Regelefterlevnad – Digitala verktyg och personligt stöd

Den 6 november höll Lantero ett webinarium för kommunkunder. Här sammanfattas webineriet och de frågeställningar som togs upp och diskuterades.
Hela seminariet kan också ses on demand här. 1. Hantering av speciella jävssituationer och överlämning till ordinarie verksamhet 2. Hantering av sekretess vid begäran av allmän handling och lärdomar från avgöranden vid överklagan till kammarrätterna. 3. GDPR-hänsyn vid överlämning av information till fortsatt utredning utanför visselblåsarorganisationen 4. Allmänintresset, hur bedöms det? Är oegentligheter i kommunal verksamhet alltid allmänintressanta?
## Jävssituationer Det är inte ovanligt att högre ledning är utpekade i visselblåsarärenden och att en jävssituation uppstår. Extern utredning kan då vara nödvändig.
En grundprincip för bedömningen kring jäv är att om det för en utomstående kan uppfattas att det är olämpligt att utredning sker av kollega så föreligger jäv enligt 16 § 4:e punkten i förvaltningslagen. Eftersom förtroendet för visselblåsarfunktionen är av stor vikt för organisationen så räcker delikatessjäv för att man skall överväga extern utredning. Ytterligare en utmaning som ofta föreligger vid utredning är att det inte är självklart hur förslagen på åtgärder lämnas över till ordinarie organisation ifall det är den högsta ledningen som är utpekad. I exemplet med en kommundirektör som utretts av en extern utredare, kan kommunstyrelsen vara ett för brett forum som mottagare, eftersom kravet på organisationen att inte röja visselblåsarens identitet är starkt. I ett sådant fall är förmodligen kommunstyrelsens ordförande ett bättre förslag. Här behöver man vara situationsanpassad och väga behovet av att mottagaren kan genomföra förslagen mot behoven av att skydda de inblandade parterna. Vi på Lantero är gärna bollplank för er kring olika handlingsalternativ. ## Sekretess och begäran av allmän handling Det är mycket vanligt med begäran av allmän handling för kommunen. Lagstödet är relativt tydligt i offentlighets- och sekretesslag (2009:499) (OSL) och i lag (2021:890) om skydd för personer som rapporterar om missförhållanden (visselblåsarlagen). ### Lite kort om lagstiftningen 17 kap. 3 b § OSL lyder: ”Sekretess gäller i ett ärende om uppföljning enligt lagen (2021:890) om skydd för personer som rapporterar om missförhållanden, för uppgift som kan avslöja identiteten på en annan enskild än den rapporterande personen, om det kan antas att syftet med uppföljningen motverkas om uppgiften röjs.” I 32 kap. 3 b § OSL kan man läsa: “Sekretess gäller i ett ärende om uppföljning enligt lagen (2021:890) om skydd för personer som rapporterar om missförhållanden,…” Vad ett ärende om uppföljning är finns beskrivet i 1 kap. 8 § 4 pkt. visselblåsarlagen:
” uppföljningsärende: ett ärende som består i att: - via en intern eller extern rapporteringskanal ta emot en rapport och ha kontakt med den rapporterande personen, - på något annat sätt inom en myndighet som är skyldig att ha externa rapporteringskanaler ta emot en rapport som har varit avsedd för rapporteringskanalerna och vidarebefordra den till någon som är ansvarig för att ta emot rapporten, - vidta åtgärder för att bedöma riktigheten i de påståenden som framställs i rapporten, - överlämna uppgifter om de utredda påståendena för fortsatta åtgärder, och - lämna återkoppling om uppföljningen till den rapporterande personen.” ### Tolkning Sekretess gäller alltså för hela ärendet, inklusive den dokumentation som handläggningen genererar.
Sekretessen gäller “…för uppgift som kan avslöja identiteten på en annan enskild än den rapporterande personen, om det kan antas att syftet med uppföljningen motverkas om uppgiften röjs.” enligt 17 kap. 3 b § OSL och “1. för uppgift som kan avslöja den rapporterande personens identitet, och 2. för uppgift som kan avslöja identiteten på en annan enskild, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.” enligt 32 kap. 3 b § OSL. Den ursprungliga rapporteringen från uppgiftslämnaren, eventuella bilagor och utredningsdokument från interna eller externa utredare är exempel på information som är en del av ett ärende om uppföljning enligt lagens mening. Dessutom gäller sekretessen för visselblåsaren också alltid vid överlämning till den ordinarie verksamheten eftersom man inte behöver göra en risk-bedömning för skada när man gör sekretessbedömningen enligt kap 32 kap. 3 b § OSL.
En frågeställning finns kring om den ursprungliga rapporteringen anses vara ett ärende om uppföljning om det visar sig att ärendet inte uppfyller kravet på allmänintresse eller att vara arbetsrelaterat. Vår bedömning är det är rimligt att sekretess gäller även i detta fall, eftersom visselblåsaren inte kan förutse ifall ärendet kommer anses ha allmänintresse eller inte. En sådan visselblåsare bör åtnjuta samma skydd från att få sin identitet röjd som den vars ärende bedöms ha allmänintresse att det utreds. Detta ligger i linje med det grundläggande syftet med lagen, nämligen att skydda den som rapporterar om oegentligheter. ### Läs mer här Ett längre blogginlägg finns här: https://www.lantero.se/blog/raettslaeget-kring-begaeran-om-allmaen-handling-fran-visselblasaraerenden där även ett antal avgöranden från kammarrätten analyseras. ## GDPR-hänsyn vid överlämning av ärenden för vidare utredning Persondata får hanteras i visselblåsarärenden, så kallade uppföljningsärenden. Ärenden som är bedömda som visselblåsarärenden får även behandlas vidare efter en visselblåsarutredning om själva syftet med behandlingen är samma som för visselblåsarärendet. En fortsatt utredning på grund av ett visselblåsarärende får behandla personuppgifterna. Arkivering är också tillåten som en vidare behandling efter visselblåsarärendet avslutats speciellt för organisationer som verkar enligt offentlighetsprincipen. ### Två specialfall är intressanta: Ärendet avskrivs eftersom det inte anses vara ett visselblåsarärende och det innehåller personuppgifter. Fortsatt personuppgiftsbehandling får då inte ske. Ärendet skall raderas ur visselblåsarsystemet enligt normal rutin och ordinarie organisationen får inte se det. Ärendet avskrivs och innehåller inte personuppgifter. Då finns inga hinder från ett GDPR-perspektiv att lämna över information från ärendet till ordinarie verksamhet.
Märk väl att sekretesskraven i OSL ändå kan gälla i båda dessa fall, speciellt ifall visselblåsarens identitet kan härledas indirekt utifrån innehållet i rapporteringen. ## Bedömning av allmänintresset i offentlig verksamhet Generellt gäller att ett visselblåsarärende skall utredas om det bedöms ha ett allmänintresse. Denna bedömning är inte helt enkel att göra eftersom det inte sällan är flera parametrar som påverkar bedömningen: - Handlar det om ett enskilt personalärenden eller påverkar oegentligheten många personer? - Är högre ledning utpekad eller inte? - Är oegentligheten allvarlig i sig? Ett lagbrott eller en bagatell?
- Antyder rapporten att det finns strukturella problem eller saker som bara hänt en gång? Exempelvis kan ett visselblåsarärende som förvisso handlar om en enskild arbetstagare men där den arbetstagaren arbetar under slavliknande förhållanden komma ha ett högt allmänintresse. Ett ärende där många arbetstagare påverkas men som handlar om dåligt kaffe i kaffeautomaten kan däremot bedömas ha ett litet allmänintresse. Det faktum att oegentligheten rapporteras i en offentlig verksamhet som är finansierad med allmänna medel innebär inte att den automatisk blir allmänintressant. En helhetsbedömning måste alltid göras, där man tar med hushållningen av allmänna medel som en av parametrarna.

På Lantero följer vi noga utvecklingen kring NIS2-direktivet och hur cybersäkerhetskraven kommer att utvecklas för svenska organisationer. Från och med den 18 oktober 2024 skulle NIS2-direktivet ha implementerats i nationell lagstiftning. Men liksom många andra EU-länder dröjer implementeringen något för Sverige. Enligt SOU 2024:18 är en ny cybersäkerhetslag på väg att ersätta den nuvarande NIS-lagen och anpassa Sverige till ramarna i NIS2, men detta kommer inte att träda i kraft förrän i början av 2025. 7 november 2024 EU-kommissionen antar en förordning som specificerar NIS2:s krav för riskhantering och incidentrapportering, vilket etablerar nya ramar för vissa operatörer, inklusive molntjänstleverantörer, DNS-leverantörer och online-marknadsplatser. För operatörer som för närvarande omfattas av NIS-lagen representerar denna period en kritisk övergångsfas, där tidigare NIS-förpliktelser fortfarande gäller, men där man även måste börja beakta NIS2. Ramverket blir nu bredare, särskilt inom riskhantering och incidentrapportering enligt artikel 21 i direktivet. Vem berörs? - NIS2 kommer att bredda omfattningen jämfört med NIS. Direkt berörda grupper kommer nu även att inkludera leverantörer inom sektorer som DNS-tjänster, molntjänster och online-marknadsplatser. - Många företag och organisationer kommer att beröras indirekt i egenskap av leverantörer till direkt påverkade organisationer. I praktiken innebär det att de flesta organisationer måste ta hänsyn till de nya kraven för att kunna konkurrera långsiktigt. Lanteros LawLogic-koncept stöttar företag och organisationer i arbetet med att förstå och förhålla sig till de nya reglerna. Allt från vägledning om praxis till förenklade mallar och checklistor ingår i upplägget, så att ni kan säkerställa risker och minimera risker, utan att sätta externa konsulter i förarsätet. Med de nya reglerna ställer sig många frågan om huruvida de berörs av de nya reglerna, men frågan som borde ställas är snarast hur man berörs. Att man behöver förhålla sig till reglerna torde vara klart och Lanteros verktyg syftar till att göra materien tydlig och strukturerad, så att arbetet kan formuleras i konkreta aktiviteter och påbörjas.

NIS2-direktivet, vilket betyder Network and Information Security Directive, syftar till att stärka cybersäkerheten och motståndskraften mot cyberhot inom EU. Direktivet är en uppdatering av det tidigare NIS-direktivet och tar en rad nya steg för att öka kraven på företag och offentliga institutioner som hanterar kritisk infrastruktur eller viktiga tjänster. ### Påverkan på företag - Ökade kostnader: Företag kommer behöva investera mer i cybersäkerhet, inklusive teknik, utbildning och personal, för att uppfylla de nya kraven. - Större fokus på riskhantering: Cybersäkerhet måste integreras i företagets övergripande riskhanteringsprocess, och företagen måste vara förberedda på både att upptäcka och hantera cyberattacker snabbt. - Ökat tryck på leverantörer: Eftersom företag också ansvarar för sina leverantörers säkerhet, kan detta sätta press på hela leveranskedjan att implementera strikta säkerhetsåtgärder. Vid första påsyn kan NIS2 uppfattas som en angelägenhet för ett visst segment av näringsliv och offentlig förvaltning, men den troligaste effekten är att hela samhället lyfter nivån inom cybersäkerhet. Det beror dels på att berörda organisationer och företag behöver ha koll på sina leverantörer, men också för att den allmänna "hygiennivån" lär höjas och acceptansen för säkerhetsbrister generellt blir svårare att motivera. ### Utökad tillämpning Jämfört med den ursprungliga NIS-lagstiftningen kommer tillämpningen att utökas och omfatta flera områden. Förutom energi, transport, finans och hälsosektorn omfattas nu även: - Tillverkning av kritiska produkter (kemikalier, livsmedel) - Posttjänster och avfallshantering - Digitala tjänster (inklusive molntjänster, datacenter) - Rymdsektorn Vissa mindre företag som tidigare var undantagna kan också komma att inkluderas beroende på storlek och betydelse för samhällskritiska funktioner. ### Specifika krav Säkerhetskraven kommer generellt att bli hårdare, med konkreta krav inom riskhantering, säkerhetsövervakning, incidenthantering och att regelbundet genomföra sårbarhetsbedömningar. Vidare finns det en ambition om mer samordning på samhällsnivå när det gäller rapportering av incidenter. Därför ställs krav på formerna för rapportering från företag, inklusive vad som har gjorts för att hantera incidenten. Kraven backas upp med risk för betydande böter för det företag eller den organisation som inte rapporterar i tid. Bötesnivåerna kan likna de nivåer som tillämpas inom GDPR och steg tas också för att kunna gå på företagsledning och styrelseledamöter personligen. Sammanfattningsvis etableras sanktionsmöjligheter som syftar till att tvinga fram kraftiga och omedelbara insatser för att höja säkerhetsnivån hos alla berörda företag och organisationer. Idén om samordning tas också vidare till annan typ av informationsdelning, så att nationella cybersäkerhetsmyndigheter ska bli bättre på att jobba tillsammans och koordineringen förfinas mellan såväl länder som samhällssektorer.
Sammanfattningsvis är NIS2 en naturlig fortsättning på NIS, med samma underliggande anda, men med avsevärda uppstramningar i tillämpningen. För den som inte sneglat på NIS sedan tidigare och börjat att arbeta med frågorna ligger ett digert arbete i korten för de närmaste åren.