Visselblåsarärende steg för steg: §15 och §16 i praktiken
Att ha ett visselblåsarsystem på plats är ett lagkrav. Men att faktiskt hantera ett ärende korrekt är ett annat steg - ett som många handläggare möter utan förberedelse. Det finns tidsfrister, dokumentationskrav och ett repressalieförbud som är viktiga att känna till långt innan det första ärendet landar.
Den här guiden går igenom ärendehanteringen från start till avslut, med fokus på de lagstadgade kraven i §15 och §16 i visselblåsarlagen (2021:890).
Steg 1: Rapporten tas emot
En ny rapport landar i systemet. Det kan hända mitt i natten, på en fredag eftermiddag eller när handläggaren är på semester. Systemet ska vara tillgängligt dygnet runt - det är ett lagkrav.
Vad du gör direkt: Notera mottagningsdatumet. Det är startpunkten för tidsfristerna. §15-klockan börjar ticka omedelbart.
Anonymitet: Om rapporten lämnats anonymt vet du ingenting om rapportörens identitet. Försök inte ta reda på vem det är via metadata, IP-adresser, skrivstil eller andra ledtrådar. Det strider mot konfidentialitetskravet i lagen - och det faktum att personen valde att rapportera anonymt är ett aktivt val som ska respekteras.
Konfidentiell rapport: Har rapportören uppgett sin identitet och godkänt att du vet vem de är, behandlas den informationen med strikt sekretess. Den delas inte med kollegor, chefer eller andra som inte är direkt involverade i utredningen.
Titta igenom rapporten: Handlar det om ett faktiskt missförhållande av allmänintresse? Eller handlar det om något som faller utanför lagens tillämpningsområde - en personlig arbetsrättslig tvist, ett klagomål på arbetsmiljödetaljer som inte rör regelöverträdelser? Det avgörs i det här skedet. Är det uppenbart utanför lagens syfte, behöver ärendet inte utredas vidare - men det ska ändå bekräftas och dokumenteras.
Steg 2: Bekräftelse inom 7 dagar (§15)
§15 i visselblåsarlagen är ett av de tydligaste och mest konkreta kraven: du ska bekräfta att rapporten tagits emot senast sju dagar efter mottagandet.
Vad bekräftelsen ska innehålla: Lagen är inte detaljerad om exakt formulering, men syftet är att rapportören ska veta att deras rapport faktiskt nått rätt person och att det finns en handläggare som tagit del av den. En bekräftelse som säger "Vi har tagit emot din rapport och kommer att hantera den enligt visselblåsarlagens krav" uppfyller kravet.
Anonyma rapportörer: Bekräftelsen måste nå dem via systemet, inte via e-post. En anonym rapportör har inte uppgett sin e-postadress. Vissly hanterar detta genom att bekräftelsen syns i rapportörens ärendevy, tillgänglig via den ärendekod de fick vid inlämnandet. Det räcker - men det förutsätter att handläggaren faktiskt skickar bekräftelsen via systemet och inte nöjer sig med att registrera den internt.
Räkna dagarna rätt: Mottas rapporten på en tisdag kl 23:47, börjar sjudagarsfristen från onsdagen. Räkna på kalenderdagar, inte arbetsdagar. Det sjunde dygnet slutar alltså följande tisdag vid midnatt. Systemet bör visa tydligt när fristen löper ut.
Dokumentera: Bekräftelsedatumet ska kunna visas upp om Arbetsmiljöverket granskar. En handläggarlogg med tidsstämpel är tillräckligt.
Steg 3: Inledande bedömning och beslut om utredning
Med bekräftelsen skickad är nästa uppgift att bedöma ärendets karaktär och hur det ska hanteras vidare.
Frågor att besvara:
- Är missförhållandet av den typ som visselblåsarlagen avser? (Brott, regelöverträdelse med allmänintresse.)
- Är informationen tillräckligt konkret för att motivera en utredning?
- Finns det intressekonflikt? Är den utpekade personen exempelvis handläggarens chef eller en nära kollega? I så fall behöver utredningen hanteras av någon annan.
- Behöver extern kompetens kopplas in - jurist, revisor, extern utredare?
Det är inte ovanligt att ett ärende kräver att du konsulterar bolagets juridiska rådgivare. Dokumentera det beslutet och skälen för det.
Håll informationen avgränsad: Bara de som behöver veta om ärendet ska ha åtkomst till det. Det gäller även internt. En bred intern diskussion om vem som kan ha rapporterat bryter mot konfidentialitetskravet.
Steg 4: Utredning
Utredningens omfattning beror helt på ärendets karaktär. En rapport om en enstaka bokföringsavvikelse kräver annan insats än en rapport om systematisk diskriminering eller ett misstänkt mutbrott.
Dokumentera allt:
- Vilka åtgärder du vidtagit och när
- Vilken information du inhämtat
- Samtal och möten med relevanta parter
- Eventuell konsultation med extern jurist eller revisor
Det är dokumentationen som avgör om bolaget kan visa att det gjort vad lagen kräver. Utan den är det din ord mot en anmälares - och med omvänd bevisbörda i repressalieärenden är det en dålig position att befinna sig i.
Utpekade personers rättigheter: Den person som ärenderapporten handlar om har rättigheter enligt GDPR. De har inte rätt att veta att en utredning pågår om det hindrar utredningen, men de ska informeras i lämpligt skede. Personuppgifter om utpekade personer ska hanteras med strikt sekretess och raderas i enlighet med gallringsregeln i 8 kap. 4 §.
Steg 5: Återkoppling inom 3 månader (§16)
§16 är den andra lagstadgade tidsfristen. Senast tre månader efter att bekräftelsen skickades ska rapportören informeras om vidtagna eller planerade åtgärder.
Tre månader från vad? Från datumet för §15-bekräftelsen, inte från mottagningsdatumet. Det är ett viktigt distinktion om det tog fem dagar att skicka bekräftelsen.
Vad ska återkopplingen innehålla? Lagen kräver att du informerar om "åtgärder som vidtagits eller planeras" med anledning av rapporten. Det innebär inte att du behöver avslöja utredningens detaljer eller identifiera utpekade personer. Det räcker att rapportören förstår att ärendet tagits på allvar och att konkreta steg följt.
Formuleringar att använda:
- "Vi har genomfört en intern utredning och vidtagit åtgärder för att åtgärda de missförhållanden som rapporten beskrev."
- "Vi har konsulterat extern juridisk expertis och genomfört en utredning. Utredningen har lett till [typ av åtgärd] utan att vi kan lämna vidare detaljer av sekretesskäl."
- "Utredningen pågår fortfarande. Vi kan bekräfta att ärendet behandlas aktivt och att ytterligare återkoppling sker senast [datum]."
Den sista varianten är inte idealisk - lagen förväntar sig svar inom tre månader, inte ett löfte om svar längre fram. Men om utredningen är genuint komplex och inte kan avslutas inom tre månader är det bättre att kommunicera det transparent än att ge en intetsägande bekräftelse.
Anonyma rapportörer: Precis som med §15-bekräftelsen: återkopplingen sker via systemet, synlig i ärendevyn. Inte via e-post.
Steg 6: Beslut och avslut
Utredningen är klar. Nu ska ett beslut fattas och ärendet formellt avslutas.
Möjliga utfall:
- Missförhållandet bekräftades och åtgärdades. Dokumentera vad som gjordes och när.
- Utredningen visade att det inte förelegat något missförhållande. Dokumentera bedömningen och grunderna för den.
- Rapporten var utan täckning eller rörde något utanför lagens tillämpningsområde. Dokumentera det.
Inga repressalier: Oavsett utfall gäller repressalieförbudet fullt ut. En rapport som visade sig sakna grund befriar inte bolaget från skyldigheten att skydda den som rapporterade i god tro. En anställd som får sämre arbetsvillkor, omplaceras eller på annat sätt missgynnas efter att ha rapporterat - oavsett om rapporten ledde till åtgärd eller ej - kan ha rätt till skadestånd.
Bevisbördan är omvänd. Det är bolaget som måste visa att en åtgärd mot en anställd inte hade samband med rapporteringen. Det är ett av skälen till varför dokumentation är kritisk: det är er försäkring om en repressalietvist uppstår.
Steg 7: Dokumentation och gallring
Visselblåsarlagen ställer krav på att uppgifter om ärenden inte sparas längre än nödvändigt. 8 kap. 4 § preciserar att uppgifter ska raderas senast två år efter att ärendet avslutats.
Vad som ska sparas under ärendets löptid:
- Mottagningsdatum
- Datum och innehåll för §15-bekräftelse
- Datum och innehåll för §16-återkoppling
- Utredningsanteckningar (utan onödiga personuppgifter)
- Beslut och motivering
Vad som ska gallras:
- Identitetsuppgifter om rapportörer som rapporterat anonymt - dessa ska aldrig sparas
- Personuppgifter om utpekade personer som inte längre är nödvändiga för utredningens syfte
- Hela ärendet, senast två år efter avslutat datum
Revidera er gallringsrutin. Om ärenden ligger kvar i systemet år efter år utan att raderas bryter det mot lagen - och mot GDPR.
Praktisk sammanfattning: tidslinje för ett ärende
| Händelse | Tidsfrist | Lagstöd |
|---|---|---|
| Rapport tas emot | - | - |
| Bekräftelse skickas | Senast 7 kalenderdagar | §15 |
| Återkoppling om åtgärder | Senast 3 månader från bekräftelse | §16 |
| Ärende avslutas | Ingen lagfrist | - |
| Ärendet raderas | Senast 2 år efter avslut | 8 kap. 4 § |
Vissly visar tydliga deadlines för §15 och §16 direkt i handläggarens ärendevy och skickar automatiska påminnelser när tidsfristerna närmar sig. Det gör det svårt att missa en deadline av misstag.
Vanliga misstag att undvika
Bekräftelsen skickas internt men inte till rapportören.
Handläggaren registrerar att ärendet tagits emot i ett internt system - men glömmer att bekräftelsen faktiskt måste nå rapportören. Vid anonym rapportering innebär det att rapportören aldrig ser någon bekräftelse. §15-kravet är inte uppfyllt.
Återkopplingen är för vag.
"Vi har utrett er rapport och vidtagit lämpliga åtgärder" räcker inte. Lagen kräver information om konkreta åtgärder. Det är inte nödvändigt att avslöja detaljer som kan identifiera utpekade personer - men en generisk formulering kan ifrågasättas om ärendet granskas.
Handläggaren loggar in för sällan.
En rapport som ligger oläst i systemet i tio dagar skapar problem med §15-fristen. Sätt upp ett system för att snabbt notifieras om inkomna ärenden - antingen via e-post från systemet eller via ett schema för manuell inloggning.
Ärendet stängs utan dokumentation.
Alla ärenden - även de som visar sig vara utanför lagens tillämpningsområde - ska dokumenteras med mottagningsdatum, bedömning och beslut. Det är det som gör att ni kan visa att ni följt lagen vid en eventuell tillsynsgranskning.
Mer om lagens krav i sin helhet finns i visselblåsarlagen-guiden. Hur systemet fungerar tekniskt för handläggaren beskrivs på Så fungerar det.
Vanliga frågor om ärendehantering
Vad händer om vi inte skickar bekräftelse inom 7 dagar?
Det är ett brott mot §15 och kan leda till vitesföreläggande från Arbetsmiljöverket om det uppdagas vid tillsyn. Det visar också rapportören att systemet inte fungerar - vilket underminerar förtroendet för hela rapporteringskanalen. Prioritera §15-bekräftelsen som ett absolut krav, inte en rekommendation.
Måste återkopplingen innehålla detaljer om vad vi gjort?
Lagen kräver att ni informerar om "åtgärder som vidtagits eller planeras". Det kräver ett konkret svar - inte nödvändigtvis detaljer som identifierar utpekade personer eller avslöjar interna utredningsmetoder. Balansen är att vara informativ nog för att lagen ska vara uppfylld, utan att bryta sekretessen kring utredningens detaljer.
Kan vi förlänga 3-månadersgränsen för komplexa ärenden?
Lagen ger inget formellt utrymme för förlängning. Om utredningen är genuint komplex och inte kan avslutas inom tre månader är den bästa strategin att kommunicera transparent till rapportören att utredningen pågår och att ytterligare återkoppling sker inom en specificerad tid.
Vad händer om en rapport visar sig vara falsk eller missvisande?
Repressalieförbudet gäller för den som rapporterat i god tro - oavsett om uppgifterna stämmer. En rapport som uppenbart och medvetet är falsk faller utanför lagens skydd, men det är en hög tröskel. Bedöm alltid ärendet med försiktighet och dokumentera er bedömning.
Hur hanterar vi ett ärende där handläggaren är jävig - till exempel om rapporten handlar om VD?
Utse en alternativ handläggare. Antingen någon annan internt med tillräcklig oberoende position - exempelvis en styrelseledamot - eller en extern utredningsleverantör. Dokumentera att jävsövervägandet gjorts och varför en alternativ handläggare utsetts.
Ska vi spara meddelanden i chattfunktionen efter att ärendet avslutats?
Nej. All kommunikation i ärendet, inklusive chattar och meddelanden, ska gallras senast två år efter avslutat ärende enligt 8 kap. 4 §. Vissly lagrar ärendedata och det är bolagets ansvar att följa gallringsreglerna.
Vad krävs av handläggaren i form av utbildning?
Lagen ställer inga formella utbildningskrav. Men handläggaren ska ha "rätt förutsättningar" - i praktiken tillräcklig kunskap om regelverket och tillgång till juridisk rådgivning vid behov. Att utse en person utan någon form av orientering om lagens krav och hanteringsrutiner är en risk som kan drabba bolaget.