Kort version

Tre brister dominerar tillsynen. Kanalen saknas helt (vanligast bland bolag med 50 till 249 anställda). Kanalen finns men saknar oberoende bemanning och uppföljning. Kanalen finns men är inte konfidentiellt skild från linjeorganisationen (vanligast bland stora bolag). Vite kan utdömas direkt. Skadestånd för repressalier har i publicerad praxis hamnat på 50 000 till 250 000 kronor i ideellt skadestånd, plus ekonomisk skada. Bevisbördan ligger på arbetsgivaren.

Vad tillsynen letar efter

Arbetsmiljöverkets inspektioner följer ett förutsägbart mönster. Fem frågor avgör:

  1. Finns kanalen och är den känd? Dokumenterad, kommunicerad till medarbetarna, faktiskt öppen. En policy på intranätet som ingen läst räcker inte.
  2. Vem hanterar ärenden? Oberoende, kompetent personal utan intressekonflikt. En extern leverantör kan fungera, men avtalet måste täcka svenska regelverkskrav. Inte alla globala whistleblowing-plattformar gör det som standard.
  3. Svarstider. Mottagningsbekräftelse inom sju dagar. Återkoppling inom tre månader. Hårda regler, inte rekommendationer.
  4. Konfidentialitet. Rapportörens identitet skyddas även mot interna funktioner. IT-systemet ska vara säkrat enligt riskbedömning. Delad e-postlåda med HR-chefen räknas inte.
  5. Dokumentation. Registrering av rapporter, åtgärder och beslut i en spårbar process. Vid inspektion ska det gå att visa historiken.

Repressalier

Skyddet mot repressalier är lagens skarpaste instrument. Förflyttning, sänkt lön, utebliven befordran eller omorganisation som sammanfaller med en rapport kan klassificeras som repressalier. Bevisbördan är omvänd: arbetsgivaren måste bevisa att åtgärden hade skett oavsett rapporten. Kretsen av skyddade personer är bredare än arbetstagare: praktikanter, konsulter, leverantörer, styrelseledamöter, aktieägare och tidigare anställda omfattas.

Sverige har hittills varit återhållsamt med skadeståndsnivåerna jämfört med exempelvis Danmark och Finland. Det kan ändras. EU-kommissionen utvärderar implementeringen under 2026, och de nordiska länderna väntas få frågor om sanktionsnivåernas avskräckande effekt.

Vad bolag bör göra

  1. Testa kanalen. Skicka en testrapport. Mät om mottagningsbekräftelsen kommer inom sju dagar och om återkoppling sker inom tre månader. Många bolag har en kanal som tekniskt fungerar men i praktiken inte används.
  2. Granska leverantörsavtalet för utlagda kanaler. Kontrollera specifikt: täcker avtalet svenska tidsfrister (sju dagar, tre månader)? Lagrar leverantören data inom EU? Har leverantören en process för att hantera kraven i GDPR (dataskyddsförordningen) på bevarandetid (ofta max två år efter avslut)?
  3. Dokumentera träning. Nyrekryterad personal som hanterar mottagandet behöver utbildning om konfidentialitet, intressekonflikter och repressalieskydd. Utan loggad träning saknas bevis vid inspektion.
  4. Kommunicera den externa kanalen. De sju utsedda myndigheterna (Arbetsmiljöverket, Ekobrottsmyndigheten, Finansinspektionen med flera) ska vara synliga och tillgängliga. Den interna kanalen får inte vara det enda alternativet.
  5. Stäm av med GDPR-ansvarig. Personuppgifter i visselblåsarärenden kräver egen rättslig grund, strikt åtkomstkontroll och bevarandetid. Revisorn bör kunna verifiera detta separat.

Källor