Checklista: Uppfyller ditt visselblåsarsystem alla krav i lagen?
En praktisk checklista baserad på visselblåsarlagen (2021:890) och EU-direktivet 2019/1937. Gå igenom den med din HR- eller juridikansvarig.
1. Tekniska krav
Systemets grundläggande funktioner
Rapporter kan lämnas skriftligt
Via ett formulär eller liknande digital kanal
Rapporter kan lämnas muntligt
Lagen kräver att muntlig rapportering är möjlig, t.ex. via telefon eller fysiskt möte
Identiteten på rapportören skyddas
Systemet samlar inte in eller loggar IP-adresser eller annan identifierande information
Konfidentiell hantering av identitetsuppgifter
Om identitet samlas in delas den inte utan rapportörens samtycke
Bekräftelse skickas inom 7 dagar
Automatisk eller manuell bekräftelse att rapporten tagits emot
Återkoppling lämnas inom 3 månader
Information om vidtagna eller planerade åtgärder med anledning av rapporten
2. Tillgänglighet
Vilka som ska ha tillgång till kanalen
Tillgänglig för anställda
Inkl. deltidsanställda, vikarier och praktikanter
Tillgänglig för inhyrd personal
Konsulter och bemanningspersonal som arbetar i verksamheten
Tillgänglig för leverantörer och uppdragstagare
Externa parter med insyn i verksamheten
Tillgänglig för f.d. anställda
Rapportering om missförhållanden som inträffade under anställning
3. Rutiner och roller
Organisatoriska krav
Utsedd person eller funktion hanterar ärenden
Ärendehanteraren ska vara oberoende och behörig att agera
Skriftliga rutiner finns för ärendehantering
Dokumenterade processer för mottagande, utredning och återkoppling
Anställda är informerade om kanalen
Information ska ges aktivt, inte bara finnas tillgänglig
Repressalieskyddet är känt i organisationen
Chefer och HR ska känna till förbudet mot repressalier
4. GDPR och dataskydd
Personuppgiftshantering
PuB-avtal tecknat med systemleverantören
Krävs enligt GDPR art. 28 när en extern part behandlar personuppgifter för er räkning
Integritetsinformation ges till rapportören
Information om hur personuppgifter behandlas, lagras och raderas
Uppgifter om utpekade personer hanteras varsamt
Begränsad åtkomst, spårbarhet och gallring när ärendet är avslutat
Datalagring sker inom EU/EES
Kontrollera var systemleverantörens servrar finns
5. Dokumentation
Vad som ska kunna visas upp vid tillsyn
Logg över inkomna rapporter finns
Med datum, ärendenummer och status - utan att identifiera rapportören
Åtgärder vid varje ärende är dokumenterade
Vad som utretts, beslutats och kommunicerats
Bekräftelse- och återkopplingsdatum sparas
Möjlighet att visa att lagstadgade tidsfrister hålls
Hur många bockar klarar ni?
Om det finns punkter ni inte kan bocka av behöver ni åtgärda dem. Prioritera de tekniska kraven och PuB-avtalet - dessa är direkta lagkrav. Rutiner och dokumentation kan byggas ut stegvis, men ni bör kunna visa att arbetet pågår.