Bakgrundskontroller har på kort tid förändrats från ett undantag till en norm i svensk arbetsmarknad. Omnämnanden i Platsbanken-annonser ökade med 8 000 procent mellan 2015 och 2025, och 93 procent av svenska arbetstagare förväntar sig numera att arbetsgivare genomför sådana kontroller. Det betyder att du som arbetsgivare inte längre kan hantera frågan ad hoc. Missade steg kan leda till GDPR-sanktioner, förlorat förtroende och i värsta fall allvarliga säkerhetsincidenter. Den här guiden ger dig en strukturerad, juridiskt förankrad och praktisk väg framåt.
Innehållsförteckning
- Varför bakgrundskontroller är viktiga vid anställning
- Förberedelser: Vad behöver du och vad gäller?
- Steg-för-steg: Så genomför du en bakgrundskontroll korrekt
- Vanliga misstag och hur du undviker dem
- Vår syn: Bakgrundskontroller kan vara både värdefulla och riskfyllda
- Få hjälp att förbättra dina bakgrundskontroller och efterlevnad
- Vanliga frågor om bakgrundskontroller vid anställning
Viktiga Insikter
| Punkt | Detaljer |
|---|---|
| Kontroller ökar snabbt | Bakgrundskontroller har blivit norm och ökat kraftigt i Sverige de senaste åren. |
| Rätt metod är avgörande | Att välja rätt kontrolltyp och följa lagkrav är avgörande för att undvika risker. |
| Steg-för-steg ger trygghet | Systematiska och dokumenterade steg minskar juridisk risk och ökar kvaliteten. |
| GDPR ger riktlinjer | All personuppgiftshantering måste ske med samtycke och enligt GDPRs krav. |
| Expertis för bästa resultat | Anpassade kontroller, analys och kontinuerlig utbildning ger störst effekt och minimerar problem. |
Varför bakgrundskontroller är viktiga vid anställning
Att anställa fel person kan kosta en organisation enormt, inte bara i pengar utan också i förlorat förtroende, skadad kultur och i vissa fall direkt säkerhetsrisk. En felrekrytering på mellanchefsnivå beräknas i genomsnitt kosta mellan en och tre årslöner när du räknar in rekryteringskostnader, produktivitetsförlust och eventuella rättsliga processer. Det är en siffra som gör förebyggande arbete till en självklar investering.
Behovet av kontroll varierar kraftigt beroende på bransch och roll. Inom vård, skola och barnomsorg finns lagkrav på belastningsregisterutdrag. Inom finanssektorn ställer Finansinspektionen krav på lämplighetsprövning. Men även utanför dessa reglerade sektorer har förväntningarna förändrats dramatiskt.
“Omnämnanden av bakgrundskontroll i Platsbanken-annonser ökade 8 000 procent från 279 annonser år 2015 till 23 500 år 2025. Parallellt ökade antalet utdrag ur belastningsregistret från 751 000 till 1,3 miljoner per år.”
Det här normskiftet är inte okontroversiellt. Fackförbund som Unionen har lyft frågan om huruvida kontroller blivit för breda och om de riskerar att diskriminera kandidater med gamla, irrelevanta noteringar. Arbetsgivarsidan ser det tvärtom: systematisk kontroll minskar risk och skapar tryggare arbetsplatser. Debatten pågår, men faktum kvarstår att förväntningarna från samhälle, kunder och lagstiftare pekar i en tydlig riktning.
Riskerna med otillräcklig kontroll kan delas in i tre kategorier:
- Förtroenderisker: En anställd med tidigare bedrägeridomar i en ekonomifunktion kan skada organisationens rykte allvarligt om det uppdagas i efterhand.
- Säkerhetsrisker: Inom säkerhetskänsliga miljöer kan en person med felaktiga uppgifter i CV:t eller med kopplingar till organiserad brottslighet utgöra ett direkt hot.
- Juridiska risker: Om du som arbetsgivare inte genomfört rimliga kontroller och en incident inträffar kan du ställas till svars för bristande due diligence.
Olika branscher har dessutom helt olika lagkrav att förhålla sig till. Privata aktörer inom LSS och äldreomsorg är skyldiga att begära belastningsregisterutdrag. Banker och försäkringsbolag måste följa Finansinspektionens föreskrifter. Försvarsrelaterade verksamheter lyder under säkerhetsskyddslagen. Att ha koll på vilka krav som gäller just din verksamhet är startpunkten för allt annat.
Nu när vi har förstått varför bakgrundskontroller blivit så viktiga går vi vidare till förberedelserna som krävs.
Förberedelser: Vad behöver du och vad gäller?
Innan du genomför en enda kontroll behöver du ha tre saker på plats: en tydlig bild av vilka kontrolltyper som är relevanta för rollen, ett juridiskt korrekt samtycke från kandidaten och en dokumentationsrutin som håller vid en eventuell granskning.
Metoder för bakgrundskontroll inkluderar referenskontroller, verifiering av CV, kreditupplysningar, belastningsregisterutdrag och säkerhetsprövningar. Varje metod har sin egen juridiska ram och sina egna krav på samtycke och dokumentation. Att blanda ihop dessa eller tillämpa dem utan struktur är ett av de vanligaste misstagen arbetsgivare gör.
Vanliga kontrolltyper och när de används
| Kontrolltyp | Typisk användning | Krav på samtycke | Lagkrav |
|---|---|---|---|
| Referenskontroll | Alla roller | Ja, informera kandidaten | Nej |
| CV-verifiering | Alla roller | Ja | Nej |
| Kreditupplysning | Ekonomiansvar, chefsroller | Ja | Nej (men regleras) |
| Belastningsregisterutdrag | Vård, skola, barnomsorg | Ja | Ja, i vissa sektorer |
| Säkerhetsprövning | Säkerhetskänslig verksamhet | Ja | Ja, säkerhetsskyddslagen |
Tabellen ovan visar att kontrollbehovet varierar kraftigt. En receptionist på ett hotell behöver inte genomgå samma kontroll som en ekonomichef på ett börsnoterat bolag eller en undersköterska inom demensvård. Att anpassa kontrollens bredd och djup efter rollens faktiska riskprofil är inte bara god praxis, det är också ett krav för att hålla sig inom GDPR:s ram om dataminimering.
Samtycke är inte valfritt. Du måste informera kandidaten om vilka kontroller du avser att genomföra, varför de är relevanta för rollen och hur informationen kommer att hanteras. Det räcker inte att ha ett generellt samtyckesformulär i anställningsavtalet. Samtycket ska vara specifikt, frivilligt och dokumenterat. Tänk på att ett samtycke som ges under press, till exempel när kandidaten upplever att ett nej leder till att de inte får jobbet, kan ifrågasättas juridiskt.
Proffstips: Skapa en rollspecifik kontrollmall för varje befattningskategori i din organisation. Dokumentera vilka kontrolltyper som är motiverade för varje roll och varför. Det sparar tid, skapar konsekvens och gör det enkelt att visa efterlevnad vid en tillsynsgranskning. Tänk också på att hålla koll på lagringstider inom HR för att undvika att spara personuppgifter längre än nödvändigt.
En annan aspekt som ofta förbises är att bakgrundskontroller genererar personuppgifter som måste hanteras enligt GDPR. Det innebär att du behöver ha en rättslig grund för behandlingen, en tydlig lagringstid och rutiner för hur informationen raderas när den inte längre är relevant. En praktisk GDPR-kontrollista kan vara ett ovärderligt verktyg för att säkerställa att inget steg missas.
Steg-för-steg: Så genomför du en bakgrundskontroll korrekt
Med rätt material och regler på plats kan du nu börja utföra själva kontrollen, steg för steg. En strukturerad process minskar risken för misstag och skapar ett tydligt spår som du kan visa upp vid behov.
Steg 1: Inhämta samtycke och informera kandidaten
Börja alltid med att skicka ett skriftligt informationsdokument till kandidaten. Dokumentet ska förklara vilka kontroller du planerar att genomföra, vilken rättslig grund du stöder dig på och hur länge informationen sparas. Kandidaten ska sedan ge ett aktivt, skriftligt samtycke. Spara detta samtycke i ditt HR-system eller ditt behandlingsregister.
Steg 2: Definiera kontrolltyp utifrån rollens riskprofil
Gå igenom din rollspecifika kontrollmall och bekräfta vilka kontroller som är relevanta. Dokumentera beslutet och motivera varför varje kontrolltyp är proportionerlig i förhållande till rollen. Det här steget är avgörande för att kunna visa att du inte samlar in mer information än nödvändigt, vilket är ett grundläggande krav i GDPR:s dataminimeringsprincip.
Steg 3: Genomför kontrollerna enligt ordnade rutiner
Branschstandard för bakgrundskontroll inkluderar verifiering av anställnings- och utbildningshistorik, ekonomisk bakgrund och rättsliga ärenden, kombinerat med kvalificerad analys. Det betyder att du inte bara samlar in rådata utan också tolkar den i sitt sammanhang. En konkurs för tio år sedan är inte automatiskt ett hinder för en ekonomichefstjänst, men den bör analyseras och värderas.
| Kontrollmoment | Vad du verifierar | Källa |
|---|---|---|
| Anställningshistorik | Stämmer titlar, arbetsgivare och datum? | Tidigare arbetsgivare |
| Utbildning | Är examen och betyg korrekta? | Lärosäte eller Ladok |
| Ekonomisk bakgrund | Betalningsanmärkningar, skulder | Kreditupplysningsföretag |
| Rättsliga ärenden | Relevanta domar eller pågående ärenden | Belastningsregistret |
| Identitetsverifiering | Är personen den de uppger sig vara? | Pass, legitimation |
Steg 4: Analysera resultaten och skapa ett beslutsunderlag
Sammanställ resultaten i ett strukturerat beslutsunderlag. Notera avvikelser och bedöm deras relevans för den aktuella rollen. En person som angett fel jobbtitel på sitt CV är inte nödvändigtvis en lögnare, men det är ett samtalsämne. En person med en dom för ekonomisk brottslighet som söker en roll med attesträtt är däremot en tydlig riskfaktor.
Proffstips: Involvera alltid en jurist eller HR-specialist i analysen av rättsliga ärenden. Det är lätt att övertolka eller feltolka information från belastningsregistret, och felaktiga slutsatser kan leda till diskrimineringsklagomål. Att följa GDPR handlar inte bara om teknisk efterlevnad utan om att kunna visa att du gjort välgrundade och proportionerliga bedömningar.
Steg 5: Hantera personuppgifterna korrekt enligt GDPR
När beslutet är fattat måste du hantera den insamlade informationen enligt GDPR. Det innebär att du raderar uppgifter som inte längre är relevanta, att du inte delar informationen med obehöriga och att du dokumenterar hur länge du avser att spara underlaget. En konsekvensbedömning enligt GDPR kan vara motiverad om du hanterar känsliga personuppgifter i stor skala. Se också till att bakgrundskontrollprocessen finns dokumenterad i ditt behandlingsregister som en separat behandlingsaktivitet.
Vanliga misstag och hur du undviker dem
När du genomfört kontrollen är det lika viktigt att undvika fallgropar som att utföra momentet korrekt. Många arbetsgivare gör välmenande men kostsamma misstag som kan leda till GDPR-sanktioner, diskrimineringsklagomål eller förlorat förtroende hos kandidater.
De vanligaste misstagen
- För bred kontroll utan rättslig grund: Att begära belastningsregisterutdrag för en roll som inte kräver det, eller att göra kreditupplysning på en kandidat till en tjänst utan ekonomiskt ansvar, saknar proportionalitet och kan strida mot GDPR.
- Brist på dokumenterat samtycke: Muntligt samtycke räcker inte. Om du inte kan visa upp ett skriftligt, specifikt samtycke vid en tillsyn har du ett problem.
- Gammal information behandlas som relevant: En dom från 15 år sedan för ett brott som saknar koppling till rollen ska inte påverka anställningsbeslutet. Att använda sådan information kan utgöra diskriminering.
- Missad GDPR-hantering efter rekryteringen: Många organisationer glömmer att radera bakgrundskontrolldata efter att anställningsbeslutet är fattat. Personuppgifter från kandidater som inte fick jobbet ska raderas inom rimlig tid.
- Avsaknad av systematik och analys: Att samla in information utan att analysera den i sitt sammanhang är meningslöst och riskfyllt. Rå data utan kvalificerad tolkning kan leda till felaktiga slutsatser.
Fackförbund som Unionen kritiserar att kontroller blivit för breda och orimliga utanför säkerhetskänsliga roller, med risk för att irrelevanta gamla brott påverkar anställningsbeslut. Förespråkare ser däremot ett normskifte med brett samhällsstöd för riskminimering.
Det är också värt att notera att spelreglerna är under förändring. En pågående statlig utredning (Kommittédirektiv 2025:83) arbetar med att ta fram ett mer ändamålsenligt regelverk för bakgrundskontroller, inklusive frågan om kontroller under pågående anställning. Det innebär att de regler du följer idag kan komma att förändras, och att du behöver hålla dig uppdaterad.
En annan fallgrop som ofta underskattas är bristande intern kommunikation. Rekryterare, HR-chefer och linjechefer behöver alla förstå processen och sina respektive roller i den. Om en linjechef begär en kontroll utan att HR är involverat, eller om samtycket inhämtas på fel sätt, kan hela processen bli ogiltig. Tydliga rutiner och utbildning är inte lyx, det är nödvändighet.
Att lära sig av erfarenheter kring hantering av risker från tillsynsmyndigheter i andra länder ger värdefulla insikter om vad som kan gå fel och hur du bygger processer som håller vid granskning.
Vår syn: Bakgrundskontroller kan vara både värdefulla och riskfyllda
Det finns en tendens i debatten att behandla bakgrundskontroller som antingen helt nödvändiga eller som ett integritetsintrång. Verkligheten är mer komplex, och den nyanseringen är viktig för arbetsgivare som vill göra rätt.
Vår erfarenhet är att de organisationer som hanterar bakgrundskontroller bäst är de som har byggt ett system, inte de som reagerar på enskilda fall. Det är skillnaden mellan att ha en policy och att ha en process. En policy säger vad du ska göra. En process säger hur, när, av vem och med vilken dokumentation.
Traditionella kontroller är ofta för breda. Många arbetsgivare kopierar vad de tror att andra gör, utan att analysera vad som faktiskt är relevant för deras specifika roller och riskmiljö. Det leder till onödig datainsamling, ökad administrativ börda och i värsta fall juridisk exponering. En mer träffsäker approach är att börja med riskprofilen för varje roll och sedan välja kontrolltyp utifrån den.
Systematik och expertis minskar risker på ett sätt som enstaka kontroller aldrig kan. En organisation som genomför 200 rekryteringar per år utan ett strukturerat system för bakgrundskontroller löper mycket högre risk att missa något kritiskt, eller att göra fel, än en organisation med tydliga rutiner och ansvariga roller. Det handlar om att bygga kapacitet, inte bara följa checklistor.
De nya utredningarna om regelverket för bakgrundskontroller signalerar att lagstiftaren tar frågan på allvar. Det är sannolikt att vi inom de närmaste åren ser tydligare regler, både för vilka kontroller som är tillåtna och för hur de ska dokumenteras. Att ligga steget före och redan nu bygga en robust process är ett strategiskt klokt val.
Vår starkaste insikt är denna: anpassade kontroller ger bäst resultat. En kontroll som är skräddarsydd för rollens faktiska riskprofil, genomförd med rätt samtycke och analyserad av kompetenta personer, ger dig bättre beslutsunderlag än en bred standardkontroll som tillämpas lika på alla. Det kräver mer tankearbete i förväg, men det betalar sig i form av bättre anställningsbeslut och lägre juridisk risk.
Att navigera GDPR-utmaningar i rekryteringsprocessen kräver inte bara teknisk kunskap utan också ett strategiskt förhållningssätt till hur personuppgifter används som beslutsunderlag. Det är en kompetens som organisationer behöver bygga, inte köpa in vid behov.
Få hjälp att förbättra dina bakgrundskontroller och efterlevnad
När du har insikt om både nytta och risk med bakgrundskontroller är nästa steg att få hjälp och stöd för kontinuerlig förbättring. Att bygga en hållbar process kräver mer än en checklista.
Trustview är en compliance-plattform som hjälper organisationer att strukturera och automatisera just den typen av arbete. Oavsett om du behöver insikter om compliance för att förstå var din organisation står, eller en konkret åtgärdsplan för compliance för att komma igång med förbättringsarbetet, finns verktygen och expertisen samlad på ett ställe. Med Trustview kan du dokumentera behandlingsaktiviteter, hantera samtycken och hålla koll på lagringstider, allt i ett och samma system. Läs mer om varför Trustview är rätt val för din organisation.
Vanliga frågor om bakgrundskontroller vid anställning
Vilka kontroller får jag göra enligt svensk lag?
Du får göra referenskontroller, verifiera CV, begära kreditupplysning om rollen kräver ekonomiskt ansvar, belastningsregisterutdrag vid lagkrav och säkerhetsprövning i känsliga sektorer. Tillåtna metoder inkluderar referenskontroller, CV-verifiering, kreditupplysningar vid ekonomiskt ansvar, belastningsregisterutdrag i reglerade sektorer och säkerhetsprövningar.
Måste jag alltid informera kandidaten?
Ja, du måste informera och inhämta samtycke från kandidaten innan du utför bakgrundskontroller. Samtycket ska vara specifikt, frivilligt och dokumenterat skriftligen.
Behöver jag spara resultaten av kontrollen?
Du ska spara resultaten så länge de är relevanta och följa GDPR:s regler om lagringstider för personuppgifter. För kandidater som inte anställs bör uppgifterna raderas inom en rimlig tid efter att rekryteringsprocessen avslutats.
Finns det risk att bakgrundskontroller bryter mot GDPR?
Ja, om de görs utan samtycke eller om informationen inte är relevant och korrekt hanterad kan det bryta mot GDPR. Branschstandard kräver verifiering av anställning, utbildning, ekonomi och rättsliga ärenden kombinerat med kvalificerad analys för att säkerställa proportionalitet.
Kan man använda bakgrundskontroller utanför säkerhetskänsliga roller?
Ja, men det är viktigt att kontrollen är relevant för jobbet. Fackförbund som Unionen kritiserar kontroller som är för breda utanför säkerhetskänsliga roller, och missbruk kan leda till kritik och juridiska risker.
