Tillbaka till bloggen
Lagstiftning10 juni 2026

Visselblåsarpolicy - mall och vad den måste innehålla

En visselblåsarpolicy är det dokument som talar om för anställda vad de kan rapportera, hur de gör det och vilket skydd de har. Lagen kräver inte att du kallar det just "policy" - men den kräver att informationen finns tillgänglig.

Många bolag blandar ihop policyn med rapporteringskanalen. Det är två separata saker: kanalen är det tekniska systemet som tar emot rapporter, policyn är det dokument som förklarar hur allt hänger ihop.

Den här artikeln går igenom vad policyn behöver innehålla enligt visselblåsarlagen (2021:890) och EU-direktivet 2019/1937. Längst ner hittar du information om hur du laddar ner en färdig mall.

Vad är en visselblåsarpolicy?

En visselblåsarpolicy är ett internt styrdokument som beskriver bolagets rutiner för att ta emot, hantera och följa upp rapporter om missförhållanden. Den riktar sig primärt till anställda, men gäller ofta också konsulter, praktikanter och leverantörer som omfattas av lagens skyddsregler.

Policyn fyller tre funktioner:

  • Den informerar potentiella rapportörer om hur systemet fungerar och vilket skydd de har.
  • Den ger handläggarna en tydlig rutin att följa när ett ärende kommer in.
  • Den dokumenterar att bolaget har tagit sitt ansvar på allvar - vilket är relevant om Arbetsmiljöverket eller en domstol granskar verksamheten.

En policy behöver inte vara lång. Tio sidor full av juridisk text hjälper ingen anställd förstå hur de ska agera. Det som räknas är att innehållet är korrekt och att det faktiskt kommuniceras till de som ska använda det.

Vad måste policyn innehålla?

Visselblåsarlagen (2021:890) och det bakomliggande EU-direktivet 2019/1937 ger viss vägledning om vad ett rapporteringssystem ska innehålla. Nedan är de punkter som bör framgå av policyn.

Vilka kan rapportera?

Lagen skyddar en bredare krets än bara tillsvidareanställda. Policyn bör klargöra att följande personer kan använda kanalen:

  • Anställda (tillsvidare och tidsbegränsat)
  • Inhyrd personal och konsulter
  • Praktikanter och volontärer
  • Leverantörer och deras personal i den mån de har tillgång till information om bolagets verksamhet
  • Före detta anställda, om missförhållandet uppdagades under anställningstiden
  • Sökande under rekryteringsprocessen

Att inte klargöra detta är ett vanligt misstag. En leverantör som ser ett miljöbrott men inte vet om de kan rapportera anonymt - och vara skyddade - kommer sannolikt inte att rapportera alls.

Vad kan rapporteras?

Lagen är avgränsad till missförhållanden av allmänintresse. Det innebär brott och regelöverträdelser inom bolagets verksamhet, inte personliga arbetsrättsliga tvister som lönekonflikter eller oenighet med chefen.

Typiska exempel som bör nämnas i policyn:

  • Ekonomiska oegentligheter: bokföringsbrott, mutbrott, bedrägeri
  • Diskriminering och trakasserier
  • Miljöbrott och säkerhetsöverträdelser
  • Brott mot dataskyddsregler (GDPR)
  • Korruption i upphandling eller leverantörsrelationer

Det är lika viktigt att policyn är tydlig med vad som faller utanför lagens skydd. En anonym rapport om att kaffemaskinen är smutsig är inte ett visselblåsarärende. Att hantera den via samma kanal skapar onödig administrativ börda och riskerar att urvattna processen.

Hur rapporterar man?

Här beskriver ni rapporteringskanalen. Policyn bör innehålla:

  • Den faktiska adressen till rapporteringskanalen (er webbadress)
  • Att kanalen är tillgänglig dygnet runt
  • Att rapporten kan lämnas anonymt
  • Att rapporten kan kompletteras med bilagor och att uppföljning sker via en anonym meddelandefunktion
  • Att det också finns möjlighet att rapportera externt till Arbetsmiljöverket eller annan behörig myndighet

Lagen kräver att det ska gå att rapportera muntligt. Det kan uppfyllas genom att ni erbjuder ett telefonnummer eller möjlighet att boka ett fysiskt möte. Många bolag hanterar detta genom att ange att rapportören kan begära ett möte via rapporteringskanalen.

Vad händer med rapporten?

Tidsramarna i §15 och §16 i visselblåsarlagen är lagstadgade krav, inte rekommendationer. Policyn ska klart ange:

  • Bekräftelse av mottagande sker inom 7 dagar från att rapporten togs emot (§15).
  • Återkoppling om vidtagna eller planerade åtgärder sker inom 3 månader från bekräftelsen (§16).
  • Vem som hanterar ärendet - antingen en namngiven funktion (t.ex. Compliance-ansvarig) eller en extern tjänsteleverantör.

Om ni anlitar ett externt bolag för ärendehantering ska det framgå av policyn. Personuppgiftsbiträdesavtal (PuB-avtal) ska ha ingåtts med leverantören - något som bör nämnas i policyn för GDPR-transparensens skull.

Skyddet för den som rapporterar

Det här är det avsnittet som faktiskt avgör om någon väljer att rapportera. Policyn behöver beskriva:

  • Förbudet mot repressalier enligt 3 kap. visselblåsarlagen. Den som rapporterar i god tro får inte drabbas av negativa följder - oavsett om uppgifterna i rapporten visar sig stämma eller inte.
  • Att bevisbördan är omvänd. Om en anställd påstår att en åtgärd är en repressalie är det bolaget som måste visa att åtgärden inte har samband med rapporteringen.
  • Att den som rapporterar anonymt förblir anonym. Systemet ska tekniskt omöjliggöra att bolagets ledning identifierar vem som rapporterat.
  • Vart den som rapporterat kan vända sig om de upplever att de drabbats av repressalier (Arbetsmiljöverket, DO, facklig organisation).

Hantering av personuppgifter

Rapporter om missförhållanden innehåller per definition känsliga personuppgifter - om rapportören (om de valt att inte vara anonyma), om utpekade personer och eventuella vittnen. Policyn ska innehålla:

  • Att ärenden behandlas med strikt sekretess och att tillgång till ärenden begränsas till behöriga handläggare.
  • Hur länge uppgifter sparas. Visselblåsarlagen kräver att uppgifter inte sparas längre än nödvändigt, och ärenden ska raderas senast 2 år efter att ärendet avslutats (8 kap. 4 §).
  • Att en rapportör som valt att inte vara anonym har rätt att begära registerutdrag, rättelse och radering enligt GDPR - med de begränsningar som följer av utredningsintresset.
  • Namn på personuppgiftsansvarig och kontaktuppgifter för dataskyddsfrågor.

Policyn räcker inte ensam

En välskriven policy som ingen känner till är värdelös. Lagen kräver att informationen om rapporteringskanalen och de skyddade personernas rättigheter är tillgänglig och lättförståelig. Det innebär i praktiken:

  • Policyn ska finnas på er webbplats eller intranät, lättillgänglig utan inloggning om möjligt.
  • Ny personal ska informeras om policyn vid introduktionen.
  • Befintlig personal ska påminnas om systemet - minst en gång per år är rimlig rutin.
  • Leverantörer och konsulter som är relevanta ska informeras om att kanalen finns.

Intern kommunikation kring visselblåsarsystemet tas upp i checklistan för implementering.

Hur lång ska policyn vara?

Inga lagkrav styr längden. Två till fyra sidor räcker för de flesta bolag med 50-249 anställda. Varje avsnitt bör kunna läsas och förstås på under en minut. Komplexa juridiska resonemang hör hemma i ett separat handläggardokument, inte i den policy som anställda ska läsa.

Policyn bör revideras när:

  • Bolagets struktur förändras (fusion, förvärv, nya dotterbolag)
  • Ny lagstiftning eller myndighetsvägledning kräver uppdatering
  • Rapporteringskanalen byter leverantör
  • Det inkommit ärenden som visar att en punkt i policyn missförstås

Datum för senaste revidering ska framgå av dokumentet.

Ladda ner en färdig visselblåsarpolicymall

Vissly inkluderar en färdig policymall i alla planer. Mallen är skriven på svenska, anpassad till visselblåsarlagen (2021:890) och GDPR, och kan laddas ner som Word-dokument för redigering direkt i adminpanelen.

Mallen innehåller alla avsnitt som beskrivs i den här artikeln - inklusive standardtexter för skydd mot repressalier, hantering av personuppgifter och tidsramar för bekräftelse och återkoppling. Du fyller i bolagets namn, kontaktuppgifter för handläggaren och adressen till er rapporteringskanal.

Kom igång med Vissly

Det tar under fem minuter att registrera sig. Rapporteringskanalen och policymallen är tillgängliga direkt.

Vanliga frågor om visselblåsarpolicy

Är man skyldig att ha en visselblåsarpolicy?

Visselblåsarlagen (2021:890) kräver att bolag med 50 eller fler anställda har en intern rapporteringskanal och tydliga rutiner. En skriftlig policy är inte explicit föreskriven i lagtext, men är det praktiska sättet att uppfylla kravet på att information om kanalen och skyddsreglerna ska vara tillgänglig och förståelig för de som ska använda den. Saknar ni en policy är det svårt att visa att ni uppfyllt informationskravet.

Kan man använda en mall rakt av, eller måste den anpassas?

En mall måste alltid anpassas med bolagets faktiska uppgifter: namn på handläggare eller funktion, adress till rapporteringskanalen och eventuella avvikelser från standardrutinen. Utöver det kan ni behöva justera avsnittet om vad som kan rapporteras om er bransch har specifika regelkrav - exempelvis finns det för finansbolag och revisionsföretag ytterligare lagstiftning att beakta.

Vem ska skriva under policyn?

Det finns inget formellt krav på underskrift, men det är vanligt att VD eller styrelseordförande skriver under för att signalera att ledningen tar frågan på allvar. Dokumentet bör dateras och versionsnumreras.

Hur skiljer sig en visselblåsarpolicy från en visselblåsarkanal?

Policyn är ett Word- eller PDF-dokument som beskriver regler och rutiner. Rapporteringskanalen är det tekniska system (webbformulär, telefonnummer eller annat) via vilket anmälningar faktiskt lämnas. Ni behöver båda delarna. Policyn utan kanal uppfyller inte lagens tekniska krav - kanalen utan policy uppfyller inte lagens informationskrav.

Behöver policyn finnas på engelska?

Ingen lagstadgad skyldighet att erbjuda policyn på engelska finns. Men om ni har anställda eller konsulter som inte talar svenska är det god praxis - och troligen nödvändigt för att informationskravet ska vara meningsfullt uppfyllt. Vissly-plattformen stöder rapportering på svenska och engelska.

Hur ofta ska policyn uppdateras?

Det finns ingen fastlagd frekvens, men en gång per år är rimlig rutin. Därutöver ska policyn uppdateras vid strukturella förändringar i bolaget eller om ny lagstiftning kräver det. Dokumentera datumet för varje revidering.

Vad händer om vi har en policy men ingen rapporterar ändå?

Det behöver inte tyda på ett problem med systemet. Statistik från Arbetsmiljöverket och branschorganisationer visar att de flesta bolag med 50-249 anställda tar emot noll till ett ärende per år. Det viktiga är att systemet finns, att det fungerar tekniskt och att anställda vet om det. Det är tillräckligt för att hjälpa er uppfylla lagens krav och för att skydda bolaget om en situation uppstår.

Relaterade artiklar

Lagstiftning

Komplett guide till visselblåsarlagen (2021:890)

Läs mer Lagstiftning

Måste mitt företag ha ett visselblåsarsystem?

Läs mer