2Secure ifrågasätter regler om bakgrundskontroller i domstol

2Secure har beslutat att föra en viktig fråga till förvaltningsrätten gällande personalsäkerhet: möjligheten att genomföra löpande, riskbaserade bakgrundskontroller under anställningar och affärsrelationer.

Frågan har blivit aktuell efter Integritetsskyddsmyndighetens (IMY) beslut den 10 december 2025, där 2Secures ansökan om utökat tillstånd godkändes till viss del men avslogs när det gäller löpande kontroller enligt en fast rutin. IMY har därefter fattat liknande beslut mot andra aktörer i branschen.

– Det här är en viktig principiell fråga som vi tycker förtjänar en domstolsprövning. Vi har stor respekt för IMY:s uppdrag, men vi ser att hotbilden mot våra uppdragsgivare har förändrats och behöver hanteras med moderna verktyg, säger en representant.

Det är värt att notera att ingen aktör i Sverige har tillstånd för löpande kontroller av lagöverträdelser. Enligt artikel 10 i GDPR och 3 kap. 9 § dataskyddslagen krävs ett uttryckligt tillstånd från IMY för att behandla sådana uppgifter, vilket ingen aktör för närvarande har.

– Företag måste vara medvetna om detta. Det förekommer tjänster av detta slag som marknadsförs, men köparen bör kontrollera att leverantören har det nödvändiga tillståndet för att hantera personuppgifter om lagöverträdelser. Utan tillstånd är behandlingen oftast olaglig, vilket kan leda till ansvar för både leverantören och uppdragsgivaren, säger en representant.

Detta är en av anledningarna till att 2Secure vill ha en domstolsprövning för att klargöra vad som gäller på denna del av marknaden.

Samtidigt är det viktigt att förstå att IMY:s beslut inte innebär ett förbud mot löpande kontroll av andra risk- och lojalitetsindikatorer, som kan vara av stor betydelse för personalsäkerhet.

Sådana indikatorer kan inkludera förändringar i ekonomiska förhållanden, bolagsengagemang och exponering i media, vilket påverkar pålitlighet och risk för otillbörlig påverkan.

– Det är en viktig poäng. Även om frågan om lagöverträdelser prövas av domstol, är det fullt möjligt och ofta nödvändigt att arbeta med andra risk- och lojalitetsindikatorer. Kombinationen av flera datapunkter kan tydliggöra den verkliga riskbilden, säger en representant.

2Secure erbjuder sådana indikatorer som en del av sitt utbud inom Human Risk Management, oavsett utgången av den aktuella prövningen.

Riskerna slutar inte vid anställningstillfället. Under anställningen kan olika sårbarheter uppstå som gör medarbetaren till ett mål för otillbörlig påverkan eller leda till brott för egen vinning.

Flera källor bekräftar att behovet av löpande kontroller är stort. Svenska Bankföreningen efterlyser sådana kontroller för att hantera insiderhot, vilket även andra myndigheter har pekat på.

– Det är tydligt att det inte längre räcker med en engångskontroll vid anställningstillfället. Våra uppdragsgivare möter en hotbild som kräver proaktiva och proportionerliga verktyg, säger en rådgivare.

2Secures uppdragsgivare omfattar flera branscher, inklusive bank, finans och offentlig sektor. Även om branscherna varierar, är problembilden densamma.

Riskerna kan omfatta utnyttjande av anställda av externa aktörer eller missbruk av befogenheter för personlig vinning. Sårbarheterna förändras ofta över tid.

Den tjänst 2Secure ansökt om är selektiv och riskbaserad, inriktad på specifika befattningar med fokus på uppgiftsminimering och korta lagringstider.

– Vi har utformat processen för att uppfylla GDPR:s krav. Vår förhoppning är att domstolsprövningen ger vägledning om hur sådana riskbaserade kontroller kan utformas för att möta både säkerhetsbehov och integritet, säger en representant.

2Secure har sedan 2022 tillstånd från IMY att behandla uppgifter om lagöverträdelser och har arbetat för transparens och rättssäkerhet kring bakgrundskontroller i Sverige.