Företagande , , , ,

Visselblåsarlagen 2026: Så lever ditt företag upp till kraven

Person som rapporterar via dator i affärsmiljö

Visselblåsarlagen har under några år gått från att vara en ny lagstiftning till en självklar del av företagsstyrningen i Sverige. Lagen ger anställda och andra som upptäcker missförhållanden ett tydligt skydd, och kräver att företag med minst 50 anställda har interna rapporteringskanaler. För 2026 blir efterlevnaden allt mer prioriterad – både ur juridisk synvinkel och som en del av hållbar företagsstyrning.

Det viktigaste: Företag och organisationer med 50 eller fler anställda måste ha interna rapporteringskanaler för visselblåsare. Skyddet mot repressalier gäller dock alla företag oavsett storlek. Brott mot lagen kan leda till skadestånd, vite från Arbetsmiljöverket och påverka offentliga upphandlingar.

Vad är visselblåsarlagen?

Visselblåsarlagen, formellt lag (2021:890) om skydd för personer som rapporterar om missförhållanden, trädde i kraft den 17 december 2021. Den är den svenska implementeringen av EU:s visselblåsardirektiv och ersatte den tidigare visselblåsarlagen från 2016. Hela lagtexten finns att läsa hos Riksdagen. Lagen ger ett särskilt skydd mot repressalier för personer som i ett arbetsrelaterat sammanhang rapporterar om missförhållanden där det finns ett allmänintresse av att informationen kommer fram.

Lagen omfattar betydligt fler än bara anställda. Skyddet gäller även egenföretagare som arbetar för en organisation, praktikanter, konsulter, leverantörer, aktieägare som är verksamma i bolaget och tidigare anställda. Skyddet gäller också under rekryteringsprocessen.

Vilka företag måste ha rapporteringskanal?

Kravet på interna rapporteringskanaler infördes stegvis och gäller sedan 17 december 2023 alla företag med minst 50 anställda. Skyldigheten omfattar både privat och offentlig sektor:

  • Privata företag med 250 eller fler anställda: kanaler krävs sedan 17 juli 2022
  • Privata företag med 50-249 anställda: kanaler krävs sedan 17 december 2023
  • Offentliga arbetsgivare med 50+ anställda: kanaler krävs sedan 17 juli 2022
  • Företag med färre än 50 anställda: ingen skyldighet att inrätta kanaler, men skyddet mot repressalier gäller ändå

Vad ska rapporteras?

Lagen gäller missförhållanden där det finns ett allmänintresse av att informationen kommer fram. Det kan handla om brott, allvarliga oegentligheter eller överträdelser av regelverk på områden som har stor betydelse för samhället. Lagens förarbeten ger flera exempel:

  • Penningtvätt och finansiering av terrorism
  • Produktsäkerhet och konsumentskydd
  • Miljöskydd och folkhälsa
  • Korruption och mutbrott
  • Skydd av privatliv och personuppgifter
  • Säkerhet i nätverks- och informationssystem
  • Offentlig upphandling
  • Skattefusk eller andra ekonomiska brott

Personliga konflikter på arbetsplatsen, missnöje med arbetsförhållanden eller frågor som rör enskilda anställda omfattas inte av lagen om de inte också utgör en överträdelse av allmänintresse.

Krav på den interna rapporteringskanalen

Den interna rapporteringskanalen måste uppfylla flera grundläggande krav. Den ska göra det möjligt för rapporterande personer att lämna information både muntligt och skriftligt, och systemet ska kunna hantera anonyma rapporter om så önskas.

Krav Tidsfrist
Bekräftelse på mottagen rapport Inom 7 dagar
Återkoppling till rapporterande person Inom 3 månader
Personuppgifter får sparas Max 2 år efter avslutat ärende

Företaget ska utse en eller flera oberoende personer eller en avdelning som ansvarar för hanteringen. Den ansvarige måste vara helt självständig och får inte ha intressekonflikter. Det är tillåtet att anlita en extern part, exempelvis en juristbyrå eller en specialiserad leverantör, för att hantera rapporteringskanalen, så länge oberoende, sekretess och säkerhet garanteras.

Skydd mot repressalier

Skyddet mot repressalier är hjärtat i visselblåsarlagen. En arbetsgivare får inte vidta några åtgärder som missgynnar en person som rapporterat. Förbjudna repressalier inkluderar:

  • Uppsägning eller avsked
  • Sänkt lön eller ändrade arbetsuppgifter
  • Utfrysning eller mobbning
  • Negativ resultatbedömning eller skriftlig erinran
  • Hot, trakasserier eller skrämseltaktik
  • Svartlistning eller spridning av negativ information om personen
  • Ekonomiska sanktioner eller indraget bonus

Skyddet omfattar även personer som hjälpt visselblåsaren och de som överväger att rapportera. Den som har rapporterat har också ansvarsfrihet för åsidosättande av tystnadsplikt, förutsatt att hen hade skälig anledning att tro att informationen var sann och nödvändig för att avslöja missförhållandet.

Vart kan visselblåsare vända sig?

Lagen erbjuder tre rapporteringsvägar med olika förutsättningar:

  1. Intern rapportering: Genom företagets egen rapporteringskanal eller direkt till en ansvarig chef
  2. Extern rapportering: Till en behörig myndighet (exempelvis Finansinspektionen, Arbetsmiljöverket eller Polismyndigheten)
  3. Offentliggörande: Till media, men endast som sista utväg under särskilda omständigheter

Visselblåsare kan välja om de vill rapportera internt först eller gå direkt till en myndighet. Skyddet är detsamma. Att vända sig till media kräver dock att visselblåsaren först har försökt rapportera internt eller externt utan resultat, eller att det finns en överhängande fara för allmänheten.

Tillsyn och sanktioner

Arbetsmiljöverket ansvarar för tillsynen av att företag inrättar interna rapporteringskanaler. Myndigheten kan utfärda föreläggande och utdöma vite om ett företag med 50 eller fler anställda inte har en kanal som uppfyller lagens krav.

Företag som bryter mot förbudet mot repressalier kan dömas att betala skadestånd för den ekonomiska förlust som visselblåsaren drabbats av samt för den kränkning som personen utsatts för. Skadeståndsnivån i Sverige har varit relativt blygsam jämfört med några andra EU-länder, men trenden visar att domstolarna successivt höjer beloppen i takt med att fler fall prövas.

Steg för att uppfylla kraven

För företag som ännu inte har en visselblåsarfunktion, eller som vill säkerställa att den befintliga uppfyller kraven, är följande steg vanliga:

  1. Bestäm kanaltyp: Egen lösning eller extern leverantör? Båda fungerar, valet beror på resurser och kompetens internt
  2. Utse ansvarig: En oberoende person eller funktion som hanterar inkomna rapporter
  3. Skriv en visselblåsarpolicy: Tydlig dokumentation av processen, ansvar och tidsfrister
  4. Informera personalen: Anställda och andra berörda måste veta att kanalen finns och hur den används
  5. Säkerställ anonymitet och sekretess: Tekniska och organisatoriska åtgärder som skyddar visselblåsarens identitet
  6. Utbilda chefer: Cheferna måste förstå skyddet mot repressalier och förbudet mot att efterforska identitet
  7. Granska processen regelbundet: Återkommande utvärdering av att kanalen fungerar

Visselblåsarlagen kontra Lex Sarah och Lex Maria

Inom vård, omsorg och socialtjänst finns parallella anmälningsskyldigheter genom Lex Sarah (socialtjänstlagen) och Lex Maria (patientsäkerhetslagen). De två är olika från visselblåsarlagen:

  • Lex Sarah och Lex Maria är obligatoriska anmälningar om allvarliga missförhållanden i vården
  • Visselblåsarlagen är en frivillig möjlighet att rapportera om allmänintresse
  • Samma sak kan ibland täckas av båda regelverken – men företaget behöver olika rutiner för respektive system

Vanliga frågor och svar

Måste alla företag ha en visselblåsarkanal?
Nej, kravet gäller företag och organisationer med 50 eller fler anställda. Mindre företag har ingen skyldighet att inrätta kanaler men skyddet mot repressalier gäller ändå för rapporterande personer.

Vad är skillnaden mellan intern och extern rapportering?
Intern rapportering sker via företagets egen kanal eller direkt till chef. Extern rapportering sker till en behörig myndighet som regeringen utsett. Visselblåsaren kan välja vilken väg som passar bäst.

Kan vi använda en extern leverantör för visselblåsarfunktionen?
Ja, det är fullt tillåtet att anlita en tredje part. Den externa parten måste dock uppfylla kraven på oberoende, sekretess och säkerhet. Företaget behåller ändå ansvaret för att lagen följs.

Vad händer om vi inte har en rapporteringskanal?
Arbetsmiljöverket kan utfärda föreläggande och utdöma vite. Företaget kan också drabbas av skadestånd om någon utsätts för repressalier. Bristen kan dessutom diskvalificera företaget i vissa offentliga upphandlingar.

Hur länge får vi spara uppgifter om en visselblåsarrapport?
Personuppgifter får sparas så länge det är nödvändigt för ärendehanteringen, men maximalt två år efter att ärendet avslutats. Övriga uppgifter ska gallras enligt allmänna regler om dataskydd.

Senast uppdaterad: 16 juni 2026

Etikett
Matz Nordström
Matz Nordström

Matz Nordström är en erfaren skribent och analytiker med över 30 års erfarenhet inom näringsliv och ekonomi. Matz har en gedigen bakgrund inom media och affärsutveckling, vilket gör honom till en nyckelperson på Näringslivsbolaget. Matz har en passion för att förklara komplexa ekonomiska samband på ett begripligt sätt och strävar alltid efter att leverera djupgående analyser och aktuella nyheter till läsarna.

visa alla inlägg

Relaterade inlägg

Publicera kommentar

Du har kanske missat