Regelefterlevnad – Digitala verktyg och personligt stöd

Vi samtalar med Joakim Karlén om informationssäkerhetspolicyn – ett grundläggande dokument inom cybersäkerhetsarbetet, men som ofta förbises i mindre verksamheter. Intervjuare: Vad menar vi egentligen med en informationssäkerhetspolicy, och varför är det här något som är viktigt även för lite mindre bolag? Joakim Karlén: – En informationssäkerhetspolicy är ett dokument som beskriver vilka regler, ansvar och roller som gäller i organisationen när det handlar om informationssäkerhet. Den kan vara ganska detaljerad, men också mer översiktlig – det viktiga är att den sätter ramen för hur informationssäkerheten ska fungera i bolaget. Intervjuare: Om man inte har en informationssäkerhetspolicy på plats – vilka risker finns då? Joakim Karlén: – Den största risken är att medarbetarna inte vet vad som gäller. De vet inte vilken roll de själva har, eller vilket ansvar de bär för att upprätthålla en hög informationssäkerhet. Det leder till otydlighet och i förlängningen till större sårbarhet i verksamheten. Intervjuare: Kan du ge ett exempel på vad en informationssäkerhetspolicy kan innehålla i praktiken? Joakim Karlén: – Ett enkelt exempel är hur man hanterar lösenord. Får man ha egna lösenord, eller måste man använda tvåfaktorsautentisering? Det är en typisk regel som ofta finns med, och som påverkar alla anställda i vardagen. Intervjuare: Hur gör man för att se till att policyn inte bara blir en pappersprodukt? Joakim Karlén: – Det är jätteviktigt att gå igenom innehållet med alla anställda – både vid nyanställning och löpande. Man måste utbilda personalen i vad som står i policyn och varför. Och sedan måste man leva som man lär – följa det som står. Annars får policyn ingen faktisk effekt. Intervjuare: Om man är en liten organisation och vill börja ta tag i informationssäkerhetsfrågorna – var börjar man? Joakim Karlén: – Först och främst behöver man ha koll på sin egen verksamhet. Vilka system använder ni? Vilka tillgångar har ni? Det är grunden. Sedan finns det mycket bra hjälp att få – färdiga mallar och exempel att utgå ifrån. Mitt råd är: börja inte från noll, utan utgå från ett beprövat exempel. På Lantero har vi utvecklat ett metodstöd för cybersäkerhetsarbete, där exempel på informationssäkerhetspolicyer och andra nyckeldokument ingår. – Ni är varmt välkomna att höra av er till oss om ni vill arbeta vidare med frågorna. Vi kan hjälpa till att sätta en plan och struktur för hur arbetet med informationssäkerhet kan se ut framåt. ## Sammanfattning En informationssäkerhetspolicy är inte bara ett dokument för byrålådan – det är en levande del av organisationens säkerhetsarbete. Genom tydliga regler, utbildning och ett systematiskt arbetssätt kan även mindre bolag höja sin cybersäkerhet markant.

Tillgänglighet handlar inte bara om att uppfylla lagkrav – det handlar om att göra produkter och tjänster användbara för fler. Hos Lantero arbetar vi med att hjälpa verksamheter att strukturera sitt arbete med lagar, regelverk och komplexa teman. I det här samtalet pratar vi med Joakim Karlén om den nya lagen om produkters och tjänsters tillgänglighet och hur mindre verksamheter kan ta sig an frågan på ett praktiskt och metodiskt sätt. ## Vad vill tillgänglighetslagen åstadkomma? – Tillgänglighetslagen är en ny lag, men den bygger på ett EU-direktiv från 2019, förklarar Joakim Karlén. Syftet är att öka tillgängligheten för produkter för personer med olika funktionshinder – till exempel syn- eller hörselnedsättning. Men egentligen handlar det om att förbättra produkter så att de fungerar bättre för alla. Lagen ställer krav på att både produkter och digitala tjänster ska vara möjliga att använda oavsett förmåga. Det innebär att allt från webbplatser till betalningsflöden behöver granskas med ”tillgänglighetsglasögon”. ## Hur kan man börja arbeta med tillgänglighet? För många mindre verksamheter kan frågan kännas överväldigande, men Joakim rekommenderar att börja enkelt: – Om man inte gjort så mycket arbete inom det här tidigare ska man börja med att undersöka nuläget. Det vill säga genomföra tester på sina nuvarande produkter för att se hur man ligger till gentemot de standarder som finns på marknaden. Det finns sedan länge etablerade standarder och ramverk för tillgänglighetsarbete, vilket gör det enklare att komma igång på ett strukturerat sätt. ## Tänk tillgänglighet redan i designfasen En viktig del i arbetet är att inkludera tillgänglighet redan från början: – Idealiskt sett ska man tänka på tillgänglighet i designfasen. Man brukar prata om “security by design” och “accessibility by design” – och det är precis så man bör arbeta. Det handlar om att bygga in tillgängligheten i utvecklingsprocessen från start. Genom att ta hänsyn till tillgänglighet redan i design- och utvecklingsfasen slipper verksamheter dyra anpassningar i efterhand och skapar samtidigt bättre användarupplevelser för alla. ## Ett metodstöd för alla typer av verksamheter Lantero har tagit fram en struktur och ett metodstöd för att hjälpa verksamheter arbeta med tillgänglighet på ett systematiskt sätt: – Vårt metodstöd lämpar sig för i princip alla verksamheter – stora som små, privata eller offentliga. Principerna är de samma. Fokuset ligger på att metodiskt gå igenom, utreda och förbättra tillgängligheten i ett strukturerat verktyg. För de organisationer som precis börjat titta på tillgänglighetsfrågor finns möjligheten att ta hjälp av Lantero för att sätta en plan framåt. – Om ni precis har börjat titta på de här frågorna är ni naturligtvis varmt välkomna att höra av er till oss. Vi kan hjälpa er att se hur arbetet kan struktureras och utvecklas över tid. ## Slutsats Tillgänglighetslagen innebär inte bara nya krav – den är en möjlighet att skapa produkter och tjänster som fungerar för fler, oavsett funktionsförmåga. Med ett strukturerat arbetssätt och rätt verktyg kan även mindre verksamheter ta ett stort kliv mot att bli mer inkluderande. 📣 Vill du veta mer om hur ni kan arbeta strukturerat med tillgänglighet? Läs mer på lantero.se eller kontakta oss för att se hur vi kan hjälpa er sätta en plan framåt.

När Lantero deltog vid Mötesplats Offentliga Affärer hölls ett seminarium om hur kommuner kan arbeta mer strukturerat mot välfärdsbrottslighet.
Petter Tiger från Lantero ledde samtalet med Emrah Ercin, säkerhetsstrateg i Nacka kommun, och Lena Törneskär, kommunstrateg mot välfärdsbrott i Eskilstuna kommun. ### Från politiskt uppdrag till kartläggning I Nacka började arbetet med ett politiskt initiativ. Kommunledningen ville förstå hur utbrett problemet med välfärdsbrottslighet faktiskt var. Emrah Ercin berättar att det första steget blev att genomföra en systematisk kartläggning. För att skapa en bild av nuläget intervjuades kommunens direktörer om hur de såg på riskerna i sina respektive verksamheter. Parallellt granskades reglementen, inköpspolicyer och andra styrande dokument för att identifiera svagheter och förbättringsområden. Resultatet visade att riskerna inte bara handlar om enstaka händelser, utan om strukturer. Framför allt inom ekonomi, upphandling och avtalsuppföljning fanns utrymme att stärka processerna.
– Vi såg att det behövdes ett mer proaktivt och sammanhållet arbetssätt – inte en massa stuprör, säger Emrah. Kartläggningen blev också ett verktyg för att väcka frågan internt. Genom temadagar och utbildningar fick både chefer och medarbetare en gemensam förståelse för vad välfärdsbrottslighet innebär och varför den angår alla. ### Kunskap, engagemang och kultur Att öka medvetenheten är ett återkommande tema. I Nacka har seminarier och utbildningar gett tydliga effekter – personalen är mer uppmärksam på avvikelser och vågar lyfta frågor. Lena Törneskär i Eskilstuna håller med, men betonar vikten av att arbeta i flera lager:
– Det räcker inte att utbilda ledningen och tro att kunskapen sipprar ner. Jag behöver som strateg jobba nära förvaltningarna, lyssna på deras behov och anpassa insatserna. Hon beskriver hur hon tagit fram en intern film om systematiskt brottslighet för alla medarbetare, men också bjuder in sig själv till förvaltningar för att driva arbetet mer hands-on.
– Man måste ner i verksamheten. Det finns ingen ’one size fits all’, säger hon. På frågan om vad som ger störst effekt svarar Lena med ett leende:
Utbildning är bra – men skandaler är bättre. När konkreta fall uppmärksammas tvingas verksamheten agera. ### Riskerna i vardagen – från inköp till fakturor En central del av samtalet handlar om de praktiska riskerna i kommunernas vardag.
Emrah pekar på upphandlingar och inköp. – bland tecknas avtal med leverantörer utan att kommunen verkligen vet vem man handlar med. Bakgrundskontroller görs sällan tillräckligt noggrant, och avtalsuppföljningen är ofta bristfällig. Även attestflöden kan vara en svag punkt.
– Det går ibland för snabbt. Chefer får många fakturor och hinner inte granska ordentligt om innehållet stämmer mot avtalet, säger Emrah. Lena fyller i med ett konkret exempel:
– Det händer att medarbetare går på känsla och handlar utanför avtal. Jag minns en diskmaskin som köptes direkt i butik – leverantören visade sig ha företrädare dömda för bokföringsbrott. Det visar hur små vardagsbeslut kan bli stora risker. ### Samverkan som nyckel – Eskilstunas modell I Eskilstuna har arbetet utvecklats mot en mer samverkande modell. Lena beskriver hur kommunen samarbetar med polisen och Center mot arbetslivskriminalitet i myndighetsgemensamma insatser.
– Vi vill motverka osund konkurrens. När företag fuskar med skatter och arbetsvillkor skadas både arbetstagare och seriösa företagare. Kommunen använder flera konkreta verktyg: man begär ut uppgifter från Allmänna reklamationsnämnden, kontrollerar folkbokföring på industrifastigheter och följer upp föreningsbidrag.
Resultaten är tydliga – i över 25 samverkansinsatser har varje granskad verksamhet fått någon form av anmärkning. Lena arbetar även nära verksamheterna i praktiken. Hon sitter ofta ute på förvaltningar och hjälper till i konkreta ärenden – från föreningsbidrag till tillståndsfrågor.
– Jag ska egentligen jobba strategiskt, men jag är hellre operativ. Det är där man ser effekten. ### Ledning, mandat och uthållighet Både Emrah och Lena återkommer till ledningens betydelse. I Nacka har politiska beslut gett arbetet legitimitet och kontinuitet – det finns ingen sluttid.
– Kartläggningen gav oss mandat. Alla är med på tåget, säger Emrah. I Eskilstuna har Lena själv initierat en ny punkt i kommunstyrelsens internkontrollplan, som handlar om att följa upp hur förvaltningarna hanterar sina risker.
– Det är viktigt att bygga in frågan i styrningen, annars blir det bara tillfälliga satsningar. ### Råd till mindre kommuner Hur gör man om man inte har samma resurser?
Lena menar att politiskt stöd är första steget. – Visa hur frågan ser ut lokalt, ta fram konkreta exempel och förklara varför det angår alla. Få politiken med dig. Hon rekommenderar också att kommuner krokar arm med grannkommuner och med lokalpolisen.
– En liten kommun kan inte göra allt själv, men tillsammans finns kraft. Emrah håller med och tillägger:
– Börja enkelt. Gör en nulägesanalys, identifiera riskerna, och bygg en process för att följa upp och förbättra. ### ”Välfärdsbrott är våra gemensamma pengar” Avslutningsvis påminner båda om varför arbetet är viktigt.
Lena berättar om ett ärende där en person använt dubbla identiteter och fått bidrag i två kommuner – även för en bror som inte existerade.
– Välfärdsbrott är en upptäcktsbrottslighet. Utan kompetens och uthållighet hittar vi dem inte. Emrah sammanfattar:
– Det handlar om våra gemensamma pengar och om demokratin. Alla i kommunen har ett ansvar.