Måste mitt företag ha ett visselblåsarsystem?
Korta svaret: ja, om ni har 50 eller fler anställda. Sedan den 17 december 2023 gäller visselblåsarlagen (2021:890) även för privata arbetsgivare med 50-249 anställda. Bolag med 250 eller fler anställda hade kravet redan från den 17 juli 2022.
Det är nu mer än två år sedan deadlinen för den stora gruppen medelstora bolag passerade. Trots det saknar en betydande andel av dem fortfarande ett system som uppfyller lagens tekniska och procedurmässiga krav. Om ni är ett av dem - här är vad som faktiskt gäller.
Vilka bolag omfattas?
Kravet gäller privata arbetsgivare baserat på antalet anställda. Gränserna är:
- 50-249 anställda: Kravet trädde i kraft 17 december 2023.
- 250 eller fler anställda: Kravet trädde i kraft 17 juli 2022.
- Färre än 50 anställda: Inget lagkrav. Frivilligt att ha ett system.
Kommuner och regioner - samt statliga myndigheter - omfattas utan undantag baserade på storlek. De hade krav från lagens ikraftträdande.
Hur räknas antalet anställda?
Anställda räknas som årsarbetskrafter, alltså det genomsnittliga antalet heltidsanställda under föregående kalenderår. Det innebär att ett bolag med många deltidsanställda kan komma under eller över gränsen 50 beroende på hur beräkningen görs. Om ert bolag pendlar runt 50-gränsen är det klokt att göra en faktisk beräkning snarare än att gissa.
Koncernförhållanden beaktas inte - varje juridisk enhet (bolag) bedöms separat. Moderbolaget kan ha krav, medan ett dotterbolag med 30 anställda inte har det. Observera dock att EU-direktivet 2019/1937 tillåter att bolag inom samma koncern delar en gemensam rapporteringskanal, förutsatt att de uppfyller de tekniska kraven var och en.
Vad kräver lagen?
Visselblåsarlagen ställer krav på tre saker: ett tekniskt system, dokumenterade rutiner och en utsedd person.
Det tekniska systemet - rapporteringskanalen
Rapporteringskanalen är det system via vilket anställda och andra skyddade personer kan lämna rapporter. Lagen ställer följande krav på kanalen:
- Den ska säkerställa att rapportörens identitet skyddas - systemet ska tekniskt förhindra att obehöriga kan identifiera vem som lämnat en rapport.
- Kanalen ska vara tillgänglig för en bredare krets än bara tillsvidareanställda: även inhyrd personal, konsulter, praktikanter och i relevanta fall leverantörer.
- Det ska gå att rapportera skriftligt och - om så önskas - muntligt. Muntlig möjlighet kan uppfyllas via telefon eller möjlighet att boka ett fysiskt möte.
- Systemet ska möjliggöra anonym kommunikation: den som rapporterar anonymt ska kunna följa upp ärendet och ta emot frågor från handläggaren utan att röja sin identitet.
Ett formulär utan möjlighet till anonym uppföljning uppfyller inte kravet. En e-postadress uppfyller inte kravet - e-post är inte konfidentiellt och identitet röjs via headers och metadata.
Tidsramar som är lagkrav
Två tidsfrister i lagen är centrala och ofta missade av bolag som implementerat ett system men inte läst lagtexten:
§15 - Bekräftelse inom 7 dagar
Handläggaren ska bekräfta för rapportören att rapporten tagits emot. Bekräftelsen ska ske senast 7 dagar efter mottagandet. Sker det via ett anonymt system ska bekräftelsen vara synlig för rapportören i systemet - inte bara registrerad i en intern logg.
§16 - Återkoppling inom 3 månader
Handläggaren ska, inom tre månader från bekräftelsen, informera rapportören om vilka åtgärder som vidtagits eller planeras med anledning av rapporten. Det räcker inte att säga "vi har utrett frågan" - det ska framgå vad som faktiskt gjorts.
Dessa tidsfrister kräver att handläggaren aktivt hanterar systemet och inte bara låter rapporter ligga orörda. Vissly skickar automatiska påminnelser om inkommande ärenden och kommande deadlines, just för att 7- och 3-månadersgränserna inte ska missas.
Utsedd person för ärendehantering
Bolaget ska utse en person eller funktion som ansvarar för att ta emot och hantera rapporter. Det kan vara:
- En intern funktion (compliance-ansvarig, HR-chef, jurist eller VD beroende på bolagets storlek)
- En extern leverantör (ett bolag som hanterar ärenden på uppdrag av er)
Personen som hanterar ärenden ska ha rätt förutsättningar - tid, befogenhet och kompetens - för att genomföra nödvändiga utredningsåtgärder. Att utse VD som handläggare i ett bolag med 180 anställda och förvänta sig att ärendehanteringen sköts på sidan av alla andra uppgifter är en riskabel lösning.
Vem skyddas av lagen?
Lagens skyddsregler - framför allt förbudet mot repressalier - gäller för en bred krets. Det är viktigt att förstå detta eftersom skyddet inte är begränsat till era egna anställda.
Skyddade personer inkluderar:
- Anställda, oavsett anställningsform
- Inhyrd personal och konsulter under bolagets ledning
- Praktikanter och volontärer
- Leverantörer och deras anställda om de genom sitt arbete haft tillgång till information om bolagets verksamhet
- Sökande under rekryteringsprocessen
- Aktieägare som aktivt deltar i bolaget
Att en leverantör tekniskt sett inte är er anställd hindrar inte att de kan anmäla ett missförhållande - och att de i så fall har lagens skydd. Det är en vanlig missuppfattning.
Vad räknas som ett missförhållande?
Lagen är avgränsad till missförhållanden av allmänintresse. Det handlar om brott och överträdelser av regler inom bolagets verksamhet - inte alla former av klagomål eller arbetsrättsliga konflikter.
Typiska missförhållanden som faller under lagen:
- Ekonomiska brott: bokföringsbrott, förskingring, mutbrott, bedrägeri mot kunder
- Diskriminering och trakasserier av systematisk karaktär
- Miljöbrott och brott mot miljölagstiftningen
- Säkerhetsöverträdelser som riskerar anställda eller allmänheten
- Brott mot dataskyddsregler (GDPR)
- Korruption i upphandling eller i relationen med offentliga aktörer
Rapporter om personliga arbetsrättsliga tvister - lönekonflikt, meningsskiljaktighet om semesterschema, oenighet med sin närmaste chef - är inte visselblåsarärenden i lagens mening. Det är viktigt att er visselblåsarpolicy klargör detta, annars riskerar ni att rapporteringskanalen används för ärenden som hör hemma på HR-avdelningens bord.
Vad händer om ni inte uppfyller kraven?
Tillsynsansvaret för privat sektor ligger hos Arbetsmiljöverket. Det primära verktyget är vitesföreläggande - bolaget åläggs att åtgärda bristen inom en given tid, med ett vite om kravet inte uppfylls. Beloppet sätts proportionellt till bolagets storlek.
Utöver tillsynsprocessen finns tre ytterligare risker:
Skadestånd vid repressalier
Om en anställd drabbas av negativa konsekvenser efter att ha rapporterat, och bolaget inte kan visa att åtgärden var oberoende av rapporteringen, kan bolaget bli skadeståndsskyldigt. Det saknar tak. Bevisbördan är omvänd - det är bolaget som ska bevisa att repressalier inte skett.
GDPR-sanktioner
Om ärenden hanteras utan PuB-avtal med systemleverantören, eller om personuppgifter lagras felaktigt, kan Integritetsskyddsmyndigheten (IMY) agera separat. GDPR-sanktioner kan uppgå till 20 miljoner euro eller 4 procent av global omsättning.
Reputationsrisk
En tillsynsprocess är offentlig handling. Det innebär att tillsynsbeslut mot ert bolag kan uppmärksammas - av kunder, samarbetspartners, press och i upphandlingssammanhang.
Läs mer i artikeln Vad händer om ditt bolag saknar visselblåsarsystem?
Ni har passerat deadlinen - vad gör ni nu?
Om ni hamnade under kravet den 17 december 2023 och ännu inte har ett system på plats, gäller det att åtgärda det utan ytterligare dröjsmål. Lagen ger inga övergångsperioder för den gruppen.
Det praktiska steget är att:
- 1Aktivera en rapporteringskanal som uppfyller de tekniska kraven. Det ska gå att rapportera anonymt med möjlighet till anonym uppföljning. Systemet ska vara tillgängligt dygnet runt.
- 2Utse en handläggare och definiera er interna rutin för ärendehantering.
- 3Ta fram eller uppdatera er visselblåsarpolicy och kommunicera den till anställda och relevanta konsulter och leverantörer.
- 4Teckna PuB-avtal med systemleverantören - om ni väljer ett externt system.
- 5Testa att systemet faktiskt fungerar: skicka en testrapport och kontrollera att bekräftelsen registreras korrekt.
Vissly är byggt för just den här situationen. Ni registrerar er, konfigurerar er rapporteringskanal och är igång på under fem minuter. PuB-avtalet ingår, policymallen kan laddas ner direkt och systemet hanterar §15- och §16-påminnelserna automatiskt.
Aktivera er rapporteringskanal
Registrera er, konfigurera kanalen och dela länken med anställda. Klart på under fem minuter. Se prissidan för en fullständig jämförelse - från 199 kr per månad utan setup-avgift och utan bindningstid.
Aktivera er rapporteringskanalVill ni hellre ha ett system redan nu - trots att ni är under 50 anställda?
Inget hindrar bolag med färre än 50 anställda från att ha ett visselblåsarsystem. Och det finns goda skäl att överväga det:
- Investerare med ESG-krav frågar allt oftare om rapporteringskanaler.
- Offentliga upphandlingar börjar ställa frågor om compliance-verktyg.
- Om bolaget växer förbi 50 anställda gäller kravet omedelbart - det är bättre att ha systemet på plats i god tid.
- Det signalerar internt att bolaget tar etisk kultur på allvar.
Vissly erbjuder ett plan för 1-49 anställda från 199 kr per månad.
Vanliga frågor
Gäller kravet om vi hyr in personal via bemanningsföretag?
Ja, om ni som anlitande bolag styr och leder den inhyrda personalen. De räknas då som er personal vid bedömningen av om ni uppfyller kraven. Bemanningsföretagets anställda har dessutom rätt att rapportera via er kanal om de i sin roll hos er fått vetskap om missförhållanden i er verksamhet.
Kan flera bolag i en koncern dela rapporteringskanal?
EU-direktivet 2019/1937 tillåter detta för bolag med 50-249 anställda. Dock måste varje juridisk enhet uppfylla lagens krav separat, och det ska vara tydligt för rapportören vilket bolag ärendet avser. En gemensam kanal som inte tydligt separerar ärenden per bolag uppfyller inte kravet.
Måste vi anlita ett externt bolag, eller kan vi sköta det internt?
Lagen ger er valfrihet. Många bolag med 50-249 anställda väljer ett externt system just för att anonymitetskravet är svårt att uppfylla tekniskt med interna verktyg. Om handläggaren är anställd hos er och kan identifiera rapportören via e-postadress eller IP-adress är kravet på konfidentialitet inte uppfyllt.
Vad menas med muntlig rapportering?
Lagen kräver att det ska gå att rapportera muntligt om rapportören önskar det. Det uppfylls vanligen genom ett telefonnummer till handläggaren eller möjlighet att boka ett fysiskt möte. I Vissly kan rapportören begära ett möte direkt via systemet - handläggaren ser begäran men utan rapportörens identitet om de är anonyma.
Hur vet vi att systemet faktiskt är konfidentiellt?
Fråga leverantören konkret: var lagras data, vem har teknisk tillgång, hur krypteras rapporter? Vissly krypterar rapporternas innehåll i webbläsaren innan de lagras - det innebär att rapporten lagras krypterat och åtkomst kräver behörighet i er organisations konto. Leverantören ser aldrig klartexten i era ärenden.
Behöver vi informera de anställda om att systemet finns?
Ja. Lagen kräver att information om rapporteringskanalen, skyddsreglerna och rapportörens rättigheter ska göras tillgänglig för de som kan använda systemet. Det räcker inte att publicera en policy på intranätet - ni behöver aktivt informera vid introduktion av nyanställda och med jämna mellanrum påminna befintlig personal.
Vad kostar ett visselblåsarsystem?
Kostnadsspannet är brett. Traditionella leverantörer tar ofta 6 000-15 000 kr per år, med tillägg för setup och support. Vissly kostar från 199 kr per månad för bolag med färre än 50 anställda och 449 kr per månad för bolag med 50-249 anställda - utan setup-avgift och utan bindningstid.
Relaterade artiklar