2Secure har valt att ta frågan om löpande bakgrundskontroller vidare till förvaltningsrätten. Bolaget vill få prövat om det ska vara möjligt att göra riskbaserade kontroller under pågående anställningar och affärsrelationer.
Bakgrunden är Integritetsskyddsmyndighetens beslut den 10 december 2025, där 2Secures ansökan om utökat tillstånd beviljades i flera delar men avslogs i delen som gäller löpande kontroller enligt fast rutin.
Ingen aktör har tillstånd för löpande kontroller
Enligt 2Secure finns det i dagsläget ingen privat aktör i Sverige som har tillstånd att utföra löpande bakgrundskontroller av befintliga anställda när det gäller uppgifter om lagöverträdelser. Behandling av sådana uppgifter kräver enligt artikel 10 i dataskyddsförordningen och 3 kap. 9 § dataskyddslagen ett uttryckligt tillstånd från Integritetsskyddsmyndigheten.
– Det här är en viktig principiell fråga som vi tycker förtjänar en domstolsprövning. Vi har stor respekt för IMY:s uppdrag, men vi ser samtidigt att hotbilden mot våra uppdragsgivare har förändrats på ett sätt som behöver mötas med moderna verktyg, säger Oskar Olsson, affärsområdeschef Human Risk Management på 2Secure.
2Secure framhåller samtidigt att beslutet inte stoppar löpande kontroller av andra risk- och lojalitetsindikatorer, till exempel förändringar i ekonomi, bolagsengagemang, öppna källor och medier.
– Det är en viktig poäng. Även om tillståndsfrågan kring lagöverträdelser nu prövas av domstol så är det fullt möjligt – och i många fall nödvändigt – att arbeta löpande och systematiskt med andra risk- och lojalitetsindikatorer. Det är ofta i kombinationen av flera datapunkter som den verkliga riskbilden framträder, säger Oskar Olsson, affärsområdeschef Human Risk Management på 2Secure.
Flera myndigheter pekar på föränderliga risker
Bolaget hänvisar också till att flera aktörer har beskrivit en hotbild där risker kan förändras under pågående relationer. Svenska Bankföreningens hotbildsbedömning för 2026 efterlyser uttryckligen möjlighet till löpande kontroller och beskriver insiderhotet som en av de mest framträdande riskerna mot den finansiella sektorn.
Brottsförebyggande rådet, Riksrevisionen, Domstolsverket och Försäkringskassan har enligt 2Secure under det senaste året pekat på samma problembild. Regeringen har samtidigt tillsatt en utredning om ett ändamålsenligt regelverk för bakgrundskontroller, enligt direktiv 2025:83.
– Bilden från flera håll är samstämmig: det räcker inte längre att kontrollera en person vid anställningsögonblicket och sedan utgå från att riskprofilen är oförändrad i tio år. Våra uppdragsgivare möter en hotbild där det behövs förebyggande och proportionerliga verktyg, säger David Grann Dalrot, rådgivare på 2Secure.
2Secure uppger att bolagets uppdragsgivare finns inom bank, finans, försäkring, tillverkande industri, läkemedel, försvarsindustri och offentlig verksamhet. Enligt bolaget är behandlingen som nu prövas avgränsad, selektiv och riktad mot exponerade befattningar, med uppgiftsminimering, verifiering, snäv åtkomsthantering och korta lagringstider som bärande inslag.
– Vi har byggt processen kring just de skyddsåtgärder som dataskyddsförordningen och tillståndsmodellen kräver. Vår förhoppning är att domstolsprövningen ska ge vägledning kring hur den här typen av riskbaserade kontroller kan utformas på ett sätt som både möter säkerhetsbehovet och värnar den enskildes integritet, avslutar Oskar Olsson, affärsområdeschef Human Risk Management på 2Secure.
