Blogg

Visselblåsarkanalen är ett tema som har betydelse för stora delar av såväl företag som myndigheter. Inom kommunsektorn finns det närliggande verktyg i de tipskanaler där allmänheten kan rapportera om övertramp och missbruk av välfärdssystemen. Den uppenbara skillnaden är alltså att visselblåsarkanalen riktar sig mot anställda och handlar om arbetsrelaterade missförhållanden, medan tipskanalen för allmänheten handlar om utomståendes missbruk av systemen. Exempelvis observationer kring hur individer eller företag får stöd på felaktiga grunder eller bedriver verksamhet som är oförenlig med de regler som gäller inom kommunen. ### Möjliggörare på insidan När anställda rapporterar om observationer om välfärdsrelaterade missförhållanden så är det ofta ärenden av en särskild betydelse, eftersom det då kan vara tal om ett systematiskt bedrägeri som möjliggörs av någon på insidan. Det vill säga problematik som närmar sig det systemhotande.. När det sedan kommer till handläggningsarbetet så står visselblåsartjänsten normalt sett på egna ben och i de flesta fall finns det sedan länge en etablerad rutin för hanteringen. Från perspektivet välfärdsbrott bör man hur som helst se till att visselblåsarteamet är införstått med hur arbetsrutinerna ser ut kring uppföljning av välfärdsbrott specifikt. Kontakter bör etableras och förväntningar kring samverkan utformas och dokumenteras. ### Vad faller utanför ramen för visselblåsarkanalen? Särskild uppmärksamhet bör fästas vid ärenden som riskerar att falla utanför ramen för visselblåsarärenden, men som indikerar överträdelser som kan vara en del av en större bild, med systematiserade missbruk av välfärdssystemen. ### Löpande fortbildning Här kan det finnas skäl att säkerställa att det finns ett löpande samarbete mellan handläggargrupperna. Dessutom bör man ha en plan med fortbildning och information kring utvecklingen på området välfärdsbrott. I vissa fall kan grupperna som hanterar tips från allmänheten respektive visselblåsarärenden sammanfalla. Samma – eller delvis samma – personer ingår då i handläggarteamen. Men om så inte är fallet bör man istället etablera forum där det finns en etablerad kontakt med löpande avstämningar.

Lantero arrangerar ett webinarium om så kallade möjliggörare i offentliga verksamheter. Webinariet går av stapeln den 9 september, kl 15.00 och kommer att ta maximalt 45 minuter.
### Om upplägget Riskbefattningar och riskområden är nyckelbegrepp för att kunna arbeta effektivt för att minska riskerna för möjliggörare åt kriminella och otillåten påverkan inom din organisation. Hur ska man tänka? Finns det konkreta, enkla steg att ta? Är detta vägen fram mot ändamålsenliga bakgrundskontroller? Vi får besök av Catharina Lindstedt, Senior rådgivare, utbildare och föreläsare inom otillåten påverkan och möjliggörare åt organiserad brottslighet. Catharina ger oss konkreta tips och intressanta tankar. ### Anmälan Anmäl dig här.

Infiltration av kommuner har blivit ett allt vanligare sätt för kriminella att påverka bidragsbeslut och systematisera välfärdsbrott. Genom att etablera bakgrundskontroller vid rekrytering är det möjligt att minska risken att få in olämpliga personer på centrala positioner i kommunen. ### Tjänster med högt skyddsvärde De tjänster som främst är aktuella när det gäller att etablera bakgrundskontroller är tjänster med ett så kallat högt skyddsvärde. Exempel på det är tjänster med beslutanderätt över utbetalningar, tillsättningar eller upphandlingar, eftersom en olämplig person på en sådan tjänst kan innebära stora risker och betydande kostnader för kommunen. ### Frågor att förhålla sig till En mängd frågor aktualiseras när man som kommun ska etablera rutiner på området: - Bakgrundskontroller innebär potentiella avvägningar kring sekretess då informationen kan vara integritetskänslig. - Insamling av information om kandidater betyder att man kan behöva informera den sökande om hanteringen och samla in samtycke till de kontroller som görs. - Processen behöver dokumenteras på ett tydligt sätt. - Olika delar av förvaltningen kan beröras av ett och samma rekryteringsärende, vilket betyder att information kan behöva delas mellan avdelningar. Det måste finnas en tydlighet kring hur det ska göras. - Arbetet kan ofta underlättas av att man har en välfungerande samverkan med Polisen eller andra myndigheter. Hur man förhåller sig till frågorna varierar, men det finns all anledning att adressera de olika aspekterna. ### Praktisk rutin En praktisk rutin för hur bakgrundskontroller ska genomföras kan med fördel utgå från andra, jämförbara kommuners befintliga upplägg. Några ramar som ofta ingår i en sådan rutin är: - Identifiering, med åtföljande kontroll av medborgarskap och arbetstillstånd - Referenstagning, där man stämmer av uppgifterna med en tredje part - Utdrag ur Polisens belastningsregister - Kontroll av sociala medier Det finns ingen exakt gräns för vilka roller som faller inom ramen för vem som bör kontrolleras eller exakt hur rutinen för bakgrundskontroller bör utföras. Det viktiga är att upprätta principer att utgå från för att sedan kunna göra uppdateringar eller anpassningar utifrån de erfarenheter man gör samt observationer från det övergripande arbetet mot välfärdsbrott.

Maskning med hjälp av AI är ett hett tema. Kommuner och myndigheter belastas i många fall hårt av de krav som gäller vid utlämnande av allmän handling, ett arbete som är tråkigt, tidskrävande och som innebär stora risker. Sedan Lantero lanserade tjänsten Redact har vi fått en del frågor på temat integritet och sekretess. Vi ska kort bemöta några av dem och ge lite bakgrund om de teknologival som har gjorts. ### Deskriptiv vs. generativ AI Den första frågan gäller betydelsen av att arbeta med deskriptiv snarare än generativ AI. Den deskriptiva AI-teknologi vi använder är utformad för klassificering, sortering och för att skapa en bra struktur i filer eller mejl, inte minst vad gäller personuppgifter. AI:n hittar och strukturerar den data som finns, till skillnad från generativ AI, som ser mönster och skapar nytt material utifrån vad den tror att mottagaren vill ha. ### Träningsdata När generativ AI tränas så blir träningsdatan snabbt en känslig fråga, eftersom förmågorna bygger på att kunna reproducera det som den har tränats på. Vilket i sig skapar behov av att veta var datan kommer från och att man har relevanta medgivanden. Lanteros tjänst är tränad på att identifiera och klassificera specifikt er data i er miljö. I det som skickas till oss för träning av modellen har känslig information ersatts av anonym anoteringskod. ### Dataminimering och kontroll Lantero utgår från principen att vi bara ska hantera precis den data vi behöver för att skapa det underlag och den struktur som krävs för regelefterlevnaden. Generativ AI däremot, bygger på stora mängder data, vilket på motsvarande sätt ökar riskerna och attackvektorerna. ### Kontakta oss för mer information Det här är några av de vanliga frågor vi möter från kunder. Men det finns förstås mycket annat som kan behöva förklaras närmare. Vi tar gärna de diskussionerna, så hör av er om något är otydligt eller om ni vill ta en diskussion om hur Lantero Redact skulle kunna fungera i er organisation.

Personlig assistans är en typ av stöd som ges inom ramen för LSS, lagen om stöd och service till vissa funktionshindrade. Eftersom det handlar om stöd till en särskilt utsatt grupp kan stödbehoven vara betydande och lagen är utformad för att kunna möta sådana exceptionella behov. ### Alltför goda förutsättningar för fusk Utmaningen är förstås att generösa system också ger förutsättningar för missbruk. Personlig assistans har därför blivit ett område där både individer och kriminella organisationer tjänar stora pengar på att blåsa upp eller hitta på behov för att kunna söka stöd enligt Personlig assistans-reglerna. Möjligheterna till fusk har stärkts genom att kontrollerna och uppföljningen historiskt sett varit ganska svaga. Det har funnits ett reflexmässigt motstånd mot för strikta kontroller av särskilt utsatta människor, vilket med tiden har utnyttjats alltmer. Nu går utvecklingen mot att systemen stramas upp, med striktare kontroller och uppföljningar. Inte minst för att långsiktigt kunna säkra stödet till de individer som systemen från början var tänkta att hjälpa. ### Gott om kunskap som utgångspunkt Kunskapen om vilka fuskmetoder som används blir allt bättre. Det finns stödmaterial från myndigheter, etablerade metoder och goda exempel att luta sig emot när man upprättar sina kontrollrutiner. Några typiska sätt att fuska är: - Falska tidrapporter – Att redovisa timmar som aldrig har utförts, exempelvis genom falska tidrapporter och ibland samordnat mellan assistent och brukare. - Påhittade behov – Man blåser upp eller hittar på vårdbehov, ofta styrkt med falska läkarintyg. - Anhöriga som assistenter – Man använder nära anhöriga som assistenter för att maskera verkliga förhållanden. - Komplexa upplägg – Assistansbolag lämnar in vilseledande uppgifter till Försäkringskassan eller kommunen som en del av en mer komplex manipulering av systemet. ### Strukturerat myndighetssamarbete Samordningen mellan kommuner och myndigheter som Försäkringskassan, Polisen och IVO är central. När man har etablerade kontakter och arbetsformer ökar förutsättningarna att hjälpas åt med effektiva kontrollinsatser. Som kommun kan man börja med att ta del av myndigheternas stödmaterial, men det viktigaste är att upprätta kontakter och fasta rutiner för samverkan. ### Tips från allmänheten Det kan också vara värdefullt att etablera möjligheter för medborgare att tipsa om välfärdsfusk. Kontroller vid ansökningar eller löpande uppföljningar kommer aldrig att fånga upp allt fusk och då är det värdefullt att kunna få in observationer eller underlag från allmänheten, så att man kan göra fördjupade kontroller. Läs gärna vårt inlägg som handlar specifikt om tipskanaler för allmänheten.

Lantero intervjuade under Almedalsveckan Ulrika Engelbrektsson, som är brottsförebyggande samordnare i Uddevalla kommun. Ulrika berättade om sitt arbete, vilka de största utmaningarna är när det gäller att komma igång och några erfarenheter där man varit särskilt starka. Nedan följer en redigerad transkribering av intervjun: Vad är högst prioriterat i Uddevalla just nu inom arbetet mot välfärdsbrottslighet? Som jag ser det handlar det om att samordna arbetet. Vi gör mycket bra redan – våra förvaltningar har stor kunskap och engagemanget finns. Men vi saknar en gemensam grund och en person som håller ihop arbetet. I dag jobbar vi i parallella spår, utan gemensam riktning. För att bli effektiva behöver vi en tydlig samordning. Vilken är den största utmaningen inom området just nu? Jag skulle säga att det är arbetet med felaktiga utbetalningar. Vi har i nuläget en person som jobbar med det, och han gör ett fantastiskt jobb. Men det är ett stort område, och det behövs fler. Även på upphandlingsenheten finns stor vilja och många bra initiativ. Men något som återkommer är frustrationen över att man inte vet vad nästa steg är. Finns det checklistor? Hur delar vi information? Hur underlättar vi för förvaltningarna? Det saknas strukturer som kan stötta det praktiska arbetet. Det här borde vara ett arbete som finansierar sig självt – vad är det som hindrar er från att satsa mer resurser på det? Vi har relativt nyligen tillsatt en person på området, så det är fortfarande nytt. Men nu när vi börjar se vinsterna av arbetet, både ekonomiskt och verksamhetsmässigt, tror jag att resurserna kommer. Det gäller att vi är tydliga och att vi lyfter frågan politiskt. Samverkar ni med grannkommuner i det här arbetet? Ja, det gör vi. Trollhättans kommun har kommit längre än vi och vi har en god samverkanskultur sedan tidigare. Men även där finns inte alltid en tydlig struktur. Trollhättan har en samordnare – det har inte vi. Samverkan bygger mycket på att enskilda medarbetare tar kontakt med motsvarigheter i andra kommuner. Vi behöver tänka mer strategiskt kring hur vi kan hjälpas åt, dela kunskap och bygga gemensamma arbetssätt. Hur prioriterar ni mellan olika aktiviteter inom området? Vi behöver börja med en kartläggning. Vad gör vi i dag? Hur ser det ut i kommunen? Med en tydlig bild kan vi analysera vad som fungerar och var bristerna finns. Jag tror att vi har en bra grund att stå på, men det är inte dokumenterat på ett sätt som gör det enkelt att använda i utvecklingsarbetet. En sådan kartläggning hjälper oss att se vilka grupper som behöver mer kunskap, och vilka som kan jobba vidare med de resurser och insikter vi redan har. Finns det någon person du vill lyfta fram som inspiratör inom arbetet mot välfärdsbrottslighet? Jag vill lyfta Christina Kiernan. Hon har verkligen varit en nyckelperson i att sprida information och göra det möjligt för oss ute i kommunerna att komma igång. Hon erbjuder konkreta föreläsningar, är tillgänglig för frågor och har byggt upp nätverk där vi kan hämta kunskap. Det arbete hon gör är otroligt värdefullt. Avslutningsvis – stort tack för att du delade med dig, Ulrika. Tusen tack!

Lantero fick under Almedalsveckan möjlighet att sitta ner för ett samtal med Lena Törneskär, som är kommunstrateg mot välfärdsbrott i Eskilstuna kommun. Lena berättade om sitt arbete och bjöd på många tips för den något mindre kommunen, som kanske inte har kommit lika långt i sitt arbete. Nedan följer en redigerad transkribering av intervjun: Vad tycker du är viktigast i arbetet med att samordna kommunens arbete mot välfärdsbrottslighet? Jag skulle säga att det viktigaste är att börja internt i organisationen. Det handlar om att hitta personer ute i förvaltningarna eller i kommunens bolag som redan har ett uppdrag kopplat till välfärdsbrottslighet. Om det inte finns ett sådant uppdrag i nuläget, då vänder jag mig till chefer och ledningsforum för att lyfta att behovet finns. Det är tack vare kontakterna ute i verksamheten som vi faktiskt kan göra skillnad i praktiken. Ett starkt internt nätverk är helt avgörande. Har du något tips till en liten kommun som precis börjat jobba med de här frågorna? Det bästa är såklart att jobba kunskapsbaserat – börja med en kartläggning och följ upp med analys. Men om man inte har resurser till det så kan man börja med konkreta case. Till exempel: gå till ekonomiskt bistånd. Där är det oftast lättast att hitta fall där det finns misstanke om fusk. Visa hur enkelt det kan vara att lura kommunen – det brukar väcka intresse och visa varför frågan behöver prioriteras. Hur tycker du man kan prioritera rätt i en verksamhet där många aktiviteter pågår samtidigt? Jag tänker att man börjar med den "lättplockade frukten" – återigen, ekonomiskt bistånd. Där kan man, med ganska små resurser, upptäcka ganska enkla fall. Sedan är samverkan viktigt. Inom ramen för arbetslivskriminalitet kan man till exempel kroka arm med en chef på miljöförvaltningen och en kontakt på polisen, för att tillsammans genomföra myndighetsgemensamma insatser. Det kanske låter svårt, men det ger mycket. I Eskilstuna har vi hittat brister i alla objekt vi besökt. Och när vi synliggör konkreta fall, då måste kommunen, polisen eller andra myndigheter agera. Det är väldigt effektivt. Vad innebär "Eskilstunamodellen"? Eskilstunamodellen handlar om vårt arbete mot arbetslivskriminalitet. Vi har byggt en struktur som inkluderar lokalpolisområdet, områdeschefer på miljö- och byggförvaltningen samt Center mot arbetslivskriminalitet. Modellen är enkel: - Vi jobbar operativt, anpassat efter polisens åttaveckorsschema, så att vi alltid har resurser till myndighetsgemensamma insatser. - Vi har också en styrgrupp som träffas några gånger per år för att säkerställa att det operativa arbetet får rätt förutsättningar. Tror du små kommuner kan arbeta enligt samma principer? Det beror helt på vilken respons man får. Men det finns många kompetenta medarbetare i alla kommuner som redan jobbar med exempelvis miljöbrott. Om du hittar en bra kontakt på miljöförvaltningen och samarbetar med en operativ samordnare hos polisen, då kan du – med ganska små medel – komma igång med myndighetsgemensamma insatser. Hur balanserar du det strategiska och det operativa i din roll som samordnare? Även om jag har en strategisk roll så gör jag ingen nytta om jag bara sitter bakom ett skrivbord. Jag behöver vara ute och jobba operativt också. Jag samarbetar till exempel med kollegor på kultur- och fritidsförvaltningen som handlägger föreningsbidrag, och med dem som utreder misstänkta felaktiga utbetalningar. Att ha ett samordnande uppdrag är viktigt – det ger energi och riktning – men det allra viktigaste är att ha en fot ute i verksamheten. Där får man reda på vad som behövs, och kan ta konkreta steg för att motverka och utreda misstänkta välfärdsbrott. Om du fick ge en shoutout till någon som gör ett särskilt bra jobb inom området – vem skulle det vara? Då måste jag lyfta fram Christina Kiernan på SKR. Hon är samordnare för välfärdsbrott, men arbetar också med flera andra frågor. Hon är otroligt bra på att hålla ihop nätverk och sprida information. Jag vill också nämna hennes två kollegor: Emma Albertsson och Lotta Ricklander. Vi i Eskilstuna hade inte varit där vi är idag om det inte vore för det stöd vi fått från SKR. Så shoutout till Christina – hon gör ett fantastiskt arbete och är verkligen ett energiknippe!

Lantero deltog vid ett webbsänt seminarium med Tryggare Sverige vid årets Almedalsvecka. Diskussionen kretsade kring hur man kan arbeta förebyggande mot välfärdsbrott i kommuner. Diskussionen var inriktad på det praktiska arbetet, hur man skapar en överblick över området och skapar en struktur som ger möjlighet att initiera konkreta aktiviteter. Nedan följer en sammanfattning av seminariet. ### Inledning och syfte Moderatorn välkomnade deltagarna till morgonens seminarium om hur kommuner kan förebygga välfärdsbrott. Fokus för dagen låg på lösningar och arbetssätt snarare än problembeskrivningar. Panelen bestod av: - Lena Törneskär, strateg mot välfärdsbrott i Eskilstuna kommun - Ulrika Engelbrektsson, brottsförebyggande samordnare i Uddevalla kommun - Lynn Ehn, brottsförebyggande specialist och jurist på Ekobrottsmyndigheten - Petter Tiger, VD för Lantero - Tyra Kloth, samhällsplanerare och nationalekonom på Tryggare Sverige ### Bakgrund till problematiken Tryggare Sverige redogjorde för hur den ekonomiska brottsligheten blivit mer omfattande och hur den är kopplad till organiserad kriminalitet. Kommunerna pekas ut som särskilt utsatta för välfärdsbrott, samtidigt som de ofta saknar tillräckliga strukturer för att förebygga dem. Dagens välfärdssystem bygger på tillit, vilket skapar sårbara ytor när kontrollen brister. ### Petter Tiger (Lantero): Praktiska strukturer och checklistor Petter Tiger beskrev hur Lantero arbetar med kommuner för att skapa tydlighet, struktur och framdrift i arbetet mot välfärdsbrott. Första steget är en nulägesanalys för att få en realistisk bild av risker och resurser. Många åtgärder kan påbörjas även innan analysen är färdig. För att göra det konkret arbetar Lantero med: - Identifiering av aktiviteter - Målgruppsanpassad utbildning - Checklådor och praktisk vägledning - Spridning av goda exempel ### Tyra Kloth: Strategisk förståelse för kommunens nuläge Tyra lyfte vikten av en organisatorisk nulägesbild, bland annat genom: - Enkäter till anställda om kunskap och rutiner - Nyckelpersonsintervjuer - Orsaksanalyser Förmågemodellen är ett verktyg för att identifiera var insatser behövs mest – exempelvis kultur, processer eller resurser. ### Utbildning i flera lager Petter och Tyra presenterade en utbildningsmodell med tre nivåer: 1. Informationsinsatser för hela organisationen 2. Kunskapsspridning till bredare personalgrupper 3. Fördjupad utbildning till nyckelfunktioner En aktörsanalys används för att identifiera vilka som behöver vilken typ av utbildning. ### Riskanalys och åtgärdsplan Petter betonade vikten av kontinuerlig riskanalys. Det handlar om att: - Identifiera och analysera risker - Värdera och prioritera - Agera på dem Crime proofing lyftes som ett bra verktyg, även för mindre kommuner. ### Kommunperspektiv: Uddevalla och Eskilstuna #### Ulrika Engelbrektsson (Uddevalla) Uddevalla har flera förvaltningar som jobbar med välfärdsbrott, men saknar samordning. Det finns politisk vilja, men en tydlig roll- och ansvarsfördelning saknas. Kommunen ser behov av att skapa struktur och tydlighet internt innan samverkan kan etableras externt. #### Lena Törneskär (Eskilstuna) Eskilstuna har en strategtjänst på heltid för välfärdsbrott. Arbetet kom igång efter en skarp granskningsrapport 2021. Politisk samsyn och ett starkt förvaltningsnätverk har varit avgörande. Eskilstuna delar generöst med sig av metoder via det regionala nätverket LAKUS. #### Ekobrottsmyndigheten: Lynn Ehn Lynn lyfte att den ekonomiska brottsligheten blir allt mer komplex och omfattande. Kommunerna spelar en avgörande roll som grindvakter och bör utnyttja: - Sekretessbrytande bestämmelser - Lagstiftning som underrättelseskyldighet Hon uppmanade till att följa upp konkreta case och att våga pröva samverkan. Ekobrottsmyndigheten finns nationellt och regionalt och välkomnar kontakt. ### Samtal och avslutande reflektioner Det fördes ett samtal om: - Otillåten påverkan som följd av kontrollinsatser - Vikten av politisk förankring och utbildning för beslutsfattare - Behoven av konkret samverkan, tydlig lagstiftning och mod att agera Tyra Kloth avslutade med att lyfta vikten av kultur som gör det möjligt att vara modig och vikten av att sprida goda exempel. Tack för seminariet!

Arbetsdomstolen har kommit med ett avgörande som får praktisk betydelse för visselblåsning enligt visselblåsarlagen. Främst genom att visselblåsarens skydd försvagas. I korthet kommer visselblåsaren inte att åtnjuta lagens skydd mot repressalier och hinder mot visselblåsning om ett ärende inte anses uppfylla lagens krav på ett visselblåsarärende. Det ställer helt nya krav på individen och lär göra människor mindre benägna att rapportera om missförhållanden. ### Mål om hindrande av rapportering Frågan som behandlades gällde hur ett bolag ska ha försökt att hindra rapportering av ett missförhållande. Eftersom de rapporterade missförhållandena inte ansågs vara av allmänintresse så omfattades inte avvikelserna av visselblåsarlagen. Domstolen valde därför att inte behandla frågan om visselblåsningen hade hindrats eller inte. Det har funnits en allmän uppfattning om att uppgiftslämnare som rapporterar i god tro ska åtnjuta lagens skydd mot repressalier och hinder för visselblåsning. I och med den här domen så blir det svårt att hävda. ### Syftet med lagen Syftet med lagstiftningen är att man vill uppmuntra rapportering och underlätta för den som vill rapportera. Domen från AD kan i praktiken leda till en motsatt effekt. Om man tidigare har utgått från att skyddet förutsätter att uppgiftslämnaren har rapporterat i god tro så ändras den bilden i och med det här utslaget. Man behöver istället vara säker på att man förstår lagen, att ärendet faller inom ramen för visselblåsarlagen och att bolaget det gäller kommer att bedöma det på det sättet. ### Uppdatera information Den omedelbara konsekvensen är att man bör uppdatera informationen i anslutning till sina visselblåsarkanaler, så att man tydliggör det utökade ansvaret man har som visselblåsare. De flesta bolag och organisationer vill göra rätt och för dem kommer inte domen att göra någon skillnad i hanteringen. Men misstron är ofta stor bland individer som rapporterar och det här innebär att tröskeln att våga rapportera höjs avsevärt. Vi har också skrivit en lite mer utförlig analys av domen. Hör av er för att ta del av den! info@lantero.se

Snart kommer den nya cybersäkerhetslagen. Det är den svenska implementationen av EU:s NIS2-direktiv, som syftar till att höja nivån inom cybersäkerhet inom ett antal viktiga sektorer i samhället. Cybersäkerhetslagen har förvisso fördröjts och vi väntar fortfarande på propositionen. Men det är i sig inte ett skäl att avvakta med cyberhygienarbetet. ### Generell nivåhöjning Även om direktivet riktar in sig specifikt på att ett antal kritiska områden så är det troligt att reglerna får en mer generell påverkan på företag och andra organisationer. Ett viktigt skäl till det är att de berörda verksamheterna kommer att behöva höja kraven på sina leverantörer, vilket skapar en effektiv spridningseffekt och en trolig generell höjning kring vad man förväntar sig av leverantörer. Dels i medvetenhet om sin cyberhygien och dels i form av konkret underlag och dokumentation. ### Varför sätter man inte igång? En typisk inställning bland många mindre bolag är att man har hygglig koll på sin informationshantering och IT, men att man är för små för att bedriva ett strukturerat arbete av typen ISO 27001. Det är sant att ramverk som ISO 27001 inte riktigt är anpassade för mindre bolag. Men konceptet att metodiskt gå igenom område för område för att hitta svagheter är lika relevant för små som stora organisationer. Det är bara en fråga om att hitta en metodik som är anpassad efter den egna verksamhetens förutsättningar. ### Första steget är medvetenhet Att inleda arbetet med sin cyberhygien behöver inte betyda att man etablerar tuffa inloggningskrav i alla delar av verksamheten eller att man behöver byta IT-infrastruktur. Inledningsvis handlar det om medvetenhet. Det kan vara att känna till var svagheterna finns. Det kan handla om att skapa dokumentation om hur man arbetar och det syftar till att etablera förutsättningar att successivt adressera sina svagheter eller att täppa till riskvektorer. ### Att sätta igång är nyckeln Det viktiga är att arbetet kommer igång och att man etablerar en överblick. Den hjälper till att veta vad man ska fokusera på och i vilken ordning. När cybersäkerhetslagen sedan är på plats kan man utifrån en mycket bättre position sätta en plan för hur man ska komplettera med det som saknas. Lantero erbjuder ett ramverk för arbetet som i praktiken är ett metodstöd där hela temat bryts ner i konkreta aktiviteter, som var och en har ett relevant underlag för att komma igång – och förhoppningsvis komma i mål.