I grunden handlar det om tre delar:

En rapporteringskanal i en teknisk plattform där visselblåsaren har möjlighet att larma om missförhållandet. Detta ska även kunna göras muntligen och i ett fysiskt möte.
En mottagarfunktion som tar emot och bedömer larm som kommer in, exempelvis om det faller inom ramen för visselblåsartjänsten och därför bör utredas vidare, eller om det är av annan karaktär som bör förmedlas till berörd förvaltning för kännedom/åtgärd.
En utredningsfunktion för de larm som kommer in gällande missförhållanden som ska utredas av självständiga och oberoende personer. Det kan exempelvis handla om misstänkt förskingring, korruption eller allvarliga regelöverträdelser av den interna uppförandekoden.

Utöver detta bör det finnas en mindre styrgrupp i verksamheten som fungerar som kontaktytan mellan den externa aktören och arbetsgivaren.

Hur kan man minska kostnaderna vid införandet av en visselblåsarfunktion?

Ställ krav på eventuella leverantörer för att möjliggöra en god kostnadskontroll i ärendehanteringsprocessen. Själva abonnemangsdelen är lätt att förutse kostnaderna för, men utredningstimmarna är svårare. Därför bör företaget kräva av leverantören att ett nytt ärende alltid åtföljs av en handlingsplan/utredningsplan innan en utredning inleds, med estimat på vilka åtgärder som bör vidtas och hur många utredningstimmar som förväntas innan nästa avstämning. Kom ihåg att det alltid är ni som bestämmer huruvida en utredning ska inledas eller ej, samt om det ska göras internt eller externt, oavsett vad leverantören/mottagningsfunktionen rekommenderar.

Ställ även krav på hur lång tid mottagningsfunktionen får lägga på att bedöma varje nytt ärende. Det bör rimligen aldrig ta mer än en timme att bedöma ett enskilt ärende.

En del verksamheter har valt att på egen hand utreda ärenden av enklare karaktär, vilket kan vara ett sätt att minska kostnaderna, men det finns exempel på att detta på ett negativt sätt har påverkat trovärdigheten för funktionen.

Om ärenden anmäls som inte faller inom ramen för visselblåsarfunktionen riskerar detta onödiga merkostnader för mottagningsfunktionen som bedömer inkomna ärenden. För att minska den risken bör utbildnings- och kommunikationsinsatser göras i verksamheten. Kontrollera gärna med leverantören om den typen av utbildningar, och andra relevanta mervärden, är något som kan ingå i överenskommelsen.

Överväg att abonnera på en färdig teknisk lösning som tillhandahålls av en leverantör i stället för att utveckla en helt egen. En sådan funktion kostar sällan mer än några tusenlappar i månaden och kan erbjudas av ett flertal svenska leverantörer, som exempelvis CRD Protection, WhistleB och Interaktiv Säkerhet (läs mer om val av extern leverantör under nästa fråga). Alternativet är att utveckla en egen teknisk plattform, men det är generellt sett både kostsamt och tidskrävande, samtidigt som det krävs både teknisk och juridisk beställarkompetens för att få en effektiv och användarvänlig lösning som överensstämmer med kraven på exempelvis säkerhet, GDPR, återkoppling, gallring och tidsfrister.

Ska funktionen skötas internt eller externt?

När en visselblåsarfunktion ska införas är det helt centralt att den uppfattas som trovärdig av personal och andra intressenter (kunder, allmänheten mm). Dessutom bör den vara verksamhetsanpassad.

Om funktionen sköts internt är det viktigt att mottagaren av dessa ärenden har en hög legitimitet och integritet, och omedelbart kan inleda en utredning vid misstankar. Risken är annars att förtroendet för visselblåsarfunktionen påverkas negativt. En eventuell intern utredningsfunktion måste också ha en självständig ställning inom organisationen och så få personer som möjligt bör hantera informationen med anledning av kravet på skydd av visselblåsaren.

Det är också viktigt att företaget har den utredningskompetens, inklusive erfarenheter, metoder och verktyg, som krävs för att genomföra rättssäkra utredningar. Dels för att garantera ett objektivt och professionellt arbete i den delen, dels för att öka trovärdigheten för processen.

Det kan finnas kostnadsmässiga fördelar med en intern lösning i vissa delar, men självfallet måste företaget i dessa fall beakta kraven på bland annat säkerhet, integritet, självständighet, tidsfrister, gallring och skydd för den enskilde.

Vad är viktigast att tänka på vid val av extern leverantör?

Ur ett kostnads- och tidsperspektiv kan det vara värdefullt att alla väsentliga delar i processen finns på plats redan från början, så att inte oförutsedda kostnader framkommer i ett senare skede. Leverantörer som erbjuder samtliga delar i processen (rapporteringskanal, mottagningsfunktion och utredning) kan ofta vara en bra lösning, samtidigt som det underlättar kommunikationen mellan leverantör och uppdragsgivare. Vid helhetsupplägg av det slaget kan det också bli aktuellt med reducerade timpriser för utredningar, vilket bör kontrolleras med leverantören.

Se till att ni får en kundansvarig kontaktperson hos leverantören som är lättillgänglig, tar ett stort ansvar i implementeringsfasen, tar initiativ till uppföljning och förbättringsområden, och som ni alltid kan vända er till i frågor som rör visselblåsarärenden.

Fundera också på om tjänsten innehåller mervärden i form av utbildningar, omvärldsbevakning, framtagande av policys, rådgivning och annat som kan vara till nytta för just er.

Välj en tjänst som har inbyggda funktioner för helt anonyma kommunikationslösningar mellan utredare och visselblåsare, eftersom det ger möjlighet till följdfrågor som ofta är helt avgörande för att klara upp ärendet så att liknande incidenter kan förhindras i framtiden.

Vad ska de som redan har en visselblåsarfunktion tänka på?

Se till att granska funktionen så att den uppfyller de nya kraven, bland annat vad gäller tidsfrister, återkoppling, skydd för visselblåsaren och att mottagningen och hanteringen av ärenden sker av oberoende och objektiva funktioner i verksamheten. Överväg att ta extern hjälp vid tveksamheter.

Hur kommer man i gång med en visselblåsarfunktion?

Vår generella rekommendation är följande:

Inrätta en styrgrupp med 2-4 personer, bestående av exempelvis säkerhetschef, chefsjurist och skyddsombud. En av dessa utses som funktionsansvarig.
Fatta beslut huruvida funktionen helt eller delvis ska skötas internt eller av extern leverantör. Om er verksamhet redan har kapacitet att bygga in en teknisk plattform, mottagningsfunktion och utredningsfunktion inom ramen för den befintliga organisationen, och samtidigt kan uppfylla kraven i den nya visselblåsarlagen, finns en teoretisk möjlighet att göra detta i egen regi. I vilket fall som helst bör alltid extern expertis anlitas vid utredningar av trovärdighetsskäl. Som tidigare nämnts kan det finnas kostnadsfördelar att välja en extern leverantör för samtliga delar i processen.
Gemensam utbildning/workshop för styrgruppen. Denna inkluderar process, lagstiftning, utredningsmetodik och generella riktlinjer som krävs för implementeringen.
Upprätta styrdokument, exempelvis visselblåsarpolicy, och en plan för kommunikationen vid implementeringen av funktionen. Ta hjälp av den externa leverantören om möjlighet finns.
Säkerställ att visselblåsarprocessen kopplas samman med verksamhetens krishantering och hållbarhetsarbete.
Arbeta aktivt och uthålligt med att kommunicera nyttan med er visselblåsarfunktion. Förutom att det ökar förtroendet för tjänsten och visar att ni tar de här frågorna på allvar, så ökar möjligheten att funktionen används på rätt sätt, vilket i sin tur ger mer effektiva utredningar som minimerar ekonomiska och varumärkesmässiga skador.

Läs även: Fyra viktiga råd vid införande av visselblåsarfunktion

Läs även: Nya visselblåsarlagen – det här gäller

Kaka	Varaktighet	Beskrivning
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
ai_session	30 minutes	This is a unique anonymous session identifier cookie set by Microsoft Application Insights software to gather statistical usage and telemetry data for apps built on the Azure cloud platform.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
MicrosoftApplicationsTelemetryDeviceId	1 year	Microsoft sets this cookie to install a unique device ID that is used to track how users behave and interact with the Microsoft application on the device.
MR	7 days	This cookie, set by Bing, is used to collect user information for analytics purposes.
nQ_cookieId	1 year	Albacross sets this cookie to help identify companies for better lead generation and more effective ad targeting.

Kaka	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
anj	3 months	AppNexus sets the anj cookie that contains data stating whether a cookie ID is synced with partners.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid2	3 months	The uuid2 cookie is set by AppNexus and records information that helps in differentiating between devices and browsers. This information is used to pick out ads delivered by the platform and assess the ad performance and its attribute payment.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Kaka	Varaktighet	Beskrivning
MC1	1 year	No description available.
nQ_userVisitId	30 minutes	No description available.
READPEAKBID	3 months	No description available.
RpsAuthNonce	1 month	Description is currently not available.
simpliform_session	8 hours	No description
SM	session	No description available.

Vanliga frågor och svar om nya visselblåsarlagen