Blogg

Nedan följer ett samtal med Sara Johansson, jurist och visselblåsarutredare, om begreppet allmänintresse och hur man avgör när det föreligger utifrån visselblåsarlagen. Intervjuare: Vad utgör egentligen ett visselblåsarärende i lagens mening? Sara Johansson: – Ett visselblåsarärende är när någon rapporterar ett missförhållande i ett arbetsrelaterat sammanhang. För att omfattas av lagen krävs att missförhållandet är av allmänintresse – det är själva kärnan i lagens definition. ### Gränsdragning för "allmänintresse" Intervjuare: Det händer ju ofta att människor rapporterar saker som mer handlar om deras egen arbetssituation. Var går gränsen? Sara Johansson: – Det beror på. Men om det du rapporterar bara rör dina egna anställningsförhållanden – till exempel konflikter, löner eller schema – då är det inte ett visselblåsarärende. Allmänintresse betyder att missförhållandet ska angå en vidare krets, alltså allmänheten. Om det bara handlar om dig själv eller ditt arbetslag så är det inte allmänintresse i lagens mening. Intervjuare: Om en organisation får in ett ärende som är allvarligt, men inte bedöms vara av allmänintresse – vad gör man då? Sara Johansson: – Det vanligaste vi ser är att organisationen ändå tar frågan vidare, men hanterar den då inte som ett visselblåsarärende. Man behandlar den istället som ett tips, vilket innebär att ärendet flyttas från visselblåsarfunktionen till ordinarie verksamhet. Skillnaden är att visselblåsarfunktionen har strikt sekretess och ett särskilt arbetssätt. När ärendet hanteras som ett tips anonymiseras informationen, men den hanteras öppet inom organisationen. ### Hur påverkas skyddet för den som rapporterar? Intervjuare: Spelar det någon roll för skyddet om det inte är ett visselblåsarärende? Sara Johansson: – Ja, det gör det. När ett ärende inte omfattas av visselblåsarlagen försvinner också det lagstadgade skyddet för rapportören. Men många organisationer väljer att ändå erbjuda ett förstärkt skydd – till exempel om någon rapporterar brott mot interna policyer. Det är viktigt att tydliggöra när skyddet gäller enligt lagen och när det är ett frivilligt utökat skydd från arbetsgivaren. Det handlar i grunden om att bygga förtroende för kanalen. Intervjuare: Har lagstiftaren eller domstolarna klargjort hur man ska tolka begreppet allmänintresse? Sara Johansson: – Lagstiftaren har satt gränserna i lagtexten, men praxis är fortfarande begränsad. Ett avgörande från Arbetsdomstolen sommaren 2024 är dock mycket intressant. Domstolen slog fast att den som visselblåser måste kunna visa att det finns ett allmänintresse för att skyddet ska gälla. Det räcker alltså inte att du trodde att det var av allmänintresse – du måste kunna bevisa det i efterhand. Det här förskjuter bevisbördan och kan göra det svårare för personer att våga rapportera. Intervjuare: Det låter som att man gör det svårt för visselblåsaren på det här sättet. Är det rimligt? Sara Johansson: – Det är en svår fråga. Vi som arbetar med det här varje dag brottas också med gränsdragningen. Om ens jurister ibland tvekar, då är det orimligt att kräva att någon som visselblåser för första gången ska kunna göra en perfekt bedömning. Det finns alltså mycket kvar att diskutera kring allmänintresse och visselblåsarskydd. Om ni vill veta mer eller diskutera hur ni kan hantera dessa frågor i er organisation – kontakta oss på Lantero.

Från juni 2025 gäller EU:s tillgänglighetsdirektiv fullt ut. För kommuner och offentliga aktörer innebär det att digitala tjänster måste vara tillgängliga för alla – oavsett förutsättningar. Men hur ska man ta sig an uppgiften i praktiken? Tillgänglighet är inte något man gör en gång för alla i form av ett projekt. Det är ett löpande arbete som kräver struktur, prioriteringar och långsiktigt ansvar. För att komma igång på rätt sätt behöver man ta flera steg – från att skapa en tydlig bild av nuläget, till att bygga rutiner och kompetens i hela organisationen. Här går vi igenom fem centrala delar som kan fungera som vägledning. ### 1. Förstå nuläget Det första steget är att skapa en tydlig bild av var ni står idag. Genom att inventera era digitala tjänster – till exempel webbplatser, appar och e-tjänster – får ni en grund att bygga vidare på. Här handlar det om att identifiera både styrkor och brister i tillgängligheten. * Lista alla digitala kanaler ni erbjuder. * Använd automatiska testverktyg för att snabbt fånga upp grundläggande problem. * Komplettera alltid med manuell granskning, eftersom upplevelsen för användarna inte går att mäta fullt ut med enbart teknik. ### 2. Prioritera insatserna När ni har en överblick är nästa steg att bestämma vad som ska åtgärdas först. Alla tjänster behöver på sikt vara tillgängliga, men det är klokt att börja med de delar som har störst påverkan för användarna. Det gäller både vilka specifika tjänster som har störst betydelse och den funktionalitet inom olika tjänster som är särskilt viktig. Genom att först fokusera på de mest kritiska tjänsterna skapar ni direkt värde för medborgare, kunder och andra intressenter. Målet är att nå full tillgänglighet, men vägen dit blir mer effektiv om ni tar det steg för steg. ### 3. Skapa rutiner och ansvar Tillgänglighetsarbetet måste vara en naturlig del av vardagen, inte en engångsinsats. Därför behöver ni bygga in rutiner, struktur och fördela ansvar i organisationen. Ställ er frågor som: Vem testar nya funktioner före lansering? Hur säkerställer ni regelbunden uppföljning? Och vem rapporterar status till ledningen? * Utse en tydlig tillgänglighetsansvarig. * Sätt upp en plan för årliga granskningar. * Dokumentera arbetet och skapa rapporter som kan följas upp i ledningen. ### 4. Involvera användarna Det mest värdefulla ni kan göra är att låta verkliga användare testa era tjänster. Automatiska tester och verktyg har sin plats, men de kan aldrig fullt ut ersätta den upplevelse som uppstår när människor med olika behov och förutsättningar använder era tjänster i praktiken. Användartester ger insikter som gör det möjligt att både hitta problem och utveckla lösningar som verkligen fungerar. ### 5. Säkerställ kompetens i hela organisationen Tillgänglighet kan inte läggas på en enskild person eller funktion – det måste vara en del av hela organisationens arbete. Det innebär att utvecklare, redaktörer, projektledare och chefer behöver utbildas och få verktyg för att ta ansvar. Tillgänglighet bör betraktas som en kvalitetsfråga. Precis som säkerhet, prestanda och design är det en aspekt som behöver finnas med i alla digitala projekt och tjänster. ### Slutsats EU:s tillgänglighetsdirektiv innebär en stor förändring för många organisationer. Samtidigt är det också en möjlighet att höja kvaliteten på digitala tjänster och skapa bättre upplevelser för alla användare. Genom att inventera nuläget, prioritera de viktigaste insatserna, etablera rutiner, involvera användarna och bygga kompetens i organisationen kan ni ta ett stort steg mot att uppfylla kraven – och samtidigt stärka er verksamhet.

Vi samtalar med Joakim Karlén om informationssäkerhetspolicyn – ett grundläggande dokument inom cybersäkerhetsarbetet, men som ofta förbises i mindre verksamheter. Intervjuare: Vad menar vi egentligen med en informationssäkerhetspolicy, och varför är det här något som är viktigt även för lite mindre bolag? Joakim Karlén: – En informationssäkerhetspolicy är ett dokument som beskriver vilka regler, ansvar och roller som gäller i organisationen när det handlar om informationssäkerhet. Den kan vara ganska detaljerad, men också mer översiktlig – det viktiga är att den sätter ramen för hur informationssäkerheten ska fungera i bolaget. Intervjuare: Om man inte har en informationssäkerhetspolicy på plats – vilka risker finns då? Joakim Karlén: – Den största risken är att medarbetarna inte vet vad som gäller. De vet inte vilken roll de själva har, eller vilket ansvar de bär för att upprätthålla en hög informationssäkerhet. Det leder till otydlighet och i förlängningen till större sårbarhet i verksamheten. Intervjuare: Kan du ge ett exempel på vad en informationssäkerhetspolicy kan innehålla i praktiken? Joakim Karlén: – Ett enkelt exempel är hur man hanterar lösenord. Får man ha egna lösenord, eller måste man använda tvåfaktorsautentisering? Det är en typisk regel som ofta finns med, och som påverkar alla anställda i vardagen. Intervjuare: Hur gör man för att se till att policyn inte bara blir en pappersprodukt? Joakim Karlén: – Det är jätteviktigt att gå igenom innehållet med alla anställda – både vid nyanställning och löpande. Man måste utbilda personalen i vad som står i policyn och varför. Och sedan måste man leva som man lär – följa det som står. Annars får policyn ingen faktisk effekt. Intervjuare: Om man är en liten organisation och vill börja ta tag i informationssäkerhetsfrågorna – var börjar man? Joakim Karlén: – Först och främst behöver man ha koll på sin egen verksamhet. Vilka system använder ni? Vilka tillgångar har ni? Det är grunden. Sedan finns det mycket bra hjälp att få – färdiga mallar och exempel att utgå ifrån. Mitt råd är: börja inte från noll, utan utgå från ett beprövat exempel. På Lantero har vi utvecklat ett metodstöd för cybersäkerhetsarbete, där exempel på informationssäkerhetspolicyer och andra nyckeldokument ingår. – Ni är varmt välkomna att höra av er till oss om ni vill arbeta vidare med frågorna. Vi kan hjälpa till att sätta en plan och struktur för hur arbetet med informationssäkerhet kan se ut framåt. ## Sammanfattning En informationssäkerhetspolicy är inte bara ett dokument för byrålådan – det är en levande del av organisationens säkerhetsarbete. Genom tydliga regler, utbildning och ett systematiskt arbetssätt kan även mindre bolag höja sin cybersäkerhet markant.

Tillgänglighet handlar inte bara om att uppfylla lagkrav – det handlar om att göra produkter och tjänster användbara för fler. Hos Lantero arbetar vi med att hjälpa verksamheter att strukturera sitt arbete med lagar, regelverk och komplexa teman. I det här samtalet pratar vi med Joakim Karlén om den nya lagen om produkters och tjänsters tillgänglighet och hur mindre verksamheter kan ta sig an frågan på ett praktiskt och metodiskt sätt. ## Vad vill tillgänglighetslagen åstadkomma? – Tillgänglighetslagen är en ny lag, men den bygger på ett EU-direktiv från 2019, förklarar Joakim Karlén. Syftet är att öka tillgängligheten för produkter för personer med olika funktionshinder – till exempel syn- eller hörselnedsättning. Men egentligen handlar det om att förbättra produkter så att de fungerar bättre för alla. Lagen ställer krav på att både produkter och digitala tjänster ska vara möjliga att använda oavsett förmåga. Det innebär att allt från webbplatser till betalningsflöden behöver granskas med ”tillgänglighetsglasögon”. ## Hur kan man börja arbeta med tillgänglighet? För många mindre verksamheter kan frågan kännas överväldigande, men Joakim rekommenderar att börja enkelt: – Om man inte gjort så mycket arbete inom det här tidigare ska man börja med att undersöka nuläget. Det vill säga genomföra tester på sina nuvarande produkter för att se hur man ligger till gentemot de standarder som finns på marknaden. Det finns sedan länge etablerade standarder och ramverk för tillgänglighetsarbete, vilket gör det enklare att komma igång på ett strukturerat sätt. ## Tänk tillgänglighet redan i designfasen En viktig del i arbetet är att inkludera tillgänglighet redan från början: – Idealiskt sett ska man tänka på tillgänglighet i designfasen. Man brukar prata om “security by design” och “accessibility by design” – och det är precis så man bör arbeta. Det handlar om att bygga in tillgängligheten i utvecklingsprocessen från start. Genom att ta hänsyn till tillgänglighet redan i design- och utvecklingsfasen slipper verksamheter dyra anpassningar i efterhand och skapar samtidigt bättre användarupplevelser för alla. ## Ett metodstöd för alla typer av verksamheter Lantero har tagit fram en struktur och ett metodstöd för att hjälpa verksamheter arbeta med tillgänglighet på ett systematiskt sätt: – Vårt metodstöd lämpar sig för i princip alla verksamheter – stora som små, privata eller offentliga. Principerna är de samma. Fokuset ligger på att metodiskt gå igenom, utreda och förbättra tillgängligheten i ett strukturerat verktyg. För de organisationer som precis börjat titta på tillgänglighetsfrågor finns möjligheten att ta hjälp av Lantero för att sätta en plan framåt. – Om ni precis har börjat titta på de här frågorna är ni naturligtvis varmt välkomna att höra av er till oss. Vi kan hjälpa er att se hur arbetet kan struktureras och utvecklas över tid. ## Slutsats Tillgänglighetslagen innebär inte bara nya krav – den är en möjlighet att skapa produkter och tjänster som fungerar för fler, oavsett funktionsförmåga. Med ett strukturerat arbetssätt och rätt verktyg kan även mindre verksamheter ta ett stort kliv mot att bli mer inkluderande. 📣 Vill du veta mer om hur ni kan arbeta strukturerat med tillgänglighet? Läs mer på lantero.se eller kontakta oss för att se hur vi kan hjälpa er sätta en plan framåt.

När Lantero deltog vid Mötesplats Offentliga Affärer hölls ett seminarium om hur kommuner kan arbeta mer strukturerat mot välfärdsbrottslighet.
Petter Tiger från Lantero ledde samtalet med Emrah Ercin, säkerhetsstrateg i Nacka kommun, och Lena Törneskär, kommunstrateg mot välfärdsbrott i Eskilstuna kommun. ### Från politiskt uppdrag till kartläggning I Nacka började arbetet med ett politiskt initiativ. Kommunledningen ville förstå hur utbrett problemet med välfärdsbrottslighet faktiskt var. Emrah Ercin berättar att det första steget blev att genomföra en systematisk kartläggning. För att skapa en bild av nuläget intervjuades kommunens direktörer om hur de såg på riskerna i sina respektive verksamheter. Parallellt granskades reglementen, inköpspolicyer och andra styrande dokument för att identifiera svagheter och förbättringsområden. Resultatet visade att riskerna inte bara handlar om enstaka händelser, utan om strukturer. Framför allt inom ekonomi, upphandling och avtalsuppföljning fanns utrymme att stärka processerna.
– Vi såg att det behövdes ett mer proaktivt och sammanhållet arbetssätt – inte en massa stuprör, säger Emrah. Kartläggningen blev också ett verktyg för att väcka frågan internt. Genom temadagar och utbildningar fick både chefer och medarbetare en gemensam förståelse för vad välfärdsbrottslighet innebär och varför den angår alla. ### Kunskap, engagemang och kultur Att öka medvetenheten är ett återkommande tema. I Nacka har seminarier och utbildningar gett tydliga effekter – personalen är mer uppmärksam på avvikelser och vågar lyfta frågor. Lena Törneskär i Eskilstuna håller med, men betonar vikten av att arbeta i flera lager:
– Det räcker inte att utbilda ledningen och tro att kunskapen sipprar ner. Jag behöver som strateg jobba nära förvaltningarna, lyssna på deras behov och anpassa insatserna. Hon beskriver hur hon tagit fram en intern film om systematiskt brottslighet för alla medarbetare, men också bjuder in sig själv till förvaltningar för att driva arbetet mer hands-on.
– Man måste ner i verksamheten. Det finns ingen ’one size fits all’, säger hon. På frågan om vad som ger störst effekt svarar Lena med ett leende:
Utbildning är bra – men skandaler är bättre. När konkreta fall uppmärksammas tvingas verksamheten agera. ### Riskerna i vardagen – från inköp till fakturor En central del av samtalet handlar om de praktiska riskerna i kommunernas vardag.
Emrah pekar på upphandlingar och inköp. – bland tecknas avtal med leverantörer utan att kommunen verkligen vet vem man handlar med. Bakgrundskontroller görs sällan tillräckligt noggrant, och avtalsuppföljningen är ofta bristfällig. Även attestflöden kan vara en svag punkt.
– Det går ibland för snabbt. Chefer får många fakturor och hinner inte granska ordentligt om innehållet stämmer mot avtalet, säger Emrah. Lena fyller i med ett konkret exempel:
– Det händer att medarbetare går på känsla och handlar utanför avtal. Jag minns en diskmaskin som köptes direkt i butik – leverantören visade sig ha företrädare dömda för bokföringsbrott. Det visar hur små vardagsbeslut kan bli stora risker. ### Samverkan som nyckel – Eskilstunas modell I Eskilstuna har arbetet utvecklats mot en mer samverkande modell. Lena beskriver hur kommunen samarbetar med polisen och Center mot arbetslivskriminalitet i myndighetsgemensamma insatser.
– Vi vill motverka osund konkurrens. När företag fuskar med skatter och arbetsvillkor skadas både arbetstagare och seriösa företagare. Kommunen använder flera konkreta verktyg: man begär ut uppgifter från Allmänna reklamationsnämnden, kontrollerar folkbokföring på industrifastigheter och följer upp föreningsbidrag.
Resultaten är tydliga – i över 25 samverkansinsatser har varje granskad verksamhet fått någon form av anmärkning. Lena arbetar även nära verksamheterna i praktiken. Hon sitter ofta ute på förvaltningar och hjälper till i konkreta ärenden – från föreningsbidrag till tillståndsfrågor.
– Jag ska egentligen jobba strategiskt, men jag är hellre operativ. Det är där man ser effekten. ### Ledning, mandat och uthållighet Både Emrah och Lena återkommer till ledningens betydelse. I Nacka har politiska beslut gett arbetet legitimitet och kontinuitet – det finns ingen sluttid.
– Kartläggningen gav oss mandat. Alla är med på tåget, säger Emrah. I Eskilstuna har Lena själv initierat en ny punkt i kommunstyrelsens internkontrollplan, som handlar om att följa upp hur förvaltningarna hanterar sina risker.
– Det är viktigt att bygga in frågan i styrningen, annars blir det bara tillfälliga satsningar. ### Råd till mindre kommuner Hur gör man om man inte har samma resurser?
Lena menar att politiskt stöd är första steget. – Visa hur frågan ser ut lokalt, ta fram konkreta exempel och förklara varför det angår alla. Få politiken med dig. Hon rekommenderar också att kommuner krokar arm med grannkommuner och med lokalpolisen.
– En liten kommun kan inte göra allt själv, men tillsammans finns kraft. Emrah håller med och tillägger:
– Börja enkelt. Gör en nulägesanalys, identifiera riskerna, och bygg en process för att följa upp och förbättra. ### ”Välfärdsbrott är våra gemensamma pengar” Avslutningsvis påminner båda om varför arbetet är viktigt.
Lena berättar om ett ärende där en person använt dubbla identiteter och fått bidrag i två kommuner – även för en bror som inte existerade.
– Välfärdsbrott är en upptäcktsbrottslighet. Utan kompetens och uthållighet hittar vi dem inte. Emrah sammanfattar:
– Det handlar om våra gemensamma pengar och om demokratin. Alla i kommunen har ett ansvar.

Vi har i en tidigare Intervju med säkerhetsexperten Joakim Karlén diskuterat riskhantering som en del av cybersäkerhetsarbetet. Nu följer vi upp med praktiska exempel, för att närmare illustrera temat. Nedan följer en nedkortade och förenklad sammanfattning av diskussionen. Fråga: För att bli mer konkret när det gäller riskhantering kan vi ta ett exempel som många kan relatera till: ransomware. Hur förhåller sig den typen av risk och problematik till de riskbedömningar man gör? Joakim Karlén: Ransomware är en generell risk som alltid finns där. I riskhanteringsarbetet bryter man ner det till en mer detaljerad nivå. Man tittar på sina informationstillgångar och identifierar risker som kan uppstå vid till exempel en ransomware-attack. Om vi tar ett konkret exempel: backuper till CRM-systemet. Om backupfilerna ligger kvar på samma server som själva systemet innebär det en tydlig risk. Den kan man värdera och arbeta med. Fråga: Hur ser arbetet ut mer konkret när man identifierat en sådan risk? Joakim Karlén: Om vi konstaterar att vi inte flyttar backupfilerna från servern ökar sannolikheten att problemet uppstår – den kan värderas som mycket hög. Samtidigt blir konsekvensen av ett ransomware-angrepp katastrofal. Det ger höga poäng på både sannolikhet och konsekvens, vilket gör att just den här risken får mycket hög prioritet. Då tar man fram en åtgärdsplan. Som ett exempel, om man separerar lagringsytorna och säkerställer att backuperna verkligen tas, minskar man inte risken för att ett angrepp sker. Däremot reducerar man konsekvenserna av angreppet. Det finns också åtgärder som minskar sannolikheten direkt. Ett vanligt exempel är att se till att alla operativsystem och programvaror hålls uppdaterade. Att uppdateringar genomförs regelbundet är en av de viktigaste åtgärderna för att minska risken för attacker från början. Här handlar det mer om sannolikheten än om konsekvensen. Fråga: Hur hänger begreppen incidenthantering och kontinuitetsplanering ihop med riskhantering? Joakim Karlén: De är en del av det övergripande arbetet. Incidenthantering handlar om att alla ska veta vad som ska göras när något inträffar – vem som leder arbetet, i vilken ordning åtgärder ska vidtas och hur rapporteringen ska ske. Det handlar också om att utbilda personalen i hur incidenter ska hanteras. Kontinuitetsplanering innebär att man förbereder alternativa sätt att driva verksamheten om det värsta skulle inträffa och man förlorar tillgång till viktiga system. ___ Diskussionen tar avstamp i Lanteros metodstöd för strukturering av cybersäkerhetsarbete.

Den 13 juni lanserade Svenska institutet för standarder (SIS) en ny standard för leverantörskontroll: SS 618000 Säkra affärer – Krav för säker leverantör. Samtidigt presenterades en teknisk specifikation, SIS/TS 618010, som beskriver hur efterlevnad av standarden kan verifieras av ett oberoende organ. ### Struktur för bedömning av leverantörer Standarden syftar till att professionalisera bedömningen av leverantörer och skapa en tydlig struktur för hur man ska utvärdera leverantörer vid inköp eller upphandlingar. Kraven som etableras i standarden SS 618000 kopplas till bland annat affärsstyrning, etik och ansvarstagande. Standarden adresserar också frågor om rutiner för hur information om leverantörer kan samlas in och dokumenteras. Sådan information kan handla om exempelvis ägarstruktur, förvaltningsmodeller eller tidigare erfarenheter på det aktuella temat. I förlängningen ska den här typen av beslutsstöd kunna bidra till en mer förutsebar hantering av leverantörsrisker, vilket inom offentlig sektor får en direkt koppling till resurshushållning och att förebygga välfärdsbrottslighet. ### Hjälp av externa organ Den kompletterande specifikationen (SIS/TS 618010) innehåller anvisningar för hur ett externt organ kan verifiera att en leverantör uppfyller kraven i standarden. Det kan användas i situationer där det finns behov av att visa på objektiv efterlevnad. Standardens tillämpningsområde är brett och riktar sig till både privat och offentlig sektor. För kommuner kan den vara relevant i sammanhang där man har behov av att skapa struktur för leverantörskontroll/-bedömningar och dokumentera underlaget för sina beslut. Det kan till exempel gälla prekvalificering i upphandlingar, riskanalyser eller i utvecklingen av interna rutiner för inköpsarbete. För de som vill fördjupa sig finns mer information om standarden på sis.se. ### Om SIS: Svenska institutet för standarder (SIS) arbetar generellt med att ta fram standarder som kan fungera som frivillig branschreglering, som därmed minskar behovet av tvingande lagstiftning. Arbetet sker i samverkan med företag, myndigheter och andra organisationer, och syftar till att skapa gemensamma ramar för kvalitet, säkerhet och transparens inom olika områden. Användningen av standarder är frivillig, men blir ofta vägledande för arbetet även för de aktörer som inte formellt tillämpar standarden.

Lantero gjorde en intervju med Uddevallas IT-strateg Thore Andersson, i samband med att ett pilotprojekt inleddes för att utvärdera Lantero Redact. Tjänsten handlar om att ta hjälp av AI med att bedöma och göra maskering av dokument som begärs ut som allmän handling. Maskering av allmän handling är ett område som utmärks av att det oväntat kan komma betydande arbetstoppar, där man får svårt att planera och budgetera för arbetet och där fel kan får betydande konsekvenser. Nedan följer en rensad transkribering av intervjun. Vi står här med Thore Andersson, IT-strateg på Uddevalla kommun. Kommunen har nyligen startat ett pilotprojekt med Lantero Redact, en tjänst för maskering av handlingar när någon begär ut offentliga dokument. Fråga: Vad ser ni för nytta med en sådan här tjänst, och vad vill ni uppnå?
Thore Andersson: Vi har stora förhoppningar på det här projektet. Tjänsten är efterfrågad från flera håll i verksamheten, framför allt från upphandling och socialtjänsten. De lägger mycket tid på att maskera känslig information, och här kan AI-stöd underlätta arbetet betydligt. Fråga: Hur omfattande är det här problemet? Är det något som berör många tjänstemän, eller mer specifika delar av organisationen?
Thore Andersson: Det begärs ut många dokument från kommunen, vilket är en viktig del av vår transparens. Men ofta kan vi inte lämna ut all information – då måste vi maskera. Antalet begäranden har ökat över tid, vilket gör att arbetsbördan blivit större. Fråga: Går det att säga något om volymen?
Thore Andersson: Vi har inga exakta siffror just nu, men det handlar om tusentals dokument per år. Pilotprojektet ska hjälpa oss att kartlägga volymerna mer i detalj. Fråga: Är huvudsyftet främst att effektivisera resursanvändningen eller att förbättra arbetsmiljön?
Thore Andersson: Det handlar om båda delarna. Som SKR brukar säga: vi måste leverera 125 % välfärd med 75 % av resurserna. Det är vår verklighet. Därför måste vi använda våra personella resurser där de verkligen behövs och ta hjälp av IT-stöd där det är möjligt. Fråga: En rationell inställning till IT-budgeten, med andra ord.
Thore Andersson: Precis. Stort tack!

Lantero arrangerade ett webbsänt seminarium om infiltration av kriminella i offentlig verksamhet, så kallade "möjliggörare". Som expert deltog Catharina Lindstedt som specialiserar sig på otillåten påverkan, infiltration och möjliggörare för kriminella. Nedan följer en sammanfattning av seminariet. ### Vad är en möjliggörare? Möjliggörare, det är personer som, medvetet eller omedvetet, underlättar för kriminella aktörer att begå brott eller skydda sin verksamhet. Utgångspunkten är att fenomenet är relativt nytt i den offentliga diskussionen och att kunskapsläget ännu är begränsat. Därför betonas behovet av kunskapshöjning och ett mer strukturerat arbetssätt i kommuner och andra verksamheter. Lindstedt förklarar att organiserad brottslighet och kriminella nätverk i första hand drivs av att tjäna pengar, men även av att få och behålla makt. När samhällets synlighet och motåtgärder ökar i det ”öppna” våldet (skjutningar, sprängningar, narkotika) söker sig de kriminella under ”vattenytan” till andra intäktsströmmar – exempelvis inom välfärdssektorn, miljöbrott, bidragssystem och andra mindre synliga delar av offentlig verksamhet. För detta behöver de information, inflytande och skydd, vilket de skaffar sig genom olika typer av möjliggörare och ibland genom otillåten påverkan. ### Fyra kategorier Brottsförebyggande rådet delar in möjliggörare i fyra kategorier. Den manipulerande möjliggöraren kan vara en mindre erfaren tjänsteperson som har svårt att sätta gränser och därför låter sig styras. Den affärsmässiga möjliggöraren agerar medvetet för egen ekonomisk vinning och kan samarbeta med flera kriminella nätverk samtidigt, vilket skapar stora risker. Den upparbetade möjliggöraren börjar sitt arbete med goda avsikter men glider gradvis in i ett destruktivt beteende, exempelvis genom missnöje, sviktande lojalitet eller för att lojalitet till familj/släkt blir starkare än lojaliteten till arbetsgivaren. Ekonomiska problem kan också vara en faktor som ökar sårbarheten. Slutligen den placerade/infiltrerade möjliggöraren, som är ovanligare eftersom det kräver tid och kan motverkas av gedigna rekryteringsprocesser – men risken finns, särskilt i miljöer med svagare kontroller, till exempel i föreningslivet kopplat till bidrag. En central poäng är att många möjliggörare är omedvetna: de inser inte att deras handlingar underlättar för kriminella intressen. Det här skapar skuld och skam när det uppdagas, men också tystnadskultur. Därför behöver organisationer öka medvetenheten utan att misstänkliggöra enskilda, och i stället fokusera på funktioner och befattningar som är attraktiva mål. ### Tips för förebyggande arbete För att kunna arbeta förebyggande, föreslår Lindstedt att man arbetar med riskidentifiering för att hitta områden som kan vara särskilt utsatta. Här föreslår Lindstedt att man kartlägger sex områden där kriminella typiskt vill in: 1. Ekonomin (utbetalningar, upphandling, bidrag), 2. Strukturella/institutionella faktorer (befattningar nära politiska beslut och tung påverkan), 3. Sociala faktorer (områden med dålig tillit till myndigheter, låg öppenhet, rapporteringsobenägenhet i området), 4. Teknologiska (verksamheter med mycket teknik/informationsåtkomst), 5. Geografiska (platser med strategiskt läge, hamnar, stora trafikleder), 6. Information (funktioner som sitter på känslig eller omfattande information, t.ex. juridik, HR). Utifrån denna grund genomför man workshops där man – tillsammans och på funktionsnivå – listar sårbara roller och processer, och därefter gör riskanalyser med bedömning av sannolikhet och konsekvens. Resultatet blir ett mer nyanserat underlag för riktade bakgrundskontroller och andra åtgärder där de verkligen behövs, i stället för generella kontroller av ”alla och allt”. En väl genomförd kartläggning underlättar även för att motivera kontrollerna gentemot eventuella invändningar. ### Praktiska verktyg Flera praktiska verktyg lyfts: stärkta och ändamålsenliga bakgrundskontroller, medarbetarsamtal och medarbetarenkäter för att tidigt fånga upp sårbarheter (t.ex. ekonomisk press), samt tipsfunktioner från allmänheten för att upptäcka misstänkta mönster. Samtidigt påminner Lindstedt om risken för otillåten påverkan och hur tystnad kan sprida sig i en organisation om man inte arbetar systematiskt. ### Kulturarbete Utöver strukturer och rutiner krävs ett värderings- och kulturarbete. Policydokument räcker inte; man måste i gruppen konkretisera vad exempelvis ”mod” innebär i praktiken, hur man agerar när man utsätts, och vilket stöd ledningen ger. Ledarskapet behöver ”sätta tonen” så att handlingsplaner faktiskt används och inte stannar på papper. Poängen är att nästan alla i kommunal verksamhet vill göra gott för invånarna – kulturarbetet hjälper medarbetarna att omsätta det i handling även när trycket ökar. Avslutningsvis rekommenderas att börja i rätt ordning: kunskapshöjning, därefter kartläggning av attraktiva områden för kriminella, identifiering av särskilt sårbara funktioner/befattningar, och sedan riskanalys (sannolikhet/konsekvens) som grund för åtgärder som bakgrundskontroller, behörighetsstyrning, stödstrukturer och rapporteringsvägar. På så sätt blir arbetet hanterbart, träffsäkert och förankrat i både verksamhetens vardag och dess värdegrund.

I ett samtal med säkerhetsexperten Joakim Karlén diskuterar vi riskhantering och riskanalys inom ramen för arbetet med cybersäkerhet i mindre organisationer. Nedan följer en redigerad och något nerkortad version av samtalet. Vi på Lantero hjälper våra kunder att strukturera arbetet med lagar, regelverk och komplexa teman.
Idag ska vi tala om cybersäkerhet och specifikt om riskhantering eller -bedömningar. Med oss har vi Joakim Karlén, som har mångårig erfarenhet inom området. Fråga: Joakim, vad är det som gör riskbedömningar, riskhantering och riskanalys till en så viktig del av arbetet med cybersäkerhet?
Joakim: Det handlar om att riskbedömningar gör oss proaktiva. När man genomför en riskbedömning tittar man framåt och identifierar vad som kan hända, istället för att bara reagera på det som redan har inträffat. På så sätt blir riskbedömningen ett avgörande verktyg för att ligga steget före. Fråga: Vad består en riskbedömning av när det gäller informationstillgångar?
Joakim: Det är en process. Först behöver man ha identifierat sina informationstillgångar. Därefter samlas man i en grupp och går igenom varje tillgång för att identifiera både sannolika och mindre sannolika risker. Sedan värderar man riskerna. Fråga: Finns det ett etablerat sätt att mäta riskerna, eller skiljer det sig åt mellan olika verksamheter?
Joakim: Det finns skillnader, men i grunden gör de flesta på samma sätt. Man bedömer sannolikheten för att en risk ska inträffa, och man bedömer konsekvensen om den inträffar. Multiplicerar man dessa värden får man ett samlat riskvärde för varje tillgång. Fråga: Och praktiskt, hur används detta i arbetet?
Joakim: Ofta sker det i form av ett möte. Man har sin inventarielista över tillgångar och går igenom dem tillsammans med personer som har kunskap inom området. För varje tillgång listar man riskerna, bedömer sannolikheten och konsekvensen. På så sätt får man en strukturerad riskbild. Fråga: Vilka vanliga misstag ser du i det här arbetet?
Joakim: Det vanligaste är att man inte har rätt personer i rummet, eller att man inte vågar ta hjälp när man saknar den kompetens som krävs. Vi på Lantero arbetar med att strukturera den här typen av processer och har verktyg som hjälper organisationer att skapa en tydlig överblick över cybersäkerhetsarbetet. Har ni frågor om det här området eller vill titta närmare på våra mallar och exempel, är ni varmt välkomna att höra av er till oss. Stort tack för att ni har tittat!