Er min virksomhed forpligtet til at have en whistleblowerordning?

Forpligtelsen afhænger af virksomhedens medarbejderantal og branche. Whistleblowerloven (lov nr. 1436 af 29/06/2021) § 9 forpligter private virksomheder med 50 eller flere medarbejdere til at etablere en intern whistleblowerordning. Private virksomheder med 250 eller færre medarbejdere fik frem til 17. december 2023 til at opfylde kravet. Virksomheder med under 50 medarbejdere er som udgangspunkt ikke lovpligtige til at have en ordning, medmindre de er underlagt sektorspecifikke regler. Finansielle virksomheder — banker, forsikringsselskaber, fondsmæglere, investeringsrådgivere — er underlagt særlige regler under Finanstilsynets tilsyn og er forpligtede til whistleblowerordninger uanset medarbejderantal, jf. eksempelvis lov om finansiel virksomhed. Offentlige myndigheder og institutioner med mere end 50 medarbejdere er ligeledes forpligtede. Medarbejderantallet beregnes som det gennemsnitlige antal ansatte i det foregående regnskabsår. Freelancere og selvstændige, der ikke er ansat, tæller ikke med. Manglende etablering af en obligatorisk ordning kan medføre bøde til virksomheden og dens ledelse, jf. whistleblowerlovens § 24. Det anbefales altid at konsultere en advokat ved tvivl om, om virksomheden er forpligtet.

Hvad sker der, hvis en medarbejder oplever repressalier efter en indberetning?

Repressalier mod whistleblowere er forbudt og sanktioneret i whistleblowerloven (lov nr. 1436 af 29/06/2021) §§ 16-17. Forbuddet mod repressalier er bredt og dækker enhver form for ugunstig behandling som følge af en indberetning — opsigelse, advarsel, forflyttelse, lønreduktion, ændrede arbejdsvilkår, chikane, diskrimination og udelukkelse fra forfremmelse. Er en medarbejder offer for repressalier, har vedkommende et erstatningskrav mod arbejdsgiveren. Erstatningen kan dække dokumenteret tab — typisk løn under en ugyldig opsigelse — og godtgørelse for krænkelsen. En vigtig procesregel er, at bevisbyrden er vendt, jf. § 17: hvis whistlebloweren sandsynliggør, at en negativ handling er en repressalie, er det arbejdsgiveren, der skal bevise, at handlingen er begrundet i et andet lovligt formål. Denne omvendte bevisbyrde styrker whistleblowerens retsstilling markant. Sagen kan indbringes for byretten af whistlebloweren selv eller med hjælp fra en fagforening. Whistleblowere, der arbejder i regulerede brancher, kan tillige indberette repressalierne til Finanstilsynet eller den relevante sektormyndighed. Whistleblowerloven regulerer ikke erstatningens størrelse, men den konkrete skadesberegning svarer til principperne i funktionærlovens opsigelsesbestemmelser og den almene erstatningsret.

Kan en whistleblower indberette anonymt?

Whistleblowerloven (lov nr. 1436 af 29/06/2021) kræver ikke, at virksomheder accepterer anonyme indberetninger — men loven forbyder det heller ikke. En virksomhed kan frit beslutte, om den vil modtage anonyme indberetninger. Datatilsynets vejledning om whistleblowerordninger anbefaler, at virksomheder overvejer at acceptere anonyme indberetninger, da dette kan opmuntre whistleblowere, der frygter repressalier, til at indberette. Anonyme indberetninger behandles i princippet som ikkeaonyme — virksomheden er forpligtet til at behandle sagen på baggrund af de indberettede oplysninger, uanset om whistlebloweren er identificerbar. Udfordringen ved anonyme indberetninger er, at virksomheden ikke kan give kvittering og tilbagemelding direkte til whistlebloweren, og at en eventuel undersøgelse kan være sværere at gennemføre, da yderligere oplysninger ikke kan indhentes. Det er vigtigt at bemærke, at beskyttelsen mod repressalier gælder for whistleblowere, der kan identificeres. En anonym whistleblower er i praksis beskyttet, fordi vedkommendes identitet er ukendt — men if identiteten efterfølgende afsløres, er beskyttelsen aktiveret. Datatilsynets Whistleblowerenhed og de eksterne myndigheder accepterer anonyme indberetninger som udgangspunkt.

Hvad sker der med personoplysninger i en whistleblowerordning?

Behandlingen af personoplysninger i en whistleblowerordning er underlagt databeskyttelsesforordningen (GDPR) og databeskyttelsesloven (lov nr. 502 af 23/05/2018). Virksomheden er dataansvarlig for behandlingen. En indberetning kan indeholde personoplysninger om tre kategorier af personer: whistlebloweren selv, de indklagede og eventuelle vidner. Disse personoplysninger er særlig følsomme, fordi indberetningen i sagens natur er fortrolig. Datatilsynet har i sin vejledning om whistleblowerordninger fastslået en række principper: personoplysninger må kun behandles af de personer, der er direkte involveret i behandlingen af den konkrete sag; adgangen til indberetningssystemet skal styres strengt; personoplysninger opbevares ikke længere end nødvendigt og slettes senest 5 år efter sagens afslutning, medmindre fortsat opbevaring er nødvendig af retlige grunde; de registrerede har rettigheder (indsigt, berigtigelse, sletning), men indsigt i sagens dokumenter kan begrænses, i det omfang det er nødvendigt for at beskytte tredjemands interesser og for at sikre effektiv behandling af sagen. Behandlingshjemlen for behandling af personoplysninger er typisk opfyldelse af en retlig forpligtelse (GDPR art. 6, stk. 1, litra c) — virksomheden er lovpligtig til at have ordningen — suppleret med Datatilsynets tilladelse efter databeskyttelsesloven § 8 for behandling af følsomme personoplysninger.

Hvad er forskellen på intern og ekstern whistleblowerordning?

Den interne whistleblowerordning er den kanal, virksomheden selv etablerer for sine medarbejdere og samhandelspartnere. Den interne ordning håndteres af en intern compliance-funktion eller en ekstern leverandør og er designet til at give virksomheden mulighed for selv at håndtere problemer, inden de eskalerer til myndighederne. Den interne ordning er det første trin i whistleblowerprocessen for de fleste indberettere. Den eksterne whistleblowerordning er etableret af offentlige myndigheder. EU-direktiv 2019/1937/EU kræver, at kompetente myndigheder i EU-landene opretter eksterne kanaler inden for deres respektive sektorer. I Danmark er Datatilsynets Whistleblowerenhed den centrale eksterne kanal for databeskyttelsesbrud. Finanstilsynet har sin egen kanal for overtrædelser i den finansielle sektor. Whistleblowerloven giver whistlebloweren ret til frit at vælge: den interne ordning, en ekstern myndighed, eller begge. Der er ingen pligt til at forsøge den interne ordning, inden man henvender sig til myndighederne. Whistleblowerbeskyttelsen gælder uanset om ordningen er intern eller ekstern. Den interne ordning er ofte hurtigere og giver virksomheden mulighed for selv at rette op på problemerne. Den eksterne ordning er bedre egnet i tilfælde, hvor den interne ordning er kompromitteret, virksomheden er involveret i systematiske overtrædelser, eller whistlebloweren ikke har tillid til virksomheden.

Kan virksomheden politianmelde den person, som indberetningen handler om?

Ja — virksomheden kan politianmelde eller foretage andre retlige skridt over for den person, indberetningen handler om, hvis undersøgelsen bekræfter overtrædelserne. Whistleblowerloven forhindrer ikke retlige skridt mod indklagede, der har begået lovovertrædelser. En alvorlig indberetning om strafbare forhold — bedrageri, hvidvask, korruption, seksuel vold — bør i de fleste tilfælde politianmeldes, og virksomheden kan have en pligt til dette. En vigtig sondring er dog, at virksomheden ikke kan politianmelde whistlebloweren for at have foretaget en indberetning i god tro — det ville være en repressalie i strid med whistleblowerlovens §§ 16-17. Whistlebloweren er beskyttet mod strafansvar og erstatningsansvar for indberetningen, forudsat at vedkommende har haft rimelig grund til at tro, at oplysningerne var sande på indberetningstidspunktet, og at indberetningen er foretaget på lovlig vis. Er en indberetning imidlertid fremsat i ond tro — bevidst falsk — er whistlebloweren ikke beskyttet og kan holdes erstatningsansvarlig. Det er vigtigt at foretage en grundig intern undersøgelse af indberetningens substans, inden der tages retlige skridt mod nogen. Sø- og Handelsretten og byretten behandler civile sager om erstatning og ansvar i forbindelse med whistleblower-indberetninger.

Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven

Whistleblowerloven (LOV 1436/2021) | GDPR | Databeskyttelsesloven (502/2018) | Fortrolighed

Virksomhedsoplysninger

WHISTLEBLOWERPOLITIK

Virksomhed: [Virksomhed Navn] Adresse: [Virksomhed Adresse] Ansvarlig: [Ansvarlig Person] Kontakt: [Kontakt Email] Ikrafttrædelse: [Ikrafttraeden]

1. Formål og lovgrundlag

1.1 [Virksomhed Navn] har etableret en intern whistleblowerordning i overensstemmelse med whistleblowerloven (lov nr. 1436 af 29/06/2021 om beskyttelse af whistleblowere), der gennemfører Europa-Parlamentets og Rådets direktiv 2019/1937/EU om beskyttelse af personer, der indberetter overtrædelser af EU-retten.

1.2 Formålet med ordningen er at give medarbejdere, tidligere medarbejdere og andre, der er i kontakt med virksomheden, mulighed for at indberette mistanke om alvorlige overtrædelser af lovgivningen eller virksomhedens interne politikker uden risiko for repressalier.

2. Hvem kan indberette?

2.1 Følgende kan benytte whistleblowerordningen, jf. whistleblowerlovens § 4: nuværende medarbejdere, tidligere medarbejdere, jobansøgere, selvstændige, leverandører og samhandelspartnere samt enhver anden, der i en arbejdsmæssig sammenhæng har fået oplysningerne.

2.2 Ordningen kan IKKE bruges til indberetning af personlige konflikter, løn- og ansættelsestvister eller andre personaleforhold, der ikke vedrører alvorlige overtrædelser.

3. Hvad kan indberettes?

3.1 Ordningen dækker indberetning om alvorlige overtrædelser af EU-ret og dansk ret inden for de EU-retsakter, der er nævnt i whistleblowerlovens bilag, herunder: finansielle tjenesteydelser, hvidvask og terrorfinansiering, databeskyttelse og GDPR, produktsikkerhed og -overensstemmelse, miljøbeskyttelse, fødevaresikkerhed, folkesundhed og korruption.

3.2 Ordningen dækker tillige overtrædelser af dansk lovgivning og virksomhedens interne politikker, som er af alvorlig karakter — herunder bedrageri, bestikkelse, seksuel chikane, diskrimination og grove brud på tavshedspligten.

4. Indberetningskanal og procedure

4.1 Indberetningskanal: [Indberetningskanal]. Kontakt: [Kontakt Email]. Ansvarlig: [Ansvarlig Person].

4.2 Indberetninger behandles fortroligt af [Ansvarlig Person]. Adgang til indberetningen er begrænset til de personer, der er direkte involveret i behandlingen.

4.3 Whistlebloweren modtager en bekræftelse på modtagelse af indberetningen inden 7 dage, jf. whistleblowerlovens § 12. Tilbagemelding om opfølgning gives senest 3 måneder herefter.

6. Beskyttelse af whistlebloweren

6.1 Whistleblowere er beskyttet mod enhver form for repressalier som følge af en indberetning, jf. whistleblowerlovens §§ 16-17. Repressalier er forbudt og kan medføre erstatningskrav og bøde.

6.2 Whistleblowerens identitet afsløres ikke uden whistleblowerens udtrykkelige samtykke — medmindre videregivelse er påkrævet ved lov.

6.3 Whistlebloweren er ikke erstatningsansvarlig for en indberetning, der er foretaget i god tro, selv om indberetningen viser sig at være ugrundet.

7. Databeskyttelse og GDPR

7.1 [Virksomhed Navn] behandler personoplysninger i forbindelse med whistleblowerordningen som dataansvarlig, jf. databeskyttelsesforordningen (GDPR) og databeskyttelsesloven (lov nr. 502 af 23/05/2018).

7.2 Personoplysninger om whistlebloweren og de omtalte personer behandles fortroligt og slettes, senest 5 år efter at sagen er afsluttet, medmindre fortsat opbevaring er nødvendig af retlige grunde.

7.3 Datatilsynet fører tilsyn med behandlingen af personoplysninger i whistleblowerordningen. Registrerede har ret til indsigt, berigtigelse og sletning, jf. GDPR art. 15-17, i det omfang dette ikke hindrer behandlingen af sagen.

8. Ekstern indberetning

8.1 Whistlebloweren kan til enhver tid vælge at indberette til Datatilsynets Whistleblowerenhed eller en anden relevant kompetent myndighed som alternativ til eller supplement til den interne ordning.

8.2 Politiet eller anklagemyndigheden kan kontaktes ved mistanke om strafbare forhold.

Ledelsen

________________

Signature

Vedligeholdt af Vladislav Sergienko, grundlægger·Skabelon sidst ændret: 2026-06-23·Rapportér en fejl

Hvad er Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven?

Whistleblowerpolitikken i Danmark er et internt politikdokument, der beskriver virksomhedens whistleblowerordning — den kanal og de procedurer, der giver medarbejdere og andre mulighed for at indberette mistanke om lovovertrædelser og alvorlige uregelmæssigheder uden risiko for repressalier. Politikken er udformet i overensstemmelse med whistleblowerloven (lov nr. 1436 af 29. juni 2021 om beskyttelse af whistleblowere), der gennemfører Europa-Parlamentets og Rådets direktiv 2019/1937/EU om beskyttelse af personer, der indberetter overtrædelser af EU-retten.

Whistleblowerloven trådte i kraft den 17. december 2021 og pålægger virksomheder med 50 eller flere medarbejdere at etablere en intern whistleblowerordning. Virksomheder med 250 eller færre medarbejdere fik frem til 17. december 2023 til at opfylde kravet. Private virksomheder med under 50 medarbejdere er ikke lovpligtige til at have en ordning, men kan frivilligt etablere en. Manglende etablering af en obligatorisk ordning kan medføre bøde.

Formålet med whistleblowerordningen er at give whistleblowere — typisk medarbejdere, tidligere medarbejdere og samhandelspartnere — en sikker kanal til at indberette overtrædelser af lovgivningen. Whistlebloweren er beskyttet mod enhver form for repressalier som følge af en indberetning foretaget i god tro: opsigelse, forflyttelse, lønreduktion, chikane og andre ugunstige behandlinger er forbudt og kan udløse erstatningskrav og bøde mod arbejdsgiveren, jf. whistleblowerlovens §§ 16-17.

Whistleblowerordningen skal behandle alle indberetninger fortroligt. Identiteten på den person, der indberetter, må ikke afsløres uden whistleblowerens udtrykkelige samtykke — medmindre videregivelse er påkrævet ved lov, for eksempel i forbindelse med politianmeldelse. Fortrolighed gælder ligeledes for de personer, der er omtalt i indberetningen.

GDPR og databeskyttelse er en integreret del af whistleblowerordningen. Behandlingen af personoplysninger — om whistlebloweren, de indklagede og eventuelle vidner — er underlagt databeskyttelsesforordningen (GDPR) og databeskyttelsesloven (lov nr. 502 af 23/05/2018). Datatilsynet fører tilsyn med whistleblowerordninger og har udgivet en vejledning om behandling af personoplysninger i ordningerne. Personoplysninger i ordningen bør slettes senest 5 år efter sagens afslutning.

Den interne whistleblowerordning er suppleret af en ekstern kanal. Datatilsynets Whistleblowerenhed modtager indberetninger om overtrædelser af lovgivning inden for persondatabeskyttelse. EU-direktivet kræver desuden, at offentlige myndigheder opretter eksterne kanaler for relevante sektorer. Whistlebloweren kan frit vælge den interne kanal, en ekstern kanal hos myndigheder eller begge.

Hvornår har du brug for Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven?

Whistleblowerpolitikken i Danmark er nødvendig i en række situationer, der enten er lovpligtige eller frivillige.

Første situation er virksomheder med 50 eller flere medarbejdere. Whistleblowerloven (lov nr. 1436 af 29/06/2021) § 9 forpligter virksomheder med 50 eller flere medarbejdere til at etablere en intern whistleblowerordning og vedtage en whistleblowerpolitik. Det er ikke tilstrækkeligt at have en ordning — politikken skal foreligge skriftligt og gøres tilgængelig for alle, der kan bruge den.

Anden situation er virksomheder i regulerede brancher med under 50 medarbejdere. Finansielle virksomheder — banker, forsikringsselskaber, fondsmæglere — er underlagt sektorspecifikke regler om whistleblowerordninger under Finanstilsynets tilsyn, uanset medarbejderantal. Disse virksomheder skal have en politk uanset størrelse.

Tredje situation er virksomheder, der er del af en koncern. En modervirksomhed kan etablere en fælles ordning for hele koncernen. Whistleblowerloven tillader, at virksomheder med 50-249 medarbejdere deler en fælles ordning, hvis ordningen er effektiv og fortrolig for alle enheder.

Fjerde situation er virksomheder, der modtager offentlige tilskud. Offentlige tilskudsgivere og EU-midler stiller i stigende grad krav om en etableret whistleblowerordning som betingelse for tilskud. En skriftlig whistleblowerpolitik dokumenterer, at ordningen er etableret.

Femte situation er virksomheder, der ønsker at styrke compliance-kulturen. Selv virksomheder med under 50 medarbejdere kan vælge at etablere en frivillig whistleblowerordning som led i en ansvarlig virksomhedskultur. En synlig ordning signalerer, at ledelsen ønsker åbenhed om fejl og uregelmæssigheder og forebygger eskalering til myndighederne.

Sjette situation er virksomheder, der handler med offentlige myndigheder. Offentlige ordregivere og leverandøraftaleparter kræver i stigende grad dokumentation for etablerede whistleblowerordninger som led i leverandørscreening og compliance-krav.

Syvende situation er virksomheder efter en hændelse. Virksomheder, der har oplevet svindel, bedrageri, seksuel chikane eller andre alvorlige hændelser, der opdages for sent, etablerer ofte en whistleblowerordning som en forebyggende foranstaltning, der kan opdage sådanne forhold tidligere.

Hvad skal Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven indeholde

En effektiv whistleblowerpolitik i Danmark skal indeholde en række centrale elementer, der opfylder kravene i whistleblowerloven og sikrer, at ordningen fungerer i praksis.

Formål og lovgrundlag er udgangspunktet. Politikken bør indledningsvis fastslå formålet med ordningen og det lovmæssige grundlag — whistleblowerloven (lov nr. 1436 af 29/06/2021) og EU-direktiv 2019/1937/EU. Angivelse af lovgrundlaget signalerer, at ordningen er etableret for at overholde loven, og forebygger tvivl om formålet.

Kredsen af indberetningsberettigede — hvem kan indberette — skal fremgå klart. Whistleblowerloven § 4 beskytter: nuværende og tidligere medarbejdere, jobansøgere, selvstændige, aktionærer, bestyrelsesmedlemmer, leverandører og andre, der i en arbejdsmæssig sammenhæng har fået oplysningerne. Politikken bør specificere denne kreds og gøre det klart, at ordningen ikke er til personaletvister eller private konflikter.

Hvad der kan indberettes — indberetningens genstand — er et centralt element. Ordningen dækker overtrædelser af EU-ret og dansk ret inden for whistleblowerlovens bilag, herunder finansielle ydelser, hvidvask, databeskyttelse og GDPR, produktsikkerhed, miljøret, folkesundhed, fødevaresikkerhed og korruption. Politikken bør desuden angive, om den dækker virksomhedens interne politikker — for eksempel antikorruptionspolitikken og etikkodens regler.

Indberetningskanal og procedure er praktisk vigtige. Politikken fastlægger, hvilken kanal der bruges — e-mail, en dedikeret platform, telefon eller personligt møde — og hvem der er ansvarlig for at modtage og behandle indberetninger. Kanalen skal sikre fortrolighed. Whistleblowerloven § 12 kræver, at virksomheden giver en kvittering for modtagelse inden 7 dage og en tilbagemelding om opfølgning inden 3 måneder.

Fortrolighed er fundamentalt. Identiteten på whistlebloweren må ikke afsløres uden samtykke. Fortrolighed gælder ligeledes for de omtalte personer, der har krav på fair behandling og ikke bør identificeres over for andre end de, der er direkte involveret i sagsbehandlingen.

Beskyttelse mod repressalier er lovens kerne. Whistleblowerloven §§ 16-17 forbyder repressalier mod whistleblowere. Politikken skal eksplicit forklare, hvad repressalier er — opsigelse, forflyttelse, lønreduktion, chikane, udelukkelse fra forfremmelse — og konsekvenserne for dem, der udøver dem. Whistleblowere, der er offer for repressalier, kan kræve erstatning og godtgørelse.

GDPR og databeskyttelse er obligatoriske. Politikken fastlægger, at behandlingen af personoplysninger sker som dataansvarlig i overensstemmelse med GDPR og databeskyttelsesloven (lov nr. 502 af 23/05/2018). Personoplysninger opbevares fortroligt og slettes senest 5 år efter sagens afslutning. Datatilsynet fører tilsyn. Registrerede har rettigheder, men indsigt kan begrænses under sagsbehandlingen. forms-legal.com tilbyder en gratis whistleblowerpolitik-skabelon med alle disse elementer.

Ekstern indberetning skal nævnes. Politikken informerer whistlebloweren om muligheden for at indberette til Datatilsynets Whistleblowerenhed eller andre kompetente myndigheder som alternativ eller supplement til den interne ordning.

Sådan udfylder du Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven

Korrekt udfyldelse af whistleblowerpolitikken kræver klarhed om virksomhedens ordning, ansvarsfordelingen og GDPR-forpligtelserne.

Trin 1 — identificér virksomheden: Angiv virksomhedens fulde firmanavn, CVR-nummer og adresse. Politikken gælder for hele virksomheden og eventuelle datterselskaber, der er omfattet af ordningen.

Trin 2 — udpeg den ansvarlige: Udpeg en specifik person eller funktion som ansvarlig for at modtage og behandle indberetninger — typisk en Compliance Officer, HR-chef eller en ekstern whistleblowerbehandler. Den ansvarlige skal have tilstrækkelig viden om whistleblowerloven og GDPR og skal være uafhængig nok til at behandle indberetninger om ledelsen.

Trin 3 — fastlæg indberetningskanalen: Vælg en sikker og fortrolig kanal — en dedikeret e-mailadresse, et digitalt whistleblower-system eller en telefonhotline. Kanalen bør sikres teknisk, så kun den ansvarlige har adgang, og systemer, der sikrer fortrolighed, bør foretrækkes.

Trin 4 — afklar, hvad der kan indberettes: Beskriv præcist, hvilke typer overtrædelser der kan indberettes — EU-ret, dansk ret og interne politikker. Vær klar på, at ordningen ikke er til personaletvister og private konflikter.

Trin 5 — fastlæg proceduren for behandling: Beskriv, hvad der sker med en indberetning fra modtagelse til afslutning: kvitteringsfrist (7 dage), opfølgningstilbagemelding (3 måneder), sagsbehandling, eventuel politianmeldelse og sletning. En klar procedure giver whistlebloweren tryghed.

Trin 6 — regulér fortrolighed og GDPR: Fastlæg, at identiteten på whistlebloweren og de omtalte ikke afsløres. Opret en GDPR-behandlingshjemmel (typisk legitim interesse eller opfyldelse af retlig forpligtelse). Fastlæg opbevaringsperiode på max 5 år.

Trin 7 — gør politikken tilgængelig: Publicér politikken på intranettet, i personalehåndbogen og på virksomhedens hjemmeside. Orienter alle medarbejdere og leverandører om ordningen.

Trin 8 — vedtag og ikraftsæt: Politikken vedtages af ledelsen og træder i kraft på ikrafttrædelsesdatoen. Opdatér politikken ved ændringer i whistleblowerloven eller virksomhedens organisation.

Juridiske krav til Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven

Whistleblowerpolitikken i Danmark er underlagt en specifik retlig ramme, der primært udgøres af whistleblowerloven og GDPR.

Whistleblowerloven: Lov nr. 1436 af 29. juni 2021 om beskyttelse af whistleblowere (whistleblowerloven) gennemfører EU-direktiv 2019/1937/EU. Loven forpligter virksomheder med 50 eller flere medarbejdere til at etablere en intern whistleblowerordning (§ 9). Ordningen skal have sikre kanaler til fortrolig indberetning, en sagkyndig ansvarlig, kvittering inden 7 dage og tilbagemelding inden 3 måneder (§ 12). Manglende etablering kan medføre bøde (§ 24).

Beskyttelse mod repressalier: Whistleblowerloven §§ 16-17 forbyder enhver form for repressalie mod whistleblowere. Repressalier kan medføre erstatning til whistlebloweren og bøde til den ansvarlige. Bevisbyrden er vendt: det er arbejdsgiveren, der skal bevise, at en negativ handling ikke er en repressalie, hvis whistlebloweren sandsynliggør, at handlingen skyldes indberetningen.

Fortrolighed og identitetsbeskyttelse: Whistleblowerens identitet må ikke afsløres uden samtykke, medmindre videregivelse er påkrævet ved lov — for eksempel til politiet ved strafbare forhold (§ 14).

GDPR og databeskyttelse: Behandlingen af personoplysninger i whistleblowerordningen er underlagt GDPR og databeskyttelsesloven (lov nr. 502 af 23/05/2018). Datatilsynet har udgivet en vejledning og fører tilsyn med ordningerne. Personoplysninger opbevares i henhold til proportionalitetsprincippet og slettes senest 5 år efter sagens afslutning.

Hvidvaskloven: Ordningen bør integreres med hvidvaskovervågning (LBK nr. 1062 af 19/05/2021 med ændringer), da mistanke om hvidvask eller terrorfinansiering skal indberettes til Statsadvokaten for Særlig Kriminalitet (SSK) via Hvidvasksekretariatet.

Strafansvaret: Overtrædelse af forbuddet mod repressalier er strafbart med bøde, jf. whistleblowerlovens § 24. Forsætlig afsløring af whistleblowerens identitet i strid med loven kan ligeledes medføre bøde.

Ekstern rapportering: Datatilsynets Whistleblowerenhed er den centrale eksterne indberetningskanal for overtrædelser af persondatabeskyttelseslovgivning. Andre myndigheder har tilsvarende eksterne kanaler for deres respektive sektorer, jf. EU-direktivets krav.

Almindelige fejl i Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven

Hyppige fejl i whistleblowerpolitikker og -ordninger i Danmark resulterer i manglende lovopfyldelse, sårbare ordninger og manglende tillid fra medarbejderne.

Fejl 1 — politikken eksisterer, men ordningen fungerer ikke i praksis: Den hyppigste fejl er en whistleblowerpolitik, der er vedtaget pro forma, men hvis kanal ikke er sikret fortrolig, og hvis ansvarlige ikke er uddannet i at håndtere indberetninger. Det korrekte er at sikre, at kanalen teknisk er sikret mod uautoriseret adgang, og at den ansvarlige kender whistleblowerloven og GDPR.

Fejl 2 — ordningen bruges til personaletvister: Mange medarbejdere forveksler whistleblowerordningen med en generel klagemekanisme for personaleforhold. Det korrekte er at tydeliggøre i politikken, at ordningen alene er til overtrædelser af lovgivningen og alvorlige interne overtrædelser — ikke til løn- og ansættelsestvister.

Fejl 3 — for sent svar til whistlebloweren: Whistleblowerloven § 12 kræver kvittering inden 7 dage og tilbagemelding inden 3 måneder. Manglende reaktion signalerer, at ordningen ikke tages alvorligt. Det korrekte er en klar procedure med automatisk kvittering og opfølgning.

Fejl 4 — manglende GDPR-regulering: Mange politikker adresserer ikke GDPR-forpligtelserne. Behandlingen af personoplysninger — om whistlebloweren og de indklagede — kræver en behandlingshjemmel, en opbevaringspolitik og en sletningsprocedure. Manglende GDPR-overholdelse kan udløse bøder fra Datatilsynet.

Fejl 5 — utilstrækkelig beskyttelse af whistleblowerens identitet: Politikken specificerer ikke, hvem der har adgang til indberetningerne. En for bred adgang risikerer at afsløre whistleblowerens identitet og underminerer ordningens troværdighed. Det korrekte er streng adgangsstyring til ordningens oplysninger og en klar intern fortrolighedsinstruks.

Citér denne side

Henvis til denne gratis skabelon i en artikel, et pensum eller en forskningsnote:

APA

Forms Legal. (2026). Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven (Danmark) [Legal document template]. Forms Legal. https://forms-legal.com/da/danmark/business/policies/whistleblowerpolitik

MLA

"Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven (Danmark)." Forms Legal, 2026, https://forms-legal.com/da/danmark/business/policies/whistleblowerpolitik.

BibTeX

@misc{formslegal-whistleblowerpolitik,
  author       = {{Forms Legal}},
  title        = {Whistleblowerpolitik — intern whistleblowerordning efter whistleblowerloven (Danmark)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/da/danmark/business/policies/whistleblowerpolitik}},
  note         = {Free legal document template}
}

Ofte stillede spørgsmål

Skabelon med lovhenvisninger — Skabelon senest ændret juni 2026

Denne skabelon stilles kun til rådighed til informationsformål og udgør ikke juridisk rådgivning. Love varierer fra jurisdiktion til jurisdiktion og ændrer sig over tid. Kontakt en kvalificeret advokat for rådgivning, der er specifik for din situation.Fuld ansvarsfraskrivelse

Fandt du en fejl? Sig til