Arbejdsret

Whistleblowerordning 2026: Hvem skal have det og hvordan?

Siden 17. december 2023 har alle private virksomheder med 50 eller flere ansatte været forpligtet til at have en whistleblowerordning. Læs hvem der præcis er omfattet, hvilke krav loven stiller til kanal, fortrolighed og opfølgning, og hvilke konkrete fejl der har udløst sanktioner fra Datatilsynet.

11 min læsning

Whistleblowerordningen er ikke længere et "nice-to-have" eller en ledelsesanbefaling — den er et lovkrav for alle private virksomheder med 50 eller flere ansatte og for stort set hele den offentlige sektor. Reglerne kommer fra EU's whistleblower-direktiv (2019/1937), implementeret i Danmark via whistleblowerloven (lov nr. 1436 af 29. juni 2021). Loven har været i kraft for store virksomheder (≥250 ansatte) og det offentlige siden 17. december 2021, og for mellemstore (50-249 ansatte) siden 17. december 2023.

Vigtigste takeaway: En whistleblowerordning er ikke "en email til HR". Loven kræver en dedikeret kanal, fortrolighed for indberetters identitet, beskyttelse mod repressalier, og en sagsproces med 7 dages bekræftelse og 3 måneders feedback. Manglende ordning og brud på fortrolighed er begge sanktioneret med bøder — bl.a. via Datatilsynets tilsyn.

Hvem skal have whistleblowerordning?

Pligten til at etablere en intern whistleblowerordning følger af whistleblowerlovens § 9. Pligten gælder:

Type virksomhed Tærskel Frist
Offentlige arbejdsgivere Som udgangspunkt alle (ministerier, regioner, kommuner) 17. december 2021
Private virksomheder, store ≥ 250 ansatte 17. december 2021
Private virksomheder, mellem 50-249 ansatte 17. december 2023
Sektorspecifikke (uanset størrelse) Finansiel sektor, hvidvask, offshore-energi, transport, miljø, m.fl. Allerede etableret efter særlovgivning

Sådan tæller man de 50 ansatte

Tærsklen er gennemsnitligt antal ansatte inden for et regnskabsår. Det omfatter alle ansatte i virksomheden — fuldtid, deltid, tidsbegrænsede, lærlinge, vikarer er omtvistet men medregnes typisk hvis de er ansat af virksomheden. Eksterne konsulenter på fakturabasis tæller normalt ikke. Koncernforhold: hver juridisk enhed (CVR) tælles selvstændigt — datterselskaber under 50 ansatte er som udgangspunkt ikke omfattet, men kan vælge at koble sig på moderselskabets ordning.

Praktisk eksempel: Holdingstruktur med tre datterselskaber

Et holdingselskab har tre danske driftsselskaber: A med 80 ansatte, B med 35 ansatte, og C med 20 ansatte. A er forpligtet til at have egen ordning. B og C er ikke forpligtet, men hele koncernen vælger at lade alle tre selskaber bruge samme delte ordning hostet af et eksternt CMP. Det er tilladt, så længe B og C's ansatte tydeligt vejledes om kanalen, og fortroligheden er teknisk og organisatorisk afgrænset.

Faldgrube: Mange virksomheder antager, at "vi har en åben dør-kultur, så vi behøver ikke en formel ordning". Det er forkert. Loven kræver en dedikeret, dokumenteret kanal med fortrolighed. En email til HR eller et "sig det til din leder"-system opfylder ikke kravene.

Hvad kan indberettes?

Whistleblowerlovens § 1 og § 2 definerer omfanget. Indberetningsretten dækker oplysninger om alvorlige lovovertrædelser og øvrige alvorlige forhold, samt overtrædelser af konkret EU-ret oplistet i direktivets bilag.

1. Alvorlige lovovertrædelser

Forhold som strafbare overtrædelser, grov tilsidesættelse af lovgivning, korruption, bestikkelse, bedrageri, miljølovsovertrædelser, brud på arbejdsmiljøregler, datalovgivning eller forbrugerbeskyttelse. "Alvorlig" indebærer en vis væsentlighed — bagatelagtige forhold er ikke omfattet, men grænsen er bevidst lavt sat.

2. EU-retlige områder (whistleblower-direktivets bilag)

Direktivet opregner specifikke områder, hvor enhver overtrædelse er omfattet uanset væsentlighed. Det dækker bl.a. udbud, finansielle tjenester, hvidvask, produktsikkerhed, transportsikkerhed, miljøbeskyttelse, strålingsbeskyttelse, fødevaresikkerhed, dyrevelfærd, folkesundhed, forbrugerbeskyttelse, persondataregler (GDPR), netværks- og informationssikkerhed, samt EU's konkurrence- og statsstøtteregler.

3. Øvrige alvorlige forhold

Den danske lov er bredere end direktivet og inkluderer også "andre alvorlige forhold". Det kan omfatte interne forhold som seksuel chikane, gentagne brud på interne procedurer med stor risiko, eller groft mismanagement. Datatilsynet har siden 2023 lagt vægt på, at virksomheden ikke skal afvise indberetninger på et formalistisk grundlag — er der tvivl om, at noget er "alvorligt nok", skal det undersøges, ikke afvises.

Hvad er IKKE omfattet?

  • Personlige konflikter mellem medarbejdere uden lovovertrædelse — hører under HR/samarbejdsudvalg
  • Klager over ledelsesstil, der ikke involverer lovbrud
  • Almindelige kundeklager
  • Forhold uden tilknytning til arbejdspladsen

Vigtigt: Selv om noget falder uden for whistleblowerordningens formelle anvendelsesområde, bør virksomheden have en sekundær kanal (f.eks. samarbejdsudvalg, tillidsrepræsentant, HR), så indberetteren ikke står alene.

Intern + ekstern kanal

Whistleblowerloven opererer med to kanaler, og indberetteren kan vælge frit mellem dem.

Intern kanal — virksomhedens egen

Den interne kanal er virksomhedens lovpligtige ordning. Den skal være:

  • Tilgængelig 24/7: Som regel et online-værktøj — telefon og fysisk møde skal også være muligt
  • Fortrolig: Indberetters identitet må kun kendes af de personer, der er udpeget til at modtage og behandle indberetninger
  • Anonym mulighed: Loven kræver, at virksomheden modtager anonyme indberetninger, men kan vælge selv at behandle dem
  • Skriftlig OG mundtlig: Begge former skal være mulige
  • Personlig samtale på begæring: Indberetter har ret til møde inden for rimelig tid (typisk 7-14 dage)

Ekstern kanal — Datatilsynet

Datatilsynet driver den nationale eksterne whistleblowerordning. Indberettere kan vælge at bruge Datatilsynets ordning direkte uden først at have prøvet den interne kanal — der er ingen pligt til at "starte indenfor". Det betyder, at virksomhedens interne ordning konkurrerer på troværdighed: hvis ansatte ikke har tillid til den interne ordning, bruger de den eksterne, og virksomheden mister muligheden for at håndtere problemet selv.

Tredje vej: offentlig fremlæggelse

I særlige tilfælde — f.eks. hvis intern og ekstern kanal er anvendt uden virkning, eller hvis der er overhængende fare — kan indberetning ske offentligt (presse, sociale medier) med samme beskyttelse mod repressalier. Det er tærsklen for offentlig fremlæggelse, der gør det forretningskritisk at have en velfungerende intern ordning.

Praktisk eksempel: Outsourcet vs. intern modtagelse

Mange mellemstore virksomheder outsourcer indberetningskanalen til en ekstern leverandør (f.eks. WhistleB, EQS Integrity Line, Got Ethics). Det er fuldt lovligt — loven kræver kun, at den udpegede modtager er upartisk og kompetent. Fordelen er teknisk fortrolighed (kryptering, audit trails) og signalværdi til medarbejderne. Ulempen er pris (typisk 10.000-50.000 kr./år). Den modtagne indberetning skal stadig behandles internt af en udpeget enhed.

Whistleblowerpolitikken — 9 elementer

Loven kræver, at virksomheden har en skriftlig politik, der beskriver ordningen. Politikken skal være tilgængelig for alle ansatte (typisk på intranet og i medarbejderhåndbog) og skal indeholde minimum følgende:

1
Hvem kan indberette?

Personkredsen omfatter ansatte, men også tidligere ansatte, kandidater under rekruttering, praktikanter, vikarer, leverandører, aktionærer og bestyrelsesmedlemmer. Politikken skal liste personkredsen klart.

2
Hvad kan indberettes?

Beskrivelse af de tre kategorier: alvorlige lovovertrædelser, EU-retlige områder, øvrige alvorlige forhold. Med konkrete eksempler tilpasset jeres branche.

3
Sådan indberetter du

Konkret URL/link til værktøjet, telefonnummer, mulighed for fysisk møde. Vejledning i, hvordan man indberetter anonymt.

4
Hvem modtager og behandler?

Den udpegede enhed (intern compliance officer, ekstern advokat, eller dedikeret whistleblower-team). Identifikation skal være konkret nok til at skabe tillid, men beskyttet mod misbrug.

5
Sagsbehandlingsprocessen og frister

Bekræftelse inden 7 dage, feedback senest 3 måneder efter indberetning. Beskrivelse af, hvad der sker undervejs.

6
Fortrolighed

Hvordan identitet beskyttes — teknisk (kryptering), organisatorisk (begrænset adgang), og juridisk (tavshedspligt). Hvornår identitet kan deles (f.eks. ved retslig forfølgelse).

7
Beskyttelse mod repressalier

Beskrivelse af forbud mod ufordelagtig behandling: opsigelse, advarsel, tilbageholdelse af forfremmelse, chikane, mv. Konsekvens for ledere/kolleger der overtræder.

8
GDPR og databeskyttelse

Retsgrundlag for behandling (typisk retlig forpligtelse efter whistleblowerloven), opbevaringstid (typisk slettes 2 måneder efter sagens afslutning, undtagen ved sanktioner), datasubjektrettigheder.

9
Ekstern kanal og rettigheder

Henvisning til Datatilsynets eksterne ordning og vejledning om, at indberetning kan ske direkte dertil uden brug af intern kanal.

Sagsbehandlingsprocessen — 7 dage / 3 måneder

Whistleblowerlovens § 14 og § 15 fastsætter to bindende frister, der ofte glemmes:

Inden 7 dage: Bekræftelse

Indberetter skal modtage bekræftelse på, at indberetningen er modtaget, senest 7 dage efter modtagelse. Bekræftelsen skal sendes via samme kanal, som indberetningen kom ind ad — også hvis indberetning er anonym (med en sagsreference). Brud på 7-dages-fristen er en formel mangel og kan tages med i en eventuel sanktion.

Inden 3 måneder: Feedback

Inden 3 måneder fra bekræftelsen skal indberetter have besked om de planlagte eller iværksatte foranstaltninger og baggrunden for disse. Det er ikke nødvendigvis sagens endelige resultat — kun status. Hvis sagen er kompleks og tager længere tid, skal indberetter holdes orienteret om forsinkelsen.

De 6 trin i processen

  1. Modtagelse: Indberetning registreres i sikkert system med tidsstempel og unik sagsreference.
  2. Triage (1-7 dage): Modtager vurderer, om sagen falder inden for ordningens anvendelsesområde. Bekræftelse sendes til indberetter.
  3. Indledende undersøgelse (uger): Saglig undersøgelse — interview af relevante personer (ikke nødvendigvis den anklagede endnu), gennemgang af dokumenter.
  4. Den anklagedes ret til kontradiktion: Hvis anklagen har vægt, skal den anklagede høres — men typisk først når indberetters identitet er beskyttet og fakta er tilstrækkeligt belyst.
  5. Beslutning og handling: Sanktion, indberetning til myndighed, intern proceduretilpasning eller henlæggelse. Skriftlig begrundelse i sagsmappen.
  6. Feedback (senest 3 måneder): Indberetter informeres. Sagen lukkes; data slettes typisk 2 måneder efter (medmindre nødvendigt for retssager).

Praktisk eksempel: Misbrug af firmakort

En medarbejder indberetter via det interne system, at en mellemleder bruger firmakort til private formål for ca. 25.000 kr./måned. Modtager (intern compliance) bekræfter modtagelsen dag 2. Triage viser, at det er omfattet (alvorligt forhold/svig). Dag 12: data fra økonomi gennemgås. Dag 28: mellemlederen høres af HR-direktør og ekstern advokat. Dag 45: mellemlederen anerkender forholdet, opsiges med påkrav om tilbagebetaling. Dag 60: politianmeldelse. Dag 75: indberetter informeres om resultatet (uden at navngive den anklagede direkte). Dag 135: data om sagen slettes, undtagen hvad der er nødvendigt for civil/straffesag.

Beskyttelse mod repressalier

Beskyttelsen mod repressalier (whistleblowerlovens kapitel 4, §§ 7-8) er den materielle hjerte i hele ordningen. Uden reel beskyttelse er indberetningssystemet en facade.

Hvad er repressalier?

Loven definerer repressalier som "enhver direkte eller indirekte handling eller undladelse, der finder sted i en arbejdsrelateret sammenhæng som følge af en intern eller ekstern indberetning eller offentliggørelse, og som forårsager eller kan forårsage indberetteren uberettiget skade". Eksempler:

  • Opsigelse, suspension, afskedigelse
  • Forflyttelse, degradering, manglende forfremmelse
  • Ændring af arbejdstid, arbejdssted eller -opgaver
  • Lønnedgang, bonusbortfald
  • Negative referencer eller udtalelser
  • Sociale eksklusionsmønstre, mobning, chikane
  • Ophævelse af leverandøraftale (gælder også eksterne)
  • Disciplinære advarsler eller mundtlig irettesættelse uden saglig grund

Omvendt bevisbyrde

Whistleblowerloven indfører delt bevisbyrde: hvis indberetter sandsynliggør, at hen har indberettet og efterfølgende oplevet ufordelagtig behandling, er det arbejdsgiveren der skal bevise, at handlingen ikke var en repressalie. Det er en stor processuel fordel for whistleblowere og en betydelig retssikkerhedsrisiko for virksomheden, hvis ledelsen reagerer impulsivt.

Sanktioner

Repressalier kan udløse: (1) godtgørelse til whistleblower (typisk 6-12 måneders løn), (2) tilsidesættelse af opsigelsen som ugyldig, (3) bødestraf til virksomheden, (4) bødestraf til den fysiske person, der iværksatte repressalien — herunder personlig leder.

Ledelsesopgave: Når en whistleblower er identificeret internt, skal HR og ledelse træffe særlig forholdsregler i 12-24 måneder. Enhver ufordelagtig behandling — selv hvis sagligt begrundet — risikerer at blive vurderet som repressalie. Dokumentation af saglig begrundelse før handlingen er afgørende.

Fortrolighed og GDPR

Whistleblowerordningen krydser GDPR på flere niveauer. Datatilsynet har siden 2022 udgivet detaljerede vejledninger og foretaget tilsynsbesøg.

Retsgrundlag

Behandling af personoplysninger om indberetter, anklagede og vidner sker som udgangspunkt på grundlag af retlig forpligtelse (GDPR art. 6 stk. 1 litra c) — virksomheden er retligt forpligtet til at have ordningen og behandle indberetninger. For alvorlige lovovertrædelser kan også art. 6 stk. 1 litra f (legitime interesser) eller særlige bestemmelser for strafbare forhold (databeskyttelseslovens § 8) blive aktuelle.

Tavshedspligt

Whistleblowerlovens § 25 indfører en særlig tavshedspligt for sagsbehandlere. Identitet på både indberetter og indberettede må kun deles med personer, der er nødvendige for sagsbehandlingen — typisk maks. 2-3 personer pr. sag. Brud på tavshedspligten er strafbart efter straffelovens § 152.

Datasubjektrettigheder

Den anklagede har som udgangspunkt indsigtsret efter GDPR art. 15. Men: indsigt i indberetters identitet kan begrænses, hvis det er nødvendigt for at beskytte indberetters rettigheder (databeskyttelseslovens § 22). Dette er den vigtigste praktiske undtagelse, og dokumentation af, hvorfor indsigt nægtes, skal ligge i sagsmappen.

Opbevaringstid

Datatilsynet anbefaler:

  • Sager uden videre opfølgning (fejlanmeldelser, ikke-omfattet): slettes efter 2 måneder
  • Sager der har ført til foranstaltninger: opbevares så længe som nødvendigt — dog typisk 2 år efter sagens afslutning
  • Sager med igangværende retssager: opbevares til retssagens afslutning + forældelsesfrist
  • Anonyme sager: samme regler, baseret på sagens karakter

Typiske fejl og sanktioner

1. Ingen ordning trods pligt

Den enkleste fejl: man har 65 ansatte og ingen ordning. Datatilsynet har siden 2024 foretaget temabaserede tilsyn, hvor de afkræver dokumentation. Sanktion: påbud + bøde efter whistleblowerlovens § 30 (op til 100.000 kr. for juridiske personer i typiske sager, op til 4% af omsætningen i grove tilfælde).

2. Ordning kun "på papiret"

Der er en politik på intranettet, men intet faktisk værktøj, ingen udpeget modtager, eller modtagelse går til CEO's personlige email. Datatilsynet vurderer dette som "ikke-eksisterende" og sanktionerer som under fejl 1.

3. Manglende fortrolighed

Indberetters identitet videregives uden samtykke til den anklagede eller til personer uden behov for at vide det. Brud på tavshedspligten er strafbart for den person, der videregiver, og kan udløse erstatningskrav fra indberetter.

4. Repressalier efter indberetning

Den klassiske: en medarbejder indberetter, og 6 måneder senere "tilfældigvis" omstruktureres hans afdeling, og han mister sin stilling. Med omvendt bevisbyrde er det meget vanskeligt for arbejdsgiveren at vinde sådanne sager. Typisk udløsning: 9-12 måneders løn i godtgørelse + offentlig opmærksomhed.

5. Manglende sagsbehandling inden for frister

7-dages bekræftelse og 3-måneders feedback overholdes ikke. Datatilsynet har sanktioneret dette i flere konkrete sager fra 2024-2025.

6. GDPR-fejl

Manglende oversigt over behandlingsaktiviteter (GDPR art. 30), manglende DPIA hvor relevant (art. 35), manglende databehandleraftale med ekstern leverandør (art. 28). Datatilsynet kombinerer ofte whistleblowertilsyn med GDPR-tilsyn.

Tjekliste før ordningen går live

Brug denne tjekliste, før whistleblowerordningen meldes ud til medarbejderne:

  • ☐ Antal ansatte er kortlagt — er virksomheden omfattet af pligten?
  • ☐ Skriftlig whistleblowerpolitik er udarbejdet og indeholder alle 9 elementer
  • ☐ Politikken er forelagt og godkendt af bestyrelse/ledelse
  • ☐ Indberetningskanalen er etableret (eget system eller ekstern leverandør)
  • ☐ Kanalen tillader skriftlig, mundtlig og personlig indberetning — også anonym
  • ☐ Modtager-enheden er udpeget — kompetent og upartisk
  • ☐ Sagsbehandlere har modtaget relevant uddannelse (GDPR + tavshedspligt + arbejdsret)
  • ☐ Procedure for 7-dages bekræftelse og 3-måneders feedback er beskrevet
  • ☐ Beskyttelse mod repressalier er kommunikeret tydeligt
  • ☐ Databehandleraftale med ekstern leverandør (hvis relevant) er på plads
  • ☐ Behandlingsaktivitet er registreret i fortegnelsen efter GDPR art. 30
  • ☐ DPIA er gennemført, hvis behandlingen er højrisiko
  • ☐ Slette-procedurer er defineret — 2 måneder for fejlanmeldelser, sagstidsbestemt for resten
  • ☐ Politikken er kommunikeret til alle ansatte (intranet, onboarding-pakke, plakat på pause-rum)
  • ☐ Henvisning til Datatilsynets eksterne kanal er inkluderet
  • ☐ Årlig evaluering af ordningens funktion er sat i kalenderen
Tip: En whistleblowerordning, der aldrig får indberetninger, er ikke nødvendigvis en succes — det kan være et tegn på manglende tillid. Datatilsynet anbefaler at evaluere ordningen årligt og at offentliggøre anonymiseret statistik (antal indberetninger pr. år, behandlingstid, løste sager) — det skaber tillid.

Opret jeres whistleblowerpolitik med LovBot

LovBot genererer en juridisk komplet whistleblowerpolitik, der overholder whistleblowerloven og EU-direktiv 2019/1937. Tilpasset jeres branche og virksomhedsstørrelse, klar til medarbejderhåndbog og intranet.

Opfylder whistleblowerloven + EU-direktiv Inkl. alle 9 lovpligtige elementer Færdig på 5 minutter
Opret whistleblowerpolitik gratis →

Relaterede guides

Denne artikel er informativ og bør ikke erstatte juridisk rådgivning. Ved vigtige juridiske spørgsmål, kontakt en advokat.