Blogg

Sundsvall, Timrå och Ånge kommuner arrangerade tillsammans med Lantero en temadag om välfärdsbrottslighet den 14 januari. Talare från ett antal olika kommuner och myndigheter delade med sig av sina erfarenheter. Se presentationen från Ekobrottsmyndigheten här I ett avsnitt berättade Sara Persson och Anna Lundström, experter på brottsförebyggande arbete på Ekobrottsmyndigheten, hur kriminella aktörer använder företag för att tömma välfärden på pengar, vilket är en av de mest akuta utmaningarna för det svenska samhället idag. Beräkningar visar att så mycket som mellan 100 och 150 miljarder kronor läcker ut från vårt välfärdssystem varje år. Detta motsvarar betydande resurser som kunde ha gått till skola, sjukvård och äldreomsorg. ### Företag ett allt vanligare verktyg för kriminella I seminariet uppmärksammades att 80 procent av högriskaktörerna inom den organiserade brottsligheten i Europa använder företag i sina brottsupplägg. Väldigt ofta finns det också systematisk penningtvätt och korruption som delar av uppläggen i verksamheterna. Anna Lundström och Sara Persson visade hur vinsterna från oredovisade löneinkomster och felaktiga utbetalningar i absoluta tal överskuggade verksamheter som mer traditionellt förknippas med den organiserade brottsligheten, som bedrägerier och narkotikahandel. ### Varför används företag? Genom att använda företag i de kriminella uppläggen skapas en legal fasad mot både staten, välfärdssamhället, kreditgivare, leverantörer, investerare och allmänheten. Det blir ett sätt att distansera sig från brott och i många fall undvika att bli dömda eller att stå med individuella betalningsansvar. Sammanfattningsvis skapar det helt nya arenor att agera på. Under seminariet redogjordes för hur man rent praktiskt jobbar med historikbolag och bolagsförmedlare för att kunna ta sig friheter och verka i näringslivet. Ofta använder man målvakter och hittar kreativa sätt att tvätta pengar genom att exportera bilar, tvätta pengar via skentransaktioner eller sätta bolag i konkurs. ### Vad kan indikera ett oseriöst företag? När man ska identifiera riskindikatorer så är det bra att undersöka om samma personer som företräder bolaget också byggt bolaget. Byte av verksamhetsinriktning, styrelse och adress simultant är ofta en indikation på att något är fel, liksom en avvikande förändring av bolagets omsättning. Som representant för det offentliga är det ofta en bra idé att undersöka vilka som är företrädare för ett bolag och om det verkar rimligt utifrån den verksamhet som bedrivs. Andra bolagsengagemang bör undersökas och hur dessa skötts. Är de formella företrädarna de som också är de verkliga företrädarna? Det är på det hela taget ett hantverk, där man kan ha betydande hjälp av exempelvis Ekobrottsmyndigheten. ### Exempel på områden för kommuner att agera Som kommun bör man ha särskild koll på bidrag till individer, tillstånds- och tillsynsverksamhet, upphandlingar, mark och lokaler, bidrag till föreningar och fakturahantering. För att upptäcka vad som döljer sig bakom de fina fasaderna behövs ofta en fördjupad kontroll, där man bland annat tittar på F-skatt, moms och arbetsgivaravgifter. Genom att ha ett riskbaserat arbetssätt och förankring inom hela organisationen så blir det möjligt att tillämpa sådan kontroll utan att fastna i omöjlig administration. Särskilda guldgruvor för de kriminella är HVB-hem och andra typer av stödboenden. Vidare finns det ofta upplägg som bygger på utnyttjande av utländsk arbetskraft och mer direkta välfärdsbrott. Under seminariet poängterades betydelsen av att arbeta med rimlighetsbedömningar. ### Strukturer och metoder Genom att ha klara roller och etablera samverkan kan mycket vinnas i arbetet mot den organiserade brottsligheten. Upphandlingar och avtal innehåller sina utmaningar när de etableras, sedan kan det vara helt andra roller som följer upp avtalen eller utför olika typer av kontroller eller utredningar. ### Möjligheter till stöd Sara Persson och Anna Lundström visade på att det finns mycket erfarenhet att ta del av och stöd man som kommun kan få. I det förebyggande arbetet rekommenderades bland annat: https://www.ekobrottsmyndigheten.se/forebygg-arbetslivskriminalitet/ https://www.ekobrottsmyndigheten.se/checklista-undvik-oseriosa-aktorer/ https://www.ekobrottsmyndigheten.se/wp-content/uploads/2022/11/informationsfolder-malvakter.pdf Se presentationen här.

Sundsvall, Timrå och Ånge kommuner arrangerade tillsammans med Lantero en temadag om välfärdsbrottslighet den 14 januari. Talare från ett antal olika kommuner och myndigheter delade med sig av sina erfarenheter. Se Caisa Siikavaaras presentation här. Caisa Siikavaara från Umeå kommun delade med sig av sina erfarenheter kring brottsförebyggande arbete och gav praktiska tips på hur arbetet kan göras effektivt. Bakgrunden är det framgångsrika arbete Umeå kommun har bedrivit på området sedan flera år tillbaka. ### Konsekvenserna av välfärdsbrottslighet Välfärdsbrottslighet innebär inte bara ekonomiska förluster utan också allvarliga konsekvenser för förtroendet för samhällsinstitutioner. När kriminella aktörer utnyttjar systemet undermineras tilliten till att våra gemensamma resurser hanteras korrekt. Detta påverkar såväl medborgare som seriösa aktörer inom näringslivet och skapar en ond cirkel där laglydiga aktörer får svårare att konkurrera. Här spelar det brottsförebyggande arbetet en avgörande roll för att motverka dessa konsekvenser. ### Hur upptäcker vi välfärdsbrottslighet? Seminariet belyste flera metoder för att upptäcka och motverka välfärdsbrottslighet. Ett exempel är aktivt arbete med riskkontroller. Genom att på djupet granska ett bolags företrädare och ekonomi kan varningssignaler identifieras och åtgärder vidtas. Andra lokala tecken som kan indikera ekonomisk brottslighet togs upp, som t.ex manipulerade alkoholtillstånd, årliga aktieägartillskott, personer med näringsförbud som för ett bolags talan, överfakturering av avtal med mera. ### Hur stoppar vi välfärdsbrottslighet? Fyra punkter betonades som nödvändiga för att få bukt med problemen. - Identifiering av verksamheter och roller av särskild betydelse i kommunen - Förstärkta skyddsåtgärder till de verksamheterna och rollerna - Identifiering av säkerhetsrisker i rekryteringsprocessen - Förtydligat uppdrag, Säkerhetsforum som bedömningsstöd. Oavsett metoder är det också centralt att göra rätt från början och att lära sig av problem som uppstår och att säkerställa att de inte sker igen. Seminariet avslutades med budskapet: Öka er egen kunskap om kriminell ekonomi, skapa goda relationer med myndigheter, kommuner i er närhet samt polis och region samt att säkerställs stöd från ledningen. Se presentationen här.

Sundsvall, Timrå och Ånge kommuner arrangerade tillsammans med Lantero en temadag om välfärdsbrottslighet den 14 januari. Talare från ett antal olika kommuner och myndigheter delade med sig av sina erfarenheter. Se Catharina Lindstedts presentation här Catharina Lindstedt från Göteborgs stad berättade om otillåten påverkan och infiltration, vilket är ett stort och växande problem som hon under många år har forskat om och arbetet med. Enligt Catharina Lindstedt är temat en grundbult i kommuners arbete mot välfärdsbrottslighet och för att arbetet ska kunna ske på ett effektivt sätt är ett första steg en ökad medvetenhet om problematiken och hur den rent praktiskt kan arta sig inom kommuner. Genom att förstå hur de kriminella organisationerna fungerar och arbetar blir det möjligt att se mönster och etablera kontroller för att förebygga kända risker. ### Konsekvenserna av välfärdsbrottslighet och otillåten påverkan Välfärdsbrottslighet och otillåten påverkan innebär inte bara ekonomiska förluster utan också allvarliga hot mot demokratin och förtroendet för samhällsinstitutioner. Infiltration gör det möjligt för organiserad brottslighet att styra resurser till egna intressen, vilket underminerar tilliten till att våra gemensamma medel används på ett ansvarsfullt sätt. Medvetenheten om problemen har ökat kraftigt de senaste åren och dessa frågor är numera väsentligt högre prioriterade än tidigare. ### Hur upptäcker vi infiltration och otillåten påverkan? Seminariet nämnde bl.a. tre arbetsområden som är viktiga för att stärka organisationen, företaget eller verksamheten mot otillåten påverkan, infiltration och tystnadskulturer. - Struktur och rutiner - säkerställ tydliga handlings- och åtgärdsplaner för hur ni ska åtgärda era briser - Kunskap och kompetens: säkerställa att organisationen har den kunskap de behöver. - Trygg organisation: Säkerställ att det finns nödvändigt stöd och tydlig kommunikation som skarpar trygghet hos medarbetare.
Utöver detta så belystes vikten av att arbeta med riskidentifiering. Vilka situationer och vilka tjänster kan vara särskilt utsatta? Hur förstärks dessa för att minimera riskerna? För detta arbete finns redan idag bra processtöd och mallar. ### Hur stoppar vi välfärdsbrottslighet genom att motverka infiltration? Infiltration, korruption, trakasserier och utpressning på olika sätt verktyg som driver välfärdsbrottsligheten. För att stoppa välfärdsbrotten måste vi få bukt med dessa. För att lyckas med det krävs en ökad förståelse för hur dessa verktyg fungerar och att kommuner blir bättre på att identifiera var riskerna är störst. Det krävs ett tydligt ställningstagande att arbetsgivaren stöder sina medarbetare och genomför konkreta aktiviteter som t.ex. bättre kontroller vid anställning till nyckelpositioner, utbildning, stödfunktioner, rutiner för anmälan etc. Kommuner bör utveckla särskilda strategier för att skydda anställda som kan utsättas för hot eller påtryckningar. Seminariet avslutades med en tydlig slutsats: kampen mot välfärdsbrottslighet och otillåten påverkan kräver medvetenhet och samverkan. Genom att bygga robusta strukturer och implementera förebyggande åtgärder kan vi skydda våra gemensamma resurser från infiltration och organiserad brottslighet. Se presentationen här.

Sundsvall, Timrå och Ånge kommuner arrangerade tillsammans med Lantero en temadag om välfärdsbrottslighet den 14 januari. Talare från ett antal olika kommuner och myndigheter delade med sig av sina erfarenheter. Albin Ring har under lång tid arbetat med livsmedelsfusk inom Stockholms stad. Han berättade vid seminariet om hur arbetet bedrivs inom kommunen och vilken roll livsmedelsfusket – med en omsättning på omkring 9 miljarder kronor årligen i Sverige – spelar inom den kriminella ekonomin. Livsmedelsfusk är en av de mest lönsamma formerna av välfärdsbrottslighet, med bruttovinster som troligen är dubbelt så stora som de från narkotikahandel. Detta gör det till en central fråga för kommunernas brottsförebyggande arbete. ### Omfattning Trots att olika skandaler återkommande har uppmärksammats i media så menar Albin Ring att omfattningen är långt större än vad man kan tro och att det är en bärande del av de kriminella gängens verksamhet och ekonomi. Därför finns också en förslagen inställning i organisationerna och man har blivit duktiga på att dölja sitt fusk. ### Varför är fusket så svårt att upptäcka? Det krävs stora resurser för att kontrollera fusket inom livsmedelssektorn, vilket gör att arbetet ofta blir reaktivt snarare än proaktivt. När sedan den som drabbas sällan vet om det så finns det inte något som initierar kontrollerna. Ovanpå detta tänker myndigheter ofta i stuprör, medan den som fuskar tenderar att tänka mer dynamiskt. När de kriminella ändå åker fast så ligger straffen på en nivå som inte är tillräckligt avskräckande. ### Hur ska fusket motverkas? Arbetet bör enligt Albin Ring bli mer proaktivt och riskbaserat. Om man letar efter förutsättningarna för fusk och letar där incitamenten för de kriminella finns, så blir det mer sannolikt att man också hittar fusket. Dessutom krävs en ökad samverkan både inom olika enheter och mellan myndigheter. Det skulle också behöva finnas sanktioner som är tillräckligt kraftfulla för att eliminera vinsterna med att fuska. ### Livsmedelsfuskets konsekvenser Livsmedelsfusk är inte självklart en del av det man normalt talar om som välfärdsbrottslighet, men det har allvarliga konsekvenser både för ekonomin och för folkhälsan. Falskmärkning, utspädning av produkter och fusk med bäst-före-datum undergräver förtroendet för livsmedelsindustrin och kan äventyra konsumenternas säkerhet. Eftersom de finansiella vinsterna föder kriminella organisationer så blir en finansieringskälla som livsmedelsfusket i någon mening ett hot mot samhällets stabilitet. Kommuner spelar en avgörande roll i att bekämpa livsmedelsfusk. Genom att arbeta med livsmedelsinspektörer, polismyndigheter och andra offentliga aktörer kan de identifiera och stoppa företag som bedriver denna typ av välfärdsbrottslighet. ### Exempel på fusk Under seminariet lyftes flera exempel fram för att illustrera hur fusket kan se ut och hur man på olika sätt kan utnyttja branschens bristfälliga transparens för att tjäna pengar. Som delaktig i framtagandet av den statliga utredningen mot fusk i livsmedelskedjan, delade Albin Ring med sig av många praktiska insikter och rekommendationer. Han betonade vikten av samarbete mellan olika aktörer och pekade på behovet av bättre resurser till kommunernas brottsförebyggande arbete för att bekämpa livsmedelsfusk.

Lantero lanserar FraudFinder, ett nytt verktyg för kommuners arbete mot välfärdsbrottslighet och bedrägerier. Tjänsten har utarbetats i samverkan med dussintalet kommuner under det gångna året och kommer att drivas som ett successivt expanderande pilotprojekt under Q1 2025. De senaste åren har inneburit en betydande ökning av mängden välfärdsbrott och bedrägerier inom kommuner och offentlig sektor i stort. Lantero samverkar sedan länge med kommuner i arbetet avseende deras arbete mot olika typer av missförhållanden och har sett betydande behov av stödverktyg för att hålla samman arbetet, skapa överblick och sprida de goda exemplen. ### "Allt handlar om välfärdsbrottslighet" – Min framtidsspaning är att nästan allt kommer att handla om välfärdsbrott i 2025, säger Linda Johansson, samordnare mot välfärdsbrottslighet i Sundsvalls kommun. Bilden speglas i inställningen från många kommuner och för närvarande rekryteras för fullt inom området. – När kommuner inleder ett samlat arbete mot välfärdsbrottslighet är det vanligt att man engagerar de stora konsulthusen för en inledande analys. Vi ser hur i stort sett samma leverans skickas till kommun efter kommun, med samma slutsatser, säger Andreas Wahlström på Lantero. Vår slutsats är dels att kommunsektorn betalar många gånger om för samma arbete och att en del arbete egentligen skulle kunna påbörjas utan att gå omvägen via de här analyserna. ### Ensamma samordnare Den praktiska verkligheten i många mindre kommuner är att en ensam handläggare förväntas hålla ihop allt arbete inom välfärdsbrottslighet och bedrägerier, inte sällan på en halvtid. Har man väl inlett ett analysprojekt med en större konsultbyrå så blir man lätt beroende, både i arbetet med samordningen och i genomförandet av de enskilda aktiviteterna. FraudFinder blir ett sätt att ge samordnaren bättre kontroll, verktyg att göra rimliga prioriteringar och förutsättningar att påbörja arbetet. – En handläggare på en mindre kommun har långt större förutsättningar att driva arbetet med ett vettigt metodstöd. Om man har exempel från andra kommuner, underlag och mallar så får man snabbt ordning på mycket av arbetet, säger Andreas Wahlström. Man kan ha stor hjälp av specialister på andra kommuner. Sedan kan det alltid finnas områden där det ändå blir aktuellt att ta in extern konsulthjälp för olika punktinsatser. Förutom analyser och praktiska insatser betonar FraudFinder också möjligheten att följa arbetet, se framdriften genom självskattningar och bedömningar. Tanken är både att sätta former för avrapportering mot överordnade, få en strukturerad uppföljning och hjälp att prioritera resurserna framåt. ### Stort intresse Initialt har intresset varit stort. Engagemanget i att dela bra erfarenheter och material, samt att ta del i utformningen av verktyget har enligt Andreas Wahlström varit över all förväntan. – Vi har kontakt med många väldigt duktiga handläggare ute i kommunerna. Att samla allas erfarenheter och göra det möjligt att dela dem mellan kommunerna är verkligen ett uppskattat koncept. Specialisterna är hjältar som behöver synliggöras för varandra.

EU:s NIS2-direktiv trädde i kraft i januari 2023, och medlemsländerna hade fram till den 17 oktober 2024 på sig att omsätta det i nationell lagstiftning. Ändå uppfyller många organisationer fortfarande inte kraven två år efter att direktivet godkändes. Det finns siffror på att så många som två tredjedelar (66 procent) av berörda organisationer missar tidsfristen den 17 oktober, trots att nio av tio menar sig ha drabbats av incidenter som skulle kunna ha förhindrats av åtgärder som är obligatoriska inom NIS2. Tittar man på EU:s medlemsländer så är det endast två av 27 – Kroatien och Italien – som fullt ut har hunnit införliva direktivet i sin nationella lagstiftning. Estland och Portugal ligger längst bak i arbetet och har ännu inte påbörjat processen. Givet nivåerna på de böter och sanktioner som hotar för den som brister i efterlevnaden framstår den senfärdiga inställningen som något förvånande. Förutom dryga böter för företag och organisationer kan även individer i ledande befattningar komma att sanktioneras personligen. ### Utveckling från NIS1 Den första EU-omfattande cybersäkerhetslagstiftningen introducerades 2018 och hette NIS1. Syftet var att implementera en gemensam säkerhetsstandard för alla medlemsstater. NIS2 är en vidareutveckling av samma regelverk och samma underliggande ambition. De nya reglerna utökar räckvidden, vilket innebär att fler organisationer måste följa reglerna. Generellt gäller NIS2 för organisationer som tillhandahåller kritiska tjänster eller faller under de sektorer som omfattas av NIS2:s utvidgade räckvidd, har fler än 50 anställda eller en årlig omsättning som överstiger 10 miljoner euro. Operatörer av kritisk infrastruktur omfattades av NIS1 och därmed även av NIS2. Organisationer inom sektorer som digitala tjänster, rymdindustri, posttjänster, nätverksoperatörer, kemiska producenter/distributörer och vissa tillverkare omfattas nu också av NIS2. Organisationer delas in i "väsentliga" och "viktiga", där samtliga anses vara kritiska sektorer, men vissa mer än andra. Klassificeringen avgör vilka specifika krav organisationer måste uppfylla. Varje organisation måste avgöra om de omfattas av NIS2, inte bara på grund av potentiella straff utan också eftersom reglerna ställer olika krav på olika sektorer. Även om NIS2 syftar till att höja säkerhetsnivån i många branscher till en gemensam nivå, är efterlevnadskraven inte desamma för alla. ### Vad är nytt? Förutom att fler organisationer omfattas av direktivet, introduceras fyra huvudsakliga områden med skärpta krav: riskhantering, företagsansvar, obligatorisk incidentrapportering och kontinuitetsplanering. - Riskhantering: Organisationer måste vidta tillräckliga åtgärder för att minimera hot mot nätverks- och leveranskedjesäkerhet, förbättra åtkomstkontroll (använda multifaktorsautentisering), införa kryptering och ha en incidenthanteringsplan redo vid en allvarlig attack. - Företagsansvar: Chefer i berörda organisationer måste ha en full förståelse för direktivet och ansvara för att hantera cybersäkerhetsrisker. - Obligatorisk rapportering: Incidenter måste inom 24 timmar från upptäckt rapporteras till en databas som hanteras av EU:s cybersäkerhetsbyrå ENISA. - Kontinuitetsplanering: Organisationer måste säkerställa att verksamheten kan fortsätta vid en större cyberattack. ### Checklista för efterlevnad Eftersom kraven varierar mellan organisationer är det svårt att skapa en universell checklista, men nedan följer de mest grundläggande stegen: * Identifiera om din organisation omfattas av NIS2. * Förstå kraven och utvärdera den nuvarande efterlevnadsnivån. * Säkerställ budget för nödvändiga förändringar. * Identifiera vilka andra lagar inom EU:s cybersäkerhet som är tillämpliga. * Genomför cybersäkerhetsbedömningar för att identifiera sårbarheter och hot. * Bedöm tredjepartsrisker och upprätta lämpliga hanteringsprocedurer. * Utveckla planer för incidenthantering, kontinuitet och cybersäkerhet. * Inför säkerhetsåtgärder som multifaktorsautentisering (MFA). * Säkerställ att personal får uppdaterad cybersäkerhetsutbildning. ### Straff och hinder för bristande efterlevnad Organisationer klassificerade som "väsentliga" riskerar böter på minst 10 miljoner euro eller 2 procent av sin globala årsomsättning. Organisationer som klassificeras som "viktiga" kan få lägre böter, men fortfarande såpass höga som 7 miljoner euro eller 1,4 procent av den globala årsomsättningen. Misslyckad efterlevnad kan också innebära rättsliga konsekvenser för företagsledare. Som ett exempel inkluderar den nationella implementeringen av NIS2 i Irland risk för fängelsestraff. Trots riskerna är många organisationer inte förberedda. Det går att argumentera för att stöd och vägledning från nationella myndigheter borde varit bättre eller att kraven blir orimligt betungande parallellt med alla andra regler som ska efterlevas. Men i grunden ligger det i organisationernas självintresse att stärka cybersäkerheten och skydda kritiska tjänster i en alltmer hotfull cybervärld.

Den 6 november höll Lantero ett webinarium för kommunkunder. Här sammanfattas webineriet och de frågeställningar som togs upp och diskuterades.
Hela seminariet kan också ses on demand här. 1. Hantering av speciella jävssituationer och överlämning till ordinarie verksamhet 2. Hantering av sekretess vid begäran av allmän handling och lärdomar från avgöranden vid överklagan till kammarrätterna. 3. GDPR-hänsyn vid överlämning av information till fortsatt utredning utanför visselblåsarorganisationen 4. Allmänintresset, hur bedöms det? Är oegentligheter i kommunal verksamhet alltid allmänintressanta?
## Jävssituationer Det är inte ovanligt att högre ledning är utpekade i visselblåsarärenden och att en jävssituation uppstår. Extern utredning kan då vara nödvändig.
En grundprincip för bedömningen kring jäv är att om det för en utomstående kan uppfattas att det är olämpligt att utredning sker av kollega så föreligger jäv enligt 16 § 4:e punkten i förvaltningslagen. Eftersom förtroendet för visselblåsarfunktionen är av stor vikt för organisationen så räcker delikatessjäv för att man skall överväga extern utredning. Ytterligare en utmaning som ofta föreligger vid utredning är att det inte är självklart hur förslagen på åtgärder lämnas över till ordinarie organisation ifall det är den högsta ledningen som är utpekad. I exemplet med en kommundirektör som utretts av en extern utredare, kan kommunstyrelsen vara ett för brett forum som mottagare, eftersom kravet på organisationen att inte röja visselblåsarens identitet är starkt. I ett sådant fall är förmodligen kommunstyrelsens ordförande ett bättre förslag. Här behöver man vara situationsanpassad och väga behovet av att mottagaren kan genomföra förslagen mot behoven av att skydda de inblandade parterna. Vi på Lantero är gärna bollplank för er kring olika handlingsalternativ. ## Sekretess och begäran av allmän handling Det är mycket vanligt med begäran av allmän handling för kommunen. Lagstödet är relativt tydligt i offentlighets- och sekretesslag (2009:499) (OSL) och i lag (2021:890) om skydd för personer som rapporterar om missförhållanden (visselblåsarlagen). ### Lite kort om lagstiftningen 17 kap. 3 b § OSL lyder: ”Sekretess gäller i ett ärende om uppföljning enligt lagen (2021:890) om skydd för personer som rapporterar om missförhållanden, för uppgift som kan avslöja identiteten på en annan enskild än den rapporterande personen, om det kan antas att syftet med uppföljningen motverkas om uppgiften röjs.” I 32 kap. 3 b § OSL kan man läsa: “Sekretess gäller i ett ärende om uppföljning enligt lagen (2021:890) om skydd för personer som rapporterar om missförhållanden,…” Vad ett ärende om uppföljning är finns beskrivet i 1 kap. 8 § 4 pkt. visselblåsarlagen:
” uppföljningsärende: ett ärende som består i att: - via en intern eller extern rapporteringskanal ta emot en rapport och ha kontakt med den rapporterande personen, - på något annat sätt inom en myndighet som är skyldig att ha externa rapporteringskanaler ta emot en rapport som har varit avsedd för rapporteringskanalerna och vidarebefordra den till någon som är ansvarig för att ta emot rapporten, - vidta åtgärder för att bedöma riktigheten i de påståenden som framställs i rapporten, - överlämna uppgifter om de utredda påståendena för fortsatta åtgärder, och - lämna återkoppling om uppföljningen till den rapporterande personen.” ### Tolkning Sekretess gäller alltså för hela ärendet, inklusive den dokumentation som handläggningen genererar.
Sekretessen gäller “…för uppgift som kan avslöja identiteten på en annan enskild än den rapporterande personen, om det kan antas att syftet med uppföljningen motverkas om uppgiften röjs.” enligt 17 kap. 3 b § OSL och “1. för uppgift som kan avslöja den rapporterande personens identitet, och 2. för uppgift som kan avslöja identiteten på en annan enskild, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.” enligt 32 kap. 3 b § OSL. Den ursprungliga rapporteringen från uppgiftslämnaren, eventuella bilagor och utredningsdokument från interna eller externa utredare är exempel på information som är en del av ett ärende om uppföljning enligt lagens mening. Dessutom gäller sekretessen för visselblåsaren också alltid vid överlämning till den ordinarie verksamheten eftersom man inte behöver göra en risk-bedömning för skada när man gör sekretessbedömningen enligt kap 32 kap. 3 b § OSL.
En frågeställning finns kring om den ursprungliga rapporteringen anses vara ett ärende om uppföljning om det visar sig att ärendet inte uppfyller kravet på allmänintresse eller att vara arbetsrelaterat. Vår bedömning är det är rimligt att sekretess gäller även i detta fall, eftersom visselblåsaren inte kan förutse ifall ärendet kommer anses ha allmänintresse eller inte. En sådan visselblåsare bör åtnjuta samma skydd från att få sin identitet röjd som den vars ärende bedöms ha allmänintresse att det utreds. Detta ligger i linje med det grundläggande syftet med lagen, nämligen att skydda den som rapporterar om oegentligheter. ### Läs mer här Ett längre blogginlägg finns här: https://www.lantero.se/blog/raettslaeget-kring-begaeran-om-allmaen-handling-fran-visselblasaraerenden där även ett antal avgöranden från kammarrätten analyseras. ## GDPR-hänsyn vid överlämning av ärenden för vidare utredning Persondata får hanteras i visselblåsarärenden, så kallade uppföljningsärenden. Ärenden som är bedömda som visselblåsarärenden får även behandlas vidare efter en visselblåsarutredning om själva syftet med behandlingen är samma som för visselblåsarärendet. En fortsatt utredning på grund av ett visselblåsarärende får behandla personuppgifterna. Arkivering är också tillåten som en vidare behandling efter visselblåsarärendet avslutats speciellt för organisationer som verkar enligt offentlighetsprincipen. ### Två specialfall är intressanta: Ärendet avskrivs eftersom det inte anses vara ett visselblåsarärende och det innehåller personuppgifter. Fortsatt personuppgiftsbehandling får då inte ske. Ärendet skall raderas ur visselblåsarsystemet enligt normal rutin och ordinarie organisationen får inte se det. Ärendet avskrivs och innehåller inte personuppgifter. Då finns inga hinder från ett GDPR-perspektiv att lämna över information från ärendet till ordinarie verksamhet.
Märk väl att sekretesskraven i OSL ändå kan gälla i båda dessa fall, speciellt ifall visselblåsarens identitet kan härledas indirekt utifrån innehållet i rapporteringen. ## Bedömning av allmänintresset i offentlig verksamhet Generellt gäller att ett visselblåsarärende skall utredas om det bedöms ha ett allmänintresse. Denna bedömning är inte helt enkel att göra eftersom det inte sällan är flera parametrar som påverkar bedömningen: - Handlar det om ett enskilt personalärenden eller påverkar oegentligheten många personer? - Är högre ledning utpekad eller inte? - Är oegentligheten allvarlig i sig? Ett lagbrott eller en bagatell?
- Antyder rapporten att det finns strukturella problem eller saker som bara hänt en gång? Exempelvis kan ett visselblåsarärende som förvisso handlar om en enskild arbetstagare men där den arbetstagaren arbetar under slavliknande förhållanden komma ha ett högt allmänintresse. Ett ärende där många arbetstagare påverkas men som handlar om dåligt kaffe i kaffeautomaten kan däremot bedömas ha ett litet allmänintresse. Det faktum att oegentligheten rapporteras i en offentlig verksamhet som är finansierad med allmänna medel innebär inte att den automatisk blir allmänintressant. En helhetsbedömning måste alltid göras, där man tar med hushållningen av allmänna medel som en av parametrarna.

På Lantero följer vi noga utvecklingen kring NIS2-direktivet och hur cybersäkerhetskraven kommer att utvecklas för svenska organisationer. Från och med den 18 oktober 2024 skulle NIS2-direktivet ha implementerats i nationell lagstiftning. Men liksom många andra EU-länder dröjer implementeringen något för Sverige. Enligt SOU 2024:18 är en ny cybersäkerhetslag på väg att ersätta den nuvarande NIS-lagen och anpassa Sverige till ramarna i NIS2, men detta kommer inte att träda i kraft förrän i början av 2025. 7 november 2024 EU-kommissionen antar en förordning som specificerar NIS2:s krav för riskhantering och incidentrapportering, vilket etablerar nya ramar för vissa operatörer, inklusive molntjänstleverantörer, DNS-leverantörer och online-marknadsplatser. För operatörer som för närvarande omfattas av NIS-lagen representerar denna period en kritisk övergångsfas, där tidigare NIS-förpliktelser fortfarande gäller, men där man även måste börja beakta NIS2. Ramverket blir nu bredare, särskilt inom riskhantering och incidentrapportering enligt artikel 21 i direktivet. Vem berörs? - NIS2 kommer att bredda omfattningen jämfört med NIS. Direkt berörda grupper kommer nu även att inkludera leverantörer inom sektorer som DNS-tjänster, molntjänster och online-marknadsplatser. - Många företag och organisationer kommer att beröras indirekt i egenskap av leverantörer till direkt påverkade organisationer. I praktiken innebär det att de flesta organisationer måste ta hänsyn till de nya kraven för att kunna konkurrera långsiktigt. Lanteros LawLogic-koncept stöttar företag och organisationer i arbetet med att förstå och förhålla sig till de nya reglerna. Allt från vägledning om praxis till förenklade mallar och checklistor ingår i upplägget, så att ni kan säkerställa risker och minimera risker, utan att sätta externa konsulter i förarsätet. Med de nya reglerna ställer sig många frågan om huruvida de berörs av de nya reglerna, men frågan som borde ställas är snarast hur man berörs. Att man behöver förhålla sig till reglerna torde vara klart och Lanteros verktyg syftar till att göra materien tydlig och strukturerad, så att arbetet kan formuleras i konkreta aktiviteter och påbörjas.

NIS2-direktivet, vilket betyder Network and Information Security Directive, syftar till att stärka cybersäkerheten och motståndskraften mot cyberhot inom EU. Direktivet är en uppdatering av det tidigare NIS-direktivet och tar en rad nya steg för att öka kraven på företag och offentliga institutioner som hanterar kritisk infrastruktur eller viktiga tjänster. ### Påverkan på företag - Ökade kostnader: Företag kommer behöva investera mer i cybersäkerhet, inklusive teknik, utbildning och personal, för att uppfylla de nya kraven. - Större fokus på riskhantering: Cybersäkerhet måste integreras i företagets övergripande riskhanteringsprocess, och företagen måste vara förberedda på både att upptäcka och hantera cyberattacker snabbt. - Ökat tryck på leverantörer: Eftersom företag också ansvarar för sina leverantörers säkerhet, kan detta sätta press på hela leveranskedjan att implementera strikta säkerhetsåtgärder. Vid första påsyn kan NIS2 uppfattas som en angelägenhet för ett visst segment av näringsliv och offentlig förvaltning, men den troligaste effekten är att hela samhället lyfter nivån inom cybersäkerhet. Det beror dels på att berörda organisationer och företag behöver ha koll på sina leverantörer, men också för att den allmänna "hygiennivån" lär höjas och acceptansen för säkerhetsbrister generellt blir svårare att motivera. ### Utökad tillämpning Jämfört med den ursprungliga NIS-lagstiftningen kommer tillämpningen att utökas och omfatta flera områden. Förutom energi, transport, finans och hälsosektorn omfattas nu även: - Tillverkning av kritiska produkter (kemikalier, livsmedel) - Posttjänster och avfallshantering - Digitala tjänster (inklusive molntjänster, datacenter) - Rymdsektorn Vissa mindre företag som tidigare var undantagna kan också komma att inkluderas beroende på storlek och betydelse för samhällskritiska funktioner. ### Specifika krav Säkerhetskraven kommer generellt att bli hårdare, med konkreta krav inom riskhantering, säkerhetsövervakning, incidenthantering och att regelbundet genomföra sårbarhetsbedömningar. Vidare finns det en ambition om mer samordning på samhällsnivå när det gäller rapportering av incidenter. Därför ställs krav på formerna för rapportering från företag, inklusive vad som har gjorts för att hantera incidenten. Kraven backas upp med risk för betydande böter för det företag eller den organisation som inte rapporterar i tid. Bötesnivåerna kan likna de nivåer som tillämpas inom GDPR och steg tas också för att kunna gå på företagsledning och styrelseledamöter personligen. Sammanfattningsvis etableras sanktionsmöjligheter som syftar till att tvinga fram kraftiga och omedelbara insatser för att höja säkerhetsnivån hos alla berörda företag och organisationer. Idén om samordning tas också vidare till annan typ av informationsdelning, så att nationella cybersäkerhetsmyndigheter ska bli bättre på att jobba tillsammans och koordineringen förfinas mellan såväl länder som samhällssektorer.
Sammanfattningsvis är NIS2 en naturlig fortsättning på NIS, med samma underliggande anda, men med avsevärda uppstramningar i tillämpningen. För den som inte sneglat på NIS sedan tidigare och börjat att arbeta med frågorna ligger ett digert arbete i korten för de närmaste åren.

Lantero arrangerar ett seminarium för kommuner om visselblåsning och några vanliga frågeställningar i hanteringen av visselblåsarärenden. Det går av stapeln den 6 november klockan 15-16.30. I mer än tio år har Lantero arbetat med visselblåsarlösningar och är idag störst i Sverige inom kommunsektorn. Dagligen hjälper Lantero kommunkunder med visselblåsarärenden, vilket ger oss en unik möjlighet att guida inom både vad som gäller rent legalt och hur praxis ser ut bland olika typer av kommuner. Några vanliga frågeställningar som kommer att belysas på Lanteros seminarium är: * Jävssituation och hur de kan hanteras * Hur man ska förhålla sig till sekretessfrågan vid begäran av allmän handling * Vad som gäller kring GDPR när ett ärendet utreds vidare utanför visselblåsarsystemet och visselblåsarprocessen * Hur man ska se på begreppet "allmänintresse" i lagen när det gäller oegentligheter i kommunal verksamhet Målgruppen för detta seminarium är främst handläggare som arbetar med kommuners visselblåsartjänst och kommunjurister som tidvis involveras i handläggning eller ärendebedömning. Men det kan också vara aktuellt för en bredare krets, som på olika sätt är intresserade av det generella arbetet mot olika typer av missförhållanden i kommuner och i offentlig sektor i stort. Eftersom frågan knyter an till bredare frågor om hur kommuner och offentlig verksamhet fungerar, bedrägerier och välfärdsbrottslighet i stort, så kan det också vara aktuellt för välfärdssamordnare eller handläggare av mer specifika frågeställningar att delta vid detta seminarium. Det innebär också att exempelvis verksjurister på myndigheter eller regioner kan ha nytta av diskussionerna. Seminariet görs i form av ett webinarium, men det är också möjligt att delta hos oss på Lantero på Drottninggatan 71c i Stockholm. – Vi får ofta propåer från våra kommunkunder kring den här typen av aktiviteter, då man bland handläggare i visselblåsarfunkionerna hos kommuner uppenbarligen gärna vill utbyta erfarenheter med kollegor i andra kommuner eller externa experter, säger Andreas Wahlström, som ansvarar för seminariet från Lanteros sida. Vi kommer att göra vad vi kan för att involvera deltagarna och skapa en dynamisk diskussion.