Regelefterlevnad – Digitala verktyg och personligt stöd

I ett samtal med säkerhetsexperten Joakim Karlén diskuterar vi tillgångsförvaltning och hur ett sådant arbetet är en bra grund i ett strukturerat arbete med cybersäkerhet. Nedan följer en redigerad och något nerkortad version av samtalet. Fråga: Vad innebär tillgångsförvaltning inom cybersäkerhet?
Joakim: I grunden handlar det om att ha ett bra register över sina tillgångar – ett uppdaterat och etablerat dokument som visar vad organisationen behöver skydda. Fråga: Så det handlar om att göra en inventering? Vad ska man ta med i registret?
Joakim: Man ska identifiera vilken typ av tillgångar som finns: hårdvara, databaser och viktiga system. Alla dessa ska listas. Sedan anger man vem som är ansvarig för respektive tillgång, var den finns och vilken betydelse den har. Fråga: Hur stor behöver en organisation vara för att detta ska bli relevant?
Joakim: Det varierar mycket, beroende på hur mycket IT-utrustning och informationskällor man har. Även små organisationer kan ha många tillgångar. Men när man börjar närma sig 10–20 anställda, där alla har en dator och en telefon, då blir det i praktiken nödvändigt att upprätta ett register. Fråga: Vad krävs för att genomföra inventeringen? Finns det metoder eller verktyg man bör använda?
Joakim: Det behöver inte vara komplicerat. Det viktiga är att vara noggrann och inte missa någon del. Några personer med bra kännedom om organisationens IT sätter sig ner och gör en första lista – till exempel i ett Excelark eller en enkel mall. Fråga: Hur används registret sedan?
Joakim: Det blir en grund för riskbedömningen. Då kan man avgöra vilka tillgångar som är mest kritiska och behöver starkast skydd, och vilka som är mindre känsliga. Fråga: Finns det något som organisationer ofta glömmer när de gör ett sådant register?
Joakim: Ja, mobiltelefoner. De ses ibland som personliga prylar, men de är ofta kopplade till känsliga system och innehåller viktig information. Därför måste de tas med. Avslutningsvis: Lantero samlar mallar och exempel i vårt verktyg, vilket hjälper till att strukturera arbetet med cybersäkerhet och skapa överblick. Har ni frågor kring detta är ni varmt välkomna att kontakta oss. Tack för att ni tittade!

I juni 2025 kom en dom från Kammarrätten i Göteborg gällande ett överklagande om sekretess kring e-post gällande visselblåsarutredningar. Den klagande hade begärt att få ta del av handlingar kopplat till ett visselblåsarärende. De handlingar som det gällde var dialog via e-post mellan en handläggare på kommunens interna visselblåsargrupp och den externa leverantör (Lantero). Den externa leverantören har som uppdrag att assisterade kommunens interna grupp i deras bedömningar av inkomna rapporter. En av rättsfrågorna som behandlades var om dessa e-post kunde anses vara offentlig handling eller ej. Den klagande menade att all e-post som skickats mellan den interna utredningsgruppen och utomstående ska registreras och diarieföras och ses som offentlig handling. Kommunstyrelsen å sin sida menade att de meddelanden som det gäller avser ett ärende som inte var slutbehandlat. Överklagandet avslogs av Kammarrätten som bland annat argumenterade att Lantero AB inte är en självständig part i sammanhanget utan en del i kommunens interna rapporteringskanal (visselblåsarfunktion) i enlighet med lagen (2021:890) om skydd för personer som rapporterar om missförhållanden och att dialogen har skett inom ramen för den funktionen. De aktuella e-postmeddelandena får därmed anses framställda inom myndigheten och är inte allmänna på grund av att de har skickats mellan tjänstemannen i kommunen och anställd vid Lantero AB. Lantero kan konstatera att detta är en enskild dom av Kammarrätten. Det går således inte att förutsätta att andra liknande situationer kommer få samma utfall, men det indikerar att den dialog som sker mellan handläggare på kommunen och extern utredare ses som internt material och inte per definition är att anse som offentlig handling. Samtidigt anser vi att det är bättre att i möjligaste mån undvika dialog kring ärenden via e-post och försöka hantera detta på annat sätt t.ex. direkt i handläggarverktyget som ofta har stöd för detta. Vill du ta del av avgörandet i sin helhet, hör av dig till info@lantero.se

Bisysslor för anställda är något som det finns särskilda skäl att hålla koll på inom det offentliga. Dels kan det ge indikationer på var det finns medvetna försök att missbruka systemen. Dels är det en uppenbar källa till intressekonflikter kopplat till myndighetsbeslut. Formerna för hur man kontrollerar och följer upp bisysslor är inte komplicerade och som med mycket annat gäller det mest att få principer och rutiner på plats. ### Etablera principer När det gäller principer har man som organisation anledning att definiera vad som potentiellt kan vara förtroendeskadliga bisysslor. Det vill säga när en bisyssla kan – eller kan uppfattas – stå i konflikt med objektivt beslutsfattande hos en anställd. Både besluten och det upplevda oberoende spelar alltså roll. En annan princip som naturligt behöver etableras är vilka roller som är känsliga. Det handlar då om vilka beslut som rollen ansvarar för eller fattar. Det kommer normalt sett att röra beslut kopplade till ett tydligt ekonomiskt värde, som bygglov, olika typer av tillstånd eller upphandlingar. ### Sätt rutiner De rutiner som behöver specificeras kan vara när man gör kontroller, hur det görs, vad som ska anmälas och vem som fattar beslut. Förslagsvis gör man kontroller i samband med anställning, vid medarbetarsamtal och kanske någon typ av löpande stickprov. Men det kan också finnas andra tillfällen som är lämpliga utifrån verksamhetens art eller andra särskilda omständigheter. Utgångspunkten är normalt sett att bisysslor ska anmälas av den anställda, men det behöver finnas etablerade former för hur man som organisation gör aktiva kontroller och det behöver finnas regler för vad som diarieförs, sparas och kanske till och med delas med utvalda delar av organisationen. Det måste vara tydligt vilka bisysslor som ska anmälas och vem som fattar besluten. ### Ta hjälp av andra I vanlig ordning kan man ta hjälp av andra som redan gjort arbetet. Utgå från befintliga checklistor, styrdokument och rutiner när ni sätter upp det för er organisation. Har man en mer ambitiös agenda så kan man titta på kommuner eller myndigheter som ligger särskilt långt fram på området. Men för många är det mer relevant att titta på förlagor från närliggande kommuner eller snarlika myndigheter. Lantero samlar bra exempel i vår tjänst FraudFinder, men det kan för många vara nog så enkelt att prata med befintliga kontakter i grannkommunen eller motsvarande. Som vanligt uppskattar vi på Lantero både tankar, synpunkter och förslag på bra exempel som vi skulle kunna lyfta fram i våra kontakter med den offentliga sektorn.