Så väljer du visselblåsarsystem: frågorna att ställa vid upphandling
Att välja visselblåsarsystem är inte detsamma som att bocka av att du uppfyller lagen. Det är ett beslut om vilken leverantör du vill anförtro känsliga ärenden - och det beslutet förtjänar ett bättre underlag än en offertjämförelse på pris.
Den här guiden fokuserar på leverantörskriterier: vad du ska bedöma, vilka frågor du ska ställa och hur du tolkar svaren. Frågar du dig om ditt bolag överhuvudtaget behöver ett system och vad lagen kräver tekniskt och procedurmässigt - börja med checklistan för lag-kraven. Den här guiden tar vid när du ska välja vem som ska leverera det.
Varför val av leverantör spelar roll
Alla system ser ungefär likadana ut i en broschyr. De erbjuder ett webbformulär, en adminvy och ett löfte om konfidentialitet. Skillnaderna framgår inte av en landningssida - de framgår av hur systemet faktiskt är byggt och vad som händer om något går fel.
Tre saker gör leverantörsvalet kritiskt:
- Teknisk konfidentialitet. Lagen kräver att rapportörens identitet skyddas. Det är en teknisk fråga, inte bara en policydeklaration. Om leverantören kan läsa era ärenden i klartext - oavsett om de väljer att göra det eller inte - är konfidentialitetskravet svagt. Fråga konkret hur data hanteras.
- Datalagring och GDPR. Visselblåsarärenden innehåller känsliga personuppgifter. Lagras de utanför EU/EES kräver det ett rättsligt stöd (standardavtalsklausuler, adekvansbeslutet etc.) och ett personuppgiftsbiträdesavtal. Det är ert ansvar att kontrollera det - inte leverantörens skyldighet att frivilligt berätta om det.
- Kontinuitet. Systemet ska fungera om din primäre handläggare är sjuk, slutar eller är på semester. Det ska funka på en söndag kl. 02:00. Och det ska fortfarande fungera om leverantören byter ägare eller drar ned på sin supportorganisation.
Kriterium 1: Säkerhet och kryptering
Det viktigaste tekniska kriteriet är hur rapporternas innehåll skyddas.
Fråga: Krypteras rapporternas innehåll, och i så fall hur och var?
Vad du letar efter: Rapporten bör krypteras i webbläsaren innan den skickas till servern, och lagras krypterat. Det innebär att åtkomst till innehållet kräver behörighet i er organisations konto - inte bara tillgång till leverantörens server. Det är skillnaden mellan att leverantören tekniskt kan läsa era ärenden och att de tekniskt inte kan göra det utan er nyckel. Undvik formuleringar som bara beskriver transport-kryptering ("HTTPS") eller serversidig kryptering utan vidare detaljer. Det skyddar mot yttre angripare men inte mot leverantörens egna system.
Fråga: Loggar systemet IP-adresser eller annan metadata om rapportören?
Vad du letar efter: Nej. Ett system som loggar IP-adresser kan i praktiken koppla en rapport till en specifik person, särskilt om de rapporterade från kontoret. Det gäller även om systemet marknadsför sig som anonymt.
Vissly krypterar rapporternas innehåll i webbläsaren och lagrar det krypterat. Åtkomst kräver behörighet i er organisations konto.
Kriterium 2: Datalagring och GDPR-efterlevnad
Fråga: Var lagras data - i vilket land och hos vilken underleverantör?
Vad du letar efter: Datalagring inom EU/EES. Det innebär att GDPR gäller direkt utan ytterligare avtalskonstruktioner. Lagring utanför EU/EES är inte ett automatiskt diskvalifikationsskäl, men det kräver att leverantören kan förklara det rättsliga stödet och att ni accepterar en mer komplex juridisk situation.
Fråga: Ingår ett personuppgiftsbiträdesavtal (PuB-avtal) i leveransen?
Vad du letar efter: Ja, utan extra kostnad. PuB-avtalet är ett GDPR-krav (artikel 28) och en leverantör som hanterar personuppgifter på er begäran måste ha ett sådant avtal på plats med er. En leverantör som inte erbjuder det som standard är antingen oerfaren eller slarvig.
Fråga: Hur hanteras gallring? Stöds automatisk radering av ärenden efter två år?
Vad du letar efter: Stöd för att följa 8 kap. 4 § i visselblåsarlagen - uppgifter ska raderas senast två år efter avslutat ärende. Det bör vara möjligt att konfigurera i systemet, inte ett manuellt arbete varje gång.
Kriterium 3: Anonymitet och anonym uppföljning
Lagen kräver inte att systemet tillåter anonym rapportering. Men Arbetsmiljöverket rekommenderar det, och forskning visar att rapporteringsvilligheten ökar markant när anonymitet är möjlig.
Fråga: Kan rapportören lämna en rapport helt anonymt - utan att systemet samlar in e-postadress, namn eller IP-adress?
Vad du letar efter: Ja. Och att det är tekniskt omöjligt, inte bara en policydeklaration.
Fråga: Kan en anonym rapportör följa upp ärendet och ta emot frågor från handläggaren?
Vad du letar efter: Ja. En anonym tvåvägskommunikation - ofta via en engångskod - är standardfunktion i moderna system. Utan det kan handläggaren inte ställa följdfrågor till en anonym rapportör, vilket försvårar utredningen och riskerar att §16-återkopplingen aldrig når rätt person.
Kriterium 4: Pris och prismodell
Pris behandlas mer utförligt i artikeln om vad ett visselblåsarsystem kostar. Kortfattat: titta på den totala kostnaden, inte bara årsavgiften.
Fråga: Tillkommer en setup-avgift?
Vad du letar efter: Helst ingen. En del leverantörer motiverar den med "implementeringsstöd" - men om systemet kräver mer än 30 minuter att komma igång med är det systemets fel, inte kundens.
Fråga: Vilken bindningstid gäller?
Vad du letar efter: Månadsvis eller årsvis med möjlighet att avsluta. Flerårskontrakt minskar flexibiliteten och är svåra att komma ur om ni är missnöjda.
Fråga: Finns det funktionsbegränsningar per prisplan?
Vad du letar efter: Alla funktioner som krävs för att uppfylla lagen ska ingå i alla planer. Om anonymitet, PuB-avtal, flerspråkig kanal eller annan lagkravsfunktion kräver uppgradering är grundplanen otillräcklig.
Vissly har ingen feature-gating - alla planer har exakt samma funktioner. Priset baseras enbart på antal anställda. Se prissidan för detaljer.
Kriterium 5: Support och tillgänglighet
Fråga: Vilka supportkanaler finns och under vilka tider?
Vad du letar efter: E-postsupport med rimlig svarstid är minimikrav. Telefonsupport är värdefullt om ni förväntar er komplexa ärenden. Kontrollera om support ingår i grundpriset eller om det är ett tillägg.
Fråga: Vad händer om handläggaren slutar? Hur läggs nya användare till?
Vad du letar efter: En enkel process för att lägga till och ta bort handläggare. Det ska inte kräva manuell hjälp från leverantören vid varje förändring. Bolag med hög personalomsättning bland HR-personal eller ledning behöver ett system som kan hantera det smidigt.
Fråga: Hur kommunicerar leverantören driftstörningar?
Vad du letar efter: En statuskanal, e-postnotiser eller liknande. Rapporteringskanalen ska fungera dygnet runt. Vet ni inte hur ni informeras om störningar är det en lucka att täppa till.
Kriterium 6: Ärendehanteringens kvalitet
Systemets ärendevy är där handläggaren spenderar sin tid. Kvaliteten på den vyn påverkar direkt hur väl §15- och §16-kraven uppfylls.
Fråga: Visar systemet tydligt när §15- och §16-fristerna löper ut?
Vad du letar efter: Tydliga deadline-indikatorer och automatiska påminnelser. Ingen handläggare ska behöva räkna dagar i ett kalkylark för att hålla koll på lagkraven.
Fråga: Kan handläggaren se om rapportören läst ett meddelande?
Vad du letar efter: En statusindikator för om återkopplingen nått rapportören är praktiskt, framför allt för anonyma ärenden.
Fråga: Kan systemet generera en revisionslogg över handläggares åtgärder?
Vad du letar efter: Ja. En logg som visar när ett ärende öppnades, när bekräftelse skickades och när återkoppling lämnades är din dokumentation om Arbetsmiljöverket granskar.
Kriterium 7: Juridiska dokument och villkor
Fråga: Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde?
Vad du letar efter: Ni (bolaget) är personuppgiftsansvariga. Leverantören är personuppgiftsbiträde. Det ska framgå tydligt av PuB-avtalet, och PuB-avtalet ska vara anpassat till just denna tjänst - inte ett generiskt standardavtal för alla möjliga tjänster.
Fråga: Vad händer med era data om ni avslutar avtalet?
Vad du letar efter: Rätt att exportera era ärenden i ett läsbart format och en tydlig process för radering av data på leverantörens servrar efter avslut. Utan det är ni låsta vid leverantören längre än ni tänkt.
Praktisk checklista: frågor att ställa varje leverantör
Skriv ned svaren från varje leverantör sida vid sida. Det gör jämförelsen konkret.
| Fråga | Svar att jämföra |
|---|---|
| Krypteras rapporten i webbläsaren? | Ja / Nej |
| Lagras data inom EU/EES? | Ja / Nej + land |
| Ingår PuB-avtal utan tillägg? | Ja / Nej |
| Stöds anonym uppföljning? | Ja / Nej |
| Automatiska påminnelser för §15/§16? | Ja / Nej |
| Revisionslogg i adminvyn? | Ja / Nej |
| Setup-avgift? | Belopp eller ingen |
| Bindningstid? | Månadsvis / Årsvis |
| Alla funktioner i alla planer? | Ja / Nej |
| Stöd för dataexport vid avslut? | Ja / Nej |
En leverantör som inte kan svara på de tekniska frågorna direkt - eller som hänvisar till vaga formuleringar om "branschstandard" och "bäst praxis" - ger er inte den transparens ni behöver.
Att testa systemet innan beslut
Be om tillgång till en testmiljö. Gå igenom hela flödet från rapportörens perspektiv: vad ser rapportören? Är formuläret tydligt? Får man tillbaka en ärendekod? Kan man följa upp anonymt?
Testa sedan handläggarvyn: hur ser ett inkommet ärende ut? Hur lång tid tar det att skicka en §15-bekräftelse? Ser man tydligt när fristen löper ut? Kan man skicka ett meddelande till en anonym rapportör?
Det tar 15-20 minuter - och ger dig en konkretare bild av systemet än vilken broschyr som helst.
Hur systemet ser ut tekniskt för handläggaren beskrivs på Så fungerar det.
Redo att utvärdera Vissly?
Aktivera er kanal direkt och gå igenom hela rapportörflödet och handläggarvyn på under 15 minuter. Alla funktioner - samma oavsett plan.
Kom igång med VisslyDet tar under fem minuter att registrera sig. Ingen bindningstid.
Vanliga frågor vid leverantörsutvärdering
Räcker det att leverantören är ISO 27001-certifierad?
ISO 27001 är ett ramverk för informationssäkerhetshantering - det är ett positivt tecken, men ingen garanti för att just kryptering och konfidentialitet hanteras på det sätt lagen kräver. Fråga specifikt om hur rapporternas innehåll krypteras, oberoende av om leverantören har certifieringar.
Vi har en extern jurist som handlägger ärenden - behöver de tillgång till systemet?
Ja. Kontrollera hur systemet hanterar externa handläggare: kan ni ge tillgång utan att de skapar ett konto hos er? Revisionsloggen bör visa att en extern handläggare loggat in och agerat - inte att ni loggat in och lämnat åtkomst.
Hur vet vi om leverantören är stabil och kommer att finnas kvar?
Det vet ni aldrig med säkerhet. Det ni kan kontrollera är om ni kan exportera data vid avslut, om ni har era ärenden tillgängliga i ett öppet format och om PuB-avtalet reglerar vad som händer vid leverantörens konkurs eller förvärv. Det är de frågor som skyddar er om det värsta inträffar.
Måste systemet ha ett mobilgränssnitt?
Inget lagkrav. Men handläggare som reser mycket eller arbetar utanför kontoret behöver kunna nå systemet. Kontrollera att adminvyn fungerar i mobilwebbläsare - en separat app är inte nödvändigt men mobilanpassning är.
Kan vi byta leverantör utan att förlora ärende-historik?
Det beror på om systemet stöder dataexport. Kontrollera det explicit innan ni skriver på. En CSV-export med de viktigaste fälten - ärendenummer, datum, status, handläggarnoteringar - är minimum. Ärenden som är äldre än gallringsfristen (2 år efter avslut) behöver inte exporteras.
Vad skiljer ett dedikerat visselblåsarsystem från att använda ett generellt formulärverktyg?
Formulärverktyg saknar typiskt anonymitetsskydd, PuB-avtal anpassat för visselblåsning, en handläggarvy med §15/§16-stöd och revisionslogg. De är inte byggda för känslig personalrelaterad data och uppfyller sannolikt inte lagens krav på konfidentialitet och säker lagring. Undantag: om verktyget är konfigurerat med kryptering, separat EU-lagring och ett anpassat PuB-avtal - men det är en komplicerad konstruktion jämfört med ett dedikerat system.
Vi är 45 anställda - ska vi välja ett system ändå?
Inget lagkrav, men det finns skäl att överväga det. Investerare med ESG-krav frågar om sådana system. Offentliga upphandlingar börjar inkludera frågor om compliance-verktyg. Och om bolaget växer förbi 50 anställda gäller kravet omedelbart - det är lättare att ha systemet på plats i god tid än att aktivera det under press.