Blogg

I ett samtal med säkerhetsexperten Joakim Karlén diskuterar vi riskhantering och riskanalys inom ramen för arbetet med cybersäkerhet i mindre organisationer. Nedan följer en redigerad och något nerkortad version av samtalet. Vi på Lantero hjälper våra kunder att strukturera arbetet med lagar, regelverk och komplexa teman.
Idag ska vi tala om cybersäkerhet och specifikt om riskhantering eller -bedömningar. Med oss har vi Joakim Karlén, som har mångårig erfarenhet inom området. Fråga: Joakim, vad är det som gör riskbedömningar, riskhantering och riskanalys till en så viktig del av arbetet med cybersäkerhet?
Joakim: Det handlar om att riskbedömningar gör oss proaktiva. När man genomför en riskbedömning tittar man framåt och identifierar vad som kan hända, istället för att bara reagera på det som redan har inträffat. På så sätt blir riskbedömningen ett avgörande verktyg för att ligga steget före. Fråga: Vad består en riskbedömning av när det gäller informationstillgångar?
Joakim: Det är en process. Först behöver man ha identifierat sina informationstillgångar. Därefter samlas man i en grupp och går igenom varje tillgång för att identifiera både sannolika och mindre sannolika risker. Sedan värderar man riskerna. Fråga: Finns det ett etablerat sätt att mäta riskerna, eller skiljer det sig åt mellan olika verksamheter?
Joakim: Det finns skillnader, men i grunden gör de flesta på samma sätt. Man bedömer sannolikheten för att en risk ska inträffa, och man bedömer konsekvensen om den inträffar. Multiplicerar man dessa värden får man ett samlat riskvärde för varje tillgång. Fråga: Och praktiskt, hur används detta i arbetet?
Joakim: Ofta sker det i form av ett möte. Man har sin inventarielista över tillgångar och går igenom dem tillsammans med personer som har kunskap inom området. För varje tillgång listar man riskerna, bedömer sannolikheten och konsekvensen. På så sätt får man en strukturerad riskbild. Fråga: Vilka vanliga misstag ser du i det här arbetet?
Joakim: Det vanligaste är att man inte har rätt personer i rummet, eller att man inte vågar ta hjälp när man saknar den kompetens som krävs. Vi på Lantero arbetar med att strukturera den här typen av processer och har verktyg som hjälper organisationer att skapa en tydlig överblick över cybersäkerhetsarbetet. Har ni frågor om det här området eller vill titta närmare på våra mallar och exempel, är ni varmt välkomna att höra av er till oss. Stort tack för att ni har tittat!

I ett samtal med säkerhetsexperten Joakim Karlén diskuterar vi tillgångsförvaltning och hur ett sådant arbetet är en bra grund i ett strukturerat arbete med cybersäkerhet. Nedan följer en redigerad och något nerkortad version av samtalet. Fråga: Vad innebär tillgångsförvaltning inom cybersäkerhet?
Joakim: I grunden handlar det om att ha ett bra register över sina tillgångar – ett uppdaterat och etablerat dokument som visar vad organisationen behöver skydda. Fråga: Så det handlar om att göra en inventering? Vad ska man ta med i registret?
Joakim: Man ska identifiera vilken typ av tillgångar som finns: hårdvara, databaser och viktiga system. Alla dessa ska listas. Sedan anger man vem som är ansvarig för respektive tillgång, var den finns och vilken betydelse den har. Fråga: Hur stor behöver en organisation vara för att detta ska bli relevant?
Joakim: Det varierar mycket, beroende på hur mycket IT-utrustning och informationskällor man har. Även små organisationer kan ha många tillgångar. Men när man börjar närma sig 10–20 anställda, där alla har en dator och en telefon, då blir det i praktiken nödvändigt att upprätta ett register. Fråga: Vad krävs för att genomföra inventeringen? Finns det metoder eller verktyg man bör använda?
Joakim: Det behöver inte vara komplicerat. Det viktiga är att vara noggrann och inte missa någon del. Några personer med bra kännedom om organisationens IT sätter sig ner och gör en första lista – till exempel i ett Excelark eller en enkel mall. Fråga: Hur används registret sedan?
Joakim: Det blir en grund för riskbedömningen. Då kan man avgöra vilka tillgångar som är mest kritiska och behöver starkast skydd, och vilka som är mindre känsliga. Fråga: Finns det något som organisationer ofta glömmer när de gör ett sådant register?
Joakim: Ja, mobiltelefoner. De ses ibland som personliga prylar, men de är ofta kopplade till känsliga system och innehåller viktig information. Därför måste de tas med. Avslutningsvis: Lantero samlar mallar och exempel i vårt verktyg, vilket hjälper till att strukturera arbetet med cybersäkerhet och skapa överblick. Har ni frågor kring detta är ni varmt välkomna att kontakta oss. Tack för att ni tittade!

I juni 2025 kom en dom från Kammarrätten i Göteborg gällande ett överklagande om sekretess kring e-post gällande visselblåsarutredningar. Den klagande hade begärt att få ta del av handlingar kopplat till ett visselblåsarärende. De handlingar som det gällde var dialog via e-post mellan en handläggare på kommunens interna visselblåsargrupp och den externa leverantör (Lantero). Den externa leverantören har som uppdrag att assisterade kommunens interna grupp i deras bedömningar av inkomna rapporter. En av rättsfrågorna som behandlades var om dessa e-post kunde anses vara offentlig handling eller ej. Den klagande menade att all e-post som skickats mellan den interna utredningsgruppen och utomstående ska registreras och diarieföras och ses som offentlig handling. Kommunstyrelsen å sin sida menade att de meddelanden som det gäller avser ett ärende som inte var slutbehandlat. Överklagandet avslogs av Kammarrätten som bland annat argumenterade att Lantero AB inte är en självständig part i sammanhanget utan en del i kommunens interna rapporteringskanal (visselblåsarfunktion) i enlighet med lagen (2021:890) om skydd för personer som rapporterar om missförhållanden och att dialogen har skett inom ramen för den funktionen. De aktuella e-postmeddelandena får därmed anses framställda inom myndigheten och är inte allmänna på grund av att de har skickats mellan tjänstemannen i kommunen och anställd vid Lantero AB. Lantero kan konstatera att detta är en enskild dom av Kammarrätten. Det går således inte att förutsätta att andra liknande situationer kommer få samma utfall, men det indikerar att den dialog som sker mellan handläggare på kommunen och extern utredare ses som internt material och inte per definition är att anse som offentlig handling. Samtidigt anser vi att det är bättre att i möjligaste mån undvika dialog kring ärenden via e-post och försöka hantera detta på annat sätt t.ex. direkt i handläggarverktyget som ofta har stöd för detta. Vill du ta del av avgörandet i sin helhet, hör av dig till info@lantero.se

Bisysslor för anställda är något som det finns särskilda skäl att hålla koll på inom det offentliga. Dels kan det ge indikationer på var det finns medvetna försök att missbruka systemen. Dels är det en uppenbar källa till intressekonflikter kopplat till myndighetsbeslut. Formerna för hur man kontrollerar och följer upp bisysslor är inte komplicerade och som med mycket annat gäller det mest att få principer och rutiner på plats. ### Etablera principer När det gäller principer har man som organisation anledning att definiera vad som potentiellt kan vara förtroendeskadliga bisysslor. Det vill säga när en bisyssla kan – eller kan uppfattas – stå i konflikt med objektivt beslutsfattande hos en anställd. Både besluten och det upplevda oberoende spelar alltså roll. En annan princip som naturligt behöver etableras är vilka roller som är känsliga. Det handlar då om vilka beslut som rollen ansvarar för eller fattar. Det kommer normalt sett att röra beslut kopplade till ett tydligt ekonomiskt värde, som bygglov, olika typer av tillstånd eller upphandlingar. ### Sätt rutiner De rutiner som behöver specificeras kan vara när man gör kontroller, hur det görs, vad som ska anmälas och vem som fattar beslut. Förslagsvis gör man kontroller i samband med anställning, vid medarbetarsamtal och kanske någon typ av löpande stickprov. Men det kan också finnas andra tillfällen som är lämpliga utifrån verksamhetens art eller andra särskilda omständigheter. Utgångspunkten är normalt sett att bisysslor ska anmälas av den anställda, men det behöver finnas etablerade former för hur man som organisation gör aktiva kontroller och det behöver finnas regler för vad som diarieförs, sparas och kanske till och med delas med utvalda delar av organisationen. Det måste vara tydligt vilka bisysslor som ska anmälas och vem som fattar besluten. ### Ta hjälp av andra I vanlig ordning kan man ta hjälp av andra som redan gjort arbetet. Utgå från befintliga checklistor, styrdokument och rutiner när ni sätter upp det för er organisation. Har man en mer ambitiös agenda så kan man titta på kommuner eller myndigheter som ligger särskilt långt fram på området. Men för många är det mer relevant att titta på förlagor från närliggande kommuner eller snarlika myndigheter. Lantero samlar bra exempel i vår tjänst FraudFinder, men det kan för många vara nog så enkelt att prata med befintliga kontakter i grannkommunen eller motsvarande. Som vanligt uppskattar vi på Lantero både tankar, synpunkter och förslag på bra exempel som vi skulle kunna lyfta fram i våra kontakter med den offentliga sektorn.

Visselblåsarkanalen är ett tema som har betydelse för stora delar av såväl företag som myndigheter. Inom kommunsektorn finns det närliggande verktyg i de tipskanaler där allmänheten kan rapportera om övertramp och missbruk av välfärdssystemen. Den uppenbara skillnaden är alltså att visselblåsarkanalen riktar sig mot anställda och handlar om arbetsrelaterade missförhållanden, medan tipskanalen för allmänheten handlar om utomståendes missbruk av systemen. Exempelvis observationer kring hur individer eller företag får stöd på felaktiga grunder eller bedriver verksamhet som är oförenlig med de regler som gäller inom kommunen. ### Möjliggörare på insidan När anställda rapporterar om observationer om välfärdsrelaterade missförhållanden så är det ofta ärenden av en särskild betydelse, eftersom det då kan vara tal om ett systematiskt bedrägeri som möjliggörs av någon på insidan. Det vill säga problematik som närmar sig det systemhotande.. När det sedan kommer till handläggningsarbetet så står visselblåsartjänsten normalt sett på egna ben och i de flesta fall finns det sedan länge en etablerad rutin för hanteringen. Från perspektivet välfärdsbrott bör man hur som helst se till att visselblåsarteamet är införstått med hur arbetsrutinerna ser ut kring uppföljning av välfärdsbrott specifikt. Kontakter bör etableras och förväntningar kring samverkan utformas och dokumenteras. ### Vad faller utanför ramen för visselblåsarkanalen? Särskild uppmärksamhet bör fästas vid ärenden som riskerar att falla utanför ramen för visselblåsarärenden, men som indikerar överträdelser som kan vara en del av en större bild, med systematiserade missbruk av välfärdssystemen. ### Löpande fortbildning Här kan det finnas skäl att säkerställa att det finns ett löpande samarbete mellan handläggargrupperna. Dessutom bör man ha en plan med fortbildning och information kring utvecklingen på området välfärdsbrott. I vissa fall kan grupperna som hanterar tips från allmänheten respektive visselblåsarärenden sammanfalla. Samma – eller delvis samma – personer ingår då i handläggarteamen. Men om så inte är fallet bör man istället etablera forum där det finns en etablerad kontakt med löpande avstämningar.

Lantero arrangerar ett webinarium om så kallade möjliggörare i offentliga verksamheter. Webinariet går av stapeln den 9 september, kl 15.00 och kommer att ta maximalt 45 minuter.
### Om upplägget Riskbefattningar och riskområden är nyckelbegrepp för att kunna arbeta effektivt för att minska riskerna för möjliggörare åt kriminella och otillåten påverkan inom din organisation. Hur ska man tänka? Finns det konkreta, enkla steg att ta? Är detta vägen fram mot ändamålsenliga bakgrundskontroller? Vi får besök av Catharina Lindstedt, Senior rådgivare, utbildare och föreläsare inom otillåten påverkan och möjliggörare åt organiserad brottslighet. Catharina ger oss konkreta tips och intressanta tankar. ### Anmälan Anmäl dig här.

Infiltration av kommuner har blivit ett allt vanligare sätt för kriminella att påverka bidragsbeslut och systematisera välfärdsbrott. Genom att etablera bakgrundskontroller vid rekrytering är det möjligt att minska risken att få in olämpliga personer på centrala positioner i kommunen. ### Tjänster med högt skyddsvärde De tjänster som främst är aktuella när det gäller att etablera bakgrundskontroller är tjänster med ett så kallat högt skyddsvärde. Exempel på det är tjänster med beslutanderätt över utbetalningar, tillsättningar eller upphandlingar, eftersom en olämplig person på en sådan tjänst kan innebära stora risker och betydande kostnader för kommunen. ### Frågor att förhålla sig till En mängd frågor aktualiseras när man som kommun ska etablera rutiner på området: - Bakgrundskontroller innebär potentiella avvägningar kring sekretess då informationen kan vara integritetskänslig. - Insamling av information om kandidater betyder att man kan behöva informera den sökande om hanteringen och samla in samtycke till de kontroller som görs. - Processen behöver dokumenteras på ett tydligt sätt. - Olika delar av förvaltningen kan beröras av ett och samma rekryteringsärende, vilket betyder att information kan behöva delas mellan avdelningar. Det måste finnas en tydlighet kring hur det ska göras. - Arbetet kan ofta underlättas av att man har en välfungerande samverkan med Polisen eller andra myndigheter. Hur man förhåller sig till frågorna varierar, men det finns all anledning att adressera de olika aspekterna. ### Praktisk rutin En praktisk rutin för hur bakgrundskontroller ska genomföras kan med fördel utgå från andra, jämförbara kommuners befintliga upplägg. Några ramar som ofta ingår i en sådan rutin är: - Identifiering, med åtföljande kontroll av medborgarskap och arbetstillstånd - Referenstagning, där man stämmer av uppgifterna med en tredje part - Utdrag ur Polisens belastningsregister - Kontroll av sociala medier Det finns ingen exakt gräns för vilka roller som faller inom ramen för vem som bör kontrolleras eller exakt hur rutinen för bakgrundskontroller bör utföras. Det viktiga är att upprätta principer att utgå från för att sedan kunna göra uppdateringar eller anpassningar utifrån de erfarenheter man gör samt observationer från det övergripande arbetet mot välfärdsbrott.

Maskning med hjälp av AI är ett hett tema. Kommuner och myndigheter belastas i många fall hårt av de krav som gäller vid utlämnande av allmän handling, ett arbete som är tråkigt, tidskrävande och som innebär stora risker. Sedan Lantero lanserade tjänsten Redact har vi fått en del frågor på temat integritet och sekretess. Vi ska kort bemöta några av dem och ge lite bakgrund om de teknologival som har gjorts. ### Deskriptiv vs. generativ AI Den första frågan gäller betydelsen av att arbeta med deskriptiv snarare än generativ AI. Den deskriptiva AI-teknologi vi använder är utformad för klassificering, sortering och för att skapa en bra struktur i filer eller mejl, inte minst vad gäller personuppgifter. AI:n hittar och strukturerar den data som finns, till skillnad från generativ AI, som ser mönster och skapar nytt material utifrån vad den tror att mottagaren vill ha. ### Träningsdata När generativ AI tränas så blir träningsdatan snabbt en känslig fråga, eftersom förmågorna bygger på att kunna reproducera det som den har tränats på. Vilket i sig skapar behov av att veta var datan kommer från och att man har relevanta medgivanden. Lanteros tjänst är tränad på att identifiera och klassificera specifikt er data i er miljö. I det som skickas till oss för träning av modellen har känslig information ersatts av anonym anoteringskod. ### Dataminimering och kontroll Lantero utgår från principen att vi bara ska hantera precis den data vi behöver för att skapa det underlag och den struktur som krävs för regelefterlevnaden. Generativ AI däremot, bygger på stora mängder data, vilket på motsvarande sätt ökar riskerna och attackvektorerna. ### Kontakta oss för mer information Det här är några av de vanliga frågor vi möter från kunder. Men det finns förstås mycket annat som kan behöva förklaras närmare. Vi tar gärna de diskussionerna, så hör av er om något är otydligt eller om ni vill ta en diskussion om hur Lantero Redact skulle kunna fungera i er organisation.

Personlig assistans är en typ av stöd som ges inom ramen för LSS, lagen om stöd och service till vissa funktionshindrade. Eftersom det handlar om stöd till en särskilt utsatt grupp kan stödbehoven vara betydande och lagen är utformad för att kunna möta sådana exceptionella behov. ### Alltför goda förutsättningar för fusk Utmaningen är förstås att generösa system också ger förutsättningar för missbruk. Personlig assistans har därför blivit ett område där både individer och kriminella organisationer tjänar stora pengar på att blåsa upp eller hitta på behov för att kunna söka stöd enligt Personlig assistans-reglerna. Möjligheterna till fusk har stärkts genom att kontrollerna och uppföljningen historiskt sett varit ganska svaga. Det har funnits ett reflexmässigt motstånd mot för strikta kontroller av särskilt utsatta människor, vilket med tiden har utnyttjats alltmer. Nu går utvecklingen mot att systemen stramas upp, med striktare kontroller och uppföljningar. Inte minst för att långsiktigt kunna säkra stödet till de individer som systemen från början var tänkta att hjälpa. ### Gott om kunskap som utgångspunkt Kunskapen om vilka fuskmetoder som används blir allt bättre. Det finns stödmaterial från myndigheter, etablerade metoder och goda exempel att luta sig emot när man upprättar sina kontrollrutiner. Några typiska sätt att fuska är: - Falska tidrapporter – Att redovisa timmar som aldrig har utförts, exempelvis genom falska tidrapporter och ibland samordnat mellan assistent och brukare. - Påhittade behov – Man blåser upp eller hittar på vårdbehov, ofta styrkt med falska läkarintyg. - Anhöriga som assistenter – Man använder nära anhöriga som assistenter för att maskera verkliga förhållanden. - Komplexa upplägg – Assistansbolag lämnar in vilseledande uppgifter till Försäkringskassan eller kommunen som en del av en mer komplex manipulering av systemet. ### Strukturerat myndighetssamarbete Samordningen mellan kommuner och myndigheter som Försäkringskassan, Polisen och IVO är central. När man har etablerade kontakter och arbetsformer ökar förutsättningarna att hjälpas åt med effektiva kontrollinsatser. Som kommun kan man börja med att ta del av myndigheternas stödmaterial, men det viktigaste är att upprätta kontakter och fasta rutiner för samverkan. ### Tips från allmänheten Det kan också vara värdefullt att etablera möjligheter för medborgare att tipsa om välfärdsfusk. Kontroller vid ansökningar eller löpande uppföljningar kommer aldrig att fånga upp allt fusk och då är det värdefullt att kunna få in observationer eller underlag från allmänheten, så att man kan göra fördjupade kontroller. Läs gärna vårt inlägg som handlar specifikt om tipskanaler för allmänheten.

Lantero intervjuade under Almedalsveckan Ulrika Engelbrektsson, som är brottsförebyggande samordnare i Uddevalla kommun. Ulrika berättade om sitt arbete, vilka de största utmaningarna är när det gäller att komma igång och några erfarenheter där man varit särskilt starka. Nedan följer en redigerad transkribering av intervjun: Vad är högst prioriterat i Uddevalla just nu inom arbetet mot välfärdsbrottslighet? Som jag ser det handlar det om att samordna arbetet. Vi gör mycket bra redan – våra förvaltningar har stor kunskap och engagemanget finns. Men vi saknar en gemensam grund och en person som håller ihop arbetet. I dag jobbar vi i parallella spår, utan gemensam riktning. För att bli effektiva behöver vi en tydlig samordning. Vilken är den största utmaningen inom området just nu? Jag skulle säga att det är arbetet med felaktiga utbetalningar. Vi har i nuläget en person som jobbar med det, och han gör ett fantastiskt jobb. Men det är ett stort område, och det behövs fler. Även på upphandlingsenheten finns stor vilja och många bra initiativ. Men något som återkommer är frustrationen över att man inte vet vad nästa steg är. Finns det checklistor? Hur delar vi information? Hur underlättar vi för förvaltningarna? Det saknas strukturer som kan stötta det praktiska arbetet. Det här borde vara ett arbete som finansierar sig självt – vad är det som hindrar er från att satsa mer resurser på det? Vi har relativt nyligen tillsatt en person på området, så det är fortfarande nytt. Men nu när vi börjar se vinsterna av arbetet, både ekonomiskt och verksamhetsmässigt, tror jag att resurserna kommer. Det gäller att vi är tydliga och att vi lyfter frågan politiskt. Samverkar ni med grannkommuner i det här arbetet? Ja, det gör vi. Trollhättans kommun har kommit längre än vi och vi har en god samverkanskultur sedan tidigare. Men även där finns inte alltid en tydlig struktur. Trollhättan har en samordnare – det har inte vi. Samverkan bygger mycket på att enskilda medarbetare tar kontakt med motsvarigheter i andra kommuner. Vi behöver tänka mer strategiskt kring hur vi kan hjälpas åt, dela kunskap och bygga gemensamma arbetssätt. Hur prioriterar ni mellan olika aktiviteter inom området? Vi behöver börja med en kartläggning. Vad gör vi i dag? Hur ser det ut i kommunen? Med en tydlig bild kan vi analysera vad som fungerar och var bristerna finns. Jag tror att vi har en bra grund att stå på, men det är inte dokumenterat på ett sätt som gör det enkelt att använda i utvecklingsarbetet. En sådan kartläggning hjälper oss att se vilka grupper som behöver mer kunskap, och vilka som kan jobba vidare med de resurser och insikter vi redan har. Finns det någon person du vill lyfta fram som inspiratör inom arbetet mot välfärdsbrottslighet? Jag vill lyfta Christina Kiernan. Hon har verkligen varit en nyckelperson i att sprida information och göra det möjligt för oss ute i kommunerna att komma igång. Hon erbjuder konkreta föreläsningar, är tillgänglig för frågor och har byggt upp nätverk där vi kan hämta kunskap. Det arbete hon gör är otroligt värdefullt. Avslutningsvis – stort tack för att du delade med dig, Ulrika. Tusen tack!