Regelefterlevnad – Digitala verktyg och personligt stöd

Nedan följer ett samtal med Sara Johansson, jurist och visselblåsarutredare, om begreppet allmänintresse och hur man avgör när det föreligger utifrån visselblåsarlagen. Intervjuare: Vad utgör egentligen ett visselblåsarärende i lagens mening? Sara Johansson: – Ett visselblåsarärende är när någon rapporterar ett missförhållande i ett arbetsrelaterat sammanhang. För att omfattas av lagen krävs att missförhållandet är av allmänintresse – det är själva kärnan i lagens definition. ### Gränsdragning för "allmänintresse" Intervjuare: Det händer ju ofta att människor rapporterar saker som mer handlar om deras egen arbetssituation. Var går gränsen? Sara Johansson: – Det beror på. Men om det du rapporterar bara rör dina egna anställningsförhållanden – till exempel konflikter, löner eller schema – då är det inte ett visselblåsarärende. Allmänintresse betyder att missförhållandet ska angå en vidare krets, alltså allmänheten. Om det bara handlar om dig själv eller ditt arbetslag så är det inte allmänintresse i lagens mening. Intervjuare: Om en organisation får in ett ärende som är allvarligt, men inte bedöms vara av allmänintresse – vad gör man då? Sara Johansson: – Det vanligaste vi ser är att organisationen ändå tar frågan vidare, men hanterar den då inte som ett visselblåsarärende. Man behandlar den istället som ett tips, vilket innebär att ärendet flyttas från visselblåsarfunktionen till ordinarie verksamhet. Skillnaden är att visselblåsarfunktionen har strikt sekretess och ett särskilt arbetssätt. När ärendet hanteras som ett tips anonymiseras informationen, men den hanteras öppet inom organisationen. ### Hur påverkas skyddet för den som rapporterar? Intervjuare: Spelar det någon roll för skyddet om det inte är ett visselblåsarärende? Sara Johansson: – Ja, det gör det. När ett ärende inte omfattas av visselblåsarlagen försvinner också det lagstadgade skyddet för rapportören. Men många organisationer väljer att ändå erbjuda ett förstärkt skydd – till exempel om någon rapporterar brott mot interna policyer. Det är viktigt att tydliggöra när skyddet gäller enligt lagen och när det är ett frivilligt utökat skydd från arbetsgivaren. Det handlar i grunden om att bygga förtroende för kanalen. Intervjuare: Har lagstiftaren eller domstolarna klargjort hur man ska tolka begreppet allmänintresse? Sara Johansson: – Lagstiftaren har satt gränserna i lagtexten, men praxis är fortfarande begränsad. Ett avgörande från Arbetsdomstolen sommaren 2024 är dock mycket intressant. Domstolen slog fast att den som visselblåser måste kunna visa att det finns ett allmänintresse för att skyddet ska gälla. Det räcker alltså inte att du trodde att det var av allmänintresse – du måste kunna bevisa det i efterhand. Det här förskjuter bevisbördan och kan göra det svårare för personer att våga rapportera. Intervjuare: Det låter som att man gör det svårt för visselblåsaren på det här sättet. Är det rimligt? Sara Johansson: – Det är en svår fråga. Vi som arbetar med det här varje dag brottas också med gränsdragningen. Om ens jurister ibland tvekar, då är det orimligt att kräva att någon som visselblåser för första gången ska kunna göra en perfekt bedömning. Det finns alltså mycket kvar att diskutera kring allmänintresse och visselblåsarskydd. Om ni vill veta mer eller diskutera hur ni kan hantera dessa frågor i er organisation – kontakta oss på Lantero.

Från juni 2025 gäller EU:s tillgänglighetsdirektiv fullt ut. För kommuner och offentliga aktörer innebär det att digitala tjänster måste vara tillgängliga för alla – oavsett förutsättningar. Men hur ska man ta sig an uppgiften i praktiken? Tillgänglighet är inte något man gör en gång för alla i form av ett projekt. Det är ett löpande arbete som kräver struktur, prioriteringar och långsiktigt ansvar. För att komma igång på rätt sätt behöver man ta flera steg – från att skapa en tydlig bild av nuläget, till att bygga rutiner och kompetens i hela organisationen. Här går vi igenom fem centrala delar som kan fungera som vägledning. ### 1. Förstå nuläget Det första steget är att skapa en tydlig bild av var ni står idag. Genom att inventera era digitala tjänster – till exempel webbplatser, appar och e-tjänster – får ni en grund att bygga vidare på. Här handlar det om att identifiera både styrkor och brister i tillgängligheten. * Lista alla digitala kanaler ni erbjuder. * Använd automatiska testverktyg för att snabbt fånga upp grundläggande problem. * Komplettera alltid med manuell granskning, eftersom upplevelsen för användarna inte går att mäta fullt ut med enbart teknik. ### 2. Prioritera insatserna När ni har en överblick är nästa steg att bestämma vad som ska åtgärdas först. Alla tjänster behöver på sikt vara tillgängliga, men det är klokt att börja med de delar som har störst påverkan för användarna. Det gäller både vilka specifika tjänster som har störst betydelse och den funktionalitet inom olika tjänster som är särskilt viktig. Genom att först fokusera på de mest kritiska tjänsterna skapar ni direkt värde för medborgare, kunder och andra intressenter. Målet är att nå full tillgänglighet, men vägen dit blir mer effektiv om ni tar det steg för steg. ### 3. Skapa rutiner och ansvar Tillgänglighetsarbetet måste vara en naturlig del av vardagen, inte en engångsinsats. Därför behöver ni bygga in rutiner, struktur och fördela ansvar i organisationen. Ställ er frågor som: Vem testar nya funktioner före lansering? Hur säkerställer ni regelbunden uppföljning? Och vem rapporterar status till ledningen? * Utse en tydlig tillgänglighetsansvarig. * Sätt upp en plan för årliga granskningar. * Dokumentera arbetet och skapa rapporter som kan följas upp i ledningen. ### 4. Involvera användarna Det mest värdefulla ni kan göra är att låta verkliga användare testa era tjänster. Automatiska tester och verktyg har sin plats, men de kan aldrig fullt ut ersätta den upplevelse som uppstår när människor med olika behov och förutsättningar använder era tjänster i praktiken. Användartester ger insikter som gör det möjligt att både hitta problem och utveckla lösningar som verkligen fungerar. ### 5. Säkerställ kompetens i hela organisationen Tillgänglighet kan inte läggas på en enskild person eller funktion – det måste vara en del av hela organisationens arbete. Det innebär att utvecklare, redaktörer, projektledare och chefer behöver utbildas och få verktyg för att ta ansvar. Tillgänglighet bör betraktas som en kvalitetsfråga. Precis som säkerhet, prestanda och design är det en aspekt som behöver finnas med i alla digitala projekt och tjänster. ### Slutsats EU:s tillgänglighetsdirektiv innebär en stor förändring för många organisationer. Samtidigt är det också en möjlighet att höja kvaliteten på digitala tjänster och skapa bättre upplevelser för alla användare. Genom att inventera nuläget, prioritera de viktigaste insatserna, etablera rutiner, involvera användarna och bygga kompetens i organisationen kan ni ta ett stort steg mot att uppfylla kraven – och samtidigt stärka er verksamhet.

Vi samtalar med Joakim Karlén om informationssäkerhetspolicyn – ett grundläggande dokument inom cybersäkerhetsarbetet, men som ofta förbises i mindre verksamheter. Intervjuare: Vad menar vi egentligen med en informationssäkerhetspolicy, och varför är det här något som är viktigt även för lite mindre bolag? Joakim Karlén: – En informationssäkerhetspolicy är ett dokument som beskriver vilka regler, ansvar och roller som gäller i organisationen när det handlar om informationssäkerhet. Den kan vara ganska detaljerad, men också mer översiktlig – det viktiga är att den sätter ramen för hur informationssäkerheten ska fungera i bolaget. Intervjuare: Om man inte har en informationssäkerhetspolicy på plats – vilka risker finns då? Joakim Karlén: – Den största risken är att medarbetarna inte vet vad som gäller. De vet inte vilken roll de själva har, eller vilket ansvar de bär för att upprätthålla en hög informationssäkerhet. Det leder till otydlighet och i förlängningen till större sårbarhet i verksamheten. Intervjuare: Kan du ge ett exempel på vad en informationssäkerhetspolicy kan innehålla i praktiken? Joakim Karlén: – Ett enkelt exempel är hur man hanterar lösenord. Får man ha egna lösenord, eller måste man använda tvåfaktorsautentisering? Det är en typisk regel som ofta finns med, och som påverkar alla anställda i vardagen. Intervjuare: Hur gör man för att se till att policyn inte bara blir en pappersprodukt? Joakim Karlén: – Det är jätteviktigt att gå igenom innehållet med alla anställda – både vid nyanställning och löpande. Man måste utbilda personalen i vad som står i policyn och varför. Och sedan måste man leva som man lär – följa det som står. Annars får policyn ingen faktisk effekt. Intervjuare: Om man är en liten organisation och vill börja ta tag i informationssäkerhetsfrågorna – var börjar man? Joakim Karlén: – Först och främst behöver man ha koll på sin egen verksamhet. Vilka system använder ni? Vilka tillgångar har ni? Det är grunden. Sedan finns det mycket bra hjälp att få – färdiga mallar och exempel att utgå ifrån. Mitt råd är: börja inte från noll, utan utgå från ett beprövat exempel. På Lantero har vi utvecklat ett metodstöd för cybersäkerhetsarbete, där exempel på informationssäkerhetspolicyer och andra nyckeldokument ingår. – Ni är varmt välkomna att höra av er till oss om ni vill arbeta vidare med frågorna. Vi kan hjälpa till att sätta en plan och struktur för hur arbetet med informationssäkerhet kan se ut framåt. ## Sammanfattning En informationssäkerhetspolicy är inte bara ett dokument för byrålådan – det är en levande del av organisationens säkerhetsarbete. Genom tydliga regler, utbildning och ett systematiskt arbetssätt kan även mindre bolag höja sin cybersäkerhet markant.