Regelefterlevnad – Digitala verktyg och personligt stöd

Vi intervjuar Joakim Karlén om hur man gör för att involvera samtliga anställda i arbetet med informationssäkerhet och cyberhygien. Intervjuare: Vi börjar från början – vad menas egentligen med cyberhygien? Joakim Karlén: – När man hör ordet hygien tänker man på de där sakerna man alltid ska göra, som att tvätta händerna. Det är faktiskt samma sak inom cybersäkerhet. Cyberhygien handlar om att alla ska veta och följa de grundläggande rutinerna för att skydda både sig själva och organisationen. ### Små och stora organisationer – olika förutsättningar Intervjuare: När man jobbar med mindre verksamheter; hur skiljer sig deras arbete från större organisationer? Joakim Karlén: – I större organisationer finns ofta mer struktur och stöd, som en IT-avdelning som driver säkerhetsfrågorna. I mindre verksamheter blir det individuella ansvaret större. Alla behöver förstå hur deras eget agerande påverkar säkerheten – eftersom man inte kan luta sig mot samma stödfunktioner. Intervjuare: Vilka är de vanligaste misstagen? Joakim Karlén: – Det absolut vanligaste är att man inte har ordning på sina digitala tillgångar. Man saknar rutiner för hur datorer och mobiler hanteras, eller utbildning kring grundläggande säkerhetsmoment. Det leder till att man missar enkla men avgörande skyddsåtgärder. ### Att skapa engagemang Intervjuare: Hur får man då medarbetarna att tänka aktivt på de här frågorna? Joakim Karlén: – Det börjar med utbildning. Man behöver förklara varför reglerna finns och koppla dem till det dagliga arbetet: Vad gör du i din vardag, och vilka risker finns i just de momenten? Många ser inte cybersäkerhet som en del av sitt jobb – men det är det. Precis som man inte springer omkring med saxar på ett kontor, ska man inte hantera sina digitala verktyg på ett riskfyllt sätt. Cyberhygien handlar om att förstå verktygen man använder och hur de ska hanteras på ett säkert sätt. ### Beteende snarare än teknik Intervjuare: Så det handlar egentligen om kultur och beteende? Joakim Karlén: – Exakt. Cyberhygien är inte bara teknik, utan framför allt beteende och medvetenhet. För att stötta den kulturen behöver man tydliga rutiner och checklistor – till exempel för hur nya medarbetare introduceras i säkerhetsarbetet. Man kan också öva på incidenter, till exempel genom simulerade attacker, så att alla lär sig sin roll om något händer. När man tränar på situationer där det går fel blir man mer medveten om sitt ansvar – och tryggare i hur man ska agera. Intervjuare: Vilka hot bör organisationer fokusera på just nu? Joakim Karlén: – Vi ser att attackerna blir fler och mer automatiserade. Många små organisationer tänker “vi är inte intressanta” – men det vet inte angriparna. De attackerar allt som går att attackera. Med dagens AI-verktyg går det dessutom att låtsas vara någon annan och genomföra avancerade sociala attacker med mycket större precision och volym än tidigare. Det betyder att risken för att bli lurad ökar dramatiskt – särskilt om medarbetarna inte är vaksamma. Cyberhygien handlar om att göra det enkla rätt – varje dag. Det kräver struktur, träning och engagemang från alla.

Nedan följer ett samtal med Sara Johansson, jurist och visselblåsarutredare, om begreppet allmänintresse och hur man avgör när det föreligger utifrån visselblåsarlagen. Intervjuare: Vad utgör egentligen ett visselblåsarärende i lagens mening? Sara Johansson: – Ett visselblåsarärende är när någon rapporterar ett missförhållande i ett arbetsrelaterat sammanhang. För att omfattas av lagen krävs att missförhållandet är av allmänintresse – det är själva kärnan i lagens definition. ### Gränsdragning för "allmänintresse" Intervjuare: Det händer ju ofta att människor rapporterar saker som mer handlar om deras egen arbetssituation. Var går gränsen? Sara Johansson: – Det beror på. Men om det du rapporterar bara rör dina egna anställningsförhållanden – till exempel konflikter, löner eller schema – då är det inte ett visselblåsarärende. Allmänintresse betyder att missförhållandet ska angå en vidare krets, alltså allmänheten. Om det bara handlar om dig själv eller ditt arbetslag så är det inte allmänintresse i lagens mening. Intervjuare: Om en organisation får in ett ärende som är allvarligt, men inte bedöms vara av allmänintresse – vad gör man då? Sara Johansson: – Det vanligaste vi ser är att organisationen ändå tar frågan vidare, men hanterar den då inte som ett visselblåsarärende. Man behandlar den istället som ett tips, vilket innebär att ärendet flyttas från visselblåsarfunktionen till ordinarie verksamhet. Skillnaden är att visselblåsarfunktionen har strikt sekretess och ett särskilt arbetssätt. När ärendet hanteras som ett tips anonymiseras informationen, men den hanteras öppet inom organisationen. ### Hur påverkas skyddet för den som rapporterar? Intervjuare: Spelar det någon roll för skyddet om det inte är ett visselblåsarärende? Sara Johansson: – Ja, det gör det. När ett ärende inte omfattas av visselblåsarlagen försvinner också det lagstadgade skyddet för rapportören. Men många organisationer väljer att ändå erbjuda ett förstärkt skydd – till exempel om någon rapporterar brott mot interna policyer. Det är viktigt att tydliggöra när skyddet gäller enligt lagen och när det är ett frivilligt utökat skydd från arbetsgivaren. Det handlar i grunden om att bygga förtroende för kanalen. Intervjuare: Har lagstiftaren eller domstolarna klargjort hur man ska tolka begreppet allmänintresse? Sara Johansson: – Lagstiftaren har satt gränserna i lagtexten, men praxis är fortfarande begränsad. Ett avgörande från Arbetsdomstolen sommaren 2024 är dock mycket intressant. Domstolen slog fast att den som visselblåser måste kunna visa att det finns ett allmänintresse för att skyddet ska gälla. Det räcker alltså inte att du trodde att det var av allmänintresse – du måste kunna bevisa det i efterhand. Det här förskjuter bevisbördan och kan göra det svårare för personer att våga rapportera. Intervjuare: Det låter som att man gör det svårt för visselblåsaren på det här sättet. Är det rimligt? Sara Johansson: – Det är en svår fråga. Vi som arbetar med det här varje dag brottas också med gränsdragningen. Om ens jurister ibland tvekar, då är det orimligt att kräva att någon som visselblåser för första gången ska kunna göra en perfekt bedömning. Det finns alltså mycket kvar att diskutera kring allmänintresse och visselblåsarskydd. Om ni vill veta mer eller diskutera hur ni kan hantera dessa frågor i er organisation – kontakta oss på Lantero.

Från juni 2025 gäller EU:s tillgänglighetsdirektiv fullt ut. För kommuner och offentliga aktörer innebär det att digitala tjänster måste vara tillgängliga för alla – oavsett förutsättningar. Men hur ska man ta sig an uppgiften i praktiken? Tillgänglighet är inte något man gör en gång för alla i form av ett projekt. Det är ett löpande arbete som kräver struktur, prioriteringar och långsiktigt ansvar. För att komma igång på rätt sätt behöver man ta flera steg – från att skapa en tydlig bild av nuläget, till att bygga rutiner och kompetens i hela organisationen. Här går vi igenom fem centrala delar som kan fungera som vägledning. ### 1. Förstå nuläget Det första steget är att skapa en tydlig bild av var ni står idag. Genom att inventera era digitala tjänster – till exempel webbplatser, appar och e-tjänster – får ni en grund att bygga vidare på. Här handlar det om att identifiera både styrkor och brister i tillgängligheten. * Lista alla digitala kanaler ni erbjuder. * Använd automatiska testverktyg för att snabbt fånga upp grundläggande problem. * Komplettera alltid med manuell granskning, eftersom upplevelsen för användarna inte går att mäta fullt ut med enbart teknik. ### 2. Prioritera insatserna När ni har en överblick är nästa steg att bestämma vad som ska åtgärdas först. Alla tjänster behöver på sikt vara tillgängliga, men det är klokt att börja med de delar som har störst påverkan för användarna. Det gäller både vilka specifika tjänster som har störst betydelse och den funktionalitet inom olika tjänster som är särskilt viktig. Genom att först fokusera på de mest kritiska tjänsterna skapar ni direkt värde för medborgare, kunder och andra intressenter. Målet är att nå full tillgänglighet, men vägen dit blir mer effektiv om ni tar det steg för steg. ### 3. Skapa rutiner och ansvar Tillgänglighetsarbetet måste vara en naturlig del av vardagen, inte en engångsinsats. Därför behöver ni bygga in rutiner, struktur och fördela ansvar i organisationen. Ställ er frågor som: Vem testar nya funktioner före lansering? Hur säkerställer ni regelbunden uppföljning? Och vem rapporterar status till ledningen? * Utse en tydlig tillgänglighetsansvarig. * Sätt upp en plan för årliga granskningar. * Dokumentera arbetet och skapa rapporter som kan följas upp i ledningen. ### 4. Involvera användarna Det mest värdefulla ni kan göra är att låta verkliga användare testa era tjänster. Automatiska tester och verktyg har sin plats, men de kan aldrig fullt ut ersätta den upplevelse som uppstår när människor med olika behov och förutsättningar använder era tjänster i praktiken. Användartester ger insikter som gör det möjligt att både hitta problem och utveckla lösningar som verkligen fungerar. ### 5. Säkerställ kompetens i hela organisationen Tillgänglighet kan inte läggas på en enskild person eller funktion – det måste vara en del av hela organisationens arbete. Det innebär att utvecklare, redaktörer, projektledare och chefer behöver utbildas och få verktyg för att ta ansvar. Tillgänglighet bör betraktas som en kvalitetsfråga. Precis som säkerhet, prestanda och design är det en aspekt som behöver finnas med i alla digitala projekt och tjänster. ### Slutsats EU:s tillgänglighetsdirektiv innebär en stor förändring för många organisationer. Samtidigt är det också en möjlighet att höja kvaliteten på digitala tjänster och skapa bättre upplevelser för alla användare. Genom att inventera nuläget, prioritera de viktigaste insatserna, etablera rutiner, involvera användarna och bygga kompetens i organisationen kan ni ta ett stort steg mot att uppfylla kraven – och samtidigt stärka er verksamhet.