Blogg

På Lantero följer vi noga utvecklingen kring NIS2-direktivet och hur cybersäkerhetskraven kommer att utvecklas för svenska organisationer. Från och med den 18 oktober 2024 skulle NIS2-direktivet ha implementerats i nationell lagstiftning. Men liksom många andra EU-länder dröjer implementeringen något för Sverige. Enligt SOU 2024:18 är en ny cybersäkerhetslag på väg att ersätta den nuvarande NIS-lagen och anpassa Sverige till ramarna i NIS2, men detta kommer inte att träda i kraft förrän i början av 2025. 7 november 2024 EU-kommissionen antar en förordning som specificerar NIS2:s krav för riskhantering och incidentrapportering, vilket etablerar nya ramar för vissa operatörer, inklusive molntjänstleverantörer, DNS-leverantörer och online-marknadsplatser. För operatörer som för närvarande omfattas av NIS-lagen representerar denna period en kritisk övergångsfas, där tidigare NIS-förpliktelser fortfarande gäller, men där man även måste börja beakta NIS2. Ramverket blir nu bredare, särskilt inom riskhantering och incidentrapportering enligt artikel 21 i direktivet. Vem berörs? - NIS2 kommer att bredda omfattningen jämfört med NIS. Direkt berörda grupper kommer nu även att inkludera leverantörer inom sektorer som DNS-tjänster, molntjänster och online-marknadsplatser. - Många företag och organisationer kommer att beröras indirekt i egenskap av leverantörer till direkt påverkade organisationer. I praktiken innebär det att de flesta organisationer måste ta hänsyn till de nya kraven för att kunna konkurrera långsiktigt. Lanteros LawLogic-koncept stöttar företag och organisationer i arbetet med att förstå och förhålla sig till de nya reglerna. Allt från vägledning om praxis till förenklade mallar och checklistor ingår i upplägget, så att ni kan säkerställa risker och minimera risker, utan att sätta externa konsulter i förarsätet. Med de nya reglerna ställer sig många frågan om huruvida de berörs av de nya reglerna, men frågan som borde ställas är snarast hur man berörs. Att man behöver förhålla sig till reglerna torde vara klart och Lanteros verktyg syftar till att göra materien tydlig och strukturerad, så att arbetet kan formuleras i konkreta aktiviteter och påbörjas.

NIS2-direktivet, vilket betyder Network and Information Security Directive, syftar till att stärka cybersäkerheten och motståndskraften mot cyberhot inom EU. Direktivet är en uppdatering av det tidigare NIS-direktivet och tar en rad nya steg för att öka kraven på företag och offentliga institutioner som hanterar kritisk infrastruktur eller viktiga tjänster. ### Påverkan på företag - Ökade kostnader: Företag kommer behöva investera mer i cybersäkerhet, inklusive teknik, utbildning och personal, för att uppfylla de nya kraven. - Större fokus på riskhantering: Cybersäkerhet måste integreras i företagets övergripande riskhanteringsprocess, och företagen måste vara förberedda på både att upptäcka och hantera cyberattacker snabbt. - Ökat tryck på leverantörer: Eftersom företag också ansvarar för sina leverantörers säkerhet, kan detta sätta press på hela leveranskedjan att implementera strikta säkerhetsåtgärder. Vid första påsyn kan NIS2 uppfattas som en angelägenhet för ett visst segment av näringsliv och offentlig förvaltning, men den troligaste effekten är att hela samhället lyfter nivån inom cybersäkerhet. Det beror dels på att berörda organisationer och företag behöver ha koll på sina leverantörer, men också för att den allmänna "hygiennivån" lär höjas och acceptansen för säkerhetsbrister generellt blir svårare att motivera. ### Utökad tillämpning Jämfört med den ursprungliga NIS-lagstiftningen kommer tillämpningen att utökas och omfatta flera områden. Förutom energi, transport, finans och hälsosektorn omfattas nu även: - Tillverkning av kritiska produkter (kemikalier, livsmedel) - Posttjänster och avfallshantering - Digitala tjänster (inklusive molntjänster, datacenter) - Rymdsektorn Vissa mindre företag som tidigare var undantagna kan också komma att inkluderas beroende på storlek och betydelse för samhällskritiska funktioner. ### Specifika krav Säkerhetskraven kommer generellt att bli hårdare, med konkreta krav inom riskhantering, säkerhetsövervakning, incidenthantering och att regelbundet genomföra sårbarhetsbedömningar. Vidare finns det en ambition om mer samordning på samhällsnivå när det gäller rapportering av incidenter. Därför ställs krav på formerna för rapportering från företag, inklusive vad som har gjorts för att hantera incidenten. Kraven backas upp med risk för betydande böter för det företag eller den organisation som inte rapporterar i tid. Bötesnivåerna kan likna de nivåer som tillämpas inom GDPR och steg tas också för att kunna gå på företagsledning och styrelseledamöter personligen. Sammanfattningsvis etableras sanktionsmöjligheter som syftar till att tvinga fram kraftiga och omedelbara insatser för att höja säkerhetsnivån hos alla berörda företag och organisationer. Idén om samordning tas också vidare till annan typ av informationsdelning, så att nationella cybersäkerhetsmyndigheter ska bli bättre på att jobba tillsammans och koordineringen förfinas mellan såväl länder som samhällssektorer.
Sammanfattningsvis är NIS2 en naturlig fortsättning på NIS, med samma underliggande anda, men med avsevärda uppstramningar i tillämpningen. För den som inte sneglat på NIS sedan tidigare och börjat att arbeta med frågorna ligger ett digert arbete i korten för de närmaste åren.

Lantero arrangerar ett seminarium för kommuner om visselblåsning och några vanliga frågeställningar i hanteringen av visselblåsarärenden. Det går av stapeln den 6 november klockan 15-16.30. I mer än tio år har Lantero arbetat med visselblåsarlösningar och är idag störst i Sverige inom kommunsektorn. Dagligen hjälper Lantero kommunkunder med visselblåsarärenden, vilket ger oss en unik möjlighet att guida inom både vad som gäller rent legalt och hur praxis ser ut bland olika typer av kommuner. Några vanliga frågeställningar som kommer att belysas på Lanteros seminarium är: * Jävssituation och hur de kan hanteras * Hur man ska förhålla sig till sekretessfrågan vid begäran av allmän handling * Vad som gäller kring GDPR när ett ärendet utreds vidare utanför visselblåsarsystemet och visselblåsarprocessen * Hur man ska se på begreppet "allmänintresse" i lagen när det gäller oegentligheter i kommunal verksamhet Målgruppen för detta seminarium är främst handläggare som arbetar med kommuners visselblåsartjänst och kommunjurister som tidvis involveras i handläggning eller ärendebedömning. Men det kan också vara aktuellt för en bredare krets, som på olika sätt är intresserade av det generella arbetet mot olika typer av missförhållanden i kommuner och i offentlig sektor i stort. Eftersom frågan knyter an till bredare frågor om hur kommuner och offentlig verksamhet fungerar, bedrägerier och välfärdsbrottslighet i stort, så kan det också vara aktuellt för välfärdssamordnare eller handläggare av mer specifika frågeställningar att delta vid detta seminarium. Det innebär också att exempelvis verksjurister på myndigheter eller regioner kan ha nytta av diskussionerna. Seminariet görs i form av ett webinarium, men det är också möjligt att delta hos oss på Lantero på Drottninggatan 71c i Stockholm. – Vi får ofta propåer från våra kommunkunder kring den här typen av aktiviteter, då man bland handläggare i visselblåsarfunkionerna hos kommuner uppenbarligen gärna vill utbyta erfarenheter med kollegor i andra kommuner eller externa experter, säger Andreas Wahlström, som ansvarar för seminariet från Lanteros sida. Vi kommer att göra vad vi kan för att involvera deltagarna och skapa en dynamisk diskussion.

De nya reglerna från EU (NIS2) angående säkerhet och beredskap inom samhällskritiska sektorer, kommer direkt eller indirekt att påverka de flesta delarna av samhället. För det enskilda företaget eller organisationen är det viktigt att kunna avgöra om man berörs av reglerna – även om en rimligare fråga nog är hur man berörs av NIS2.
Hur EU-direktivet i detalj ska implementeras i nationell lagstiftning är fortfarande inte klart, men i och med de stora linjerna i direktivet och de intentioner som uttryckts, så börjar det bli ganska klart hur man som företag eller organisation ska förhålla sig till och förbereda sig för den nya lagstiftningen. För att stötta i den inledande bedömningen hjälper Lantero till med korta översiktliga analyser. I ett 15-minutersmöte går vi igenom om man tydligt och direkt berörs av reglerna, eller om man potentiellt eller indirekt berörs. Målet med mötet är att bättre förstå hur man ska förhålla sig till reglerna, så att man kan ta kontroll över arbetet och allokera resurser dit de gör mest nytta. Oavsett om man ser NIS2 som en fråga om regelefterlevnad, om den egna säkerheten eller om kommersiella hänsyn kopplat till krav från kunder, så finns det skäl att känna till reglerna och ha en medveten strategi. Att själva ta kontroll över frågan minskar beroendet av externa konsulter och säkerställer att insatser görs i rätt ordning. Prioriteringarna kan skilja sig avsevärt beroende på om man exempelvis anlägger ett regelefterlevnadsperspektiv snarare än ett säkerhetsperspektiv. Men oavsett perspektiv så behöver man förhålla sig till var man som organisation står i förhållande till olika typer av risker kopplat till nätverks- och informationssystem. Och oavsett prioriteringar behöver man ställa sig frågor kring allt ifrån strategier och driftskontinuitet, till kryptografi, personalsäkerhet eller incidenthantering. Även den organisation som har en hög säkerhetsmedvetenhet har skäl att följa upp helheten och i vilken mån man arbetar i enlighet med best practice eller har gjort medvetna val efter de faktiska omständigheterna. Det första steget är att veta på vilket sätt man berörs av reglerna.

Som en fortsättning på de säkerhetskrav som ställdes upp i NIS-direktivet kommer nu uppföljningen NIS2. I det nya direktivet blir kraven hårdare, men framför allt kommer kontrollinstanserna att kunna tillämpa konkreta sanktioner för den organisation som brister i efterlevnaden. Direktivet implementeras under hösten i nationella lagstiftningar. Det huvudsakliga syftet är att höja säkerhetsnivån inom kritiska samhällssektorer. Men även företag och organisationer med indirekt koppling till dessa sektorer kan falla inom ramen för berörda verksamheter. Lantero har tagit fram några frågor som hjälper er att avgöra om ni behöver förhålla er till reglerna. Om svaret på någon av frågorna är ja så bör ni titta närmare på regelverket och etablera en plan eller ett förhållningssätt till de nya reglerna. * Tillhandahåller vi tjänster eller infrastruktur inom sektorer som energi, transport, bank, hälso- och sjukvård, vattenförsörjning eller digitala tjänster? * Har vi kunder inom samhällsviktiga verksamheter? (Även leverantörer och tredjepartsleverantörer kan omfattas av NIS2.) * Hanterar vi kritisk infrastruktur eller digitala tjänster som påverkar samhällets säkerhet eller ekonomiska stabilitet? (Organisationer som påverkar nationell eller samhällelig säkerhet är i regel inkluderade.) * Har vår organisation mer än 50 anställda eller en årlig omsättning som överstiger 10 miljoner euro? * Är vi beroende av nätverk och informationssystem för att tillhandahålla våra produkter eller tjänster? (NIS2 riktar sig mot organisationer vars verksamhet är beroende av digitala system.) * Har vi tidigare blivit utsatta för cyberattacker eller andra säkerhetsincidenter som kan ha påverkat vår verksamhet eller våra kunders integritet? (Företag som hanterar känslig data och varit måltavla för cyberhot kan omfattas.) Med anledning av att direktivet även träffar många underleverantörer till de primärt berörda organisationerna så blir det en angelägenhet för många. Det är ännu oklart hur noggrant uppföljningen av underleverantörernas NIS2-arbete kommer att göras, men troligt är att det kommer att vara en tydlig fördel att kunna peka på ett strukturerat arbete och en medvetenhet om var man står i förhållande till ramverket. – Vi möter många som upplever att regelverket är för långtgående och ställer krav på fler verksamheter än vad som vore nödvändigt. Samtidigt finns det en motsatt inställning bland många som arbetar nära säkerhetsfrågor, eller som har varit utsatta för olika typer av attacker. Man upplever då ofta att ramverket är klokt för de allra flesta att arbeta efter, säger Petter Tiger på Lantero.

Lantero har gjort en genomgång av hur kommunsektorn arbetar med visselblåsning/visselblåsarsystem och vilken typ av lösningar som används. I stort finns en medvetenhet om frågan och många arbetar metodiskt och seriöst, medan en förvånansvärt stor del av kommunerna ännu har tveksamma interna upplägg för visselblåsning. Den största leverantören inom sektorn är Lantero, med nästan en fjärdedel av Sveriges kommuner. Det är vidare många kommuner som arbetar med andra seriösa leverantörer, som erbjuder en tillfredsställande nivå på kunskap och handläggningsstöd. Nära fem procent av kommunerna har etablerat upplägg genom en samordnad rutin tillsammans med andra kommuner, vilket ofta innebär en pragmatisk och rimlig hantering av sekretessfrågan, men kan ha större frågetecken kring säkring av anonymitet och vidare missar möjlighet till specialiserad stödkompetens som en del av handläggningsprocessen. – Det som förvånar i vår genomlysning av visselblåsarfrågan hos kommuner är hur många som fortfarande saknar stöd från en oberoende part, säger Andreas Wahlström, partneransvarig på Lantero och den som gjort genomlysningen. När det kommer allvarliga ärenden så brukar nyttan med den hjälpen bli tydlig. Omkring en femtedel av alla Sveriges kommuner har satt upp interna lösningar av olika slag. Som lagstiftningen på området är utformad så finns det tolkningsutrymme kring vad det innebär att till exempel kunna garantera oberoende, säkerställa anonymitet/sekretess eller rapportera muntligen, men enligt Andreas Wahlström är det till stor del en fråga om att skapa trygghet och förtroende bland anställda. – Om IT-avdelningen har teoretisk möjlighet att komma åt information kring en anmälan så skapar det trovärdighetsproblem, även om det finns strikta regler för hur personerna på IT-avdelningen får söka och ta del av informationen. Det är värt att fråga sig vad en organisation ska göra för att kunna säga att man garanterar sekretess för visselblåsaren. I takt med att anti-korruptionsarbetet stärks inom kommunerna och visselblåsarsystemen blir en mer självklar del i arbetet mot missförhållanden, är det troligt att de kvarvarande hemmabyggda lösningarna snart kommer att ha bytts ut.

Sedan det blev obligatoriskt för arbetsgivare att ha en intern visselblåsarkanal har de arbetsgivare som använder Lanteros visselblåsarkanal mottagit över totalt 2 500 rapporter. Kommunal verksamhet har tre gånger så många rapporter jämfört med privat verksamhet. Införandet av visselblåsarlagen har inte varit utan utmaningar men vi kan se att många arbetsgivare har haft stor nytta av sina visselblåsarprocesser. ### Tack alla modiga och kloka Den 23 juni är det internationella visselblåsardagen. Med alla de tusentals ärenden som kommit in vill vi på Lantero passa på att uppmärksamma och tacka alla de modiga individer som tagit sig tid och energi att anmäla misstänkta missförhållanden. Vi vill också tacka alla de kloka arbetsgivare som tar visselblåsning på alvar och förstår nyttan med en väl fungerande visselblåsarprocess. ### Stora skillnader Lantero har kunder från både offentlig och privat verksamhet. Vi kan notera att offentlig verksamhet (i stor utsträckning kommuner) får tre gånger fler anmälningar jämfört med privata verksamheter. Orsakerna till detta kan vara flera: - Kommuner är verksamma inom många olika områden - Kommuner är normalt en relativt stor arbetsgivare - Kommuner är en stor inköpare av både varor och tjänster - Flera kommuner är utsatta för organiserad brottslighet Men vi tror även att det kan bero på att många kommuner varit väldigt ambitiösa med sin visselblåsarkanal. De har arbetat aktivt för att göra kanalen känd och uppmuntrat att den ska användas när behov finns. Att det kommer in många anmälningar behöver alltså inte vara något negativt. Det kan vara ett tecken på att arbetsgivaren är öppen med sitt intresse att förbättra verksamheten. ### Nya visselblåsarlagen är inte utan utmaningar Jämfört med den tidigare visselblåsarlagen är den nya mer omfattande. Det innebär inte att den nödvändigtvis är tydligare. T.ex. bedömningen om en inkommen rapport faller under visselblåsarlagen eller ej, ska baseras på ett antal faktorer som är öppna för tolkning. Vad innebär det att ett ärende har ”allmänhetens intresse” av att utredas? Om det inte med säkerhet kan fastställas att anmälaren har fått informationen i ett ”arbetsrelaterat sammanhang”, ska det inte klassas som ett visselblåsarärende då? Om ett ärende har allmänhetens intresse, men anmälaren inte omfattas av visselblåsarlagens skydd, vad är då arbetsgivarens ansvar? Vi tror att det centrala i svaret på ovan frågor ligger i visselblåsarlagens ursprungliga syfte: Att skydda uppgiftslämnare för att uppmuntra att människor ska våga anmäla misstänkta oegentligheter. Lagen har inte prövats i någon större omfattning än. Det innebär att det fortfarande finns otydligheter. En annan utmaning är kravet på oberoende i handläggningen av inkomna ärenden. Ett krav som vi tycker är helt rimligt och centralt i visselblåsarlagstiftningen. Däremot ser vi ofta att arbetsgivare har problem med att leva upp till det kravet. Särskilt när det gäller mindre arbetsgivare är det svårt att lösa detta med interna resurser. Då är det extra viktigt att från början ha väl formulerade, förankrade och kommunicerade rutiner för hur detta ska hanteras. Om en jävsituation uppstår vid handläggning av ett ärende ska det vara enkelt, självklart och välförankrat att plocka in en extern resurs. På ett övergripande plan kan vi tyvärr konstatera att vår erfarenhet är att interna visselblåsarkanaler har en viktig funktion att fylla. En funktion som på den korta tid som gått sedan nya lagen blev tvingande, har visat sig användbar och värdefull för många arbetsgivare. Lycka till alla modiga individer och kloka arbetsgivare! Internationella visselblåsardagen är till för er.

I samband med att kraven på visselblåsarkanal för mindre bolag började gälla i slutet av 2023 hade vi på Lantero en intensiv period. Vi har välkomnat många nya företag och organisationer som kunder. Vissa av er har vi tät kontakt med kopplat till ärenden eller annan rådgivning, medan andra har det betydligt lugnare. Vi finns alltid tillgängliga om ni behöver hjälp. Nu jobbar vi med nya tjänster, främst kopplat till arbete med regelverk, rapportering och handläggningsprocesser. Ett särskilt fokus är arbetet mot välfärdsbrottslighet och bedrägerier, vilket är ett område där det pågår en stark utveckling inom främst den offentliga sektorn. Välfärdsbrottslighet är för många kommuner och myndigheter ett särskilt fokus då kostnaderna under senare tid har ökat mycket snabbt och området har identifierats som den kanske främsta finansieringskällan för organiserad brottslighet. Vi har sedan tidigare nära samverkan med många kommuner inom närliggande områden och samverkar i detta projekt särskilt nära med en handfull kommuner som ligger långt framme i arbetet mot välfärdsbrottslighet. Tillsammans håller vi på att ta fram bra verktyg för det övergripande arbetet och i ett nationellt perspektiv även för delning av best practice på området. Om ni är intresserade av att delta i utvecklingsarbetet i kommande skeden så får ni gärna höra av er.   Visselblåsartjänsten utvecklas också vidare utifrån de kundkontakter vi har. Vi lägger till funktionalitet och gör verktyget mer lättarbetat. Bland annat har vi etablerat nya möjligheter att enkelt kunna backa ett ärende i handläggningsprocessen.  Som en del av Lanteros underhållsarbete kommer vi genomföra en servermigrering den 12:e Juni mellan 13.00 och 16.00. Under den tiden kommer systemet att vara otillgängligt för inloggning för handläggare och visselblåsare kommer inte kunna lämna en visselblåsarrapport via webbformuläret. Vi har valt att genomföra uppgraderingen under den tid på dygnet då nya visselblåsarärenden normalt inte rapporteras i systemet. Vi tackar på förhand för ert tålamod!

Lantero genomför en servermigrering den 12 juni mellan 13 och 16. Det innebär ett driftsavbrott under vilket tjänsten inte kommer att vara tillgänglig. Vi har valt att lägga driftsavbrottet under dagtid eftersom vi prioriterar tillgängligheten för visselblåsare och av erfarenhet vet att det rapporteras fler ärenden utanför kontorstid. Vi strävar ständigt efter att ha en så bra, säker och stabil tjänst som möjligt och uppskattar ert tålamod med detta tillfälliga driftsstopp. Tveka inte att höra av er med eventuella frågor eller synpunkter!

Av: Joakim Karlén Det förekommer allt oftare att Lanteros kunder i offentlig sektor får begäran om att lämna ut allmän handling och där den som begär uppgiften vill få ut dokument från visselblåsarsystemet. Ett antal sekretessbeslut kring utlämnande av handling har överklagats till Kammarrätterna och i det här inlägget gör jag en ansats att sammanfatta det nuvarande rättsläget utifrån utfallen i målen. ### Vad säger lagen? Sekretessen kring visselblåsning regleras i Offentlighets- och sekretesslag (2009:400) (hädanefter förkortat OSL). 17 kap. OSL reglerar ”Sekretess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn”. 17 kap. 3 b § OSL lyder: “Sekretess gäller i ett ärende om uppföljning enligt lagen (2021:890) om skydd för personer som rapporterar om missförhållanden, för uppgift som kan avslöja identiteten på en annan enskild än den rapporterande personen, om det kan antas att syftet med uppföljningen motverkas om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst femtio år.” Som synes gäller sekretessen i 17 kap. 3 b § för visselblåsaren och andra än visselblåsaren. Sekretessen har som syfte att skydda myndighetens verksamhet. 32 kap. OSL reglerar “Sekretess till skydd för enskild i verksamhet som rör annan tillsyn, granskning, övervakning, m.m.” I 32 kap. 3 b § OSL kan man läsa: “Sekretess gäller 1. i ett ärende om uppföljning enligt lagen (2021:890) om skydd för personer som rapporterar om missförhållanden, 2. hos en myndighet i ett personalärende om avskedande, uppsägning, meddelande av disciplinpåföljd eller en liknande åtgärd, som har sin grund i ett sådant ärende om uppföljning som avses i 1 avseende myndigheten, och 3. hos en myndighet i ett ärende om en annan åtgärd än enligt 2, som har sin grund i ett sådant ärende om uppföljning som avses i 1 avseende myndigheten. Sekretessen enligt första stycket gäller 1. för uppgift som kan avslöja den rapporterande personens identitet, och 2. för uppgift som kan avslöja identiteten på en annan enskild, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada eller men.” I första stycket nämns orden ”ärende om uppföljning” och med det avses arbetet kring ett visselblåsarärende och det material som ingår i ärendet. Den ursprungliga rapporteringen från uppgiftslämnaren, eventuella bilagor och utredningsdokument från interna eller externa utredare är exempel på information som är en del av en uppföljning enligt lagens mening. Kapitel 32 i lagen är som framgår ovan syftad att skydda individen. Från lagtexten ser man att sekretessen som beskrivs i andra stycket är stark, och att sekretess är utgångspunkten för en bedömning kring om handlingen skall lämnas ut eller inte. I punkten 1 som behandlar sekretessen för visselblåsaren finns inget skaderekvisit dvs. det finns inget krav på att enskild skall riskera att lida skada eller men för att sekretess skall råda kring uppgiften, sekretessen är absolut. I punkten 2 som behandlar sekretessen för andra än visselblåsaren finns ett så kallat omvänt skaderekvisit, det skall stå klart att ingen kommer lida skada eller men för att uppgiften skall kunna lämnas ut. ### Den nuvarande tolkningen enligt Kammarrätterna I det här kapitlet går vi igenom åtta avgöranden från tre olika Kammarrätter. I alla domsluten har Kammarrätterna hanterat överklaganden av myndigheters beslut att sekretessbelägga information med stöd av ovan nämnda paragrafer, främst 32 kap. 3 b § men även 17 kap. 3 b § OSL. 1. I Kammarrätten i Göteborgs dom i mål 1946-22 kom domstolen efter genomläsning av två dokument i ärendet fram till att ”Kammarrätten konstaterar att det inte återfinns några uppgifter om visselblåsarens identitet i de båda handlingarna varför någon absolut sekretess inte kan bli aktuell.”. Rätten kommer även fram till att sekretessprövningen, som lett till att stora delar av dokumenten maskerats, inte var tillfredsställande eftersom även delar av dokumenten som inte innehåller någon information som kan identifiera individer var maskerade. Kammarrätten ändrade därför det överklagade beslutet och avmaskerade delar av det ena dokumentet. Domstolen gav myndigheten bakläxa kring det andra dokumentet och bad dem göra en ny sekretessbedömning i enlighet med kammarrättens skäl. 2. I Kammarrätten i Stockholms dom i mål 6942-22 avslog rätten en överklagan om sekretess för ett visselblåsarärende med hänvisning till 32 kap. 3 b § OSL. I detta fall hade dokumentet maskerats i sin helhet eftersom myndigheten ansåg att det var nödvändigt för att säkerställa att uppgiftslämnaren inte skulle kunna identifieras, vare sig direkt eller indirekt. I avgörandet påtalade rätten att även konjunktioner och prepositioner kunde maskeras på grund av att de ensamma inte gav någon värdefull information till läsaren. 3. I tre avgöranden från Kammarrätten i Göteborg (897-23, 899-23 och 900-23) avgjorde domstolen tre mål om överklagande där en kommun sekretessbelagt handlingar i ett visselblåsarärende. I alla tre fallen fann rätten att kommunen tagit rätt beslut när de sekretessbelagt information från visselblåsarärenden eftersom det inte stod klart att informationen kunde röjas utan att enskildas identitet, i det här fallet utpekade individer, skulle kunna avslöjas. 4. Kammarrätten i Göteborgs dom i mål 5460-23 gällde ett överklagande i ett ärende som var lite annorlunda till sin karaktär. En person hade begärt ut dokumentation från ett visselblåsarärende där personen preciserat sin begäran genom att namnge en specifik person. Uppgiften huruvida det finns eller inte finns handlingar avseende en viss person i ett uppföljningsärende skulle enligt kammarrättens bedömning kunnat avslöja identiteten för en eventuell enskild och därför avslogs överklagan. 5. Kammarrätten i Göteborg gjorde en annan bedömning i sin dom i mål 512-24. I det aktuella fallet refererade domstolen till förarbetena till lagen (2021:890) om skydd för personer som rapporterar om missförhållanden (visselblåsarlagen) där det går att läsa "först om det vid skadeprövningen står klart att uppgiften kan röjas utan att personen lider skada eller men bör uppgiften kunna lämnas ut” (prop. 2020/21:193 s. 217). Kammarrätten ansåg att allmänintresset övervägde den risk för skada eller men som ett utlämnande kan medföra och beslutade att lämna ut handlingarna. 6. Kammarrätten i Sundsvalls dom i mål 640-2024 är den senaste domen som publicerats som behandlar ämnet. En myndighet hade sekretessbelagt en handling i ett visselblåsarärende med stöd av 17 kap. 3 b § OSL och beslutet överklagades. Kammarrätten refererade till förarbetena (prop. 2020/21:193 s. 205) och kom till slutsatsen att eftersom ärendet är avslutat föreligger ingen anledning att inte röja uppgifterna i ärendet eftersom syftet med uppföljningsärendet inte kan antas motverkas längre. Domstolen nämnde inte om informationen i handlingen skulle kunna riskera röja uppgiftslämnaren direkt eller indirekt vilket kan anses som en brist. I förarbetenas text angående 17 kap. 3 b § OSL skriver lagstiftaren att sekretessen kontinuerligt skall prövas och uppgifter skall lämnas ut när uppföljningen inte bedöms kunna försvåras eller hindras i och med utlämnandet och detta tog rätten fasta vid. Dock gäller denna kommentar i förarbetet inte för uppgiftslämnarens identitet, för vilken, enligt samma förarbete, sekretessen är absolut. Kammarrätten valde att inte på eget initiativ värdera ifall ett utlämnande skulle riskera leda till att en uppgiftslämnares identitet röjs enligt 32 kap. 3 b § OSL, den återförvisade målet till myndigheten för ny sekretessbedömning och skrev: ”Sekretess enligt 17 kap. 3b § OSL kan således inte anses föreligga. Däremot kan uppgifterna i handlingen omfattas av sekretess enligt någon annan bestämmelse.”. Hade Kammarrätten explicit nämnt 32 kap. 3 b § OSL som exempel på “annan bestämmelse” i sitt avgörande hade den sannolikt givit den beslutande myndigheten och andra läsare av avgörandet bättre ledning. ### Slutsatser och kommentar Den centrala delen i bedömning om information skall lämnas ut från visselblåsarärenden är ifall uppgiftslämnarens identitet riskerar att röjas. I de fall där det finns risk att visselblåsarens identitet kan röjas direkt eller indirekt råder absolut sekretess enligt Kammarrätterna . I de fall andra personers identitet riskerar röjas råder dessutom stark sekretess och sekretess är utgångspunkten när bedömningen görs. Vår slutsats är att rättsläget kommer vara fortsatt oklart fram till att ytterligare praxis meddelats, och att den övervägande delen av domslut som meddelats rekommenderar en stark sekretess vid hantering av begäran om allmän handling från uppföljningsärenden från visselblåsaranmälningar. Slutligen kan konstateras att det är, och kommer fortsatt vara, svårt för en domstol utan insyn i de lokala förhållandena på den beslutande myndigheten att värdera vilken information i en visselblåsarutredning som indirekt kan röja en uppgiftslämnares identitet. Ibland räcker det att läsa om sakförhållandena i en rapport för att ifrån dessa kombinerat med kunskapen om att bara en person kan veta om sakförhållandena kunna dra slutsatser om uppgiftslämnarens identitet. Därför bör domstolarna ta det absoluta sekretesskravet i visselblåsarlagstiftningen på allra största allvar och utifrån en försiktighetsprincip bara i undantagsfall ändra sekretessbeslut från den beslutande myndigheten baserade på 32 kap. 3 b § OSL. Syftet med lagstiftningen är att skydda uppgiftslämnaren. Därför är sekretesskravet absolut och den djupt rotade presumtionen avseende offentlighet kring allmän handling bör få stå tillbaka. ### Referenser #### Kammarrätten i Stockholm Kammarrätten i Stockholm mål nr 6942-22 #### Kammarrätten i Göteborg Kammarrätten i Göteborg mål nr 1946-22 Kammarrätten i Göteborg mål nr 897-23 Kammarrätten i Göteborg mål nr 899-23 Kammarrätten i Göteborg mål nr 900-23 Kammarrätten i Göteborg mål nr 5460-23 Kammarrätten i Göteborg mål nr 512-24 #### Kammarrätten i Sundsvall Kammarrätten i Sundsvall mål nr 640-24 #### Offentligt tryck Proposition 2020/21:193 Genomförande av visselblåsardirektivet