Tillbaka till bloggen
Lagstiftning15 april 2026

Komplett guide till visselblåsarlagen (2021:890) - vad gäller för ditt bolag?

Sedan december 2023 är bolag med 50 eller fler anställda skyldiga att ha ett visselblåsarsystem. Här går vi igenom exakt vad lagen kräver.

Vilka omfattas av lagen?

Visselblåsarlagen (2021:890) gäller för privata arbetsgivare med 50 eller fler anställda. För kommuner och regioner finns inga undantag baserade på storlek - de omfattas alltid.

För privata bolag med 50-249 anställda trädde kravet i kraft den 17 december 2023. Bolag med 250 eller fler anställda hade krav redan från den 17 juli 2022.

Vad ska kanalen innehålla?

Lagen ställer specifika krav på hur rapporteringskanalen utformas:

  • Kanalen ska vara säker och konfidentiell - identiteten på den som rapporterar får inte röjas
  • Systemet ska vara tillgängligt för anställda, inhyrd personal och leverantörer
  • Rapporter ska kunna lämnas skriftligt och muntligt
  • En bekräftelse ska skickas inom 7 dagar från att rapporten tagits emot
  • Ärendehanteraren ska återkoppla om vidtagna åtgärder inom 3 månader

Vad kan rapporteras?

Lagen skyddar rapportering om missförhållanden som det finns ett allmänintresse av att de kommer fram. Det handlar om brott och regelöverträdelser inom bolagets verksamhet - inte personliga arbetsrättsliga tvister.

Exempel på rapporterbara missförhållanden:

  • Ekonomiska oegentligheter och bokföringsbrott
  • Diskriminering och trakasserier
  • Miljöbrott och säkerhetsöverträdelser
  • Korruption och mutor
  • Brott mot dataskyddsregler

Skyddet för den som rapporterar

En central del av lagen är förbudet mot repressalier. En arbetsgivare får inte vidta åtgärder mot en anställd som rapporterat i god tro - oavsett om uppgifterna visar sig stämma eller inte.

Förbudet mot repressalier gäller omplacering, uppsägning, ändrade arbetsvillkor och andra åtgärder som missgynnar den som rapporterat. Bevisbördan är omvänd - det är arbetsgivaren som ska visa att en åtgärd inte är en repressalie.

Kravet på GDPR-efterlevnad

Visselblåsarkanalen behandlar personuppgifter och omfattas av GDPR. Det kräver ett personuppgiftsbiträdesavtal (PuB-avtal) med den som levererar systemet, samt tydlig information till rapportören om hur uppgifterna hanteras.

Uppgifter om utpekade personer ska hanteras varsamt. Lagen ger inte rätt att lagra personuppgifter längre än nödvändigt för utredningens syfte.

Sammanfattning

Visselblåsarlagen kräver ett tekniskt system, tydliga rutiner och en utsedd person som hanterar ärenden. Bekräftelse inom 7 dagar och återkoppling inom 3 månader är lagkrav - inte rekommendationer. Systemet ska vara tillgängligt för fler än bara anställda, och PuB-avtal krävs enligt GDPR.

Fler artiklar

Compliance

Vad händer om ditt bolag saknar visselblåsarsystem?

Läs mer Checklista

Checklista: Uppfyller ditt visselblåsarsystem alla krav?

Läs mer