Visselblåsartjänst – Vanliga frågor om lagkrav, anonym rapportering och säker drift(FAQ)

Här besvarar vi vanliga frågor om visselblåsning, visselblåsarlagen (2021:890), anonym rapportering, GDPR och informationssäkerhet. Vår visselblåsartjänst driftas hos GleSYS i Sverige och uppfyller höga krav på konfidentialitet och dataskydd inom EU/EES.

Vad är visselblåsning och vem omfattas?

  • Visselblåsning innebär att en person rapporterar allvarliga missförhållanden i ett arbetsrelaterat sammanhang, exempelvis korruption, ekonomisk brottslighet eller allvarliga lagöverträdelser.

  • En visselblåsare är en person som i ett arbetsrelaterat sammanhang rapporterar allvarliga missförhållanden.

    Det kan vara:

    • Anställda

    • Konsulter

    • Praktikanter

    • Styrelseledamöter

    • Tidigare medarbetare

  • Man får rapportera allvarliga missförhållanden som det finns ett allmänintresse av att de kommer fram, exempelvis lagöverträdelser eller oegentligheter.

  • Intern visselblåsning sker via organisationens egna rapporteringskanal.
    Extern visselblåsning sker via en myndighet eller extern aktör.

    En extern visselblåsartjänst kan hantera interna rapporter oberoende, vilket stärker förtroende och minskar risk för jäv.

Visselblåsarlagen och regelefterlevnad

  • Organisationer med minst 50 anställda måste enligt visselblåsarlagen (2021:890) ha rapporteringskanaler.

  • En visselblåsarkanal ska:

    • Möjliggöra skriftlig och muntlig rapportering

    • Ge bekräftelse inom 7 dagar

    • Ge återkoppling inom 3 månader

    • Skydda rapportörens identitet

    • Dokumenteras skriftligt

    Vår tjänst är utformad för att uppfylla samtliga lagkrav genom både tekniska funktioner och dokumenterade processer.

  • Ja. Lagen förbjuder repressalier mot personer som rapporterar i enlighet med lagens skyddsområde.

  • Bristande efterlevnad kan innebära rättsliga risker, skadat anseende och bristande förtroende hos medarbetare och intressenter.

Så fungerar vår visselblåsartjänst

  • Rapportören fyller i ett webbaserat formulär som är tillgängligt dygnet runt. Rapporten registreras automatiskt och tilldelas ett unikt ärendenummer.

    Ingen inloggning krävs.

  • Ja. Rapportering kan ske helt anonymt. Systemet är utformat för att minimera metadataexponering och kan användas via anonymiseringstjänster.

  • Via krypterad tvåvägskommunikation i systemet. Rapportören använder en unik kod för att följa sitt ärende.

  • Ja. Rapporter via telefon eller fysiskt möte kan registreras i systemet och hanteras med samma säkerhetsnivå.

Informationssäkerhet och tekniskt skydd

  • Information skyddas genom:

    • TLS-kryptering vid överföring

    • Applikationsnivåkryptering av rapporter och bilagor

    • Rollbaserad åtkomstkontroll enligt principen om minsta behörighet

    • Loggning av handläggaraktiviteter

    • Logisk separering mellan kundmiljöer

    Drift sker hos GleSYS i Sverige, i ISO/IEC 27001-certifierad datacentermiljö.

    All databehandling sker inom EU/EES under svensk jurisdiktion.

  • All drift och datalagring sker hos GleSYS i Sverige.

    Datacentermiljön är lokaliserad inom EU/EES och omfattas av:

    • Svensk lagstiftning

    • EU:s dataskyddsförordning (GDPR)

    • ISO/IEC 27001-certifierade säkerhetsrutiner

    Det innebär att inga personuppgifter överförs till tredjeland som standard.

  • Ja. Vi arbetar systematiskt med sårbarhetshantering, patchning och regelbundna säkerhetsgranskningar.

GDPR och personuppgiftshantering

  • Vi tillämpar:

    • Dataminimering

    • Lagringsbegränsning

    • Kryptering

    • Behörighetskontroll

    • Dokumenterad incidenthantering

  • Personuppgifter behandlas inte längre än två år efter avslutat ärende, i enlighet med visselblåsarlagen.

  • Ja. Leveransen omfattar personuppgiftsbiträdesavtal samt dokumenterade tekniska och organisatoriska skyddsåtgärder.

Visselblåsarpolicy, implementering och organisationskultur

  • En visselblåsarpolicy bör innehålla:

    • Syfte och omfattning

    • Vad som kan rapporteras

    • Hur rapportering går till

    • Hur rapporter hanteras

    • Skydd mot repressalier

    • Gallringsregler

  • En framgångsrik implementering omfattar:

    1. Fastställande av policy

    2. Utse oberoende handläggare

    3. Teknisk implementering

    4. Kommunikation till organisationen

    5. Utbildning av berörda roller

    • Ledningen måste kommunicera tydligt stöd

    • Policyn måste vara känd

    • Rapportering ska vara enkel

    • Återkoppling ska vara transparent

  • Handläggare bör utbildas i:

    • Lagkrav

    • Sekretess

    • Objektiv ärendehantering

    • Dokumentation

    • GDPR

Praktiska frågor från rapportörer

    • Säkerställ att det rör sig om ett allvarligt missförhållande

    • Beskriv händelsen så konkret som möjligt

    • Bifoga relevant dokumentation

  • Ja. Rapportören kan komplettera med ytterligare information under hela handläggningsprocessen.

  • Myt: Man riskerar alltid sin anställning.
    Faktum: Lagen förbjuder repressalier.

    Myt: Rapportering är krånglig.
    Faktum: En professionell plattform gör processen enkel och säker.

Export, diarieföring och gallring

  • Ja. Ärenden kan exporteras för arkivering och diarieföring.

  • Gallring sker enligt dokumenterad retentionpolicy och är spårbar.

Varför välja en professionell visselblåsartjänst?

    • Ökat förtroende

    • Minskad risk för jäv

    • Dokumenterad process

    • Stärkt compliance

    • Professionell säkerhetsmodell

  • Tidigt upptäckta missförhållanden minskar juridiska, ekonomiska och reputationsmässiga risker.