2Secure har valt att gå vidare till förvaltningsrätten för att få prövat en central fråga inom personalsäkerhet: om det ska vara möjligt att utföra löpande, riskbaserade bakgrundskontroller under pågående anställningar och affärsrelationer.
Frågan har aktualiserats genom Integritetsskyddsmyndighetens (IMY) beslut den 10 december 2025, där 2Secures ansökan om utökat tillstånd beviljades i flera delar men avslogs i den del som gäller just löpande kontroller enligt fast rutin. IMY har sedan dess fattat flera liknande beslut mot olika aktörer i branschen.
– Det här är en viktig principiell fråga som vi tycker förtjänar en domstolsprövning. Vi har stor respekt för IMY:s uppdrag, men vi ser samtidigt att hotbilden mot våra uppdragsgivare har förändrats på ett sätt som behöver mötas med moderna verktyg, säger Oskar Olsson, affärsområdeschef Human Risk Management på 2Secure.
Ingen aktör har idag tillstånd för löpande kontroller av lagöverträdelser
En viktig konsekvens av IMY:s beslut är att det i dagsläget inte finns någon privat aktör i Sverige som har tillstånd att utföra löpande bakgrundskontroller av befintliga anställda avseende uppgifter om lagöverträdelser. Behandling av sådana uppgifter kräver enligt artikel 10 i GDPR och 3 kap. 9 § dataskyddslagen ett uttryckligt tillstånd från IMY, ett tillståndet som ingen aktör har.
– Det är viktigt för företag att känna till. Vi vet att det förekommer att tjänster av det här slaget marknadsförs och levereras på den svenska marknaden, men den som köper en sådan tjänst bör säkerställa att leverantören faktiskt har det tillstånd som krävs för att hantera personuppgifter om lagöverträdelser. Saknas tillståndet, något som ingen ännu har, är behandlingen i regel inte laglig, och ansvaret kan drabba både leverantören och den uppdragsgivare som beställer tjänsten, säger Oskar Olsson.
Det är en av anledningarna till att 2Secure väljer att gå vidare med en domstolsprövning, för att skapa klarhet i vilka förutsättningar som ska gälla på den här delen av marknaden.
Löpande kontroll av andra risk- och lojalitetsindikatorer är fortsatt möjlig
Det är samtidigt viktigt att skilja på vad IMY:s beslut faktiskt omfattar. Tillståndsfrågan gäller specifikt behandling av uppgifter om lagöverträdelser – alltså information om någon har dömts för brott. Beslutet innebär inte ett förbud mot löpande kontroll av andra typer av risk- och lojalitetsindikatorer, som i många fall är minst lika relevanta i ett personalsäkerhetsperspektiv.
Sådana indikatorer kan exempelvis vara förändringar i en persons ekonomiska situation (skulder hos Kronofogden, betalningsanmärkningar, indikationer på ekonomiska trångmål), bolagsengagemang och förändringar i ägar- eller styrelsekonstellationer, exponering i öppna källor och media samt andra omständigheter som kan påverka pålitlighet, sårbarhet och risk för otillbörlig påverkan.
– Det är en viktig poäng. Även om tillståndsfrågan kring lagöverträdelser nu prövas av domstol så är det fullt möjligt – och i många fall nödvändigt – att arbeta löpande och systematiskt med andra risk- och lojalitetsindikatorer. Det är ofta i kombinationen av flera datapunkter som den verkliga riskbilden framträder, säger Oskar Olsson.
2Secure erbjuder uppföljning av den här typen av indikatorer som en del av sitt utbud inom Human Risk Management, oberoende av utfallet i den aktuella domstolsprövningen.
En riskbild som inte stannar vid anställningsdagen
När en person rekryteras görs ofta en bakgrundskontroll. Men de sårbarheter som gör en medarbetare till ett mål för otillbörlig påverkan eller riskerar leda till att brott begås för egen vinning – privatekonomiska problem, missbruk, påtryckningar från kriminella nätverk, otillbörliga kontakter via sociala medier – uppstår och förändras under hela anställningen.
Bilden bekräftas från flera håll. Svenska Bankföreningens hotbildsbedömning för 2026 efterlyser uttryckligen möjlighet till löpande kontroller och beskriver insiderhotet som en av de mest framträdande riskerna mot den finansiella sektorn. Brottsförebyggande rådet, Riksrevisionen, Domstolsverket och Försäkringskassan har under det senaste året alla pekat på samma problembild, och Regeringen har tillsatt en utredning om ett ändamålsenligt regelverk för bakgrundskontroller (Dir. 2025:83) som uttryckligen utgår från att risker kan uppstå och förändras under pågående relationer.
– Bilden från flera håll är samstämmig: det räcker inte längre att kontrollera en person vid anställningsögonblicket och sedan utgå från att riskprofilen är oförändrad i tio år. Våra uppdragsgivare möter en hotbild där det behövs förebyggande och proportionerliga verktyg, säger David Grann Dalrot, Rådgivare, 2Secure.
Det här gäller inte bara en bransch
2Secures uppdragsgivare finns inom bland annat bank, finans och försäkring, tillverkande industri, läkemedel, försvarsindustrin och offentlig verksamhet. Branscherna ser olika ut, men problembilden är gemensam.
I bank och finans har medarbetare tillgång till kunders ekonomiska förhållanden, transaktionsmönster och detaljerad finansiell information – uppgifter som är attraktiva som hållhakar och insiderinformation. I tillverkande industri handlar det om produktionsprocesser, tekniska ritningar och immateriella tillgångar som utgör kärnan i bolagets konkurrenskraft. I läkemedelsindustrin om forskningsdata, regulatorisk dokumentation och tillgång till själva preparaten. I försvarsindustrin om teknik, materiel och information med direkt betydelse för Sveriges säkerhet, där hotbilden från statliga aktörer är särskilt uttalad. I offentlig sektor om allt från samhällsviktig infrastruktur och upphandlingar till integritetskänsliga personuppgifter inom socialtjänst, vård och totalförsvar.
Riskerna är i grunden av två slag. Dels kan en medarbetare utnyttjas av externa aktörer – från organiserad brottslighet till statliga aktörer – som aktivt söker interna sårbarheter att exploatera. Dels kan en medarbetare själv, för egen vinning, missbruka sin position och sina behörigheter för att begå brott mot arbetsgivaren. Gemensamt för båda är att sårbarheterna sällan ser likadana ut den dag personen anställs som flera år senare.
En riskbaserad och avgränsad tjänst
Den behandling 2Secure ansökt om är inte ett brett verktyg för masskontroller. Den är selektiv, roll- och riskbaserad och riktas mot exponerade befattningar, med bland annat uppgiftsminimering, verifiering, snäv åtkomsthantering och korta lagringstider som bärande inslag.
– Vi har byggt processen kring just de skyddsåtgärder som GDPR och tillståndsmodellen kräver. Vår förhoppning är att domstolsprövningen ska ge vägledning kring hur den här typen av riskbaserade kontroller kan utformas på ett sätt som både möter säkerhetsbehovet och värnar den enskildes integritet, säger Oskar Olsson.
2Secure har sedan 2022 tillstånd från IMY att behandla personuppgifter om lagöverträdelser och har under flera år drivit frågor om transparens, intresseavvägning och rättssäker utformning av bakgrundskontroller i Sverige.
Läs mer om Bakgrundskontroller
