lagen.
Ds

Granskning av Lantmäteriets informationssäkerhet

Beteckning
Ds 2026:2
Typ
Ds
Datum
2026-02-13

Källa

1

Granskning av Lantmäteriets informationssäkerhet

2

SOU och Ds finns på regeringen.se under Rättsliga dokument.

Svara på remiss Statsrådsberedningen, SB PM 2021:1. Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.

Omslag: Regeringskansliets standard Tryck och remisshantering: Åtta45, Stockholm 2026

ISBN 978-91-525-1471-9 (tryck) ISBN 978-91-525-1472-6 (pdf) ISSN 0284-6012

3

Förord

Regeringen beslutade den 10 april 2025 att en utredare ska granska Lantmäteriets arbete med informationssäkerhet i myndighetens manuella hantering och digitala system (LI2025/00816). I samma beslut bemyndigade regeringen det statsråd som har till uppgift att föredra ärenden om Lantmäteriet att utse utredare och besluta om annat biträde åt utredaren. Statsrådet Andreas Carlson förordnade den 11 april 2025 tidigare kammarrättspresidenten i Kammarrätten i Göteborg Dag Stegeland att som utredare genomföra den nämnda granskningen (LI2025/00825). Kammarrättsrådet och vice ordföranden Niclas Falkendal och rådmannen Victoria Röshammar har arbetat som ämnessakkunniga i uppdraget. Denna promemoria är resultatet av ett gemensamt arbete av mig och de ämnessakkunniga. Den är därför skriven i vi-form. Jag är dock ensam ansvarig för slutsatserna. Genom promemorian, Granskning av Lantmäteriets informationssäkerhet, är uppdraget slutfört.

Göteborg i februari 2026

Dag Stegeland /Niclas Falkendal Victoria Röshammar

19

Sammanfattning

Uppdraget

Enligt vår uppdragsbeskrivning har det kommit fram uppgifter som tyder på att det finns brister i Lantmäteriets arbete med informationssäkerhet och i myndighetens hantering av uppgifter som omfattas av sekretess och personuppgifter. Vi har därför haft i uppdrag att granska Lantmäteriets arbete med informationssäkerhet i myndighetens manuella hantering och digitala system. Vi har avgränsat vårt arbete till att i huvudsak avse Lantmäteriets arkiv för förvaring av digitaliserade förrättningsakter, den så kallade Arken. Vi har i vårt arbete identifierat ett antal brister och risker inom Lantmäteriets säkerhetsskydd och informationssäkerhet, hanteringen av utlämnande av allmän handling och myndighetens behandling av personuppgifter. I vårt uppdrag har även ingått att utreda frågan om arkivansvaret för de digitala akter som de kommunala lantmäterimyndigheterna förvarar i Arken och ansvaret för att lämna ut och sekretessgranska dem. Vi har också haft i uppdrag att vid behov föreslå åtgärder som stärker Lantmäteriets arbete med informationssäkerhetsfrågor och samtidigt ger förutsättningar för Lantmäteriet att fullgöra sina uppgifter enligt sin instruktion på ett effektivt sätt.

Stängningen av digitala tjänster

Lantmäteriet har under många år tillhandahållit digitala tjänster till olika aktörer, bland annat myndigheter och enskilda. Genom tjänsterna har förrättningsakter i Arken funnits tillgängliga på Lantmäteriets webbplats genom direktåtkomst. Lantmäteriets styrelse beslutade den 22 maj 2024 att all extern tillgång till Arken med omedelbar verkan skulle stängas. Anled-

17

20

Sammanfattning

ningen var enligt beslutet för styrelsen tidigare okända brister i rutinerna kring sekretessprövning i samband med utlämnande av allmän handling och risken för att det förekom säkerhetsskyddsklassificerade uppgifter i bland annat Arken. Stängningen beslutades sedan av generaldirektören den 24 maj 2024. Åtgärden och följderna av den kallas inom Lantmäteriet ”den särskilda händelsen”. Efter vår granskning instämmer vi i att angivna brister har funnits och anser att de, särskilt med beaktande av rådande säkerhetsläge, är mycket allvarliga. Vår utredning har dock visat att frågan om det förekommer säkerhetsskyddsklassificerade uppgifter i Arken har varit aktuell inom Lantmäteriet under en längre tid. Vi anser därför att myndigheten långt tidigare och skyndsamt borde ha vidtagit åtgärder för att komma till rätta med bristerna. Till det kommer att såväl känsliga som skyddade personuppgifter kan förekomma i akterna. Stängningen av de digitala tjänsterna var därför enligt vår bedömning nödvändig. För de individer som har haft sina personuppgifter, i vissa fall känsliga eller skyddade sådana, i Lantmäteriets system har genom det kontinuerliga utlämnandet av uppgifter utan sekretessprövning, risken för den personliga integriteten och i vissa fall även säkerheten varit påtaglig. Konsekvenserna av de risker som hanteringen av personuppgifter inneburit är emellertid inte möjliga att bedöma i efterhand. Allvaret i och riskerna med den bristande informationssäkerheten hos Lantmäteriet får typiskt sett bedömas utifrån vilka konsekvenser som bristerna kan antas leda till. Men konsekvenserna för Sveriges säkerhet är svåra att överblicka. En rimlig utgångspunkt är att alla uppgifter i Arken som har legat åtkomliga för externa brukare, och därmed varit tillgängliga för främmande makt eller antagonister av skilda slag, är röjda. Det är i sig utomordentligt allvarligt. Att så har varit fallet under mycket lång tid gör detta förhållande än mer problematiskt. Det bör tilläggas att det inte bara handlar om enskilda uppgifter. För den som så önskat har det funnits god tid att kartlägga och sammanställa och att komplettera uppgiftsinsamlandet. Sett till potentiella konsekvenser av Lantmäteriets bristande informationssäkerhet är ytterligare en rimlig utgångspunkt att det för varje myndighet eller annan aktör med känsliga fastigheter, anläggningar eller verksamheter, vars uppgifter funnits öppet tillgängliga

18

21

Sammanfattning

hos Lantmäteriet, krävs ett omtag. En risk- och konsekvensanalys får göras utifrån att alla känsliga uppgifter som funnits i Lantmäteriets öppna system har röjts. Därefter får övervägas vilka åtgärder som kan vidtas för att öka skydd och säkerhet. Perspektivet här är långt större än enbart Lantmäteriets verksamhet – det handlar om hela Sveriges säkerhet. I Lantmäteriets arbete sedan den särskilda händelsen är ambitionen att på nytt öppna de digitala tjänsterna i vart fall i förhållande till myndigheter. I dag är exempelvis rutinen att allmänna handlingar inte i något fall lämnas ut utan sekretessprövning. Den och andra vidtagna åtgärder framstår för oss som relevanta, men behöver kvalitetssäkras. Vi gör dock ett antal bedömningar som innebär att det kan ifrågasättas om det för närvarande är lämpligt att öppna de digitala tjänsterna igen. Vi menar att regeringen bör ge Lantmäteriet tydlig styrning och budget, antingen är fokus ett snabbt återöppnande av digitala tjänster eller ett fortsatt manuellt utlämnande.

Övriga brister i Lantmäteriets informationssäkerhet

Lantmäteriet hanterar mycket stora informationsmängder. Avsaknaden av en övergripande struktur i myndighetens arbete med informationssäkerhet har varit påtaglig och hänger samman med brister inom den interna styrningen och kontrollen. Med utgångspunkt i Myndigheten för civilt försvars föreskrifter om informationssäkerhet för statliga myndigheter 1 har dock Lantmäteriet grunderna i sitt informationssäkerhetsarbete på plats, åtminstone delvis. Det systematiska informationssäkerhetsarbetet har stannat av, vilket bland annat berott på att arbetet med den särskilda händelsen behövt prioriteras. Det systematiska arbetet behöver komma i gång igen, vilket även poängterats av Lantmäteriet. Informationsklassningen av Lantmäteriets informationsmängder behöver slutföras. En informationsägare är den som äger och ansvarar för att information är riktig och tillförlitlig samt för det sätt genom vilket informationen lagras och sprids. Informationsägarskapet inom myndigheten måste förtydligas, bland annat vad gäller de akter från de kommunala lantmäterimyndigheterna som förvaras i Arken.

1 MSBFS 2022:6.

19

22

Sammanfattning

Lantmäteriets digitala system är delvis omoderna och har inte byggts utifrån de behov som finns i dag. För att kunna hålla akter tillgängliga i digitala system på ett liknande sätt som tidigare behöver systemen ses över.

Orsaker till bristerna i informationssäkerheten

Vi har i vårt arbete funnit ett antal bidragande orsaker till bristerna i informationssäkerheten inom Lantmäteriet.

Utmaningar för Lantmäteriet

Flera och ökade krav som inneburit utmaningar för Lantmäteriet har haft betydelse för myndighetens prioriteringar. Sådana krav har varit öppna data, tillgänglighet, digitalisering, en ekonomi i balans och kortare handläggningstider främst inom fastighetsbildningsområdet. Fokus inom myndigheten har legat på att möta dessa krav och inte på säkerhetsskydd och informationssäkerhet.

Lantmäteriets roll som förvaltningsmyndighet och kultur

Vår bedömning är att Lantmäteriet har haft svårt att hålla fast vid och komma till rätta med sin roll som förvaltningsmyndighet och den statliga värdegrunden. Vikten av en god förvaltningskultur, som innefattar den statliga värdegrunden och tjänstemannarollen, har inte lyfts fram i tillräcklig utsträckning. Lantmäteriets roll och funktion som förvaltningsmyndighet behöver därför framhållas inom myndigheten. Vi har också konstaterat att beslutsprocesserna i Lantmäteriet har präglats av en konsensuskultur, där det har varit viktigt att vara överens hellre än öppna diskussioner där åsikter bryts mot varandra och hellre än att ensam fatta beslut. Denna kultur kan ha bidragit till att det tagit för lång tid att fatta beslut och till att beslut varit bristfälligt underbyggda. De tre verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning och Geodata har i stor utsträck ning arbetat i ”stuprör”, det vill säga mer på varsitt håll än myndighetsövergripande och gemensamt. Bristande samsyn inom myndigheten har bidragit till brister

20

23

Sammanfattning

inom flera områden. Ett exempel är att verksamhetsområdena har haft olika uppfattningar i frågan om det funnits säkerhetsskyddsklassificerade uppgifter i Arken.

Brister i den interna styrningen och kontrollen

För att en myndighet ska kunna bedriva ett systematiskt informationssäkerhetsarbete krävs en välfungerande intern styrning och kontroll. Det har under lång tid funnits brister i den interna styrningen och kontrollen inom Lantmäteriet. De har enligt vår mening påverkat informationssäkerheten i stor utsträckning. Ett exempel är att det saknats ett tydligt myndighetsövergripande juridiskt stöd för att säkerställa regelefterlevnad och intern styrning och kontroll. Myndigheten är väl medveten om de brister som funnits. De åtgärder som numera genomförts och planeras bedömer vi vara steg i rätt riktning. Mycket arbete återstår dock.

Ledningen – roller och ansvar av betydelse för

säkerhetsskydd och informationssäkerhet

Lantmäteriets ledningsstruktur utgår från styrelseformen där styrelsen har det yttersta ansvaret för myndighetens ledning och styrning. I det innefattas ansvaret för myndighetens säkerhetsskydd, inklusive informationssäkerheten. Inom ramen för den interna styrningen och kontrollen lägger styrelsen fast den övergripande inriktningen för verksamheten, i regel i samspel med generaldirektören som verksamhetsansvarig myndighetschef. I sammanhanget bör nämnas även internrevisionen som styrelsens organ. Inom Lantmäteriet har generaldirektören organiserat myndighetens ledning i en ledningsgrupp där bland andra myndighetens verksamhetsområdeschefer ingått. I en välfungerande organisation och verksamhet är samspel ett nyckelord. Och det bygger på väl genomarbetade strukturer på systemnivå med tydlig fördelning av det organisatoriska ansvaret i verksamheten. Det bygger också på tydlighet när det gäller ansvar och beslutsbefogenheter samt beslutsförmåga. Som nämnts har det inom Lantmäteriet funnits stora utmaningar i att få till det som innefattas i en organisations interna styrning och kontroll. Problemen, som har

21

24

Sammanfattning

varit generella, har fått mycket allvarliga återverkningar inte minst på informationssäkerheten. Vi har dragit vissa slutsatser när det gäller de olika ledningsorganen eller det man kan kalla chefsleden. Dessutom har vi gjort bedömningar som berör internrevisionen. Vi uttalar oss också om chefs- och ledarskapet i stort inom Lantmäteriet.

Styrelsen

Säkerhetsskydds- och informationssäkerhetsfrågor borde enligt vår mening ha tagits upp mer ingående vid styrelsens sammanträden. När det gäller förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken och bristerna i rutinerna i samband med utlämnande av allmänna handlingar och behandlingen av personuppgifter borde styrelsen, som haft stöd av internrevisionen, ha agerat tidigare. Det gäller även om generaldirektören också på ett tydligare sätt borde ha informerat styrelsen. Vi anser vidare att styrelsearbetet behöver utvecklas för att styrelsen ska kunna ta ansvar för Lantmäteriets styrning och kontroll. Styrelsen bör också utveckla hur man följer upp de beslut som fattats.

Generaldirektören

Generaldirektören borde skyndsamt och långt tidigare ha vidtagit åtgärder med anledning av förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken och de övriga brister som vi har konstaterat. Styrelsen borde ingående ha informerats om bristerna.

Ledningsgruppen

Lantmäteriets ledningsgrupp har i stort fungerat som ett beredningsorgan, vilket enligt vår mening inte är lämpligt. De chefer som ingått i ledningsgruppen har genom sina respektive funktioner i verksamheten i övrigt och genom ett delegerat informationsägarskap haft ett informationssäkerhetsansvar. Härigenom och som ledamöter i ledningsgruppen har de haft ett ansvar för att åtgärder inte

22

25

Sammanfattning

skyndsamt vidtagits med anledning av förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Detsamma gäller i fråga om bristerna i hanteringen av allmänna handlingar och behandlingen av personuppgifter.

Internrevisionen

Internrevisionen har genomfört ett antal angelägna och väl utförda granskningar. Uppföljningen av internrevisionens rekommendationer har dock inte fungerat tillfredsställande. Relationen mellan generaldirektören och internrevisionen har med tiden blivit sämre, vilket påverkat arbetsklimatet och med det internrevisionens arbete. De åtgärder som Lantmäteriet numera vidtagit för att förbättra myndighetens hantering av internrevisionens granskningar framstår som lämpliga men en särskild uppföljning av dessa är motiverad.

Chefs- och ledarskapet

Den organisatoriskt spridda verksamheten i Lantmäteriet ställer stora krav på ett väl utvecklat chefs- och ledarskap. Detsamma gäller utifrån myndighetens komplexa verksamhet med kontinuerligt nya uppdrag att hantera. Förståelsen för Lantmäteriets myndighetsroll och uppdrag behöver som nämnts befästas. Samtidigt behöver samsynen om att alla verksamhetsområden ska bidra till det övergripande målet med verksamheten öka. Här menar vi att cheferna ska vara förebilder. Utrymmet för att tycka olika och att i ledningsgruppen föra fram olika uppfattningar bör öka. Alla chefer bör ges möjlighet att utveckla sitt personliga ledarskap och sin chefsroll. Lantmäteriet bör i chefsledet satsa på kompetensutveckling om grundläggande rättsregler av betydelse för myndighetsstyrning och regelefterlevnad. Att frågor om säkerhetsskydd och informationssäkerhet samt offentlighet och sekretess och personuppgiftsbehandling kräver särskilda utbildningsinsatser är givet.

23

26

Sammanfattning

Övriga informationssäkerhetsfrågor inom Lantmäteriet

En plan för hur uppföljning av informationssäkerhetsarbetet ska ske behöver tas fram. Dessutom behöver myndighetens ledningssystem för informationssäkerhet uppdateras. Så kallade facilitatorer eller koordinatorer för informationssäkerhetsarbetet bör om möjligt utses inom samtliga verksamhetsområden. På så sätt kan den centrala funktionen fokusera på det myndighetsövergripande informationssäkerhetsarbetet. Det bör beslutas och vara reglerat vem som ska ha det myndighetsövergripande ansvaret för att informationsägare utses för nya informationsmängder och för de informationsmängder där det är otydligt vem som har ansvaret. Lantmäteriets ansvar för informationssäkerhet bör framhållas i myndighetens instruktion. Samtliga fastighetsägare och andra aktörer som hanterar fastigheter eller samhällsviktiga anläggningar eller verksamheter av betydelse för Sveriges säkerhet bör vara skyldiga att löpande lämna uppgifter till Lantmäteriet om sådana fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Uppgiftsskyldigheten bör vara författningsreglerad. Ett råd med fokus på informations- och cybersäkerhet, med representation från offentlig- och privaträttsliga subjekt som driver säkerhetskänslig verksamhet av betydelse för Sveriges säkerhet, bör inrättas vid Lantmäteriet. Rådet ska vara en del i att Lantmäteriet ska kunna ta ansvar för informationssäkerheten inom sitt verksamhetsområde. Rådet ska bidra till ökad kunskap och kompetens hos de aktörer som hanterar säkerhetskyddsklassificerad information eller i övrigt uppgifter av betydelse för Sveriges säkerhet. Frågan om uppgiftsskyldighet för berörda subjekt och den närmare utformningen av ett råd för informations- och cybersäkerhet bör beredas vidare inom Regeringskansliet. I det innefattas nödvändig författningsreglering.

Utlämnande av allmän handling efter begäran

Handlingar som har funnits i Arken har efter begäran – utan sekretessprövning – lämnats ut av Lantmäteriet. Hanteringen har varit

24

27

Sammanfattning

kopplad till det faktum att handlingarna har bedömts säkra att lämna ut, eftersom de har legat öppet tillgängliga i Arken. En överhängande risk har funnits för att såväl säkerhetsskyddsklassificerade som andra uppgifter som borde ha skyddats av sekretess har lämnats ut även på detta sätt. Att Lantmäteriet rutinmässigt lämnat ut akter som kunnat innehålla sekretesskyddade uppgifter utan en föregående sekretessprövning av innehållet bygger på att myndigheten felaktigt bedömt och tillämpat gällande rätt i fråga om offentlighet och sekretess. Det är samtidigt kopplat till bristerna i fråga om intern styrning och kontroll. Lantmäteriet har haft en alltför långsam takt när det gäller att komma till rätta med uppmärksammade brister i fråga om manuellt utlämnande av allmänna handlingar. Kundcenters medarbetare har följt givna direktiv, och kan inte lastas för hur frågan har hanterats.

Lantmäteriets behandling av personuppgifter

Såväl känsliga som skyddade personuppgifter kan förekomma i fastighetsbildningsakterna. Det kan ifrågasättas om det har varit nödvändigt för Lantmäteriet att tillhandahålla personuppgifter i den omfattning som har gjorts genom att samtliga arkivakter, trots detta känsliga innehåll, funnits öppet tillgängliga. I likhet med bedömningen i fråga om säkerhetsskyddsklassificerade uppgifter i Arken borde Lantmäteriet långt tidigare och skyndsamt ha vidtagit åtgärder för att komma till rätta med problemen. Arkenförordningen är tillämplig på Lantmäteriets tillhandahållande av personuppgifter och det är därför inte möjligt att välja bort den för att i stället tillämpa dataskyddslagen. Arken innehåller känsliga personuppgifter. Enligt förordningen är behandling av känsliga personuppgifter inte tillåten, vilket Lantmäteriet har att förhålla sig till. Det finns anledning att se över förordningen. Det kan ifrågasättas om Lantmäteriet har säkerställt att samtliga principer för dataskydd följts, eftersom man avstått från att tillämpa gällande förordning, när det gäller att tillhandahålla personuppgifter till andra aktörer. Det gäller vid såväl direktåtkomst som manuellt utlämnande av akter.

25

28

Sammanfattning

Lantmäteriet behöver säkerställa att myndighetens inriktning mot öppna digitala tjänster i förhållande till andra myndigheter har stöd i dataskyddslagstiftningen. I det ingår att genomföra lämpliga tekniska och organisatoriska åtgärder för att bland annat säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål behandlas. Lantmäteriet behöver i samråd med de kommunala lantmäterimyndigheterna förtydliga personuppgiftsansvaret för dessa myndigheters arkivakter i Arken.

Arkivansvaret för de kommunala

lantmäterimyndigheternas akter i Arken

Arkivansvaret bör ligga på den myndighet som skapar arkivmaterialet. De kommunala lantmäterimyndigheterna förvarar digitala arkivakter i Arken och har arkivansvaret för dessa. Lantmäteriet har inte något arkivansvar för akterna. Det finns inte skäl att ändra den ordningen. Dock bör i författning tydliggöras att respektive myndighet har ansvaret för att arkivera sin information. Det bör förtydligas även vad som gäller om ansvaret för arkiveringssystemet som sådant.

Utlämnande av de kommunala lantmäterimyndigheternas

akter

Även om Lantmäteriet inte har arkivansvar för de kommunala lantmäterimyndigheternas akter har Lantmäteriet ansvar för att från Arken lämna ut sådana akter som myndigheten har tillgång till.

Lantmäteriets förvaring och tillhandahållande av

kommunala lantmäterimyndigheters akter

Det saknas ett fullständigt och tydligt rättsligt stöd för Lantmäteriet att förvara och tillhandahålla även andra myndigheters arkivakter. Ansvaret för säkerhetsskydd, informationssäkerhet och personuppgifter när det gäller de kommunala lantmäterimyndigheternas akter i Arken behöver förtydligas.

26

29

Sammanfattning

Avtalen mellan Lantmäteriet och de kommunala lantmäterimyndigheterna är delvis oklara, bland annat när det gäller de begrepp som används. Avtalsparterna har inte, i alla delar, samma uppfattning om avtalens innebörd. Lantmäteriet bör därför initiera en översyn av avtalen för att skapa samsyn om avtalsinnehållet.

Ett större fokus på informationssäkerhetsfrågor

Informationssäkerhetsfrågor behöver få ett större fokus i myndigheternas arbete. Riksdag och regering har ett ansvar för att så blir fallet, vilket är en fråga som får övervägas i annat sammanhang. Som ett led i detta är det inom en myndighet angeläget med regelbunden utbildning i informationssäkerhet. Utbildningen bör omfatta myndighetens ledning. När det gäller nytillträdda styrelseledamöter bör informationssäkerhet utgöra en större del i den utbildning som Regeringskansliet i dag svarar för. Detsamma bör allmänt gälla för nytillträdda generaldirektörer.

Tillsynsfrågor

Enligt säkerhetsskyddslagstiftningen har olika tillsynsmyndigheter tillsynsansvar över Lantmäteriet respektive de kommunala lantmäterimyndigheterna och därmed över i allt väsentligt samma informationsmängder och system, bland annat Arken. Samordning mellan tillsynsmyndigheterna är viktigt. Det är också angeläget att tillsynsmyndigheterna ger vägledning och därmed stöd till en myndighet som hanterar säkerhetskänsliga uppgifter.

Konsekvenser av förslagen

Det vi lyfter om förbättringar i arbetet med informationssäkerheten är egentligen inte något nytt. Allt ingår i det uppdrag som Lantmäteriet som myndighet redan har och är därmed anslagsfinansierat. Som vi har konstaterat är ett antal åtgärder i stora delar igångsatta. Det gäller bland annat i fråga om att utveckla den interna styrningen och kontrollen, och får med det anses ha beaktats i budgetdialogen.

27

30

Sammanfattning

Vi gör i övrigt vissa bedömningar som hänger ihop med Lantmäteriets behov av rekrytering för de två granskningsfunktioner som har inrättats för att klara granskningen vid utlämnande av allmänna handlingar. Myndigheten har uppgett att man kommer att aktualisera frågan med Regeringskansliet inför arbetet med vårändringsbudgeten. Mot bakgrund av de olika allvarliga brister som har uppmärksammats vill vi framhålla vikten av att Lantmäteriet ges tillräckliga resurser och även styrning när det gäller frågor om informationssäkerhet, sekretesshantering och personuppgiftsbehandling. Av allt att döma kan kapaciteten i form av personalresurser fortsatt komma att behöva utökas beroende på om, när och i vilken utsträckning som digitala tjänster och utvecklade IT-system kan tas i bruk. Vidare är Lantmäteriets digitala system delvis omoderna. De har inte byggts utifrån de behov som finns i dag. För att kunna hålla akter tillgängliga digitalt på ett liknande sätt som tidigare är det vår bedömning att Arken som system behöver ses över. Vi anser också att Lantmäteriets instruktion bör förtydligas, att Arkenförordningen behöver ses över och att det bör utredas ytterligare i vilken form ett informationsutbyte lämpligast ska ske. Samtliga våra överväganden kan innebära ökade kostnader för Lantmäteriet och staten i övrigt, men också besparingar på sikt. När det gäller vårt förslag att inrätta ett informations- och cybersäkerhetsråd inom Lantmäteriet kan det medföra att myndigheten behöver tillföras ytterligare resurser. Denna samrådsmodell får bedömas öka förutsättningarna för hög informationssäkerhet inte bara hos Lantmäteriet utan i samhället i övrigt med stora besparingar som följd. Vi har föreslagit att samtliga fastighetsägare och andra aktörer som hanterar fastigheter eller samhällsviktiga anläggningar eller verksamheter av betydelse för Sveriges säkerhet bör ha en författningsreglerad skyldighet att löpande hålla Lantmäteriet informerat om sådana fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Få fastighetsägare kommer att beröras av förslaget. Utifrån ett samhällsekonomiskt perspektiv bedömer vi att en sådan ökad samverkan som förslaget innebär kan förväntas leda till stora besparingar för samhället som helhet, både på kort och lång sikt.

28

31

1 Utredningsuppdraget med mera

1.1 Uppdraget

I vår uppdragsbeskrivning har regeringen angett att det har kommit fram uppgifter som tyder på att det finns brister i Lantmäteriets arbete med informationssäkerhet och myndighetens hantering av uppgifter som omfattas av sekretess och personuppgifter. Enligt regeringen finns det därför starka skäl att granska Lantmäteriets uppgiftshantering och analysera framför allt om och hur myndighetens arbete i dessa hänseenden kan utvecklas. Mot den bakgrunden har regeringen den 10 april 2025 beslutat att en utredare ska granska Lantmäteriets arbete med informationssäkerhet i sin manuella hantering och i sina digitala system. Enligt uppdraget ska utredaren: • Kartlägga dels Lantmäteriets arbete med informationssäkerhet, dels myndighetens behandling av personuppgifter. I det ingår att identifiera eventuella brister och risker i hanteringen och behandlingen. • Beskriva hur ansvaret för informationssäkerhetsfrågor är fördelat i Lantmäteriet, bland annat mellan styrelsen och generaldirektören, och utvärdera om ansvarsfördelningen innebär att det finns förutsättningar för myndigheten att leva upp till högt ställda krav på arbetet med sådana frågor. • Utreda om Lantmäteriet bör ha fortsatt arkivansvar och ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheternas akter samt, om så inte är fallet, lämna förslag på vilken eller vilka aktörer som i stället framstår som lämpliga för att ta över ansvaret för dessa uppgifter.

29

32

Utredningens uppdrag m.m.

• Särskilt redovisa vilka åtgärder som myndigheten har vidtagit de senaste åren med avseende på att säkerställa en hög informationssäkerhet och att uppgifter som omfattas av sekretess och personuppgifter inte felaktigt lämnas ut eller röjs på något annat sätt. I det ingår att analysera de åtgärder som myndigheten har vidtagit med anledning av de senaste årens myndighetsinterna påpekanden om bristande skydd av sådana uppgifter. • Kartlägga befintliga roller och kompetenser samt vilka roller och kompetenser som behövs framgent för att upprätthålla hög informationssäkerhet. • Vid behov föreslå åtgärder som stärker Lantmäteriets arbete med informationssäkerhetsfrågor och samtidigt ger förutsättningar för Lantmäteriet att på ett effektivt sätt fullgöra sina uppgifter enligt förordningen (2009:946) med instruktion för Lantmäteriet.

1.2 Avgränsningar

När det gäller Lantmäteriets arbete med informationssäkerhet har vi avgränsat vår granskning till i huvudsak åren 2017 – 2025. Det är i första hand den perioden som vi bedömt som aktuell och relevant för att kunna dra slutsatser som har betydelse för framtiden. Trots det berörs i vissa hänseenden förhållandena dessförinnan. I den del av uppdraget som avser Lantmäteriets åtgärder för säkerställande av hög informationssäkerhet och att uppgifter som omfattas av sekretess och personuppgifter inte felaktigt röjs genom manuellt eller digitalt utlämnande har vi fokuserat på fastighetsbildningsakter i Lantmäteriets digitala förrättningsarkiv Arken. Som beskrivs närmare i det följande är det framför allt utlämnandet av handlingar från Arken som har varit grunden för det som har kommit fram om brister i Lantmäteriets arbete med informationssäkerhet och i hanteringen av uppgifter som omfattas av sekretess och även av personuppgifter. Samtidigt kan noteras att det kan finnas likartade utmaningar även i andra system hos Lantmäteriet vid sidan av Arken, såsom fastighetsregistret och handläggningssystemet Trossen (se mer om Lantmäteriets system i kapitel 7).

30

33

Utredningens uppdrag m.m.

Fastighetsregistret omfattas av ett tydligt regelverk som syftar till att ge offentlighet åt den information som ingår i registret. 2 Samtidigt regleras såväl tillhandahållandet av personuppgifter 3 som Lantmäteriets ansvar för att se till att det inte uppkommer otillbörligt intrång i registrerades personliga integritet eller risker från säkerhetssynpunkt. 4 Registret har miljontals anrop per dag, exempelvis 5 från myndigheter, mäklare och kreditinstitut. Ett informationssäkerhetsarbete avseende fastighetsregistret uppges ha pågått sedan strax efter sekelskiftet, framför allt i fråga om skyddade personuppgifter men även genom dialoger med olika aktörer om andra typer av känsliga uppgifter. Även om det undantagsvis kan ha lagts in uppgifter i registret som inte hör hemma där, har åtgärder löpande vidtagits för att komma till rätta med det utifrån att uppgifterna i registret ska kunna vara offentliga. Skyddade personuppgifter uppdateras löpande utifrån Skatteverkets folkbokföringsuppgifter. Skillnaden mellan fastighetsregistret och Arken är att fastighetsregistret är digitalt, inte innehåller dokument och är byggt med ett tillhandahållandelager, det vill säga den del som visas eller lämnas ut. Detta är separerat från registret som helhet och man har, som nämnts, kontinuerligt under mer än tjugo år arbetat med att hindra vissa sökningar och redovisningar i den synliga delen. Uppgifter som har tagits bort från tillhandahållandedelen har haft olika typer av varningssignaler. Och sekretessgranskning av sådana uppgifter har alltid skett före utlämnande. Tilläggas kan att Fastighetsregisterutredningen relativt nyligen i betänkandet Ett säkrare och mer tillgängligt fastighetsregister (SOU 2024:7) övervägt frågan om att stärka säkerhetsskyddet för fastighetsregistret och skapa en modern reglering för effektiv informationsförsörjning. Betänkandet bereds för närvarande inom Regeringskansliet. Mot den bakgrunden bedömer vi sammantaget att utmaningarna med fastighetsregistret vad avser informationssäkerheten i huvudsak redan är omhändertagna. Vi går därför inte närmare in på informationshanteringen i fastighetsregistret. Även när det gäller handläggningssystemet Trossen, som används internt av Lantmäteriet och av de kommunala lantmäterimyndigheterna, finns utmaningar i fråga om vilken typ av uppgifter och information som kan hanteras där. Det gäller såväl i fråga om säkerhets-

2 Se 1 § lag (2000:224) om fastighetsregister. 3 Se 2 och 79 §§ samma lag. 4 Se 6 § samma lag. 5 SOU 2024:7, s. 695.

31

34

Utredningens uppdrag m.m.

skyddsklassificerade uppgifter som skyddade personuppgifter. Systemet hämtar dock viss del av den information som behövs för ärendehandläggningen från Arken, som har varit vårt huvudsakliga fokus. Enligt uppgifter från Lantmäteriet är dessutom planen att Trossen under 2027 kommer att ersättas med ett nytt handläggningssystem. Vi har därför inte heller funnit anledning att analysera informationshanteringen i Trossen närmare. Det finns naturligtvis även i övrigt en stor mängd handlingar hos en myndighet som Lantmäteriet som kan omfattas av sekretess eller innehålla personuppgifter. Det gäller exempelvis i den personaladministrativa verksamheten och i fråga om upphandlingar och avtal. Vi har emellertid inte gjort en närmare genomgång av myndighetens hantering av samtliga sådana handlingar eller uppgifter, vare sig i fråga om utlämnanden eller informationssäkerheten i övrigt. Med de nu nämnda avgränsningarna kan följande tilläggas. De allmänna utgångspunkter som är ett avstamp för våra överväganden beträffande Arken är på flera sätt allmängiltiga. Det gäller också de analyser och bedömningar som görs. Problembeskrivningarna och bristerna på systemnivå gör sig sannolikt gällande i lika hög grad oavsett vilken informationsmängd och informationshantering inom Lantmäteriet som avses. Analyserna och resonemangen kring Arken kan därför appliceras även på myndighetens övriga informationsmängder. Det är något som får innefattas i Lantmäteriets fortsatta arbete med säkerhetsskydd i allmänhet och informationssäkerhet i synnerhet. En ytterligare avgränsning är att vi i huvudsak inte analyserar och uttalar oss om den IT-tekniska säkerheten för informationshantering i de många olika IT-system som Lantmäteriet använder. Det gäller de olika informationssystemens förenlighet med de generella kraven i säkerhetsskyddslagen och de mer detaljerade krav på ITsystem som följer av föreskrifter som har beslutats med stöd av den lagstiftningen, exempelvis Säkerhetspolisens föreskrifter om säkerhetsskydd 6 och Myndigheten för civilt försvars (MCF) föreskrifter om rapportering av it-incidenter för statliga myndigheter. 7 Noteras i sammanhanget kan att Säkerhetspolisen har ett pågående tillsynsärende med fokus på Lantmäteriets regelefterlevnad. Parallellt har

6 PMFS 2022:1. 7 MSBFS 2020:8. Myndigheten för samhällsskydd och beredskap, MSB, bytte den 1 januari 2026 namn till Myndigheten för civilt förvar, MCF.

32

35

Utredningens uppdrag m.m.

Länsstyrelsen i Västra Götaland pågående tillsynsärenden beträffande vissa kommunala lantmäterimyndigheter. Vår avgränsning i detta hänseende avser alltså den mer tekniska beskaffenheten av IT-systemen i fråga om exempelvis robusthet, skydd mot intrång, segmentering, kryptering, behörighetsstyrning och loggning med mera och om systemen i sådana delar är regelkonforma och fyller gällande säkerhetskrav. En annan sak är hur Lantmäteriet använt systemen och exempelvis möjliggjort extern åtkomst och användning av informationsmängder i systemen. Slutligen har vi i vårt arbete beaktat de ändringar i Lantmäteriets organisation som skett den 1 januari 2026. I övrigt har vi avgränsat oss till att inte ta upp sådant som skett inom Lantmäteriet efter den 31 december 2025.

1.3 Utredningsarbetet

Vårt arbete har inledningsvis fokuserat på att från Lantmäteriet begära in och hantera ett omfattande skriftligt material. Vi har också vid flera tillfällen besökt Lantmäteriets huvudkontor i Gävle för att hämta in relevant information. Genom det material som inhämtats från Lantmäteriet har vi fått ett brett underlag som beskriver organisation och arbetssätt inom myndigheten. Ett flertal interna och externa rapporter är en del i detta. Konstateras kan att underlaget är av skiftande kvalitet. Visst underlag är påtagligt rudimentärt medan annat är väl genomarbetat. Detaljeringsgraden i olika delar av underlaget varierar. Protokoll från olika möten är ofta kortfattade och summariskt utformade. Det gäller även när centrala eller annars viktiga frågor avhandlats. I princip förekommer inte ledningsmötesprotokoll eller styrelsemötesprotokoll som detaljerat beskriver hur olika frågor avhandlats eller vem som uttalat vad eller om någon haft en avvikande mening. Ett antal frågor har behandlats genom Power Point-presentationer som i flera fall utgör det enda sparade underlaget. När det däremot gäller projektrapporter och liknande är de i vissa fall mycket genomarbetade och detaljerade. Det gäller såväl interna som externa rapporter. För att komplettera bilden har drygt 60 intervjuer och samtal genomförts med nuvarande och tidigare anställda i Lantmäteriet samt nuvarande och tidigare ledamöter i Lantmäteriets styrelse. De

33

36

Utredningens uppdrag m.m.

intervjuade har eller har haft olika funktioner inom Lantmäteriet, exempelvis generaldirektör, verksamhetsområdeschef eller biträdande sådan, chefsjurist, enhetschef, strategichef, dataskyddsombud och informationssäkerhetshandläggare. Genom intervjuerna och samtalen har frågorna om informationssäkerhet och sekretesshanteringen med mera kommit att belysas från olika perspektiv och utifrån skilda infallsvinklar beroende på vars och ens roll och funktion inom Lantmäteriet. Det har påtagligt breddat underlaget i vår granskning. Slående har varit att det i vissa centrala delar, från helt skilda håll, har lämnats synpunkter som oberoende av varandra varit påtagligt samstämmiga. Tilläggas bör att vi i samtalen noterat att vissa kommit ihåg mer och andra mindre, delvis beroende på ett varierande engagemang i det som rör säkerhetsskyddet och informationssäkerheten och övriga granskade områden. Konstateras kan också att minnena för många med tiden blir mindre tydliga. Samtidigt har vissa helt klart för sig vad som inträffat och när och i vilken ordning och så vidare. I regel grundas det på egna minnesanteckningar från vissa kritiska perioder och händelser. Vid de intervjuer som vi har hållit har anteckningar förts och huvuddragen i det som lyfts noterats. De som intervjuats har beretts tillfälle att lämna synpunkter på anteckningarna. Flertalet av de som vi har pratat med har varit anställda i Lantmäteriet under den period som vi har granskat. Och vi har förstått att flera brister när det gäller informationssäkerheten, sekretessprövningar och behandlingen av personuppgifter varit kända i olika delar av verksamheten. Trots det har vi upplevt att de vi samtalat med på ett öppet, utlämnande och samtidigt professionellt sätt delat med sig av sina erfarenheter av interna arbetsprocesser, arbetsklimat och kultur. Vidare har Lantmäteriet som myndighet på ett mycket effektivt sätt försett oss med de olika underlag som vi initialt och därefter successivt har begärt. Det har varit en förutsättning för att kunna genomföra granskningen. Utöver ett stort antal kontakter med Lantmäteriet har vi haft flera kontakter med de kommunala lantmäterimyndigheterna, primärt med fokus på frågan om arkivansvar hos dessa och om arkivering inom Lantmäteriet. Genom dessa kontakter har samtidigt noterats de gemensamma utmaningar när det gäller informationssäkerhet och personuppgiftshantering som finns i såväl den statliga som

34

37

Utredningens uppdrag m.m.

kommunala lantmäteriverksamheten. Till detta kommer att vi i vissa delar har informerat oss om Lantmäteriets kontakter med Regeringskansliet i ljuset av att regeringen primärt är Lantmäteriets uppdragsgivare och huvudman för myndigheten. Som framgår av redovisningen har regeringen också löpande gett Lantmäteriet olika uppdrag att hantera. Vidare har vi samrått med och fått information från Säkerhetspolisen och Integritetsskyddsmyndigheten. Detsamma gäller Sveriges kommuner och regioner och Riksarkivet. Inte minst den dokumentation som vi har hämtat in från Lantmäteriet i kombination med samtalen med nuvarande och tidigare anställda i myndigheten har gett oss ett brett underlag. Sammantaget har det starkt bidragit till att underbygga våra bedömningar och därmed slutsatserna av vår granskning. De hänvisningar till de intervjuer som hållits utgör inte alltid citat utan har i vissa fall, beroende på sammanhang, omformulerats. Det som olika personer berättat har vägts samman och i vissa delar återgetts för att exemplifiera det som många gånger framstår som fleras upplevelser av hur verksamheten har fungerat. I sak har emellertid inte något ändrats. De intervjuade namnges inte i texten. Under större delen av den period som utredningens granskning avser har Susanne Ås Sivborg varit generaldirektör vid Lantmäteriet. Vid hänvisningar i texten till generaldirektören avses alltså Susanne Ås Sivborg, om inte annat anges. Den chef inom Lantmäteriet som är ansvarig för verksamhetsområde Säkerhet benämns säkerhets- och säkerhetsskyddschef inom 8 myndigheten. Vi har valt att genomgående benämna denna chef säkerhetsskyddschef. 9 Vidare benämner vi det verksamhetsområde som tidigare kallades Säkerhets- och säkerhetsskydd för verksamhetsområde Säkerhet.

1.4 Redovisningens struktur

I avsnitt 1.5 redogörs för ansvarsbegreppet och i avsnitt 1.6 tas några grundläggande begrepp upp. Kapitel 2 innehåller en genomgång av tillämpliga bestämmelser i stort.

8 Se 3 kap. 5 § i Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018. 9 Det är också den titel som anges i 2 kap. 7 § säkerhetsskyddslagen (2018:585).

35

38

Utredningens uppdrag m.m.

I kapitel 3 redogörs för några grundläggande delar vad gäller säkerhetsskydd och för vad ett systematiskt och riskbaserat informationssäkerhetsarbete i stort omfattar. Slutligen beskrivs hur detta arbete kan mätas genom den så kallade Cybersäkerhetskollen, samt några resultat från denna. Kapitel 4 beskriver Lantmäteriets organisation och uppgifter, formerna för den interna styrningen av myndigheten och något om den översyn av delar av organisationen som gjorts. I kapitel 5 redogörs för ansvaret för informationssäkerhet inom Lantmäteriet och vilka styrande dokument som finns inom området. I kapitel 6 redogörs inledningsvis för Lantmäteriets riktlinje för intern styrning och kontroll. Härefter övergår vi till att gå igenom några av de brister inom området som uppmärksammats hos Lantmäteriet under senare år. Kapitel 7 beskriver relevanta digitala system och tjänster hos Lantmäteriet i huvuddrag. Dessutom redogörs för historiken kring digitaliseringen av Lantmäteriets akter. I kapitel 8 redogörs för väsentliga delar i Lantmäteriets arbete med säkerhetsskydd. I kapitel 9 finns en redovisning av Lantmäteriets arbete med informationssäkerhet såvitt avser bland annat ledningssystem för informationssäkerhetsarbetet, det strategiska och taktiska arbetet och informationsklassning och dessutom något om myndighetens ekonomiska resurser för informationssäkerhet. 10 Kapitel 10 tar upp några externa och interna granskningar av Lantmäteriets informationssäkerhetsarbete. Kapitel 11 innehåller en redogörelse för Arken och med det arkivet sammanhängande frågor. I kapitel 12 behandlas frågor om utlämnande av allmän handling och sekretess hos myndigheten. I kapitel 13 redogörs för det som under 2024 ledde fram till det som Lantmäteriet kallar den särskilda händelsen, det vill säga stängningen av de digitala tjänsterna i maj samma år. Kapitlet innehåller också en översiktlig beskrivning av den särskilda händelsen i sig och hur arbetet med den bedrevs under resten av året. I kapitel 14 redogörs för det fortsatta arbetet inom myndigheten med den särskilda händelsen och i fråga om utlämnande av allmänna

10 Texten bygger delvis på Lantmäteriets PM till utredningen Strukturerat informationssäkerhetsarbete den 21 november 2025, LM2025/051647.

36

39

Utredningens uppdrag m.m.

handlingar, inklusive inriktningen mot att igen försöka öppna digitala tjänster. Kapitel 15 beskriver Lantmäteriets personuppgiftsansvar, myndighetens arbete med dataskydd och den nuvarande organisationen för detta. Vidare tas myndighetens riktlinjer för hantering av personuppgifter och skyddade personuppgifter upp. Slutligen beskrivs några utvalda delar av Lantmäteriets behandling av personuppgifter med fokus på arkivakter. I kapitel 16 redogörs för några utgångspunkter för våra överväganden när det gäller Lantmäteriets arbete med informationssäkerhet. Kapitel 17 innehåller våra överväganden i fråga om Lantmäteriets informationssäkerhet, med mera. I kapitel 18 behandlas frågan om de kommunala lantmäterimyndigheternas akter och arkivansvaret för dem. Kapitlet innehåller också vår analys och våra slutsatser i den frågan. En redovisning av konsekvenserna av våra analyser och överväganden finns i kapitel 19. Kapitel 20 innehåller våra avslutande reflektioner.

1.5 Ansvarsbegreppet

Det har under åren funnits flera olika kommittéer och utredningar som haft i uppdrag att granska specifika händelser eller företeelser. 11 2005 års katastrofkommission har i sitt betänkande en längre redogörelse och diskussion om ansvarsbegreppet. 12 Kommissionen anförde att dess uppdrag hade två huvudkomponenter, en granskande (bakåtblickande) och en förslagsinriktad (framåtblickande) och att dessa hängde intimt samman via ansvarsbegreppet. Kommissionen menade att en granskning förutsatte en konkret behandling av frågor om ansvaret och dess fördelning. Det ansvarsbegrepp som kommissionen valde att arbeta med inrymde att kritik av varierande styrka skulle kunna riktas mot dem som visat sig inte motsvara de krav som framgår av gällande bestämmelser eller som annars rimligen bör kunna ställas. Om en sådan analys inte görs, försvåras möjligheterna att

11 Bland annat granskningen av Karolinska Institutet och Macchiariniärendet från 2016, granskningen av Transportstyrelsens upphandling av IT-drift, Ds 2018:6, och 2005 års katastrofkommission om hanteringen av tsunamikatastrofen, SOU 2005:104. 12 SOU 2005:104 s. 60 f, och även Ds 2018:6 s. 18 – 19.

37

40

Utredningens uppdrag m.m.

lära av misstagen och medborgarnas förtroende för myndigheterna urholkas. Att göra en analys av ansvarsfrågorna ansåg kommissionen vara en sak. Däremot var det inte en uppgift för kommissionen att utkräva ansvar. Precis som katastrofkommissionen och utredningen om Transportstyrelsens upphandling av IT-drift har vi inom ramen för granskningen av Lantmäteriet en både bakåtblickande och framåtblickande del. I dessa delar kan ingå både bedömningar av enskilda rollers eller funktioners ansvar och agerande samt organisationslösningar. Det ingår emellertid inte heller i vårt utredningsuppdrag att utkräva ansvar.

1.6 Grundläggande begrepp

1.6.1 Säkerhetskänslig verksamhet

Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. 13

1.6.2 Säkerhetsskydd

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. 14

1.6.3 Säkerhetsskyddsklassificerade uppgifter

Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. 15 Det är enligt Säkerhetspolisens vägledning viktigt

13 1 kap. 1 § säkerhetsskyddslagen. 14 1 kap. 2 § säkerhetsskyddslagen. 15 1 kap. 2 § säkerhetsskyddslagen.

38

41

Utredningens uppdrag m.m.

att komma ihåg att båda kriterierna måste vara uppfyllda. Följande exempel, hämtat ur vägledningen, visar när så inte är fallet. 16 Säkerhetspolisen ger varje år ut en lägesbild som publiceras på myndighetens webbplats. Rapporten beskriver Säkerhetspolisens säkerhetskänsliga verksamhet men innehåller inga uppgifter som omfattas av sekretess. Årsboken anses därmed inte innehålla säkerhetsskyddsklassificerade uppgifter.

1.6.4 Säkerhetsskyddsklasser

Säkerhetsskyddsklassificerade uppgifter delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen ska göras enligt följande: 1. kvalificerat hemlig vid en synnerligen allvarlig skada, 2. hemlig vid en allvarlig skada, 3. konfidentiell vid en inte obetydlig skada, eller 4. begränsat hemlig vid endast ringa skada. 17

1.6.5 Informationssäkerhet

Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. 18 MCF definierar informationssäkerhet som bevarande av konfidentialitet, riktighet och tillgänglighet hos information. 19

16 Säkerhetspolisens Vägledning i säkerhetsskydd – Introduktion, s. 19. 17 2 kap. 5 § säkerhetsskyddslagen. 18 2 kap. 2 § säkerhetsskyddslagen. 19 3 § MSBFS 2020:6.

39

42

Utredningens uppdrag m.m.

1.6.6 Informationsklassning

20

Med detta begrepp avses att en myndighet ska klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer 21 utifrån vilka konsekvenser ett bristande skydd kan få.

1.6.7 Informationssystem

Med informationssystem avses ett system av sammansatt mjuk- och hårdvara som behandlar information. 22

1.6.8 IT-säkerhet

IT-säkerhet är en del av informationssäkerheten, avgränsad till it- 23 resurser. It-resurser kan vara nätverk, servrar, hårdvara med mera.

1.6.9 Cybersäkerhet

Cybersäkerhet definieras som all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa 24 system och andra personer mot cyberhot.

1.6.10 Personuppgifter och personuppgiftsansvarig

Personuppgifter definieras i dataskyddsförordningen. 25 Sådana uppgifter är; varje upplysning som avser en identifierad eller identifierbar person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokalise-

20 Begreppet ska inte förväxlas med begreppet säkerhetsskyddsklassificering. För resonemang om detta, se prop. 2017/18:89, s. 63 – 64. 21 6 § MSBFS 2020:6. 22 1 kap. 3 § säkerhetsskyddsförordningen. 23 Myndigheten för samhällsskydd och beredskaps termbank för informationssäkerhet, https://termbank-informationssakerhet.msb.se, hämtat den 21 januari 2026. 24 1 kap. 2 § cybersäkerhetslagen (2025:1506). 25 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen eller GDPR).

40

43

Utredningens uppdrag m.m.

ringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. 26 Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. 27

1.6.11 Känsliga och särskilt skyddsvärda personuppgifter

Med känsliga personuppgifter avses uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska uppgifter och biometriska uppgifter som används för att entydigt identifiera en person. I dataskyddsförordningen kallas de här uppgifterna för särskilda kategorier av personuppgifter. 28 Personnummer och samordningsnummer utgör inte känsliga personuppgifter enligt dataskyddsförordningen och dataskyddslagen men är sådana uppgifter som har bedömts som särskilt skyddsvärda. De får behandlas endast utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. 29

1.6.12 Skyddade personuppgifter

Det finns tre typer av skyddade personuppgifter; skyddad folkbokföring, sekretessmarkering, och fingerade personuppgifter. Skyddad folkbokföring innebär att den som av särskilda skäl kan antas bli utsatt för brott, förföljelser eller allvarliga trakasserier på annat sätt

26 Artikel 4.1 dataskyddsförordningen. 27 Artikel 4.7 dataskyddsförordningen. 28 Se 3 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och artikel 9 dataskyddsförordningen. 29 Se 3 kap 10 § dataskyddslagen och artikel 87 dataskyddsförordningen.

41

44

Utredningens uppdrag m.m.

efter ansökan kan bli folkbokförd på en annan ort än där personen är bosatt. En sekretessmarkering betyder i det här sammanhanget att en noggrann skadeprövning alltid måste göras för att avgöra om en sekretessmarkerad uppgift kan lämnas ut. Fingerade personuppgifter innebär att en person blir registrerad i folkbokföringsdatabasen med andra personuppgifter än de verkliga. 30 Sekretesskyddet för personuppgifter följer av offentlighets- och sekretesslagen (2009:400).

30 https://www4.skatteverket.se/rattsligvagledning/330543, hämtat den 6 januari 2026.

42

45

2 Tillämpliga bestämmelser

2.1 Kapitlets innehåll

I kapitlet redogörs för relevanta tillämpliga bestämmelser för vårt arbete.

2.2 Säkerhetsskyddslagen (2018:585)

Lagen gäller, såvitt nu är aktuellt, för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet (säkerhets- 31 känslig verksamhet). Den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövare) ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras. Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt lagen. 32 Vid verksamhet som omfattas av lagen ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Denne ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har meddelats i anslutning till lagen. Det ansvaret kan inte delegeras. Säkerhetsskyddschefen ska vara direkt underställd chefen för verksam-

31 1 kap. 1 § säkerhetsskyddslagen. 32 2 kap. 1 § säkerhetsskyddslagen.

43

46

Tillämpliga bestämmelser

hetsutövarens verksamhet, om en sådan chef finns, och annars verksamhetsutövarens ledning. 33 I lagen finns även bland annat bestämmelser om säkerhetsprövning av den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet. 34 Tillsynsmyndigheten, det vill säga för Lantmäteriets del Säkerhetspolisen, ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos de aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med. 35 Tillsynsmyndigheten får besluta att förelägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt lagen och föreskrifter som har meddelats i anslutning till lagen. Ett sådant beslut om föreläggande får förenas med vite. 36 Tillsynsmyndigheten får även besluta att ta ut en sanktionsavgift av en verksamhetsutövare som har åsidosatt sina skyldigheter enligt närmare angivna bestämmelser. 37

2.3 Säkerhetsskyddsförordningen (2021:955)

Förordningen innehåller kompletterande bestämmelser till säkerhetsskyddslagen. 38 I förordningen finns bland annat närmare bestämmelser om vad en säkerhetsskyddsanalys ska innehålla. Analysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten samt vilka hot och sårbarheter som finns kopplade till dessa skyddsvärden. Säkerhetsskyddsanalysen ska innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska uppdateras vid behov och åtminstone vartannat år. 39 En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om

33 2 kap. 7 § säkerhetsskyddslagen. 34 3 kap. säkerhetsskyddslagen. 35 6 kap. 1 § säkerhetsskyddslagen. 36 6 kap. 6 § säkerhetsskyddslagen. 37 7 kap. 1 § säkerhetsskyddslagen. 38 1 kap. 1 § säkerhetsskyddsförordningen. 39 2 kap. 1 § säkerhetsskyddsförordningen.

44

47

Tillämpliga bestämmelser

1. det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts, 2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller 3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. 40

I 3 kap. finns bestämmelser om informationssäkerhet. Innan ett informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Säkerhetsskyddsbedömningen ska dokumenteras. 41 En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet. En verksamhetsutövare som ansvarar för ett informationssystem ska vidare beakta förekomsten av röjande signaler och vidta lämpliga skyddsåtgärder för systemet om informationssystemet avses behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. 42 En verksamhetsutövare ska se till att den som anställs eller på annat sätt deltar i verksamheten får utbildning i säkerhetsskydd. Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår. 43 I förordningen finns också bestämmelser om bland annat genomförandet av säkerhetsprövning och beslut om placering i säkerhetsklass. 44

40 2 kap. 4 § säkerhetsskyddsförordningen. 41 3 kap. 1 § säkerhetsskyddsförordningen. 42 3 kap. 4 § säkerhetsskyddsförordningen. 43 5 kap. 1 § säkerhetsskyddsförordningen. 44 5 kap. 2 § med flera, säkerhetsskyddsförordningen.

45

48

Tillämpliga bestämmelser

Säkerhetspolisen är tillsynsmyndighet för Lantmäteriet. Länsstyrelserna i Stockholms, Skånes, Västra Götalands respektive Norrbottens län är tillsynsmyndigheter för de kommunala lantmäteri- 45 myndigheterna. Säkerhetspolisen och Försvarsmakten är samordningsmyndigheter. Det innebär bland annat att de ska förmedla relevant hotinformation till tillsynsmyndigheterna och leda ett samarbetsforum där tillsynsmyndigheterna ingår i syfte att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn. 46 Säkerhetspolisen och Försvarsmakten ska på begäran lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och till Justitiekanslern. 47 Tillsynsmyndigheterna ska inom sina respektive tillsynsområden ge vägledning om säkerhetsskydd.

2.4 Säkerhetspolisens föreskrifter om

säkerhetsskydd

49 I föreskrifterna finns en uppräkning av de moment som en säkerhetsskyddsanalys ska innehålla. 50 Exempelvis ska verksamhetsutövaren identifiera vilka skyddsvärden som finns i den säkerhetskänsliga verksamheten, det vill säga bland annat säkerhetsskyddsklassificerade uppgifter och anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet. 51 De skyddsvärden som avses när det gäller anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet ska delas in i följande konsekvensnivåer utifrån en bedömning av den skada för Sveriges säkerhet en antagonistisk handling mot skyddsvärdet kan medföra: 52 – Synnerligen allvarlig skada för Sveriges säkerhet (nivå A). – Allvarlig skada för Sveriges säkerhet (nivå B).

45 8 kap. 1 § säkerhetsskyddsförordningen. 46 8 kap. 2 § säkerhetsskyddsförordningen. 47 8 kap. 11 § säkerhetsskyddsförordningen. 8 kap. 12 § säkerhetsskyddsförordningen. 49 PMFS 2022:1. 50 2 kap. 2 – 9 §§ PMFS 2022:1. 51 2 kap. 3 § PMFS 2022:1. 52 2 kap. 5 § PMFS 2022:1.

46

49

Tillämpliga bestämmelser

– Inte obetydlig skada för Sveriges säkerhet (nivå C). – Endast ringa skada för Sveriges säkerhet (nivå D).

Verksamhetsutövaren ska identifiera säkerhetshot kopplade till de identifierade skyddsvärdena och den säkerhetskänsliga verksamheten i stort. 53 Verksamhetsutövarens högsta chef eller motsvarande organ ska fastställa säkerhetsskyddsanalysen. 54 En verksamhetsutövare ska upprätta en säkerhetsskyddsplan efter att säkerhetsskyddsanalysen är fastställd. Planen ska redogöra för hur behovet av säkerhetsskyddsåtgärder som identifierats i säkerhetsskyddsanalysen omhändertas. Det ska vidare framgå när åtgärderna ska vidtas och vilken funktion som ansvarar för dem. Säkerhetsskyddsplanen ska fastställas av säkerhetsskyddschefen. 55 I föreskrifterna finns vidare bland annat närmare föreskrifter om informationssäkerhet. 56

2.5 Tryckfrihetsförordningen

Till främjande av ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande ska var och en ha rätt att ta del av allmänna handlingar,. 57 En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det bedöms lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till. 58 Sådana begränsningar finns i offentlighets- och sekretesslagen (2009:400).

2.6 Offentlighets- och sekretesslagen (2009:400)

2.6.1 Försvarssekretess

Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet

53 2 kap. 6 § PMFS 2022:1. 54 2 kap. 10 § PMFS 2022:1. 55 2 kap. 12 § PMFS 2022:1. 56 3 kap. PMFS 2022:1. 57 2 kap. 1 § tryckfrihetsförordningen. 58 2 kap. 2 § tryckfrihetsförordningen.

47

50

Tillämpliga bestämmelser

eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. 59

2.6.2 Sekretess till skydd för säkerhets- eller

bevakningsåtgärd

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden bland annat avser telekommunikation eller system för automatiserad behandling 60 av information.

2.6.3 Sekretess för risk- och sårbarhetsanalyser

Sekretess gäller för uppgift som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av situationer, om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs. 61

2.6.4 Sekretess till skydd för uppgift om enskilds personliga

förhållanden oavsett i vilket sammanhang uppgiften

förekommer

Bestämmelserna i 21 kapitlet offentlighets och sekretesslagen avser bland annat hälsa och sexualliv samt förföljda personer. De tar sikte på att skydda enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer och gäller således för alla myndigheter.

59 15 kap. 2 § offentlighets- och sekretesslagen (2009:400), OSL. Som huvudregel gäller sekretessen för uppgift i en allmän handling enligt denna bestämmelse i högst fyrtio år. Regeringen har dock i 4 § offentlighets- och sekretessförordningen (2009:641) föreskrivit att sekretessen gäller i högst etthundrafemtio år om uppgifterna bland annat rör geografisk information om militärgeografiska förhållanden och rikets fasta försvarsanläggningar för krigsbruk. 60 18 kap. 8 § OSL. 61 18 kap. 13 § OSL.

48

51

Tillämpliga bestämmelser

Sekretess gäller för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. 62 Sekretess gäller vidare för uppgift om en enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller tillfälligt, den enskildes telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne samt för motsvarande uppgifter om den enskildes anhöriga, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. 63 Sekretess gäller i bland annat ärende vid myndighet där en part har skyddad folkbokföring enligt 16 § folkbokföringslagen (1991:481) för uppgift som lämnar upplysning om var parten bor stadigvarande eller tillfälligt, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men. Detsamma gäller om uppgiften tillsammans med annan uppgift i målet eller ärendet bidrar till sådan upplysning. Sekretessen gäller dock 64 inte för uppgift om beteckning på fastighet eller tomträtt. Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bland annat 65 66 dataskyddsförordningen eller dataskyddslagen.

2.6.5 Sekretess till skydd för enskild vid folkbokföring

Sekretess gäller för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföringen eller annan

62 21 kap. 1 § OSL. 63 21 kap. 3 § OSL. 64 21 kap. 3 a § OSL. 65 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. 66 21 kap. 7 § OSL och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.

49

52

Tillämpliga bestämmelser

liknande registrering av befolkningen och, i den utsträckning regeringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen. 67

2.7 Dataskyddsförordningen

Dataskyddsförordningen ska tillämpas på helt eller delvis automatiserad behandling av personuppgifter samt för manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register. 68 Med behandling av personuppgifter avses bland annat insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring samt utlämning genom överföring, spridning eller tillhanda- 69 hållande på annat sätt. En personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter och ett personuppgiftsbiträde behandlar personuppgifter för en personuppgiftsansvarigs räkning. 70 Dataskyddsförordningen innehåller ett antal grundläggande principer som gäller för all behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde. Dessa principer, kan sammanfattningsvis beskrivas enligt följande: 71 a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). d) De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter

67 22 kap. 1 § 1 OSL. 68 Artikel 2.1 dataskyddsförordningen. 69 Artikel 4.2 dataskyddsförordningen. 70 Artikel 4.7 och 4.8 dataskyddsförordningen. 71 Artikel 5.1 dataskyddsförordningen.

50

53

Tillämpliga bestämmelser

som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet). e) De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering). f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling (integritet och konfidentialitet).

Det finns sex olika villkor, varav åtminstone ett måste vara uppfyllt, för att behandling av personuppgifter ska vara laglig: 72 a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Detta gäller dock inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

72 Artikel 6.1 dataskyddsförordningen.

51

54

Tillämpliga bestämmelser

Myndigheters behandling av personuppgifter är typiskt sett relaterade till villkoren rättslig förpliktelse 73 eller uppgift av allmänt intresse eller led i myndighetsutövning. 74 Så kallade känsliga personuppgifter är som utgångspunkt förbjudna att behandla. 75 Det finns ett antal undantag som anger när känsliga personuppgifter ändå får behandlas. De gäller bland annat om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, 76 eller om 77 behandlingen är nödvändig för arkivändamål av allmänt intresse. Av artikel 12 – 22 framgår vilka rättigheter de registrerade har, exempelvis i form av att få personuppgifter rättade eller raderade eller att få behandlingen begränsad. Varje personuppgiftsansvarig ska föra ett register över sina behandlingar (ett så kallat artikel 30-register) där bland annat ändamålet med behandlingen ska anges. 78 I artikel 33 – 34 regleras hur personuppgiftsincidenter ska anmälas samt hur och när den registrerade ska informeras om en sådan incident. En konsekvensbedömning avseende dataskydd ska göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. 79 I artikel 37 – 39 anges vad som gäller för dataskyddsombud. Där framgår bland annat dennes utnämnande och uppgifter. Vidare framgår att dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta förvaltningsnivå. Personuppgifter i allmänna handlingar som förvaras bland annat av en myndighet, för utförande av en uppgift av allmänt intresse, får lämnas ut av myndigheten i enlighet med medlemsstatens nationella

73 Artikel 6.1 c dataskyddsförordningen. 74 Artikel 6.1 e dataskyddsförordningen. 75 Artikel 9 dataskyddsförordningen. 76 Artikel 9.2 g dataskyddsförordningen. 77 Artikel 9.2 j. Jämför även artikel 89.1 där det anges att sådana uppgifter ska omfattas av särskilda skyddsåtgärder samt att nationella undantag får föreskrivas från vissa rättigheter när det är fråga om personuppgifter som behandlas för arkivändamål 78 Artikel 30 dataskyddsförordningen. 79 Artikel 35 dataskyddsförordningen.

52

55

Tillämpliga bestämmelser

rätt, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter. 80 Gällande nationella identifikationsnummer (det vill säga personnummer och samordningsnummer i Sverige) får medlemsstaterna närmare bestämma på vilka särskilda villkor sådana får behandlas. De ska i sådana fall användas endast med iakttagande av lämpliga 81 skyddsåtgärder för de registrerades rättigheter och friheter.

2.8 Dataskyddslagen (2018:218)

Dataskyddsförordningen ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihets- 82 grundlagen. Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende, eller i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. 83 Den lagstiftning som avses i bestämmelsen är främst offentlighets- och sekretesslagen och förvaltningslagen som innehåller bestämmelser om hantering av allmänna handlingar. 84 Känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. 85 Bestämmelsen om arkiv gäller oavsett om de känsliga personuppgifterna samlats in för arkivändamål av allmänt intresse eller om de samlats in för andra ändamål och vidarebehandlas för arkivändamål av allmänt intresse, inklusive överlämnande till en arkivmyndighet. Med föreskrifter om arkiv avses föreskrifter som säkerställer att

80 Artikel 86 dataskyddsförordningen. 81 Artikel 87 dataskyddsförordningen. 82 1 kap. 7 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). 83 3 kap. 3 § dataskyddslagen. 84 Öman, Dataskyddsförordningen (GDPR) med mera (11 september 2025, JUNO), kommentaren till 3 kap. 3 § första stycket första punkten. 85 3 kap. 6 § dataskyddslagen.

53

56

Tillämpliga bestämmelser

sådana arkiv som utgör en del av det svenska kulturarvet bevaras, hålls ordnade och vårdas. Sådana föreskrifter finns bland annat i arkivlagen (1990:782), arkivförordningen (1991:446) samt i Riksarkivets och andra arkivmyndigheters föreskrifter. Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. 86 Som ett exempel på sådan behandling av personnummer eller samordningsnummer som är tillåten nämns i förarbetena den behandling som sker vid hanteringen av allmänna handlingar enligt till exempel offentlighets- och sekretesslagen eller arkivlagen. 87 Personuppgifter som behandlas enbart för arkivändamål av allmänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. 88 Detta hindrar inte myndigheter från att använda personuppgifter som finns i allmänna handlingar. 89 Myndigheter kan alltså använda arkiverade personuppgifter för att vidta åtgärder gentemot den registrerade, förutsatt att övriga bestämmelser i dataskyddsregleringen följs, bland annat att vidarebehandlingen av personuppgifterna inte är oförenlig med det ursprungliga ändamålet för behandlingen. 90 Bakgrunden till undantaget lär i första hand vara att myndigheternas arkiv ska tillgodose bland annat behovet av information för rättskipningen och förvaltningen. 91

2.9 Arkivlagen (1990:782)

I arkivlagen ges bestämmelser om myndigheternas och vissa andra 92 organs arkiv samt om arkivmyndigheterna. En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas

86 3 kap. 10 § dataskyddslagen. 87 Kommentaren till 3 kap. 10 § Dataskyddsförordningen. 88 4 kap. 1 § dataskyddslagen. 89 4 kap. 1 § dataskyddslagen. 90 Artikel 5.1 b dataskyddsförordningen. 91 3 § arkivlagen (1990:782). Öman, Dataskyddsförordningen (GDPR) med mera (11 september 2025, JUNO), kommentaren till 4 kap. 1 § andra stycket. 92 1 § arkivlagen

54

57

Tillämpliga bestämmelser

om hand för arkivering. Upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, ska dock bilda arkiv endast hos en av dessa myndigheter, i första hand den myndighet som svarar för huvuddelen av upptagningen. Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1. rätten att ta del av allmänna handlingar, 2. behovet av information för rättskipningen och förvaltningen, och 93 3. forskningens behov.

Varje myndighet skall svara för vården av sitt arkiv, om inte en arkiv- 94 myndighet med stöd av 9 § har tagit över ansvaret. I arkivvården ingår att myndigheten ska 1. organisera arkivet på ett sådant sätt att rätten att ta del av allmänna handlingar underlättas, 2. upprätta dels en arkivbeskrivning som ger information om vilka slag av handlingar som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning, 3. skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst, 4. avgränsa arkivet genom att fastställa vilka handlingar som ska vara arkivhandlingar, och 5. verkställa föreskriven gallring i arkivet. 95

2.10 Myndighetsförordningen (2007:515)

Förordningen gäller för förvaltningsmyndigheter under rege- 96 ringen.

93 3 § arkivlagen. 94 4 § arkivlagen. 95 6 § arkivlagen. 96 1 § myndighetsförordningen.

55

58

Tillämpliga bestämmelser

En myndighet leds av en myndighetschef (enrådighetsmyndighet), en styrelse (styrelsemyndighet), eller en nämnd (nämndmyndighet). 97 Myndighetens ledning ansvarar inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel. 98 Myndighetens ledning ska 1. besluta en arbetsordning, 2. i arbetsordningen besluta de närmare föreskrifter som behövs om myndighetens organisation, arbetsfördelningen mellan styrelse och myndighetschef, delegeringen av beslutanderätt inom myndigheten, handläggningen av ärenden och formerna i övrigt för verksamheten, 3. besluta en verksamhetsplan för myndigheten, 4. säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt, i vilken det ingår att förebygga att verksamheten utsätts fört korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter, och 5. avgöra andra ärenden som har principiell karaktär eller större betydelse eller som avser föreskrifter, om ärendena inte ska avgöras 99 av personalansvarsnämnden.

Särskilda bestämmelser för styrelsemyndigheter finns i 10 – 13 §§. Av dessa framgår bland annat följande. Styrelsen består av det antal ledamöter som regeringen bestämmer. En av ledamöterna ska vara ordförande i styrelsen och en ska vara vice ordförande. Myndighetschefen ska ingå i styrelsen, men inte vara dess ordförande eller vice ordförande. 100 Myndighetschefen ansvarar inför styrelsen och ska sköta den löpande verksamheten enligt de direktiv och riktlinjer som styrelsen beslutar. Myndighetschefen ska vidare hålla styrelsen informerad om verksamheten,

97 2 § myndighetsförordningen. 98 3 § myndighetsförordningen. 99 4 § myndighetsförordningen. 100 10 § myndighetsförordningen.

56

59

Tillämpliga bestämmelser

förse styrelsen med underlag för beslut och verkställa styrelsens beslut. 101 Ordförande och ledamöter i styrelsen utses av regeringen för en 102 bestämd tid. Myndighetschefen anställs av regeringen. Annan personal anställs av myndigheten. 103

2.11 Förordningen (2007:603) om intern styrning

och kontroll

Förordningen gäller för förvaltningsmyndigheter under regeringen som har skyldighet att följa internrevisionsförordningen 104 (2006:1228). Myndighetsledningen ansvarar för att det finns en process för intern styrning och kontroll vid myndigheten som fungerar på ett betryggande sätt. Processen ska säkerställa att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen. Processen för intern styrning och kontroll ska även förebygga att verksamheten utsätts för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter. Myndighetsledningen ska vidare säkerställa att det inom myndigheten finns en god intern miljö som skapar förutsättningar för en väl fungerande process för intern styrning och kontroll. 105 En riskanalys ska göras i syfte att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen. 106 Med ledning av riskanalysen ska de åtgärder vidtas som är nödvändiga för att myndigheten med rimlig säkerhet ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § 107 myndighetsförordningen.

101 13 § myndighetsförordningen. 102 22 § myndighetsförordningen. 103 23 myndighetsförordningen. 104 1 § förordningen om intern styrning och kontroll. 105 2 § förordningen om intern styrning och kontroll. 106 3 § förordningen om intern styrning och kontroll. 107 4 § förordningen om intern styrning och kontroll.

57

60

Tillämpliga bestämmelser

Den interna styrningen och kontrollen ska systematiskt och regelbundet följas upp och bedömas. Vid bedömningen ska iakttagelser som lämnas vid extern revision och internrevision beaktas. 108 Riskanalysen och de åtgärder som vidtas med anledning av analysen ska dokumenteras i den utsträckning som är nödvändig för myndighetens uppföljning och bedömning av om den interna styr- 109 ningen och kontrollen är betryggande. Ekonomistyrningsverket har med stöd 7 § i förordningen utfärdat föreskrifter och allmänna råd om intern styrning och kontroll 110 (ESVFA 2022:8).

2.12 Internrevisionsförordningen (2006:1228) med

mera

Förordningen gäller för förvaltningsmyndigheter under regeringen i den omfattning som regeringen föreskriver i myndighetens instruktion eller i någon annan förordning eller beslutar särskilt. 111 Vid myndigheten ska finnas en internrevision som ska ledas av en 112 chef som ska vara anställd i myndigheten. Internrevisionen ska granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. 113 Vidare ska internrevisionen utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen. 114 Internrevisionen ska ge råd och stöd till styrelsen och chefen för myndigheten. 115 Resultatet av internrevisionens granskning ska redovisas i form av iakttagelser och rekommendationer. Dessa ska rapporteras till 116 styrelsen.

108 5 § förordningen om intern styrning och kontroll. 109 6 § förordningen om intern styrning och kontroll. 110 Det är numera enligt 7 § Statskontoret som får meddela de föreskrifter som behövs för verkställigheten av förordningen. 111 1 § internrevisionsförordningen. 112 2 § internrevisionsförordningen. 113 3 § internrevisionsförordningen. 114 4 § internrevisionsförordningen. 115 5 § internrevisionsförordningen. 116 9 § internrevisionsförordningen.

58

61

Tillämpliga bestämmelser

Myndighetens styrelse ska besluta om 1. riktlinjer för internrevisionen, 2. revisionsplan för internrevisionen, och 3. åtgärder med anledning av internrevisionens iakttagelser och rekommendationer.117

Styrelsen ska, i den utsträckning som det inte möter hinder på grund av bestämmelse om sekretess, se till att internrevisionen får tillgång till de uppgifter och upplysningar som den behöver för att fullgöra 118 sitt uppdrag. Ekonomistyrningsverket har med stöd av 13 § utfärdat föreskrifter och allmänna råd om internrevision. Där framgår bland annat att internrevisionen ska inrättas direkt under myndighetens ledning och är självständig i förhållande till den granskade verksamheten och att rapportering bör ske efter varje avslutad granskning för att iakttagelser och rekommendationer ska medföra förbättringar av processen för intern styrning och kontroll. 119

2.13 Lagen (1992:1403) om totalförsvar och höjd

beredskap

Totalförsvar är verksamhet som behövs för att förbereda Sverige för krig. För att stärka landets försvarsförmåga kan beredskapen höjas. Höjd beredskap är antingen skärpt beredskap eller högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då ska bedrivas. Totalförsvar består av militär verksamhet (militärt försvar) och civil verksamhet (civilt försvar). 120 Totalförsvarsresurser ska utformas så att de även kan användas vid internationella fredsfrämjande och humanitära insatser och stärka samhällets förmåga att förebygga och hantera svåra påfrestningar 121 på samhället.

117 10 § internrevisionsförordningen. 118 11 § internrevisionsförordningen. 119 2 § och allmänna råd till 9 § internrevisionsförordningen, ESVFA 2022:9. 120 1 § lagen om totalförsvar och höjd beredskap. 121 2 § lagen om totalförsvar och höjd beredskap.

59

62

Tillämpliga bestämmelser

2.14 Förordningen (2022:524) om statliga

myndigheters beredskap

Förordningen innehåller bestämmelser om uppgifter som statliga myndigheter under regeringen har inför och vid fredstida krissituationer och höjd beredskap. Syftet med förordningen är att statliga myndigheter under regeringen genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter vid fredstida krissituationer och höjd beredskap. 122 Bestämmelserna i förordningen ska tillämpas bara om något annat inte följer av lag eller annan förordning. 123 Varje myndighet ska 1. identifiera samhällsviktig verksamhet inom myndighetens ansvarsområde, 2. kontinuerligt analysera om det inför eller vid fredstida krissituationer och höjd beredskap finns sårbarhet och hot eller risker som allvarligt kan hota, skada eller försämra förmågan till den samhällsviktiga verksamheten inom ansvarsområdet 3. bedriva ett systematiskt arbete för att kunna upprätthålla den egna samhällsviktiga verksamheten (kontinuitet) och verka för att andra aktörer inom ansvarsområdet också bedriver ett sådant arbete, och 4. minst vartannat år värdera och sammanställa resultatet av analysarbetet enligt 1 – 3 i en risk- och sårbarhetsanalys. Risk- och sårbarhetsanalysen ska även omfatta vilka åtgärder som myndigheten vidtagit och planerar för att minska sårbarheten mot sådana hot och risker som identifierats samt en övergripande bedömning av vilka övriga åtgärder inom myndighetens ansvarsområde som bör vidtas i samma syfte. 124

Varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. I

122 1 § förordningen om statliga myndigheters beredskap. 123 2 § förordningen om statliga myndigheters beredskap. 124 7 § förordningen om statliga myndigheters beredskap.

60

63

Tillämpliga bestämmelser

ansvaret ingår att myndigheten särskilt ska beakta behovet av säkra ledningssystem. 125 Till stöd för arbetet med samhällets informationssäkerhet ska en myndighet till MCF skyndsamt rapportera it-incidenter som inträffat i den rapporterande myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller som inträffat i tjänster som myndigheten tillhandahåller åt en annan organisation. 126 Statliga myndigheter med ansvar inom en eller flera viktiga samhällsfunktioner och vars verksamhet har särskild betydelse för samhällets krisberedskap och totalförsvaret ska vara beredskapsmyndigheter. Av bilaga 1 till förordningen framgår att Lantmäteriet är en 127 sådan myndighet. Beredskapsmyndigheterna ska senast vid utgången av september månad varje jämnt årtal till Regeringskansliet och MCF lämna en sammanfattande redovisning (risk- och sårbarhetsbedömning) baserad på den risk- och sårbarhetsanalys som gjorts enligt 7 §. Riskoch sårbarhetsbedömningen ska innehålla dels uppgifter om de åtgärder som myndigheten vidtagit och planerar för att minska sårbarheten mot sådana hot och risker som identifierats i risk- och sårbarhetsanalysen, dels en övergripande bedömning av vilka övriga åtgärder inom myndighetens ansvarsområde som bör vidtas i samma 128 syfte samt hur dessa åtgärder ska prioriteras.

2.15 Myndigheten för civilt försvar

MCF har med stöd av bemyndiganden i förordningen om statliga myndigheters beredskap utfärdat föreskrifter om bland annat 129 informationssäkerhet för statliga myndigheter. Av föreskrifterna om informationssäkerhet för statliga myndigheter framgår bland annat följande. Myndigheten ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av närmare angivna standarder.

125 13 § förordningen om statliga myndigheters beredskap. 126 14 § förordningen om statliga myndigheters beredskap. 127 18 § förordningen om statliga myndigheters beredskap. 128 19 § förordningen om statliga myndigheters beredskap. 129 MSBFS 2020:6.

61

64

Tillämpliga bestämmelser

Informationssäkerhetsarbetet ska utformas utifrån de risker och behov som myndigheten identifierar. Det ska omfatta all behandling av information som myndigheten ansvarar för och integreras med myndighetens befintliga sätt att leda och styra sin organisation. När myndigheten utformar informationssäkerhetsarbetet ska den 1. säkerställa att det finns en informationssäkerhetspolicy där ledningens målsättning med och inriktning för informationssäkerhetsarbetet framgår, 2. tydliggöra myndighetsledningens och den övriga organisationens ansvar, inklusive den eller de som utses att leda och samordna informationssäkerhetsarbetet, och ge dessa befattningar de befogenheter som behövs, 3. säkerställa att informationssäkerhetsarbetet tilldelas nödvändiga resurser, 4. upprätta de interna regler, arbetssätt och stöd som behövs, och 5. säkerställa att innehållet i myndigheternas interna regler, arbetssätt och stöd utvärderas samt vid behov anpassas.

Utformningen av informationssäkerhetsarbetet ska dokumente- 130 ras. Myndigheten ska säkerställa att informationssäkerhetsarbetet är systematiskt och riskbaserat genom att 1. klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få (informationsklassning ) ,

2. identifiera, analysera och värdera risker för sin information (riskbedömning), 3. utifrån genomförd informationsklassning och riskbedömning identifiera behov av och införa ändamålsenliga och proportionella säkerhetsåtgärder, och 4. utvärdera säkerhetsåtgärderna och vid behov anpassa skyddet av informationen. I arbetet ingår att genomföra en gapanalys.

130 5 § MSBFS 2020:6.

62

65

Tillämpliga bestämmelser

Informationssäkerhetsarbetet och införda säkerhetsåtgärder ska dokumenteras. 131 Myndigheten bör som stöd för arbetet med informationsklassning och riskbedömning bland annat fastställa vilka befattningar som ansvarar för att informationsklassning och riskbedömning genomförs. 132 Föreskrifterna innehåller i övrigt ett antal ytterligare bestämmelser om informationssäkerhet, bland annat om uppföljning av informationssäkerhetsarbetet. 133

2.16 Lantmäteriets instruktion

Av förordningen (2009:946) med instruktion för Lantmäteriet framgår bland annat följande. Lantmäteriet är den statliga lantmäterimyndigheten och är förvaltningsmyndighet för frågor om fastighetsindelning, om grundläggande geografisk information och fastighetsinformation, om inskrivning enligt jordabalken och om geodetiska referenssystem. 134 Lantmäteriet ska verka för 1. en enhetlig och ändamålsenlig förrättningsverksamhet och en ändamålsenlig fastighetsindelning, 2. en väl fungerande försörjning med grundläggande geografisk information och fastighetsinformation av sådan omfattning, kvalitet och aktualitet att samhällets behov tillgodoses, 3. en enhetlig och ändamålsenlig inskrivningsverksamhet, och 4. en nationell enhetlig geodetisk infrastruktur. 135

Lantmäteriet har ett nationellt samordningsansvar för produktion, samverkan, tillhandahållande och utveckling inom området för geografisk information och fastighetsinformation (geodataområdet). Inom geodataområdet ska Lantmäteriet åt andra statliga myndigheter och åt kommuner även lagra och tillgängliggöra sådan infor- 136 mation som de berörda parterna kommer överens om.

131 6 § MSBFS 2020:6. 132 Allmänna råd till 6 § MSBFS. 133 14 § MSBFS 2020:6. 134 1 – 2 §§ instruktionen. 135 3 § instruktionen. 136 4 § instruktionen.

63

66

Tillämpliga bestämmelser

Lantmäteriet ska 1. ansvara för uppbyggnad, drift, uppdatering och tillhandahållande av grundläggande geografisk information och fastighetsinformation, inklusive de allmänna kartorna, 2. handlägga inskrivningsärenden enligt jordabalken, 3. handlägga förrättningar, 4. ansvara för drift och uppdatering av pantbrevssystem och lägenhetsregister och för att tillhandahålla pantbrevsinformation, information från pantbrevssystem, pantbrevsanknuten information och information från lägenhetsregister, 5. ansvara för de nationella geodetiska referensnäten, 6. verka för enhetlighet, samordning och kvalitet inom mätningsområdet och inom det karttekniska området, 7. verka för ett ändamålsenligt och vårdat ortnamnsskick samt besluta om ortnamn i den utsträckning inte någon annan myndighet har befogenhet att göra det, 8. ansvara för redovisning, tillsyn och skötsel av Sveriges riksgräns på land mot Finland, 9. bedriva forsknings- och utvecklingsverksamhet inom sitt verksamhetsområde, 10. avgöra ärenden om fastigheters skattetal, 11. utöva tillsyn över de kommunala lantmäterimyndigheterna, och 12. tillgodose Försvarsmaktens behov av geografisk information och fastighetsinformation samt av råd och stöd i fråga om sådan information. 137

Lantmäteriet ska inom ramen för sitt verksamhetsområde bland annat även bevaka Sveriges intresse i det internationella arbetet. 138 Lantmäteriet är beredskapsmyndighet enligt förordningen (2022:524) om statliga myndigheters beredskap. 139

137 5 § instruktionen. 138 6 § instruktionen. 139 8 § instruktionen.

64

67

3 Säkerhetsskydd och

informationssäkerhet

3.1 Kapitlets innehåll

Lantmäteriet bedriver säkerhetskänslig verksamhet och hanterar mycket stora informationsmängder både digitalt och manuellt. I detta kapitel redogörs för några grundläggande delar vad gäller säkerhetsskydd och för vad ett systematiskt och riskbaserat informationssäkerhetsarbete i stort omfattar. Slutligen beskrivs hur ett sådant arbete kan mätas genom den så kallade Cybersäkerhetskollen, samt några resultat från denna.

3.2 Säkerhetsskydd

140

3.2.1 Vad är säkerhetsskydd?

I Sverige finns ett antal skyddsvärden som är prioriterade när det gäller säkerhetsskydd. Det handlar exempelvis om att skydda Sveriges yttre säkerhet, demokrati, rättsväsendet och dess brottsbekämpande förmåga. Samtidigt är säkerhetshoten komplexa och består bland annat av främmande stater, organisationer och personer som är beredda att använda våld, spionera eller begå andra brott för att orsaka skador på det som är skyddsvärt för Sverige. En antagonist kan orsaka skada för Sveriges säkerhet genom att komma över säkerhetsskyddsklassificerade uppgifter eller sabotera och manipulera övrig säkerhetskänslig verksamhet. Säkerhetsskydd är ett system av förebyggande åtgärder för att skydda dessa uppgifter och övrig säkerhetskänslig verksamhet mot

140 Avsnittet bygger på information i Säkerhetspolisens Vägledning om säkerhetsskydd – Introduktion och Informationssäkerhet på www.sakerhetspolisen.se, hämtat den 3 december 2025.

65

68

Säkerhetsskydd och informationssäkerhet

antagonistiska handlingar. Säkerhetsskydd innefattar också skydd i andra fall av säkerhetsskyddsklassificerade uppgifter, exempelvis mot att uppgifter röjs som en följd av bristande säkerhetsrutiner. Säkerhetskänslig verksamhet är sådan verksamhet som är av betydelse för Sveriges säkerhet 141 eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Enligt Säkerhetspolisen bör det noteras att behoven och förutsättningarna varierar mellan olika verksamhetsutövare och att det därför inte finns någon standardlösning som går att tillämpa på all säkerhetskänslig verksamhet. Detta gör säkerhetsskydd till ett komplext område med många pusselbitar som behöver läggas ihop för att värna Sveriges säkerhet och sådant som Sverige åtagit sig att skydda åt andra stater och mellanfolkliga organisationer.

3.2.2 Sveriges säkerhet

Vad som är av betydelse för Sveriges säkerhet kan förändras över tid och i takt med att samhället utvecklas. Ett exempel är hur samhällets funktionalitet de senaste åren blivit mer beroende av olika digitaliserade informationssystem och mobiltelefoni. Av den anledningen är det viktigt att verksamhetsutövaren bedriver ett systematiskt säkerhetsskyddsarbete. Det görs exempelvis genom att kontinuerligt uppdatera säkerhetsskyddsanalysen för att identifiera skyddsvärden och nödvändiga säkerhetsskyddsåtgärder samt kontrollera och utvärdera om säkerhetsskyddsåtgärderna ger avsedd effekt.

3.2.3 Varför behöver säkerhetskänsliga verksamheter ett

särskilt skydd?

Säkerhetsskydd behövs för att skydda säkerhetskänsliga verksamheter, främst mot olika typer av antagonistiska handlingar från hotaktörer med varierande avsikt och förmåga. Det säkerhetspolitiska läget i Sveriges närområde har allvarligt försämrats, vilket har en direkt inverkan på Sverige, eftersom de yttre hoten har betydelse för

141 Uttrycket Sveriges säkerhet saknar definition i lag men förekommer även i annan författning och kan sammanfattas som Sveriges oberoende – i betydelsen självständighet och suveränitet – och bestånd. Detta innefattar okränkta landsgränser, ett bevarande av det svenska självstyret och det demokratiska statsskicket samt samhällets grundläggande funktionalitet.

66

69

Säkerhetsskydd och informationssäkerhet

Sveriges säkerhet. Säkerhetshotet från främmande makt är högt, långsiktigt och har även blivit mer komplext. Sverige är ett attraktivt mål när behovet av teknik, information och kunskap hos främmande makt ökar. Förmågan hos främmande makt kan bestå av såväl stora ekonomiska som personella resurser med tillgång till avancerad teknik och kunskap. Intresset riktas främst mot de myndigheter och enskilda verksamhetsutövare som är av betydelse för Sveriges militära och civila försvar. Sådana verksamheter kan exempelvis finnas inom sektorerna energiförsörjning, elektronisk kommunikation, finansiella tjänster eller i olika typer av internationella samarbeten. Främmande makt använder olika metoder för underrättelseinhämtning. Exempel är bland annat inhämtning från öppna källor, såsom webbplatser, årsredovisningar och rapporter om verksamheters organisation, kris- och krigsberedskap, samt genom att inleda olika typer av samarbeten och delta i upphandlingar. Utöver främmande makt utgör också ideologiskt motiverade grupper och personer ett hot. De kan utföra antagonistiska handlingar riktade mot myndigheter, institutioner och bolag.

3.2.4 Hur fungerar säkerhetsskydd?

Säkerhetsskydd kan beskrivas som ett system av åtgärder som utifrån vad som identifierats i säkerhetsskyddsanalysen sammantaget skyddar den säkerhetskänsliga verksamheten. Merparten av åtgärderna inom säkerhetsskydd kan sorteras in i någon av de tre säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet. Andra åtgärder är exempelvis hantering av säkerhetshotande händelser och säkerhetsskyddsavtal med aktörer som kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet. En grundförutsättning för ett heltäckande säkerhetsskydd är samspelet mellan olika typer av åtgärder som överlappar varandra. Exempelvis räcker det inte att enbart skydda ett informationssystem med informationssäkerhetsåtgärder som hindrar intrång via internet. Det krävs även fysisk säkerhet för att förhindra att obehöriga kommer åt datautrustningen samt personalsäkerhet för att förebygga att personer som inte är pålitliga från säkerhetssynpunkt får arbeta med systemet.

67

70

Säkerhetsskydd och informationssäkerhet

Den som till någon del bedriver säkerhetskänslig verksamhet är skyldig att utreda behovet av säkerhetsskydd. Det görs genom en säkerhetsskyddsanalys. Analysen är grundläggande för ett strukturerat och systematiskt säkerhetsskyddsarbete. Säkerhetsskyddet måste vara heltäckande vilket kan innebära ökade kostnader, minskad effektivitet och ökad administration. Genom att i analysen identifiera skyddsvärden och nödvändiga säkerhetsskyddsåtgärder kan verksamhetsutövaren säkerställa att säkerhetsskyddet läggs på en väl avvägd nivå. Utifrån säkerhetsskyddsanalysen redogörs sedan i en säkerhetsskyddsplan för hur behovet av säkerhetsskyddsåtgärder tas omhand. Säkerhetsskyddsanalysen ska ge svar på vad som ska skyddas, mot vad det ska skyddas och hur det ska skyddas.

3.2.5 Informationssäkerhet inom säkerhetsskydd

Alla verksamheter är beroende av att kunna inhämta, lagra, bearbeta och kommunicera information i olika former. Den tekniska utvecklingen har gjort informationssystem till viktiga verktyg i hanteringen. Informationssäkerhet syftar till att skydda information i form av uppgifter och informationssystem. Uppgifterna ska skyddas oavsett hur och var de förekommer. Även om det i olika sammanhang finns skiftande definitioner av begreppet informationssäkerhet återkommer alltid tre centrala perspektiv eller egenskaper: – Konfidentialitet : att förhindra att obehöriga får tillgång till information. – Riktighet : att det går att lita på att den information som används i verksamheten är korrekt och inte manipulerad. – Tillgänglighet : att säkerställa att informationen är tillgänglig när den behövs.

Informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Informationssäkerhet ska också förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som rör säkerhetskänslig verksamhet. Informationssäkerhet är inte begränsat till enbart

68

71

Säkerhetsskydd och informationssäkerhet

tekniska åtgärder utan inkluderar även bland annat rutiner och utbildning. Säkerhetsskyddsklassificerade uppgifter kan förekomma i fysisk form som exempelvis utskrivna dokument, fotografier, inspelningar och ritningar. Informationssäkerhetsåtgärder kan i dessa fall exempelvis utgöras av att dokumenten förses med anteckning om aktuell säkerhetsskyddsklass och att förvaring sker på ett betryggande sätt. Säkerhetsskyddsklassificerade uppgifter kan även förekomma muntligt genom samtal och möten. En säkerhetskyddsåtgärd kan då utgöras av att det enbart är tillåtet att ta del av och tala om dessa uppgifter i särskilda skyddade och godkända utrymmen. Behovet av samspel mellan säkerhetsskyddsåtgärder är av stor vikt oavsett i vilken form de säkerhetsskyddsklassificerade uppgifterna förekommer. Personalen som hanterar dokumenten behöver utbildas i säkerhetsskydd och ha kunskap om anteckningens (säkerhetsskyddsklassens) innebörd och förvaringsutrymmena måste dimensioneras i förhållande till den fysiska säkerheten i övrigt. Rutiner för hantering, delning, kopiering och destruktion är andra exempel på åtgärder. Hantering av säkerhetskyddsklassificerade uppgifter sker i dag ofta i olika informationssystem. Ett informationssystem behöver inte innehålla säkerhetsskyddsklassificerade uppgifter för att omfattas av krav på säkerhetsskydd. Det skulle kunna röra sig om fall där det kan uppstå en skada för Sveriges säkerhet om tillgängligheten till eller riktigheten i uppgifterna som hanteras i systemet påverkas.

3.2.6 Krav på godkännande av informationssystem

Innan ett informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så 142 att dessa krav tillgodoses. Ett informationssystem som ska användas i säkerhetskänslig verksamhet får inte tas i drift förrän det har godkänts från säkerhetsskyddssynpunkt av verksamhetsutövaren. 143 En motsvarande bestämmelse fanns i den numera upphävda säkerhetsskyddsförordningen (2018:658). Den förordningen trädde i

142 3 kap. 1 § säkerhetsskyddsförordningen. 143 3 kap. 3 § säkerhetsskyddsförordningen.

69

72

Säkerhetsskydd och informationssäkerhet

kraft den 1 april 2019 men det fanns inte några övergångsbestämmelser som angav att det angivna kravet skulle gälla informationssystem som ”togs i drift” innan ikraft trädandet. Detta betyder dock inte enligt Säkerhetspolisens vägledning att sådana äldre informationssystem inte behöver vara godkända från säkerhetsskyddssynpunkt av verksamhetsutövaren. Säkerhetspolisens föreskrifter om säkerhetsskydd anger att säkerhetsskyddsklassificerade uppgifter i en viss säkerhetsskyddsklass får behandlas endast i informationssystem eller på lagringsmedium som verksamhetsutövaren godkänt för lägst den säkerhetsskyddsklass som uppgifterna har. 144 Detta godkännandekrav är till skillnad från bestämmelsen i säkerhetsskyddsförordningen av löpande karaktär och omfattar således alla informationssystem (och lagringsmedium) som hanterar säkerhetsskyddsklassificerade uppgifter, oberoende av när informationssystemet togs i drift. Det finns alltså inte något legalt krav på en särskild säkerhetsskyddsbedömning, men upprättandet av en sådan är en lämplig metod för att säkerställa ett fullgott resultat. 145

3.2.7 Verksamhetsutövarens ansvar

Den som till någon del bedriver säkerhetskänslig verksamhet har en grundläggande skyldighet att utreda behovet av säkerhetsskydd. Det innefattar bland annat att identifiera förekomsten av säkerhetsskyddsklassificerade uppgifter och andra skyddsvärden. Vidare innefattas att planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomsten av säkerhetsskyddsklassificerade uppgifter och andra omständigheter. Verksamhetsutövaren ska dessutom kontinuerligt kontrollera och följa upp det egna säkerhetsskyddet. Säkerhetskänsliga verksamheter ska ha rutiner för hantering av säkerhetshotande händelser som är av betydelse för verksamheten. En säkerhetshotande händelse ska skyndsamt anmälas till Säkerhetspolisen, exempelvis om en säkerhetsskyddsklassificerad uppgift kan ha röjts.

144 3 kap. 1 § PMFS 2022:1. 145 Säkerhetspolisens Vägledning i säkerhetsskydd – Informationssäkerhet, www.sakerhetspolisen.se, hämtat den 29 december 2025, s. 15 och 54.

70

73

Säkerhetsskydd och informationssäkerhet

3.3 Ett systematiskt och riskbaserat informations-

säkerhetsarbete

146

3.3.1 Myndigheten för civilt försvars ansvar

MCF ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyggande arbete till andra statliga myndigheter, kommuner och regioner 147 samt företag och organisationer. En myndighet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. 148

3.3.2 Metodstöd för ett systematiskt

informationssäkerhetsarbete

MCF har utarbetat ett metodstöd för systematiskt informationssäkerhetsarbete. Det är en samling vägledningar och verktyg som finns för att tydliggöra hur ett systematiskt informationssäkerhetsarbete kan utformas. Metodstödet bygger på standardserien ISO/IEC 27000. Omfattande information om metodstödet finns på 149 MCF:s webbplats. I korthet kan sägas att ett systematiskt arbetssätt innebär att organisationen arbetar strukturerat på ett sätt som är planerat i förväg för att säkra sin information. Arbetet är riskbaserat, vilket betyder att organisationen arbetar proaktivt och kontinuerligt identifierar, förebygger, hanterar och följer upp organisationens risker och agerar utifrån dessa. Metodstödet består av fyra olika metodsteg som sammantaget bildar helheten av det systematiska informationssäkerhetsarbetet. Metodstegen är Identifiera och analysera, Utforma, Använda samt Följa upp och förbättra.

146 Avsnittet bygger på information på www.mcf.se/sv/amnesomraden/informationssakerhetoch-cybersakerhet/arbeta-systematiskt-med-informationssakerhet-ochcybersakerhet/metodstod-for-informationssakerhetsarbete, hämtat den 14 januari 2026. 147 11 a § förordningen (2008:1002) med instruktion för Myndigheten för civilt försvar. 148 4 § MSBFS 2020:6. 149 https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/arbetasystematiskt-med-informationssakerhet-och-cybersakerhet/metodstod-forinformationssakerhetsarbete, hämtat den 28 januari 2026.

71

74

Säkerhetsskydd och informationssäkerhet

Metodstödet syftar till att förtydliga hur ett systematiskt informationssäkerhetsarbete kan utformas och användas utifrån standarderna om ledningssystem för informationssäkerhet. När det gäller Ledning och styrning, som är en del av metodsteget Utforma, anger MCF att ledningens agerande, inte minst att fatta beslut, sätta frågorna på agendan och själv vara en förebild, legitimerar frågorna och har mycket stor betydelse för hur informationssäkerhetsarbetet kommer att utvecklas i organisationen. Här betonas bland annat att det är viktigt att ledningen får insikt i betydelsen av och nyttan med informationssäkerhet och hur att ledningen tillsammans med CISO 150 etablerar ett gott samarbete för att leda och styra informationssäkerhetsarbetet. Vidare anges att ledningen löpande behöver hållas underrättad om händelser och avvikelser som påverkar organisationens situation och förutsättningar, exempelvis nya lagförslag, förändrad riskbild eller inträffade incidenter. Resultat ska inte dyka upp som överraskningar vid ett planerat möte i slutet av en period.

3.3.3 Cybersäkerhetskollen

Cybersäkerhetskollen är ett verktyg för ökad motståndskraft och ett stärkt civilt försvar och är samlingsnamnet för MCF:s cybersäkerhetsmätningar. Cybersäkerhetskollen mäter nivån på verksamhetens systematiska cybersäkerhetsarbete, samt ger stöd för förbättringsarbete. 151 Verktyget innehåller, såvitt främst är av intresse, Infosäkkollen. Den är en mätning och ett verktyg som stödjer uppföljning och förbättring av systematiskt informations- och cybersäkerhetsarbete. Med Infosäkkollen kan organisationen själv undersöka vilken nivå som arbetet befinner sig på och hur det kan utvecklas. Resultatet ger underlag för planering och prioritering, och med regelbundna uppföljningar kan utvecklingen följas över tid. Infosäkkollen följer MCF:s föreskrifter om informationssäkerhet för statliga myndigheter 152 och är framtagen och testad tillsammans med offentlig sektor. I samband med utvärderingen av Cybersäkerhetskollen 2024 uppgav

150 Chief Information Security Officer. 151 Avsnittet bygger på information på www.mcf.se/sv/amnesomraden/informationssakerhetoch-cybersakerhet/arbeta-systematiskt-med-informationssakerhet-ochcybersakerhet/cybersakerhetskollen/om-cybersakerhetskollen, hämtat den 14 januari 2026. 152 MSBFS 2020:6.

72

75

Säkerhetsskydd och informationssäkerhet

över 80 procent att Infosäkkollen är värdefull för deras organisations informations- och cybersäkerhetsarbete. Cybersäkerhetskollen genomförs normalt vartannat år. Det har hittills gjorts vid fyra tillfäl- 153 len, 2021, 2023, 2024 och 2025. De olika nivåerna i Infosäkkollen är följande. 154 1. Organisationer har grunderna i sitt informationssäkerhetsarbete på plats, åtminstone i begränsad utsträckning. 2. Organisationen bedriver informationssäkerhetsarbetet med viss systematik och är dessutom bättre på grunderna, det vill säga de frågor som anges i nivå 1. 3. Organisationen uppvisar ett kvalificerat innehåll i informationssäkerhetsarbetet och är dessutom bättre på grunderna, det vill säga de frågor som anges i nivå 1 – 2. 4. Organisationen arbetar avancerat med ständiga förbättringar och är dessutom bättre på grunderna, systematiken och innehållet, det vill säga de frågor som anges i 1 – 3. Informationssäkerhetsarbetet karaktäriseras genomgående av systematik och ändamålsenlighet.

Resultatet av Infosäkkollen, för 2024 visade att endast något fler än fyra av tio organisationer nådde upp till någon av modellens fyra nivåer. Övriga 58,6 procent av organisationerna saknade de mest grundläggande delarna i ett systematiskt cybersäkerhetsarbete. Beträffande myndigheter anförde dåvarande MSB följande. 155

Som analysen av resultattalen från myndigheter visar kan det konstateras att en tydlig majoritet av myndigheterna uppvisar ett resultat som indikerar att de kommer att behöva vidta en rad åtgärder innan de uppfyller kraven i MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6). Myndigheternas resultat spänner över ett spektrum där några endast har haft enstaka åtgärder på plats under perioden. Tio myndigheter har fått mindre än 50 poäng, av Infosäkkollens totalt 200 poäng. Ingen av dessa har uppnått nivå 1.

153 Information på MCF:s webbplats, hämtat den 14 januari 2026. Resultatet för 2025 är i januari 2026 ännu inte publicerat på webbplatsen men Lantmäteriet har fått del av resultatet. Vi återkommer till detta i kapitel 9. 154 Information i Cybersäkerhetskollen 2025 vers 1.3 på MCF:s webbplats, hämtat den 14 januari 2026. 155 Resultatredovisning av Cybersäkerhetskollen 2024 – Det systematiska cybersäkerhetsarbetet i den offentliga förvaltningen, MCF, s. 115.

73

76

Säkerhetsskydd och informationssäkerhet

86 myndigheter har fått mer än 100 poäng, men 26 av dem har ändå inte uppnått nivå 1 då de har saknat bredden i arbetet, huvudsakligen på grund av brister avseende Uppföljning och utvärdering, Ledningens styrning och kontroll samt Incident- och kontinuitetshantering. Bland de myndigheter som har nått höga poäng i Infosäkkollen är det alltså en klar majoritet som har genomfört stora delar av de åtgärder som föreskrifterna kräver, men som samtidigt uppvisar brister inom något eller några arbetsområden. Av alla deltagande 120 myndigheter är det åtta som når det samlade resultat som MSB har definierat som en indikation över huruvida en organisation uppfyller MSB:s föreskriftskrav om statliga myndigheters informationssäkerhet. Även om MSB:s föreskrifter med krav på statliga myndigheters informationssäkerhetsarbete har uppdaterats och förtydligats i några omgångar sedan de först trädde i kraft 2009 bör det ändå noteras att myndigheterna har omfattats av författningskrav på att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete i fjorton år. Under den tiden har några nya myndigheter skapats och det kan vara så att dessa inte har haft tid att bygga upp det systematiska informationssäkerhetsarbetet fullt ut. Den faktorn är dock inte tillräcklig för att förklara resultatet. MSB har inte i uppgift att utöva tillsyn över hur enskilda myndigheter efterlever föreskrifterna om statliga myndigheters informationssäkerhet. Myndigheten har därför inte någon djupare insyn än den som ges genom Infosäkkollen, incidentrapportering och informella kontakter. Trots det blir den övergripande slutsatsen ändå att arbetet med att efterleva föreskrifterna är eftersatt hos majoriteten av myndigheterna.

Det kan läggas till att endast åtta av 120 deltagande myndigheter nådde det samlade resultatet, nivå 3, som MSB har definierat som en indikation över huruvida en organisation uppfyller MSB:s föreskriftskrav om statliga myndigheters informationssäkerhet. Detta utgjorde i och för sig en fördubbling jämfört med tidigare resultat, från fyra till åtta myndigheter, men det innebar samtidigt att 112 av 120 deltagande myndigheter inte klarade föreskriftskraven på informationssäkerhet. 156 Infosäkkollens arbetsområde för Ledningens styrning och kontroll var det arbetsområde där minst antal organisationer klarade nivå 1. Sammantaget var den bild som framkom enligt MSB att organisationsledningarna inte engagerar sig, prioriterar eller tillför de resurser till förbättringsarbetet i den utsträckning som krävs. Medan ett visst skydd kan uppnås utan aktiv inriktning och uppföljning av ledningen så var MSB:s bedömning att förutsättningarna för att be-

156 Resultatredovisningen, s. 103.

74

77

Säkerhetsskydd och informationssäkerhet

driva ett systematiskt och riskbaserat cybersäkerhetsarbete saknas utan ledningens löpande engagemang. 157 MSB hade i rapporten även ett antal rekommendationer till myndigheterna. Dessa var bland annat att följa MSB:s föreskrifter om statliga myndigheters informationssäkerhet och att stärka ledningens engagemang i det systematiska informations- och cybersä- 158 kerhetsarbetet.

157 Resultatredovisningen, s. 8. 158 Resultatredovisningen, s. 32 f.

75

79

4 Lantmäteriets organisation och

uppgifter

4.1 Kapitlets innehåll

Kapitlet innehåller en beskrivning av Lantmäteriets organisation och uppgifter, formerna för den interna styrningen av myndigheten och något om den översyn av delar av organisationen som gjorts.

4.2 Allmänt om Lantmäteriet

Den 1 september 2008 slogs det tidigare Lantmäteriverket och de 21 länsvisa lantmäterimyndigheterna ihop till en myndighet med det nya namnet Lantmäteriet. 159 Lantmäteriet är den statliga lantmäterimyndigheten och har kartlagt Sverige sedan 1628. Lantmäteriets uppdrag är att säkra ägandet av fastigheter, göra geodata 160 tillgängligt i samhället och lägga grunden för en fungerande samhällsekonomi. Myndigheten driver också aktivt, i samverkan med andra, digitaliseringen av samhällsbyggnadsprocessen. 161 Lantmäteriet har enligt myndighetens regleringsbrev 2003 – 2006 haft i uppdrag att bygga upp informationssystem med grundläggande landskaps- och fastighetsinformation. Det beskrivs närmare som att Lantmäteriet ska se till att en gemensam

159 Se prop. 2007/08:134 Det nya statliga lantmäteriet. 160 Geodata beskriver allt som har ett geografiskt läge, till exempel fastigheter, byggnader, sjöar, vägar, vegetation och befolkning, www.lantmateriet.se/sv/geodata, hämtat den 13 januari 2026. 161 www.lantmateriet.se/sv/om-lantmateriet, hämtat den 13 januari 2026.

77

80

Lantmäteriets organisation och uppgifter

rikstäckande databas för geografisk information och fastighetsinformation byggs upp och att databaser över tiden har ett aktuellt och väl specificerat informationsinnehåll som kvalitetsmässigt och tekniskt motsvarar användarkraven från samhället. Myndigheten ska bland annat se till att erbjuda ett ökat och flexibelt utbud med såväl elektroniska som traditionella tjänster, samt att genom olika aktiviteter och kanaler, såsom användning av återförsäljare, öka användningen av informationen. Man ska verka för att informationen ska komma till nytta hos allt fler användare och inom allt fler tillämp- 162 ningsområden. Lantmäteriet omfattar huvudkontoret i Gävle och verksamhet på 50 orter runt om i Sverige. Lantmäteriet har totalt ca 2 200 anställda, varav 940 arbetar på huvudkontoret.

4.3 Organisation

163

Lantmäteriets organisation kan illustreras med följande skiss.

162 Se myndighetens regleringsbrev 2003 – 2006. 163 Avsnittet bygger på Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340, delegationsordning den 16 december 2025, LM2025/161018, och information från Lantmäteriet i januari 2026.

78

81

Lantmäteriets organisation och uppgifter

4.3.1 Styrelsen

Styrelsen består av sex ledamöter. Myndighetens chef ingår i styrelsen och ansvarar för den löpande verksamheten i enlighet med styrelsens direktiv. Regeringen utser ordförande och övriga ledamöter. I myndighetens arbetsordning anges vad styrelsen ansvarar och beslutar om utöver de i myndighetsförordningen reglerade uppgifterna. Som exempel kan nämnas riktlinjer för internrevisionen och 164 förhållanden av större strategisk eller ekonomisk betydelse.

4.3.2 Generaldirektören

Utöver det som följer av myndighetsförordningen har generaldirektören, enligt arbetsordningen, följande uppgifter. Generaldirektören ansvarar för att fortlöpande utveckla verksamheten, tillhandahålla styrelsen information om myndighetens verksamhet och rekrytering av chefer som ska direktrapportera till generaldirektören samt följa sådana förhållanden utanför myndigheten som har betydelse för verksamheten. Generaldirektören ansvarar vidare för att det upprättas sådana interna styrande dokument som enligt författning eller av andra skäl bör upprättas för Lantmäteriets verksamhet. Generaldirektören ska verka för att genom samarbete med myndigheter och andra ta tillvara de fördelar som kan vinnas för enskilda samt för staten som helhet. Generaldirektören ansvarar för att till styrelsen lämna förslag till åtgärdsplan med anledning av iakttagelser och rekommendationer från internrevisionen och dataskyddsombudet. Generaldirektören rapporterar årligen vilka ärenden som har avgjorts av Lantmäteriets personalansvarsnämnd. Generaldirektörens uppgifter enligt detta avsnitt kan inte delegeras vidare. 165 Generaldirektören ska vidare samråda med styrelsen innan beslut fattas om bland annat organisatoriska förändringar vad gäller ledningsstöd och myndighetsgemensamma verksamhetsområden som 166 inte regleras i arbetsordningen. Generaldirektören ska avgöra ärenden som inte ska avgöras av styrelsen eller av personalansvarsnämnden. Generaldirektörens rätt

164 2.1.2 arbetsordningen. 165 2.2.2 arbetsordningen. 166 2.2.3 arbetsordningen.

79

82

Lantmäteriets organisation och uppgifter

att besluta kan genom delegationsordning eller skriftligt delegationsbeslut delegeras till annan tjänsteman med de begränsningar som följer av författning eller arbetsordningen. 167 Som stöd för generaldirektörens beslutsfattande finns en ledningsgrupp. Generaldirektören är ordförande i ledningsgruppen. I ledningsgruppen ingår den ställföreträdande generaldirektören och samtliga verksamhetsområdeschefer samt en sekreterare som generaldirektören utser. Ledningsgruppen har inte någon formell behörighet att fatta beslut och beslut fattas därför av generaldirektören eller enskilda medlemmar i gruppen med stöd av arbetsordningen, delegationsordning eller skriftliga delegationsbeslut. 168 Ledningsgruppens sammansättning följer inte direkt av arbetsordningen. Generaldirektören beslutar om sammansättningen med stöd av arbetsordningen.

4.3.3 Ledningsstöd

Ledningsstödet ansvarar för vissa myndighetsövergripande frågor och lämnar stöd i övrigt till generaldirektören och styrelsen. I ledningsstödet ingår ledningssamordnaren, tillika GD-assistenten, och den strategiska rådgivaren. Ledningssamordnaren, tillika GDassistenten, samordnar ärenden till generaldirektören och ledningsgruppen. Den strategiska rådgivaren ansvarar för Lantmäteriets kontakter med Regeringskansliet. 169 Rådgivaren ansvarar därutöver tillsammans med chefsjuristen för att i samråd med berörd verksamhet sammanställa Lantmäteriets behov av författningsutveckling i en lista som lämnas till ansvarigt departement.

4.3.4 Myndighetsgemensamma verksamhetsområden

De myndighetsgemensamma verksamhetsområdena utgörs av Lantmäteriets samlade resurser för gemensamma frågor rörande ekonomi, personal (HR), utveckling och IT, kommunikation, internatio-

167 2.2.4 arbetsordningen. 168 2.2.6 arbetsordningen. 169 3.2 arbetsordningen.

80

83

Lantmäteriets organisation och uppgifter

nellt arbete, inköp, lokalförsörjning och informationsstyrning, juridik samt säkerhet, beredskap och säkerhetsskydd.

Verksamhetsområde Juridik

Verksamhetsområdet har ansvar för att samordna övergripande frågor om rättssäkerhet, regelefterlevnad och regelstyrning inom Lantmäteriet och bistår chefsjuristen i den rättsliga styrningen vid myndigheten. I detta ansvar ingår bland annat att lämna juridisk rådgivning till myndighetens ledning och övriga verksamhetsområden. I verksamhetsområdet ingår myndighetens registratur. Verksamhetsområdet är indelat i fem enheter med totalt 72 medarbetare. Chefsjuristen är chef för verksamhetsområdet och ansvarar för myndighetens visselblåsarfunktion och samordning av myndighetens uppföljning avseende regelefterlevnad. Chefsjuristen rapporterar i dessa frågor till generaldirektören och årligen, eller vid behov, till styrelsen. 170 Verksamhetsområdet kan illustreras med följande skiss.

Verksamhetsområde Ekonomi och controlling

Verksamhetsområdet har ansvar för Lantmäteriets övergripande och samordnande verksamhetsplanering, inköp, budget och uppföljning samt ekonomiprocesserna. Verksamhetsområdet är ett strategiskt och operativt stöd för hela Lantmäteriet.

170 3.3.1 arbetsordningen.

81

84

Lantmäteriets organisation och uppgifter

Verksamhetsområde HR

Verksamhetsområdet har ansvar för Lantmäteriets övergripande och samordnande personal- och arbetsgivarpolitik samt HR-relaterade frågeställningar. Verksamhetsområdet är ett strategiskt och operativt stöd för hela Lantmäteriet.

Verksamhetsområde Utveckling och IT (UIT)

Verksamhetsområdet har ansvar för Lantmäteriets IT-drift, infrastruktur och systemutveckling samt övergripande och samordnande utvecklingsverksamhet och utvecklingsstyrning. Verksamhetsområdet är ett strategiskt och operativt stöd för hela Lantmäteriet.

Verksamhetsområde kommunikation

Verksamhetsområdet har ansvar för Lantmäteriets övergripande externa och interna kommunikationsarbete och är ett strategiskt och operativt stöd för hela Lantmäteriet. Verksamhetsområdet har till uppgift att utveckla och förvalta Lantmäteriets övergripande kommunikation och anpassa den efter målgruppernas behov.

Verksamhetsområde Tre I

Verksamhetsområdet har ett övergripande ansvar för samordningen av färdigheter inom lokalförsörjning, informationsstyrning och internationella frågor.

Verksamhetsområde Säkerhet

Verksamhetsområdet leder och samordnar Lantmäteriets verksamhet enligt säkerhetsskyddslagen, säkerhetsskyddsförordningen, Säkerhetspolisens föreskrifter om säkerhetsskydd, lagen om totalförsvar och höjd beredskap, förordningen om totalförsvar och höjd beredskap, förordningen om statliga myndigheters beredskap, samt NIS2 EU-direktiv. 171

171 Se avsnitt 16.6 angående NIS2.

82

85

Lantmäteriets organisation och uppgifter

Verksamhetsområdet ansvarar för Lantmäteriets samverkan med Säkerhetspolisen, MCF, Försvarsmakten samt andra myndigheter inom säkerhetsskydds- och beredskapsområdet om inte annat följer av särskilda överenskommelser eller regleringar. Säkerhetsskyddschefen rapporterar löpande till generaldirektören samt årligen, eller vid behov, till styrelsen resultatet av de analyser, de kontroller och den myndighetsinterna tillsyn som har gjorts avseende Lantmäteriets säkerhetsskydd och beredskap. Verksamhetsområdet ansvarar även för ledningsstöd i form av rådgivning i säkerhets- och säkerhetsskyddsfrågor till generaldirektören och styrelsen. Inom verksamhetsområdet finns också Lantmäteriets dataskyddsombud. Dataskyddsombudet rapporterar i de frågor som omfattas av uppdraget som dataskyddsombud löpande till generaldirektören och redovisar planeringen och utfallet av sitt övervakande och granskande arbete två gånger per år till styrelsen. 172 Antalet årsarbetare inom verksamhetsområdet uppgår till 21. Nuvarande befattningar inom verksamhetsområdet i övrigt är säkerhetsskyddshandläggare, informationssäkerhetschef, informationssäkerhetshandläggare, dataskyddsamordnare tillika informationssäkerhetshandläggare, beredskapschef, beredskapshandläggare, signalskyddschef, dataskyddsombud, biträdande säkerhetsskyddschef samt verksamhetsområdeschef.

Beredskapsorganisation

Inom myndigheten finns en beredskapsorganisation som aktiveras och avaktiveras i enlighet med för var tid gällande beredskapsplan för Lantmäteriet. Beredskapsorganisationen leds av en stabschefsfunktion. 173

4.3.5 Verksamhetsområde Fastighetsbildning

Verksamhetsområde Fastighetsbildning har ansvar för fastighetsindelningen, det vill säga fattar genom sina lantmäteriförrättningar beslut om nya fastigheter eller om ändring av existerande fastighe-

172 3.3.2 arbetsordningen. 173 3.3.3 arbetsordningen.

83

86

Lantmäteriets organisation och uppgifter

ter. 174 Det kan också gälla beslut om samfälligheter, servitut och ledningsrätter. Verksamhetsområdet är uppdelat i en stödenhet och sex geografiskt indelade och enheter. Inom området sysselsätts ca 900 medarbetare. Verksamheten bedrivs på 47 kontor fördelade över landet. 175 Inom enheten Fastighetsbildningens ledningsstöd Fastighetsbildningsstöd finns tre funktioner; Arbetssätt, Stab och Tekniskt handläggningsstöd. Funktionen Arbetssätts uppdrag är att ansvara för framtagande, utveckling och förvaltning av verksamhetsområdets arbetssätt, struktur för ständiga förbättringar samt samordning för systematiskt kvalitetsarbete. Funktion Stab är ett stöd till Fastighetsbildnings ledning. Funktionen Tekniskt handläggningsstöd har i uppdrag att fånga upp verksamhetsområdets verksamhetsmässiga behov av tekniska handläggningsstöd samt ge stöd och samordning av arkiveringsfrågor. Verksamhetsområdet kan illustreras med följande skiss:

4.3.6 Verksamhetsområde Fastighetsinskrivning

Verksamhetsområdet omfattar ca 330 medarbetare och fullgör Lantmäteriets roll som inskrivningsmyndighet och ansvarar för inskrivning enligt jordabalken. Det innebär att ungefär 500 000 ärenden om bland annat lagfart och inteckningar hanteras varje år. Dessutom fattas beslut om stämpelskatt och expeditionsavgifter i ärendehandläggningen. Verksamhetsområdet ansvarar även förhanteringen av förlorade pantbrev, samfällighetsregistret, granskning av arkivakter samt myndighetens kundcenter.

174 Information från Lantmäteriet i januari 2026. Se även 3.4 arbetsordningen. 175 Lantmäteriets säkerhetsskyddsanalys den 27 juni 2025, LM2025/088391, s. 25.

84

87

Lantmäteriets organisation och uppgifter

Organisationen består av en gemensam ledning och fem enheter. Verksamheten bedrivs i Skellefteå, Härnösand, Kiruna, Mora, Norrtälje, Uddevalla, Eksjö, Hässleholm och Gävle. 176 Enheten Stab ansvarar för verksamhetsövergripande strategiska frågor, samordning, uppföljning och verksamhetsutveckling. Handläggning av inskrivningsärenden utförs vid sju kontor runt om i Sverige. De är organiserade i enheterna Inskrivning och Granskning, Inskrivning och Kundcenter, samt Inskrivning och juridik. Enheten Pant och Utveckling består av funktionen Digital utveckling, Samfällighetsföreningsregistret samt Pant och värdering. Granskningsfunktionerna ansvarar för granskning av arkivakter i samband med utlämnande av allmän handling. 177 Verksamhetsområdet kan illustreras med följande skiss:

4.3.7 Verksamhetsområde Geodata

Verksamhetsområdet bygger upp, vidareutvecklar och förvaltar geografisk information och fastighetsinformation samt ansvarar för att tillhandahålla informationen. Inom området bedrivs också standardiseringsarbetes samt forskning och utveckling inom geodesi, 178 kartografikartografi och geografiska informationssystem. Verksamhetsområdet har sju enheter, Verksamhetssamordning, GeoStab, Geo SE, Geografisk information, Fastighetsinformation,

176 Lantmäteriets säkerhetsskyddsanalys den 27 juni 2025, LM2025/088391, s. 45. 177 Information från Lantmäteriet, januari 2026. Se även 3.5 arbetsordningen. 178 Vetenskapen om jordytans uppmätning och kartläggning, eller vetenskapen om jordens storlek, form och tyngdkraftsfält, www.lantmateriet.se/sv/geodata/gps-geodesi-ochswepos/Om-geodesi, hämtat den 21 januari 2026.

85

88

Lantmäteriets organisation och uppgifter

Geodesi och Marknad. Verksamheten finns i Gävle, Karlskrona, Kiruna, Luleå, Stockholm och Vänersborg. Verksamhetsområdet kan illustreras med följande skiss:

4.3.8 Rådsfunktioner

Vid Lantmäteriet finns i enlighet med myndighetens instruktion Ortnamnsrådet och Geodatarådet. Härutöver finns Mark- och fastighetsrådet samt Kredit- och fastighetsmarknadsrådet, som är inrättade på Lantmäteriets eget initiativ. 179

4.3.9 Internrevisionen

Vid Lantmäteriet finns en funktion för internrevision enligt internrevisionsförordningen. Den leds av en chef som förordnas av generaldirektören. Lantmäteriets styrelse är internrevisionens uppdragsgivare. Styrelsens instruktioner till internrevisionen ges i en rikt- 180 linje. Enligt Lantmäteriets arbetsordning ska generaldirektören samråda med styrelsen innan beslut fattas om lön, anställning och entledigande av chefen för internrevisionen. 181 Internrevisionen ska granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. Internrevisionen ska därutöver utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör sina upp-

179 3.7 arbetsordningen. 180 Lantmäteriets Riktlinjer för interrevision, beslutad av styrelsen den 25 september 2025, LM2025/128783. 181 2.2.3 arbetsordningen

86

89

Lantmäteriets organisation och uppgifter

gifter, uppnår verksamhetens mål och uppfyller kraven i myndighetsförordningen. 182

4.4 Formerna för den interna styrningen av

myndigheten

Lantmäteriets styrning formaliseras genom interna styrdokument. Med sådana dokument menas i arbetsordningen alla typer av doku- 183 ment som styr hur myndigheten och dess medarbetare ska arbeta. Planerande dokument är dokument som beslutas av styrelsen och innehåller en planering av myndighetens eller enskilda verksamhetsdelars framtida arbete. Exempel på sådana dokument är verksamhetsplanen, myndighetens budgetunderlag och internrevisionsplanen. 184 Styrande dokument utgörs, förutom av arbetsordningen och av generaldirektören eller verksamhetsområdescheferna beslutade delegationsordningar, av följande dokumenttyper. 185 • Interna föreskrifter (publicerade som LMIF). Dessa är interna, långsiktiga regler av föreskriftsnatur som fastställs av styrelsen. De interna föreskrifterna ska granskas av chefsjuristen, och säkerhetsskyddschefen, chefen för verksamhetsområde Ekonomi och controlling och generaldirektören innan de beslutas av styrelsen. • Strategier beslutas av styrelsen och är dokument som beskriver hur övergripande mål ska omsättas till handling. Strategierna ska granskas av ovan nämnda funktioner innan de beslutas av styrelsen. • Policys beslutas av generaldirektören och anger ett förhållningssätt, en ambitionsnivå eller en inriktning. De är generella och övergripande för hela myndighetens verksamhet och används för att uttrycka grundläggande principer för Lantmäteriets agerande i viktiga frågor. Samma funktioner som ovan ska granska policys

182 3.8 arbetsordningen. 183 1.2 arbetsordningen. 184 1.2.1 arbetsordningen. 185 1.2.2 arbetsordningen.

87

90

Lantmäteriets organisation och uppgifter

innan de beslutas av generaldirektören. De ska därefter redovisas för styrelsen vid nästkommande styrelsemöte. • Riktlinjer tydliggör hur en viss verksamhet ska styras i form av övergripande principer och förutsättningar. Beslut om riktlinjer fattas av den som ansvarar för området som riktlinjerna ska gälla för enligt arbetsordningen, generaldirektörens delegationsordning eller enskilt delegationsbeslut. • Centrala interna beslut anger i själva beslutet hur vissa myndighets- eller verksamhetsområdesövergripande interna angelägenheter, frågor eller viss information ska hanteras. Centrala interna beslut fattas av den som ansvarar för frågan enligt arbetsordningen, generaldirektörens delegationsordning eller enskilt delegationsbeslut. • Rättsliga ställningstaganden tas fram i syfte att åstadkomma en enhetlig rättstillämpning inom myndigheten. De görs i principiella frågor när det saknas svar i en rättsfråga eller när rättsläget är oklart. Internt blir ställningstaganden som myndigheten gör i rättsliga bedömningsfrågor bindande. Det är chefsjuristen som fattar beslut om rättsliga ställningstaganden.

4.5 Översyn av delar av Lantmäteriets organisation

4.5.1 De myndighetsgemensamma verksamhetsområdena

För att kunna möta kravet på såväl effektivitet som verksamhetsförståelse har Lantmäteriet ansett att det finns ett behov av att stödfunktioner samarbetar i större utsträckning än tidigare. En utredning har därför gjorts inom myndigheten i syfte att se över bland annat organiseringen av myndighetsgemensam verksamhet inklusive ledningsstrukturen för att optimera verksamheten och tydliggöra roller och ansvar. Resultatet av utredningens arbete har redovisats i en promemoria. 186 I sammanfattningen av denna anges följande. De myndighetsgemensamma verksamheterna ska utgöra en resurs som nyttjas av såväl GD/Ledning som av övriga verksamheter. Översynen visar att en klar majoritet är positiva till en förändring av

186 Översyn och förslag på organisering av Lantmäteriets myndighetsgemensamma verksamhetsområden, PM den 28 oktober 2024, LM2024/059383.

88

91

Lantmäteriets organisation och uppgifter

de myndighetsgemensamma verksamhetsområdena. De främsta anledningarna till det är att hitta och nyttja synergier, skapa mer effektivitet och få ett uttalat helhetstänk. För att uppnå det och få en organisation att fungera effektivt behöver flera parametrar vara på plats. Utgångspunkten i översynen har varit att se över vilka förutsättningar som behöver vara på plats för att få en hög ledningseffektivitet, det vill säga en bra ledning och styrning av de myndighetsgemensamma verksamheterna. Utredningen visar att förväntningarna på och upplevelsen av hur myndighetsgemensam verksamhet uppfylls varierar mellan verksamhetsområdena. Det är viktigt att skapa en samsyn kring förväntningar, synsätt och arbetssätt. Enligt utredningen behöver en förändring vad gäller verksamhetsstyrningen genomföras. Det saknas förutsättningar för att få ett helhetsgrepp, bedriva ett övergripande arbete med att göra analyser, verksamhetsplanering och uppföljning, intern styrning och kontroll och strategisk planering och styrning. För att skapa framdrift på ett effektivt sätt och vara ett stöd till GD och ledningsgruppen behöver dessa uppgifter lyftas till en högre nivå. Utredningen föreslår att dessa uppgifter samlas i ett nytt verksamhetsområde Ledningsstöd och analys. Lantmäteriets val att organisera de övergripande verksamheterna återspeglas inte till fullo i Lantmäteriets arbets- och delegationsordning. Till detta kommer att det finns förväntningar i linjen som inte överensstämmer med vare sig arbets- eller delegationsordningen eller val att organisera verksamheten. Att endast flytta rutor i en organisationsskiss innebär inte per automatik att förändringen blir lyckosam och hållbar. Även organisationskulturen, synsätt och arbetssätten behöver lyftas och arbetas med. Organisationskulturen och arbetssätten ska utgå från myndighetens behov och inte vara personberoende. I dagens organisation saknas ett forum för att samordna de myndighetsgemensamma verksamheterna. Ett gemensamt forum skulle bidra till en ökad enhetlighet, ett mer gemensamt synsätt och en ökad förståelse för de olika verksamheternas roller och ansvar.

89

92

Lantmäteriets organisation och uppgifter

4.5.2 Verksamhetsområde Säkerhet

I en rapport 187 i juni 2025 från den tillförordnade säkerhetsskyddschefen redovisades en översyn av verksamhetsområde Säkerhet. Bakgrunden var att den vikarierande generaldirektören i december 2024 gett denna chef i uppdrag att med stöd av Statens servicecenter genomföra en sådan översyn. Översynen skulle fokusera på verksamhetsområdets behov av kompetensförsörjning och utveckling genom att kartlägga hur verksamheten kunde förändras utifrån organisation, bemanning, roller och arbetssätt. Syftet med kartläggningen var att långsiktigt stärka Lantmäteriets säkerhetsarbete och säkerhetskultur ytterligare. Av rapporten framgår i huvudsak följande.

Förändringar i omvärlden och i Sverige har medfört ökade krav på myndighetens arbete med säkerhetsfrågor. Hotbilden har ökat och kraven på ett väl fungerande säkerhetsarbete på myndigheten är större än tidigare. Det kraftigt förändrade säkerhetslandskapet gör att myndigheten betraktar behovet av hanteringen av sina informationsmängder i databaser på ett annorlunda sätt än vad som gjordes för ett antal år sedan. En större mängd information betraktas i dag som säkerhetskänslig än vad som tidigare var fallet. 188 Lantmäteriet behöver etablera en tydlig, hållbar och strategiskt kapabel organisation för säkerhet och beredskap. Lantmäteriets regelefterlevnad inom säkerhetsskydd och totalförsvar behöver stärkas. För att kunna uppnå det behövde verksamhetsområdets tillgänglighet och stöd till hela verksamheten förstärkas. 189 Verksamhetsområdet är i dag en del av Ledningsstödet på Lantmäteriet, ansvarar för vissa myndighetsövergripande frågor och lämnar främst stöd till generaldirektören och styrelsen, enligt arbetsordningen. Att ingå i Ledningsstödet innebär alltså inte att vara ett uttalat internt stöd till hela verksamheten. Detta förhållande kan ha skapat en otydlighet som bidragit till att verksamhetsområdets uppdrag och roll tolkats som mer kontrollerande och uppföljande än stödjande och förebyggande. Verksamhetsområdet behövde organisatoriskt flyttas från Ledningsstöd till ett myndighetsgemensamt verksamhetsområde. Genom den förändringen kan verksamheten på ett tydligare sätt betraktas som ett internt stöd till alla verksamhetsområden och inte främst till ledningen. 190 Myndigheten behöver anpassa sig efter förändrade och ökade krav vilket gör att verksamhetsområdets medarbetare behöver utöka och

187 Rapporten Översyn verksamhetsområde säkerhet och säkerhetsskydd den 12 juni 2025, LM2025/065587. 188 Rapporten, s. 2. 189 Rapporten, s. 4. 190 Rapporten. s. 4 – 5.

90

93

Lantmäteriets organisation och uppgifter

bredda sin kompetens. För detta krävs planering och särskilda insatser. 191 Kravet på Lantmäteriet som beredskapsmyndighet 192 är förpliktigande. En organisation behöver skapas för fredstida arbete och en för höjd beredskap och slutligen en organisation för krig. Verksamhetsområdet har en ledande roll i detta. För att kunna arbeta med dessa strategiskt viktiga frågor samt att vara mer proaktiva och handlingskraftiga behöver bemanningen förstärkas samt ansvar och befogenheter förtydligas. 193 Verksamhetsområdets medarbetare upplever att de ofta kopplas in i frågor i ett sent skede. Ytterligare en upplevelse är att det förekommer bristande förståelse för regelefterlevnad inom Lantmäteriet avseende frågor som verksamhetsområdet ansvarar för. Det leder till svårigheter att utföra arbetet i enlighet med uppdraget. Verksamhetsområdets medarbetare upplever sig inte kunna stödja övriga verksamhetsområden i den omfattning som efterfrågas vilket exempelvis innebär att nödvändig information om arbetsprocesser inte på ett effektivt sätt sprids till alla berörda. Inom ramen för översynen har en SWOT-analys genomförts inom verksamhetsområdet. Av ana- 194 lysen framgår att verksamhetsområdets arbetsmiljö inte är bra. Arbetsbelastningen har länge varit hög och tiden för återhämtning är och har varit för låg. Vidare går det att utläsa inslag av upplevd bristande tillit från högsta ledningen. Detta blir ett oerhört viktigt område att förbättra och arbeta med för den högsta ledningen, verksamhetsområdet och hela myndigheten. Den tillförordnade verksamhetsområdeschefen har uppfattat att andra verksamhetsområden ibland upplevt kommunikationen från verksamhetsområdet som bristfällig; detta har framför allt varit kopplat till att förklara varför vissa uppgifter behöver utföras. Härutöver förmedlas behov av förbättrat stöd och ett mer långsiktigt och förebyggande arbete till hela verksamheten. Verksamheterna efterfrågar även tydligare arbetsprocesser kopplat till säkerhetsarbetet samt ett mer uppsökande arbetssätt där det finns tid till förtydligande, fördjupning, frågor och dialog. Vidare upplever den tillförordnade verksamhetsområdeschefen att verksamhetsområdets tillit till övriga verksamheten behöver förbättras. De övriga verksamheternas förtroende tillbaka är inte heller tillfredsställande. Att återupprätta ömsesidigt förtroende och en välfungerande relation startar i chefsleden och måste långsiktigt byggas upp genom ett aktivt arbete och dagliga kontakter mellan alla berörda medarbetare. För att kunna tillhandahålla ett förebyggande och systematiskt stöd till hela myndigheten genom utbildning, förbättrad information till verksamheterna och tydliga befintliga arbetsprocesser kommer att krävas ett tillskott av resurser till organisationen. Det är viktigt att ta höjd för att stödet ska vara relevant och fungera för Lantmäteriets alla 50 kontor.

191 Rapporten, s. 5. 192 Lantmäteriet blev beredskapsmyndighet den 1 oktober 2022. 193 Rapporten, s. 5 194 Strengths, Weaknesses, Opportunities and Threats, se exempelvis https://ki.se/media/54154/download, hämtat den 21 januari 2026, och bilaga 3 till rapporten.

91

94

Lantmäteriets organisation och uppgifter

Säkerhetskulturen på myndigheten behöver fortsätta att utvecklas och stärkas. I det arbetet har verksamhetsområdet en central roll som ansvarig, stödjande och styrande i alla arbetsprocesser. Vidare har man även en roll i att sätta ramar och besluta om regelverk och kriterier för myndighetens informationshantering. 195 Det finns en upplevd otydlighet i verksamhetsområdets uppdrag. De förväntningar som riktas mot verksamhetsområdet matchar inte alltid verksamhetens egen uppfattning om uppdraget. Det är därför viktigt att fortsätta att tydliggöra och efterfråga tydligare ansvar, befogenheter och mandat både inom och utanför verksamheten samt att ge verksamhetsområdet rätt förutsättningar. Verksamheten arbetar i dag med en intern arbetsfördelning på veckobasis. Det bör fortsätta. 196 Det är tydligt att verksamhetsområdet behöver omorganiseras och bemanningen förstärkas. 197 De myndighetsgemensamma verksamhetsområdena på Lantmäteriet är små och har inte tillgång till ett gemensamt verksamhetsstöd eller annan stödfunktionalitet. Resursbehov från andra stödjande verksamheter kan vara en gemensam indikation på att samtliga mindre myndighetsgemensamma verksamhetsområden behöver ett ökat verksamhetsstöd av varandra för att kunna fullgöra sina uppdrag på ett kvalitativt och effektivt sätt. Övriga stödverksamheternas resursmässiga eller organisatoriska möjligheter att erbjuda förstärkt stöd till verksamhetsområde säkerhet och säkerhetsskydd har inte utretts i detta sammanhang. 198

4.5.3 Organiseringen av Lantmäteriets juridiska stöd

Lantmäteriet genomförde den 1 januari 2026 en omorganisation av 199 det juridiska stödet inom myndigheten. Genom denna omorganisation har Lantmäteriet flyttat samtliga medarbetare vid de juridiska stödfunktioner som tidigare hörde till verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning och Geodata till verksamhetsområde Juridik. Lantmäteriet har även flyttat enheten registratur och arkiv från verksamhetsområdet Tre I till verksamhetsområde Juridik. Verksamhetsområdet leds av chefsjuristen och består, som framgår av avsnitt 4.3.4, av fem enheter som var och en leds av en enhetschef. Tre av enheterna har ett huvudansvar för att ge juridiskt stöd inom verksamhetsområdesspecifika rättsområden till verksamhets-

195 Rapporten, s. 5 – 6. 196 Rapporten, s. 6. 197 Den nuvarande organisationen framgår av kapitel 4. 198 Rapporten, s. 7 – 8. 199 Se även delegationsordning för verksamhetsområde Juridik den 19 december 2025, LM2025/137616.

92

95

Lantmäteriets organisation och uppgifter

områdena Fastighetsinskrivning, Fastighetsbildning och Geodata. I den enhet som bidrar med juridiskt stöd till verksamhetsområde Fastighetsbildning ingår de jurister som tidigare hörde till Över- 200 klagandepoolen. En fjärde enhet har ett huvudansvar för myndighetsövergripande juridiska frågor och därutöver bland annat Lantmäteriets tillsyn över verksamheten vid de kommunala lantmäterimyndigheterna. Till följd av omorganisationen kommer ett antal medarbetare från de förstnämnda tre enheterna att flyttas till den fjärde enheten. Det beräknas att ske under 2026.

200 Överklagandepoolens uppdrag är enligt Lantmäteriet att bidra till en mer enhetlig och rättssäker överklagandeprocess, oavsett vilka beslut som överklagas under pågående förrättning eller i samband med att förrättningen avslutas. Här ingår även att föra statistik rörande överklaganden. Överklagandepoolen startades för att avlasta förrättningslantmätarna i produktion.

93

97

5 Ansvaret för informations-

säkerhet inom Lantmäteriet

5.1 Kapitlets innehåll

I detta kapitel redogörs för ansvarsfördelningen inom Lantmäteriet när det gäller ansvaret för informationssäkerhetsfrågor och vilka styrande dokument som finns inom detta område. I kapitlet går vi inte närmare in på det yttersta ansvar som styrelsen har enligt myndighetsförordningen, även för informationssäkerheten. Vi återkommer till den frågan i våra överväganden i kapitel 17.

5.2 Allmänt om delegation inom myndigheten

Arbetsfördelningen mellan styrelsen och generaldirektören samt delegationen av beslutanderätt inom Lantmäteriet följer av myndighetsförordningen och myndighetens arbetsordning. 201 Generaldirektörens beslutanderätt får delegeras till annan tjänsteman vid myndigheten med de begränsningar som framgår av myndighetsförordningen och arbetsordningen. Delegation av generaldirektörens beslutanderätt sker genom delegationsordningen eller i undantagsfall i enskilda delegationsbeslut. 202 Beslutanderätt som delegeras med stöd av delegationsordningen eller enskilt delegationsbeslut får vidaredelegeras endast i den utsträckning som medges i delegationsordningen eller delegationsbeslutet. Av beslutet ska framgå om beslutanderätten får delegeras vi-

201 1 kap. 1 § andra stycket, Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018. 202 1 kap. 2 § delegationsordningen.

95

98

Ansvaret för informationssäkerhet

dare. 203 Beslut om vidaredelegation ska anmälas till närmast överordnad chef och delegaten utan oskäligt dröjsmål. 204

5.3 Vad anges i styrande dokument?

5.3.1 Arbetsordningen

Generaldirektören är ytterst ansvarig för myndighetens information. För delmängder av informationen överlämnas ansvar till utsedda informationsägare. De har ansvar för att respektive informationstillgång är aktuell samt anpassad för sitt syfte och användningsområde. 205 Som redogjorts för i avsnitt 4.3.4. ansvarar Verksamhetsområde Säkerhet för Lantmäteriets verksamhet enligt bland annat säkerhetsskyddslagen.

5.3.2 Delegationsordningen

Samråd

Samråd med verksamhetsområde Säkerhet ska ske i frågor som är av betydelse för Lantmäteriets säkerhet, säkerhetsskydd, informationssäkerhet och beredskap. Den uppfattning som verksamhetsområde Säkerhet inom ramen för ett sådant samråd ger uttryck för ska vara vägledande för hur frågan därefter hanteras. 206 Vid genomförande av en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen samt kompletterande författningar ska samråd ske med Lantmäteriets dataskyddsombud. Samråd ska även ske med dataskyddsombudet i enlighet med artikel 38.1 i data- 207 skyddsförordningen.

Verksamhetsområde Säkerhet

Verksamhetsområdet har ansvar för att samordna övergripande frågor om säkerhet, säkerhetsskydd, informationssäkerhet och bered-

203 1 kap. 16 § delegationsordningen. 204 1 kap. 22 § delegationsordningen. 205 3.13 Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340. 206 1 kap. 13 a § delegationsordningen. 207 1 kap. 15 § delegationsordningen.

96

99

Ansvaret för informationssäkerhet

skap inom samtliga verksamhetsområden. Verksamhetsområdet ansvarar bland annat för nedanstående uppgifter. 208 • Framtagande och revidering av ramverk f ö r s ä kerhet, säkerhetsskydd, informationssäkerhet och beredskap. • Uppf ö ljning av myndighetens arbete och myndighetsintern tillsyn inom området säkerhet, säkerhetsskydd, informationssäkerhet och beredskap. • Framtagande av utbildning och informationsmaterial inom området säkerhet, säkerhetsskydd, informationssäkerhet och beredskap. • Myndighetsinternt st ö d i s ä kerhet, s ä kerhetsskydd, informationssäkerhet och beredskap. • Operativt samarbete och samverkan med andra myndigheter och aktörer inom verksamhetsområdets ansvarsområde. • Lantm ä teriets tj ä nsteman i beredskap enligt 15 § förordning om statliga myndigheters beredskap samt regeringsbeslut. 209 • Lantm ä teriets signalskydd innefattande kryptoberedskap enligt förordning om totalförsvar och höjd beredskap, MCF:s föreskrifter om civila myndigheters kryptoberedskap 210 samt För- 211 svarsmaktens föreskrifter om signalskyddstjänsten. • Leda myndighetens planering f ö r att genom sin verksamhet minska sårbarheten i samhället samt utveckla en god förmåga att hantera sina uppgifter vid fredstida krissituationer och höjd beredskap i enlighet med förordning om totalförsvar och höjd beredskap samt förordning om statliga myndigheters beredskap. • F ö rvaltning och revision av myndighetens krav p å fysisk säkerhet. • Beredning av myndighetens risk och s å rbarhetsanalys (RSA) samt säkerhetsskyddsanalys.

208 2 kap. 7 g § delegationsordningen. 209 Fö 2014/1195/SSK. 210 MSBFS 2025:3. Rätteligen civila myndigheters signalskyddsberedskap, vår anmärkning. 211 FFS 2021:1.

97

100

Ansvaret för informationssäkerhet

Verksamhetsområde Utveckling och IT

Verksamhetsområdet har ansvar för Lantmäteriets IT-drift, infrastruktur och systemutveckling, samt övergripande och samordnande utvecklingsverksamhet och utvecklingsstyrning. Verksamhetsområdet är ett strategiskt och operativt stöd för hela Lantmäteriet och ansvarar bland annat för IT-säkerhet och arkitektur i samtliga lager (IT-infrastruktur och applikations-, informations- och verksam- 212 hetsarkitektur).

Säkerhetsskyddschefen

Säkerhetsskyddschefen är strategisk och operativ informationsägare (enligt 6 kap.) för information som ingår i ärenden som handläggs inom verksamhetsområde Säkerhet eller som i övrigt genereras eller behandlas inom verksamhetsområdet, med undantag för dataskyddsombudets, beredskapschefens samt signalskyddschefens verksamhet. Beslut som får vidaredelegeras av säkerhetsskyddschefen är bland annat beslut om godkännande av säkerhetsprövning och om inplacering i säkerhetsklass. Beslut som inte får vidaredelegeras är beslut om säkerhetsskyddsplan enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen och beslut om godkännande av genomförd eller uppdaterad säkerhetsskyddsklassificering. 213

Chef för säkerhetskänslig verksamhet

En chef för säkerhetskänslig verksamhet ansvarar bland annat för säkerheten (där säkerhetsskydd ingår) och för att Lantmäteriets regelverk för säkerhet följs så att säkerhetsskyddet upprätthålls. En sådan chef har även till uppgift att göra en säkerhetsskyddsanalys och ansvarar för att upprätthålla informationssäkerheten inom sin verksamhet. 214

212 2 kap. 7 c § delegationsordningen. 213 3 kap. 5 § delegationsordningen. 214 4 kap. 1 c § delegationsordningen.

98

101

Ansvaret för informationssäkerhet

Dataskyddsombudet

Dataskyddsombudet har den ställning och fullgör de uppgifter som framgår av artikel 38 – 39 dataskyddsförordningen. Ombudet bestämmer hur de författningsreglerade uppgifterna att övervaka och granska Lantmäteriets efterlevnad av dataskyddsbestämmelserna ska fullgöras. Det inkluderar vilka områden som ska granskas och vilka underlag som behöver hämtas in för dessa ändamål. Dataskyddsombudet är strategisk och operativ informationsägare (enligt 6 kap.) för information som ingår i ärenden som handläggs av dataskyddsombudet eller som i övrigt genereras eller behandlas av ombudet. 215

Utlämnande av allmän handling

Frågan om utlämnande av allmän handling och uppgift ur sådan handling finns närmare reglerad i delegationsordningen. 216

Informationsägare

I nformationsägare (där termen ”ägare” identifierar en individ eller 217 enhet som har tilldelats och godkänt ledningsansvaret för informationstillgången) är den som äger och ansvarar för att information är riktig och tillförlitlig samt för det sätt genom vilket informationen lagras och sprids. Informationsägaren formulerar dels icke-funktionella krav som tillgänglighet, kapacitet, säkerhetsnivå, dels funktionella krav som på vilket sätt informationen ska visas och vilken information som ska finnas. Informationsägaren är därmed riskägare för den information som ska hanteras. Informationsägaren har ett strategiskt och/eller operativt ansvar för en definierad del av Lantmäteriets information, och har det yttersta ansvaret för att 218 informationen är anpassad för sitt syfte och användningsområde.

215 3 kap. 7 § delegationsordningen. 216 5 kap. 7 § delegationsordningen. 217 Med ”godkänt” avses att det ska finnas en ömsesidig förståelse att det skett en delegation av informationsägarskapet, vad informationsägarskapet avser och vad det innebär. Information från Lantmäteriet i december 2025. 218 6 kap. 1 § delegationsordningen.

99

102

Ansvaret för informationssäkerhet

219 Strategisk informationsägare

Generaldirektören har ett övergripande ansvar för Lantmäteriets information. En strategisk informationsägare ansvarar för den delmängd av information som omfattas av delegation av informationsägarskap. Den strategiska informationsägaren är ansvarig för den delmängd av information som ingår i handläggning eller som annars genereras eller behandlas inom den egna verksamheten enligt delegation, men specifika tillägg kan förekomma i delegationen. Informationsägaren ansvarar också för planerande, styrande och stödjande dokument som tas fram inom ramen för den egna verksamheten eller som på begäran av verksamheten beslutas av styrelsen eller generaldirektören. Informationsägaren ansvarar vidare för att respektive informationstillgång som omfattas av ansvaret är aktuell och anpassad för sitt syfte och användningsområde, vilket innebär att informationen ska vara anpassad till de behov Lantmäteriet har att beakta, att den ska ha rätt innehåll och kvalitet, samt vara anpassad till och behandlas i enlighet med gällande rätt och myndighetens styrande dokument. Inom ramen för informationsägarskapet ska informationsägaren – genom att ansvara för att nödvändiga planerande, styrande och stödjande dokument upprättas – säkerställa att informationen förvaras, behandlas och hanteras i enlighet med gällande rätt och myndighetens styrande dokument. Informationsägaren ska också säkerställa att informationen förvaras, behandlas och hanteras på ett sådant sätt att sekretesskyddad information inte görs tillgänglig för obehöriga, samt att en fullgod informationssäkerhet upprätthålls i enlighet med Ledningssystem för informationssäkerhet. Informationsägarskapet innebär även att vid behov samr å da med sakkunniga, exempelvis myndighetens dataskyddsombud, säkerhetsskyddschef, informationssäkerhetsansvarig, chefsjurist, chef för informationsstyrningsenheten, externa tillsynsmyndigheter eller motsvarande i frågor som rör personuppgifter, Sveriges säkerhet, informationssäkerhet eller långsiktigt bevarande. Med vilka sakkunniga samråd ska ske är beroende av frågans art. Vidare ska informationsägaren vid behov bland annat samordna åtgärder rörande behandling eller klassificering av information med andra informationsägare i frågor som sträcker sig utanför det egna ansvarsområdet.

219 6 kap. 2 § delegationsordningen.

100

103

Ansvaret för informationssäkerhet

På begäran och inom den tid som anges av informationssäkerhetsansvarig ska informationsägaren upprätta en säkerhetsskyddsklassificeringspromemoria enligt den mall som tillhandahålls av informationssäkerhetsansvarig, samt diarieföra och informera informationssäkerhetsansvarig när promemorian har slutförts och diarieförts enligt de instruktioner som tillhandahålls av informationssäkerhetsansvarig. I frågor av strategisk betydelse för hela Lantmäteriet som inte ska hänskjutas till styrelsen eller där behandling av information sker inom ramen för fler verksamheter än den egna, ska beslut fattas av generaldirektören efter samråd med samtliga berörda strategiska informationsägare gemensamt och eventuellt berörda verksamhetsområdeschefer utan informationsägaransvar. Delegerat ansvar omfattar då också ansvar för hantering i enlighet med ett av generaldirektören fattat beslut om inte annat särskilt regleras. 220

Operativ informationsägare 221

En operativ informationsägare ansvarar för det operativa arbetet och beslutsfattandet för en tydligt avgränsad delmängd av informationen. Denne ska ha god kunskap om informationshantering, både digital och analog, med avseende på bland annat innehåll, kvalitet, säkerhet, åtkomst och bevarande. I rollen ingår att för berörd information säkerställa att informationen förvaras, behandlas och hanteras i enlighet med gällande rätt och myndighetens styrande dokument och på ett sådant sätt att sekretesskyddad information inte görs tillgänglig för obehöriga, samt att en fullgod informationssäkerhet upprätthålls. Vidare ingår att vid behov samråda beträffande åtgärder rörande förvaring, behandling, hantering eller klassificering av information med andra informationsägare i frågor som sträcker sig utanför det egna ansvarsområdet. Den operativa informationsägaren ska även bereda och för beslutsfattaren föredra säkerhetsskyddsklassificeringspromemoria enligt den mall som anges ovan, samt säkerställa att den diarieförts en-

220 6 kap. 2 § delegationsordningen. 221 6 kap. 3 § delegationsordningen.

101

104

Ansvaret för informationssäkerhet

ligt de instruktioner som tillhandahålls av informationssäkerhetsansvarig och att denna informeras när promemorian har slutförts. Det operativa informationsägarskapet och därmed förenad beslutanderätt får vidaredelegeras av den operativa informationsägaren till en eller flera medarbetare. Lantmäteriets informationssäkerhetsansvarige, chefsjurist och internrevisionschefen ska informeras om sådant beslut och beslutet ska publiceras på Lantmäteriets intranät.

5.3.3 Centrala roller och funktioner enligt informations-

säkerhetspolicyn

I denna policy beskrivs centrala roller och funktioner inom informationssäkerhetsarbetet och vilket ansvar dessa har. 222 Utöver det som redan tagits upp i tidigare avsnitt anges följande. Medarbetare är ansvariga för att känna till och följa policy, riktlinjer och instruktioner för informationssäkerhet samt vara uppmärksamma och rapportera händelser och avvikelser som kan påverka informationssäkerheten. Verksamhetsansvarig chef ansvarar för att upprätthålla informationssäkerheten inom sin verksamhet, att framtagna policys, riktlinjer och instruktioner följs och att säkerhetsåtgärder genomförs. Lantmäteriets ledningsgrupp arbetar aktivt med informationssäkerhet genom att säkerställa att: • mål för informationssäkerhet uppfylls, • informationssäkerhetsarbetet bedrivs på ett systematiskt och kontinuerligt sätt och att • informationssäkerhet är en del i det årliga arbetet med verksamhetsplanering.

Ledningsgruppen ska minst en gång per år fördjupat gå igenom informationssäkerhetsläget – ledningens genomgång. Lantmäteriet arbetar med ständiga förbättringar av informationssäkerheten. Uppföljning och utvärdering av informationssäkerhetsarbetet görs enligt en fastställd metodik och genomförs minst en gång per år.

222 Lantmäteriets informationssäkerhetspolicy, beslutad den 27 juni 2025, LM2025/090735.

102

105

Ansvaret för informationssäkerhet

Informationssäkerhetschefen ser över och reviderar minst vartannat år eller vid behov informationssäkerhetspolicyn och ledningssystemet för informationssäkerhet. Detta ska göras för att säkerställa att förändringar i omvärlden, teknisk utveckling, legala krav och verksamhetskrav tas om hand i policy och riktlinje.

103

107

6 Den interna styrningen och

kontrollen

6.1 Kapitlets innehåll

I detta kapitel redogörs inledningsvis för Lantmäteriets riktlinje för intern styrning och kontroll. Härefter övergår vi till att gå igenom några av de brister inom området som uppmärksammats hos Lantmäteriet under senare år och de åtgärder inom området som myndigheten har vidtagit.

6.2 Riktlinje för intern styrning och kontroll

Riktlinjen beskriver Lantmäteriets process för intern styrning och kontroll och konkretiserar hur myndigheten tillämpar förordningen om intern styrning och kontroll. 223 Riktlinjen syftar till att tydliggöra hur risker i Lantmäteriets verksamhet ska hanteras och tydliggöra ansvarsroller i arbetet med att 224 säkerställa att tillämpliga regelverk efterlevs. Under rubriken Roller och ansvarsfördelning anges att intern styrning och kontroll i stor utsträckning är en fråga om ansvar. 225 I avsnittet beskrivs rollerna i arbetet, vad som förväntas av respektive roll och vad som ingår i ansvaret. Vidare anges att styrelsen har det övergripande ansvaret för intern styrning och kontroll. Generaldirektören är ansvarig för att Lantmäteriet uppfyller kraven i nämnda förordning, inklusive att myndigheten dokumenterar, kommunicerar och följer

223 Lantmäteriets riktlinje för intern styrning och kontroll, beslutad den 1 september 2023, LM2023/043714. Riktlinjen är delvis inaktuell eftersom den bland annat hänvisar till verksamhetsområden som numera bytt namn, vår anmärkning. 224 Avsnitt 1.1 riktlinjen. 225 Avsnitt 2 riktlinjen.

105

108

Den interna styrningen och kontrollen

upp enligt förordningen. I avsnittet finns en tabell där angiven funktion, bland annat styrelsen och generaldirektören, och funktionens ansvar närmare anges. I riktlinjen redovisas vidare tre ansvarslinjer för kontroll och uppföljning. 226 Den första ansvarslinjen utgörs av verksamhetsområdena och dessas underliggande funktioner som har det operativa ansvaret för risker och att såväl interna som externa regler efterlevs i det dagliga arbetet. Verksamhetsområdeschefen ansvarar för att upprätthålla en effektiv styrning och kontroll inom sitt område och dess processer, bland annat genom att i egenskap av informationsägare säkerställa att informationen behandlas i enlighet med gällande rätt, samt att nödvändiga styrande och stödjande dokument tas fram i detta syfte. Samtliga verksamhetsansvariga chefer ansvarar för att identifiera och hantera riskerna inom sitt ansvarsområde, inklusive att utföra regelbunden uppföljning och efterkontroller av dem. Cheferna ska vara medvetna om de allvarligaste riskerna inom sitt ansvarsområde. Det gäller också vilken påverkan olika händelser kan ha i förhållande till förväntade resultat eller avbrott i verksamheten. Vidare ska de säkerställa regelefterlevnaden inom verksamhetsområdet, enheten, funktionen eller gruppen. Det inkluderar bland annat frågor om säkerhet, säkerhetsskydd, beredskap och dataskydd. Den andra ansvarslinjen utgörs av verksamhetsområdeschef ekonomi och controlling, säkerhetsskyddschef, dataskyddsombud, informationssäkerhetsansvarig och chefsjurist. Denna linje ger råd och stöd till den första ansvarslinjen, ger rekommendationer kring hur verksamheten kan utvecklas för att stärka den interna kontrollen och styrningen samt ansvarar för att regelbundet följa upp åtgärder och rapportera till generaldirektören samt i vissa fall till styrelsen. Bland annat anges att Verksamhetsområde Säkerhet ansvarar för riskhantering, kontroll och uppföljning av regelverk inom områdena säkerhet, säkerhetsskydd, informationssäkerhet, dataskydd och beredskap. Den tredje ansvarslinjen utgörs av Internrevisionen som på uppdrag av styrelsen granskar första och andra ansvarslinjernas arbete samt genomför granskningar enligt den revisionsplan som styrelsen har beslutat.

226 Avsnitt 2.1 riktlinjen.

106

109

Den interna styrningen och kontrollen

Verksamhetsområde ekonomi och controlling har ansvar för myndighetens övergripande riskhantering och samlade riskrapportering i enlighet med förordningen om intern styrning och 227 kontroll. Arbetet med riskhantering ska bidra till att Lantmäteriet i rätt tid identifierar och hanterar risker som hindrar myndigheten från att fullgöra sina uppgifter, uppnå verksamhetsmålen eller uppfylla verksamhetskraven. Det innefattar att tillsammans med första ansvarslinjen genomföra och dokumentera en årlig myndighetsövergripande riskanalys och tillhörande internkontrollplan med åtgärder för uppföljning och kontroll av risker och att följa upp att identifierade åtgärder för riskhantering genomförs. 228 Lantmäteriets riskområden anges i samma avsnitt vara strategiska risker, redovisningsrisker, operativa risker och legala risker. Operativa risker anges som risker till följd av icke ändamålsenliga eller felaktiga system eller processer, informationssäkerhet, människor eller yttre händelser. Bland andra chefsjuristen samordnar uppföljningen av regelefterlevnad och rapporterar löpande utfallet av uppföljningen till generaldirektören, och årligen eller vid behov till styrelsen. Syftet med uppföljningen är att säkerställa att legalitetsprincipen följs och att frågan om regelefterlevnad följs upp inom hela myndigheten på ett så enhetligt och ändamålsenligt sätt som möjligt. 229 Varje chef med verksamhetsansvar ansvarar för att säkerställa regelefterlevnaden inom det egna verksamhetsområdet, enheten, funktionen eller gruppen. Det innefattar att identifiera och bedöma risker för bristande regelefterlevnad av tillämpliga interna och externa regelverk. 230 Verksamhetsområdeschefen för ekonomi och controlling, chefsjuristen, säkerhetsskyddschefen samt dataskyddsombudet ska rapportera till generaldirektören och styrelsen med en frekvens minst enligt en tabell i riktlinjen. 231 Redovisning av analyser, kontroller och den myndighetsinterna tillsynen som har gjorts avseende Lantmäteriets säkerhetsskydd och beredskap ska skriftligen rapporteras av säkerhetsskyddschefen till styrelsen en gång årligen eller vid behov. Information om väsentliga risker, brister, incidenter och iakttagelser

227 Avsnitt 3 riktlinjen. 228 Avsnitt 3.1 riktlinjen. 229 Avsnitt 4.1 riktlinjen 230 Avsnitt 4.2 riktlinjen. 231 Avsnitt 5.1 riktlinjen

107

110

Den interna styrningen och kontrollen

ska skriftligen rapporteras av angivet område till generaldirektören löpande och vid särskilda händelser. Statusrapport om löpande arbete, såsom analyser, kontroller och den myndighetsinterna tillsynen 232 ska lämnas av angivet område dataskydd vid behov. Årsrapport intern styrning och kontroll utgör underlag till styrelsens årliga bedömning av myndighetens interna styrning och kontroll och ska minst innehålla en beskrivning av identifierade risker för det gångna verksamhetsåret, åtgärder som rekommenderas samt uppföljning av vidtagna åtgärder, sammanfattning av rapportering för visselblåsarfunktionen och den samordnade uppföljningen avseende regelefterlevnad, samt en sammanfattning av rapportering av löpande arbete (analyser, kontroller och myndighetsintern tillsyn avseende säkerhet, säkerhetsskydd och beredskap). Den myndighetsövergripande riskanalysen och tillhörande internkontrollplan ska minst innehålla identifierade väsentliga risker för det kommande verksamhetsåret som hindrar myndigheten från att fullgöra sina uppgifter, uppnå verksamhetens mål eller uppfylla verksamhetskraven och rekommenderade åtgärder för att hantera de identifiera- 233 de riskerna, ansvar för genomförande och tidplan för uppföljning.

6.3 Brister i den interna styrningen och kontrollen

Internrevisionen har vid flera av sina granskningar konstaterat brister i den interna styrningen och kontrollen hos Lantmäteriet och redogjort för dessa i revisionsrapporterna Behörigheter och behörighetsadministration, 234 Styrande dokument del I-III, 235 Säkerhetsskyddad upphandling, 236 Intern styrning och kontroll, 237 Säkerställande av regelefterlevnad, 238 Applikationslivscykelhantering, 239 Ären-

232 Avsnitt 5.2 riktlinjen 233 Avsnitt 5.3 riktlinjen. 234 Internrevisionens revisionsrapport Behörigheter och behörighetsadministration den 28 juni 2019, LM2019/004334. 235 Internrevisionens revisionsrapport Styrande dokument, del 1-Struktur den 10 oktober 2019, LM2019/013890, del 2-Interna beslut den 22 april 2020, LM2020/007667 och del 3- Effektuerande och uppföljning av interna beslut den 2 juli 2020, LM2020/015171. 236 Internrevisionens revisionsrapport Säkerhetsskyddad upphandling den 12 mars 2020, LM2020/003957. 237 Internrevisionens revisionsrapport Intern styrning och kontroll den 31 oktober 2019, LM2019/017228. 238 Internrevisionens revisionsrapport Säkerställande av regelefterlevnad den 20 december 2021, LM2021/050144. 239 Internrevisionens revisionsrapport Applikationslivscykelhantering den 17 maj 2022, LM2022/021558.

108

111

Den interna styrningen och kontrollen

deberedning och beslutsunderlag 240 , Licenshantering 241 och Prioritering av utvecklingsportföljen. 242 Det finns inte anledning att redogöra för samtliga interrevisionsrapporter i detalj men sammanfattningsvis kan följande brister och bedömningar som internrevisionen noterat nämnas. • Brister inom dokumentation och rutiner för att tilldela, förändra och återta behörigheter, både vanliga och priviligierade. Ett otydligt definierat ansvar avseende att utveckla och ajourhålla styrande dokument, att säkerställa efterlevnaden i processerna samt för genomförande av enskilda arbetsmoment bidrar till dessa brister. En rekommendation (av flera) är att utvärdera och utveckla ansvarsfördelningen för styrande dokument inom behörigheter samt dokumentera och implementera rutiner som säkerställer att sty- 243 rande dokument ajourhålls. • Brister inom övergripande struktur, rutiner för att anta, förändra och uppdatera styrande dokument samt inom dokumenthantering och tillgängliggörande. Lantmäteriets definition av styrande dokument bedöms otillräcklig, det saknas riktlinjer, rutiner för ajourhållande och uppföljning samt ett tydligt definierat ansvar för området. 244 • Brister inom dokumentation, kännedom om regler och riktlinjer, praktiskt genomförande samt uppföljning och analys. Processen för intern styrning och kontroll avseende delarna kontrollåtgärder, uppföljning och korruption, otillbörlig påverkan, bedrägeri och oegentligheter är inte tillfredställande. Ansvarsbeskrivningarna tillämpar inte på ett tydligt sätt modellen med tre ansvarslinjer. Olika delar av organisationen har kommit olika långt i att implementera och följa riktlinjerna för riskhantering i verksamheten. 245 • Internrevisionen har inom området säkerhetsskyddad upphandling inte funnit någon delegation till linjechef gällande ansvaret

240 Internrevisionens Revisionsrapport Ärendeberedning och beslutsunderlag den 9 december 2022, LM2022/056625. 241 Internrevisionens Revisionsrapport Licenshantering den 10 mars 2023, LM2022/061403. 242 Internrevisionens revisionsrapport Prioritering av utvecklingsportföljen den 25 april 2023, LM2023/020582. 243 Internrevisionens revisionsrapport Behörigheter och behörighetsadministration, s. 3 – 4. 244 Internrevisionens revisionsrapport Styrande dokument, del 1-Struktur, s. 2. 245 Internrevisionens revisionsrapport Intern styrning och kontroll, s. 2, 8, 10 och 13.

109

112

Den interna styrningen och kontrollen

för säkerhet och säkerhetsskyddet. Om delegering inte skett ligger således ansvaret kvar på myndighetens ledning. Myndigheten bör tydliggöra ansvarsfördelning och roller inom området. Utifrån förtydligandet bör även beslut och övriga styrande dokument anpassas och ensas. 246 • Brister avseende definierat ansvar för processen för beslut, det interna regelverket och stöddokumentation. Arbetsordning och beslutsordning ger ett bristande stöd i definition av roller, ansvar och befogenheter. Detta sammantaget med det stora antal delegationsbeslut som förekommer, varav många är inaktuella, gör att det är svårt att veta vem som har befogenhet att fatta beslut. Ansvaret för besluts giltighet över tid är inte tydligt och det finns bristande rutiner för att upphäva beslut vilket medför att det förekommer inaktuella beslut och det saknas kontrollåtgärder som förebygger detta. Lantmäteriet saknar även förteckning över gällande beslut. 247 • Internrevisionen har inte funnit någon övergripande strukturerad och enhetlig process för effektuerande och uppföljning av interna beslut. Det saknas ett definierat ansvar för området och det råder olika syn inom myndigheten på hur ansvaret för det praktiska arbetet med både effektuerande och uppföljning är fördelat. Definition eller kriterier för vad som utgör ett väsentligt beslut som föranleder att det behöver följas upp saknas. 248 • Det finns inte vid Lantmäteriet någon verksamhet med ett utpekat ansvar för uppföljning av regelefterlevnad, motsvarande en ”compliancefunktion”; en andra ansvarslinje. Det sak nas en lantmäteriövergripande process för att säkerställa regelefterlevnad samt rutiner för att anpassa verksamheten till regelförändringar. Förteckning saknas över vilka lagar, förordningar och föreskrifter som påverkar Lantmäteriet likväl som ett uttalat ansvar för att bevaka regelverksförändringar. Arbetsordningen 249 reglerar att det är styrelsen som ansvarar för att Lantmäteriet följer myndighetsförordningen och således även gällande rätt (lagefterlevnad)

246 Internrevisionens revisionsrapport Säkerhetsskyddad upphandling, s. 6. 247 Internrevisionens revisionspromemoria Styrande dokument, del 2-Interna beslut, s. 2. 248 Internrevisionens revisionsrapport Styrande dokument, del 3-Effektuerande och uppföljning av interna beslut, s. 2. 249 Här avses Lantmäteriets arbetsordning 2021:1, LM2021/009167, med ikraftträdande den 1 maj 2021.

110

113

Den interna styrningen och kontrollen

samt att det är generaldirektören som sköter den löpande förvaltningen enligt styrelsens direktiv och riktlinjer. Hur regelefterlevnad ska säkerställas finns inte beskrivet i arbetsordningen. Det framgår inte heller uttryckligen som en av generaldirektörens arbetsuppgifter. Internrevisionen har utöver arbetsordningen inte funnit några särskilda direktiv eller riktlinjer från styrelsen som tydliggör att säkerställande av regelefterlevnad ingår i generaldirektörens ansvar. Det finns för få jurister som tar ansvar för hela myndigheten och det saknas en rättsavdelning eller motsvarande 250 som tar det övergripande ansvaret för regelefterlevnad. • Det saknas en definierad beredningsordning, tydlighet i hur beredningsarbetet ska gå till och hur beslutsunderlag ska kvalitetssäkras. Även roller och ansvar kan förtydligas, exempelvis vilket ansvar en föredragande har för ärendets beredning och beslutsunderlag. En tydlig och dokumenterad struktur för ärendeberedning och framtagande av beslutsunderlag skulle enligt internrevision kunna öka kvalitet, transparens och spårbarheten i hur ärenden har beretts och beslutsunderlaget kvalitetssäkrats vilket i slutändan även kan ge mer välgrundade och spårbara beslut. Lantmäteriet har inte på ett enkelt och rättvisande sätt haft möjlighet att ta fram samtliga beslut som generaldirektören fattat när de efterfrågats vilket enligt internrevisionens bedömning är en brist i möjligheten att eftersöka beslutshandlingar. 251

6.4 Internrevisionens uppföljning av Lantmäteriets

åtgärdsarbete

Under 2024, tertial 1, genomförde internrevisionen en större uppföljning av de åtgärder som beslutats av styrelsen med anledning av internrevisionens rekommendationer. I rapporten från denna anförde internrevisionen följande. Mognadsgraden och förståelsen för intern styrning och kontroll varierar inom myndigheten, men den är generellt sett låg. Ett omfattande arbete inom myndigheten kvarstår för att genomföra de åtgärder som krävs för att sammantaget förbättra den interna styrningen och kontrollen och skapa en god förvaltningskultur.

250 Internrevisionens revisionsrapport Säkerställande av regelefterlevnad, s. 2, 6, 9. 251 Revisionsrapport Ärendeberedning och beslutsunderlag, s. 2, 6.

111

114

Den interna styrningen och kontrollen

De direkt avgörande delarna för att den interna styrningen ska få effekt såsom implementering, kommunikation och utbildningsinsatser samt förändring av processer och arbetssätt har utifrån uppföljningen visat sig bristande. De styrande dokumenten tjänar inget syfte om de inte är kända, tillämpas och efterlevs. Därtill ser internrevisionen att det inom några väsentliga områden saknas strategisk inriktning och dokumenterade strategier att koppla underliggande styrning mot, exempelvis riktlinjer. Även detta bedöms ge en negativ inverkan på styrningen. Trots att rekommendationer avslutats i samband med uppföljningen är internrevisionens bedömning att ett flertal av de risker som föranlett de avlämnade rekommendationerna kvarstår även efter myndighetens åtgärdsarbete. Det är en följd av att åtgärderna i många fall varit otydligt formulerade eller specificerade varpå det varit en definitionsfråga vad som ska göras, vilket även försvårat såväl genomförandet av åtgärdsarbetet som möjligheten till uppföljning. För vissa åtgärder är dock internrevisionens uppfattning att verksamhetens ambitionsnivå varit låg och att en åtgärdsplan snarare tagits fram för att hantera internrevisionens iakttagelser och rekommendationer än att faktiskt åtgärda de brister som adresseras. Internrevisionen gör utifrån uppföljningen ett antal iakttagelser. En stor del av de beslutade åtgärderna har passerat sin tidplan, exempelvis Intern styrning och kontroll, Behörigheter och behörighetsadministration och Säkerhetsskyddad upphandling. Verksamheten har angivit att åtgärdsarbetet är slutfört trots att det vid uppföljningen inte visar sig stämma. Verksamheten har själva ändrat de tidplaner och åtgärder styrelsen beslutat om utan att styrelsen informerats, exempelvis Styrande dokument del III – effektuerande och uppföljning. Uppföljningen påvisar att framdriften i myndighetens åtgärdsarbete kopplat till internrevisionens rekommendationer i flertalet tillfällen varit bristande och i flera fall obefintlig. Enligt internrevisionens bedömning kan detta till del sannolikt hänföras till att myndigheten under en längre tid har saknat både arbetssätt och en utpekad person från myndighetens sida som håller samman och driver på myndigheten arbete. Under första tertialet 2024 har en sådan roll införts vilket förhoppningsvis kan bidra till att skapa bättre ordning, struktur och i förlängningen även framdrift i myndighetens åtgärdsarbete. En ytterligare anledning till den bristfälliga framdriften kan sannolikt hänföras till bristande prioritering och resurstillsättning av åtgärdsarbetet och att det i flera fall inte inarbetats i ordinarie verksamhetsplaner. Arbetet med åtgärder med anledning av internrevisionens rekommendationer har ofta hanterats vid sidan av ordinarie linjeverksamhet. En tredje potentiell anledning kopplat till prioritering är att myndigheten de facto nästan uteslutande tagit fram åtgärder för samtliga internrevisionens rekommendationer. Internrevisionen ser i grunden positivt på att myndigheten visar en ambition att hantera de brister och den förbättringspotential som internrevisionen lyfter. Givet den låga framdriften skulle dock myndigheten sannolikt vara betjänt av att redan

112

115

Den interna styrningen och kontrollen

vid framtagandet av åtgärdsplanerna prioritera vilka rekommendationer myndigheten faktiskt vill, måste och kan hantera. Utöver detta bör det då framgå vilka risker myndigheten väljer att acceptera, så det blir tydligt för styrelsen i samband med att myndighetens svar presenteras. 252

6.5 Genomlysning av Lantmäteriets interna styrning

och kontroll

Myndighetsledningen vid Lantmäteriet hade sett ett behov av att göra en genomlysning av hur den interna styrningen och kontrollen är organiserad och hur den fungerar. Styrelsen hade noterat brister inom området, med bland annat referens till internrevisionens uppföljning. Genomlysningen gjordes av en extern granskare från Sjöfartsverket. 253 Sammanfattningsvis lämnade granskaren följande rekommendationer för att stärka förutsättningarna för en väl fungerande intern styrning och kontroll vid Lantmäteriet: • att renodla organiseringen på central nivå för hur arbete med intern styrning och kontroll ska drivas, • att omprioritera resurser från verksamhetsområdesnivå till central nivå för att på så sätt stärka den centrala styrningen och uppföljningen, • att bredda arbetet som bedrivs enligt förordningen om intern styrning och kontroll från enbart övergripande riskanalys kopplat till målen i verksamhetsplan till att även innefatta risker kopplade till risk för fel i processer, • att klargöra hur intern styrning och kontroll kopplat till lagefterlevnad ska gå till, vilket också kan ha effekter på hur den rättsliga styrningen och stödet ska organiseras, samt • att utveckla återrapporteringen till styrelsen så att årsrapporten Intern styrning och kontroll inte endast innehåller en redogörelse för vilka aktiviteter som är vidtagna under året utan också en redogörelse för resultatet av dessa aktiviteter inklusive bedömning.

252 Internrevisionens uppföljning av Lantmäteriets åtgärdsarbete utifrån internrevisionens rekommendationer, Tertial 1 2024, den 31 maj 2024, LM2024/029575, s. 2 – 3. 253 Genomlysning av Lantmäteriets interna styrning och kontroll, promemoria av Mikael Andersson, Sjöfartsverket, den 17 december 2024, LM2024/072534, s. 5 – 19.

113

116

Den interna styrningen och kontrollen

Uppdragets andra del handlade om att granska om Lantmäteriet har ett fungerande arbetssätt för att hantera rekommendationer från internrevisionen. I syfte att stärka förutsättningarna för att Lantmäteriet hanterar rekommendationer från internrevisionen effektivt och ändamålsenligt rekommenderade utredaren sammanfattningsvis följande: • att den nya processen för myndighetens hantering av internrevisionsgranskningar implementeras i sina olika delar och får sin plats inom ramen för en eventuellt förändrad och förstärkt central styrning, • att internrevisionen, generaldirektören och styrelsen skapar en större samsyn kring myndighetens risker och vilka risker som det är relevant och lämpligt att internrevisionen granskar och vid vilken tidpunkt, samt • att internrevisionen, verksamheten och styrelsen konkluderar vad som är en rimlig och ändamålsenlig nivå på hur internrevisionens rekommendationer ska formuleras. Det kan med fördel kombineras med en översyn av internrevisionens arbetssätt för att bevaka framdriften i verksamhetens åtgärdsarbete.

Vidare förde utredaren fram följande. I normalfallet har internrevisionen och generaldirektören en löpande dialog där internrevisionen kan presentera sina slutsatser och bedömningar innan de presenteras för styrelsen. Generaldirektören å andra sidan behöver löpande informera internrevisionen om väsentliga frågor för att internrevisionen ska kunna förstå verksamhetens utmaningar och prioriteringar. Internrevisionens rätt till information framgår av Rikt linjer för internrevision: ”Internrevisionen har rätt att ta del av information och dokument samt delta vid de möten som bedöms va ra nödvändiga för att utföra uppdraget.” Om dialogen mellan styrelsen, generaldirektören och internrevisionen kan utvecklas kommer det också att ge positiva effekter på myndighetens arbete med intern styrning och kontroll. 254

254 Genomlysning av Lantmäteriets interna styrning och kontroll, promemoria av Mikael Andersson, Sjöfartsverket den 17 december 2024, LM2024/072534, s. 5 – 19.

114

117

Den interna styrningen och kontrollen

6.6 Riksrevisionen angående den interna styrningen

och kontrollen

Riksrevisionen har i sin revisionsberättelse för Lantmäteriet för 2024 gjort ett uttalande ”med re serva tion” om ledningens bedömning av intern styrning och kontroll och bedömt att Lantmäteriet inte har följt förordningen om intern styrning och kontroll. Grunden för det uppges vara att Lantmäteriets ledning i årsredovisningen för 2024 bedömt att det har funnits väsentliga brister i den interna styrningen och kontrollen under den period som årsredovisningen avser. De brister som ledningen beskriver är att det saknas en välfungerande och effektiv process, organisation samt ledningskultur för intern styrning och kontroll. Detta anses inte förenligt med 2 § förordningen om intern styrning och kontroll. 255

6.7 Vilka åtgärder har Lantmäteriet vidtagit inom

området?

6.7.1 Åtgärder som nämns i den senaste årsredovisningen

I årsredovisningen för 2024 256 anges bland annat följande under rubriken Intern styrning och kontroll. Lantmäteriets styrelse har under verksamhetsåret 2024 noterat väsentliga brister i intern styrning och kontroll. Bristerna bedöms finnas i såväl organisation som riskhantering, processer och ledningskultur. Generaldirektörens rapportering av handläggningen av flertalet inkomna visselblåsarärenden och hanteringen av den särskilda händelsen har successivt förstärkt styrelsens bild av brister i intern styrning och kontroll. Styrelsen har löpande vidtagit ett antal åtgärder. Styrelsen uppdrog, med anledning av i mars inkomna visselblåsarärenden, åt chefen för internrevisionen att återkomma med en uppdragsbeskrivning för en granskning av intern styrning och kontroll. I maj informerades styrelsen för första gången om allvarliga risker kopplat till elektroniskt utlämnande av handlingar via vissa digitala tjänster. Styrelsen observerade att den bakomliggande hanteringen av dessa risker pekade på dels brister inom Lantmäteriets interna styrning och kontroll, dels brister i agerandet gentemot styrelsen. I juni visade internrevisionens uppföljning av verksamhetens genomförande av handlingsplaner, kopplat till tidigare revisioner, på allvarliga avvikelser både avseende tidplan och genomförande. Mot bakgrund av

255 Revisionsberättelse för Lantmäteriet 2024, den 21 mars 2025, dnr 3.1.2-2024-195. 256 LM2025/006013, s. 54 – 56.

115

118

Den interna styrningen och kontrollen

styrelsens överläggning avseende bristerna inom intern styrning och kontroll beslöt styrelsen att ge ett uppdrag till generaldirektören att genomföra en extern genomlysning av intern styrning och kontroll inom Lantmäteriet. Styrelsen gav, med anledning av i december inkomna visselblåsarärenden, myndigheten i uppdrag att handlägga dessa visselblåsarärenden genom en extern aktör. 257 I början av 2024 utsåg Lantmäteriet en sammanhållande resurs till myndighetens arbete med internrevisionsgranskningar. En ny process togs fram utifrån brister som myndigheten identifierat i den tidigare processen. De konstaterade bristerna bekräftades även av internrevisionens uppföljande granskningsrapport (juni 2024) som omfattade ett flertal äldre granskningar. Under maj-september 2024 genomfördes en intern utredning och analys av Lantmäteriets myndighetsgemensamma verksamhetsområden. Syftet med utredningen var bland annat att se vilka eventuella behov av förbättring avseende ett enhetligt och effektivt stöd som finns, se över organiseringen av myndighetsgemensam verksamhet inklusive ledningsstrukturen för att optimera verksamheten och tydliggöra roller och ansvar. Utredningen visade bland annat att en förändring vad gäller verksamhetsstyrningen behöver genomföras. Det saknas interna förutsättningar, såsom personella resurser, tydliga mandat och arbetssätt för att ha en väl fungerande och effektiv process för intern styrning och kontroll. För ökad enhetlighet och samordning på Lantmäteriets övergripande arbete med exempelvis verksamhetsplanering/uppföljning, strategisk planering, remisshantering, övergripande analyser behöver en tydlig lednings- och styrningsstruktur tas fram. Utredningen ger förslag på åtgärder och organisering för ökad tydlighet, enhetlighet och effektivisering. Relevanta delar av förslagen ingår i den genomförandeplan som är under framtagande utifrån genomlysningen av Lantmäteriets interna styrning och kontroll. 258

6.7.2 Åtgärder som redovisats till regeringen 2025

Lantmäteriet fick i regleringsbrev för budgetåret 2025 i uppdrag av regeringen att redovisa hur arbetet fortskrider med att stärka den interna styrningen och kontrollen för att främja en god förvaltningskultur. I en första delredovisning av två skulle myndigheten beskriva hittills vidtagna åtgärder med anledning av det arbete som hade initierats av styrelsen mot bakgrund av internrevisionens iakttagelser. Den andra delredovisningen skulle fokusera på ledningssystem för

257 Se avsnitt 10.5. 258 Se avsnitt 6.5.

116

119

Den interna styrningen och kontrollen

verksamhetsstyrningen, god intern miljö och riskhantering. Dessutom skulle redovisas en analys av befintlig funktionalitet inom fokusområdena och vid behov föreslås åtgärder för att säkerställa 259 dessa funktioner.

Delredovisning 1

I delredovisningen 260 återkopplade Lantmäteriet inledningsvis till de åtgärder som den tidigare nämnda genomlysningen rekommenderade. 261 Sammanfattningsvis framgår följande av redovisningen. Myndigheten planerade att genomföra en översyn av verksamhetsplaneringsprocessen under våren 2025 som skulle ligga till grund för planeringsförutsättningar inför verksamhetsplaneringen 2026. Som ett stöd till generaldirektören hade styrelsen lämnat internrevisionen ett rådgivningsuppdrag inom ramen för området. Rådgivningsuppdraget syftade till att bedöma hur Lantmäteriets process och organisering för verksamhetsstyrning och uppföljning kan utvecklas, effektiviseras och ske med en betryggande intern styrning och kontroll. Lantmäteriet hade rekryterat en ny verksamhetsområdeschef för ekonomi som skulle leda arbetet inom utvecklingsområdet. Under hösten 2024 genomfördes en översyn av organisering för myndighetsgemensam verksamhet. Syftet med översynen var att identifiera och föreslå effektivare organisationsformer vilket skulle förbättra även förutsättningarna för arbetet med den interna styrningen och kontrollen. Några förändringar genomfördes inte med 262 anledning av översynen.

Delredovisning 2

Sammanfattningsvis anges bland annat följande i denna redovisning. 263

259 Regleringsbrev för budgetåret 2025 avseende Lantmäteriet den 19 december 2024, LI2024/02309 (delvis), LI2024/02395. 260 Delredovisning 1, Intern styrning och kontroll, den 12 februari 2025, LM2025/008373. 261 Se avsnitt 6.5. 262 Enligt information från Lantmäteriet i december 2025 berodde detta på att frågan blev nedprioriterad på grund av hanteringen av den särskilda händelsen. Hur organiseringen av den myndighetsgemensamma verksamheten ser ut i januari 2026 framgår av avsnitt 4.3.4. 263 Delredovisning 2 Intern styrning och kontroll den 14 maj 2025, LM2025/008373.

117

120

Den interna styrningen och kontrollen

Lantmäteriet arbetar med en översyn av strukturen för verksamhetsplanen som kommer att ligga till grund för planeringsförutsättningar inför verksamhetsplaneringen 2026. Planen är att myndigheten kommer att ha fyra mål varav tre är nya och tydligare identifierade. Målen kommer att beskrivas utifrån ett nuläge och önskat läge. Lantmäteriets uppföljningsprocess kommer bland annat att kompletteras med ytterligare ett moment bestående av en GD-dialog för att säkerställa att generaldirektören får förbättrad insyn i och kontroll över verksamhetens måluppfyllelse. Lantmäteriet har identifierat att förutsättningarna att efterleva den interna styrningen kan förbättras genom ökad tydlighet i ledningssystemet. I en tidigare internutredning om organisationsöversyn hade 264 konstaterats att Lantmäteriets val att organisera verksamheten inte till fullo återspeglades i myndighetens arbetsordning och delegationsordning. Enligt internutredningen fanns det även förväntningar i verksamheten som inte överensstämde med vare sig arbets- eller delegationsordningen eller befintlig organisationsform. Detta ansågs kunna vara en orsak till att det inom myndigheten förekom upplevd otydlighet i roller, uppdrag och ansvar. Utifrån enkätundersökningar riktade till myndighetens informationsägare och chefer under våren 2025 drogs bland andra slutsatserna att det förekommer oreglerade ansvarsroller på myndigheten som föranleder oklara förutsättningar att bära rollanknutet och upplevt ansvar, olika reglerade ansvarsroller överlappar varandra vilket exempelvis kan bidra till att ansvaret hamnar mellan stolarna, verksamhetsansvariga chefer upplever att det egna ansvarsområdet inte är tydligt reglerat, ansvar kopplat till en roll möts inte av motsvarande mandat eller också är mandatet otydligt beskrivet samt att kunskapsnivån och förståelsen för interna styrande dokument, roller, ansvar och arbetssätt behöver höjas. Myndighetens ledningssystem för verksamhetsstyrning har brister. Det försvårar myndighetsledningens möjligheter att säkerställa en välfungerande intern styrning och kontroll och myndighetanställdas förutsättningar att efterleva den interna styrningen. Inom ramen för projektet, det vill säga en översyn av bland annat Lantmäteriets övergripande styrande dokument, skulle även myndighetens arbetsordning och delegationsordning samt relaterad dokumentation ses över. Det finns i dag informations- och utbildningsmaterial kopplat till god förvaltningskultur, men materialet behöver stärkas och utvecklas för att ge ett mer heltäckande stöd. Det kan vara en bidragande orsak till otydlighet i innebörden av chefsansvaret. Och det kan i sin tur få konsekvenser särskilt vad gäller intern styrning och kontroll. Dessutom saknas konkreta gemensamma definitioner av vad en god förvaltningskultur samt intern styrning och kontroll innebär för Lantmäteriet. Det riskerar att skapa variationer i tolkning och tillämpning, vilket kan påverka både regelefterlevnad och tilliten till styrningen. För att säkerställa en sam-

264 Översyn och förslag på organisering av Lantmäteriets myndighetsgemensamma verksamhetsområden, PM den 28 oktober 2024, LM2024/059383. Se avsnitt 4.5.

118

121

Den interna styrningen och kontrollen

manhållen styrning krävs förtydliganden, kompetensutveckling och ett gemensamt språk kring myndighetsansvar, riskmedvetenhet och styrning i en föränderlig omvärld. Lantmäteriet har startat ett arbete som syftar till att stärka Lantmäteriets interna styrning och kontroll genom att utveckla en gemensam förståelse för vad god förvaltningskultur innebär i praktiken. Det handlar om att förtydliga chefsrollens ansvar i en förvaltningsmyndighet och öka förståelsen för hur statlig styrning, regelefterlevnad och organisatorisk kultur samverkar. Uppdraget omfattar behovsanalys, kartläggning av befintlig information och utbildningsmaterial samt utveckling av ett koncept för kompetenshöjande insatser. 265 Resultatet ska bidra till en stärkt förvaltningskultur där regelefterlevnad, ansvarstagande och helhetssyn präglar styrningen av verksamheten.

I delredovisningen tas upp även hur förutsättningarna för regelefterlevnad skulle stärkas under 2025 inom myndighetens olika verksamheter. Det anges vidare att arbete pågår med att ta fram kompetenshöjande insatser i form av utbildning med fokus på beslutsfattande samt stöddokument som riktar sig till myndighetens beslutsfattare. Ett annat initiativ som inletts är att stärka medarbetares kunskap om de övergripande regelverk som styr Lantmäteriet. Därför hade en översyn av befintlig introduktionsutbildning genomförts. Utifrån iakttagelserna i översynen skulle delar av introduktionsutbildningen revideras i syfte att bredda utbildningens fokus från service till övriga delar av den statliga värdegrunden samt Lantmä- 266 teriets uppdrag. Som en del i detta arbete hade en utbildning om allmänna handlingar nu också inkluderats i myndighetens obligatoriska utbildningspaket. Alla medarbetare förväntades gå utbild- 267 ningen. Arbete pågår med att ta fram enhetliga rutiner för en samordnad och regelbunden uppföljning av regelefterlevnad inom myn-

265 Under våren 2025 gjordes övervägningar mellan olika upplägg för att nå en kunskapsförstärkning. Innan en slutlig bedömning gjordes kring utbildning eller andra alternativ, gjordes en inventering av befintliga utbildningar som ger cheferna förutsättningar för att stötta en god förvaltningskultur. Den preliminära bedömningen utifrån inventeringen är att den kompletterande information som behövs, i stället lämpar sig för en informationssida på Insikten som kan användas vid kunskapshöjande insatser och länkas till olika ämnen som gynnar en god förvaltningskultur. Information från Lantmäteriet i december 2025. 266 Den statliga värdegrunden ingår i utbildningar ”Ny på Lantmäteriet” och den obligatoriska utbildningen ”Din roll i staten” från Statskontoret. Det som enligt Lantmäteriet kvarstår är önskemål om en kompletterande filmad del som lägger fokus på regelefterlevnad i beslutsfattande. Frågan är under arbete. En del mindre uppdateringar i samma syfte är redan gjorda och en revidering är planerad i samband med att all introduktionsutbildning ses över under 2026. Information från Lantmäteriet i december 2025. 267 I juni 2025 hade 91 procent av målgruppen genomfört utbildningen. Information från Lantmäteriet i december 2025.

119

122

Den interna styrningen och kontrollen

digheten. Slutligen pågår utveckling av en myndighetsövergripande process som syftar till att bidra till enhetlig implementering och uppföljning av författningsändringar som berör myndigheten.

Slutlig redovisning av regeringsuppdraget

Uppdraget ska slutredovisas till regeringen senast den 16 februari 2026.

6.7.3 Lantmäteriets åtgärder efter genomlysningen av den

interna styrningen och kontrollen

Chefen för verksamhetsområde Ekonomi och controlling fick i uppdrag av den vikarierande generaldirektören att leda arbetet inom området intern styrning och kontroll. Arbetet är ett projekt som omhändertar både uppdraget i regleringsbrevet och den gjorda genomlysningen. Den genomförandeplan som arbetats fram tas inte upp i detalj här. 268 På vår begäran har Lantmäteriet i november 2025 redogjort för genomförda och pågående åtgärder för att förbättra den interna styrningen och kontrollen. I redogörelsen anges följande.

Förändrad organisation Den juridiska kompetensen inom myndigheten har centraliserats under ett enda verksamhetsområde som kommer ledas av en rättschef. Ett syfte med förändringen är att myndigheten snabbare ska kunna ”döma av” rättsliga frågor där de olika verksamhetsområdena gör olika be dömningar. Förändringen avser vidare att skapa förutsättningar för en mer samordnad styrning av resurserna och ett mer samordnat rättsligt stöd till verksamheten i olika frågor. Med en starkare rättslig styrning och ett stärkt rättsligt stöd till hela verksamheten bedöms även myndighetens förmåga att säkerställa regelefterlevnad samt upprätthålla en god intern styrning och kontroll förbättras. Rekrytering av chefsjurist/Rättschef pågår. En uppdaterad ansvars- och delegationsordning kommer under 2026 att implementeras efter beslut i styrelsen. Det syftar till att tydliggöra ansvar och mandat inom myndigheten. I enlighet med tidigare beslut om att centralisera frågor om intern styrning och kontroll har enheten Verksamhetsstyrning och internkon-

268 Myndighetens genomförandeplan för styrelseuppdraget ”Genomlysning av Lantmäteriets interna styrning och kontroll” den 2 juni 2025, LM2025/066848.

120

123

Den interna styrningen och kontrollen

troll inrättats. Chef är rekryterad. Uppdraget innefattar ett övergripande stöd till generaldirektören och myndighetsledningen. Syftet är att skapa bättre förutsättningar för en sammanhållen och transparent styrmodell och uppföljning samt bidra till en god förvaltningskultur. En översyn pågår även för att fastställa vilka resurser och kompetenser som bör vara direkt underställda GD och som därmed kan utgöra ett stöd till denne, särskilt i frågor som rör intern styrning och kontroll.

Förbättrad process för styrning, verksamhetsplanering och uppföljning

Under våren 2025 utarbetades nya förflyttningsområden, mål. Målen beskrivs utifrån nuläge och önskat läge. Under hösten 2025 har en ny struktur för myndighetens verksamhetsplan utarbetats. Strukturen tar sin utgångspunkt i förordning med instruktion för Lantmäteriet samt de styrande regleringsbreven med tillhörande uppdrag. Det har gjorts för att stärka kopplingen mellan den externa och interna styrningen samt för att bidra till en ökad förståelse hos alla medarbetare av hur myndigheten styrs och vad som är myndighetens uppdrag. Detta bidrar även till en stärkt förvaltningskultur. Under hösten har den nuvarande generaldirektören beslutat att införa så kallade GD-dialoger, vilka kommer att ske tertialvis med respektive VO-chef och dennes ledningsgrupp. Vid dessa tillfällen kommer verksamhetsresultat, ekonomi, riskhantering med mera att följas upp i en statusrapport. Vidare kommer dessa tillfällen att ge den nuvarande generaldirektören möjlighet att lyssna in verksamheten och samtala om aktuella frågor. Den nuvarande generaldirektören har också infört en beredningsordning för beslut eller annat ställningstagande från generaldirektören. Beredningsordningen innebär bland annat att varje verksamhetsområde har fasta beredningstider. Det resulterar i att beredningarna hålls ihop och att arbetsmaterial samlas och bevaras centralt av en utsedd beredningsansvarig. En gemensam beredningsordning medför att myndigheten har en systematisk metod för att förbereda ärenden för beredning, med fokus på kvalitet, transparens, effektivitet och tydliga ansvarsområden. Detta kommer sammantaget att medföra bättre beslutsunderlag samt stärka generaldirektörens och myndighetsledningens möjlighet att följa upp verksamheten och måluppfyllelse. Vidare har lantmäteriets ledningsgrupp genomfört två internatdagar under hösten 2025 med fokus på den interna styrningen och kontrollen, ny beredningsordning, GD-dialog och verksamhetsplan 2026. Detta har gjorts för att det fortsatta arbetet ska ske med utgångspunkt i en gemensam plattform.

Översyn av ekonomimodell

Lantmäteriets ekonomistyrning utgår från en gemensam ekonomimodell.

121

124

Den interna styrningen och kontrollen

Genom sin utformning påverkar ekonomimodellen såväl den operativa som den strategiska nivån i verksamheten. Den reglerar förutsättningarna för ekonomisk planering, styr incitament för effektivitet och ansvarstagande, samt bidrar till att skapa långsiktighet i resursanvändningen. Modellen fungerar därmed som ett verktyg för att balansera ekonomisk stabilitet med verksamhetsmässig utveckling. Den nuvarande ekonomimodellen är komplex och stödjer inte fullt ut en effektiv ekonomistyrning. Modellen skapar inte förutsättningar för, och speglar inte myndighetens krav, på en god resultatstyrning. En revidering är därför nödvändig för att säkerställa att ekonomimodellen fortsatt stödjer organisationens mål, skapar en rättvis resursfördelning och främjar en effektiv användning av tillgängliga medel. Under 2026 kommer myndigheten att utvärdera befintlig ekonomimodell och föreslå åtgärder.

6.7.4 Årsrapport intern styrning och kontroll 2025

I den senaste årsrapporten om intern styrning och kontroll anges sammanfattningsvis följande. 269 Arbetet med intern styrning och kontroll har under 2025 fortsatt att stärka Lantmäteriets struktur, men variationer i tillämpning, ansvarsfördelning och arbetssätt kvarstår. Det finns ett fortsatt behov av en mer enhetlig och förutsägbar styrning där roller, mandat och ansvar är tydliga, samordnade och tillämpas likvärdigt i hela myndigheten, särskilt i frågor som spänner över flera verksamhetsområden. Flera verksamhetsområden arbetar systematiskt, men samordning, beroenden och praktisk implementering av gemensamma processer, exempelvis verksamhetsplanerings- och uppföljningsprocessen, behöver förtydligas. Den fördjupade självutvärderingen visar att mognadsnivån varierar och att det behövs ytterligare utveckling av processer, uppföljning och samverkan inom myndigheten. Inom säkerhetsområdet, inklusive säkerhetsskydd, informationssäkerhet och beredskap, har betydande steg tagits, men fortsatt utveckling krävs för att uppnå en helt enhetlig och långsiktigt hållbar förmåga. Sammantaget bedömer Lantmäteriet att den interna styrningen och kontrollen i huvudsak fungerar och att myndigheten står bättre rustad för att hantera risker och säkerställa god intern styrning och kontroll framåt. Samtidigt lyfts att fortsatt utveckling krävs när det gäller ansvarsfördelning, samordning och processmognad, det vill säga i vilken utsträckning processer är tydligt definierade, kända och

269 Årsrapport intern styrning och kontroll den 19 december 2025, LM2025/148643.

122

125

Den interna styrningen och kontrollen

tillämpas på ett enhetligt sätt i hela myndigheten för att stärka myndighetens samlade styrning kommande år.

123

127

7 Lantmäteriets digitala system och tjänster

7.1 Kapitlets innehåll

I detta avsnitt beskrivs för utredningen relevanta digitala system och tjänster hos Lantmäteriet i huvuddrag. Dessutom redogörs för historiken kring digitaliseringen av Lantmäteriets akter. 270

7.2 Relevanta system och tjänster

Lantmäteriets system och tjänster, varav några har bedömts relevanta för utredningen, kan inledningsvis illustreras med följande skiss:

270 Hela avsnittet bygger, där inte annat anges, på information från Lantmäteriet i augusti 2025.

125

128

Lantmäteriets digitala system och tjänster

7.2.1 Arken

Arken är ett digitalt förrättningsarkiv som innehåller flera informationsmängder, bland annat arkivakter från fastighetsbildning (från Lantmäteriet och kommunala lantmäterimyndigheter), planakter och fastighetsinskrivningsakter. Arken är utvecklad i Lantmäteriets egen regi. Akterna består av ostrukturerade data i form av bildfiler som inte är sökbara. 271 Tillhandahållande av akter ur Arken har kunnat ske dels på begäran om utlämnande av allmän handling, dels genom tillhandahållande i olika digitala tjänster, exempelvis AktDirekt och ArkivSök, som beskrivs i skissen ovan samt redogörs för närmare nedan. De digitala tjänster som är kopplade till Arken är helt eller delvis stängda sedan maj 2024, vilket vi återkommer till i senare kapitel. Eftersom vårt huvudsakliga fokus är Arken, redogörs närmare för den i kapitel 11.

7.2.2 AktDirekt

272

AktDirekt, som började användas 2018, hämtar information från Arken och möjliggör för externa användare att hämta arkivakter som är upptagna i fastighetsregistret och integrera informationen i egna system. Tjänsten är utvecklad i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. Tjänsten tillhandahåller arkivakter från fastighetsbildande myndigheter samt planer och bestämmelser. Arkivakterna är enbart sökbara på län och aktbeteckning, vilket innebär att den externa användaren måste ha åtkomst till fastighetsregistret för att akterna ska vara sökbara på ett enkelt sätt. AktDirekt integreras även med andra tjänster utvecklade av Lantmäteriet, exempelvis FR Webb och ArkivSök. Dessa tjänster har både interna användare på Lantmäteriet och externa användare. De användare som har haft tillgång till AktDirekt genom olika tjänster (se mer om detta i kapitel 11) har haft tillgång till samtliga 273

271 Jämför Beslut om kriterier för informationssäkerhetsåtgärder avseende Arken den 5 september 2024, LM2024/049935 samt säkerhetsskyddsklassificeringspromemoria LM2024/051840, s. 1. 272 Avsnittet om AktDirekt har kompletterats med information från skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken den 29 september 2025. 273 Såvida de inte har omfattats av säkerhetsåtgärder i form av att ha varit låsta eller dylikt, se mer om detta i kommande kapitel.

126

129

Lantmäteriets digitala system och tjänster

fastighetsbildningsakter i Arken utan begränsning utifrån geografiskt område eller dylikt. För att externa användare ska få tillgång till innehållet i AktDirekt görs först en ändamålsprövning. Därefter tecknas avtal med samma villkor och avgifter som ArkivSök (se mer om den tjänsten i det följande). Det är av tekniska skäl som huvudregel inte möjligt för Lantmäteriet att se vilken individ som har öppnat en viss arkivakt. Lantmäteriet tar betalt för den totala användningen av tjänsten och loggningen är utformad på ett sätt som gör det möjligt att följa upp det totala antalet öppnade arkivakter per extern användare. Externa organisationer som har fått tillgång till AktDirekt är bland andra kommuner och myndigheter i övrigt som har ingått geodatasamverkanavtal med Lantmäteriet, kommersiella aktörer samt andra offentliga aktörer. Kommersiella vidareförädlare är en kategori av aktörer som har ingått avtal med Lantmäteriet och som genom tjänster utformade på sätt som liknar FR Webb säljer informationen vidare. Lantmäteriet känner i dessa fall inte till vilka slutanvändarna är och det finns inte någon möjlighet till loggning på slutanvändarnivå. I AktDirekt finns inte några informationssäkerhetsåtgärder avseende skyddade personuppgifter som gör det möjligt att identifiera skyddsvärda arkivakter innan de tillhandahålls. Den externa åtkomsten till tjänsten stängdes den 24 maj 2024. Före AktDirekt fanns under perioden 2007 – 2018 tjänsten ArkenProxy som fungerade på likartat sätt. ArkenProxy var en etjänst som erbjöd direktåtkomst till arkivakter i Arken. Via det egna kart- eller fastighetsinformationssystemet kunde användaren, genom att klicka på en aktbeteckning, öppna och ta del av kartor och handlingar. För att externa användare skulle få tillgång till ArkenProxy genomfördes först en ändamålsprövning och därefter tecknades avtal med samma villkor och avgifter som för tjänsten ArkivSök. Det var inte möjligt för Lantmäteriet att se vilken individ som öppnat en viss arkivakt. På samma sätt som med AktDirekt tog Lantmäteriet betalt för den totala användningen av tjänsten och loggningen var utformad på sätt som gjorde det möjligt att följa upp det totala antalet öppnade arkivakter per extern användare.

127

130

Lantmäteriets digitala system och tjänster

ArkenProxy var begränsad till vad som var registrerat i fastighetsregistret. Det innebar att en användare inte kunde se allt historiskt material, eftersom inte alla arkivakter är registrerade i fastighetsregistret. Tillhandahållandet var inte begränsat på något annat sätt, till exempel avseende sekretess.

7.2.3 ArkivSök

274

ArkivSök har funnits sedan 2011 och är en tjänst för interna och externa användare. Tjänsten är utvecklad i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. Tjänsten hämtar information från Arken och ger åtkomst till kartor, arkivakter från fastighetsbildande myndigheter samt planer och bestämmelser. ArkivSök är en e-tjänst med ett bredare innehåll än AktDirekt och innehåller både akter som är upptagna i fastighetsregistret och sådana akter som inte är det. ArkivSök tillförs kontinuerligt nytt innehåll när arkivakter arkiveras digitalt eller när en analog akt skannas. Det är inte möjligt att söka på innehållet i arkivakterna, eftersom akterna lagras som bildfiler. Det innebär att arkivakterna måste läsas eller tolkas för att det ska vara möjligt att ta del av innehållet. Lantmäteriet har inte gjort det möjligt att söka på fastighetsbeteckning eller ägande i ArkivSök. Det är möjligt att läsa, spara eller skriva ut en kopia av en arkivakt från ArkivSök. För att användare inom Lantmäteriet ska få tillgång till innehållet i Arken behöver den anställdes chef godkänna tillgången. Sådana användare har individuella behörigheter och öppnandet av en arkivakt loggas. För att externa användare ska få tillgång till innehållet i Arken görs först en ändamålsprövning och sedan tecknas avtal med samma villkor och avgifter som för tjänsten ArkenProxy/Akt Direkt. Externa användare har inte individuella behörigheter utan tilldelas normalt ett antal gemensamma behörigheter för användarna inom organisationen. Externa organisationer som har fått tillgång till ArkivSök är bland annat kommuner och andra myndigheter som har ingått i geodatasamverkanavtal med Lantmäteriet, kommersiella aktörer samt vissa

274 Avsnittet om ArkivSök bygger delvis på information från Skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken som lämnades till utredningen den 29 september 2025.

128

131

Lantmäteriets digitala system och tjänster

andra offentliga aktörer (exempelvis inom områdena forskning och utveckling samt kultur). I fråga om det sistnämnda är det särskilt svårt att veta vem som fått tillgång till ArkivSök, eftersom det rör sig om användarbehörigheter som nyttjas av exempelvis en högskola. I ArkivSök finns inte några automatiska kontroller för att identifiera arkivakter som innehåller skyddade personuppgifter. Arkivakterna utgör bildfiler och har därmed heller inte sökbar information som kan användas för att sortera ut arkivakter som innehåller skyddade personuppgifter. I de fall en individ har skyddade personuppgifter vid den tidpunkt ett ärende är under handläggning finns rutiner och systemstöd för att säkerställa att den skyddsvärda informationen inte lagras i Arken. Om det vid handläggningen av ett ärende är känt att akten kommer att innehålla säkerhetsskyddsklassificerade uppgifter finns också rutiner som innebär att akten inte lagras i Arken. I november år 2023 vidtogs informationssäkerhetsåtgärder som innebär att vissa arkivakter låstes och inte kunde öppnas i ArkivSök. 275 ArkivSök stängdes den 24 maj 2024.

7.2.4 Trossen

Informationssystemet Trossen är ett handläggningsstöd, som är utvecklat i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. Trossen innehåller ärendeinformation som ligger kvar åtkomlig för handläggarna i två år efter att ett ärende slutförts. Informationssystemet används av Lantmäteriet och samtliga kommunala lantmäterimyndigheter. 276 De kommunala lantmäterimyndigheterna har inte åtkomst till varandras ärenden i Trossen. Ett fåtal medarbetare på Lantmäteriet med särskild behörighet har åtkomst till dessa myndigheters ärenden, exempelvis för support. Trossen hämtar och skickar information från och till fastighetsregistret och är även kopplad till Arken. Trossen är integrerad med andra system inom Lantmäteriet, exempelvis kunddatasystem och ekonomisystem.

275 Projekt Infosäk-GDL, se avsnitt 8.3.4. 276 Lantmäteriets säkerhetsskyddsanalys den 27 juni 2025, LM2025/088391, s. 27.

129

132

Lantmäteriets digitala system och tjänster

Trossen består av över 30 olika komponenter som både är egenutvecklade och upphandlade programvaror, till exempel dokumenthanteringssystem. 277

7.2.5 Några övriga system

278

FR Webb

FR Webb har funnits sedan 2008 och är en e-tjänst som visar fastighetsinformation från fastighetsregistret med en länk till arkivakter i Arken. FR Webb är avsedd för interna och externa handläggare som ajourför fastighetsregistret. Tjänsten är utvecklad i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. I tjänsten kan man söka på fastighetsbeteckningar, adresser, organisationsnummer, rättigheter, koordinater med mera samt få fram vem som äger en fastighet. FR Webb hämtar information från många av lantmäteriets informationstjänster. Eftersom FR Webb är integrerad med ArkivSök ger tjänsten åtkomst till de arkivakter i Arken som är redovisade i fastighetens åtgärdshistorik. Inloggning krävs i FR Webb. Tjänsten används till stor del av Lantmäteriets personal inom verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning (inklusive Kundcenter) och Geodata. Kommuner som ajourför fastighetsregistret och som därför har behov av information ur fastighetsregistret och arkivakter ur Arken för sin verksamhet har möjlighet att ingå avtal med Lantmäteriet för att få tillgång till FR Webb och Arken. Det rör sig om 40 kommunala lantmäterimyndigheter och ca 60 kommuner. Det finns även andra externa användare som har ingått avtal med Lantmäteriet och som har tillgång till FR Webb och Arken. FR Webb har varit föremål för flera säkerhetsanpassningar över tid. De har huvudsakligen varit inriktade mot skyddade personuppgifter. Fastigheter med information om individer med skyddade personuppgifter (däribland lagfaren ägare) har varit föremål för informationssäkerhetsåtgärder som innebär att det har saknats möjlighet att hämta arkivakter redovisade i åtgärdshistoriken för den aktuella

277 Information från Lantmäteriet, den 14 augusti 2025. 278 Avsnittet om FR Webb har kompletterats med information från skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken som lämnades till utredningen den 29 september 2025.

130

133

Lantmäteriets digitala system och tjänster

fastigheten från Arken. Individens personuppgifter har även varit dolda för användaren. FR Webb stängdes för extern åtkomst den 24 maj 2024. FastighetSök, som fanns under åren 2001 – 2008, var föregångare till FR Webb och visade fastighetsinformation från fastighetsregistret med en länk till arkivakter i Arken.

SFÄR

SFÄR är Lantmäteriets handläggningssystem för inskrivningsärenden och finns i myndighetens interna IT-miljö. Systemet omfattar ärenderegistrering, beredning och beslut samt hantering av ärenden avseende förlorade pantbrev. SFÄR utvecklades under perioden 2010 – 2014 och driftsattes successivt under denna period. SFÄR är sedan 2011 arkiv för inskrivningsakter. Äldre inskrivningsakter (från perioden 1 juni 2008 – 10 november 2011) finns arkiverade i Arken. Inskrivningsakter från tiden före den 1 juni 2008 finns arkiverade hos Riksarkivet.

Geosecma

Geosecma är ett informationssystem som stöder fastighetsbildningsverksamhetens geometridelar. Systemet finns i Lantmäteriets interna IT-miljö. Informationssystemet används av 36 kommunala lantmäterimyndigheter, det vill säga alla utom fyra. Enligt uppgift från Lantmäteriet finns det finns tekniska och administrativa begränsningar i systemet för att separera myndigheternas information mellan Lantmäteriet och de kommunala lantmäterimyndigheterna men inte mellan de kommunala lantmäterimyndigheterna. De kan således ta del av varandras kartarbete. Ett nytt geometristöd håller på att tas fram och förväntas bli klart 2026.

131

134

Lantmäteriets digitala system och tjänster

279 Min fastighet

Tjänsten Min fastighet, som har funnits sedan 2011, är en e-tjänst för allmänheten som bland annat gör det möjligt att se fastighetsinformation från fastighetsregistret om den egna fastigheten. Tjänsten är utvecklad i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. I tjänsten har det varit möjligt att hämta arkivakter från Arken som är redovisade i åtgärdshistoriken för de egna registerenheterna. För att använda Min Fastighet behöver ägaren ha giltig e-legitimation och sitt personnummer eller samordningsnummer registrerat i fastighetsregistret. Företag eller organisationer kan inte använda tjänsten, eftersom det inte är möjligt att logga in i tjänsten om innehavet är registrerat på ett organisationsnummer. Individer med skyddade personuppgifter har inte möjlighet att få åtkomst till Min Fastighet, eftersom de inte är sökbara i fastighetsregistret som ägare. I november 2023 genomfördes informationssäkerhetsåtgärder som innebär att vissa arkivakter är låsta och inte kan öppnas i Min Fastighet 280 . Vissa tillhandahållandetjänster stängdes den 24 maj 2024. Min Fastighet är fortfarande tillgänglig men det är inte längre möjligt att hämta arkivakter från Arken i e-tjänsten.

7.3 Lantmäteriets Wiki

Lantmäteriet använder sig av en lagringsyta benämnd ”Wiki” för medarbetarnas interna bruk. Av Lantmäteriets egen beskrivning, tagen från startsidan för Wiki, framgår att den är indelad i utrymmen. Varje utrymme har egna inställningar för behörighet. Ett sådant utrymme kan exempelvis användas av en arbetsgrupp som har behov av ett eget utrymme. Wiki är ett ställe där man utbyter erfarenheter och sprider information. Innehållet syns bara på Lantmäteriets interna nätverk men vissa

279 Avsnittet om Min fastighet har kompletterats med information från skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken som lämnades till utredningen den 29 september 2025. 280 Infosäk-GDL, se avsnitt 8.3.4.

132

135

Lantmäteriets digitala system och tjänster

enstaka utrymmen kan läsas av kommunala lantmäterimyndigheter. Alla medarbetare på Lantmäteriet har tillgång till Wiki. I en del av det underlag som vi har tagit del av hänvisas det till information som ligger på Wiki. Exempelvis anges i internrevisionsrapporten Utlämnande av allmän handling att det förekommer att verksamheterna har styrande och stödjande dokument på respektive 281 verksamhets Wiki-sidor. Enligt uppgift från samtal med Lantmäteriets medarbetare förekommer det att handlingar läggs på Wiki i stället för att diarieföras.

281 Se Utlämnande av allmän handling den 20 december 2021, LM2021/049967. Internrevisionen rekommenderar att all väsentlig information avseende processen utlämnande av allmän handling i stället finns samlad och tillgänglig på intranätet. Rapporten beskrivs mer i detalj längre fram.

133

137

8 Lantmäteriets arbete med

säkerhetsskydd

8.1 Kapitlets innehåll

I detta kapitel redogörs för väsentliga delar i Lantmäteriets arbete 282 med säkerhetsskydd. Den särskilda händelsen 2024 och det efterföljande arbetet redovisas i kapitel 13 och 14.

8.2 Kort om säkerhetsskyddsverksamheten före

2017

Innan sent 2017 fanns säkerhetsskyddsverksamheten inom Lantmäte riet främst i ”öar” som Kart - och bildsekretessen (KBS), Myndighetsuppdrag (numera GeoSE) och signalskyddsorganisationen. Det fanns en säkerhetsskyddschef som var placerad på HR-avdelningen men som endast arbetade med säkerhet på deltid (25 procent). På division (numera verksamhetsområde) Utveckling och IT (UIT) fanns en informationssäkerhetschef och en IT-säkerhetschef placerade. För informationssäkerhetschefen var det tydliggjort att denne inte skulle jobba med säkerhetsskydd.

282 Texten i detta kapitel utgår delvis från Lantmäteriets promemoria Den särskilda händelsen ur ett säkerhetsskyddsperspektiv den 24 november 2025, LM2025/051647.

135

138

Lantmäteriets arbete med säkerhetsskydd

8.3 Lantmäteriets nutida säkerhetsskyddsarbete

påbörjas

8.3.1 En säkerhetsskyddsincident 2017

Under våren 2017 anmäldes en säkerhetsskyddsincident relaterad till 283 Lantmäteriets Disaster Recovery-förmåga (DR) och ett projekt – Informationssäkerhetsprojektet – startades för att åtgärda den uppmärksammade sårbarheten. Incidenten och projektet kan anses vara 284 starten för det nutida säkerhetsskyddsarbetet inom myndigheten.

8.3.2 Säkerhetsskyddsklassificering av all information som

Lantmäteriet hanterar

Inom projektet misstänkte man att DR-sårbarheten bara var ett specialfall av en mängd sårbarheter relaterade till hur Lantmäteriet hanterar säkerhetskänslig information. För att kunna kartlägga de potentiella sårbarheterna behövde Lantmäteriets information vara säkerhetsskyddsklassificerad. Något sådant arbete hade hittills inte gjorts. Projektet fick då tilläggsuppgiften att genomföra en säkerhetsskyddsklassificering av all information som Lantmäteriet hanterade. Arbetet bedrevs genom workshops per informationsmängd med deltagande av informationsägare och verksamhetsexperter. De preliminära resultaten stämdes av med utvalda fastighetsägare där kännedom fanns om att de bedrev säkerhetskänslig verksamhet. Därefter fattades beslut av respektive informationsägare. Säkerhetsskyddsklassificeringsbesluten dokumenterades i promemorior under hösten 2020. 285 Under klassificeringsarbetet tydliggjordes successivt var stora sårbarheter i säkerhetsskyddet fanns. De relaterades framför allt till informationssäkerheten. Det gjorde att förstudier av IT-arkitekturen och det externa tillhandahållandet av fastighetsregisterinforma-

283 Disaster Recovery, eller katastrofåterställning, innefattar den uppsättning åtgärder och tekniska lösningar som möjliggör återhämtning av vitala IT-system, data och applikationer efter en oförutsedd händelse som slår ut den primära driftsmiljön. Sådana händelser kan vara naturkatastrofer (brand, översvämning), storskaliga strömavbrott, cyberattacker (som ransomware) eller omfattande hårdvarufel, https://www.advania.se/ordforradet/disaster-recovery, hämtat den 22 januari 2026. 284 Beslut 2017/2020 och 2017/2121 den 5 oktober 2017. 285 En ”delleverans” var den tjänsteanteckning från den 19 december 2018 som utredningen återkommer till nedan.

136

139

Lantmäteriets arbete med säkerhetsskydd

tion startades parallellt i projektets regi. Informationssäkerhetsprojektet avslutades när säkerhetsskyddsklassificeringen var genomförd hösten 2020. Sammanfattningsvis bestod projektet över tid av tre delar: 1. att åtgärda DR-sårbarheten, 2. att genomföra en säkerhetsskyddsklassificering i syfte att identifiera vilken säkerhetsskyddsklassificerad information som fanns inom Lantmäteriet, och 3. att identifiera och initiera projekt för att åtgärda väsentliga sårbarheter avseende säkerhetsskydd.

8.3.3 Säkerhetskänslig information i arkivakter identifieras

2018

Av särskilt intresse i arbetet med det första informationssäkerhetsprojektet är en tjänsteanteckning från december 2018 undertecknad av en grupp tjänstemän som hanterat den del av informationssäkerhetsprojektet som avsåg säkerhetsskyddsklassificering. Av den framgår sammanfattningsvis följande. 286 Gruppen hade under hösten 2018 träffats för att detaljstudera utvalda objekt i Lantmäteriets informationssystem. Syftet var att identifiera om det fanns information som kunde anses vara hemlig på någon nivå. Gruppens slutsatser var att det fanns säkerhetskänslig information i arkivakter och i register. Följande åtgärder föreslogs. 1. Utreda juridiska och tekniska möjligheter för att genomföra anpassning av registerinnehåll (gallring, rättning med mera). 2. Genomföra anpassning av registerinnehåll enligt riktlinjer som tas fram i punkten ovan. 3. Utveckla åtkomsthantering. 4. Ta fram rutin för att sekretessmarkera arkiverade fastighetsbildningsakter. 5. Genomföra sekretessmarkering av akter där man vet att det finns hemliga uppgifter.

286 Tjänsteanteckning den 19 december 2018, Informationssäkerhetsprojektet – Slutsatser inom informationsklassificering.

137

140

Lantmäteriets arbete med säkerhetsskydd

Gruppen pekade också på att det saknades rutiner och tekniska förutsättningar inom verksamhetsområdena Fastighetsinskrivning och Fastighetsbildning för hantering av ärenden där så kallade känsliga fastighetsägare och organisationer är inblandade och att känsliga fastighetsbildningsärenden även hanteras utanför Lantmäteriet av kommunala lantmäterimyndigheter. Förslag på fortsatt hantering behövde tas fram och det fanns även ett behov av ökad samverkan med berörda tillsynsmyndigheter och berörda objektsägare. Åtgärdsförslagen lämnades vidare till andra aktiviteter inom Informationssäkerhetsprojektet för fortsatt arbete. Parallellt med gruppens arbete genomfördes möten med tillsynsmyndigheter och känsliga fastighetsägare. Enligt gruppen stämde tillsynsmyndigheternas och fastighetsägarnas synpunkter väl överens med det gruppen hade identifierat och förslagen till åtgärder. Lantmäteriets ledningsgrupp hade informerats om arbetet och gruppens slutsatser. 287 Beträffande slutsatserna menade gruppen att dessa var av sådan karaktär att de borde åtgärdas skyndsamt. Slutsatserna var bland annat att det fanns information i fastighetsregistret som omfattades av försvarssekretess och att det fanns hemliga uppgifter i fastighetsbildningsakter. Lantmäteriet har uppgett att det inte bara var den här gruppen som stod bakom slutsatserna utan hela informa- 288 tionssäkerhetsprojektet.

8.3.4 Tre nya informationssäkerhetsprojekt

Förstudierna fortsatte under hösten 2020 som tre nya fristående informationssäkerhetsprojekt med separata styrgrupper enligt följande tabell.

287 Enligt uppgift från Lantmäteriet i oktober 2025 bör detta ha varit kring december 2018. 288 Information från Lantmäteriet, september 2025.

138

141

Lantmäteriets arbete med säkerhetsskydd

Projekt Syfte

Infosäk-GDL Säkerställa att endast information som inte omfattas av sekretess levereras från Lantmäteriets tillhandahållandesystem Infosäk-Plattform Säker IT-infrastruktur/plattform för säkerhetsskyddsklassificerade uppgifter Säkra tekniklokaler Adekvat fysiskt skydd för lokaler och IT-miljöer där säkerhetsskyddsklassificerade uppgifter hanteras

I samtliga dessa projekt var verksamhetsområde UIT beställare men övriga berörda verksamhetsområden deltog i projekt- och styrgrupper.

8.3.5 En ny säkerhetsorganisation

Parallellt med Informationssäkerhetsprojektet etablerades en ny säkerhetsorganisation från den 1 januari 2019 under ledning av en säkerhetsskyddschef. Dessutom anställdes två biträdande säkerhetsskyddschefer. Senare under året rekryterades en ny informationssäkerhetsansvarig med ett uttalat ansvar även för informationssäkerheten inom säkerhetsskyddet. Den tidigare informationssäkerhetschefsrollen på UIT togs samtidigt bort medan IT-säkerhetschefsbefattningen behölls med fortsatt placering på UIT. Inriktningen för den befattningen var ett mycket nära samarbete med säkerhetsorganisationen, framför allt med den informationssäkerhetsansvarige. Över tid tillkom även säkerhetshandläggare och beredskapsresurser inklusive en beredskapssamordnare (sedermera beredskapschef) till säkerhetsorganisationen.

139

142

Lantmäteriets arbete med säkerhetsskydd

8.3.6 Trossenincidenten

Den så kallade Trossenincidenten, som uppmärksammades och anmäldes till dåvarande Dataskyddsinspektionen 2019, 289 var inte en separat händelse utan en utredning som visade att Lantmäteriet inte kunde ingå personuppgiftsbiträdesavtal (PUB-avtal) med de kommunala lantmäterimyndigheterna. I korthet berodde detta på att Lantmäteriet och de kommunala lantmäterimyndigheterna hade tillgång till varandras information, vilket exempelvis innebar att information i ärenden blev allmänna handlingar hos samtliga myndigheter och att alla personuppgifter som fanns i ärendena behandlades på 290 samtliga myndigheter. Incidenten visade att vissa åtgärder behövde vidtas i systemet för att upprätthålla myndighetsgränser och de åtgärderna behövde vara på plats innan PUB-avtal kunde tecknas. Ledningen informerades den 24 september 2019 om slutsatsen att PUB-avtal inte kunde tecknas och generaldirektören informerade styrelsen den 2 oktober 2019. 291 Den 30 september samma år informerades även Regeringskansliet. 292 Incidenten fick till följd att gränser upprättades mellan Lantmäteriet och de kommunala lantmäterimyndigheterna på så sätt att tjänstemän på respektive lantmäterimyndighet endast skulle ha åtkomst till den egna myndighetens ärenden och handlingar. Syftet var att minimera uppgifter, framför allt personuppgifter. 293 En följd var att PUB-avtal kunde ingås med kommunala lantmäterimyndigheter. Ursprungsincidenten utvecklades därefter till att omfatta även en säkerhetsskyddsincident, eftersom det konstaterades att det fanns säkerhetskänslig information i Trossen. En anmälan gjordes till Säkerhetspolisen undertecknad av verksamhetsområdeschefen för Fastighetsbildning. Senare ändrade dock denna chef uppfattning i frågan. Vi återkommer till detta.

289 INC283117, LM2019/015704, anmälan den 27 september 2019. 290 Information från Lantmäteriet, oktober 2025. 291 Information från Lantmäteriet i oktober 2025. Att detta gjordes framgår dock inte av protokollet från det mötet, protokoll nr 4. Vår anmärkning. 292 Information från Lantmäteriet i oktober 2025. 293 Information från Lantmäteriet, maj 2025.

140

143

Lantmäteriets arbete med säkerhetsskydd

8.3.7 Lantmäteriets säkerhetsskyddsanalys 2020

Arbetet med att ta fram en säkerhetsskyddsanalys och säkerhetsskyddsplan för Lantmäteriet påbörjades hösten 2019 och baserades vid starten på leveranser från informationssäkerhetsprojektet, inklusive påbörjade säkerhetsskyddsklassificeringar, identifierade sårbarheter och startade förmågeutvecklande åtgärder (se ovan). Arbetet organiserades så att varje verksamhetsområde med förmodad säkerhetskänslig verksamhet i projektform tog fram en säkerhetsskyddsanalys och säkerhetsskyddsplan för sin verksamhet, medan ett centralt team från bland annat den nyligen startade säkerhetsorganisationen styrde, stöttade och höll ihop arbetet. Baserat på verksamhetsområdenas analyser och planer tog det centrala teamet fram myndighetens övergripande säkerhetsskyddsanalys och säkerhetsskyddsplan, som fastställdes av generaldirektören i december 2020. 294 Syftet med upplägget var att få in verksamhetskompetens i arbetet, tydliggöra ansvar och skapa engagemang och bygga kompetens avseende säkerhetsskydd i verksamheterna. I säkerhetsskyddsanalysen anges bland annat följande. Säkerhetsskyddsklassificerade uppgifter finns i register. Det görs inte någon sekretessbedömning av inkommande handlingar, oavsett medium och om de kommer in till ärendemottagningen eller verksamheten. Avseende Arken finns redan känsliga handlingar i detta arkiv och flera sådana kan fortfarande av misstag hamna där. Ärenden och handlingar är tillgängliga via avtal och e-tjänster externt till bland annat myndigheter, företag och kommunala lantmäterimyndigheter och det saknas loggning och logganalys. Oklart avtal leder till otydligt mandat och otydlig ansvarsfördelning för informationen i Arken. Avtalet berör Fastighetsbildning, Geodata, Informationsstyrning och de kommunala lantmäterimyndigheterna. Det saknas ett ställningstagande från Fastighetsbildning om vad som ska anses vara säkerhetsskyddsklassificerade uppgifter, särskilt på aggregerad och ackumulerad nivå. 295 När det gäller arkivering beskrivs vidare vissa säkerhetsskyddsåtgärder, att mandat och ansvarsfördelning för bland annat Arken behöver klargöras och att nuvarande avtal och e-tjänster för externa

294 LM2020/029734. 295 Lantmäteriets säkerhetsskyddsanalys den 16 december 2020, LM2020/029734, s. 38 – 40.

141

144

Lantmäteriets arbete med säkerhetsskydd

kunder som ger obegränsad tillgång till ärenden och handlingar i Arken bör ses över. 296

8.3.8 Första låsningen av arkivakt i Arken

Funktionaliteten för att kunna låsa arkivakter i Arken infördes den 297 30 december 2019. Enligt Lantmäteriet infördes funktionaliteten för att låsa akter från användning medan de rättas, så att beslut inte skulle tas på felaktiga grunder (felaktiga arkivakter). När man sedan behövde låsa arkivakter på grund av sekretess utvecklades funktionen och den används fortfarande för båda ändamålen. Inledningsvis, i december 2023, låstes knappt tio akter på rekommendation av säkerhetsskyddschefen. Det gjordes som en informationssäkerhetsåtgärd. 298 En låsning av en arkivakt innebär att akten endast är tillgänglig för ett begränsat antal handläggare med särskild behö- 299 righet och kompetens inom sekretessfrågor. En låst akt är således inte tillgänglig i Lantmäteriets digitala tjänster eller handläggningsstöd. 300 Låsningar har härefter skett löpande när akter i behov av 301 låsning identifieras.

8.3.9 Status för säkerhetsskyddsarbetet vid utgången av

2020

• Myndighetens information var säkerhetsskyddsklassificerad. • Viktiga sårbarheter hade identifierats. • Myndighetsövergripande projekt för att bygga basförmågor och åtgärda sårbarheter hade startats. • Säkerhetsskyddsanalys och säkerhetsskyddsplan var fastställda. • Säkerhets- och säkerhetsskyddsorganisationen var etablerad med IT-säkerhet operationellt integrerad.

296 Säkerhetsskyddsanalysen 2020, s. 49 – 50. 297 Information från Lantmäteriet i maj 2025. 298 Information från Lantmäteriet i december 2025. 299 Lantmäteriets säkerhetsskyddsanalys, fastställd den 27 juni 2025, LM 2025/088391, s. 37. 300 Säkerhetsskyddsanalysen 2025, s. 38. 301 Information från Lantmäteriet i maj 2025.

142

145

Lantmäteriets arbete med säkerhetsskydd

8.3.10 Olika bedömningar av Lantmäteriets information

Över tid blev det enligt uppgift från Lantmäteriet tydligt att det fanns olika syn på förekomsten av säkerhetsskyddsklassificerade uppgifter inom myndigheten, speciellt när förekomsten hade potential att få konsekvenser för hur verksamheten måste bedrivas. Fastighetsbildning gick igenom ett stort antal av sina arkivakter utan att hitta någon säkerhetskänslig information och ifrågasatte tidigare gjorda bedömningar i bland annat Lantmäteriets säkerhetsskyddsanalys från december 2020. Andra delar av Lantmäteriet, inklusive säkerhetsorganisationen och verksamhetsområde Geodata, 302 höll dock fast vid den ursprungliga bedömningen. Meningsskiljaktigheterna var väl kända men dömdes under flera år inte av på myndighetsnivå av vare sig generaldirektören, säkerhetsskyddschefen eller någon annan. En myndighetsintern tillsyn av Fastighetsbildningens säkerhetsskyddsarbete förbereddes inom säkerhetsorganisationen under 2021 i syfte att driva frågan till ett avgörande. Omedelbart innan tillsynen skulle startas i september samma år meddelade dock säkerhetsskyddschefen att den skulle stoppas. 303 De kvardröjande skilda bedömningarna fick följande konsekvenser för verksamheten. • Projekt Infosäk-GDL försenades kraftigt när behovet av informationssäkerhetsåtgärder ifrågasattes och deras potentiellt negativa konsekvenser för ledtider och kostnader i förrättningsverksamheten betonades. Först i början av 2024 kunde en första begränsad delleverans göras och när projektet stängdes 2025 låg det 304 cirka 3,5 år efter ursprunglig tidplan. • Uppdateringen av myndighetens säkerhetsskyddsanalys och säkerhetsskyddsplan för 2022 blev ofullständig. • Arkivtjänster förblev öppna till externa kunder.

302 Verksamhetsområde Geodata ansvarar för informationen i fastighetsregistret. Verksamhetsområde Fastighetsbildning hämtar information från och uppdaterar fastighetsregistret i sin förrättningsverksamhet. Detta gör att Fastighetsbildning och Geodata delvis hanterar samma information. Se fotnot 4 i Lantmäteriets PM till utredningen Den särskilda händelsen ur ett säkerhetsskyddsperspektiv den 24 november 2025, LM2025/051647. 303 Enligt uppgift från Lantmäteriet kommunicerades detta muntligt till arbetsgruppen för tillsynen. Utredningen har inte tagit del av någon skriftlig dokumentation som visar detta. 304 Slutrapport Infosäk-GDL, LM2025/119468.

143

146

Lantmäteriets arbete med säkerhetsskydd

• Kundcenter instruerades av medarbetare på Fastighetsbildning att de inte skulle granska alla fastighetsbildningsakter vid begäran om utlämnande av allmän handling. 305

En myndighetsintern tillsyn för att avgöra eventuell förekomst av säkerhetsskyddsklassificerade uppgifter i fastighetsbildningsakter i Arken påbörjades till sist hösten 2022.

8.4 Den myndighetsinterna tillsynen 2022 – 2023

8.4.1 Fastighetsbildningsakter innehåller uppgifter som

omfattas av försvarssekretess

Tillsynen redovisades i en rapport 2023. 306 Som angetts i det föregående var bakgrunden att verksamhetsområde Fastighetsbildning hade bedömt att fastighetsbildningsakterna i Arken inte innehöll säkerhetsskyddsklassificerade uppgifter. Det var en förändring jämfört med tidigare bedömning, uttryckt exempelvis i Lantmäteriets säkerhetsskyddsanalys från 2020. 307 Syftet med tillsynen var att pröva verksamhetsområde Fastighetsbildnings säkerhetsskyddsklassificering av arkivakter i Arken. Tillsynen omfattade enbart digitala fastighetsbildningsakter (inklusive kommunala lantmäterimyndigheters akter) i Arken. Ett urval av arkivakter hade bedömts och klassificerats ur ett säkerhetsskyddsperspektiv. Bedömningen hade därefter stämts av med Försvarsmakten. Vid tillsynen konstaterades att fastighetsbildningsakterna innehöll uppgifter som omfattades av totalförsvarssekretess. Bedömningen var vidare att bristerna var allvarliga, eftersom de hade bäring på Sveriges säkerhet. Bristerna behövde därför skyndsamt åtgärdas. I tillsynsrapporten angavs några rekommendationer, bland annat att tillse att sekretessbedömningar görs av alla akter vid utlämnande, inklusive de som lämnas ut från Kundcenter och efter enskilda kontakter. Enligt uppgift från Lantmäteriet startade tillsynen för att tvinga fram ett ställningstagande från myndigheten avseende förekomsten

305 Tjänsteanteckningar från dåvarande chefsjurist 12 januari 2022. Detta beskrivs närmare i kapitel 12. 306 Myndighetsintern tillsynsrapport den 3 april 2023, LM2023/016386. 307 Säkerhetsskyddsanalysen 2020, s. 39.

144

147

Lantmäteriets arbete med säkerhetsskydd

av säkerhetsskyddsklassificerade uppgifter i vissa informationsmängder. 308

8.4.2 Verksamhetsområde Fastighetsbildnings svar på

tillsynsrapporten

Verksamhetsområde Fastighetsbildning (nedan benämnt Fastighetsbildning) lämnade i en promemoria i augusti 2023 ett formellt 309 svar på nyssnämnda tillsynsrapport. I svaret anges bland annat följande. Den svenska samhällsbyggnadsprocessen och fastighetsbildningsinstitutet är uppbyggda utifrån utgångspunkten att fastighetsbildningsbesluten är offentliga. Vid tidpunkten för säkerhetsskyddsanalysen 2020 saknades i Lantmäteriet gemensamma riktlinjer för vilka informationsmängder som kan utgöra säkerhetsskyddsklassifi- 310 cerade uppgifter. Fastighetsbildning utgick därför från informationsmängder i befintliga arkivakter som bedömts innehålla sådana uppgifter, domstolspraxis och doktrin. Avseende eventuellt skyddsbehov av uppgifter som ackumuleras eller aggregeras gjorde verksamhetsområdet bedömningen att om den enskilda uppgiften bedöms vara offentlig, är den offentlig såväl enskilt som tillsammans med andra uppgifter. I offentlighets- och sekretesslagen finns inga bestämmelser om sekretess genom ackumulering eller aggregering av uppgifter. Utifrån den samlade kunskapen inom Fastighetsbildning, dock utan att granska samtliga arkivakter i Arken, bedömdes att Arken inte innehöll några säkerhetsskyddsklassificerade uppgifter. I maj 2022 informerade verksamhetsområde Säkerhet (nedan 311 benämnd Säkerhet) Fastighetsbildning om att man identifierat nio arkivakter i Arken där det förekom säkerhetsskyddsklassificerade uppgifter. Därefter inledde Fastighetsbildning en förnyad sekretessbedömning utifrån de aktnummer som Säkerhet överlämnat. Vid ett möte senare i maj 2022 var avsikten att Säkerhet skulle ge Fastighetsbildning vägledning i att identifiera säkerhetsskyddsklassificerade

308 Information från Lantmäteriet i september 2025. 309 Verksamhetens svar på myndighetsintern tillsynsrapport den 28 augusti 2023, LM2023/016386. 310 Enligt uppgift från Lantmäteriets informations- och säkerhetssamordnare i oktober 2025 var dock säkerhetsskyddsklassificeringen genomförd vid den tiden. 311 Anledningen till att sex av dessa därefter valdes ut och tas upp i tillsynsrapporten var att dessa ansågs utgöra tydligast exempel på känslig information, uppgift från Lantmäteriet den 7 november 2025.

145

148

Lantmäteriets arbete med säkerhetsskydd

uppgifter men Säkerhet ska inte ha redovisat sina bedömningar vid det mötet. 312 Senare kunde Fastighetsbildning konstatera att verksamhetsområdets skrivningar i den uppdaterade säkerhetsskyddsanalysen hade ändrats av Säkerhet. Fastighetsbildning gjorde i maj 2023 en analys av de arkivakter som togs upp i tillsynsrapporten. Sekretessbedömningen innebar en förnyad bedömning av arkivakterna. Fastighetsbildning bedömde att en av arkivakterna även fortsättningsvis borde vara sekretessmarkerad med stöd av 15 kap. 2 § OSL samt att två arkivakter även fortsatt borde vara sekretessmarkerade med stöd av 18 kap. 8 § OSL. Resterande akter skulle även fortsättningsvis omfattas av informationssäkerhetsåtgärder så att de var åtkomliga endast för behöriga medarbetare. Informationssäkerhetsåtgärderna gjordes för att Fastighetsbildning skulle agera i enlighet med Säkerhets sekretessbedömning. Fastighetsbildning bedömde att rättsläget var oklart, eftersom det i huvudsak saknades vägledande domstolspraxis. Vidare efterfrågade Fastighetsbildning fortfarande att Säkerhet skulle vägleda medarbetare vid Fastighetsbildning utifrån sin kunskap om sekretessbedömning. Sammantaget saknade Fastighetsbildning förmåga att själva göra sekretessbedömningar motsvarande de som Säkerhet hade gjort.

8.4.3 Beslut om forcering av Infosäk-GDL

Vid ett ledningsgruppsmöte i augusti 2023 313 beslutades att planera om i projektet Infosäk-GDL så att implementeringen av den tekniska lösningen av funktionalitet skulle ha högsta prioritet. Projektet var vid det laget redan försenat med flera år. Det forcerade införandet omfattade endast del av ursprungsprojektets omfattning. 314 Som redan nämnts var syftet att säkerställa att endast information som inte omfattas av sekretess levereras från Lantmäteriets tillhandahållandesystem. Ytterligare information om denna så kallade forcering lämnades av chefen för verksamhetsområde Utveckling och IT i ett e-postmeddelande till bland annat ledningsgruppen. 315 I informationen anges bland annat att generaldirektören hade beslutat

312 Enligt uppgift från verksamhetsområde Säkerhet i december 2025 stämmer inte denna uppgift. 313 Mötesanteckningar Lantmäteriets ledningsgrupp den 22 augusti 2023, punkt 8. 314 Information från Lantmäteriet i september 2025. 315 E-postmeddelande den 23 augusti 2023.

146

149

Lantmäteriets arbete med säkerhetsskydd

om forceringen och att projektet Infosäk – GDL skulle fortsätta. Skillnaden angavs bli att en avgränsad del i den tekniska utvecklingen skulle forceras och att fullt fokus låg på att driftsätta denna.

8.5 Informationssäkerhetsprojektens slutrapporter

8.5.1 Säkra tekniklokaler

Informationssäkerhetsprojektet Säkra tekniklokaler avslutades den 22 januari 2025. 316 Slutrapporten handlar till stor del om intressenternas och projektdeltagarnas upplevelse av projektet. Resultatet av projektet anges vara en närmare angiven teknisk lösning. Lösningen anges uppfylla de krav som ställts på myndigheter med ansvar för kontinuitet inom staten. Den utökade genomförandetiden som följt av att projektet måste bedrivas utifrån de riktlinjer som gäller för säkerhetsprojekt noteras också.

8.5.2 Informationssäkerhet Infraplattform

Informationssäkerhetsprojektet Infraplattform avslutades den 317 16 april 2024. I slutrapporten anges bland annat att den initiala planen var att projektet skulle leverera en infrastrukturplattform samt processer och arbetssätt som innebär att Lantmäteriet har en säker informationshantering, och att utfallet blev att plattformen samt nya processer och arbetssätt levererats. Dock anges att mer arbete krävs för att fullt ut implementera detta. Vidare framgår att projektet försenades med cirka två år, bland annat på grund av att många delar tog längre tid än beräknat. Det anges också att projektets största förändring när det gäller mål och omfattning kom i samband med det beslut om revidering av projektplanen som togs i april 2023, då vissa delar som närmare framgår av beslutet exkluderades.

316 LM2025/007743. 317 LM2024/018488.

147

150

Lantmäteriets arbete med säkerhetsskydd

8.5.3 Infosäk-GDL

I slutrapporten 318 för projektet Infosäk-GDL den 18 september 2025 anges följande under rubriken Slutsats och rekommendationer. Initialt var målet för projektet Infosäk-GDL att säkerställa att endast information som inte omfattas av sekretess levereras från Lantmäteriets tillhandahållandesystem. Med tiden ändrades inriktningen för projektet till att skapa förmågan att leverera information till Lantmäteriets tillhandahållandesystem på ett rättssäkert sätt, samt säkerställa offentlighets- och myndighetsuttag (utlämnande enligt offentlighetsprincipen och 6 kap. 5 § OSL i första hand) på lämpligt sätt. Vidare skulle projektet ta fram riktlinjer och processer kring hur informationen ska hanteras. Projektet skulle också identifiera om det behövdes ytterligare åtgärder kring hantering av informationen. De identifierade åtgärderna skulle införas inom utsett verksamhetsområde. Projektet Infosäk-GDL bedömdes från början vara ett miniprojekt men växte över tiden till ett stort komplext projekt med många interna beroenden och nya förutsättningar. Det var flera faktorer som påverkade projektet med flera förseningar och därmed avsevärt högre kostnader än som initialt beräknats. Följande tre faktorer har haft störst inverkan på projektet: 1. Brist på erfarenhet inom området. Vid starten fanns inte tillräckligt med kunskap inom myndigheten kring informationssäkerhetsområdet. Denna kunskap och kompetens har byggts upp allt eftersom. Det saknades gemensam styrning, samsyn och tydlighet kring vägar för att fatta beslut och ansvarsfördelning i informationssäkerhetsfrågor. Det saknades också samverkan och ett gemensamt forum för informationssäkerhetsfrågor vilket resulterade i att frågeställningar som inte hörde till projektet ändå hanterades inom projektet, något som påverkade framdriften. Styrgruppen påtalade behovet till verksamhetsområde Säkerhet, som tog initiativ till att skapa olika informationssäkerhetsforum. Dessa fora hanterade därefter vissa frågor som därmed kunde lyftas ut från projektet. 2. Otillräcklig förberedelsefas samt förändringsledning under projekttiden. Vid starten av det aktuella projektet saknades juridiska utredningar. Målbild, krav och behov var inte förankrade med

318 LM2025/119468.

148

151

Lantmäteriets arbete med säkerhetsskydd

samsyn inom projektet och hos övriga verksamhetsområden. Initialt saknades förståelsen för att projektet skulle påverka myndighetsutövningen inom Lantmäteriet då målet var att införa justeringar i det externa tillhandahållandet av information. Givet att Lantmäteriet internt använder samma tillandahållandetjänster som externa kunder uppkom därför långdragna diskussioner kring verksamhetskonsekvenserna för myndighetsutövningen internt inom Lantmäteriet. Det krävde både anpassningar av handläggningssystem, utveckling av processer och förändringsledning inom övriga verksamhetsområden. Det brast i gemensam förståelse för informationsflödet mellan verksamhetsområden, vilket orsakade att mycket fokus fick läggas på interna konsekvensutredningar. Målet för projektet var tydligt från start men det fanns oklarheter i bedömningen av informationens skyddsvärde och vad som skulle åtgärdas. Det fanns exempelvis från början tydliga meningsskiljaktigheter kring enligt vilken rättslig grund som åtgärderna skulle genomföras och vem som hade mandat att fatta beslut när den berörda informationen hanteras inom flera verksamhetsområden. Dessa olika uppfattningar tilläts existera parallellt och ”avdömdes” inte av antingen s äkerhetsskyddschef eller generaldirektör. Det fanns också olika uppfattningar om vilka leveranser som skulle ingå i projektet och var ansvaret fanns för att åtgärda konsekvenser och behov. Under lång tid var det mycket stort fokus på verksamhetskonsekvenser av föreslagna säkerhetsskyddsåtgärder snarare än på hur man skulle förbättra Sveriges säkerhet. Lantmäteriet behövde ha dialoger med berörda fastighetsägare för att tydliggöra vilken information som är skyddsvärd och vilka skyddsåtgärder som krävdes. Det medförde att projektets tidplan försköts och att kostnaderna ökade. 3. Information och kommunikation. Kommunikation har varit svårt, eftersom det krävts att man varit fysiskt på plats för vissa typer av diskussioner. Det har inte alltid varit möjligt att prata i klartext till följd av att diskussionerna rört säkerhetsklassificerad information, vilket gjorde att det kunde uppstå missförstånd. Det material som skapades inom projektet samt information som behövde kommuniceras klassificerades/bedömdes inte utifrån skyddsvärde. Det har gjort att det funnits en osäkerhet kring hanteringen av olika typer av dokument. Det har därför varit mycket diskussioner om vem som får ta del av vilken information och

149

152

Lantmäteriets arbete med säkerhetsskydd

vem som får vara med på vad. Det har också gjort att det har blivit informationsförluster på vissa ställen. Att information inte varit tillgänglig har försvårat möjligheterna att genomföra nödvändiga konsekvensbedömningar/utredningar, vilket påverkat projektets framdrift, men även påverkat myndighetens möjlighet till nödvändiga anpassningar.

8.6 Beredning av verksamhetsområdens

säkerhetsskyddsanalyser

Lantmäteriet beslutade i augusti 2024 319 att verksamhetsområdeschefer som ansvarar för säkerhetskänslig verksamhet och är ålagda att göra en säkerhetsskyddsanalys skriftligt ska samråda denna och tillhörande säkerhetsskyddsplan med verksamhetsområde Säkerhet. Lantmäteriet beslutade vidare att verksamhetsområdescheferna efter genomfört samråd ska föredra sina respektive säkerhetsskyddsanalyser och säkerhetsskyddsplaner för generaldirektören och säkerhetsskyddschefen. Motivet för beslutet var att tydliggöra verksamhetsområdeschefernas ansvar som det beskrivs i delegationsordningen för sina respektive säkerhetskänsliga verksamheter inklusive handlingarna säkerhetsskyddsanalys och säkerhetsskyddsplan. Det bedömdes också vara av stor vikt att ansvarig verksamhet säkerställer att nämnda handlingar håller en hög kvalitet, att de är fullständigt integrerade med varandra samt att identifierade säkerhetsskyddsåtgärder införs med tillräcklig prioritet och skyndsamhet. Beslutet fattades mot bakgrund av rådande säkerhetsläge där myndigheten måste försäkra sig om att alla eventuella sårbarheter som berör säkerhetsskyddet identifieras och att adekvata säkerhetsskyddsåtgärder införs skyndsamt. Som kompletterande information om arbetet med säkerhetsskyddsanalyser har Lantmäteriet uppgett följande. Ett verksamhetsområdes säkerhetsskyddsanalys ingår som ett sammanhållet avsnitt i myndighetens säkerhetsskyddsanalys och fastställs som en del av detta dokument av generaldirektören, det vill säga analyserna fastställs inte per verksamhetsområde. Säkerhets-

319 Beslut den 16 augusti 2024, LM2024/029736. En första version beslutades i januari 2024 enligt uppgift från Lantmäteriet.

150

153

Lantmäteriets arbete med säkerhetsskydd

skyddschefen påverkar genom att delta i de möten där verksamhetsområdeschefen presenterar sin säkerhetsskyddsanalys för generaldirektören. Dessutom fastställer säkerhetsskyddschefen verksamhetsområdets säkerhetsskyddsplan som en del av myndighetens. Det innebär en möjlighet till indirekt påverkan, eftersom alla ingående sårbarheter och åtgärder i säkerhetsskyddsplanen ska vara identifierade 320 redan i säkerhetsskyddsanalysen.

8.7 Senare säkerhetsskyddsanalyser

8.7.1 En delvis uppdaterad säkerhetsskyddsanalys 2022

Lantmäteriet fastställde en ofullständigt uppdaterad säkerhetsskyddsanalys den 16 juni 2022. Av den framgår bland annat föl- 321 jande. Det har identifierats säkerhetsskyddsklassificerade uppgifter i Lantmäteriets informationsgrupper. Sekretessbedömning vid ärendemottagningar och vid begäran om utlämnande av allmän handling har förbättrats men behöver utvecklas ytterligare. Vidare tillhandahålls fortfarande säkerhetsskyddsklassificerade uppgifter i digitala tjänster. Dessutom är ansvaren för tilldelning och uppföljning av behörigheter samt hantering av loggar otydliga. Även här pågår prioriterade insatser för att bättre kontrollera utflödet. För att framgångsrikt kunna genomföra nödvändiga åtgärder måste flera utmaningar hanteras. Bland annat att det fortfarande finns delvis olika syn på vad som är säkerhetsskyddsklassificerade uppgifter i olika delar av myndigheten. Vidare krävs stora verksamhetsförändringar och därmed också aktivt förändringsledarskap exempelvis för nya beteenden som att alltid granska och göra sekretessbedömning innan utlämnande.

Fortfarande uppges, liksom redan i säkerhetsskyddsanalysen 2020, att säkerhetsskyddsklassificerade uppgifter finns lagrade i leveranslagren, vilket innebär att informationen tillhandahålls. Det anges vidare bland annat att säkerhetsskyddsklassificerade uppgifter tillhandahålls ihop med övrig information via produkter och uttag av både fastighetsinformation och akter samt att det finns brister i bedömningen före utlämnande. 322

320 Information från Lantmäteriet i december 2025. 321 Lantmäteriets säkerhetsskyddsanalys, fastställd den 16 juni 2022, LM 2022/031377, s. 4, 9 och 12. 322 Säkerhetsskyddsanalysen 2022. s. 31.

151

154

Lantmäteriets arbete med säkerhetsskydd

Även säkerhetsskyddsanalysen från 2022 beskriver en mängd säkerhetsskyddsåtgärder av likartat slag som angavs redan 2020, såsom att säkerställa att tillhandahållandesystemen inte innehåller säkerhetsskyddsklassificerade uppgifter, att införa en bedömning av om sådana uppgifter förekommer före tillhandhållande och att identifiera och lyfta ut arkivakter som innehåller sådan information ur 323 Arken.

8.7.2 Säkerhetsskyddsanalyser 2023 och 2024

Den 1 november 2023 324 respektive den 18 september 2024 325 fastställdes nya säkerhetsskyddsanalyser i samband med svar på begäran från Säkerhetspolisen inom ramen för den då pågående tillsynen.

8.7.3 Säkerhetsskyddsanalys 2025

Den 27 juni 2025 fastställdes en ny säkerhetsskyddsanalys. Av den framgår till stora delar samma problematik som tidigare, det vill säga att det finns säkerhetsskyddsklassificerade uppgifter hos Lantmäteriet samt att det fortfarande finns ett behov av att hantera detta i systemen.

8.8 Övrigt om Lantmäteriets arbete med

säkerhetsskyddsfrågor

8.8.1 Lantmäteriets årsredovisningar med mera

En riskformulering som återkommer hos Lantmäteriet genom åren är att myndigheten inte uppfyller kraven i säkerhetsskyddslagstiftningen. Som exempel på vad som i olika dokument anförs i detta sammanhang, särskilt i myndighetens årsredovisningar, kan följande nämnas.

323 Säkerhetsskyddsanalysen 2022, s. 34 och 44. 324 LM2024/001418. 325 LM2024/053674.

152

155

Lantmäteriets arbete med säkerhetsskydd

• Fortsatt fokus på den interna uppbyggnaden av en säkerhetskultur. Den är en nyckelfråga för att lyckas att svara mot kraven i lagstiftningen. 326 • Verksamheternas interna säkerhetsskyddsarbete är betydelsefullt för att stärka säkerhetsskyddskompetensen i hela Lantmäteriet. Med säkerhetsskyddsanalysen som grund konstateras att insatser för att omhänderta de sårbarheter som identifierats i analysen drivs genom verksamhetsområdenas säkerhetsskyddsplaner. Planerna följs upp kontinuerligt. Ett skyndsamt genomförande av åtgärder kommer även fortsättningsvis att kräva en tydlig intern prioritering av de verksamheter som bedriver säkerhetskänsligt 327 arbete. • För att omhänderta de sårbarheter som identifierades i säkerhetsskyddsanalysen (2022) finns åtgärder i respektive verksamhetsområdes säkerhetsskyddsplaner. För de verksamheter som bedriver säkerhetskänsligt arbete är detta prioriterat. Myndigheten har under året följt upp säkerhetsskyddsplanerna kontinuerligt. Säkerhetspolisen har under året genomfört en tillsyn av Lantmäteriets regelefterlevnad kopplat till säkerhetsskyddslagen. De två brister som identifierades var att myndigheten inte färdigställt en av säkerhetsskyddsplanerna och saknade en så kallad indexering av säkerhetsskyddsanalysen enligt Säkerhetspolisens vägledning. Bristerna har åtgärdats och detta har återrapporterat till Säkerhetspolisen. 328 • Lantmäteriet hade planerat att under året (2024) fokusera på att ta fram och revidera ramverk för säkerhet och säkerhetsskydd samt beredskap. På grund av den särskilda händelsen har detta arbete prioriterats ned för att frigöra resurser. I syfte att höja säkerhetsmedvetandet hos samtliga medarbetare har resurser lagts på att skapa utbildnings- och informationsmaterial inom området. Myndighetsintern tillsyn inom området har påbörjats men inte genomförts enligt plan under året. Lantmäteriet har under 2024 arbetat med att uppdatera säkerhetsskyddsanalysen och tillhörande säkerhetsskyddsplan. Det är en av de åtgärder som genomförts under året för att minska risken att inte möta kraven i

326 Lantmäteriets årsredovisning 2020, LM2020/029855, s. 58. 327 Lantmäteriets årsredovisning 2022, LM2022/062197, s. 48 – 49. 328 Lantmäteriets årsredovisning 2023, LM2023/062562, s. 43.

153

156

Lantmäteriets arbete med säkerhetsskydd

säkerhetsskyddslagstiftningen. Insatser för att omhänderta de sårbarheter som identifierats i analysen drivs genom verksamhetsområdenas säkerhetsskyddsplaner. Dessa har följts upp under året men inte i den omfattning som var planerat. Ett skyndsamt genomförande av åtgärder kommer även fortsättningsvis att kräva en tydlig intern prioritering av de verksamheter som bedri- 329 ver säkerhetskänslig verksamhet.

8.8.2 Säkerhetsskyddsarbetet sedan hösten 2024

330

Efter stängningen av de externa arkivtjänsterna i maj 2024 har myndighetsledningen drivit frågan om att skyndsamt på nytt öppna tjänsterna till en mindre krets myndighetsanvändare. Detta har hittills inte visat sig vara möjligt på grund av att det fortfarande inte kan uteslutas att säkerhetsskyddsklassificerade uppgifter kan förekomma i sådana tjänster. Ett högt prioriterat arbete pågår därför inriktat på att kunna utesluta en sådan förekomst. Arbetet inkluderar dialoger och avstämningar med ett stort antal externa aktörer. Arbetet beräknas slutföras under det första kvartalet 2026 då ställning ska tas om ett begränsat externt öppnande av arkivtjänsterna är lämpligt och säkert. Lantmäteriets säkerhetsskyddsanalys och säkerhetsskyddsplan reviderades under våren 2025 och fastställdes i slutet av juni samma år. 331 Arbetet genomfördes som ett uppdrag under ledning av säkerhetsorganisationen. Berörda verksamhetsområden deltog. Planen var ursprungligen att en fullständig revidering av säkerhetsskyddsanalysen skulle genomföras redan 2024 men den särskilda händelsen medförde att andra aktiviteter prioriterades. Ett arbete kopplat till en säker IT-driftsmiljö är enligt Lantmäteriet av yttersta betydelse för att förbättra det faktiska säkerhetsskyddet. Aktiviteterna berör flera verksamhetsområden och samordnas sedan hösten 2025 i 332 uppdraget Samordning Färdplan Intåget. När det gäller utbildning inom säkerhetsområdet har prioriteringen varit en nanoutbildning om informationssäkerhet för alla medarbetare, att ta fram en försvarssekretessutbildning, i huvudsak

329 Lantmäteriets årsredovisning 2024, LM2025/006013, s. 20 – 21. 330 Texten är hämtad från den promemoria från Lantmäteriet som nämns i avsnitt 8.1. 331 LM2025/088391 och LM2025/090853. 332 LM2025/130776.

154

157

Lantmäteriets arbete med säkerhetsskydd

för granskningsgrupperna, vägledning rörande sekretess främst som stöd för pågående projekt samt material för och genomförande av informationssäkerhetsmånaden såväl 2024 som 2025, en utbild- 333 ningsinsats riktat till samtliga medarbetare.

333 Se kapitel 9.

155

159

9 Lantmäteriets arbete med

informationssäkerhet

9.1 Kapitlets innehåll

I detta kapitel redovisas Lantmäteriets arbete med informationssäkerhet såvitt avser bland annat ledningssystem för informationssäkerhetsarbetet, det strategiska och taktiska arbetet och informationsklassning och dessutom något om myndighetens ekonomiska 334 resurser för informationssäkerhet. Arbetet under 2024 redovisas i kapitel 13.

9.2 Ledningssystem för informationssäkerhetsarbete

9.2.1 Allmänt om Lantmäteriets ledningssystem för informa-

tionssäkerhetsarbete

Lantmäteriet har ett ledningssystem för informationssäkerhet (LIS) som är baserat på den allmänt vedertagna informationssäkerhetsstandarden. 335 LIS innehåller den övergripande informationssäkerhetspolicyn, riktlinjer, instruktioner, metodstöd och allmänna beskrivningar som stöd för hur informationssäkerhetsarbetet ska bedrivas inom Lantmäteriets olika verksamhetsområden. LIS är ett stöd för hur informationssäkerhetsarbetet styrs i verksamheten. Det konkretiserar Lantmäteriets informationssäkerhetspolicy och ska skapa förutsättningar för ett systematiskt informationssäkerhetsarbete. LIS ska vara en integrerad del av organisationens processer. Övergripande ledningsstruktur och informa-

334 Texten bygger delvis på Lantmäteriets PM till utredningen Strukturerat informationssäkerhetsarbete den 21 november 2025, LM2025/051647. 335 SS-EN ISO/IEC 27001:2017 och ISO/IEC 27002:2017.

157

160

Lantmäteriets arbete med informationssäkerhet

tionssäkerhet ska beaktas i utformningen av processer, IT-system och säkerhetsåtgärder. 336 Ansvaret för informationssäkerhetsarbetets olika delar beskrivs i Lantmäteriets delegationsordning och myndigheten följer MCF:s metodstöd. 337 Lantmäteriets LIS ska innehålla processer och metoder inom minst ett antal områden, bland annat informations- 338 klassning. Det nuvarande ledningssystemet är beslutat 2022. Uppdateringar har gjorts under 2023.

9.2.2 Struktur över Lantmäteriets LIS

Skissen på nästa sida visar Lantmäteriets nuvarande LIS-struktur.

336 Lantmäteriets riktlinje för Ledningssystem för informationssäkerhet, beslutad den 30 juni 2022, LM2022/033815. 337 Avsnitt 2 riktlinjen. Se även avsnitt 3.3.2. 338 Avsnitt 3.2 riktlinjen.

158

161

Lantmäteriets arbete med informationssäkerhet

159

162

Lantmäteriets arbete med informationssäkerhet

9.2.3 Lantmäteriets informationssäkerhetspolicy

Informationssäkerhetspolicyn 339 beskriver de principer som gäller för informationssäkerhet. Informationssäkerhet innebär att Lantmäteriet hanterar information utifrån krav på konfidentialitet, riktighet och tillgänglighet. Informationen ska inte bara skyddas från att hamna i orätta händer, man ska också kontrollera att den inte förstörs eller förvanskas och se till att den finns tillgänglig när den behövs. Lantmäteriets mål för informationssäkerhet är bland annat att arbetet med informationssäkerhet är en naturlig del i verksamheten, att alla medarbetare ska veta vad det egna ansvaret omfattar gällande informationssäkerhet, och att alla informationstillgångar är beskrivna och klassificerade enligt framtagna metoder. Vidare anges att en förutsättning för ett strukturerat arbete med informationssäkerhet är att arbetet är verksamhetsdrivet samt att information och informationssystem är beskrivna och har utpekade ägare.

9.3 Strategiskt och operativt informationssäkerhets-

arbete

9.3.1 Hur hanteras informationssäkerheten organisatoriskt

inom myndigheten?

Inom verksamhetsområde Säkerhet finns en central informationssäkerhetsfunktion som ansvarar för att samordna övergripande frågor om informationssäkerhet. Funktionen förvaltar och vidareutvecklar LIS och tillhandahåller allmänt verksamhetsstöd på strategisk och taktisk nivå om informationssäkerhetsfrågor. Arbetet leds av informationssäkerhetschefen. Enligt Lantmäteriet har bemanningen av informationssäkerhetsfunktionen under de senaste åren varit bristfällig och bestod under perioden oktober 2024 till augusti 2025 av endast en informationssäkerhetshandläggare. Under hösten 2025 har teamet successivt nått följande bemanning: • En informationssäkerhetschef

339 Lantmäteriets informationssäkerhetspolicy den 27 juni 2025, LM2025/090735.

160

163

Lantmäteriets arbete med informationssäkerhet

• Fyra informationssäkerhetshandläggare varav två också är dataskyddssamordnare

De båda dataskyddssamordnarna har tidigare varit organiserade under ett annat verksamhetsområde och kom till informationssäkerhetsteamet som resultat av en organisationsförändring som genomfördes under hösten 2025.

9.3.2 Två informationssäkerhetsforum

Det finns två forum inom Lantmäteriet som hanterar informationssäkerhet, ett strategiskt och ett taktiskt. Det strategiska informationsägarforumet består av generaldirektören, ställföreträdande generaldirektören, chefsjuristen och bland andra cheferna för verksamhetsområdena Säkerhet, Fastighetsinskrivning, Fastighetsbildning, Geodata och UIT. 340 Det strategiska forumet omhändertar de identifierade verksamhetsområdesgränsöverskridande frågeställningarna och fattar beslut inom respektives delegation för att lösa identifierade hinder. Forumet är enligt Lantmäteriet en viktig del i det systematiska informationssäkerhetsarbetet. Forumet uppdateras kontinuerligt om bland annat framtagna regelverk (exempelvis LIS), uppföljningar med mera. Det strategiska forumet bereder frågor för presentation och beslutsfattande i Lantmäteriets ledningsgrupp. Forumet har under 2025 haft möten var tredje vecka. Under 2026 kommer mötena att hållas månadsvis. Forumet är inte uttryckligen reglerat i Lantmäteriets arbetsordning eller delegationsordning. Det taktiska informationsägarforumet bildades i februari 2022 och ersatte, i kombination med det strategiska informationssäkerhetsforumet, den tidigare samordningsgrupp som funnits för att ta hand om frågor som rörde pågående informationssäkerhetsprojekt. Möten hölls från början en gång i månaden, men under hösten 2025 har möten hållits varannan vecka. Deltagare består i huvudsak av operativa informationsägare. Informationssäkerhetschefen ansvarar för forumet. Agenda och anteckningar förs på Lantmäteriets Wiki.

340 Enligt odaterat dokument från Lantmäteriet med rubriken Strategiskt informationssäkerhetsforum.

161

164

Lantmäteriets arbete med informationssäkerhet

När det taktiska informationssäkerhetsforumet bildades togs följande beskrivning fram: 341 Det taktiska forumet identifierar verksamhetsområdesöverskridande frågeställningar, bereder underlag för att lösa hinder. De deltagande från respektive verksamhetsområde ska meddela behov/önskemål om ställningstaganden, beskrivningar, utbildningar med mera till Lantmäteriets informationssäkerhetsansvarige. Det taktiska forumet tittar på de projekt, utredningar och annat som pågår för att identifiera beröringspunkter, problem, möjlighet till synergier med mera. Lantmäteriets informationssäkerhetsansvarige informerar om framtagna regelverk, uppföljningar med mera.

9.3.3 Operativt informationssäkerhetsarbete

Grunden för det operativa informationssäkerhetsarbetet inom Lantmäteriet är att informationstillgångar ska vara identifierade och att det ska finnas ett tydligt ägarskap för de olika informationstillgångarna. I Lantmäteriets LIS definieras informationstillgångar som information, applikationer och inventarier. LIS innehåller riktlinjer och metodstöd för flera områden där styrning och stöd krävs för det operativa informationssäkerhetsarbetet. Informationsklassningen är en central del och det operativa arbetet inom övriga områden är i hög utsträckning beroende av resultatet av genomförda informationsklassningar.

9.4 Informationsklassning inom Lantmäteriet

Sedan 2006 har riskanalyser om information och applikationer genomförts. Med start 2009 har rudimentär klassning av information och applikationer gjorts och sedan dess har metodiken fortlöpande vidareutvecklats och anpassats utifrån Lantmäteriets specifika verksamhet. Metodiken följer MCF:s rekommendationer. De senaste fem åren har det funnits metod- och faciliteringsstöd i form av ”klas sare” inom Lantmäteriets verksamhetsområden som kan facilitera själva klassningsprocessen. Det är informationsägaren som ansvarar för att informationen klassas och för resultatet av klassningen. Klassning genomförs alltid i ett sammanhang, oftast utifrån en verksamhetsprocess eller en IT-lösning. Vid klassningen identifieras

341 Information från Lantmäteriet i december 2025.

162

165

Lantmäteriets arbete med informationssäkerhet

de informationsmängder som behandlas. De klassas utifrån aspekterna konfidentialitet, riktighet och tillgänglighet. Informationen klassas enligt en skyddskala 0 till 4, där 4 anges om informationen innehåller eller kan innehålla säkerhetsskyddsklassificerade uppgifter i enlighet med säkerhetsskyddslagen. Om en klassning resulterar i att en informationsmängd ges skyddsvärde 4, går klassningsarbetet vidare till en analys för att fastslå om, och i så fall vilken säkerhetsskyddsklassificering som ska gälla. Hur det görs framgår av Lantmäteriets metodstöd för informationsklassning som är en del av LIS. Beslut om och uppdelning av informationsägarskap framgår av ett särskilt dokument. 342 I det finns en tabell som beskriver hur informationsägarskapet är fördelat till roller eller personer enligt delegeringsbeslut som finns publicerade på Insikten. Bland annat framgår vem som är strategisk och operativ informationsägare för en angiven informationsmängd. Resultatet av informationsklassningen dokumenteras på Lantmäteriets Wiki. Det sker inte någon central avrapportering av genom- 343 förda informationsklassningar.

9.5 Cybersäkerhetskollen

Lantmäteriet har genomfört Cybersäkerhetskollen, i vilken Infosäkkollen ingår, vid fyra tillfällen sedan 2021. 344 Myndigheten hade vid Cybersäkerhetskollen 2024 höjt sig från nivå 1 till nivå 2 (skala 0 – 4) sedan mätningen 2023. Med hjälp av det verktyget har man identifierat att arbetet med uppföljning samt att höja kunskapen hos medarbetarna behöver utvecklas. En åtgärd som genomförts är att införa ett verktyg för nanoutbildningar i informationssäkerhet. Det är korta utbildningar som skickas direkt till samtliga medarbetares mejl en gång per månad och de följs upp efter genomförda utbildningar med enkla tester. En annan åtgärd som genomförts är uppföljning inom olika delar på informationssäkerhetsområdet exempelvis i fråga om informationsklassningar och incidenthantering. Arbetet med informationssäkerhet har inte gått enligt plan. Det be-

342 Beslut och uppdelning, senast uppdaterat den 24 oktober 2025. 343 Information från Lantmäteriet i december 2025. 344 MCF har i januari 2026 ännu inte presenterat resultatet för 2025. Uppgiften kommer från Lantmäteriet.

163

166

Lantmäteriets arbete med informationssäkerhet

ror dels på arbetet med den särskilda händelsen, dels på att den tidigare informationssäkerhetschefen slutat. Uppdateringen av LIS har inte kunnat komma i gång som planerat. Vidare noteras att incidentrapporteringen har ökat, från 132 år 2023 till 193 år 2024, vilket troligen beror på ökad medvetenhet bland medarbetarna som en följd av utbildningsinsatserna inom området. Som exempel på planerade och genomförda aktiviteter under 2024 har angetts bland annat att ett antal stora informationsklassificeringar och riskanalyser för informationssäkerhet genomförts, exempelvis av ekonomi- 345 systemet. Vid mätning 2025 har mognadsnivån i Cybersäkerhetskollen sjunkit och ligger på nytt på nivå 1. Det beror enligt Lantmäteriet främst på att uppföljning och utvärdering inte prioriterats, eftersom de resurser som skulle arbeta med detta i stället behövde ägna sig åt den särskilda händelsen. Informationssäkerhetsfunktionen bestod dessutom endast av en informationssäkerhetshandläggare och var således underbemannad. 346

9.6 Uppföljningar av informationssäkerhetsarbetet

2025

Lantmäteriet planerade för uppföljningar av informationssäkerhetsarbetet under 2025, vilket framgår av ett dokument upprättat i juni 2025. 347 Planeringen grundade sig på två rekommendationer i intern- 348 revisionens revisionsrapport Cybersäkerhet. Planeringen innebär på strategisk nivå bland annat att myndigheten ska delta i MCF:s mognadsdialog vartannat år. 349 På taktisk nivå innebär planeringen att en rapport om informations- och IT-säkerhetsincidenter från hela Lantmäteriet tas fram varje månad. Detsamma gäller hur många som har gått de obligatoriska nanoutbildningarna i Informationssäkerhet.

345 Lantmäteriets årsredovisning 2024, LM2025/0006013, s. 21 och 68. 346 Information från Lantmäteriet i december 2025. 347 Dokument den 30 juni 2025 med rubriken ”Säkerhet och säkerhetsskydd redovisning av åtgärder kopplat till IR- rapporter”. Det framgår inte vem som upprättat dokumentet eller i vilket sammanhang, vår anmärkning. 348 Se avsnitt 10.4 . 349 Detta har enligt information från Lantmäteriet i december 2025 varit avsikten men inte hunnits med.

164

167

Lantmäteriets arbete med informationssäkerhet

9.7 Ekonomiska resurser för informations-

säkerhetsarbetet

Lantmäteriet har uppgett att myndigheten de senaste åren för regeringen har påtalat behovet av finansiering av säkerhetsrelaterade frågor och gett in budgetunderlag för åren 2022 – 2028 för att visa det. I budgetunderlaget för 2022 – 2024 anförs bland annat följande under 350 rubriken Säkerhetsskydd.

En ny säkerhetsskyddslag trädde i kraft den 1 april 2019. Den nya lagen ställer tydligare och mer omfattande krav på myndigheter som bedriver säkerhetskänslig verksamhet. Den innebär bland annat att man inventerar och klassificerar IT-system och information. Lantmäteriet bedriver säkerhetskänslig verksamhet. Myndigheten måste därför kartlägga och bedöma sina skyddsvärden, inventera och klassificera sina informationstillgångar och IT-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet. Lantmäteriet behöver även förstärka strukturen för säkerhets- och säkerhetsskyddsområdet vilket medför ett ökat resursbehov. Säkerhetsskyddsanalys, risk- och sårbarhetsanalys och inträffade incidenter visar att ett ökat fokus på området behövs under de kommande åren. Omvärlden har förändrats, vilket ger myndigheter i Sverige nya utmaningar också inom IT-driftområdet. Det säkerhetspolitiska läget, domar på EU-nivå, ny säkerhetsskyddslagstiftning och cyberhot ställer helt nya krav. Områden som informationssäkerhet, IT-säkerhet, robusta datahallar och IT-miljöer, säkerhetsskydd samt regeluppfyllnad måste stärkas inom myndighetsvärlden. Det blir allt svårare och mer kostsamt för enskilda myndigheter att uppfylla alla krav. Därför ökar behovet av samverkan inom IT-drift/IT-tjänsteområdet. För att möta detta behöver Lantmäteriet investera ytterligare för en säker statlig IT-drift och informationshantering för egen del och i samverkan med andra. Lantmäteriet betonar också att man i remissvar angående betänkandet Kompletteringar till den nya säkerhetsskyddslagen, SOU 2018:82 , 351 framfört bedömningen att ett genomförande av de nya säkerhetsskyddsreglerna kunde få betydande konsekvenser för myndigheten. Lantmäteriet anförde att myndigheten totalt för området behövde tillföras finansiering med minst 25 miljoner kronor 2022 och minst 28 miljoner kronor årligen 2023 – 2024.

Liknande argumentation finns i budgetunderlaget för 2024 – 2026, 352 där även behovet av ökade resurser för sekretessgranskning av ärenden betonas. Lantmäteriet anförde också bland annat att ytterligare resurser för att stärka upp säkerhetsorganisationen be-

350 Budgetunderlag för Lantmäteriet 2022 – 2024 den 17 februari 2021, LM2020/029216, s. 6 f. 351 Lantmäteriets remissvar till Justitiedepartementet den 8 april 2019, LM2019/000218. 352 Budgetunderlag för Lantmäteriet 2024 – 2026 den 21 februari 2023, LM2023/001224, s. 6 – 7.

165

168

Lantmäteriets arbete med informationssäkerhet

hövdes och begärde för det ändamålet ett tillskott om minst 10 miljoner kronor årligen. I budgetunderlaget för 2025 – 2027 353 begärde myndigheten 14 miljoner kronor årligen för ökade kostnader för primärsite med anledning av förstärkning i enlighet med kraven i säkerhetsskyddslagstiftningen, ny sekundärsite och förstärkning av verksamhetsskyddet utifrån verksamhetens säkerhetsskyddsanalys. I myndighetens senaste budgetunderlag 354 , som avser 2026 – 2028, begär Lantmäteriet 33,2 miljoner kronor för myndighetens säkerhetsarbete 2026, 33 miljoner kronor för 2027 och 29 miljoner kronor för 2028. I dessa belopp är inkluderat bland annat kart- och bildsekretess och insamling av aktuell geografisk information. För posterna säkerhets- och verksamhetsskydd för fysiska lokaler med mera begärs totalt 10 miljoner kronor, 15 miljoner kronor respektive 11 miljoner kronor. Lantmäteriet har även i en särskild hemställan fört fram ett behov av medel för ökade kostnader för granskning och utlämnande av arkivakter och föreslagit att myndigheten genom vårändringsbudgeten 355 för 2025 ska tillföras 30 miljoner kronor. Regeringen har mot bakgrund av Lantmäteriets särskilda yrkanden tillfört myndigheten följande medel: • 3,5 miljoner kronor årligen från och med 2023 i samband med att myndigheten blev beredskapsmyndighet. 356 • 5 miljoner kronor 2025, 6 miljoner kronor 2026, 8 miljoner kronor 2027 och 10 miljoner kronor per år från och med 2028 för att stärka Lantmäteriets arbete med civilt försvar. 357 Förstärkningen avsåg specifikt Lantmäteriets arbete med att öka robusthet, skydda särskilt utpekade verksamhetsorter med mera, utbildningssatsningar och tillhandahållande av kartunderlag till det civila försvaret. 358

353 Budgetunderlag för Lantmäteriet 2025 – 2027 den 29 februari 2024, LM2024/001765, s. 7 – 8. 354 Budgetunderlag för Lantmäteriet 2026 – 2028 den 3 mars 2025, LM2025/006386, s. 8 355 Hemställan om medel för ökade kostnader för granskning och utlämnande av arkivakter den 23 januari 2025, LM2025/007519. 356 Prop. 2022/23:1 Utgiftsområde 18, sid 33. 357 Prop. 2024/25:1 Utgiftsområde 18, sid 37. 358 Prop. 2024/25:1 Utgiftsområde 18, sid 28.

166

169

Lantmäteriets arbete med informationssäkerhet

• 30 miljoner kronor 2025 för ökat behov av manuell granskning för att hantera myndighetens ärenden om utlämnande av allmänna handlingar samt för viss teknisk utredning och utveckling. 359 • 20 miljoner kronor 2026 för att möta det ökade behovet av manuell granskning för att hantera ärenden om utlämnande av allmänna handlingar och för viss teknisk utredning och utveckling. 360

359 Prop. 2024/25:99, sid 47 360 Prop. 2025/26:1 Utgiftsområde 18, s. 35.

167

171

10 Några granskningar av arbetet

med informationssäkerhet med

mera

10.1 Kapitlets innehåll

Kapitlet beskriver några externa och interna granskningar av Lantmäteriets arbete med informationssäkerhet. Området är brett och det finns ytterligare granskningar, exempelvis inom området dataskydd, som tas upp i andra kapitel.

10.2 Riksrevisionen

10.2.1 Åren 2005 – 2007

Under dessa år granskade Riksrevisionen arbetet med informationssäkerhet på elva statliga myndigheter, däribland det dåvarande Lantmäteriverket. Granskningen mynnade för Lantmäteriverkets del ut i en rapport. 361 I rapporten från 2006 konstaterade Riksrevisionen att det vid Lantmäteriverket fanns flera fungerande delar av ett ledningssystem för informationssäkerheten men att vissa delar av ledningssystemet inte var tillräckligt väl utvecklade. Granskningen visade att ledningens informationssäkerhetsarbete hade tre huvudsakliga brister; ansvarsfördelningen var oklar, riskanalysarbetet hade inte fullföljts

361 Riksrevisionens rapport Granskning av Lantmäteriets interna styrning och kontroll av informationssäkerheten den 29 november 2006, RiR 2006:26. I sammanhanget kan även nämnas en senare rapport, Riksrevisionens rapport Informationssäkerheten i den civila statsförvaltningen den 10 november 2014, RiR 2014:23. I den granskningen ingick inte Lantmäteriet. Rapporten visade att det fanns påtagliga brister i arbetet med informationssäkerhet hos de granskade myndigheterna och att regeringen inte utövat en effektiv styrning.

169

172

Några granskningar av arbetet med informationssäkerhet med mera

och uppföljningen var inte systematisk. Det saknades till exempel en tydligt utpekad ansvarig för uppföljning av att beslutade säkerhetsåtgärder införts. Bristerna innebar bland annat att myndighetens ledning inte ansågs ha tillräckligt stöd eller tillräckliga hjälpmedel för att skapa överblick över, leda och följa upp informationssäkerheten. Sammantaget innebar bristerna att myndigheten inte fullt ut arbetade systematiskt med sin informationssäkerhet utifrån gängse normer.

10.2.2 Granskning av nio myndigheter 2016

Som ett led i Riksrevisionens granskning av hur nio myndigheter, däribland Lantmäteriet, arbetade med sin informationssäkerhet gjorde Riksrevisionen en enkätundersökning under 2015. Av Lantmäteriets svar på undersökningen framgår bland annat följande. 362 Myndighetens bedömning var att den informationssäkerhetspolicy som fanns delvis efterlevdes i praktiken. När det gällde frågan om ledningssystemet för informationssäkerhet följdes upp systematiskt och regelbundet (och alltså inte ad hoc), så att det säkerställdes att beslutade åtgärder genomförts, var svaret nej. Vidare angav Lantmäteriet att man delvis följde standarderna för 363 informationssäkerhet. Det avsnitt som saknades i nuvarande LIS skulle enligt myndigheten tas fram till nästa års revidering av LIS. På fråga om det fanns en tydligt utpekad person eller befattning som ansvarade för att följa upp säkerhetsåtgärder svarade Lantmäteriet nej. Svaret var detsamma på frågan om myndigheten hade säkerställt att nyckelpersoner för informationssäkerheten fick tillräcklig och återkommande utbildning inom området. Lantmäteriet angav vidare att övrig personal inte utbildas i frågor som rör informationssäkerhet, det var endast nyanställda som omfattades av sådan utbildning. Utbildningen hölls en gång under det första anställningsåret. Lantmäteriet angav samtidigt att man förberedde en interaktiv utbildning för informationssäkerhet, riktad till alla anställda. Under rubriken Riskanalys redogjorde Lantmäteriet för denna, bland annat med en skiss över processen, och angav att myndigheten

362 Svar på Riksrevisionens enkätundersökning den 23 november 2015, dnr 101 – 2015/4311. 363 Se avsnitt 3.3.2.

170

173

Några granskningar av arbetet med informationssäkerhet med mera

behövde bli mycket bättre på att följa upp informationssäkerhetsåtgärder. På fråga om samtliga informationstillgångar klassificerades efter en bedömning av vilken skyddsnivå som är lämplig sett till värdet av informationen och de hot som omger den svarade Lantmäteriet nej och uppgav att informationen klassificerades vid behov, såsom när en ny teknisk lösning tas fram eller inför genomförande av risk- och sårbarhetsanalyser. Vidare angav myndigheten att skyddskrav och vidtagna skyddsåtgärder inte framgick av förteckningen av informationstillgångar. Lantmäteriet uppgav vidare att det inte fanns en övergripande plan för informationssäkerheten. Det framgår vidare av svaret att det inte fanns en kontinuitetsplan som täckte all verksamhet. Det fanns inte heller en samlad och uppföljningsbar plan över nya säkerhetsåtgärder (åtgärdsplan) som gjorde det möjligt för myndighetsledningen att informera sig om vilka beslutade åtgärder som genomförts och kontrollerats. Vidare fanns inte heller en samlad lägesbild över informationssäkerheten, omfattande risker, skyddsåtgärder och händelser. Riksrevisionens granskning mynnade ut i en rapport. 364 Av rapporten framgår sammanfattningsvis följande. Riksrevisionens samlade slutsats var att arbetet med informationssäkerhet på de granskade nio myndigheterna låg på en nivå som var märkbart under vad som var tillräckligt. En viktig förklaring till det var att förståelsen för vikten av en god informationssäkerhet överlag var alltför liten. Det fick till följd att arbetet med informationssäkerhet inte blev tillräckligt prioriterat i förhållande till riskerna. Det gällde såväl för regeringen, som borde kunnat vara tydligare med att styra myndigheterna i frågan, som för myndigheternas ledningar, som inte prioriterat arbetet med informationssäkerhet i den utsträckning som krävs. Mycket tydde på att det var svårt för många myndigheter att få till stånd ett ändamålsenligt informationssäkerhetsarbete.

10.3 Säkerhetspolisen

Säkerhetspolisen är tillsynsmyndighet över att bland andra Lantmäteriet följer säkerhetsskyddslagen och de föreskrifter som har med-

364 Riksrevisionens rapport Informationssäkerhetsarbete på nio myndigheter – en andra granskning av informationssäkerhet i staten den 4 maj 2016, RiR 2016:8.

171

174

Några granskningar av arbetet med informationssäkerhet med mera

delats i anslutning till lagen. Lantmäteriets säkerhetsskyddsanalys 2020 granskades av Säkerhetspolisen vid en tillsyn. Vid tillsynen identifierades brister i säkerhetsskyddsanalysen som åtgärdades. Därefter avslutades tillsynsärendet. I ett senare tillsynsärende har Säkerhetspolisen granskat Lantmäteriets personalsäkerhet. Vid tillsynen identifierades brister som också åtgärdades, och därefter avslutades tillsynsärendet. Mot bakgrund av att de uppmärksammade överträdelserna upphört fann tillsynsmyndigheten inte några skäl att förelägga myndigheten att vidta åtgärder. Säkerhetspolisen har även för närvarande ett pågående tillsynsärende som gäller informationssäkerheten och regelefterlevnaden hos Lantmäteriet. 365

10.4 Internrevisionens granskning av cybersäkerhet

I internrevisionens revisionsrapport 2023 366 berörs den granskning av cybersäkerheten som revisionen uppdragit åt Öhrlings PricewaterhouseCoopers AB (PwC) att utföra. Den avsåg förutsättningarna för medarbetare vid Lantmäteriet att upprätthålla en god 367 cybersäkerhet. Granskningen omfattade även en övergripande utvärdering av Lantmäteriets processer för incidenthantering och kontinuitetshantering. Granskningen ingick i den av styrelsen beslutade revisionsplanen för 2023. Granskningen syftade till att bedöma om Lantmäteriet skapat förutsättningar för myndighetens medarbetare att kunna upprätthålla en god cybersäkerhet och att det gjorts med en betryggande intern styrning och kontroll. Granskningen utfördes genom intervjuer med utvalda nyckelpersoner inom Lantmäteriet med koppling till bland annat myndighetens cybersäkerhetsarbete och dokumentstudier. Den sammanfattande bedömningen var att Lantmäteriet bedriver ett arbete för att skapa förutsättningar för myndighetens medarbetare att kunna upprätthålla en god cybersäkerhet samt att det finns processer för incidenthantering som anses vara acceptabla. Lantmäteriet bedömdes ha skapat förutsättningar för myndighetens medarbetare att kunna upprätthålla en god cybersäkerhet. Dock hade flera

365 Se även avsnitt 18.6.1 angående det tillsynsansvar inom detta område som några utpekade länsstyrelser har för de kommunala lantmäterimyndigheternas informationsmängder i Arken. 366 Revisionsrapport den 4 december 2023, LM2023/063665, s. 2. 367 I rapporten används begreppen informationssäkerhet, IT-säkerhet och cybersäkerhet likartat. Detta utifrån betydelsen och definitionen säkerhet för information, rapporten s. 5.

172

175

Några granskningar av arbetet med informationssäkerhet med mera

förbättringsområden i den interna styrningen och kontrollen identifierats och åtgärder borde vidtas för att inte öka risknivån. Internrevisionen konstaterade att det fanns brister och utvecklingspotential inom området. Bland annat saknades krav på att samtliga medarbetare minst årligen genomför utbildning inom cybersäkerhet. Vidare var inte aktiviteter och uppföljningar av myndighetens informationssäkerhetsarbete tillräckligt tydliga, strukturerade och formaliserade. Under rubriken Systematisk uppföljning av informationssäker- 368 hetsarbetet anger internrevisionen bland annat följande. Utifrån genomförda intervjuer har det noterats att det finns förbättringsmöjligheter relaterade till Lantmäteriets systematiska uppföljning av myndigheternas informationssäkerhetsarbete. I granskningen har internrevisionen noterat att det inte finns tydligt definierat vilka aktiviteter och uppföljningar som ska genomföras. Enligt uppgift har Informationssäkerhet inom verksamhetsområde Säkerhet de senaste åren fokuserat på att ta fram en tydlig struktur för myndighetens ledningssystem för informationssäkerhet. I detta arbete har Lantmäteriet inte kommit till stadiet där exempelvis strukturerad och kontinuerlig uppföljning av att riktlinjer efterlevs i organisationen genomförs. Internrevisionens bedömning är att Lantmäteriet bör prioritera åtgärder för att tydliggöra vilka aktiviteter och uppföljningar av informationssäkerhetsarbetet som ska genomföras i syfte att åstadkomma en ständig förbättring.

10.5 Granskning kopplad till visselblåsarärenden

Vi har tagit del av sju visselblåsarärenden. Ett av dessa är från 2025 och saknar relevans för vår granskning. De övriga avser följande: • 12 mars 2024, anmälan att Lantmäteriet lämnar ut akter utan att de sekretessgranskas. • 4 december 2024, fem anmälningar om en film som generaldirektören lagt upp på Lantmäteriets intranät. Anmälningarna har i huvudsak samma inriktning och nämner bland annat att vissa medarbetare i filmen indirekt pekas ut som klandervärda. I en av dessa anmälningar påstås att ”slarvet med sek retess och bristerna i Arken varit kända för gd sen hon började”. Visselblåsningarna

368 Revisionsrapporten, s. 9.

173

176

Några granskningar av arbetet med informationssäkerhet med mera

innehåller även bland annat påståenden om efterforskning av vem som rapporterat om den särskilda händelsen i media.

369 Lantmäteriets styrelse beslutade den 9 december 2024 att de fem visselblåsarärenden som avsåg filmen på intranätet skulle utredas externt. Utredningen gjordes av revisions- och konsultföretaget Ernst & Young (EY) och avslutades med en rapport den 14 april 2025. 370 Syftet med utredningen anges i rapporten vara att belägga sanningshalten i påståendet om efterforskning. Utredningen syftade även till att identifiera om eventuella repressalier vidtagits med anledning av dessa uppgifter. I rapporten anges att det fanns indikationer på att efterforskning förekommit om vem som kontaktat media om den särskilda händelsen, men att det inte hade kunnat bekräftas. Vidare uppgavs i rapporten att arbetsklimatet upplevdes av ett antal intervjupersoner som negativt och att det som lyfts inte alltid tas på allvar. Det upplevdes också finnas en bristande transparens inom myndigheten där det bland annat uppfattades som att tjänsteanteckningar och minnesanteckningar inte är tillåtet.

369 Protokoll nr 14/2024, punkt 4. 370 Oberoende utredning av visselblåsarärenden rörande den interna hanteringen efter att uppgifter kopplat till den Särskilda händelsen publicerats i media i november 2024, EY.

174

177

11 Mer om Arken och

Arkenförordningen

11.1 Kapitlets innehåll

I detta kapitel finns en beskrivning av Lantmäteriets digitala förrättningsarkiv Arken. Som nämns i kapitel 1 om avgränsning av granskningsuppdraget har vi i delar av uppdraget begränsat granskningen till fastighetsbildningsakterna i Arken. Kapitlet innehåller en översiktlig beskrivning av Arken och dess tillkomst samt vad som förvaras där. Här redogörs också för den rättsliga regleringen i form av Lantmäteriets instruktion och förordningen (2011:58) om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar, den så kallade Arkenförordningen. Vidare tas några andra frågor upp som har samband med Arken.

11.2 Bakgrunden till den digitala arkiveringen

Arken är ett digitalt förrättningsarkiv som innehåller flera informationsmängder, bland annat arkivakter från fastighetsbildning (från Lantmäteriet och kommunala lantmäterimyndigheter), planakter och fastighetsinskrivningsakter. Informationsägarskapet 371 för informationen i Arken är fördelat mellan verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning och Geodata. De kommunala lantmäterimyndigheterna är enligt Lantmäteriet informationsägare för sina arkivakter. 372 Som nämnts har tillhandahållande av akter ur Arken tidigare skett genom olika digitala tjänster som sedan maj 2024 helt eller delvis är stängda.

371 Se mer om informationsägare i kapitel 5. 372 Lantmäteriets Säkerhetsskyddsanalys, LM 2025/088391, s. 27 och 30.

175

178

Mer om Arken och Arkenförordningen

Verksamhetsområde Geodata ansvarar för tillhandahållandetjänsterna både till interna och externa användare. Under år 2003 inledde Lantmäteriet ett projekt som innebar att bland annat de dåvarande lantmäterimyndigheternas förrättningsarkiv digitaliserades (skannades). De elektroniska kopiorna av pappersarkiven skulle samlas i en databas hos Lantmäteriet, Arken. År 2009 började Lantmäteriet att arkivera digitalt i detta arkiv. De kommunala lantmäterimyndigheternas digitala arkivering av akter i Arken gjordes under åren 2016 – 2020. I vilken utsträckning detta har gjorts och när varierar, bland annat utifrån när respektive kommunal lantmäterimyndighet bildades och när de valde att föra in sina akter i Arken. Den digitala arkiveringen sker genom handlägg- 373 ningssystemet Trossen. Samtliga kommunala lantmäterimyndigheter har enligt uppgift från Lantmäteriet valt att lagra sina digitala akter i Arken via Trossen men de har i varierande utsträckning skannat in sina analoga arkivakter i Arken. 374 Avsikten med den digitala arkiveringen var att underlätta för användare att ta del av informationen i arkivhandlingarna. Vidare var tanken att rationalisera fastighetsbildningsverksamheten och annan verksamhet där handlingar från till exempel lantmäteriverksamheten används, och att genom minskat slitage förbättra möjligheterna att bevara pappersarkiven. Även handlingar i förrättningsärenden, med elektronisk signatur, överfördes från Lantmäteriets handläggningssystem till Arken. 375 Utvecklingen av systemen innebär enligt uppgift från Lantmäteriet att Arken innehåller både elektroniska kopior (inskannade fysiska arkivakter) och digitala original från Trossen. 376 Innan de tjänster som kopplades till Arken stängdes för extern åtkomst hade de kommunala lantmäterimyndigheterna tillgång även till informationen i Arken i form av direktåtkomst via Trossen och AktDirekt.

373 Promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 4 – 6. Enligt information från Lantmäteriet i augusti 2025 utvecklades parallellt med detta den digitala tjänsten ArkivSök för att möjliggöra tillhandahållande av arkivakterna. 374 Information från Lantmäteriet, november 2025. 375 Promemorian Personuppgifter i Lantmäteriets databas för arkiverade handlingar, Justitiedepartementet den 31 maj 2010, s. 1 376 Information från Lantmäteriet i augusti 2025. Myndigheten har efteråt, i december 2025, emellertid uppgett att det inte är klarlagt vad som utgör digitala original och den frågan har inte heller vi utrett närmare, se vidare i kapitel 18.

176

179

Mer om Arken och Arkenförordningen

11.3 Handlingar i Arken

Lantmäteriet hanterar en mängd uppgifter om bland annat kartor, fastigheter och personer i sina olika system. Fastighetsbildningssakterna innehåller information som beskriver fastighetsindelningens beskaffenhet, både den historiska och den nu gällande. Här finns alla de beslut som tagits om ny- och ombildningar av fastigheter och upplåtelser av olika rättigheter. Akterna innehåller både kartor och tillhörande beskrivningar samt protokoll som redovisar hur förrättningarna genomfördes. Här finns den fullständiga informationen om till exempel servitut och gränser. Akterna består av ostrukturerade data i form av bildfiler som inte är sökbara. 377 De arkivhandlingar från såväl lantmäteriverksamhet som andra myndighetsbeslut som finns i Arken utgör grunden för bland annat fastighetsregistret och är att se som grundläggande geografisk information och fastighetsinformation. Handlingarna är nödvändiga beslutsunderlag för lantmäterimyndigheter och andra aktörer inom samhällsbyggnadsprocessen. 378 Arken innehåller uppskattningsvis cirka 3,8 miljoner 379 fastighetsbildningsakter och storleken på akterna kan enligt Lantmäteriet uppgå till hundra- och ibland tusentals sidor vardera. Ärendena kan sträcka sig långt tillbaka i tiden och en bedömning av skyddsvärdet och eventuell sekretess för en viss akt har gjorts i samband med arkiveringen. Det är, med hänsyn till bland annat det förändrade säkerhetsläget, inte osannolikt att bedömningar som tidigare gjorts kan vara inaktuella. Vi återkommer i avsnitt 17.8 till frågan om förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Härtill kan arkivhandlingar innehålla känsliga personuppgifter enligt dataskyddsförordningen, exempelvis om hälsa, etnicitet och sexuell läggning eller andra extra skyddsvärda personuppgifter. Lantmäteriets personuppgiftshantering i bland annat Arken beskrivs närmare i kapitel 15.

377 Jämför Beslut om kriterier för informationssäkerhetsåtgärder avseende Arken den 5 september 2024, LM2024/049935 samt säkerhetsskyddsklassificeringspromemoria LM2024/051840, s. 1. 378 Promemorian Nationellt Digitalt lantmäteriarkiv den 16 september 2024, LM2024/052370, s. 8 och 10. 379 Enligt uppgift från Lantmäteriet i december 2025 kommer cirka en halv miljon akter från de kommunala lantmäterimyndigheterna.

177

180

Mer om Arken och Arkenförordningen

Det finns stöd vid granskningen av registerutdrag ur fastighetsregistret som signalerar att uppgifter kopplade till fastigheter kan omfattas av sekretess. Sådana sekretesskyddade uppgifter kan finnas också i de handlingar som finns i Arken. Men eftersom en akt innehåller stora mängder information i ostrukturerad form, är det stöd som finns inte tillräckligt för granskning av akter. 380

11.4 Lantmäteriets instruktion i relevanta delar

Lantmäteriets uppgifter regleras i huvudsak i förordningen med instruktion för Lantmäteriet som har beskrivits närmare i kapitel 2. Till Lantmäteriets uppgifter hör bland annat att verka för en enhetlig och ändamålsenlig förrättningsverksamhet och en ändamålsenlig fastighetsindelning. Lantmäteriets uppgift är också att verka för en väl fungerande försörjning med grundläggande geografisk information och fastighetsinformation av sådan omfattning, kvalitet och aktualitet att samhällets behov tillgodoses. 381 Lantmäteriet har vidare ett nationellt samordningsansvar för produktion, samverkan, tillhandahållande och utveckling inom området för geografisk information och fastighetsinformation (geodataområdet). 382 Lantmäteriet ansvarar för uppbyggnad, drift, uppdatering och tillhandahållande av grundläggande geografisk information och fastighetsinformation, inklusive de allmänna kartorna. Lantmäteriet får bedriva viss uppdragsverksamhet, bland annat om verksamheten omfattar upprättande av fastighetsförteckning samt fastighets- och arkivutredning, myndighetssamverkan som avser uppdrag åt statliga myndigheter eller tekniskt handläggningsstöd i förrättningsproces- 383 sen.

380 Information från Lantmäteriet, december 2025. 381 2 och 3 §§ instruktionen. 382 4 § instruktionen. 383 5, 10 och 12 §§ instruktionen.

178

181

Mer om Arken och Arkenförordningen

11.5 Arkenförordningen

11.5.1 Förordningens huvudsakliga innehåll

I Arkenförordningen anges i vilka avseenden som personuppgifter får behandlas i Arken. 384 Av förordningen framgår i huvudsak följande. Förordningen gäller för Lantmäteriets databas för tillhandahållande av uppgifter i arkiverade handlingar (databasen). Databasen får innehålla bland annat personuppgifter som ingår i de statliga och de kommunala förrättningsarkiven, inklusive planer och bestämmelser som ingår i arkiven och Lantmäteriet är personuppgiftsansvarig för den behandling av personuppgifter som sker i databasen. 385 Personuppgifter får behandlas i databasen när det är nödvändigt för att tillhandahålla information som behövs för 1. rättskipning, förvaltning eller annan verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning, 2. omsättning i yrkesmässig verksamhet av sådan egendom som registreras i fastighetsregistret, 3. kreditgivning, försäkringsgivning eller annan allmän eller enskild verksamhet där informationen i databasen utgör underlag för prövning eller beslut, 4. fastighetsförvaltning, byggande eller annan liknande åtgärd, och 5. kulturvård eller forskning. 386

Personuppgifter som behandlas i databasen för dessa ändamål får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, samt för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är 387 oförenligt med det ändamål för vilket uppgifterna samlades in. Uppgifter om personnummer eller samordningsnummer i handlingar som ingår i databasen får behandlas för de tillåtna ändamålen men så kallade känsliga personuppgifter enligt dataskyddsför-

384 Lantmäteriet anser dock att förordningen inte är tillämplig för myndighetens del, som framgår längre fram i detta kapitel. 385 1 – 3 §§ förordningen. 386 4 § förordningen. 387 5 §§ förordningen.

179

182

Mer om Arken och Arkenförordningen

ordningen får inte behandlas i databasen. Vidare får inte namn, personnummer eller samordningsnummer eller del av sådana nummer användas som sökbegrepp i databasen. Direktåtkomst till personuppgifter i databasen får medges endast för de angivna ändamålen Detsamma gäller utlämnande av personuppgifter på medium för automatiserad behandling. 388

11.5.2 Förordningens tillkomst

Arkenförordningen trädde i kraft den 1 mars 2011, det vill säga några år efter att Arken började användas. Underlag om bakgrunden till förordningen är begränsat. Det finns dock ett par dokument som legat till grund när förordningen arbetades fram.

Förslaget till förordning från 2003

Lantmäteriet och Domstolsverket tog 2003 fram ett författningsförslag till en förordning om tillhandahållande av fastighetsinformation ur digitala arkiv. Av promemorian framgår bland annat följande. 389 I förordningen anges de ändamål för vilka behandling av personuppgifter ska få ske. Det är fråga om två huvudsakliga ändamål. Det ena tar sikte på bevarande av informationsinnehållet i de analoga arkiven, det andra på tillhandahållande av information från de digitala arkiven för att tillgodose informationsbehovet inom vissa i förordningen uppräknade verksamheter. Personuppgiftsansvaret föreslås fördelas med utgångspunkt i regeln att en myndighet är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Den som faktiskt har utfört en viss behandling, till exempel lagrat eller tillhandahållit en personuppgift, är således personuppgiftsansvarig för den behandlingen. I förslaget finns också en särskild bestämmelse som reglerar fördelningen av arkivansvaret för de digitala arkiven. Enligt den ska Lantmäteriet bära arkivansvaret för det statliga lantmäterimaterialet medan respektive kommunal

388 6 – 7 och 9 – 10 §§ förordningen. 389 Promemorian Författningsreglering rörande tillhandahållande m.m. av fastighetsinformation ur digitala arkiv, Lantmäteriet och Domstolsverket den 7 juli 2003, 500-2003/472.

180

183

Mer om Arken och Arkenförordningen

myndighet ska bära ansvaret för det kommunala lantmäterimaterialet. 390 Av promemorian framgår vidare att arkivmaterialet innehåller personuppgifter i varierande grad. Det konstateras emellertid att lantmäterihandlingarna i begränsad omfattning innehåller personnummer och inte torde innehålla information som är att klassa som känsliga personuppgifter enligt dåvarande personuppgiftslag (1998:204). 391 Det sistnämnda anser emellertid Lantmäteriet i vart fall numera vara en felaktig utgångspunkt utifrån nuvarande dataskyddsförordning, eftersom det i arkivmaterialet kan finnas information relaterad till hälsa, etnicitet, politiska åsikter och sexualliv. Härtill är det numera klarlagt att det kan finnas skyddade personuppgifter i arkivhandlingarna. 392

Förslaget till förordning från 2010

Med Lantmäteriets och Domstolsverkets promemoria från 2003 som grund tog Justitiedepartementet 2010 fram en promemoria med ett utkast till förordning. Av Justitiedepartementets promemoria framgår bland annat följande. 393 Databasen är inte en samling av information av sammanställda, sökbara uppgifter om personer och har därmed inte karaktär av register. Ur integritetssynpunkt har detta stor betydelse. Till saken hör också att den typ av information som förs in i databasen ytterst sällan innehåller känsliga personuppgifter i den mening som avses i personuppgiftslagen. Personuppgifter i databasen föreslås få behandlas automatiserat för två huvudändamål, dels för att bevara arkivhandlingar, dels för att tillhandahålla arkivhandlingar. Bestämmelserna i personuppgiftslagen hindrar inte att en myndighet arkiverar och bevarar allmänna handlingar. Att skapa databasen innebär dock att elektroniska kopior framställs och att personuppgifter lagras elektroniskt. Ett av de främsta syftena med att bygga upp en databas med elektroniska kopior av arkiverade handlingar är att informationen i handlingarna på ett mer rationellt sätt ska kunna tillhandahållas de myndigheter och personer som har ett behov av informationen i fråga. Uppgifterna ska även kunna tillhandahållas för 390 Lantmäteriets och Domstolsverkets promemoria 2003, s. 6 – 7 samt 10 och 13. 391 Lantmäteriets och Domstolsverkets promemoria 2003, s. 16 – 17 och 32. 392 Se Promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 27 samt rättsutredningen Skyddade personuppgifter i AktDirekt/Arken den 19 januari 2021, LM2025/093989. 393 Promemorian Personuppgifter i Lantmäteriets databas för arkiverade handlingar, Justitiedepartementet den 31 maj 2010.

181

184

Mer om Arken och Arkenförordningen

Lantmäteriets egen verksamhet, exempelvis fastighetsbildningsverksamheten och inskrivningsverksamheten. Av integritetsskyddsskäl bör sådan behandling endast få ske för särskilda ändamål, som preciseras i förordningen. Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser exempelvis behovet av information för rättskipningen och förvaltningen samt forskningens behov. Dessa syften med arkivbildningen bör också beaktas vid utformningen av bestämmelsen som anger de ändamål för vilka personuppgifterna i databasen får tillhandahållas. 394 I de handlingar som har skannats in eller överförts elektroniskt till databasen kan det förekomma uppgifter om exempelvis sökandens personnummer. De personer vars personnummer förekommer i databasen har inte lämnat sitt samtycke till att sådana personuppgifter behandlas. Det saknas praktiska möjligheter för Lantmäteriet att gå igenom det mycket omfattande materialet för att utplåna uppgifter om personnummer. Om behandling av personnummer, som finns i löptexten i dokumenten, inte är tillåten skulle det innebära att tillgängliggörande och bevarande av de handlingar som avses ingå i databasen omöjliggörs. Med hänsyn till de effektiviserings- och rationaliseringsvinster som tillhandahållande av materialet i databasen innebär är det angeläget att behandling av personnummer tillåts. Mot detta intresse måste ställas de enskildas intresse av att deras personliga integritet inte kränks. Behandling av personnummer kan vara förenad med risker ur ett integritetsskyddsperspektiv. När det gäller databasen bör det emellertid framhållas att sökning på personnummer eller del av personnummer i databasen varken kommer att vara tillåten eller tekniskt möjligt. Risken för att enskildas personliga integritet kränks genom att personnummer förekommer i löptext i de arkiverade handlingarna bedöms vara mycket liten. Mot denna bakgrund görs bedömningen att behandling av personnummer som förekommer i arkiverade handlingar bör vara tillåten. Av tydlighetsskäl bör detta framgå av förordningstexten. 395 Det kan inte uteslutas att vissa handlingar från enskilda personer kan innehålla känsliga personuppgifter. De ändamål som uppgifterna i databasen får behandlas för bedöms inte utgöra sådana viktiga allmänna intressen att det finns anledning att tillåta behandling av känsliga personuppgifter i databasen. Huvudregeln i personuppgiftslagen om förbud mot behandling av känsliga personuppgifter ska alltså gälla. Om en sådan uppgift av förbiseende har förts in i databasen ska den uppgiften utplånas, så snart det upptäcks. 396

394 Justitiedepartementets promemoria 2010, s. 3 – 4. 395 Justitiedepartementets promemoria 2010, s. 6 – 7. 396 Justitiedepartementets promemoria 2010, s. 7.

182

185

Mer om Arken och Arkenförordningen

11.6 Extern direktåtkomst genom olika digitala

tjänster

Lantmäteriet har som tidigare beskrivits ett antal digitala tjänster som medger direktåtkomst. Genom tjänsterna AktDirekt och ArkivSök har eller har användare haft direktåtkomst till information ur arkivet Arken. Såväl kommuner som privata kommersiella aktörer har haft sådan direktåtkomst. Termen direktåtkomst tar sikte på att den utlämnande myndigheten bildligt talat öppnar sina dörrar för mottagaren, som tillåts träda in innanför dörrarna och själv får, i den omfattning som medgetts, söka fritt i den utlämnande myndighetens informationssamlingar. Det innebär att den utlämnande myndigheten redan vid den tidpunkt då åtkomst etableras har lämnat ut berörda uppgifter till mottagaren. Den omständigheten gör att direktåtkomst är en betydligt mer vittomfattande form av elektroniskt utlämnande än andra sådana former av utlämnanden. 397 I begreppet direktåtkomst ligger att den utlämnande myndigheten i det enskilda fallet inte har någon kontroll över vilka uppgifter mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar därmed inte något beslut om utlämnande av uppgifter i varje enskilt fall som den mottagande myndigheten tar del av uppgifterna. I stället måste den utlämnande myndigheten göra en förhandsprövning av förutsättningarna för utlämnande i samband med att åtkomsten rent tekniskt upprättas. En sådan prövning innefattar alla uppgifter som mottagaren har möjlighet att ta del av genom direktåtkomsten. Lagstiftaren har under en lång tid bedömt att direktåtkomst är en så integritetskänslig form av personuppgiftsbehandling att den i princip är tillåten endast om det finns ett uttryckligt stöd för den i lag. Myndigheters möjlighet att utbyta uppgifter elektroniskt genom direktåtkomst är följaktligen ofta starkt begränsad. Bestämmelser som förbjuder direktåtkomst, eller som anger i vilka fall direktåtkomst får förekomma, finns i regel i den kompletterande dataskyddsregleringen. 398 Vi har tagit del av några exempel på avtal med kunder om tillhandahållande av information ur Arken. I avtalen anges att de avser

397 Jämför SOU 2015:39, s. 136. 398 Se till exempel prop. 2016/17:58, s. 126 och prop. 2007/08:160, s. 57 f. samt SOU 2025:45, s. 289.

183

186

Mer om Arken och Arkenförordningen

kundens tillgång till bland annat förrättningsakter samt detaljplaner och andra markreglerande bestämmelser från Lantmäterimyndigheternas förrättningsarkiv. Såvitt kan utläsas avses samtliga arkivakter som finns lagrade i Arken oberoende av om de är skapade av Lantmäteriet eller en kommunal lantmäterimyndighet. I avtalen anges vidare att Lantmäteriet tillhandahåller informationen via internettjänsten ArkivSök, att kunden tilldelas en användaridentitet och ett lösenord, att kunden ska underrätta Lantmäteriet om de personer som är behöriga att omfattas av användaridentiteten samt att kunden inte har rätt att lämna ut användaridentitet och lösenord till obehöriga. Kunden erinras om att vissa uppgifter kan vara personuppgifter. Eventuell förekomst av sekretess i handlingar omnämns inte. Sedan år 2020 finns en integrationslösning för skyddsvärd information 399 som begränsar möjligheten att hämta arkivakter från Arken där det kan finnas information om individer med skyddade personuppgifter eller där fastigheten har en viss lagfaren ägare. Den informationssäkerhetsåtgärden har ersatt tidigare säkerhetsåtgärder. De informationssäkerhetsåtgärder som Lantmäteriet har vidtagit för arkivakter i Arken har dock inte varit heltäckande, eftersom arkivakterna normalt finns redovisade på två eller flera fastigheter i fastighetsregistret. 400 Det har i dessa fall varit möjligt att hämta arkivakten från Arken genom att söka fram en annan fastighet (som inte innehåller information om individer med skyddade personuppgifter) och hämta akten därifrån. En sökning som ger träff på en fastighet som omfattas av informationssäkerhetsåtgärden visas med en sekretessmarkering för Kundcenter som på detta sätt får information om att utlämnande av allmän handling som rör den aktuella fastigheten kräver särskild bedömning. Informationssäkerhetsåtgärden från 2020 finns fortfarande kvar men har kompletterats med den informationssäkerhetsåtgärd som infördes i november 2024, som innebär att vissa arkivakter är låsta. 401

399 Av Lantmäteriet benämnd som ”BUF”. 400 Det beror på att en lantmäteriförrättning berör mer än en fastighet. Akterna syns som länk i alla fastigheter som berört varandra vid en förrättning. 401 Jämför informationssäkerhetsprojektet Infosäk-GDL, se avsnitt 8.3.4.

184

187

Mer om Arken och Arkenförordningen

11.7 Det rättsliga stödet för Arken enligt Lantmäteriet

11.7.1 En ifrågasatt rättslig grund

En särskild fråga om Arken som har föranlett utredning hos Lantmäteriet är de rättsliga förutsättningarna för Lantmäteriet att över huvud taget hålla andra myndigheters arkivhandlingar i Arken och att dela med sig av dem. Avgörande för den frågan har varit bland annat om Arken är att betrakta som ett arkiv eller en databas. Lantmäteriets utredning 402 redovisas i promemorian Nationellt digitalt lantmäteriarkiv.

11.7.2 Promemorian Nationellt digitalt lantmäteriarkiv

Lantmäteriet anser enligt promemorian bland annat att Arkenförordningen inte ger rättsligt stöd för att tillhanda arkivhandlingar från Arken. I stället ska, enligt Lantmäteriet, bestämmelser i dataskyddslagstiftningen tillämpas. Vidare uppges att Lantmäteriet bör verka för att de rättsliga förutsättningarna för ett nationellt digitalt lantmäteriarkiv tydliggörs. I promemorian konstateras att det saknas tydligt författningsstöd för Lantmäteriet att hålla ett nationellt digitalt lantmäteriarkiv som innehåller flera olika myndigheters arkivhandlingar och för att tillhandahålla arkivet. Grundläggande rättsligt stöd för det bedöms emellertid ändå finnas vid en sammanvägning av flera rättskällor. Regleringsbreven uppges visa att Lantmäteriet har fått i uppgift att hålla ett nationellt digitalt lantmäteriarkiv och tillhandahålla det för en korrekt och effektiv förrättningsprocess samt för att tillgodose angelägna samhällsbehov. Som stöd för den ståndpunkten hänvisas bland annat till att 2006 års regleringsbrev gav uttryck för att regeringen varit informerad och då gav Lantmäteriet uppdrag att redovisa hur materialet används i olika delar av samhället och hur tillgängligheten till arkivmaterialet förändrats. Vidare anses Lantmäteriets förvaltningsuppdrag i instruktionen för myndigheten utgöra stöd för att hålla och tillhandahålla ett nationellt digitalt lantmäteriarkiv. 403

402 Promemorian Nationellt Digitalt lantmäteriarkiv den 16 september 2024, LM2024/052370. 403 Promemorian s. 7 – 11.

185

188

Mer om Arken och Arkenförordningen

I fråga om sekretess drar Lantmäteriet bland annat följande slutsatser i promemorian. 404 Lantmäteriet har inte någon uppgiftsskyldighet avseende innehållet i arkivhandlingar i Arken gentemot andra myndigheter som bryter sekretessen. Det innebär att frågor om sekretess måste hanteras utifrån offentlighets- och sekretesslagens regler om sekretess. Två huvudsakliga anledningar gör att Lantmäteriet anser att Arkenförordningen inte är tillämplig på behandlingen av personuppgifter i Arken. En är att det inte anses finnas någon sådan tillhandahållandedatabas som avses i förordningen att tillämpa förordningen på, eftersom Arken är ett arkiv och det inte finns någon databas som är skild från arkivet, vilket var tanken när förordningen kom till. Den andra anledningen är att tillämpning av vissa bestämmelser i förordningen på arkivhandlingar i ett arkiv skulle strida mot lag. Bland annat anges i förordningen att känsliga personuppgifter inte får behandlas trots att sådana måste ingå i arkivhandlingarna och kunna tillhandahållas till andra myndigheter samt att en gallring av sådana skulle strida mot arkivlagen. Lantmäteriets samlade bedömning är att flertalet rättsliga bedömningar som låg till grund för 405 förordningen var oriktiga. Vi återkommer till Lantmäteriets slutsatser i våra överväganden (avsnitt 17.8).

11.8 Regleringsbrev

Lantmäteriet uppger att myndighetens regleringsbrev under åren 2003 – 2006 återkommande visat att regeringen haft ett fokus på att Lantmäteriet digitalt ska tillhandahålla rikstäckande och tillförlitlig fastighetsinformation via direktåtkomst. Regleringsbreven visar enligt Lantmäteriet att myndigheten har fått i uppgift att hålla ett nationellt digitalt lantmäteriarkiv och tillhandahålla det för en korrekt och effektiv förrättningsprocess samt för att tillgodose angelägna samhällsbehov. 406 Vi har redogjort för dessa regleringsbrev i kapitel 4.

404 Promemorian s. 11 – 12. 405 Promemorian s. 23 – 29. 406 Promemorian s. 7 – 8.

186

189

12 Utlämnande av allmän handling

hos Lantmäteriet

12.1 Kapitlets innehåll

I detta kapitel redogörs för ett urval av frågor som uppstått och bedömningar som gjorts av Lantmäteriet eller av enskilda verksamhetsområden (myndighetsinterna påpekanden) när det gäller Lantmäteriets hantering av utlämnande av allmänna handlingar, i huvudsak under den period som vi har granskat. I kapitlet finns även en beskrivning av Lantmäteriets nuvarande hantering av utlämnande av allmänna handlingar. Med utlämnande av allmänna handlingar avser vi här utlämnande efter en begäran som ställts till Lantmäteriet om att ta del av en sådan handling. Vi behandlar således i detta kapitel inte tillhandahållande av allmänna handlingar genom direktåtkomst. Av intresse vid vår granskning är främst hanteringen av utlämnande av handlingar från Arken.

12.2 Lantmäteriets tidigare hantering av utlämnande

av allmän handling

12.2.1 Akter från Arken lämnas ut utan föregående

sekretessprövning

Kundcenter har länge varit den funktion inom Lantmäteriet som ansvarat för hanteringen av en begäran om att få ut allmänna handlingar från myndigheten. Redan 2013 rekommenderade den så kallade OSIS-gruppen inom Lantmäteriet att man skulle vidta lämpliga utvecklingsinsatser för att få bort de mest uppenbara riskerna med tillhandahållandet av de digi-

187

190

Utlämnande av allmän handling

tala akterna. Gruppens ställningstagande blev att alla handlingar skulle sekretessprövas före utlämnande. 407 Vi har dock inte kunnat se att några åtgärder vidtogs inom myndigheten med anledning av detta ställningstagande, vilket även bekräftas av den följande redovisningen. I november 2019 infördes en ny rutin för Kundcenter för viss sekretessprövning vid utlämnande av allmän handling. Den innebar att Kundcenter började skicka akter för fördjupad granskning till en särskild granskningsgrupp inom verksamhetsområde Fastighets- 408 bildning. Fram till dess hade utgångspunkten varit att arkivakter som lagrades i Arken var offentliga – arkivakter var åtkomliga via allmänhetens terminal, 409 tillhandahållandetjänster och lämnades ut som allmänna handlingar. Den dåvarande säkerhetsskyddschefen fick i december 2021 uppgifter om att akter från fastighetsbildningen lämnades ut utan föregående sekretessprövning. Han kontaktade därför chefen för Kundcenter och bad om svar på om detta stämde och vilka överväganden som gjorts i dessa delar. Svaret från chefen för Kundcenter ska då ha varit att det fanns rutiner för att hantera ärenden som innehöll 410 sekretess och att sådana handlingar inte arkiverades i Arken. Kundcenter hade inte instruerats att göra en förnyad sekretessprövning vid begäran om utlämnanden från Arken. 411 Enligt uppgift från Lantmäteriet fick generaldirektören information om att frågorna hade ställts men tog inte del av svaret från Kundcenter. Frågorna från säkerhetsskyddschefen ledde inte till någon åtgärd. 412

407 OSIS står för Offentlighet, Säkerhet, Integritet och Sekretess. Gruppen, som var rådgivande inom Lantmäteriet, leddes av chefsjuristen och träffades en gång per månad för att diskutera olika frågeställningar inom nämnda områden. Se i övrigt Sammanställning av OSISgruppens praxis, september 2021, LM2021/027872, samt Mötesanteckningar OSIS-gruppen den 5 juni 2013. 408 Information från Lantmäteriet, maj 2025, samt Lantmäteriets bildspel Förrättningsarkivakter i Arken den 21 november 2023. Vi har noterat att det finns olika uppgifter om när sekretessgranskning infördes – enligt den anmälan som gjordes till Säkerhetspolisen i mars 2024 (LM2024/016075) infördes detta först 2020. 409 Generaldirektören beslutade i april 2019 att stänga allmänhetens terminal. Handlingar och uppgifter i denna var inte föremål för sekretessgranskning innan de blev tillgängliga för mottagaren. Information från Lantmäteriet, december 2025. 410 Information från Lantmäteriet, maj och juni 2025. 411 Enligt uppgift från Lantmäteriet till utredningen i oktober 2025 bör Kundcenter ha haft en instruktion om granskning vid den här tidpunkten, jämför chefsjuristens tjänsteanteckningar där det anges att en utbildningsinsats avseende utlämnande av allmänna handlingar hade påbörjats redan våren 2021, se mer om det i avsnitt 12.2.3. 412 Information från Lantmäteriet, maj och juni 2025.

188

191

Utlämnande av allmän handling

I säkerhetsskyddsanalysen 2020 anges bland annat att det vid handläggning av fastighetsbildningsärenden inte görs någon sekretessbedömning av inkommande handlingar, att säkerhetskänsliga uppgifter finns publikt tillgängliga i arkiverade akter i Arken och i vissa fall lämnas ut utan säkerhetsskyddsbedömning. Vidare anges att ärenden och handlingar i Arken är tillgängliga via avtal och etjänster externt till bland annat myndigheter, företag och kommunala lantmäterimyndigheter. 413 Av den uppdaterade säkerhetsskyddsanalysen 2022 framgår att säkerhetsskyddsklassificerade uppgifter fortfarande tillhandahålls i digitala tjänster samt att det inom olika delar av myndigheten råder olika syn på vad som är säkerhetsskyddsklassificerade uppgifter. 414 Det anges även att det krävs stora verksamhetsförändringar och ett aktivt förändringsledarskap för nya beteenden som att alltid granska och göra sekretessbedömning innan utlämnande. 415

12.2.2 Internrevisionsrapporten Utlämnande av allmän

handling 2021

I rapporten konstaterade internrevisionen att utlämnande av allmän handling fungerade vid Lantmäteriet men man hade identifierat ett antal förbättringsområden inom processen. Internrevisionen ansåg att det fanns brister, såsom exempelvis avsaknad av en övergripande process, rutiner, utbildning och tillgänglig information på myndighetens intranät. I sammanfattningen anger internrevisionen vidare bland annat följande. 416 Utlämnande av allmän handling vid Lantmäteriet sker inte enhetligt. Från intervjuer och enkätundersökning framkommer att det finns ett behov av utbildning och fortbildning av medarbetarna, som inte upplever en trygghet i sekretessprövningen vid utlämnande. Kännedom om sekretessprövning finns men genomförandet varierar beroende på verksamhet. Spårbarheter i gjorda sekretessprövningar kan förbättras liksom informationen om de stödsystem och stödfunktioner som finns.

413 Lantmäteriets säkerhetsskyddsanalys den 16 december 2020, LM2020/029734, s. 38 – 40. 414 Se avsnitt 8.7. 415 Lantmäteriets säkerhetsskyddsanalys den 16 juni 2022, LM2022/031377, s. 9 och 12. 416 Internrevisionens revisionsrapport Utlämnande av allmän handling den 20 december 2021, LM2021/049967, s. 2.

189

192

Utlämnande av allmän handling

Internrevisionen lämnade ett antal rekommendationer i rapporten, varav fyra bedömdes som högprioriterade på en angiven värderingsskala. Dessa var att fastställa en ägare för processen utlämnande av allmän handling och definiera vad som ingår i detta ansvar, att upprätta myndighetsgemensam praxis för arbetet med utlämnande, att upprätta och besluta om myndighetsgemensamma styrande dokument för processen och att ta fram handledningar och checklistor på myndighetsgemensam nivå för att ge stöd till medarbetarna i sekretessprövningen. Lantmäteriets styrelse informerades om rapporten och styrelsen fastställde myndighetens svar på denna i februari 2022. 417 I en allmän kommentar i svaret angavs i huvudsak att myndigheten också hade identifierat en klar förbättringspotential och att man hade tillsatt en arbetsgrupp för ändamålet. 418 Denna arbetsgrupp benämndes UTAH och dess arbete beskrivs i avsnitt 12.2.6. Vi återkommer i avsnitt 12.2.7 till uppföljningen av detta arbete.

12.2.3 Dåvarande chefsjuristens tjänsteanteckningar 2021 –

2023

Lantmäteriets tidigare chefsjurist har enligt egna tjänsteanteckningar vid flera tillfällen påtalat för olika verksamhetschefer och generaldirektören att myndigheten hade en bristande hantering av sekretessprövningen av handlingar.

419

Sammanfattningsvis framgår följande av anteckningarna. Det har tidigare funnits instruktioner till Kundcenter om att arkivakter från verksamhetsområde Fastighetsbildning inte behövde sekretessprövas. Vid ett möte i januari 2022 påtalade chefsjuristen och säkerhetsskyddschefen för bland andra den operativa informationsägaren inom verksamhetsområdet och chefen för Kundcenter att detta innebar risker för säkerhetsskyddet och att sådana uttalanden inte fick göras. Enligt anteckningarna accepterade de närvarande vid mötet att arkivakter skulle sekretessprövas före utlämnande. 420

417 Styrelseprotokoll den 17 februari 2022, punkt 21, och myndighetens svar, LM 2021/049967. 418 Myndighetens svar, LM 2021/049967, s. 1 419 Tjänsteanteckningarna är daterade den 12 januari 2022, den 14 november 2023, den 28 mars 2024 och den 15 maj 2024, samtliga enligt uppgift från Lantmäteriet diarieförda den 29 november 2024, LM2024/070657. 420 Tjänsteanteckningen den 12 januari 2022.

190

193

Utlämnande av allmän handling

Vidare framgår av anteckningarna att dåvarande chefsjuristen i november 2023 tog upp med chefen för verksamhetsområde Fastighetsinskrivning 421 att det var viktigt att korrekta sekretessprövningar görs och att det inte kan göras några undantag. Vid den här tiden uttrycktes fortfarande inom verksamhetsområde Fastighetsbildning att arkivakter från förrättningsverksamheten kunde lämnas ut utan granskning, trots att såväl chefsjuristen som säkerhetsskyddschefen klargjort att det är direkt felaktigt. Dåvarande chefsjuristen hade vid möte den 14 november 2023 informerat även Lantmäteriets ledningsgrupp om skyldigheten att sekretesspröva all information som lämnas ut. 422 I en tjänsteanteckning från 2024 anges vidare att den dåvarande chefsjuristen under våren 2021 tagit fram och inlett en utbildningsinsats inom kundcenterverksamheten avseende bland annat offentlighet och sekretess för chefer, rådgivare och samtliga övriga medarbetare. Sådana utbildningstillfällen fortgick även under den hösten. Kundcenters medarbetare hade då reagerat starkt på att de arbetsrutiner som ansvariga chefer hade beslutat om inte var förenliga med den lagstiftning som chefsjuristen hade utbildat dem i. De kände sig därför inte bekväma med att tjänstgöra inom kundcenterverksamheten vad gällde utlämnande av allmänna handlingar. Ansvarig verksamhetsområdeschef och enhetschef uppmanades av chefsjuristen att bland annat lyfta frågan till generaldirektören. Chefsjuristen påtalade även själv för generaldirektören att aktuella chefer inte bedömdes ha tillräcklig kompetens inom området allmänna hand- 423 lingar.

12.2.4 Processen för utlämnande av akter via Kundcenter

I den i avsnitt 8.4.1 beskrivna myndighetsinterna tillsynsrapporten från april 2023 rekommenderades bland annat att myndigheten skulle tillse att sekretessbedömningar görs av alla akter vid utlämnande, inklusive de som lämnas ut från Kundcenter och från enskilda kontor. Vidare borde en översyn göras av alla digitala tjänster där

421 Kundcenter hörde vid denna tidpunkt till Verksamhetsområde Fastighetsinskrivning. 422 Denna information, som framgår av tjänsteanteckningen den 14 november 2023, är inte uttryckligen utskriven i ledningsgruppens protokoll från samma datum. 423 Tjänsteanteckningen den 28 mars 2024.

191

194

Utlämnande av allmän handling

kunder hade direkttillgång till icke-bedömda förrättningsakter. 424 Alternativt borde tjänsterna ”stoppas”, det vill säga stängas. Det är oklart om rapporten delgavs generaldirektören. 425 I verksamhetsområde Fastighetsbildnings svar på den myndighetsinterna tillsynsrapporten beskrivs processen för utlämnande av akter via Kundcenter på följande sätt. 426

Kundcenter använder FR Webb som stöd när de ska lämna ut arkivakter från förrättningar. Där finns indikatorer på när det krävs särskild be- 427 dömning innan utlämnande. I de fallen kontaktas Fastighetsbildning och särskilda medarbetare gör en sekretessbedömning. Om handlingen inte lämnas ut behörighetsbegränsas åtkomsten till utvalda medarbetare och akten tas bort från åtkomst i digitala tjänster. Om det inte finns en indikation i FR Webb ska Kundcenter i första hand endast lämna ut de uppgifter som efterfrågas. I andra hand ska beslutshandlingar och dagboksblad lämnas ut. Om hela akten begärs ut ska en sekretessgranskning göras utifrån en ”triggerlista” som Fastig hetsbildning har tagit fram och vid osäkerhet ska Kundcenter ta hjälp av medarbetare på Fastighetsbildning för sekretessbedömning. 428 Fastighetsbildning bedömer att om alla arkivakter ska sekretessgranskas på samma sätt som görs när en indikator finns, ökar arbetsmängden avsevärt. En sådan arbetssättsförändring kan endast genomföras i dialog med generaldirektören då den är av strategisk betydelse för Lantmäteriet. Om externt tillhandahållande via Lantmäteriets digitala tjänster stoppas helt kommer belastningen på Kundcenter att öka väsentligt. Enligt delegationsordningen är det Geodata som ansvarar för beslut om tillhandahållande av arkivakter till kunder.

12.2.5 Utgångspunkter för sekretessbedömning 2023

Utgångspunkterna och processen för sekretessbedömning av förrättningsarkivakter i Arken beskrevs i november 2023 på ett likartat

424 Den myndighetsinterna tillsynsrapporten Eventuell förekomst av säkerhetsskyddsklassificerade uppgifter i fastighetsbildningsakter den 3 april 2023, LM2023/016386. Se avsnitt 8.4.1. 425 Information från Lantmäteriet, oktober 2025. 426 Verksamhetens svar på myndighetsgemensam tillsynsrapport den 28 augusti 2023, LM2023/016286. Se avsnitt 8.4.2. 427 Indikatorerna är enligt information från Lantmäteriet i oktober 2025 enbart baserade på uppgifter i Fastighetsregistret och har ingen koppling till akter. 428 Triggerlistan utgick enligt information från Lantmäteriet i oktober 2025 från Säkerhetspolisens vägledningar och beskrev vilka uppgifter som typiskt sett kan ingå i en arkivakt och omfattas av säkerhetsskydd.

192

195

Utlämnande av allmän handling

sätt som i verksamhetens svar ovan. Sammanfattningsvis framgår följande om hur bedömningar görs. 429

Ett fåtal fastighetsägare eller rättighetshavare bedriver verksamhet som är sekretessreglerad enligt 15 kap. 2 § OSL men typiskt sett är uppgifter i arkivakter i Arken ”harmlösa”. Skadebedömning enligt 15 kap 2 § och 20 kap. 1 § OSL kan dock förändras över tid. Vid direktåtkomst till information görs sekretessprövning i förväg och inte i varje enskilt fall. Samma princip har verksamhetsområde Fastighetsbildning tillämpat på arkivakter i Arken vid begäran om utlämnande av allmän handling. Den sekretessbedömning som gjordes vid förfrågan till Kundcenter var att arkivakter som lagrades i Arken var offentliga men 2019 infördes en rutin för viss sekretessgranskning när arkivakter från Arken lämnas ut via Kundcenter. 430 Om det inte finns någon särskild varning att särskild granskning krävs på fastigheten i FR Webb kan beslutshandlingar och ärendets dagbok i förrättningsakt som är tillgänglig via AktDirekt, ArkivSök eller FR Webb som utgångspunkt lämnas ut. Det finns typiskt sett inte särskild anledning att göra en skadebedömning i det enskilda fallet.

I samma information om granskning av arkivakter före utlämnande anges bland annat att en begränsad mängd information ska lämnas ut, bara det som efterfrågas och inte hela akter. Det anges också var i akten man ska leta efter uppgifter som kan omfattas av sekretess och ges exempel på sådana uppgifter.

12.2.6 Projekt om utlämnande av allmän handling under

2023 – 2025

Under hela 2023 gjorde Lantmäteriet ett övergripande arbete kring utlämnande av allmän handling och en handbok arbetades fram av en projektgrupp som gick under benämningen UTAH. 431 Som beskrivits tidigare hade denna grupp startats redan i mars 2022 som en följd av internrevisionens rapport Utlämnande av allmän handling från 2021. Gruppen avslutade sitt arbete i december 2023. I samband med det arbetet uppmärksammades bland annat att det saknats enhetliga

429 Lantmäteriets bildspel (enligt uppgift skapat av verksamhetsområde Fastighetsbildning) Förrättningsarkivakter i Arken, den 21 november 2023. 430 Enligt uppgift från Lantmäteriet i oktober 2025 var det Kundcenter som skötte i stort sett all utlämnande av allmän handling och inte verksamhetsområde Fastighetsbildning. Kundcenter uppges redan 2022 ha informerats om att arkivakter ska granskas före utlämning, vilket vi noterar också stämmer överens med de ovan beskrivna tjänsteanteckningarna från den dåvarande chefsjuristen avseende att denne och den dåvarande säkerhetsskyddchefen har gett sådana instruktioner till Kundcenter. 431 UTAH står för Utlämnande av allmän handling.

193

196

Utlämnande av allmän handling

processer och arbetsstöd för sekretesshantering. För en rättssäker, enhetlig och effektiv hantering av utlämnanden av allmänna handlingar enades ledningen om att fortsätta detta arbete genom ytterligare ett nytt uppdrag. Uppdraget benämndes Verksamhetsutveckling kring hantering av utlämnande av allmän handling och beslutades i januari 2024 av generaldirektören med genomförande under 432 hela 2024. Projektet prioriterades sedan ned under 2024 på grund av den särskilda händelsen och ännu ett omtag gjordes i december 2024. 433 Handboken om utlämnande av allmän handling färdigställdes och trädde i kraft den 1 april 2025. Ansvarig för handboken är för närvarande chefsjuristen. 434 Handboken omfattar drygt 100 sidor och innehåller bland annat en allmän beskrivning av processen för utlämnande och innebörden av rätten att ta del av handlingar. Vidare finns mer specifik information om vanligt förekommande sekretessbestämmelser och hur man rent praktiskt utför en maskning av uppgifter i handlingar. Enligt Lantmäteriets summering och avslut av uppdraget UTAH implementerades handboken genom information, nyheter och APTmaterial. En gemensam sida på Lantmäteriets intranät (arbetsstöd) publicerades den 1 april 2025 där all väsentlig information för utlämnande av allmän handling finns samlad. I uppdraget ingick även att ta bort information som tidigare fanns på olika sidor på intranätet. I april 2025 blev också ett utbildningspaket klart och planeringen var att alla medarbetare skulle genomföra delar av utbildningen samt få del av APT-material. Det har också utretts hur myndigheten systematiskt kan genomföra uppföljning på eller kontroll av att sekretessprövning genomförts i samband med utlämnande av allmän handling. Verksamhetsområde Fastighetsinskrivning har fått i uppdrag att implementera systematisk kvalitetsuppföljning för denna hantering. 435

432 Beslut den 22 januari 2024, LM2024/003319. 433 Beslut den 13 december 2023, LM2023/065461. 433 Information från Lantmäteriet, maj 2025. 434 Beslut den 19 mars 2025, LM2025/029931. 435 Bildspel som vi tagit del av utan datering eller diarienummer.

194

197

Utlämnande av allmän handling

12.2.7 Internrevisionens uppföljningsrapport i maj 2024

Internrevisionen gjorde under det första tertialet 2024 en uppföljning av bland annat den tidigare beskrivna internrevisionsrapporten 436 Utlämnande av allmän handling från 2021. I uppföljningsrapporten konstaterade internrevisionen bland annat följande. Gällande utlämnande av allmän handling hade verksamheten uppgett att samtliga åtgärder var avslutade, en bedömning som efter uppföljningstillfället ändrades till att de inte var slutförda. Status ändrades därför till ”ej enligt plan” . Enligt internrevisionens bedömning har åtgärdsarbetet primärt fokuserat på att utarbeta den nämnda handboken för utlämnande av allmän handling. Handboken var dock då inte färdigställd, upprättad, kommunicerad eller implementerad. Det hade heller inte genomförts några utbildningsinsatser med anledning av handboken och de nya processerna. Åtgärdsarbetet fortsatte i det ovan nämnda uppdraget under 2024. 437 Trots att verksamheterna hade markerat åtgärderna som slutförda bedömde internrevisionen att ett antal rekommendationer kvarstod.

12.3 Lantmäteriets nuvarande hantering av

utlämnande av allmänna handlingar

12.3.1 Delegationsordningen

Enligt 5 kap. 7 – 8 §§ i Lantmäteriets delegationsordning gäller bland annat följande i fråga om utlämnande av allmän handling och uppgift ur allmän handling. 438 En begäran om att få ta del av en allmän handling eller att få uppgift ur en allmän handling ska prövas avseende sekretess av tjänsteman vid den organisatoriska enhet som ansvarar för eller har ansvarat för handläggningen av ärendet. Om begäran berör flera olika verksamhetsområden inom Lantmäteriet ska utlämnandet samordnas. Tjänsteman vid enheten Kundcenter får handlägga begäran om att ta del av en allmän handling eller att få uppgift ur allmän handling ur ärendehanteringssystem och arkiv som är tillgängliga för Kundcenter. Mot-

436 Uppföljning av Lantmäteriets åtgärdsarbete utifrån internrevisionens rekommendationer, Tertial 1 2024 den 31 maj 2024, LM2024/029575. Se avsnitt 6.4. 437 Beslutet om Verksamhetsutveckling kring hantering av utlämnande av allmän handling den 22 januari 2024, LM2024/003319. 438 Delegationsordning beslutad den 16 december 2025, LM2025/161018.

195

198

Utlämnande av allmän handling

svarande rätt gäller för tjänsteman vid granskningsfunktion som tillhör annan organisatorisk enhet än Kundcenter. Myndighetsbeslut om avslag på begäran att få del av allmän handling eller uppgift ur allmän handling får endast meddelas av den som enligt delegationsordningen eller särskilt delegationsbeslut har fått sådan beslutsbefogenhet. I de fall berörd tjänsteman finner att utlämnande inte bör ske och begäran om myndighetsbeslut har framställts, ska frågan hänskjutas till verksamhetsområdeschefen för berört verksamhetsområde eller till av vederbörande utsedd tjänsteman med befogenhet att besluta om att lämna begäran helt eller delvis utan bifall. Om det kan antas att en uppgift i en allmän handling inte får lämnas ut på grund av en bestämmelse om sekretess, får den som har vården av handlingen markera detta genom en särskild anteckning (sekretessmarkering) enligt 5 kap. 5 § offentlighets- och sekretesslagen. Fråga om utlämnande av allmän handling eller att få uppgift ur allmän handling ska för sådan handling som avses i 15 kap. 2 och 4 §§ offentlighets- och sekretesslagen överlämnas till verksamhetsområdeschefen för verksamhetsområde Geodata eller verksamhetsområdeschefen för verksamhetsområde Säkerhet eller till annan enligt beslut om vidaredelegation för bedömning om utlämnande kan ske. Fråga om utlämnande av allmän handling eller att få uppgift ur allmän handling ska för sådan handling som avses i 18 kap. offentlighets- och sekretesslagen överlämnas till verksamhetsområdeschefen för verksamhetsområde Säkerhet för bedömning om utlämnande kan ske. Samråd ska alltid ske med verksamhetsområdeschefen för verksamhetsområde Geodata innan fråga avgörs om utlämnande av känsliga uppgifter ur allmänna handlingar som utgör geografisk information enligt lagen (2016:319) om skydd för geografisk information och i övriga ärenden av väsentlig betydelse för totalförsvaret.

12.3.2 Vilka åtgärder har Lantmäteriet numera vidtagit?

I början av februari 2025 sammanfattade Lantmäteriet sin kapacitetshöjning avseende utlämnande av akter enligt följande. 439 Under sommaren 2024 tillsatte Lantmäteriet ungefär 80 extra årsarbetskrafter för sekretessprövning och utlämnande av akter. De som fick dessa arbetsuppgifter kom framför allt från verksamhetsområde Fastighetsbildning. Ett arbete har gjorts för att förflytta hälften av denna kapacitet till andra delar av Lantmäteriet, vilka är anslagsfinansierade, för att väga upp del av den ekonomiska konsek-

439 Sammanfattning över åtgärder för att säkerställa korrekt hantering av aktinformation från Arken, samt konsekvenser och risker för dessa åtgärder, den 5 februari 2025, s. 8, med vissa förtydliganden från Lantmäteriet i december 2025.

196

199

Utlämnande av allmän handling

vens som uppstår i och med nyttjande av personal till dessa uppgifter. Lantmäteriet har också rekryterat 19 medarbetare till en ny funktion som etablerats den 1 oktober 2024 för att över tid komma att bli den funktion som hanterar låsta akter (Granskningsgrupp Arken som beskrivits i avsnitt 13.4.3). Sedan den 1 september 2025 finns ytterligare en granskningsfunktion vid huvudkontoret i Gävle som består av 20 personer. Myndighetens kompetenshöjning när det gäller hanteringen av akter beskrivs i samma dokument på följande sätt. Lantmäteriet har tagit fram ett utbildningspaket med flera kompetensblock för att stärka kunskapen inom sekretessprövning och fördjupning inom försvarssekretess där kunskapen om kriterier och hur de kan sökas är en del av utbildningen. En liten grupp med utbildare har satts samman med kompetens inom sekretessprövning utifrån juridik, säkerhet och kriterierna, 440 samt praktisk erfarenhet av sekretessprövning. Utbildningarna är en blandning av teori och praktisk övning där gruppen gemensamt diskuterar bedömningar. Den största delen består av digitala utbildningar. Utbildningen är obligatorisk för alla som lämnar ut akter och det pågår ett arbete att ta fram utbildning även för de som skapar akter. Gruppen som ska hantera låsta akter i närtid, samt den nyrekryterade gruppen som ska hantera låsta akter, har fått gå utbildningen först. Härefter kommer 441 utbildningarna att ges till alla som identifierats ska gå den. I februari 2025 beslutade Lantmäteriet att genomföra en punktinsats för att minska tiden för sekretessprövning och utlämnande av allmän handling till 48 timmar. Det gjordes genom att mobilisera flera resurser internt för att sekretesspröva arkivakter. Punktinsatsen pågick fram till halvårsskiftet 2025. Granskningsgrupp Arken förlängdes vidare till och med den 30 september 2025, för att tillgodose ett tillfälligt behov fram till dess att en ordinarie ny arbetsfunktion bedöms ha kapacitet och kompetens att hantera arbetsuppgifterna. 442 Samma månad beslutade Lantmäteriet att inrätta ytterligare tre granskningskontor för att minska tiderna för granskning och utlämnande av allmän handling. Det anges vidare att dessa kontor kan

440 Se avsnitt 14.3.4. 441 Sammanfattning över åtgärder för att säkerställa korrekt hantering av aktinformation från Arken, samt konsekvenser och risker för dessa åtgärder, den 5 februari 2025, s. 9. 442 Beslut den 19 februari 2025, LM2025/021287 samt den 3 februari 2025, LM2025/011770.

197

200

Utlämnande av allmän handling

komma att ges möjlighet att fortsätta granska akter även efter angivet datum som en del av ordinarie linjeverksamhet. 443 Under 2025 har myndigheten utrett möjligheterna till maskinellt stöd för sekretessprövning, i vilket AI skulle kunna användas. Projektet pågår och finns med i utvecklingsplanen med en planerad driftsättning i slutet av 2026. 444 Numera finns också ett hanteringssystem för begäran om utlämnande av allmän handling (kundservicesystemet KSS) på plats. Enligt uppgift klarar Lantmäteriet numera, sedan augusti 2025, av 445 utlämnande inom 48 timmar.

443 Beslut den 19 februari 2025, LM2025/019586. 444 Information från Lantmäteriet, december 2025. 445 Information från Lantmäteriet, december 2025.

198

201

13 Den särskilda händelsen

13.1 Kapitlets innehåll

I detta kapitel redogörs för det som under 2024 ledde fram till det som Lantmäteriet kallar den särskilda händelsen, det vill säga stängningen av de digitala tjänsterna i maj samma år. Kapitlet innehåller också en översiktlig beskrivning av den särskilda händelsen i sig och hur arbetet med den bedrevs under resten av året.

13.2 Relevanta händelser

13.2.1 Införandet av informationssäkerhetsåtgärder

I januari 2024 beslutade den ställföreträdande generaldirektören att införa informationssäkerhetsåtgärder i Lantmäteriets tillhandahållande av fastighetsinformation. 446 De driftsattes inom ramen för den tidigare beskrivna forceringen av projektet Infosäk-GDL. Verksamhetsområde Fastighetsbildnings anpassningar för att uppfylla informationssäkerhetsåtgärderna bestod i bland annat en fördjupad sekretessprövningsrutin, viss dialog med fastighetsägare, bedömning av om ärenden behövde flyttas till säkerhetsprövad handläggare, teknisk utveckling av handläggningsstödet och låsning av arkivakter för aktuella fastighetsägare (anpassningarna i sig speglas bland annat av de tidigare beskrivna besluten som fattades redan i samband med låsning av akter i december 2023). 447

446 Beslut om införande av säkerhetsåtgärder i Lantmäteriets tillhandahållande med bilagor, den 15 januari 2024, LM2024/003162. 447 Se avsnitt 8.3.8.

199

202

Den särskilda händelsen

13.2.2 Anmälan om säkerhetshotande händelse

I ett visselblåsarärende den 12 mars 2024 angavs att Lantmäteriet lämnar ut handlingar utan sekretessprövning. 448 Av en intern e-postkonversation mellan en jurist och den då ställföreträdande säkerhetsskyddschefen samma dag framgår bland annat att kartläggningen av hur nuläget såg ut vad avsåg utlämnande av allmänna handlingar avseende verksamhetsområde Fastighetsbild- 449 nings informationsmängder inte var klar. Brister hade dock konstaterats i form av att inte någon inom verksamhetsområde Fastighetsbildning eller Kundcenter verkade ha någon helhetssyn på flöden, gränsdragningar, rutiner och processer avseende utlämnanden av uppgifter och handlingar. Juristen konstaterade att om befintliga rutiner skulle börja följas, rutiner tas fram eller medvetenheten om sekretess öka, saknades kapacitet att utföra arbetet – det skulle krävas både utökad kapacitet och bemanning. Det konstaterades även finnas bristande tekniska förutsättningar att exempelvis dela akter för att lämna ut vissa handlingar. De varningssignaler som fanns i systemen uppgavs vidare dels inte fånga alla typer av sekretess, dels användas på olika sätt på grund av bristande utbildning om deras funktion. Den 21 mars ställde den ställföreträdande säkerhetsskyddschefen den uttryckliga frågan till Kundcenter om det stämde att de lämnade ut arkivakter utan sekretessprövning. Kundcenter svarade ja på den frågan och uppgav som en förklaring att den handbok som den ställföreträdande säkerhetsskyddschefen ansåg skulle följas inte ännu fastställts. 450 Samma dag gjorde Lantmäteriet en anmälan till Säker- 451 hetspolisen om bristfällig sekretessprövning. Ärendet avslutades av Säkerhetspolisen med kortfattad information om åtgärder och utvärdering som Lantmäteriet förutsattes utföra.

448 Se avsnitt 10.5. 449 I visselblåsarärendet nämns inget specifikt verksamhetsområde men det synes för Lantmäteriet ha stått klart att det var med verksamhetsområde Fastighetsbildnings informationsmängder som arbetet skulle inledas. I e-posten talas om Fastighetsbildnings information eller informationsmängder – det handlar till stora delar om arkivakter i Arken men även utlämningar ur Trossen och ej fördelade ärenden nämns. 450 Tjänsteanteckning den 21 mars 2024, diarienummer saknas. 451 LM2024/016075. I den första anmälan angavs att den avsåg handlingar i Fastighetsregistret. Av senare kompletteringar till Säkerhetspolisen framgår dock att det som avses är utlämnanden av arkivakter.

200

203

Den särskilda händelsen

13.2.3 Rutinen kring sekretessprövning stärks inom

Kundcenter

Den 25 mars 2024 fattades ett beslut av enhetschefen på Kundcenter att stärka rutinen kring sekretessprövningen på Kundcenter genom att samtliga arkivakter skulle sekretessprövas före utlämnande. Det innebar att utlämnande utan sekretessprövning upphörde detta datum. Olika funktioner inom Lantmäteriet har beskrivit att sekretessprövning vid utlämnande av arkivakter såväl tidigare som under nu rådande förhållanden, med stängda digitala tjänster, försvårats avsevärt av att det saknats tekniska förutsättningar för detta, eller i vart fall tekniska systemstöd som i tillräcklig utsträckning underlättar genomförandet av sekretessprövningen. Akterna kan inte på ett enkelt sätt delas upp så att man kan lämna ut bara delar. Enligt uppgift från Lantmäteriet är det i och för sig möjligt att beställa en utskrift av enstaka sidor eller intervall av sidor men det är komplicerat och innebär en omfattande manuell handpåläggning. 452

13.2.4 Säkerhetsskyddschefens rekommendation i april 2024

Säkerhetsskyddschefen hade i den myndighetsinterna tillsynsrapporten från april 2023 rekommenderat verksamhetschefen för Geodata att göra översyn av eller stänga AktDirekt. 453 Den 13 april 2024 upprepade denna chef rekommendationen. 454 I slutet av denna månad begärde säkerhetsskyddschefen också att en logg över vilka som tittat på eller hämtat ut vissa akter ur Arken skulle tas fram. Loggen visade att det förekommit att akter som identifierats innehålla säkerhetsskyddsklassificerade uppgifter hade hämtats ut av såväl externa som interna användare innan de låstes under 2022 – 2023. 455

452 Information från Lantmäteriet, november 2025. 453 LM2023/016386. Se avsnitt 8.4 om tillsynen i övrigt. 454 Enligt kompletterande information från Lantmäteriet, oktober 2025, gavs rekommendationen via e-post från säkerhetsskyddschefen i april 2024. 455 Information från Lantmäteriet juni 2025 samt utdrag ur stickprovslogg, diarienummer saknas.

201

204

Den särskilda händelsen

13.2.5 Frågan om stängning av digitala tjänster tas upp i det

strategiska informationssäkerhetsforumet

Vi har haft svårt att i efterhand få grepp om vad som avhandlades vid det strategiska informationssäkerhetsforumet i april 2024, eftersom anteckningar saknas och de närmast berörda inte minns detaljerna. Enligt uppgift tog dock chefen för verksamhetsområde Geodata upp rekommendationen om stängning av AktDirekt och ArkivSök. Generaldirektören, som närvarade på mötet, fick därmed denna information. Verksamhetsområdeschefen fick i uppdrag att göra en konsekvensanalys av att stänga de digitala tjänsterna som tillgängliggör information från Arken. En konsekvensanalys av en sådan stängning presenterades därefter vid forumets möte den 20 maj 2024, se mer 456 om det längre fram.

13.2.6 Rapport avseende borttagande av digitala tjänster

I rapporten Risker i tillhandahållande av akter och konsekvenser vid borttagande av digitala tjänster, daterad den 6 maj 2024, redogör Lantmäteriet för att beslut fattats om att utlämnande av offentlig 457 handling ska sekretessprövas men att inte någon sekretessprövning sker i tjänsterna AktDirekt och ArkivSök som tillhandahåller akter digitalt. Lantmäteriet konstaterar att det finns risker i tillhandahållande av akter utifrån olika former av sekretess samt i fråga om personuppgiftshanteringen. Den låsning av akter som gjordes i samband med projektet Infosäk-GDL uppges inte vara heltäckande för att undvika att sekretesskyddad information tillhandahålls genom AktDirekt och ArkivSök. 458 Det konstateras vidare dels att en stängning innebär att akter behöver begäras ut manuellt, dels att antalet akter som öppnats under en månad 2022 uppgick till 1,4 miljoner. Det anges också att den manuella hanteringen vid utlämnande av akter kommer att öka ledtiderna avsevärt i bland annat fastighetsbildningsverksamhe-

456 Information från Lantmäteriet, maj 2025, och Lantmäteriets skrivelse Konsekvenser för att begränsa extern tillgång till Akt Direkt och ArkivSök,, den 19 april 2024, diarienummer saknas. 457 I rapporten, som saknar diarienummer, anges offentlig handling men det som torde avses här är allmän handling. 458 Lantmäteriet har i oktober 2025 förtydligat att projektet Infosäk-GDL gällde fastighetsregistret och inte akter, vilket kan vara skälet till att åtgärderna som infördes i samband med det i rapporten anges vara otillräckliga för de tjänster som kopplar till Arken.

202

205

Den särskilda händelsen

ten, samhällsbyggnadsprocessen, försäljning och köp av fastigheter samt bank- och värderingsverksamhet. Andra myndigheters och samhällsviktiga aktörers arbete skulle också påverkas och fördröjas. En stängning av tjänster anges även medföra risker för skadestånd för Lantmäteriet i förhållande till användaravtal.

13.2.7 Vad togs upp på ledningsgruppsmötet den 14 – 15 maj

2024?

Av anteckningar från ledningsgruppsmöte den 14 – 15 maj 2024 framgår att mötet till viss del handlade om utlämnande av allmänna handlingar. I de kortfattade anteckningarna om detta anges att information och dialog förs om utlämnande av allmän handling och sekretessprövning, samt att säkerhetsskyddschefen lämnar en rekommendation till myndighetsledningen. Vad rekommendationen innebär anges dock inte. Det framgår vidare att ledningsgruppen tar del av rekommendationen, att ett informationsmöte med bland andra Regeringskansliet, Lantmäteriets styrelse och Säkerhetspolisen planeras och att en arbetsgrupp kommer att arbeta med att ta fram en konsekvensbeskrivning med åtgärder som skulle avrapporteras bland annat den 20 maj på det strategiska informationssäkerhets- 459 forumet. Den dåvarande chefsjuristen har, tillsammans med dåvarande säkerhetsskyddschefen, i en tjänsteanteckning från den 15 maj 2025 redogjort för vad som enligt deras uppfattning förekom vid mötet. Några uppgifter i övrigt, utöver anteckningarna från ledningsmötet och denna tjänsteanteckning, om vad som behandlades på ledningsgruppsmötet har vi inte fått del av. Enligt tjänsteanteckningen framförde chefsjuristen att myndigheten inte har något val vad gäller säkerställande av sekretesskyddet i samband med utlämnande av allmänna handlingar och behöver resursförstärka och stötta de medarbetare som arbetar med dessa frågor. Generaldirektören ansåg vid mötet att myndigheten måste fortsätta arbetet med att klarlägga förutsättningarna rörande eventuella konsekvenser av att stänga tjänsten AktDirekt innan något beslut fattades. Vid mötet diskuteras vidare stickprovskontroller och en sannolikhetsbedömning av hur många akter som omfattas av sekretess som kan ha lämnats ut.

459 Mötesanteckningar Lantmäteriets ledningsgrupp, den 14 – 15 maj 2024.

203

206

Den särskilda händelsen

Chefsjuristen påtalade att en riskbedömning kring förekomsten av sekretess och sekretessbrott genom stickprovskontroll riskerade att presentera en felaktig bild av situationen, eftersom förekomsten inte kunde bedömas. Även säkerhetsskyddschefen menade att en sannolikhetsbedömning inte fick tillämpas vad gäller risken för röjande av säkerhetsskyddsklassificerade uppgifter, eftersom det inte kunde garanteras att sådana uppgifter inte finns i handlingar som tillgängliggörs i Lantmäteriets tjänster.

13.2.8 Styrelsen rekommenderar stängning av digitala tjänster

Vid styrelsemöte den 22 maj 2024 rekommenderade säkerhetsskyddschefen att tjänsterna i AktDirekt skulle stängas. Styrelsens beslut, enligt en omedelbart justerad punkt i protokollet, var följande:

På grund av, för styrelsen tidigare okända, brister i rutinerna kring sekretessprövning i samband med utlämnande av allmänna handlingar samt risk för förekomst av säkerhetsskyddsklassificerade uppgifter i bland annat Lantmäteriets databas för arkiverade handlingar (Arken), beslutar styrelsen att: - Myndigheten ska stänga all extern tillgång till Arken med omedelbar verkan. - Myndigheten behöver arbeta med att såväl på kort som lång sikt säkerställa en återgång till att under kontrollerade former kunna tillhandahålla information ur Arken externt. - Myndigheten ska ta fram en konsekvensanalys för verksamheten samt en analys över konsekvenserna för externa aktörer och samhället. - Myndigheten ska ta fram en plan för hur förlorade avgiftsintäkter och kostnadsökningar omhändertas. - Myndigheten ska ta fram en plan för hur en återgång till ordinarie verksamhet ska ske. - Myndigheten ska ta fram en väl genomarbetad kommunikationsplan med talepunkter och tydliga budskap. - Myndigheten ska ta fram en plan för en snabb ”uppskalning” av det manuella arbetet rörande utlämnande av allmän handling och sekretessprövning ska ske. - Myndigheten ska löpande informera styrelsen mellan ordinarie styrelsemöten.

204

207

Den särskilda händelsen

Styrelsen är medveten om att beslutet kan innebära stor påverkan på såväl verksamheten som samhället. 460

13.3 Den särskilda händelsen med mera

13.3.1 Den särskilda händelsen inleds

På morgonen den 23 maj 2024 beslutade generaldirektören att det förelåg en så kallad särskild händelse på Lantmäteriet och aktiverade 461 beredskapsorganisationen. Hela den dagen och den 24 maj 2024 ägnade ledningsgruppen i huvudsak åt att utreda de tekniska förutsättningarna för en kommande stängning, konsekvenserna av en sådan samt hur detta skulle kommuniceras internt och externt. 462 Den 24 maj 2024, kl. 11.50, beslutade generaldirektören att stänga tjänsterna i Arken för externa användare. Vid samma tidpunkt gick ett pressmeddelande ut där saken sammanfattningsvis beskrevs på följande sätt, samtidigt som det upplystes om att utlämnandet av information i stället görs via Kundcenter:

Lantmäteriet förändrar av säkerhetsskäl rutiner kring åtkomst av handlingar och information. Det medför att tillgången till viss information i ett antal av Lantmäteriets digitala tjänster stängs av eller begränsas. Åtgärderna är ett sätt att säkerställa att sekretessbelagd information inte når fel händer. Bakgrunden är att Lantmäteriet har uppmärksammat brister i myndighetens hantering i utlämnandet av allmänna handlingar, som har medfört att även sekretessbelagd information har funnits tillgänglig i vissa av Lantmäteriets externa digitala tjänster.

Vid lunchtid samma dag etablerades också en kontakt med de kommunala lantmäterimyndigheterna. Även Regeringskansliet, Säkerhetspolisen och Riksrevisionen informerades. Beredskapsorganisationen avaktiverades därefter den 24 maj enligt Lantmäteriets logg för den särskilda händelsen, även om arbetet med den särskilda händelsen fortsatte.

460 Styrelseprotokoll den 22 maj 2024. Vid efterföljande möte den 29 maj enades styrelsen om att formuleringen i protokollet den 22 maj fått en felaktig lydelse och omformulerade de två första punkterna, se styrelseprotokoll den 29 maj 2024, LM 2024/002260, vilket beskrivs längre fram. 461 Beslut om särskild händelse på Lantmäteriet, den 23 maj 2024, LM2024/030526. 462 Arbetet i samband med den särskilda händelsen finns beskrivet i Lantmäteriets logg för den särskilda händelsen, LM 2024/034148, som vi har tagit del av.

205

208

Den särskilda händelsen

Den 24 maj gjordes även en anmälan till Integritetsskyddsmyndigheten om eventuell obehörig åtkomst till känsliga personuppgifter. 463 Den 27 maj 2024 skickade Lantmäteriet till ett antal fastighetsägare ut en skrivelse med likartad information som i det tidigare pressmeddelandet. Enligt skrivelsen valde Lantmäteriet att informera, eftersom det inte kunde uteslutas att det funnits säkerhetskänsliga uppgifter om mottagaren i Lantmäteriets externa e-tjänster. 464 Den 28 maj beslutade generaldirektören att de arkivakter som skapats av kommunala lantmäterimyndigheter fick lämnas ut till respektive myndighet. Av beslutet framgår i huvudsak följande. De kommunala lantmäterimyndigheterna har med stöd av 6 kap. 5 § OSL begärt att Lantmäteriet ska lämna ut kopior av deras akter, som Lantmäteriet lagrar för deras räkning. Akterna omfattas av sekretess men intresset för att uppgifterna lämnas ut har företräde framför de intressen som ska skyddas, särskilt med hänsyn till de kommunala lantmäterimyndigheternas behov av uppgifterna för sin verksamhet, samt att uppgifterna skyddas av sekretess även hos mottagaren. Med hänsyn till behovet av skydd för personuppgifter och säkerhetsskyddsklassificerade uppgifter beslutades att utlämnandet skulle ske i särskild ordning och i vissa fall enligt 465 anvisningar från myndighetens dåvarande säkerhetsskyddschef. För att kunna lämna ut de kommunala lantmäterimyndigheternas akter till respektive myndighet ställde Lantmäteriet krav på att försändelserna skulle mottas av medarbetare med godkänd säkerhetsprövning. 466 Några dagar senare, i slutet av maj, hade i stort sett samtliga kommunala lantmäterimyndigheter fått ut sina handlingar med enstaka undantag där bristande säkerhetsklass hos mottagande personal saknades. 467

463 LM 2024/031052. 464 Ett exempel är skrivelsen LM2024/031305. 465 Beslut LM2024/031834 466 Styrelseprotokoll den 29 maj 2024, LM 2024/002260, punkt 7. 467 Lantmäteriets logg för den särskilda händelsen, LM 2024/034148.

206

209

Den särskilda händelsen

13.3.2 Styrelsens tidigare beslut formuleras om

Vid styrelsemötet den 29 maj 2024 korrigerades vissa formuleringar i det beslut som fattats den 22 maj på så sätt att de två första punkterna i tidigare beslut ersattes med följande formuleringar: - Myndigheten omedelbart måste säkerställa att information (ur Arken) som omfattas av sekretess inte kan komma obehöriga tillhanda. - Myndigheten snarast ska ta fram en plan för hur information (ur Arken) som inte omfattas av sekretess kan lämnas ut på ett kontrollerat sätt, internt och externt, så snart som detta är möjligt.

Någon motivering till varför dessa punkter formulerades om har vi inte fått fram. I protokollet från detta möte noteras i övrigt bland annat följande. 468 Nedstängningen av Arken har medfört såväl en mycket stor samhällspåverkan som en stor intern belastning. Åtgärder vidtas för att stärka upp myndighetens kundcenter för granskning och utlämnande av allmänna handlingar. Förstärkningen av kundcenterverksamheten får påverkan på myndighetens ärendehandläggning och myndigheten utreder därför parallellt möjligheterna att helt eller delvis efter vissa åtgärder kunna öppna upp olika e-tjänster på nytt. De kommunala lantmäterimyndigheternas egna akter som arkiveras i Arken har redan bedömts kunna lämnas ut till respektive myndighet och nästa steg som arbetas med är att kunna förse varje kommunal lantmäterimyndighet med samtliga arkivakter inom respektive kommun. Belastningen på medarbetarna är hög och myndigheten ser därför över möjligheterna att tilläggsrekrytera eller låna in personal för att förstärka kundcenterverksamheten.

Enligt protokollet konstateras vidare att det inte går att fastställa vilka skyddsvärden som kan ha röjts utan en omfattande manuell genomgång. Eftersom Arken funnits sedan 1990-talet, vore det också trots en sådan genomgång svårt att avgöra vilken information som eventuellt har lämnats ut. Chefsjuristen uppgav på styrelsemötet att möjligheterna till direktåtkomst ur Arken, med hänsyn till förekomsten av sekretessreglerade uppgifter i akterna, sannolikt skulle vara begränsade i framtiden. Hon menade också att det var oklart om myndigheten någon-

468 Styrelseprotokoll den 29 maj 2024, LM 2024/002260.

207

210

Den särskilda händelsen

sin skulle kunna ha ett tillhandahållande igen som motsvarar det hittillsvarande. Styrelsen förklarade sig stå bakom myndighetens hittillsvarande hantering till följd av det styrelsebeslut som meddelades den 22 maj 2024.

13.3.3 Även den interna åtkomsten till akter i Arken begränsas

Den interna tillgången till tjänster hölls inledningsvis öppen bland annat utifrån att det är myndigheten som äger den interna riskhanteringen, att samtliga medarbetare skrivit på sekretessavtal och att säkerhetsprövade medarbetare följs upp årligen. 469 Den 30 – 31 maj stängdes dock även den interna åtkomsten till akterna i Arken via olika system för de medarbetare som inte hade en godkänd säkerhetsprövning. Därefter har behörigheter tillförts efter hand 470 som medarbetare genomgått godkända säkerhetsprövningar.

13.4 Arbetet med den särskilda händelsen under

återstoden av 2024

13.4.1 Uppsägning av avtal med mera

Under sommaren beslutade Lantmäteriet, med motiveringen att begränsa skadan, att säga upp ett stort antal avtal som gav tillgång till tjänsterna AktDirekt och ArkivSök eller till information i Arken. Det uppgavs bero på att sekretesskyddad information funnits till- 471 gänglig i vissa av de externa e-tjänsterna. Den 25 juni respektive den 5 juli informerades Regeringskansliet och Säkerhetspolisen om den särskilda händelsen och det pågående 472 arbetet med denna. Ett omfattande arbete pågick också internt på myndigheten med att bland annat planera för rekrytering av ytterligare medarbetare. Förflyttning av resurser mellan verksamhetsområden för att

469 Jämför styrelseprotokoll den 29 maj 2024, LM 2024/002260. 470 Detta framgår av Lantmäteriets logg för den särskilda händelsen, LM 2024/034148. 471 Beslut om uppsägning av vidareförädlares licensavtal avseende nyttjanderätt till Arkentjänsterna, den 6 juni 2024, LM2024/034146. 472 Tjänsteanteckning särskild händelse – infomöte med RK, den 29 juni 2024, LM2024/000003 samt Tjänsteanteckning särskild händelse – infomöte med Säkerhetspolisen, den 5 maj 2024, LM2024/040803.

208

211

Den särskilda händelsen

sekretesspröva akter för utlämnande skulle göras. Dessutom skulle säkerhetsprövning av medarbetare genomföras. Parallellt med detta arbetades också med olika rättsutredningar om tillhandahållandemöjligheter till olika aktörer, framför allt överföring av akter till de kommunala lantmäterimyndigheterna och andra myndigheter, samtidigt som antalet förfrågningar om att få ut handlingar ökade markant. Härtill fördes dialoger med ett antal olika kommunala lantmäterimyndigheter och andra myndigheter om deras behov och hur de stängda tjänsterna påverkade dem. När det gäller privata aktörer diskuterades hur de stängda tjänsterna påverkade Lantmäteriets avtal med dem. 473 Under sommaren arbetade 150 medarbetare på Fastighetsbild- 474 ning deltid med sekretessprövning och utlämnande.

13.4.2 Ytterligare åtgärder vidtas

I augusti fattade generaldirektören med stöd av 6 kap. 5 § OSL två tidsbegränsade beslut att elektroniskt lämna ut uppgifter som inte är sekretesskyddade i arkivakter i Arken samt SFÄR till andra myndigheter. De uppgifter som kunde lämnas ut på detta sätt var sådana som den mottagande myndigheten hade behov av i sin ordinarie för- 475 fattningsreglerade verksamhet. I augusti hölls även ett ledningsgruppsmöte vid vilket ledningsgruppen enades om att tillsätta en operativ arbetsgrupp för det fortsatta arbetet kopplat till den särskilda händelsen. 476 Den 17 september 2024 tydliggjordes i en säkerhetsskyddsklassificeringspromemoria avseende verksamhetsområde Fastighetsbildning att det bedömdes förekomma säkerhetsskyddsklassificerade uppgifter i informationsmängderna i Arken. Det noterades att en arkivakt visar förhållandena som de såg ut vid en förrättnings avslut

473 Detta framgår av Lantmäteriets logg för den särskilda händelsen för perioden juni – juli 2025, LM2024/034148. 474 Uppgift från bildspel till styrelsemöte om den särskilda händelsen, oktober 2024. 475 Beslut den 2 augusti 2024, LM2024/043740, respektive den 23 augusti 2024, LM2024/047230. Ett likartat beslut men med giltighet tills vidare fattades i mars 2025 avseende Arken. 476 Mötesanteckningar Lantmäteriets ledningsgrupp, den 12 augusti 2024.

209

212

Den särskilda händelsen

och att en sådan akt inte får ändras oavsett vad som händer med fastigheten eller ägandet och användningen av den. 477 Inom Lantmäteriet diskuterades och utreddes olika alternativ för att skyndsamt kunna öppna de digitala tjänsterna igen. Efter en rättsutredning i september 2024, på uppdrag av Lantmäteriets ledningsgrupp, gjordes bedömningen att arkivhandlingar i Arken enligt den så kallade generalklausulen i 10 kap. 27 § OSL kan tillhandahållas andra myndigheter via direktåtkomst utan att sekretess röjs. Det ansågs gälla särskilt när mottagande myndighet har behov av arkivhandlingarna i myndighetsutövning, för åtgärder inom förvaltning eller inom rättsskipning samt har verksamhet inom ramen för samhällsbyggnadsprocessen, i vid bemärkelse. Den bedömningen gjordes i huvudsak utifrån att de aktuella sekretessbestämmelserna inte gäller bara hos vissa uppräknade myndigheter utan för alla myndigheter och att uppgifterna därför har sekretesskydd oavsett vilken myndighet som har dem. Det uppgavs dock att Lantmäteriet skulle göra en djupare analys av till vilka myndigheter det är lämpligt att ge åtkomst. Det uttrycktes också att det inom juristgruppen fanns en osäkerhet om tillämpningen av 21 kap. 3 a § OSL vid tillhandahållande (det vill säga sekretess för personer med skyddad folkbokföring), vilket följdes upp med en ny utredning i januari 2025. 478

13.4.3 Granskningsgrupp Arken och de särskilda kriterierna

De så kallade ”kriterierna”, som syftar till att identifiera vilka akter som kan innehålla säkerhetsskyddklassificerade uppgifter, beslutades av generaldirektören den 5 september 2024. 479 Den 1 oktober 2024 fattade Lantmäteriet beslut om att inrätta en grupp som skulle ha till uppgift att sekretesspröva arkivakter från Arken i samband med internt och externt tillhandahållande (Granskningsgrupp Arken). Beslutet motiverades i huvudsak enligt följande.

477 I promemorian justerades tidigare bedömning att ”det inte går att utesluta” att säker hetsskydds klassificerade uppgifter finns till att ”det förekommer” sådana uppgifter, pro memoria LM2024/051840 s. 1. 478 Se avsnitt 11.7.2 samt promemorian Nationellt Digitalt lantmäteriarkiv, den 16 september 2024, LM2024/052370. 479 Beslut om kriterier för informationssäkerhetsåtgärder avseende Arken, den 5 september 2024, LM2024/049935.

210

213

Den särskilda händelsen

Med anledning av stängningen av den externa åtkomsten till Arken har Lantmäteriet sett en väsentligt ökad mängd begäranden om utlämnande av allmänna handlingar och uppgift ur allmän handling samt utlämnande av uppgifter till myndighet. Inflödet bedöms förbli högt under en lång tid framöver. För att säkerställa kapaciteten att tillgodose behovet av arkivakter ur Arken är det nödvändigt att inrätta en centraliserad sekretessgranskningsgrupp med expertkompetens rörande de informationsmängder som lagras i Arken och ett tillämpligt regelverk avseende sekretess och informationssäkerhet. Avsikten är att gruppen ska tillgodose ett tillfälligt behov fram tills en ny ordinarie arbetsfunktion har kapacitet och kompetens att hantera uppgifterna. Gruppen delas in i tre arbetsgrupper med olika uppgifter i förhållande till olika interna och externa utlämnanden. 480

Dagen efter, den 2 oktober, uppgavs i en skrivelse, som vi förstår riktats till styrelsen även om detta inte anges, att verksamhetsområde Säkerhet avråder från öppnande av digitala arkivtjänster innan Lantmäteriet har delgetts beslut i pågående tillsynsärende och detta 481 har analyserats. Den 17 oktober beslutade generaldirektören om informationssäkerhetsåtgärder avseende Arken i enlighet med ett förslag som ledningsgruppen godkänt i september, kopplat till den särskilda händelsen. Beslutet innebar i korthet att sådana arkivakter i Arken som träffas av vissa givna kriterier, som framgår av ett separat beslut av generaldirektören, inte får göras tillgängliga i myndighetens interna eller externa tillhandahållandetjänster utan att först ha varit föremål för en individuell sekretessprövning. Vid en sådan måste konstateras att arkivakten inte innehåller säkerhetsskyddsklassificerade uppgifter. En arkivakt som arkiveras i Arken får inte heller göras tillgänglig förrän det kontrollerats om den träffas av kriterierna och den i så fall varit föremål för en individuell sekretessbedömning. En arkivakt som inte omfattas av kriterierna kan enligt beslutet göras omedelbart tillgänglig. Dessa beslut avser arkivakter i Arken för vilka verksamhetsområde Fastighetsbildning, Geodata respektive 482 Fastighetsinskrivning är informationsägare.

480 Beslut om inrättande av Granskningsgrupp Arken den 1 oktober 2024, LM2024/056971. 481 Avrådan från att fatta beslut om öppnande av digitala arkivtjänster, den 2 oktober 2024, LM2024/059017. 482 Tre olika beslut om informationssäkerhetsåtgärder avseende Arken (ett för respektive verksamhetsområde), den 17 oktober 2024, LM2024/060089. Jämför även Lantmäteriets logg för den särskilda händelsen den 17 oktober2024, LM 2024/034148.

211

214

Den särskilda händelsen

Enligt uppgift från Lantmäteriet utgör kriterierna en spegelbild av informationssäkerhetsåtgärderna som infördes i fastighetsregistret i januari 2024 men är mycket mer omfattande. 483 Det fortsatta arbetet hos Lantmäteriet att kartlägga vilka akter som omfattas av sekretess och inte – vilket i sin tur har bäring på vilka som kan komma att göras tillgängliga igen vid ett framtida öppnande av tjänster – bygger fortfarande på de beslutade kriterierna och att validera, bland annat genom dialoger med utvalda aktörer, att dessa träffar rätt information och akter. 484

13.4.4 Ett stort antal arkivakter låses

I november 2024 låstes närmare en miljon arkivakter (av omkring 3,8 miljoner akter) i Arken utifrån de angivna kriterierna. Det innebar att de var åtkomliga endast för ett fåtal medarbetare för sekretessprövning. Dessa informationssäkerhetsåtgärder medförde att en betydande del av arkivakterna i Arken gjordes otillgängliga även i interna tillhandahållandetjänster och efter detta är tillgängliga enbart för särskilda granskningsgrupper inom myndigheten. Säkerhetsprövning hade därtill genomförts av intern personal med åtkomst till Arken. 485 Enligt Lantmäteriet handlade det om försiktighetsåtgärder på så sätt att en mängd potentiellt känsliga akter låstes utifrån att de, sett till kriterierna, kunde omfattas av sekretess även om de kanske inte gjorde det. Härefter kvarstår enligt Lantmäteriet ett stort arbete med att sekretesspröva de låsta akterna och bedöma vilka som kan öppnas. Det arbetet pågår. 486 Vid styrelsemöte samma månad förde styrelsen en diskussion om vilka kanaler som användes för att rapportering av avvikelser och brister skulle nå myndighetens ledning. Styrelsen noterade att rapportering om brister inte föreföll ske via organisationens ordinarie rapporteringsvägar. Mot bakgrund av observationen diskuterade

483 Information från Lantmäteriet, november 2025. Jämför den tidigare beskrivningen av detta i avsnitt 13.2.1. 484 Jämför Lantmäteriets logg för den särskilda händelsen under hösten 2024 samt början av 2025, LM 2024/034148. 485 Information från Lantmäteriet, kompletterat med skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken som lämnades till utredningen den 29 september 2025. 486 Information från Lantmäteriet den 25 maj 2025, jämför även Lantmäteriets logg för den särskilda händelsen, under hösten 2024 samt början av 2025, LM 2024/034148.

212

215

Den särskilda händelsen

styrelsen också om det fanns ett kulturellt problem eller ett ledningsproblem i myndigheten. 487 Den 6 december beslutade regeringen, efter samråd med generaldirektören, att hon skulle lämna sitt uppdrag. I mitten av december fattade verksamhetsområdeschefen för fastighetsbildning ett internt beslut att interimistiskt pausa all kommunikation av säkerhetsskyddsklassificerade uppgifter med sakägare vid handläggning av fastighetsbildningsärenden. Bedömningen gjordes med motiveringen att rutinerna behövde ses över med anledning av att det uppstått osäkerhet i hur hanteringskraven enligt säkerhetsskyddslagen skulle säkerställas i förhållande till sakägare samtidigt som rättssäkerheten upprätthålls. I beslutet anges bland annat att säkerhetsskyddsklassificerade uppgifter som är av materiell betydelse i ärendet enligt lag ska kommuniceras till sakägarna. 488

487 Styrelseprotokoll den 20 november 2024, LM2024/002260. 488 Beslut den 13 december 2024, LM2024/074283.

213

217

14 Det fortsatta arbetet med den särskilda händelsen och utlämnande av allmänna handlingar under 2025

14.1 Kapitlets innehåll

I detta kapitel finns en översiktlig beskrivning av delar av det fortsatta arbetet under 2025 med den särskilda händelsen och utlämnandet av allmänna handlingar, inklusive inriktningen mot att igen försöka öppna digitala tjänster.

14.2 Uppdrag inom ramen för den särskilda

händelsen

I januari beslutade Lantmäteriet om fyra uppdragsplaner för hante- 489 ring av den särskilda händelsen. Planerna var: 1. Behov av regelutveckling för en säker hantering av information 2. Enhetligt utlämnande av allmän handling 3. Säkerställa förvaltningen och utvecklingen av kriterierna 4. Skapa åtkomst till aktinformation från Arken Innebörden av uppdragen kan i korthet beskrivas enligt följande.

489 Beslut den 23 januari 2025, LM2025/007288.

215

218

Det fortsatta arbetet med den särskilda händelsen

Uppdraget Behov av regelutveckling för en säker hantering av information pågick till slutet av februari 2025 och gick ut på att sammanställa de regelutvecklingsbehov som identifierats och som utgjorde ett hinder för en säker och effektiv hantering och utlämnande av handlingar (både digitalt och manuellt). De regelutvecklingsbehov som avsågs hänför sig dels till Lantmäteriets hantering av uppgifter och handlingar, inklusive informationssäkerheten i stort, dels till att externt öppna tjänsterna för myndigheter. Även den hantering som följer av utlämnandet av allmänna handlingar omfattades. 490 I detta deluppdrag föreslås att Arkenförordningen upphävs, alternativt en omfattande revidering av förordningen. Det beskrivs som ett problem att det finns känsliga personuppgifter i arkivakter, vilket man i förordningen har utgått från att det inte gör. Lantmäteriet bedömer att förordningen inte är tillämplig på den befintliga tekniska lösningen (en arkivdatabas) hos Lantmäteriet. 491 Myndigheten ansåg även att de rättsliga förutsättningarna för tillhandahållande av känsliga personuppgifter i akter bland annat till andra mottagare än myndigheter behövde utredas. I uppdraget Enhetligt utlämnande av allmän handling på Lantmäteriet ingick ett antal olika delfrågor, bland annat att ta fram en handbok om utlämnande av allmän handling, att skapa en gemensam sida på intranätet där all väsentlig information finns samlad om utlämnande av allmän handling och att slutföra arbetet med en grundläggande behovsanpassad utbildning inom sekretessprövning och försvarssekretess. Handboken färdigställdes och togs i bruk under våren 2025 och information om utlämnande finns numera samlad på intranätet. Det har vidare bedrivits kompetenshöjande insatser inom området. Uppdraget Säkerställa förvaltningen och utvecklingen av kriterierna avslutades den 31 mars 2025 och innefattade bland annat att dokumentera, förvalta och utveckla arbetet med kriterier. Uppdraget Skapa åtkomst till aktinformation från Arken avses pågå tills tjänster på nytt kan tas i drift och går i stort ut på att åstad-

490 Rapporten Behov av regelutveckling för en säker hantering av information, den 13 mars 2025, LM2025/159810, s. 3. Utöver de förslag som redogörs för här efterfrågar Lantmäteriet bland annat ytterligare utredningar om sekretessbestämmelser för förföljda personer med mera i vissa av myndighetens ärenden och register samt sekretessbrytande bestämmelser om utlämnande till ny fastighetsägare. 491 Rapporten Behov av regelutveckling, LM2025/159810, s. 4, se även kapitel 11.

216

219

Det fortsatta arbetet med den särskilda händelsen

komma ett säkert och kontrollerat tillhandahållande av aktinformation samt en ökad kapacitet av utlämnande av allmän handling. 492

14.3 Arbetet mot ett återöppnande av de digitala

tjänsterna

14.3.1 Vilka tjänster ska öppnas och hur?

Enligt uppgift från Lantmäteriet finns det en förväntan även från regeringen att myndigheten i någon grad ska öppna digitala tjänster igen. Lantmäteriet gör den tolkningen utifrån hur myndigheten har budgetsatts för 2026. 493 I ett bildspel, avsett för styrelsen, daterat den 5 februari 2025 finns en sektion som benämns Plan för återöppnande. Där framgår i huvudsak följande. Avseende den krets som kan få tillgång till tjänsterna anges i bildspelet att villkoren är att aktörerna omfattas av de sekretessbestämmelser som gäller för uppgifterna i Lantmäteriets tjänster, att de behöver informationen för att utföra sina myndighetsuppgifter samt att det görs en individuell prövning av varje sökande organisation. Mottagande organisation får tydlig information om att akterna kan innehålla sekretessreglerade uppgifter och känsliga personuppgifter och ska säkerställa att deras individuella användare har kunskap om hur tjänsterna och informationen däri får användas. Vidare nämns i bildspelet att det kommer att införas en loggning av individuell användning, innebärande bland annat att Lantmäteriet delar ut individuella behörigheter. Lantmäteriet uppges kunna stänga av åtkomst eller ta bort behörigheter. Lantmäteriets bedömning i bildspelet är att de tjänster som kan öppnas enbart är sådana där det kan garanteras en maskinläsbar individuell loggning av användning, vilket för externa aktörer gäller ArkivSök och FR-Webb. I ett beslut den 13 augusti 2025 har Lantmäteriet fastställt förutsättningarna för ett externt tjänstebaserat elektroniskt tillhanda-

492 Information från Lantmäteriet, december 2025. 493 Lantmäteriets logg för den särskilda händelsen, LM 2024/034148. Vi har noterat att Lantmäteriets anslag i budgetpropositionen (prop. 2025/26:1 UO 18, s. 35) ökas med 20 miljoner kronor för 2026 för att möta det ökade behovet av manuell sekretessprövning för att hantera Lantmäteriets ärenden om utlämnande av allmänna handlingar och för viss teknisk utredning och utveckling.

217

220

Det fortsatta arbetet med den särskilda händelsen

hållande av akter ur Arken. Av beslutet framgår bland annat följande. 494 Lantmäteriet förbereder tillhandahållande av tjänster som avser att ge vissa aktörer åtkomst till vissa handlingar i Arken. Det tjänstebaserade elektroniska tillhandahållandet kan i normalfallet medges en myndighet, under förutsättning att 1. minst en sekretessbrytande bestämmelse är tillämplig på tillhandahållandet för det avsedda ändamålet, 2. det finns rättsligt stöd för att behandla känsliga personuppgifter i tillhandahållandet för det avsedda ändamålet, och 3. ändamålet för åtkomst är förenligt med finalitetsprincipen, det vill säga att ändamålet överensstämmer med det ursprungliga ändamålet för vilket personuppgifterna samlades in.

Myndigheter som beviljas åtkomst till information ur Arken ska enligt beslutet få information om att de får tillgång till sekretessreglerade uppgifter, känsliga personuppgifter och extra skyddsvärda personuppgifter i form av exempelvis personnummer. Vidare anges i beslutet att Lantmäteriet agerar utifrån att Arkenförordningen inte är tillämplig på Arken och därmed inte ger rättsligt stöd för extern åtkomst till Arken. Trots det bedömer Lantmäteriet att det finns grundläggande rättsliga förutsättningar att medge vissa externa aktörer åtkomst till Arken. Så kan dock ske enbart för en begränsad krets aktörer som använder innehållet i Arken för avgränsade ändamål. 495 De identifierade ändamålen uppges i beslutet vara samhällsutveckling med mera, lantmäteriverksamhet, överprövning, prövning av överklagande samt rättskipning och förberedande åtgärder enligt fastighetstaxeringslagen. Härtill uppges i beslutet att ett tjänstebaserat elektroniskt tillhandahållande förutsätter att de tekniska lösningarna innehåller lämpliga skyddsåtgärder.

494 Beslut LM2024/106363. 495 Som underlag för bedömningen refereras till bland annat promemorian Nationellt digitalt lantmäteriarkiv, LM2024/0523 70. Vidare hänvisas till dataskyddslagen i fråga om möjligheten att behandla känsliga personuppgifter och personnummer.

218

221

Det fortsatta arbetet med den särskilda händelsen

14.3.2 Dialoger med externa aktörer med mera

En viktig åtgärd inför ett återöppnande har enligt Lantmäteriet varit att genomföra dialoger med berörda aktörer (fastighetsägare) för att kvalitetssäkra att de kriterier som tagits fram fångar akter som omfattas av sekretess. Under arbetet med den särskilda händelsen har aktörer identifierats och en process konkretiserats. 496 Detta arbete pågår.

14.3.3 Kontakter med olika myndigheter

En annan viktig del av Lantmäteriets arbete efter stängningen av digitala tjänster har varit att föra dialog med andra myndigheter, exempelvis länsstyrelser, Sveriges Kommuner och Regioner (SKR) och domstolar, i syfte att bedöma behovet av tillgång till aktinformationen i Lantmäteriets system. Lantmäteriet har initierat sådan samverkan med berörda myndigheter.

14.3.4 Att söka akter och att dela upp dem

Lantmäteriet arbetar med inriktningen att skilja på akter med respektive utan säkerhetsskyddsklassificerade uppgifter. Akter utan sådana uppgifter öppnas för tillhandahållande internt genom att göras tillgängliga för behöriga medarbetare. 497 Och sådana akter avser Lantmäteriet framöver tillhandahålla till myndigheter digitalt, eftersom man gjort bedömningen att uppgifterna hos mottagande myndighet omfattas av samma sekretessregler som hos Lantmäteriet eller omfattas av överföring av sekretess. Akter som kan innehålla säkerhetsskyddsklassificerade uppgifter anse man däremot ska förbli låsta. 498 Enligt uppgift har Lantmäteriet från den del av akterna som bedömts som öppna sökt ut all försvarssekretess på ett generellt sätt utifrån kriterier, eftersom Arken innehåller fotograferade akter och det inte bedöms görligt att söka igenom samtliga akter. Enligt Lantmäteriet kan det dock förekomma annan sekretess i akterna. Med nuvarande lagstiftning anser Lantmäteriet att det inte kommer att

496 Lantmäteriets logg för den särskilda händelsen, LM2024/034148. 497 Jämför beslutet LM2024/070889 den 15 januari 2025. 498 Information från Lantmäteriet, december 2025.

219

222

Det fortsatta arbetet med den särskilda händelsen

vara möjligt att öppna denna informationsmängd mot andra aktörer än myndigheter. Lantmäteriet utredde, inför stängningen av den externa tillgången till AktDirekt och ArkivSök, vilka konsekvenser det skulle medföra. Då angavs bland annat som konsekvens en kraftigt ökad arbetsbelastning på Lantmäteriets granskare av akterna, en ökad kostnad för manuell hantering, en risk för felaktig hantering på grund av fler moment, ökad tid att få ut akten, högre arbetsbelastning hos kommunerna för att ge service till privatpersoner om deras fastigheter samt ökade handläggningstider i samhällsbyggnadsprocessen. 499

14.3.5 Tidsperspektiv för återöppnande

Den initiala planen var att öppna tjänsterna redan i oktober 2024 men detta avråddes Lantmäteriet från att göra av verksamhetsområde Säkerhet utifrån den då pågående tillsynen av säkerhetsskyddet. 500 Styrelsen var inte heller redo att häva sitt beslut om nedstängning av tjänsterna. Av styrelseprotokoll från den 11 oktober 2024 framgår visserligen att styrelsen konstaterar att myndigheten vidtagit i huvudsak samtliga åtgärder som efterfrågades av styrelsen i samband med att beslutet om stängning fattades. Det uppges dock att styrelsen innan man kan överväga att fatta ett nytt beslut bland annat ska ha tagit del av Säkerhetspolisens ställningstagande i tillsynsärendet och en värdering av samtliga risker som identifierats under arbetet. Myndigheten skulle därtill ha gjort en särskild säkerhetsskyddsbedömning enligt 3 kap. 1 § säkerhetsskyddsförordningen som styrel- 501 sen skulle ta del av. Härefter blev målsättningen att arbeta för ett öppnande i början av december 2024. Tidsplanen har ändrats ett flertal gånger, enligt

499 Lantmäteriets skrivelse Konsekvenser för att begränsa extern tillgång till Akt Direkt och ArkivSök, den 19 april 2024, diarienummer saknas. 500 Avrådan från att fatta beslut om öppnande av digitala tjänster, den 2 oktober 2024, LM2024/05917. 501 Styrelseprotokoll den 11 oktober 2024, punkt 2.

220

223

Det fortsatta arbetet med den särskilda händelsen

uppgift bland annat utifrån att dialogerna med externa aktörer inte slutförts. 502 Vid ett styrelsemöte i februari 2025 fastställdes att ett beslut om öppnande av digitala tjänster skulle tas av styrelsen, inte generaldirektören. Ny planering för öppnande blev mars 2025. 503 Enligt mötesprotokollet förväntade sig styrelsen att Lantmäteriets dialog med 504 civilförsvarssektorn då slutförts och redovisats för styrelsen. Härefter har Lantmäteriet i mars 2025, när det gäller att öppna digitala tjänster för offentliga aktörer, kommunicerat att det behövt 505 skjutas fram ytterligare. Arbetet med inriktning mot att på nytt öppna digitala tjänster för aktinformation pågår fortfarande.

14.3.6 Bedömning av skyddad folkbokföring

I den tidigare nämnda promemorian Nationellt digitalt lantmäteriarkiv utreddes de rättsliga förutsättningarna för att öppna ett digitalt tillhandahållande av arkivhandlingar i Arken till aktörer inom offentlig verksamhet med myndighetsuppgift och där ett behov av informationen finns. I promemorian framkom viss osäkerhet om uppgifter som finns i arkiverade handlingar kan omfattas av sekretess enligt 21 kap. 3 a § OSL (det vill säga sekretess för personer med skyddad folkbokföring) och om Lantmäteriet kan 506 tillhandahålla sådana uppgifter till andra myndigheter. Som tidigare nämnts gäller enligt den bestämmelsen en presumtion för att uppgifterna omfattas av sekretess. I slutet av 2024 gjorde jurister inom Lantmäteriet bedömningen att det inte kan uteslutas att det kan finnas uppgifter som omfattas av sekretess enligt 21 kap 3 a § OSL i arkivhandlingar även om det bedömdes osannolikt att en person som efter arkiveringen har fått skydd fortsätter att vistas på samma fastighet. Vidare bedömdes att sådana uppgifter inte kan lämnas ut med stöd av generalklausulen

502 Detta framgår av Lantmäteriets logg för den särskilda händelsen, LM 2024/034148. Av styrelseprotokollet från den 4 december 2024 framgår endast kortfattat att en avrapportering görs där det informeras om tidplan och aktiviteter kopplat till myndighetens arbete med den särskilda händelsen. Enligt uppgift från Lantmäteriets nuvarande generaldirektör är det dialogerna med olika aktörer som gjort att öppnandet dragit ut på tiden. 503 Detta framgår av Lantmäteriets logg för den särskilda händelsen, LM 2024/034148. I mötesprotokollet i sig är det inte beskrivet i dessa ordalag. 504 Styrelseprotokoll den 18 februari 2025, punkt 20. 505 Se https://www.lantmateriet.se/sv/om-lantmateriet/press/nyheter/lantmaterietfokuserar-pa-skyndsam-atkomst-av-arkivakter/, hämtat den 24 november 2025. 506 Promemorian Nationellt Digitalt lantmäteriarkiv, den 16 september 2024, LM2024/052370.

221

224

Det fortsatta arbetet med den särskilda händelsen

10 kap. 27 § OSL, eftersom det inte kan anses vara uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda. 507 Man menade att det inte heller på förhand kan avgöras om uppgifterna kommer att ingå i ett ärende hos den mottagande myndigheten och därigenom skyddas genom 21 kap. 3 a § OSL. 508 I januari 2025 gjorde Lantmäteriet en annan bedömning, genom den dåvarande vikarierande generaldirektören, av möjligheterna att ge elektronisk tillgång till myndigheter (genom direktåtkomst) i förhållande till 21 kap. 3 a § OSL. Bedömningen gjordes att eventuella sekretesskyddade uppgifter omfattades av sekretess hos de mottagande myndigheterna och med hänvisning till 11 kap. 4 § OSL 509 i fråga om så kallad överskottsinformation. Uppgifterna bedömdes vidare kunna lämnas ut med stöd av 10 kap. 27 § OSL. Det ansågs uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda. 510

14.4 Nuläge avseende organisation, antal

förfrågningar och bemanning

I oktober 2025 tog Lantmäteriet fram ett underlag för beslut om skyndsam sekretessprövning och utlämnande av arkivakter. I rapporten beskrivs den nuvarande organisationen enligt följande. 511 För nuvarande hanteras låsta akter i Gävle och av inlånad personal på kontoret i Stockholm. De öppna Fastighetsbildningsakterna sekretessprövas av personal från Fastighetsbildningen runt om i landet. Inskrivningsakterna, som inte är låsta på sätt som fastighetsbildningsakter i Arken, granskas av inskrivningens personal. Akter

507 I 10 kap. 27 § OSL anges att en sekretessbelagd uppgift får lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. 508 Utredningarna 10 kap. 27 § OSL, den 18 november 2024, diarienummer saknas, samt 21 kap. 3 a § OSL avseende arkivakter, den 10 december 2024, diarienummer saknas. 509 Enligt den bestämmelsen gäller att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Den här bestämmelsen gäller enligt 11 kap. 8 § OSL bara om det inte finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten. 510 Utredningen Förutsättningar för att lämna ut uppgifter som omfattas av 21 kap. 3 a § OSL med stöd av 10 kap. 27 § OSL, den 22 januari 2025, diarienummer saknas. 511 Rapporten Organisation för en skyndsam sekretessprövning och utlämnande av akter, den 2 oktober 2025, LM2025/128417, s. 16.

222

225

Det fortsatta arbetet med den särskilda händelsen

som innehåller personsekretess granskas av en specifik sekretessgrupp. Vissa ytterligare inskrivningsakter hanteras av en särskild granskningsgrupp av jurister och specialisthandläggare. Det sammanlagda inflödet per arbetsdag av externa förfrågningar och interna beställningar av olika typer av akter är i genomsnitt drygt 800. I nuläget är behovet cirka 56 årsarbetskrafter för att klara ett 512 skyndsamt utlämnande.

14.5 Lantmäteriets nuvarande målbild

14.5.1 Återöppnandet av tjänster

Lantmäteriet arbetar fortfarande med inriktningen att göra det möjligt att ge externa användare åtkomst till ett urval av innehållet i Arken genom tillhandahållandetjänsterna ArkivSök och FR Webb. Tjänsterna kommer inte att ge åtkomst till säkerhetsskyddsklassificerade uppgifter. Däremot kan det finnas uppgifter som omfattas av sekretess på annan grund. Åtkomst kommer därmed enligt nuvarande planering enbart att medges myndigheter, som har att tillämpa lagen om offentlighet och sekretess. 513 Det kommer vidare att ställas krav på att personuppgifter hanteras i enlighet med gällande lagstiftning. Myndigheter som enligt Lantmäteriet har ett tydligt behov av aktinformation och som uppfyller förutsättningarna enligt lagen om offentlighet och sekretess är kommunala lantmäterimyndigheter, Domstolsverket och Skatteverket. Privata aktörer behöver däremot fortsatt begära ut akter som allmän handling. 514

512 Rapporten Organisation för en skyndsam sekretessprövning och utlämnande av akter, den 2 oktober 2025, LM2025/128417, s. 7 och 17 – 18, samt information från Lantmäteriet, december 2025. 513 Information från Lantmäteriet, kompletterat med skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken, som lämnades till utredningen den 29 september 2025. 514 Se https://www.lantmateriet.se/sv/om-lantmateriet/press/nyheter/lantmateriets-digitalatjanster-for-aktinformation-begransas-till-vissa-myndigheter-vid-ett-oppnande/ samt https://www.lantmateriet.se/sv/om-lantmateriet/press/nyheter/oppnandet-av-lantmaterietsdigitala-tjanster-for-aktinformation-skjuts-fram/, hämtat den 24 november 2025.

223

226

Det fortsatta arbetet med den särskilda händelsen

14.5.2 Lantmäteriets förslag för en skyndsam

sekretessprövning och utlämnande av akter

I den nämnda rapporten om hur skyndsam sekretessprövning och utlämnande av arkivakter kan ske lämnas ett förslag som avser tre år, 2026 – 2028, som kan sammanfattas enligt följande. 515

Färdplan 2026 – 2028

För 2026 – 2028 görs ett antal antaganden om digitalt tillhandahållande av akter av olika slag och om effekterna av olika åtgärder, bland annat maskinellt stöd. Utifrån antagandena bedöms för 2026 inflödet per arbetsdag av externa förfrågningar och interna beställningar uppgå till 737 akter och det bedöms krävas knappt 52 årsarbetskrafter per dag för att klara inflödet. 516 För 2027 bedöms inflödet per arbetsdag uppgå till 635 akter och det bedöms att det behövs drygt 517 35 årsarbetskrafter per dag för att klara inflödet. Bedömningen för 2028 är ett inflöde per arbetsdag på 618 akter och det bedöms krävas cirka 33 årsarbetskrafter per dag för att klara inflödet. 518

Förslag på framtida organisering

Lantmäteriets förslag på framtida organisering och bemanning tar sikte på en centraliserad granskningsenhet som specialiserar sig på granskning av alla arkivakter som är arkiverade i Arken och SFÄR och att granskningsenheten placeras i Gävle. 519 Fördelarna med att kunna granska alla typer av handlingar och att sitta samlade framhålls. Närheten till Kundcenter betonas, eftersom Kundcenter kommer att vara en del i flödet för utlämnande av handlingar. Granskningsenheten kommer organisatoriskt att ligga under enhet Inskrivning och granskning. I vissa fall kommer enheten att behöva stöd från verksamhetsområde Juridik och verksamhetsområde Säkerhet. 520

515 Rapporten Organisation för en skyndsam sekretessprövning och utlämnande av akter, den 2 oktober 2025, LM2025/128417. 516 Rapporten, s. 12. 517 Rapporten, s. 13. 518 Rapporten, s. 14 – 15. 519 Rapporten, s. 17 – 18. 520 Rapporten, s. 19.

224

227

15 Lantmäteriets behandling av

personuppgifter

15.1 Kapitlets innehåll

I det här kapitlet beskrivs Lantmäteriets personuppgiftsansvar, myndighetens arbete med dataskydd och den nuvarande organisationen för detta. Vidare tas myndighetens riktlinjer för hantering av personuppgifter och skyddade personuppgifter upp. Slutligen beskrivs några delar av Lantmäteriets behandling av personuppgifter med fokus på arkivakter.

15.2 Allmänt om Lantmäteriets personuppgiftsansvar

Lantmäteriet är som huvudregel personuppgiftsansvarig för behandling av personuppgifter i sin verksamhet. I ansvaret ingår bland annat att visa på vilket sätt de grundläggande principerna i dataskyddsförordningen efterlevs. Det gör myndigheten bland annat genom att informera de registrerade om personuppgiftsbehandlingar, föra register över personuppgiftsbehandlingar, upprätta interna riktlinjer för dataskydd och utbilda personalen, säkerställa att integritetsvänliga lösningar byggs in i Lantmäteriets system (så kallat inbyggt dataskydd) och utföra konsekvensbedömningar av personuppgiftsbehandlingar som kan leda till hög risk för registrerades fri- och rättigheter. 521

521 Lantmäteriets riktlinje för hantering av personuppgifter, LM2025/121999.

225

228

Lantmäteriets behandling av personuppgifter

15.3 Något om Lantmäteriets arbete med dataskydd

15.3.1 Åtgärder med anledning av otillräcklig styrning inom

området

Lantmäteriet har tidigare ansett att styrningen inom området dataskydd varit otillräcklig. 522 Frågan var uppe i olika sammanhang 2020 och 2021. 523 Det ledde fram till att generaldirektören i maj 2022 fattade beslut om ett samordnat dataskydds- och informationssäkerhetsarbete där det bland annat angavs att respektive verksamhetsområde skulle utse koordinatorer. Dessa koordinatorer skulle vara verksamheternas representanter i dataskydds- och informationssäkerhetsrelaterade frågor. Vidare skulle dataskyddssamordnare samordna och driva dataskyddsfrågorna inom myndigheten. 524 I september 2022 avrapporterades det nya arbetssättet med dataskydds- och informationssäkerhetsorganisationen samt utmaningarna i arbetet på ett ledningsgruppsmöte. 525 Enligt uppgifter från den avrapporteringen upplevde dataskyddssamordnarna och enhetschefen för dåvarande Informationsstyrning utmaningar i att det nya sättet att arbeta samordnat inte förankrats i hela Lantmäteriet. De mötte ifrågasättanden och motstånd som tolkades som en reaktion på hur man prioriterade och en brist på resurser för detta arbete. I sak efterfrågades ett ställningstagande avseende att åtminstone introduktionsutbildningen skulle vara obligatorisk och genomföras årligen av samtliga medarbetare. 526 Ledningsgruppen gav stöd åt att en obligatorisk 15 minuters introduktionsutbildning i dataskydd skulle ges för samtliga medarbetare. 527

522 Se exempelvis Lantmäteriets verksamhetsplan 2022 – 2024 från 2021, LM2021/021308, s. 14. 523 Se mötesanteckningar Lantmäteriets ledningsgrupp den 28 – 29 januari 2020, punkt 16, den 27 – 28 januari 2021, punkt 5, den 28 juni 2021, punkt 8, och den 7 oktober 2021, punkt 7. 524 Samordnat dataskydds- och informationssäkerhetsarbete den 4 maj 2022. LM2022/016745. 525 Mötesanteckningar Lantmäteriets ledningsgrupp den 21 september 2022, punkt 12. 526 Bildspelet Informationssäkerhets- och dataskyddsarbete, rapportering LMLG den 22 september 2022. 527 Se mötesanteckningarna, punkt 12.

226

229

Lantmäteriets behandling av personuppgifter

15.3.2 Internrevisionens granskning av efterlevnaden av

dataskyddsförordningen, GDPR

I juni 2023 genomförde internrevisionen en granskning av personuppgiftshanteringen på Lantmäteriet i syfte att bedöma om Lantmäteriet bedrev ett ändamålsenligt arbete enligt dataskyddsförordningen. 528 Internrevisionen ansåg att det fanns brister inom dokumentation, implementation, uppföljning samt efterlevnad av styrande dokument och riktlinjer. Myndighetens dåvarande ansvarsfördelning föranledde enligt internrevisionen ett ökat behov av uppföljning, eftersom ett stort ansvar låg hos chefer och informationsägare på verksamhetsnivå. Internrevisionen noterade att utbildningsplanen avseende dataskyddsförordningen kunde förbättras för att säkerställa medvetenhet och kännedom inom samtliga delar av verksamheten. Vidare borde flertalet dokumenterade rutiner upprättas och implementeras för att säkerställa ett strukturerat och ändamålsenligt dataskyddsarbete. Internrevisionens bedömning var att Lantmäteriet bedrev ett dataskyddsarbete som inte ansågs vara tillfredsställande. I rapporten lämnade internrevisionen ett antal rekommendationer. I Lantmäteriets svar på granskningen delade myndigheten ett flertal av internrevisionens bedömningar om utvecklingsområden. Myndigheten hade dock avvikande åsikter om vissa av de rekom- 529 menderade åtgärderna.

15.3.3 Den särskilda händelsens påverkan på det systematiska

dataskyddsarbetet 2024 – 2025

I en uppföljning av det systematiska dataskyddsarbetet inom Lantmäteriet för 2024 angavs bland annat att den särskilda händelsen hade medfört stora förseningar i åtgärdsarbetet. 530 Av dataskyddssamordnarnas arbetsplan för 2025 framgår att aktiviteter skulle ha genomförts under 2024 men blev kraftigt försenade eller fick ett nytt

528 Internrevisionens revisionsrapport den 15 juni 2023, LM2023/030425. 529 Myndighetens svar avseende internrevisionsrapport Granskning av efterlevnad av dataskyddsförordningen, GDPR, LM2023/036506, fastställt av styrelsen, se protokoll den 25 oktober 2023. 530 Årsrapport – Uppföljning av systematiskt dataskyddsarbete den 17 mars 2025, LM2025/030754, s. 3.

227

230

Lantmäteriets behandling av personuppgifter

slutdatum på grund av att de nedprioriterades av verksamheten. 531 De flesta av aktiviteterna var åtgärder efter Internrevisionens granskning av Lantmäteriets efterlevnad av dataskyddsförordningen.

15.3.4 Styrande och stödjande dokument

Utöver det beslut om ett samordnat dataskydds- och informationssäkerhetsarbete som redogjorts för i avsnitt 15.3.1 finns, som styrande och stödjande dokument inom området, ett beslut avseende Lantmäteriets register över personuppgiftsbehandlingar (så kallat artikel 30-register), 532 riktlinjer för hantering av personuppgifter, 533 dataskyddssamordnarnas årliga arbetsplan och ett avsnitt i myndighetens informationshanteringsplan. 534 Vi återkommer till några av dokumenten.

15.3.5 Utbildningar inom området

Numera finns en obligatorisk utbildning om 15 minuter med introduktion till dataskyddsförordningen som riktar sig till samtliga medarbetare och en grundutbildning inom dataskydd om 60 minuter som riktar sig till koordinatorer och övriga intresserade. Vidare finns visst presentationsmaterial om dataskydd som kompletterar den obligatoriska utbildningen. Syftet med presentationsmaterialet är att ytterligare förstärka medarbetarnas kompetens i dataskydd. Det finns även myndighetsövergripande information och stödmaterial på intranätet och Wiki om hur man ska hantera personuppgifter. 535

531 Arbetsplan 2025 för Lantmäteriets dataskyddssamordnare den 28 mars 2025, LM2025/030794, s. 3 – 4. 532 LM2023/057811. 533 LM2025/121999 och LM2023/019011, den sistnämnda avser skyddade personuppgifter. 534 Lantmäteriets informationshanteringsplan 4.6.6 Arbeta med dataskydd den 16 januari 2024. 535 Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022 – 2025, den 16 september 2025, LM2025/120208, s. 5 och 9 samt kompletterande information från Lantmäteriet, november – december 2025.

228

231

Lantmäteriets behandling av personuppgifter

15.3.6 Uppföljning av dataskyddsarbetet

Uppföljningen av det systematiska dataskyddsarbetet inom Lantmäteriet innebär bland annat att en årsrapport om arbetet upprättas. Vidare görs en rapportering till Lantmäteriets ledningsgrupp två gånger per år där områdena personuppgiftsincidenter, konsekvensbedömningar, utbildningsstatistik och koordinatorernas arbete hittills varit återkommande punkter. Dialogmöten med verksamhetsområden på ledningsgruppsnivå sker två gånger per år och syftar till att informera om status på det systematiska dataskyddsarbetet inom det specifika verksamhetsområdet. Arbets- och samrådsmöten med dataskyddsombudet och funktionen Informationssäkerhet, samt avstämningsmöten med verksamhetsområde Juridik hålls regelbundet. Månadsrapporter om personuppgiftsincidenter skickas automatiskt från rapporteringssystemet till dataskyddssamordnare och rapporterna publiceras på Wiki för att nå alla medarbetare. Slutligen har dataskyddssamordnarna kontakt med andra myndigheter för att utbyta erfarenheter. 536

15.4 Lantmäteriets nuvarande organisering av

dataskyddsarbetet

15.4.1 Dataskyddsombud

Lantmäteriets dataskyddsombud är placerad inom verksamhetsområde Säkerhet. Dataskyddsombudet rapporterar i de frågor som omfattas av uppdraget som dataskyddsombud löpande till generaldirektören och redovisar planeringen och utfallet av sitt övervakande 537 och granskande arbete två gånger per år till styrelsen. Dataskyddsombudet arbetar i denna roll på heltid.

15.4.2 Dataskyddssamordnare

Dataskyddssamordnarna och deras arbete beskrivs på följande sätt 538 av Lantmäteriet.

536 Rapporten om genomförda aktiviteter 2025, LM2025/120208, s. 8 – 9. 537 Se avsnitt 3.3.2 arbetsordningen. 538 Rapporten om genomförda aktiviteter 2025, LM2025/120208, s. 2 – 3 samt 8 – 9.

229

232

Lantmäteriets behandling av personuppgifter

Före 2022 fanns inte något utpekat samordningsansvar för dataskyddsfrågor i myndigheten. Numera finns två dataskyddssamordnare som arbetar heltid med dataskyddsfrågor (sedan februari 2022). Sedan den 1 september 2025 är rollen dataskyddssamordnare i praktiken överförd till verksamhetsområde Säkerhet från dåvarande Informationsstyrningsenheten. 539 Den formella förändringen började gälla den 1 januari 2026. Syftet med den organisatoriska förändringen är att införliva dataskydd i arbetet med informationssäkerhet. I dataskyddssamordnarnas uppdrag ingår att samordna och driva dataskyddsarbetet inom Lantmäteriet. Det gör de genom att bland annat ge råd och stöd i generella myndighetsgemensamma frågor inom ramen för dataskyddsarbetet, ta fram gemensamma styrande och stödjande dokument och samordna arbetet med en mängd olika frågor. De stödjer också verksamheterna i arbetet med konsekvensbedömningar och koordinatorerna i deras arbete med dataskydd. Lantmäteriets dataskyddssamordnare startade 2023 ett nätverk för erfarenhets- och kompetensutbyte inom praktiskt dataskyddsarbete. I nätverket ingår representanter från ett tjugotal andra myndigheter. Dataskyddssamordnarna är sammankallande till träffarna som sker 3 – 4 gånger per år.

15.4.3 Koordinatorer

Det finns för närvarande 26 koordinatorer inom myndigheten. Dataskyddssamordnarna kallar koordinatorerna till verksamhetsspecifika avstämningsmöten var tredje vecka. Nätverksträffar med samtliga utsedda koordinatorer sker 2 – 4 gånger per år. I koordinatorernas uppdrag ingår att aktivt arbeta inom sina verksamheter för att alla medarbetare ska känna ansvar för och delaktighet i myndighetens dataskydds- och informationssäkerhetsarbete. Det sker bland annat genom utbildningar och möten inom dataskydd och informationssäkerhet samt genom att informera och ge råd inom verksamheten. 540

539 Enligt uppgift från intervjuer. Titeln uppges numera vara informationssäkerhetshandläggare tillika dataskyddssamordnare. 540 Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022 – 2025, den 16 september 2025, LM2025/120208, s. 3.

230

233

Lantmäteriets behandling av personuppgifter

15.5 Samordningen av dataskyddsarbetet

Arbetet med Lantmäteriets dataskyddsfrågor samordnades tidigare av dåvarande Informationsstyrningsenheten inom Verksamhetsområde Tre I. Från och med den 1 januari 2026 är verksamhetsområde 541 Juridik ansvarigt för samordningen. Enligt information från Lantmäteriet har det vidtagits ett antal åtgärder inom det löpande samordningsarbetet. Nämnas kan exempelvis att en process och rutin som tydliggör roller och ansvar vid dataskyddsombudets granskningar har tagits fram. Dataskyddssamordnarna har också besökt ett flertal arbetsplatsträffar och enhetsmöten och informerat om dataskyddsförordningen och Lantmäteriets systematiska dataskyddsarbete. Det finns även myndighetsövergripande information, riktad information och stödmaterial på intranätet och Wiki till medarbetarna om hur de ska hantera personuppgifter och arbeta med dataskyddsfrågor. 542

15.6 Närmare om Lantmäteriets riktlinjer för

hantering av personuppgifter

15.6.1 Hantering av personuppgifter

I riktlinjen om hantering av personuppgifter framtagen 2025 anges att dess syfte är att utgöra en grund för Lantmäteriets systematiska arbete med dataskydd och behandling av personuppgifter. 543 Vidare anges att dataskydd ska vara en integrerad del av Lantmäteriets verksamhet och att alla medarbetare ska veta hur de ska hantera personuppgifter på ett lagligt, korrekt och säkert sätt. Annat som tas upp i riktlinjen är bland annat registret över personuppgiftsbehandlingar (artikel 30-registret), hanteringen av personuppgiftsincidenter och konsekvensbedömning avseende dataskydd. En del av de områden som tas upp har utvecklats något sedan den tidigare riktlinjen från oktober 2024. Det gäller bland annat vad som sägs om inbyggt dataskydd och dataskydd som standard. Där

541 Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018. 542 Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022 – 2025, den 16 september 2025, LM2025/120208, s. 9 – 10. 543 Beslutad den 16 december 2025, LM2025/121999. Enligt uppgift från Lantmäteriet togs en första version fram 2014. Den har därefter uppdaterats vid ett flertal tillfällen. Den nu gällande riktlinjen ersätter en riktlinje som beslutades så sent som i oktober 2024, LM2024/058670.

231

234

Lantmäteriets behandling av personuppgifter

anges i nu gällande riktlinje att lämpliga tekniska och organisatoriska åtgärder ska införas och nödvändiga skyddsåtgärder integreras i personuppgiftsbehandlingen för att uppfylla kraven i dataskyddsförordningen. Åtgärderna ska utformas så att de grundläggande principerna för dataskydd kan genomföras på ett effektivt sätt i personuppgiftsbehandlingen. Lantmäteriet ska också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte behandlas i onödan. Det gäller bland annat mängden insamlade personuppgifter, behandlingens omfattning, lagringstid och tillgänglighet. Dataskyddet ska alltså vara inbyggt i den behandling som utförs som standard.

15.6.2 Hantering av skyddade personuppgifter

I riktlinjen om hantering av skyddade personuppgifter anges i hu- 544 vudsak följande. Skyddade personuppgifter 545 ska hanteras med mycket stor försiktighet. Alla regler som gäller för behandling av personuppgifter gäller även skyddade personuppgifter. Ytterligare krav gäller emellertid vid behandling av skyddade personuppgifter. Den operativa informationsägaren ansvarar för att beskriva de eventuella krav som finns utöver denna riktlinje. Sekretessmarkering eller skyddad folkbokföring innebär inte någon absolut sekretess för skyddade uppgifter. Vid en begäran om utlämnande av allmän handling ska en sekretessbedömning göras. Bedömningen kan resultera i att handlingen där skyddade personuppgifter framgår ska lämnas ut. Alla som arbetar med skyddade personuppgifter är ansvariga för att kraven i riktlinjen uppfylls. Alla medarbetare som kommer i kontakt med skyddade personuppgifter behöver ha kännedom om rutiner för behandlingen av sådana uppgifter. Det är närmaste chefs ansvar att säkerställa att medarbetarna har tillräcklig kompetens. Det är den enskilde medarbetarens ansvar att begära utbildning om kompetens saknas eller är bristfällig. Varje medarbetare inom Lantmäteriet bär ansvar för att anmäla upptäckta informationssäkerhetsincidenter och personuppgiftsincidenter, företrädelsevis via Lantmäteriets Service Desk. Utanför arbetstid görs anmälan till Lantmäteriets

544 Beslutad den 19 april 2023, LM2023/019011. 545 Se definition i avsnitt 1.6.

232

235

Lantmäteriets behandling av personuppgifter

Tjänsteman i beredskap. Det framgår även att anmälan kan göras via Lantmäteriets intranät. Om en process eller ett IT-system innefattar behandling av skyddade personuppgifter ska de risker som uppgiftsbehandlingen medför vägas in vid en informationsklassning. Bedömningen i denna del ska omfatta vilka konsekvenser ett obehörigt röjande av eller obehörig åtkomst till de skyddade personuppgifterna skulle få. Det ska också genomföras en riskanalys beträffande behandlingen så att nödvändiga säkerhetsåtgärder för en accepterad skyddsnivå kan vidtas.

15.7 Lantmäteriets behandling av personuppgifter i

urval

15.7.1 Allmänt om personuppgiftsbehandlingen

Lantmäteriet behandlar ett stort antal personuppgifter. Som inom alla myndigheter kan det handla om uppgifter som är personalrelaterade eller på annat sätt interna och som kan finnas i exempelvis mötesanteckningar, utbildningar och e-post. Uppgifter relaterade till myndighetens utåtriktade verksamhet, såsom uppgifter i ärendehandläggning och liknande, kan också innehålla personuppgifter. På Lantmäteriets externa webbplats finns en närmare beskrivning av myndighetens behandling av personuppgifter, där det bland annat 546 anges när och varför personuppgifter samlas in. Den rättsliga grunden för ärendehanteringen uppges oftast vara en rättslig förpliktelse eller uppgift av allmänt intresse eller ett led i 547 myndighetsutövning, men även avtal förekommer. Anledningen till att personuppgifter samlas in kan vara olika för olika ärendetyper men några exempel som är vanligt förekommande och gemensamma för flera ärendetyper är att handlägga och besluta i ärenden av visst slag, arkivändamål av allmänt intresse (allmänna handlingar) samt att uppdatera och tillhandahålla fastighetsinformation genom till exempel fastighetsregistret. De kategorier av personuppgifter som uppges behandlas är bland annat namn, personnummer eller samordningsnummer, adress, fas-

546 Se https://www.lantmateriet.se/sv/om-lantmateriet/Rattsinformation/behandling-avpersonuppgifter-pa-lantmateriet/, hämtat den 4 november 2025. 547 6.1 c och 6.1 e dataskyddsförordningen.

233

236

Lantmäteriets behandling av personuppgifter

tighetsbeteckning, civilstånd, kontaktuppgifter, IP-adress samt användardata. Personuppgifterna samlas oftast in från en sökande själv eller från andra myndigheter och parter i ärenden. Till de som kan ta del av uppgifterna hör bland annat anställda, parter i ärenden samt kunder och allmänheten genom publicering eller enligt offentlighetsprincipen. Vi har som tidigare nämnts valt att avgränsa oss till behandlingen av personuppgifter i myndighetens arkivakter. Av den anledningen följer en redogörelse för behandlingen i Arken och i handläggningssystemet Trossen. För en redovisning av behandlingen av personuppgifter i fastighetsregistret hänvisar vi till betänkandet Ett säkrare och mer tillgängligt fastighetsregister (SOU 2024:7).

15.7.2 Arken

Arken i artikel 30-registret

I Lantmäteriets artikel 30-register nämns Arken i drygt 20 personuppgiftsbehandlingar, varav ett antal avser åtgärder av internt administrativt slag, såsom att dokumentera och bevara processer i arbetet med Arken, inventeringar, Arken-avtal och beslut gällande Arken. Vid 14 behandlingar anges Arken som ett av systemen eller det enda system där personuppgifterna behandlas. Dessa 14 behandlingar avser bland annat behandlingar för att handlägga olika typer av ärenden, till exempel lantmäteriförrättningar, och information till parter om beslut, att sekretessgranska arkivakter vid begäran om utlämnande av allmän handling samt att efter avslutad förrättning arkivera handlingar. Akt Direkt anges specifikt som en av behandlingarna med koppling enbart till Arken. Behandlingen uppges ske på grund av rättslig förpliktelse, för det kortfattat angivna ändamålet att tillgängliggöra akter. 548 Det framgår inte något ytterligare om ändamålet i fråga om vilken omfattning som tillhandahållandet haft före stängningen. I

548 Den rättsliga förpliktelsen är inte preciserad i artikel 30-registret. Med rättslig förpliktelse avses enligt Integritetsskyddsmyndigheten något som man är ålagd att uppfylla, det vill säga en skyldighet, se https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/rattsliggrund/rattslig-forpliktelse/ hämtat den 19 januari 2026. Se mer om den rättsliga grunden i våra överväganden i avsnitt 17.12.

234

237

Lantmäteriets behandling av personuppgifter

kolumnen för kategorier av personuppgifter anges att uppgifterna kan vara adress, aktbeteckning, civilstånd, e-postadress, fastighetsbeteckning, inteckning, kundnummer, namn, personnummer eller samordningsnummer samt uppgifter om sociala förhållanden. Arken är ett system där även kommunala lantmäterimyndigheter arkiverar akter. Det finns oklarheter i fråga om personuppgiftsansvaret för andra myndigheters akter i Arken, vilket vi återkommer till i avsnitt 17.12.

Risk för röjande av skyddade personuppgifter konstateras 2021

Lantmäteriet konstaterade i januari 2021 i en rättsutredning om skyddade personuppgifter enligt offentlighets- och sekretesslagen i AktDirekt/Arken att det fanns risk för att röja sekretessbelagda uppgifter genom direktåtkomst. Orsaken angavs vara att uppgifter inte uppdaterades och kunde sakna aktuell sekretessmarkering. Rekommendationen till informationsägarna var att omedelbart och skyndsamt påbörja en utvecklingsåtgärd innefattande en teknisk lösning för att säkerställa att uppgifter som omfattas av sekretess inte röjdes, alternativt att överväga att stänga tjänsten tillfälligt. 549 I rättsutredningen konstaterades att skyddade personuppgifter kunde förekomma i exempelvis testamenten, bouppteckningar, gåvobrev och liknande och avse personer som inte direkt berördes av förrättningen. Hanteringen av skyddade personuppgifter i arkivakten speglar endast hur förhållandena var när ett ärende slutförs. Det görs inte någon automatiserad kontroll av om någon senare får skyddade personuppgifter. En sekretessbedömning ansågs därför behöva göras vid eventuella utlämnanden. Vid tidpunkten för rättsutredningen uppgavs att det inte skedde någon enskild skadebedömning alls vid tillhandahållande. 550 Riskerna att röja uppgifter om en person med skyddade personuppgifter har tidigare av verksamhetsområde Fastighetsbildning be-

549 Rättsutredning Skyddade personuppgifter i AktDirekt/Arken den 19 januari 2021, LM2025/093989, s. 1, med korskoppling till personuppgiftsincidenten LM2021/007870. Utredningen togs enligt Lantmäteriet fram i syfte att utgöra underlag till utredningen av personuppgiftsincidenten och avser därmed endast vid incidenten uppmärksammade direktåtkomsttjänster (AktDirekt) samt sekretess kopplad till skyddad folkbokföring enligt 21 kapitlet offentlighets- och sekretesslagen. 550 Rättsutredningen Skyddade personuppgifter, LM2025/093989, s. 3 och 6.

235

238

Lantmäteriets behandling av personuppgifter

dömts vara liten för akter som inte har en skyddad personanmärkning beträffande fastigheten. Därför granskades inte sådana akter. 551

Känsliga personuppgifter i Arken

Enligt Lantmäteriets egen bedömning kan arkivhandlingar innehålla 552 känsliga personuppgifter enligt dataskyddsförordningen, avseende – hälsa (till exempel läkarintyg, journalutdrag eller partsinlaga), – etnicitet (kan förstås utifrån namn och behov av tolk eller vid frågor om minoritetsgrupper), – politiska åsikter eller medlemskap i fackförening (e-postsignatur eller domännamn och samrådshandlingar), och – sexualliv eller sexuell läggning (kan utläsas ur exempelvis makes medgivande, gåvobrev eller testamente). 553

Känsliga personuppgifter uppges i vissa fall vara av materiell betydelse för förrättningsresultatet och således nödvändiga för 554 Lantmäteriets och andra myndigheters myndighetsutövning.

Särskilt skyddsvärda personuppgifter i Arken

Arken innehåller stora mängder personnummer och samordningsnummer. Sådana uppgifter är särskilt skyddsvärda och får enligt dataskyddslagen endast behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten. 555

551 Lantmäteriets (verksamhetsområde Fastighetsbildnings) bildspel Granskning av Arkivakt innan utlämning – odaterat men stämmer överens med information från Lantmäteriet i oktober 2025 om ett bildspel som togs fram 2022. Innebörden av detta bildspel är enligt Lantmäteriet att arkivakter ska granskas vid utlämning, notera dock beskrivningen avseende skyddade personer. 552 Se definition i avsnitt 1.6. 553 Promemorian Nationellt Digitalt lantmäteriarkiv den 16 september 2024, LM2024/052370, s. 27. Denna promemoria redogörs för mer i detalj i kapitel 11. 554 Promemorian s. 27. 555 3 kap 10 och 11§ § dataskyddslagen samt artikel 87 dataskyddsförordningen.

236

239

Lantmäteriets behandling av personuppgifter

Det är enligt Arkenförordningen tillåtet att tillhandahålla personnummer för de ändamål som där anges. Ett särskilt skydd har dock kommit till uttryck i förordningen genom att personnummer enligt 9 § inte får användas som sökbegrepp. Som beskrivits tidigare är akterna i Arken inte sökbara på ett enkelt sätt (se kapitel 11).

15.7.3 Trossen

Personuppgifter i Trossen

Trossen är ett handläggningsstöd som används av såväl Lantmäteriet som samtliga kommunala lantmäterimyndigheter. Personuppgiftsbehandlingen i Trossen är i stora drag densamma som i Arken och fastighetsregistret. Enligt uppgift från Lantmäteriet kan Trossens samspel med Arken och fastighetsregistret beskrivas på följande sätt. Vid ärendehandläggning hämtar Trossen uppgifter från fastighetsregistret som är relaterade till de fastigheter som ingår i ärendet, till exempel uppgifter om storlek, servitut, ägare med mera. Fastighetsregistret uppdateras sedan med hjälp av Trossen med de förändringar som ärendet ger upphov till. I Trossen skapas den arkivakt som läggs i Arken när ärendet är klart. Många uppgifter som finns i Trossen finns därför också i Arken och fastighetsregistret. I den mån skyddade personuppgifter inte finns i fastighetsregistret finns de inte heller i den information som hämtas till Trossen. Skyddade personuppgifter kan dock komma till myndigheten i inkommande handlingar och kan då finnas i Trossen i den dokumenthanteringsmodul där dokument som skapas eller tas emot under handläggningstiden samlas. Lantmäteriets hantering av skyddade personuppgifter i Trossen, när sådana kommer till myndighetens kännedom, sker enligt särskilda rutiner för att säkerställa att de hanteras korrekt. Uppgifterna behövs för att kunna handlägga ärenden. 556 De kommunala lantmäterimyndigheterna synes enligt information i protokoll från Lantmäteriets tillsyn typiskt sett inte heller hantera skyddade personuppgifter i Trossen när sådana kommer till myndigheternas kännedom, utan sådana uppgifter hanteras på annat 557 sätt.

556 Information från Lantmäteriet, november – december 2025. 557 Se exempelvis Huddinge, Jönköping och Stockholm 2021.

237

240

Lantmäteriets behandling av personuppgifter

Trossen som system är inte byggt på ett sådant sätt att det finns möjlighet att tekniskt begränsa åtkomsten till ett ärende till enskilda individer. Det innebär att all information som framgår av Trossen i ett enskilt ärende kan läsas av samtliga personer som har åtkomst till den aktuella lantmäterimyndighetens ärenden. Vissa administrativa begränsningar finns. 558

Trossen i artikel 30-registret

I artikel 30-registret finns Trossen omnämnd i drygt 20 personuppgiftsbehandlingar, varav många är kopplade till samma behandlingar som sker i Arken och fastighetsregistret. Som exempel kan nämnas handläggning och beslut i lantmäteriförrättningar utifrån exempelvis rättslig förpliktelse, allmänt intresse eller som ett led i myndighetsutövning.

15.8 Konsekvensbedömningar

En konsekvensbedömning ska enligt artikel 35 i dataskyddsförordningen genomföras om en personuppgiftsbehandling medför hög risk för de registrerades fri- och rättigheter. Bland annat ska en bedömning göras av behovet av behandlingen och proportionaliteten hos behandlingen i förhållande till syftena. Lantmäteriet har lämnat följande information om hur arbetet med konsekvensbedömningar har utvecklats de senaste åren. 559 Före 2022 upplevdes den framtagna mallen för konsekvensbedömningar 560 som svårarbetad även om det fanns en vägledning och en utbildning. Det fanns inte någon myndighetsövergripande funktion inom Lantmäteriet som verksamheten kunde vända sig till för hjälp i detta arbete. Fram till 2022 hade Lantmäteriet genomfört tre konsekvensbedömningar.

558 Information från Lantmäteriet, november – december 2025. 559 Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022 – 2025, den 16 september 2025, LM2025/120208, s. 4 – 5 samt kompletterande information från Lantmäteriet, november – december 2025. 560 Lantmäteriet föreskrev vid den tiden att man skulle använda sig av den konsekvensbedömningsmetod som har utvecklats av den franska tillsynsmyndigheten Commission Nationale de l'Informatique et des Libertés (CNIL).

238

241

Lantmäteriets behandling av personuppgifter

Lantmäteriets nuvarande mall för konsekvensbedömningar är framtagen av dataskyddssamordnare och jurister i samarbete med dataskyddsombudet. Övergripande information om arbetet med konsekvensbedömningar finns publicerad på intranätet. Arbetsstöd för de som ska genomföra konsekvensbedömning- och riskanalysarbete finns publicerat på Wiki- sidan ”Dataskydd”. Lantmäteriet har i nuläget 31 pågående eller genomförda konsekvensbedömningar. Stöd under konsekvensbedömningsarbetet erbjuds av dataskyddssamordnare.

15.9 Hantering av de registrerades rättigheter och

personuppgiftsincidenter

Enligt artikel 12 – 20 i dataskyddsförordningen har de registrerade ett antal rättigheter. Av artikel 33 – 34 framgår hur personuppgiftsincidenter ska hanteras. Lantmäteriet har lämnat följande information om hur hanteringen av de registrerades rättigheter samt personuppgiftsincidenter har utvecklats de senaste åren. 561 Fram till oktober 2022 hade registratorsfunktionen i uppgift att samordna begäran om registerutdrag. För övriga rättigheter fanns inte några myndighetsgemensamma mallar eller arbetsstöd. Kortfattad information om personuppgiftsbehandlingar fanns publicerad på den externa webbplatsen. Ett formulär för att anmäla personuppgiftsincidenter fanns på intranätet och incidenter utreddes huvudsakligen av den informationssäkerhetsansvarige. Numera har det tagits fram arbetsstöd och beslutsmallar som stöd till verksamheten för hantering av samtliga av de registrerades rättigheter. Dataskyddssamordnare samordnar begäran om registerutdrag och skickar svar samt detaljerad information om aktuella behandlingar till den registrerade. Informationen om de registrerades rättigheter på Lantmäteriets externa webbplats har uppdaterats. Personuppgiftsincidenter utreds numera av dataskyddssamordnarna om de inträffar inom myndighetsgemensamma verksamheter. Övriga personuppgiftsincidenter utreds av utredare vid respektive verksamhetsområde (Fastighetsbildning, Fastighetsinskrivning och Geodata). Arbetsstöd och utredningsmall finns som hjälp till utredarna.

561 Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022 – 2025, den 16 september 2025, LM2025/120208, s. 6 – 8 samt kompletterande information från Lantmäteriet, november – december 2025.

239

242

Lantmäteriets behandling av personuppgifter

Ett uppdaterat formulär för att anmäla personuppgiftsincidenter finns på intranätet och det finns en gemensam lagringsyta där incidentutredningar dokumenteras. En rutin för att återkoppla till berörd chef/verksamhet har skapats och det har tagits fram en rutin för att anmäla en personuppgiftsincident vidare till Integritetsskyddsmyndigheten.

15.10 Personuppgiftsincidenter

15.10.1 Information från Integritetsskyddsmyndigheten

Av information från Integritetsskyddsmyndigheten framgår i huvudsak följande. 562 Av de ärenden som kommit in till Integritetsskyddsmyndigheten avseende Lantmäteriet har inte något föranlett någon åtgärd. Integritetsskyddsmyndigheten vidtar dock inte alltid åtgärder i ärenden även om incidenten i sig skulle anses som allvarlig. Lantmäteriet har 57 ärenden registrerade hos Integritetsskyddsmyndigheten under perioden 2018 – 2025, varav 15 under åren 2018 – 2020 som inte finns i digital form och inte har tagits fram för granskning av myndigheten. Vid genomgång av de ärenden som finns digitalt har Integritetsskyddsmyndigheten ansett att det primärt rör sig om ” mindre incidenter ” : – Det har vid några tillfällen varit anställda på Lantmäteriet som fått ta del av för mycket information om interna ärenden. – Det finns några ärenden där Lantmäteriet skickat ut för mycket information om berörda parter i ett ärende till de andra parterna i ärendet. – Några ärenden är kopplade till e-post, där man exempelvis skickat personuppgifter till fel personer eller inte använt dold kopia vilket medfört att alla mottagare kunnat se övriga mottagare. – Ett ärende från 2024 som gäller Lantmäteriets kundcenter som lämnat ut arkivakter utan att sekretessgranska innehållet.

562 E-postmeddelande till utredningen den 3 september 2025.

240

243

Lantmäteriets behandling av personuppgifter

15.10.2 Något ytterligare om vissa av

personuppgiftsincidenterna

Några av de personuppgiftsincidenter som anmälts till Integritetsskyddsmyndigheten har bäring på uppgifternas tillgänglighet i olika system hos Lantmäteriet. I september 2019 gjordes en anmälan till Dataskyddsinspektionen, som då var tillsynsmyndighet. Den gällde sårbarheter i ett handläggningsstöd som hade funnits under många år. Detta är den så kallade Trossenincidenten (se avsnitt 8.3.6). 563 Dataskyddsinspektionen beslutade i januari 2020 att avsluta ärendet med noteringen att myndigheten kunde komma att inleda tillsyn. Detta skedde dock inte. I december 2020 gjorde Lantmäteriet en anmälan till Integritetsskyddsmyndigheten. I anmälan beskrevs att en kontroll av behovet av sekretessmarkeringar för personer med skyddad identitet görs när ett ärende slutförs och handlingar läggs i databasen för arkiverade handlingar. Däremot uppdateras inte sekretessmarkeringar över tid, vilket utgör en risk för obehörigt röjande vid utlämnande. Vidare uppgavs i anmälan att personuppgifter inte var sökbara och att en 564 teknisk funktion för att uppdatera sekretessmarkeringar saknades. Integritetsskyddsmyndigheten beslutade i januari 2021 att avsluta ärendet med kommentaren att myndigheten oberoende av detta kunde komma att inleda tillsyn. Det skedde emellertid inte. Den 6 april 2024 gjordes en anmälan till Integritetsskyddsmyndigheten som gällde att arkivakter, som inte hade en sekretessmarkering, lämnades ut av Kundcenter utan sekretessprövning. Enligt anmälan innebar det att det inte kunde uteslutas att akterna kan ha innehållit personuppgifter som det gäller sekretess för enligt offentlighets- och sekretesslagen. I anmälan angavs att incidenten bekräftats redan den 21 mars 2024, anmälts internt den 2 april och därefter behövt utredas internt. 565

563 LM2019/015704. Det kan här noteras att Integritetsskyddsmyndighetens redogörelse av ”mindre incidenter” ovan endast gäller digitala ärenden. Trossenincidenten hör till de ärenden som inte finns i digital form och inte har tagits fram för granskning av myndigheten vid vår förfrågan. Benämningen ”mindre incident” omfattar därmed inte det ärendet och vi har inte specifikt begärt att myndigheten att uttala sig om det eller något annat ärende i efterhand. 564 LM2021/007870, ett ärende som föranledde att ett underlag togs fram i form av den rättsutredning som tidigare har beskrivits avseende skyddade personuppgifter i AktDirekt/Arken i januari 2021. 565 LM2024/019207.

241

244

Lantmäteriets behandling av personuppgifter

Integritetsskyddsmyndigheten beslutade i maj 2024 att avsluta ärendet med kommentaren att några åtgärder inte vidtas för närvarande men att anmälan kan komma att beaktas vid ett eventuellt framtida klagomåls- eller tillsynsärende. Något sådant ärende har inte initierats av myndigheten. Den 5 juli 2024 lämnades en anmälan till Integritetsskyddsmyndigheten med anledning av den särskilda händelsen. Anmälan avsåg att inskrivningsakter som innehöll personuppgifter hade funnits tillgängliga via system för externa användare/intressenter. Tillgängligheten hade inneburit att användare/intressenter haft tillgång till personuppgifter som de inte skulle ha haft åtkomst till. 566 Integritetsskyddsmyndigheten beslutade i augusti 2024 att avsluta ärendet med kommentaren att inga åtgärder vidtas för närvarande men att anmälan kan komma att beaktas vid ett eventuellt framtida klagomåls- eller tillsynsärende. Något sådant ärende har inte inletts.

15.11 Pågående arbete hösten 2025

Vid avrapporteringen till ledningsgruppen i juni 2025 framgick att sex åtgärder av de som internrevisionen föreslagit i sin granskning 2023 fortfarande kvarstod att åtgärda under andra halvan av 2025, däribland inbyggt dataskydd, och ändamålsbegränsningar. 567

Av stödanteckningar till avrapporteringen framgår bland annat följande. Inbyggt dataskydd innebär att Lantmäteriet som personuppgiftsansvarig tar hänsyn till integritetsskyddsreglerna i samband med att IT-system och rutiner utformas. Lantmäteriet behöver se över i vilken grad dataskyddet är inbyggt i befintliga system och identifiera samt, i förekommande fall, planera för verkställandet av de åtgärder som behöver vidtas för att uppnå en fullgod nivå. Befintliga system kan behöva anpassas eller utvecklas genom lämpliga tekniska och organisatoriska åtgärder för att på ett effektivt sätt uppfylla principerna för dataskydd. Exempel på

566 LM2024/040734. Av kompletterande information från Lantmäteriet (Delleverans till IMY 2018 – 2025) framgår att det ska röra sig om akter från tidsperioden 2008 – 2011 (det vill säga den period som sådana akter har lagrats i Arken). Dessa akter ska enligt uppgift sakna lagstöd för att vara tillgängliga på det sätt de nu tillhandahållits. De ska ha varit tillgängliga under lång tid. Detta torde enligt Lantmäteriets beskrivning i det dokumentet innebära "obehörigt röjande av eller obehörig åtkomst till personuppgifter". 567 Se bildspelet Rapportering dataskyddsarbete LMLG, den 10 juni 2025.

242

245

Lantmäteriets behandling av personuppgifter

en teknisk och en organisatorisk åtgärd är kryptering respektive grundläggande utbildning av personalen. Den första delen har varit att kartlägga nuläget för att kunna ta fram riktlinjer, instruktioner och arbeta för implementering av principerna om inbyggt dataskydd i Lantmäteriets projektmodell, inköpsprocess och vid övriga utvecklingsprojekt. När det gäller ändamålsbegränsningar finns ett behov av att sätta en rutin för att följa upp att Lantmäteriet behandlar personuppgifter enligt de ändamål som har bestämts. Det kan resultera i att inkludera kontrollmoment i arbetet med informationsklassningar och i rutiner för att hålla Lantmäteriets register över personuppgiftsbehandlingar aktuell. 568

243

247

16 Några utgångspunkter

beträffande Lantmäteriets arbete

med informationssäkerhet

16.1 Kapitlets innehåll

Detta kapitel innehåller vissa allmänna utgångspunkter för våra bedömningar och slutsatser när det gäller Lantmäteriets arbete med informationssäkerhet. Att i en organisation – på ett regelkonformt och samtidigt effektivt sätt – ansvara för informationssäkerheten innefattar ett antal utmaningar. Det gäller särskilt när ansvaret kopplas till Sveriges säkerhet. Och så är det för Lantmäteriet. Utgångspunkterna och utmaningarna för Lantmäteriet spänner över stora områden, Nämnas kan myndighetens roll och funktion som just myndighet. Andra delar rör frågor om myndighetsstyrning, chefs- och ledarskap samt regel- och direktivstyrning och omvärldspåverkan. Flera av dessa förutsättningar berörs i detta kapitel och vi återkommer sedan till dem i våra överväganden. En utmaning för Lantmäteriet som vi inte här tar upp särskilt men som ändå måste beaktas är att Covid-19-pandemin pågick under åren 2020 – 2023. 569 Vi återkommer kort till detta i avsnitt 17.2.

16.2 Statsförvaltning i förändring

Den svenska statsförvaltningen har varit under ett starkt förändringstryck sedan 1990-talet. Ambitionerna att skapa effektivare, mer demokratiskt förankrade och transparenta myndigheter går emellertid längre tillbaka än så. Ett flertal faktorer har bidragit till den ut-

569 www.who.int/europe/emergencies/situations/covid-19, hämtat den 2 januari 2026.

245

248

Några utgångspunkter

vecklingen. Det handlar om generella effektiviseringskrav som ställs på den offentliga sektorn, om nya krav med hänsyn till ökad internationalisering och om teknisk utveckling som både möjliggör nya sätt att arbeta för förvaltningen och samtidigt skapar nya utmaningar. Digitalisering och framväxten av så kallad e-förvaltning med målet att myndigheter ska kunna nås av medborgarna på tider och sätt som är smidiga, effektiva och billiga är en del av den utvecklingen. Man talar ibland om 24-timmarsmyndigheten som ett mål i sig. Det ställer höga krav på myndigheterna när det gäller teknisk 570 utveckling och kompetens, tillgänglighet och säkerhet.

16.3 Den statliga värdegrunden och en god

förvaltningskultur

16.3.1 Den statliga värdegrunden

571

Regeringsformen innehåller grundläggande krav på myndigheterna. I den anges att den offentliga makten utövas under lagarna och att domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter i sin verksamhet ska beakta allas 572 likhet inför lagen samt iaktta saklighet och opartiskhet. Vidare anges att den svenska folkstyrelsen bygger på fri åsiktsbildning och att den offentliga makten ska utövas med respekt för alla människors 573 lika värde och för den enskilda människans frihet och värdighet. Den statliga värdegrunden är ett pedagogiskt verktyg som sammanfattar och synliggör de viktigaste kraven som gäller för de som arbetar inom staten. De utgår till stor del från regeringsformen och består av de sex principerna demokrati, legalitet, objektivitet, fri åsiktsbildning, respekt samt effektivitet och service. Principerna bottnar också i andra författningar. Legalitetsprincipen innebär att myndigheternas verksamhet måste ha stöd i rättsregler, till exempel lagar och förordningar. Det gäller inte bara den del av verksamheten som handlar om att fatta beslut som påverkar enskilda, utan all verksamhet som en myndighet bedriver. Myndigheterna måste i varje konkret fall tydligt kunna visa

570 Departementspromemorian Granskning av Transportstyrelsens it-drift, Ds 2018:6, s. 24. 571 www.statskontoret.se, Den statliga värdegrunden, hämtat den 3 december 2025. 572 1 kap. 1 § tredje stycket och 1 kap. 9 § regeringsformen. 573 1 kap. 1 § andra stycket och 1 kap. 2 § första stycket regeringsformen.

246

249

Några utgångspunkter

vilken regel som använts. Det är viktigt för att enskilda som påverkas av myndigheternas beslut ska kunna förutse och förstå vad som beslutats. Effektivitet handlar om att hushålla med det allmännas resurser. Myndigheternas strävan efter att vara effektiva måste emellertid alltid vägas mot skyldigheten att samtidigt uppfylla andra krav i den statliga värdegrunden. Det ska gå snabbt, men det måste bli rätt. Det är viktigt att myndigheterna inte ser skyldigheten att ge service som något sekundärt. Resursbrist är aldrig ett giltigt skäl för att helt avstå från att hjälpa en enskild. Internt ska myndigheterna se till att alla medarbetare känner till och förstår principerna i den statliga värdegrunden. Det är först när alla som är statsanställda känner till och agerar efter dessa principer som förvaltningen har förutsättningar att bli riktigt effektiv och rättssäker. Det kräver ett aktivt arbete som också omfattar att förklara hur principerna förhåller sig till olika normer och kulturer som finns i verksamheterna och bland medarbetarna. Det aktiva arbetet inom myndigheterna med den statliga värdegrunden är det som skapar grunden för en god förvaltningskultur, det vill säga en kultur som utgår från den statliga värdegrundens principer där beteenden och förhållningssätt står i överensstämmelse med principerna. Det krävs engagemang från både ledning och medarbetare och ett medvetet löpande arbete som omfattar all personal för att utveckla och upprätthålla en god förvaltningskultur. Det arbetet och den kulturen skapar förutsättningar för en god förvaltning med myndigheter som bättre klarar sina uppdrag på ett demokratiskt, effektivt och rättssäkert sätt. Det kan också bidra till att upprätthålla ett högt förtroende hos alla invånare i Sverige. Samtidigt är den statliga värdegrunden formulerad på en övergripande nivå. Därför behöver myndigheterna konkretisera den i den dagliga verksamheten samt diskutera de frågor och dilemman som är specifika just för dem. Det gäller särskilt i fall där olika principer, exempelvis effektivitet, service och lagenlighet, kan hamna i konflikt med varandra. 574

574 Sista stycket hämtat från Statskontorets rapport Den statliga värdegrunden – gemensamma principer för en god förvaltning, s. 39.

247

250

Några utgångspunkter

16.3.2 En god förvaltningskultur

575

En god förvaltningskultur är de beteenden och förhållningssätt som vilar på den statliga värdegrunden. Om alla anställda efterlever den statliga värdegrunden ger det förutsättningar för en effektiv, rättssäker och fungerande förvaltning. Den statliga värdegrunden och andra rättsliga principer ligger till grund för hur myndigheter ska tolka och bryta ner sitt uppdrag från regeringen i konkreta arbetsuppgifter i verksamheten. För att åstadkomma och upprätthålla en god förvaltningskultur behöver en myndighet arbeta med både strukturen (författningar, regler och intern styrning) och kulturen, det vill säga de värderingar och den praktik som råder i en verksamhet. Att arbeta med strukturen innebär att omsätta lagar, förordningar och andra regleringar samt mål i den egna myndighetens organisation. Det görs bland annat genom interna bestämmelser och styrdokument, så som arbetsordningen och verksamhetsplanen. Den formella organisationen blir också en del av strukturen. Där framgår ofta någon form av hierarki och ansvarsfördelning, exempelvis mellan avdelningar och enheter samt mellan olika funktioner och chefer. De organisatoriska värderingarna ska inte förväxlas med individens privata egna. Det handlar i stället om hur organisationen och medarbetarna kollektivt värderar olika centrala frågor. Det kan exempelvis handla om hur myndigheten värderar effektivitet, transparens, autonomi, legitimitet, opartiskhet, kvalitet, följsamhet, pålitlighet och lojalitet när de ställs mot varandra i olika situationer. Det kan också handla om den sociala samvaron, det vill säga hur medarbetare i organisationen förväntas uppföra sig mot varandra. De organisatoriska värderingarna utgör inte ensamt kulturen, utan kompletteras av det medarbetarna faktiskt gör, själva praktiken. Det handlar om medvetna beteenden, men även om invanda handlingsmönster, samt normer som styr hur medarbetare agerar i specifika situationer. Praktiken kan till exempel handla om hur medarbetare och chefer i en verksamhet faktiskt tillämpar interna styrdokument.

575 www.statskontoret.se, Vad är god förvaltningskultur?, hämtat den 3 december 2025.

248

251

Några utgångspunkter

16.4 En digitaliserad och öppen förvaltning

16.4.1 Lantmäteriet har haft en aktiv roll i digitaliseringen av

förvaltningen

Ett högt prioriterat område för flera regeringar har varit att stimulera digitalisering för att effektivisera förvaltningen och för att skapa tjänster som underlättar för allmänhet och företag. 576 Lantmäteriet har haft en mycket aktiv roll i det arbetet genom att vara företrätt i e-delegationen och sedan 2016 i regeringens råd för utveckling av det offentliga Sverige. Lantmäteriets uppgift är numera inte begränsad till att tillhandahålla geodata och geodatatjänster. Som utvecklingsansvarig myndighet ingår bland annat att samordna processer och skapa samverkan mellan myndigheter och andra aktörer genom smarta IT-lösningar. Lantmäteriets uppgift är att koordinera e-förvaltningsprojekt och hitta samverkan mellan stat, kommun, näringsliv och medborgare när det gäller geografisk information och fastighetsinformation. Det handlar också om att förenkla processer som knyter an till varandra. En person som söker lagfart eller vill göra en inteckning har ofta samtidigt intresse av att låna pengar i bank, söka bygglov hos kommunen eller stycka av en tomt. Avsikten är att knyta samman olika ”delprocesser” så att det blir s å enkelt som möjligt för företaget eller den enskilde och att då, så långt möjligt, automatisera överföringen av information mellan alla berörda aktörer. Den affärsmodell som utvecklades inom ramen för geodataprojektet och som bland annat innebär förenklad informationssamverkan har blivit mycket uppmärksammad. 577

16.4.2 Regeringsuppdrag till Lantmäteriet om digitalisering

Lantmäteriet har under senare år fått ett antal uppdrag från regeringen som avser digitalisering. Här redogörs inte närmare för dessa men de viktigaste uppdragen har enligt Lantmäteriet varit följande. 578

576 Se exempelvis prop. 2009/10:175, prop. 2009/10:193 och prop. 2016/17:1, utgiftsområde 22, avsnitt 4.4.2. 577 Lantmäteriet – En modern myndighet med anor, 2017, Ulf Sandgren, s. 109. 578 Information från Lantmäteriet i oktober 2025.

249

252

Några utgångspunkter

• En kompetenssatsning om digitaliseringens möjligheter i planoch byggprocessen, 579 • Verka för en smartare samhällsbyggnadsprocess, 580 • Säker och effektiv tillgång till grunddata, 581 • Säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn, 582 • Etablera en förvaltningsgemensam digital infrastruktur för infor- 583 mationsutbyte, • Etablera ett nationellt ramverk för grunddata inom den offentliga förvaltningen, 584 • Etablera en digital infrastruktur för tillgängliggörande av standardiserade dataset i samhällsbyggnadsprocessen, 585 och • Ta fram förslag till färdplan för att fortsätta digitalisera samhälls- 586 byggnadsprocessen.

Till detta kan läggas regeringsuppdraget att driva en kompetenssatsning om digitaliseringens möjligheter i fastighetsbildningsprocessen. 587

16.4.3 E-delegationen

E-delegationen tillsattes av regeringen 2009. I delegationens direktiv angavs bland annat att målet för e-förvaltningsarbetet är att det ska vara så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvaltningens service. För att förverkliga den förbättringspotential som en utvecklad e-förvaltning rymmer, krävdes ett strategiskt synsätt på eförvaltning som omfattar staten som helhet. Därför behövdes ett

579 LM 404 – 2017/6510. 580 LM 519 – 2018/2889. 581 LM 519 – 2018/4635. 582 LM 101 – 2018/4636. 583 LM2019/020727 och LM2022/002016. 584 LM2019/020730. 585 LM2020/002393. 586 LM2023/060342. 587 LM2020/018223.

250

253

Några utgångspunkter

myndighetsövergripande arbete i delegationsform som koordinerade enskilda myndigheters insatser. Som utgångspunkter angavs bland annat att e-förvaltningen ska bidra till att förenkla kontakten mellan förvaltning och medborgare och ska präglas av tillgänglighet och användbarhet. Vidare anfördes att den offentliga förvaltningens e-tjänster i så stor utsträckning som möjligt ska bygga på öppna standarder samt använda sig av standarder som bygger på öppen källkod och lösningar som stegvis frigör förvaltningen från beroende av enskilda plattformar och lösningar. Delegationen bör beakta behovet av att tillgängliggöra offentlig information, bland annat för vidareutnyttjande. En mer tillgänglig information kan bidra till utvecklingen av ekonomin, men också underlätta vardagen för medborgare 588 och företag. E-delegationen lämnade ett antal betänkanden mellan 2009 och 2015. I sitt första betänkande föreslog delegationen att regeringen skulle ge bland annat Lantmäteriet i uppdrag att inom befintliga ekonomiska ramar vara utvecklingsansvarig myndighet inom området för geografisk information och fastighetsinformation fram till och 589 med 2014. Ett sådant uppdrag beslutades av regeringen i mars 2011. I uppdraget angavs bland annat att för att uppnå förtroende hos användare av e-förvaltningstjänster med mera krävdes att informationssäkerhetsaspekter vägdes in. Det uppdrag som framför allt dåvarande MSB hade på området, samhällets informationssäkerhet, borde därför beaktas. 590

16.4.4 Ena – Sveriges digitala infrastruktur

Myndigheten för digital förvaltning (Digg) har tillsammans med flera myndigheter, bland andra Lantmäteriet, fått regeringsuppdraget att fortsätta etableringen av en förvaltningsgemensam digital infrastruktur för informationsutbyte. Infrastrukturen har getts namnet Ena – Sveriges digitala infrastruktur. Uppdraget har redovisats i en rapport från Digg. 591 Inom Ena bedrivs ett systematiskt riskhanteringsarbete baserat på ISO-standarder inom riskhantering och

588 Dir 2009:19. 589 SOU 2009:86, s. 44. 590 Regeringsbeslut den 3 mars 2011, N2011/1368/ITP. 591 Uppdrag att fortsatt etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte, I2022/00102).

251

254

Några utgångspunkter

informationssäkerhet. Det förvaltningsgemensamma systematiska och riskbaserade informationssäkerhetsarbetet bygger på de deltagande myndigheternas eget informationssäkerhetsarbete. Riskarbetet är i en uppbyggnadsfas. Ett riskforum har etablerats för att hantera alla typer av risker inom Ena. Behovet av att utbyta säkerhetskänslig information för att samordna riskhantering kommer att öka inom Ena. Information om informationssäkerhetsrisker inom Ena är normalt sett sekretessbelagda vilket enligt Digg innebär särskilda utmaningar från säkerhetssynpunkt. Samtidigt anses det viktigt att kunna betrakta riskerna ur ett helhetsperspektiv. För att få ett helhetsperspektiv kan säkra kanaler behövas i syfte att kunna säkerställa att sekretessbelagda risker inte röjs. Det kan heller inte uteslutas att det kommer att kräva rättsutveckling för att säkerställa att det inte finns några rättsliga hinder för att utbyta sådan information. 592 Inom Ena finns så kallade grunddatadomäner, som är specificerade områden där samordnad och överenskommen hantering av nationella grunddata sker. Lantmäteriet är ansvarigt för grunddata- 593 domänen Fastighets- och geografisk information.

16.4.5 Digitalt först

Regeringens satsning Digitalt först beslutades 2016 för att öka digitaliseringen inom ett antal prioriterade utvecklingsområden, däribland samhällsbyggnadsprocessen. 594 Digitalt först innebär att digitala tjänster, när det är möjligt och relevant, ska vara förstahandsval i den offentliga sektorns kontakter med privatpersoner och organisationer. Bland annat möjliggör digitala kontaktytor för privatpersoner och företag att ta del av den offentliga servicen där och när det passar dem, vilket anses vara en viktig fråga för demokratiutvecklingen. 595

592 Diggs rapport, s. 4 – 5. 593 www.digg.se/styrning-och-samordning/ena---sveriges-digitala-infrastruktur/nationellagrunddata, hämtat den 3 december 2025. 594 Prop. 2016/17:1, utgiftsområde 18, avsnitt 3.5.7 och utgiftsområde 22, avsnitt 4.4.2. 595 https://www.digg.se/kunskap-och-stod/svenskt-ramverk-for-digitalsamverkan/rekommendationer-for-offentliga-organisationer/det-digitala-motet, hämtat den 23 januari 2026.

252

255

Några utgångspunkter

16.4.6 Öppna datalagen

Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (den så kallade öppna datalagen) syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data, under förutsättning att krav på informationssäkerhet och skydd av personuppgifter kan upprätthållas och att det inte innebär risker för Sveriges säkerhet. 596 Lagen imple- 597 menterar ett EU-direktiv. Det övergripande syftet är att främja användningen av öppna data och stimulera innovation inom produkter och tjänster genom vidareutnyttjande av information som tillgängliggörs av den offentliga sektorn. Direktivet har anpassats till de senaste framstegen inom digital teknik och ska ytterligare främja digital innovation, särskilt beträffande artificiell intelligens. Direktivets reglering strävar mot att hantera kvarstående och nya hinder som motverkar ett brett vidareutnyttjande av information. Med öppna data avses i allmänhet data i öppna format som får utnyttjas, vidareutnyttjas och delas fritt av vem som helst för valfritt ändamål. 598 När det gäller säkerhets- och integritetsintressen ska dessa beaktas innan data tillgängliggörs. Hinder mot att ge tillgång till data, till exempel i form av sekretess, har alltså företräde framför lagen. Tillgängliggörande av data bör inte ske om det innebär risker för Sveriges säkerhet. Vilka verksamheter som är av betydelse för Sveriges säkerhet, så kallade säkerhetskänsliga verksamheter, måste bedömas i ljuset av samhällsutvecklingen. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan därför i viss utsträckning förändras över tid. Sammanfattningsvis bör en myndighet eller ett offentligt företag som avser att tillgängliggöra data för vidareutnyttjande göra en allsidig riskbedömning innan ett tillgängliggörande sker. I en sådan bedömning bör riskerna med att tillgängliggöra data identifieras, analyseras och värderas. Om en myndighet eller ett offentligt företag bedömer att krav på informationssäkerhet och skydd av personuppgifter inte kan upprätthållas om vissa data tillgängliggörs för vidareutnyttjande, bör

596 1 kap. 1 öppna datalagen. 597 EU:s direktiv 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn. 598 Prop. 2021/22:225, s. 15 och 21.

253

256

Några utgångspunkter

dessa inte få göras tillgängliga. Detsamma gäller om ett tillgängliggörande kan innebära risker för Sveriges säkerhet. 599 När det gällde lagens konsekvenser för säkerheten och skyddet av personuppgifter anförde regeringen att det i lagen fanns ett antal skyddsmekanismer som syftar till att förhindra att data görs tillgängliga för vidareutnyttjande om det innebär risker för Sveriges säkerhet, informationssäkerheten eller skyddet av personuppgifter. Det underströks dock att myndigheter och offentliga företag bör iaktta särskild omsorg i sitt systematiska informationssäkerhetsarbete och i sina bedömningar av om data kan göras tillgängliga för vidareutnyttjande. Vid behov borde, utöver några närmare angivna åtgärder, ytterligare åtgärder övervägas, exempelvis i form av vägled- 600 ning i säkerhetsfrågor och riskbedömningar. I sammanhanget kan nämnas att Försvarsmakten i remissvar 601 avstyrkte förslaget till lag om öppna data, bland annat eftersom det riskerade att ge upphov till försämrad informationssäkerhet. I denna del anförde Försvarsmakten bland annat följande. Att bedöma om en viss informationsmängd riskerar att bidra till att en aggregerad informationsmängd blir säkerhetskänslig är komplicerat. Säkerhetsskyddsarbetet ska utgå från den egna verksamheten. Detta perspektiv är inte tillräckligt när oöverskådligt stora mängder information offentliggörs. En risk som ett brett utlämnande av data kan leda till är ökad möjlighet att genomföra framgångsrik underrättelseinhämtning genom öppna källor gentemot Sverige. Tillgängliggörandet av information som innehas av en myndighet men härrör från en annan myndighet bör enligt Försvarsmakten inte ske utan samråd med den myndighet som informationen kommer ifrån. Samrådsansvaret kan lämpligen knytas till tillsynsansvaret enligt säkerhetsskyddslagstiftningen. Även vad gäller tillgängliggörande av information som härrör från den egna myndigheten kan det vara lämpligt att den myndighet som har tillsynsansvaret enligt säkerhetsskyddslagen rådfrågas.

599 Prop. 2021/22:225, s. 36 – 37. Se även prop. 2017/18:89, s. 133. 600 Prop. 2021/22:225, s. 69. 601 Försvarsmaktens remissvar den 21 december 2020 angående huvudbetänkande från Öppna data-utredningen: Innovation genom information (SOU 2020:55), FM2020-20794:2.

254

257

Några utgångspunkter

16.4.7 Potentiella hot och risker som orsakas eller underlättas

av öppna data

Lantmäteriet ansåg, mot bakgrund av att både öppna datalagen och direktivet uppmanar aktörerna att beakta säkerhetsmässiga risker innan data tillgängliggörs, att det var oklart hur sådana riskbedömningar och identifiering av skyddsvärda data skulle göras. Lantmäteriet gav därför Totalförsvarets forskningsinstitut (FOI) i uppdrag att i en förstudie identifiera potentiella hot och risker som orsakas eller underlättas av en öppen tillgång till offentliga aktörers, med betoning på Lantmäteriets, geodata. I sin rapport anförde FOI sammanfattningsvis att den stora och lättillgängliga mängden öppna data underlättar för olika hotaktörer att uppnå sina mål, vilket kan äventyra allmän och nationell säkerhet. Vidare anfördes att offentliga aktörers öppna geodata tillåter avancerade rumsliga analyser som skulle ha varit mer komplicerade, eller till och med omöjliga, att utföra i frånvaron av dessa geodata, samt att öppna geodata kan aggregeras med andra öppna eller ickeöppna data samt data som inhämtas av hotaktörerna själva. 602 Aggregeringen av olika datamängder ansågs i rapporten vara ett särskilt allvarligt problem då det kan medföra att data som var för sig inte betraktas som skyddsvärda blir en säkerhetsrisk när de kombineras. Vidare anfördes i huvudsak följande. Den geografiska positionen för personal, anläggningar och aktiviteter är nyckeluppgifter vid militära operationer och underrättelseinhämtning och modern krigföring. Den stora mängd detaljerade data som förväntas bli öppna kommer i och med genomförandet av öppna data-direktivet att tillåta en antagonist att med stor noggrannhet kartlägga platser, anläggningar och transportvägar, vilket underlättar militärt anfall, terroristdåd, sabotage eller andra brott. Redan i dag finns öppna svenska geodata som med hög precision anger position för exempelvis kommun- och myndighetskontor, avloppsreningsverk, vattenkraftdammar (inklusive information om säkerhetsklass) samt det nationella stamnätets ledningar och stationer för elförsörjning. Ett av flera scenario n som beskrivs i rapporten kallas ”Den förlorade hem maplansfördelen” och innebär att en angripare av Sverige med en stor mängd detaljerade geodata har lyckats förbereda sig så

602 Möjliga hot och risker rörande öppna geodata – Redovisning av arbete i en förstudie den 20 november 2023, FOI Memo 8296.

255

258

Några utgångspunkter

mycket att Försvarsmakten har förlorat det övertag som dess unika lokalkännedom annars medför. 603 En typ av aggregering som tas upp i rapporten är då en antagonist genom att kombinera olika typer av data kan härleda säkerhetskänslig information som inte framgår av de enskilda datamängderna. I de fall det finns tidsserier med data, vilket är fallet med exempelvis Lantmäteriets ortofoton, kan en antagonist exempelvis härleda intressanta områden utifrån automatiserade skillnadsanalyser genom vilka förändringar i landskapet kan identifieras och därmed peka ut 604 områden av intresse. Det anförs också i rapporten att det är troligt att geodata som offentliga aktörer producerar är eftersträvansvärd information, även för en resursstark antagonist, eftersom den skulle kunna utgöra ett viktigt komplement till andra underrättelser såsom personuppgifter och geolokalisering inhämtade via egen insamling av data, diverse öppna källor eller sociala medier. 605

16.4.8 Värdefulla datamängder

En värdefull datamängd (High Value Data, HDV) är data som är förknippad med stora fördelar för samhället, miljön och ekonomin i och med att den finns tillgänglig för många. Det är data som är särskilt lämplig att använda för att skapa digitala tjänster och applikationer. Värdefulla datamängder omfattas av en särskild reglering i öppna data-direktivet och i öppna datalagen. EU-kommissionen fastställer i en genomförandeakt vilka datamängder som är värdefulla datamängder och hur de ska göras tillgängliga på ett enhetligt sätt med stöd av öppna data-direktivet. 606 Genomförandeakten började gälla den 9 juni 2024.

603 Redovisningen, s. 13 och 15 – 16. 604 Redovisningen, s. 17. 605 Redovisningen, s. 18. 606 https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/vagledning-omvardefulla-datamangder, hämtat den 23 januari 2026, och EU-kommissionens genomförandeförordning, (EU) 2023/138.

256

259

Några utgångspunkter

16.4.9 Riksrevisionens granskning av statens arbete med

strategiska digitaliseringsprojekt

Riksrevisionen har i en rapport granskat statens arbete med strategiska digitaliseringsprojekt, eftersom effektiviteten i det arbetet är avgörande för att nå regeringens mål för digitaliseringen av den offentliga förvaltningen och det övergripande målet för digitaliseringspolitik i Sverige och EU. En övergripande slutsats i rapporten är att det finns flera effektivitetsbrister i statens arbete med strategiska digitaliseringsprojekt. Myndigheterna har återkommande problem med att leverera resultat inom utsatt tid och budget, ofta på grund av brist på IT-kompetens och bristande kravställning. Många projekt har inte utvärderats, vilket försvårar en samlad bedömning av måluppfyllelsen i de strategiska digitaliseringsprojekt som omfattas av granskningen. Vissa stora och kostsamma projekt har avbrutits i förtid, vilket resulterat i stora ekonomiska förluster för staten. Regeringens styrning brister också när det gäller uppföljning och tvärsektoriell samordning. Det har lett till att regeringen saknar en helhetsbild av hur myndigheternas arbete med strategiska digitaliseringsprojekt bidrar till att uppnå de övergripande digitaliseringsmålen. Detta medför en risk för att nödvändiga åtgärder uteblir och att stödmyndigheternas insatser inte bidrar till att lösa problem inom de strategiska digitaliseringsprojekten. Avbrutna projekt har sammanlagt kostat 1,6 miljarder kronor. Merparten är stora och dyra projekt från myndigheter med samhällsviktig funktion, såsom Trafikverket, Riksrevisionen Boverket, Lantmäteriet och Svenska kraftnät. Riksrevisionen bedömer att detta kan minska allmänhetens förtroende för den statliga förvaltningen. 607 Regeringen har i en skrivelse redovisat sin bedömning av Riksrevisionens iakttagelser och rekommendationer. I likhet med Riksrevisionen anser regeringen att myndigheternas ledningar har ett särskilt ansvar för att följa upp genomförandet av strategiska digitaliseringsprojekt med anledning av sitt ansvar för verksamheten inför regeringen samt att myndigheterna, liksom för allt annat arbete inom sina respektive verksamhetsområden, ansvarar för att bedriva strategiska digitaliseringsprojekt på ett effektivt sätt för att fortlö- 608 pande utveckla verksamheten.

607 Riksrevisionens granskningsrapport Statliga strategiska digitaliseringsprojekt – stora gemensamma utmaningar den 10 april 2025, RiR 2025:8, s. 5 – 6. 608 Regeringens skrivelse 2025/26:33, s. 6.

257

260

Några utgångspunkter

16.5 Förändring av det säkerhetspolitiska läget

I slutet av 1990-talet ansågs Sveriges säkerhetspolitiska läge vara gott. Även om osäkerheten om utvecklingen i Ryssland då bestod, ansåg regeringen att det fanns anledning att utnyttja läget till att sänka kostnaderna för Sveriges försvar och genomföra en omstrukturering av försvaret. 609 Regeringen ansåg mot den bakgrunden att Sverige behövde en försvarsmakt som var betydligt mindre till sin volym än tidigare, men som har hög kvalitet och som är allsidigt användbar till en mängd olika typer av insatser. I stället för ett invasionsförsvar behövdes ett insatsförsvar där möjligheten till framtida anpassning var en viktig planeringsförutsättning. För att insatsorganisationen skulle få den föreslagna inriktningen föreslogs bland annat att ett stort antal krigsförband skulle läggas ned. 610 Den 1 juli 2010 avskaffades den allmänna värnplikten i fredstid. Från det datumet utgjorde frivillighet i stället grunden för bemanningen av insatsorganisationen. 611 Bara några år senare hade det säkerhetspolitiska läget i Europa försämrats, bland annat mot bakgrund av Rysslands annektering av Krim 2014. Mot den bakgrunden fanns det en bred politisk överenskommelse om försvarets framtida inriktning. Den svenska försvarsförmågan skulle stärkas och den operativa förmågan i krigsförbanden öka under åren 2016 – 2020. Ytterst skulle försvaret kunna möta ett väpnat angrepp. Vidare skulle planeringen för totalförsvaret åter- 612 upptas. Den 2 mars 2017 beslutade regeringen att totalförsvarspliktiga skulle vara skyldiga att genomgå mönstring och fullgöra grundut- 613 bildning med värnplikt. Nyligen har regeringen konstaterat att det säkerhetspolitiska läget i Europa i grunden försämrats sedan Rysslands invasion av Ukraina den 24 februari 2022. Som en följd har svensk säkerhetspolitik genomgått den största förändringen i modern tid. Sverige är sedan den 7 mars 2024 medlem i Nato. Bedömningen av det säkerhetspolitiska läget är behäftad med ett antal osäkerhetsfaktorer, bland annat i fråga om den fortsatta utvecklingen av Rysslands krig

609 Prop. 1998/99:74, s. 43. 610 Prop. 1999/00:30, s. 10 f. 611 Prop. 2008/09:140, s. 11. 612 Prop. 2014/15:109, s. 1 och 7. 613 Regeringsbeslut den 2 mars 2017, Fö2016/01252/MFI (delvis).

258

261

Några utgångspunkter

i Ukraina och Rysslands hållning till EU, Nato och dess medlemsstater. Osäkerhetsfaktorerna innebär enligt regeringen en förhöjd risk för att det säkerhetspolitiska läget snabbt kan försämras ytterligare med allvarliga konsekvenser för Europas och Sveriges säkerhet. 614 Säkerhetspolisen anser att hotet från främmande makt har breddats och blivit mer komplext. Ett flertal länder bedriver i dag olovlig underrättelseverksamhet och annan säkerhetshotande verksamhet i Sverige. Samtidigt har det säkerhetspolitiska läget i Sveriges närområde allvarligt försämrats. Underrättelsehotet omfattar såväl olagliga som lagliga metoder. Vid sidan om den mer traditionella underrättelseverksamheten, där andra länder värvar agenter, genomförs olika former av säkerhetshotande verksamhet såsom cyberattacker och påverkansoperationer. Främmande makt har behov av information, kunskap och teknik och därmed kan behovet av underrättelseinhämtning öka. Sverige är ett attraktivt land för länder som olovligen vill komma över både kunskap och teknik för militära och civila ändamål. Exempel på främmande makts metoder för underrättelseinhämtning är öppna källor, signalspaning, cyberspionage mot skyddsvärda verksamheter i syfte att stjäla information eller att förbereda sabotage, flyg- och satellitspaning samt traditionell personbaserad inhämtning. 615 I propositionen Totalförsvar 2021 – 2025 betonas bland annat att Sveriges cyberförsvarsförmåga och det systematiska arbetet med informations- och cybersäkerhet bör stärkas ytterligare. Det sistnämnda avser alla aktörer inom totalförsvaret. När det gäller hotbilden inom cyberområdet anför regeringen att många av de system som är kritiska för att upprätthålla samhällets funktionalitet är sårbara för störningar redan i fredstid och att det pågår ständiga intrångsförsök mot internetanslutna system. Myndigheter och organisationer med ansvar inom totalförsvaret behöver, i enlighet med vad regeringen angett i budgetpropositionen för 2021, ha tillgång till säkra och robusta kommunikationstjänster samt nätlösningar med höga säkerhetskrav som är ändamålsenliga för hantering och kommunikation av säkerhetsskyddsklassificerad information. 616

614 Prop. 2024/25:22, s. 4 – 6. 615 https://sakerhetspolisen.se/hoten-mot-sverige/hotet-fran-frammande-makt, hämtat den 23 januari 2026. 616 Prop. 2020/21:30, s. 151 f.

259

262

Några utgångspunkter

Hösten 2025 anförde regeringen att det säkerhetspolitiska läget är det allvarligaste på flera decennier och att Ryssland utgör det dimensionerande hotet mot Sverige. Därför genomför regeringen historiska satsningar på försvaret. Tillsammans med tidigare budgeterade ökningar ökar anslagen med 26,6 miljarder i budgetpropositionen för 2026, vilket motsvarar en ökning med 18 procent jämfört 617 med 2025.

16.6 Ökad motståndskraft i samhällsviktig

verksamhet

16.6.1 Ny cybersäkerhetslagstiftning

Det så kallade NIS-direktivet 618 upphörde att gälla den 18 oktober 2024 och har ersatts av NIS2-direktivet. 619 Syftet med direktivet är att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå inom unionen. 620 Direktivet innebär skärpta krav på berörda aktörer jämfört med NIS-direktivet och omfattar betydligt fler aktörer. 621 Genom NIS2-direktivet har kraven skärpts på vilka åtgärder berörda aktörer ska vidta för att bland annat hantera risker och förhindra incidenter kopplade till nätverks- och informationssystem som de använder. 622 Dessutom har mer precisa rapporteringsskyldigheter införts, bland annat avseende skyldigheten att på visst sätt rapportera alla betydande incidenter till en utpekad myndighet. 623 I syfte att harmonisera sanktionssystemen i medlemsstaterna inne-

617 Regeringens pressmeddelande den 15 september 2025. 618 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhets i nätverks- och informationssystem i hela unionen. NIS står för The directive on security of network and information systems, https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/krav-ochregler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/nis/om-nis-direktivet, hämtat den 23 januari 2026. 619 Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet). 620 Artikel 1, NIS2-direktivet. 621 Se bland annat prop. 2025/26:28, s. 34. 622 Artikel 21. 623 Artikel 23.

260

263

Några utgångspunkter

håller NIS2-direktivet även bestämmelser om tillsyns- och efterlevnadskontrollåtgärder samt sanktioner. 624 NIS2-direktivet infördes i svensk lagstiftning genom cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507), som båda trädde i kraft den 15 januari 2026. Syftet är att uppnå en hög nivå av cybersäkerhet i samhället. 625 Lagen innebär bland annat att verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder). Säkerhetsåtgärderna ska utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken. 626 Ett annat krav enligt lagen är att de personer som ingår i ledningen för en verksamhetsutövare ska genomgå utbildning om säkerhetsåtgärder. 627 Uttrycket ledning omfattar bland annat ledning som den definieras i myndighetsförordningen. Utbildningen bör bland annat syfta till att ledningen ska ha tillräcklig kompetens för att kunna identifiera risker och kunna bedöma vilka säkerhetsåtgärder som bör vidtas av verksamhetsutövaren. 628

16.6.2 CER-direktivet

CER-direktivet 629 ställer krav på åtgärder för att stärka motståndskraften i viss samhällsviktig verksamhet. Med samhällsviktig verksamhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. Direktivet innebär bland annat att varje medlemsstat ska ta fram en nationell strategi för att öka motståndskraften i samhällsviktig verksamhet och göra en nationell riskbedömning och redovisa vilka typer av risker som har identifierats och resultatet av riskbedömningarna per sektor och

624 Prop. 2025/26:28, s. 35. 625 1 kap. 1 § cybersäkerhetslagen. 626 2 kap. 3 § cybersäkerhetslagen. Se även prop. 2025/26:28, s. 85. 627 2 kap. 4 § cybersäkerhetslagen. 628 Prop. 2025/26:28, s. 96 – 100. 629 Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG.

261

264

Några utgångspunkter

undersektor. 630 Utredningen om genomförande av NIS2- och CERdirektiven har i sitt slutbetänkande behandlat frågor om samordningen mellan kraven i direktiven. 631 Utredningens förslag, med visst undantag som ingår i propositionen om ny cybersäkerhetslag, bereds inom Regeringskansliet. 632

16.6.3 Samordnad och säker statlig IT-drift

Förordningen (2024:1005) om samordnad och säker statlig IT-drift innehåller bestämmelser om ett samordnat statligt tjänsteutbud för IT-drift. Förordningen bygger på ett förslag från IT-driftsutredningen. Ett centralt syfte med en samordnad statlig IT-drift är att 633 bidra till ökad informationssäkerhet i den statliga förvaltningen. Försäkringskassan är samordnande myndighet enligt förordningen. 634 Genom en ändring i förordningen, som trädde i kraft den 1 januari 2026, är Lantmäteriet en av angivna leverantörsmyndigheter. Det innebär att Lantmäteriet tillsammans med den samordnande myndigheten ska bestämma vilka IT-driftstjänster som ska erbjudas inom det samordnade statliga tjänsteutbudet och hur tjänstebeskrivningarna för tjänsterna ska utformas. En leverantörsmyndighet ska tillhandahålla det samordnade statliga tjänsteutbudet 635 och stödja myndigheterna vid valet av IT-driftslösning. De myndigheter som har uppdraget att tillhandahålla tjänster inom ramen för ett samordnat statligt tjänsteutbud ansvarar för att bedöma vilket behov som finns av säkerhetsskydd för den egna verksamheten. För att minimera riskerna med aggregerade informationsmängder ska tjänster inom ett samordnat statligt tjänsteutbud levereras av flera myndigheter. IT-driftsutredningen bedömde dock att säkerhetsskyddsklassificerade uppgifter inte skulle hanteras inom det samordnade statliga tjänsteutbudet, eftersom sådan hante- 636 ring ställer särskilda krav på säkerhet.

630 https://www.mcf.se/sv/om-oss/internationella-samarbeten/eu-samarbete/eu-och-skyddav-samhallsviktig-verksamhet, hämtat den 23 januari 2026. 631 SOU 2024:64. 632 Prop. 2025/26:28, s. 32. 633 SOU 2021:97, s. 21. 634 1 och 4 §§ i förordningen. 635 5 § i förordningen. 636 SOU 2021:97, s. 27.

262

265

Några utgångspunkter

För kostnader för att etablera en samordnad och säker statlig ITdrift beräknas anslaget för 2026 bli 12 250 000 kronor. 637

16.7 Styrelsemyndigheter

16.7.1 Ledningsformen styrelsemyndighet

638

I en styrelsemyndighet leds myndigheten av en styrelse som är kollektivt ansvarig för verksamheten inför regeringen. Myndighetens chef ingår som ledamot i styrelsen, men är inte dess ordförande. Myndighetschefen ansvarar för den löpande verksamheten i enlighet med styrelsens direktiv. Regeringen utser ordförande och övriga ledamöter i styrelsen. I vissa fall utser regeringen även vice ordförande. Myndighetschefen utses av regeringen, ofta efter samråd med ordföranden. Ledningsformen innebär att regeringen väljer att styra en myndighet genom en styrelse som med sin samlade kompetens får ansvar att leda myndighetens verksamhet. Formen anses i första hand lämplig för myndigheter som har ett omfattande finansiellt ansvar i form av budgetomslutning eller tillgångar, en stor påverkan på andra samhällssektorer, en tvärsektoriell och komplex verksamhet som rör flera samhällsområden, en forskningsintensiv och kunskapsproducerande verksamhet (högre utbildning), en affärsliknande verksamhet eller ett tydligt behov av bredd i form av olika kompetenser för att leda verksamheten. En styrelse stärker förutsättningarna för strategisk styrning och verksamhetsutveckling av myndigheten och kan vara en pådrivande kraft och utgöra ett viktigt stöd för myndighetschefen i det löpande arbetet med att säkerställa att verksamheten bedrivs effektivt. Styrelsen, som ytterst ansvarig för verksamheten, har också en viktig roll i kvalitetssäkringen. Eftersom styrelsen är ytterst ansvarig inför regeringen, har den genom styrelseordföranden en viktig roll i regeringens uppföljning av myndighetens verksamhet och i bedömningen av myndighetens resultat.

637 Prop. 2024/25:1, Utgiftsområde 18, s. 37. 638 Texten i detta avsnitt och avsnitt 16.7.2-16.7.7 är hämtad från Regeringskansliets vägledning för statliga myndighetsstyrelser, oktober 2016.

263

266

Några utgångspunkter

16.7.2 Styrelsens ansvar

Styrelsen är högsta ledningsorgan i styrelsemyndigheter, med det yttersta ansvaret för alla beslut som rör verksamheten. Myndighetens ledning har såväl ett verksamhetsansvar som ett juridiskt ansvar. Ledningen ska enligt myndighetsförordningen se till att verksamheten bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU. Den ska också se till att verksamheten redovisas på ett tillförlitligt och rättvisande sätt och att myndigheten hushållar väl med statens medel. 639 En viktig förutsättning för att styrelsen ska kunna utgöra ett ledningsorgan och kunna styra är att både det formella och det verkliga ansvaret för verksamheten vilar hos den. Regeringen är uppdragsgivare och ledamöterna uppdragstagare med ansvar inför regeringen. Det är viktigt att ledamöterna i sitt styrelsearbete står obundna av olika partsintressen och uteslutande företräder myndigheten. För att styrelsen ska kunna vara ett effektivt ledningsorgan måste en del beslut delegeras. Vissa frågor är dock av sådan karaktär att de inte kan delegeras till myndighetschefen, exempelvis beslut om arbetsordning för myndigheten. 640 Styrelsen bör noga överväga vilka frågor som ska delegeras till myndighetschefen. För att bland annat arbetsfördelningen mellan ordföranden och myndighetschefen ska löpa smidigt, och för att undvika dubbelarbete, är det viktigt att uppgiftsfördelningen mellan styrelsen och myndighetschefen regleras tydligt. Det görs i arbetsordningen. Det är ytterst styrelsen som mot bakgrund av myndighetsförordningens krav bedömer vilka uppgifter som bör delegeras. Styrelsen delegerar till myndighetschefen, som i sin tur bör få rätt av styrelsen att delegera vidare inom organisationen. Styrelsen bör hållas underrättad om myndighetschefens vidaredelegering.

16.7.3 Myndighetschefens roll i en styrelsemyndighet

Det är myndighetschefens uppgift att sköta den löpande verksamheten enligt styrelsens direktiv och riktlinjer. Myndighetschefen har således en verkställande funktion. I styrelsen har myndighetschefen en viktig uppgift som föredragande, förslagsställare och rapportör.

639 3 § myndighetsförordningen. 640 4 och 5 §§ myndighetsförordningen.

264

267

Några utgångspunkter

I de myndighetsdialoger som respektive departementsledning genomför ska både ordföranden och myndighetschefen delta. Den löpande kontakten med ansvarigt departement sker normalt genom ordföranden eller myndighetschefen, beroende på frågornas karaktär. Myndighetschefen ska bland annat hålla styrelsen informerad om verksamheten, förse styrelsen med underlag för beslut och 641 verkställa styrelsens beslut.

16.7.4 Den interna styrningen och kontrollen

En god intern styrning och kontroll ger myndighetens ledning förutsättningar att driva verksamheten på ett effektivt sätt och uppnå önskat resultat. Med en god intern styrning och kontroll kan fel begränsas och oegentligheter och andra former av bedrägligt beteende undvikas.

Internrevisionen

Genom att inrätta en internrevision på utpekade myndigheter kan regeringen med rimlig säkerhet förvissa sig om att regelverken implementeras ändamålsenligt och följs. I internrevisionens uppgifter ingår att granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. Utifrån en riskanalys ska internrevisionen självständigt granska om den interna styrningen och kontrollen leder till en effektiv verksamhet där lagar och förordningar följs och där redovisning och rapportering av verksamheten är tillförlitlig. I förordningen om intern styrning och kontroll ges närmare riktlinjer för de myndigheter som ska följa internrevisionsförordningen. Internrevisionen är en resurs för ledningen att ta sitt ansvar för verksamheten. Även om funktionen finns i organisationen och tilldelas resurser i den interna budgetprocessen, är det till ledningen som funktionen rapporterar iakttagelser och rekommendationer. När det är fråga om en styrelsemyndighet rapporterar internrevisionen till styrelsen. Styrelsen ska besluta om riktlinjer och revisionsplan för internrevisionen, bland annat granskningens inriktning, former och tidplan för rapportering. Sådan rapportering till styrelsen bör ske minst en gång per

641 13 § myndighetsförordningen.

265

268

Några utgångspunkter

år. Styrelsen ska även besluta om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Styrelsen kan inte delegera ansvaret för internrevisionen till myndighetens chef eller annan befattningshavare. Däremot kan styrelsen delegera arbetsuppgifter till myndighetschefen. Det som kan delegeras är till exempel uppgiften att i detalj utforma åtgärder till följd av styrelsebeslut med anledning av rekommendation från internrevisionen eller smärre förändringar i revisionsplanen. Myndighetschefen måste dock återrapportera till styrelsen vilka åtgärder eller ändringar som vidtagits.

16.7.5 Styrelsemedlemmarnas uppgifter

I styrelsemyndigheter utser regeringen ordförande och övriga styrelseledamöter. Ordföranden planerar och leder styrelsens arbete. Ordföranden bör göra klart vilka förväntningarna är på styrelseledamöterna i styrelsearbetet. Ordföranden är styrelsens talesperson och gör uttalanden på styrelsens vägnar. Myndighetschefen svarar för (alternativt biträder ordföranden med) formalia och praktiska frågor kring styrelsen och dess arbete. Introduktionen av nya ledamöter bör om möjligt ske i god tid före deras första styrelsesammanträde. Ordföranden bör sätta in dem i styrelsearbetet medan myndighetschefen bör ordna så att de får en fyllig och allsidig information om myndigheten och dess verksamhet. En ledamot i en myndighetsstyrelse har sitt mandat från regeringen och ska stå obunden av partsintressen. Ledamotens främsta uppgift är att med utgångspunkt i regeringens uppdrag se till att verksamheten bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel. I uppdraget att vara styrelseledamot ligger en skyldighet att fortlöpande hålla sig väl informerad om myndighetens verksamhet liksom om vilka krav och förväntningar som ställs på myndigheten av riksdagen och regeringen. Eftersom informationsflödet normalt är omfattande, ska styrelseledamöterna löpande få den information de behöver för att kunna sköta sitt uppdrag. Det är myndighetschefen som svarar för att ledamöterna får den informationen. Utöver skilda slag av ekonomiska redovisningar kan det till exempel röra sig om

266

269

Några utgångspunkter

sammanfattningar av rapporter, viktigare remissyttranden, pressmeddelanden och information som rör personalen. Om enskilda ledamöter önskar särskild information om någon del av verksamheten, svarar myndighetschefen för att den ges.

16.7.6 Beslutsfattande i styrelsen

För en myndighetsstyrelse gäller att beslut fattas kollektivt, det vill säga av styrelsens ledamöter gemensamt. Beslutsrätten i ett ärende kan alltså inte delegeras till styrelseordföranden eller till övriga ledamöter. Däremot kan beslutsrätten i vissa frågor delegeras till myndighetschefen.

16.7.7 Etiskt förhållningssätt i styrelserna

Styrelsens ledamöter bör vara väl förtrogna med de tidigare nämnda sex grundläggande rättsliga principer som definierar den gemensamma statliga värdegrunden för alla statsanställda, nämligen – demokrati, legalitet, objektivitet, fri åsiktsbildning, respekt för lika värde, frihet och värdighet samt effektivitet och service. Den gemensamma statliga värdegrunden är central i myndigheternas arbete med en god förvaltningskultur. Den behöver återkommande uppmärksammas av styrelsen. Och styrelsen bör givetvis även resonera kring principernas betydelse för styrelsens arbete. Ett av delmålen för de statliga arbetsgivarna är att de statsanställda ska ha kunskap om och förståelse för grundläggande värden i statsförvaltningen och rollen som statstjänsteman. Styrelsen bör särskilt informera sig om hur myndigheten hanterar detta.

16.7.8 Förhållandet mellan styrelsen, myndighetschefen och

internrevisionen i fråga om verksamhetsansvar

En fråga av betydelse i sammanhanget när det gäller styrelseformen styrelsemyndighet är vilket ansvar styrelsen egentligen har och kan ta för myndighetens verksamhet. Både Statskontoret och Riksrevisionen har konstaterat att styrelsens ansvar är otydligt. Det beror bland annat på att regeringen för en löpande dialog med myndighets-

267

270

Några utgångspunkter

chefen snarare än med styrelsen. Det är också av myndighetschefen som regeringen har utkrävt ansvar när något i verksamheten har brustit. Detta har ansetts skapa otydlighet kring styrelsens egentliga roll och ansvar i myndigheten. Den vanliga jämförelsen mellan myndighets- och bolagsstyrelser kan skapa orealistiska förväntningar på en myndighetsstyrelses möjligheter att ta ansvar. En myndighetsstyrelse kan till exempel inte avsätta en myndighetschef som inte ställer sig bakom styrelsens önskade inriktning av verksamheten. Det skiljer sig från bolagsstyrelsen som kan avsätta bolagets 642 verkställande direktör. Styrelsens ansvar diskuterades efter händelserna i Statens fastighetsverk, där det pågick en polisutredning om misstanke om korruption i myndigheten, och i Transportstyrelsen, där ledningen gjorde avsteg från säkerhetsskyddslagstiftningen när myndigheten upphandlade sin IT-drift. Händelserna i båda myndigheterna hade riktat ljuset mot styrelsens roll och vilken möjlighet den i praktiken har att kunna ta ansvar för verksamheten. 643 Ordföranden har en central roll för styrelsens arbete. Rollen innefattar bland annat att tillsammans med myndighetschefen besluta vilka frågor som styrelsen ska diskutera. Samarbetet mellan ordföranden och myndighetschefen påverkar därför hur styrelsearbetet fungerar. Internrevisionen är samtidigt en viktig informationskanal för styrelsen. Internrevisionen är den funktion i myndigheten som styrelsen kan begära särskild information från. Myndighetschefen är central för att styrelsen ska få information om myndighetens verksamhet. Myndighetschefen är också den som ofta informerar styrelsen om vad den politiska ledningen anser och vill säga till myndigheten. Det är ovanligt att hela styrelsen träffar departementsledningen. Styrelseordföranden deltar visserligen i myndighetsdialogen, men det är oftast myndighetschefen som sköter de informella kontakterna. Om myndighetschefen får medskick av både departementsledningen och styrelsen finns det risk för dubbelstyrning av myndigheten. Och styrelsen kan ta ett reellt ansvar bara för det som man har information om. Det finns en risk för att en styrelse inte får den information som behövs både från myndigheten och från reger-

642 Statskontorets rapport Myndighetsstyrelser i praktiken, 2018, s. 55 f och Riksrevisionens rapport Styrelser med fullt ansvar, RiR 2007:25, s. 41. Se även SOU 2004:23, s. 111. 643 Myndighetsstyrelser i praktiken, s. 11.

268

271

Några utgångspunkter

ingen. Det kan påverka styrelsens möjlighet att ta reellt ansvar, även om de formellt sett har det fulla ansvaret. 644 I departementspromemorian Granskning av Transportstyrelsens upphandling av it-drift anförs bland annat följande.

Ansvarsfördelningen mellan styrelsen och generaldirektören har i praktiken varit ganska oklar och det är inte något som är unikt för Transportstyrelsen. Tvärtom ligger det en inbyggd spänning i en ledningsform där såväl styrelse som generaldirektör utses av regeringen men där den förra ska utöva någon form av kontroll över den senare trots att formella befogenheter för en sådan kontroll saknas. Samtidigt sker regeringens styrning av myndigheten i hög grad via generaldirektören medan det är styrelsen som formellt sett är ansvarig för hela myndighetens verksamhet. Slutsatsen är att det behövs tämligen ingående diskussioner mellan styrelsen och generaldirektören om hur ansvarsfördelningen ska se ut såväl principiellt som i praktiken. Alla generella utgångspunkter måste så klart anpassas till skiftande förhållanden, men utan en grundläggande och explicit hållning kan styrelsen inte ta det ansvar som myndighetsförordningen förutsätter. 645

Mot bakgrund av de oklarheter som ledningsformen hade medfört i granskningsärendet, och som den utredningen inte trodde var isolerat till Transportstyrelsen, förordades att den renodlades efter en så kallad bolagsmodell. En sådan definierades som att styrelsen ses som det organ som rent faktiskt utövar inflytande över myndigheten. Med en sådan modell ställs helt andra krav på ledamöterna än om styrelsen endast ska ses som ett organ som ska representera allmänna intressen och ge viss grundläggande insyn i myndighetens verksamhet (en så kallad intressemodell). I en bolagsmodell skulle styrelsen inte bara ha det formella utan också det reella ansvaret för myndigheten, något som myndighetsförordningen utgår från. En sådan ordning skulle sannolikt ställa delvis nya krav på hur styrelseledamöter utses. Utredningen anförde också i sammanhanget att rollen som myndighetschef ställer höga krav på förmågan att göra korrekta bedömningar om när regeringen ska konsulteras eller inte. Det ansågs enligt utredningen inte uteslutet att regeringen skulle kunna stödja myndighetscheferna tydligare än i dag i dessa avseenden. 646

644 Myndighetsstyrelser i praktiken, s. 5 – 7. 645 Ds 2018:6, s. 240. 646 Ds 2018:6, s. 241 – 242.

269

272

Några utgångspunkter

Statskontoret har anfört bland annat följande när det gäller ansvarsutkrävande i en styrelsemyndighet. 647

I slutändan är det regeringen som alltid har det yttersta ansvaret för sina myndigheter. I det avseendet haltar den ofta förekommande jämförelsen mellan myndighetsstyrelser och bolagsstyrelser. Myndighetsstyrelser har inte alls samma ansvar som en bolagsstyrelse. En myndighetsstyrelse ansvarar inte för att utnämna och avsätta myndighetschefen. Det är inte styrelsen som beslutar vad myndigheten ska ägna sig åt och i vilken omfattning man ska göra det. Inte heller har styrelsen full kontroll över de ekonomiska förutsättningarna för myndighetens verksamhet. I samtliga dessa fall är det riksdagen eller regeringen som beslutar. Om en liknelse ska göras med bolagsvärlden ligger det närmare till hands att beskriva regeringen som myndighetens styrelse. Ansvarsutkrävandet får således en annan funktion i en myndighet jämfört med ett bolag. I praktiken har regeringen inte så många instrument till sitt förfogande för att utkräva ansvar av en styrelse som inte har fullgjort sitt uppdrag på det sätt som har förutsatts. Det enda som i praktiken står till buds är att entlediga styrelsen eller att inte förlänga ledamöternas förordnanden. Något annat instrument finns inte, om inte styrelsen har begått rent kriminella handlingar. Styrelsens möjlighet att ta ansvar för verksamheten är i mångt och mycket beroende av myndighetschefens agerande. Det är myndighetschefen som ansvarar för myndighetens löpande verksamhet. Det är också myndighetschefen som i detta arbete har kontakterna med Regeringskansliet. Styrelsen finns inte, som myndighetschefen, ständigt på plats. En myndighetsstyrelse blir därmed utlämnad till myndighetschefen för att få information om verksamheten.

Internrevisionens uppdragsgivare är myndighetens ledning, det vill säga bland annat styrelsen i styrelsemyndigheter. Internrevisionen är inte självständig gentemot myndighetsledningen men ska vara självständig (oberoende) i förhållande till den verksamhet som ska granskas. För att internrevisionens oberoende i förhållande till den granskade verksamheten ska begränsas så lite som möjligt ska internrevisionen vara organisatoriskt inplacerad direkt under myndighetens ledning. Som internrevisionens uppdragsgivare har myndighetsledningen ett intresse av att vara engagerad i rekryteringen av 648 internrevisionschef.

647 Statskontorets rapport Myndigheternas ledningsformer – en kartläggning och analys, 2014:4, s. 104 – 107. 648 https://forum.statskontoret.se/styrning/internrevision/den-statligainternrevisionen/relationen-till-myndighetsledningen, hämtat den 23 januari 2026.

270

273

Några utgångspunkter

Rekryteringen av internrevisionschef är viktig för myndighetens ledning, det vill säga styrelsen i en styrelsemyndighet. Ledningen är internrevisionschefens uppdragsgivare och det är nödvändigt att det finns ett förtroende mellan uppdragsgivare och internrevision. Internrevisionschefen ska kunna ge råd och stöd till myndighetens ledning och den som myndigheten rekryterar måste ha rätt kvalifikationer, både personliga och yrkesmässiga, för att kunna utföra uppdraget enligt god internrevisors- och internrevisionssed. Det är emellertid inte myndighetens ledning, utan Statens ansvarsnämnd, som beslutar i frågor om disciplinansvar, åtalsanmälan och avskedande när det gäller internrevisionschefen. Detsamma gäller för andra chefer inom myndigheten. 649 Myndighetens ledning kan inte delegera sin beslutanderätt över internrevisionen till någon annan. Däremot kan arbetsuppgifter som rör åtgärder med anledning av internrevisionens rekommendationer delegeras. Exempelvis kan myndighetens styrelse delegera arbetsuppgifter till myndighetschefen för att utforma åtgärder som styrelsen har beslutat med anledning av rekommendationer i internrevisionens rapporter. Styrelsen kan även delegera smärre förändringar i revisionsplanen till myndighetschefen. Myndighetschefen bör dock återrapportera till styrelsen vilka åtgärder eller ändringar som har genomförts. I andra frågor än granskning och rådgivning omfattas internrevisionen i likhet med myndigheten i övrigt av de beslut som fattas av myndighetschefen, eller någon annan med delegerad beslutanderätt. För att internrevisionsarbetet ska fungera väl är det önskvärt att myndighetens ledning och internrevisionschefen har regelbundna avstämningsmöten. En väl fungerande och öppen kommunikation ger myndighetsledningen bättre möjligheter att använda sig av internrevisionens iakttagelser och rekommendationer i sitt arbete med att förbättra den interna styrningen och kontrollen. När myndigheten leds av en myndighetschef kan de löpande kontakterna ofta vara enklare att organisera. När myndighetens ledning är en styrelse är det lämpligt att styrelsens ordförande (eller någon annan utsedd person i styrelsen) och internrevisionschefen har löpande kontakt. 650

649 https://forum.statskontoret.se/styrning/internrevision/styra-och-planerainternrevision/rekrytera-internrevisor, hämtat den 23 januari 2026. 650 https://forum.statskontoret.se/styrning/internrevision/den-statligainternrevisionen/relationen-till-myndighetsledningen, hämtat den 23 januari 2026.

271

274

Några utgångspunkter

Styrelsen ska, i den utsträckning det inte möter hinder på grund av sekretess, se till att internrevisionen får tillgång till de uppgifter och upplysningar som den behöver för att fullgöra sitt uppdrag. 651 Riksrevisionen har i en granskningsrapport ansett att det är viktigt att myndighetsledningen förstår och kommunicerar internrevisionens roll och uppgifter till verksamheten. 652 I rapporten anges vidare att enligt Ekonomistyrningsverket är förtroende mellan internrevisionen och myndighetsledningen en förutsättning för att internrevisionens arbete ska kunna fungera väl. Vidare anförs att ett fungerande arbete baseras på en ömsesidig respekt för den professionella integriteten. Professionell integritet handlar om att kunna stå för sin åsikt men också om att kunna diskutera och omvärdera denna. Några av de fallstudier som Riksrevisionen gjort, som avsåg flera myndigheter, visade att samspelet mellan internrevisionen, uppdragsgivare och övrig verksamhet inte fungerade. Exempelvis fanns i vissa fall problem i relationen mellan internrevisionschef och myndighetsledning och övrig organisation. Fallstudierna visade också att det i styrelsemyndigheterna uppfattades som naturligare för internrevisionschefen att diskutera problem med generaldirektören i stället för med styrelseordföranden. Generaldirektören var också den person som styrelseordföranden uppgav att denne skulle diskutera eventuella problem i internrevisionen med. För att säkerställa det organisatoriska oberoendet ska, enligt god sed, uppdragsgivaren godkänna internrevisionschefens lön. Av praktiska skäl kan det dock enligt Riksrevisionen ändå vara rimligt för styrelsemyndigheter att generaldirektören är involverad i lönesättningen, under förutsättning att internrevisionschefen har åtkomst till sin uppdragsgivare. Fallstudierna visade att det vanligaste i styrelsemyndigheter var att generaldirektören hade lönesamtal med internrevisionschefen. Att internrevisionschefen i en styrelsemyndighet inte har åtkomst till sin uppdragsgivare utan i stället har kontakt med generaldirektören angavs ha inskränkt internrevisionens oberoende.

651 11 § internrevisionsförordningen. 652 Riksrevisionens granskningsrapport Internrevisionen vid myndigheterna – En funktion som behöver stärkas, RiR 2017:5, s. 20 – 23.

272

275

Några utgångspunkter

16.8 Handläggningstiderna inom fastighetsbildning

I regleringsbreven för Lantmäteriet har frågan om handläggningstider och kundnöjdhet ofta kommit till uttryck. Redan i 2004 – 2008 års regleringsbrev uttrycktes att förrättningsverksamheten skulle kännetecknas av bland annat god service och information samt snabb och korrekt handläggning. Målet uppgavs i flera av regleringsbreven innebära bland annat att Lantmäteriverket skulle se till att handläggningstiderna för lantmäteriförrättningar inklusive registrering skulle sänkas och anpassas till ärendets art och kundens önskemål. I regleringsbrevet för 2005 tillkom därtill att kundnöjdheten vad avser bemötande, handläggningstider och förrättningskostnader skulle öka. I 2006 års regleringsbrev uttrycktes detta ännu tydligare med att målet innebar bland annat att verka för att effektivisera handläggningen i syfte att minska kostnaden för sakägaren samt att kundnöjdheten skulle bibehållas vad avser bemötande och öka vad gäller handläggningstider och förrättningskostnader. I 2007 års regleringsbrev angavs som ett av målen för fastighetsbildning att förkorta handläggningstiderna och minska kostnaderna för sakägarna genom fortsatta rationaliseringar och effektiviseringar och en del av redovisningen vid återrapporteringen skulle avse utfallet av de mätningar avseende kundnöjdhet som gjorts samt vilka åtgärder som vidtagits med anledning av resultaten. Under ytterligare flera års tid därefter (2009 – 2016) har det om både förrättningsverksamheten och inskrivningsverksamheten uppgetts som mål att de ska kännetecknas av bland annat snabb, korrekt och kostnadseffektiv handläggning. Genom regleringsbrevet för 2018 har införts att Lantmäteriet årligen i årsredovisningen (efter en första delredovisning i april 2019) ska redovisa, analysera och utvärdera nyckeltal i syfte att minska, mäta och följa upp handläggningstiderna inom fastighetsbildningsverksamheten. Riksrevisionen angav i en granskningsrapport 2022 avseende handläggningstider sammanfattningsvis följande. Riksrevisionens granskning visar att handläggningstiderna under en lång tid blivit allt längre och att liggtiderna i ärendena är mycket omfattande. Riksrevisionens slutsats är att handläggningen inom Lantmäteriets fastighetsbildning inte är tillräckligt effektiv. Inom verksamheten beror det främst på att Lantmäteriet har haft svårt att rekrytera tillräckligt många lantmätare och att det därför finns en

273

276

Några utgångspunkter

obalans mellan resurser och insatser som ska utföras. Riksrevisionens bedömning är att det saknas möjligheter att på sikt lösa denna kompetensbrist. Regelverket för fastighetsbildningen är föråldrat och hindrar en enklare och effektivare ärendehandläggning. Riksrevisionens bedömning är därför att den viktigaste åtgärden för att minska handläggningstiderna är att modernisera regelverket. Riksrevisionen rekommenderade därför regeringen att bland annat genomföra en översyn av hela regelverket för fastighetsbildningen. 653 Regeringen instämde i Riksrevisionens bedömning att den största orsaken till de långa handläggningstiderna inom fastighetsbildningen beror på att Lantmäteriet har haft svårt att rekrytera tillräckligt många lantmätare. Regeringen ansåg dock att det inte var möjligt att komma till rätta med denna problematik enbart genom regeländringar. 654 Riksdagen ansåg i ärendet inte att det fanns skäl att göra något tillkännagivande till regeringen utan lade regeringens skrivelse till handlingarna. 655 Problemet med långa handläggningstider inom fastighetsbildningen har även varit föremål för ärenden hos Justitiekanslern och 656 Justitieombudsmannen. Regeringen gav i september 2022 Lantmäteriet i uppdrag att ta fram en handlingsplan för att uppnå kortare och mer transparenta handläggningstider. Uppdraget omfattar för Lantmäteriets del fastighetsbildningsverksamheten. Myndigheten ska redovisa uppdraget till Tillväxtverket årligen senast den 15 februari 2023 – 2029. 657 Av Lantmäteriets redovisning 2025 framgår bland annat att myndighetens genomsnittliga handläggningstid för fastighetsbildningsärenden under åren 2022 – 2024 varit 50, 57 respektive 53 veckor inom området kommersiell och offentlig mark- och fastighetsutveckling, 56, 52 och 38 veckor inom området jord- och skogsbruk, samt 110, 105 och 104 veckor inom området infrastruktur. 658

653 Riksrevisionens granskningsrapport Fastighetsbildningen i Sverige – handläggningstider, avgifter och reformbehov, RiR 2022:3, s. 6. 654 Regeringens skrivelse till riksdagen, Skr. 2021/22:265, s. 5 – 6. 655 Civilutskottets betänkande 2022/23:CU4 och riksdagens protokoll 2022/23:26, § 8. 656 Justitiekanslerns beslut den 24 juli 2017, dnr 6617-16-21, och Justitieombudsmannens ärende 1965 – 2016. 657 Regeringsbeslut den 1 september 2022, N2022/01751 med flera. 658 Bilaga till Uppdrag att följa upp mål om handläggningstider samt om bemötande och service hos vissa myndigheter -Delrapport 2025, Tillväxtverkets dnr Ä 2022 – 4494, s. 40.

274

277

Några utgångspunkter

16.9 Lantmäteriets roll som beredskapsmyndighet

Det finns 67 statliga myndigheter (varav 21 länsstyrelser) som är beredskapsmyndigheter, det vill säga myndigheter med särskild betydelse för samhällets civila beredskap. Myndigheterna ska ha god förmåga att motstå hot och risker, förebygga sårbarheter, hantera fredstida krissituationer och genomföra sina uppgifter vid höjd beredskap. Rollen som beredskapsmyndighet innebär att ytterligare krav, utöver de som ställs på alla myndigheter, läggs på en sådan myndighet.

16.10 En blandning av äldre och nya IT-system

659

Lantmäteriets informationshantering är till största delen digital och hanteras i en mängd olika IT-system. Den digitala informationshanteringen har byggts upp under flera decennier och nya system har utvecklats och implementerats efter hand. Vissa system har sedan uppdaterats för att följa verksamhetens behov medan andra endast har underhållits för att upprätthålla en minsta säkerhetsnivå. Det betyder att Lantmäteriet har en IT-miljö som består av en blandning av äldre och nya system där både säkerhetskrav och tillgängliga möjligheter att uppnå en säkerhetsnivå skiljer sig åt. Lantmäteriet arbetar dock kontinuerligt med att upprätthålla en generell nivå på säkerhet. Det innebär att man har system som kan säkerhetsuppdateras eller underhållas säkerhetsmässigt på operativsystemsnivå. Detta i sin tur gör att de mellanmjukvaror som myndigheten använder måste hållas uppdaterade och så även applikationer. Applikationer som tagits fram för mellan 10 – 30 år sedan har utvecklats med den tidens syn på värdet av information och den tidens utmaningar kring säkerhet. Eftersom kostnaderna är höga och resursåtgången omfattande för att ta fram nya IT-stöd, kommer en del av IT-systemen alltid att vara i slutet av sin livslängd. Trossen har varit i behov av utveckling och modernisering under en längre tid och sårbarheterna har enligt Lantmäteriet varit kända. Enligt uppgifter från Lantmäteriet är planen att Trossen under 2027 kommer att ersättas med ett nytt handläggningssystem.

659 Texten bygger på information från Lantmäteriet i oktober och december 2025.

275

278

Några utgångspunkter

Infrastruktur hålls uppdaterad kontinuerligt med säkerhetsuppdateringar och livscykelhantering. Applikationer som är inköpta underhålls med hjälp av leverantörens tillhandahållna uppdateringar. Egenutvecklade applikationer underhålls och hålls uppdaterade genom att nya versioner ”byggs” när sårbarheter i ingående kom ponenter identifieras.

276

279

17 Överväganden beträffande

Lantmäteriets arbete med

informationssäkerhet, med mera

17.1 Kapitlets innehåll

Detta kapitel innehåller våra överväganden när det gäller Lantmäteriets arbete med informationssäkerhet, med mera. Myndighetens hantering av utlämnande av allmänna handlingar och sekretessprövning tas upp i ett särskilt avsnitt. Detsamma gäller behandlingen av personuppgifter.

17.2 Krav och därmed utmaningar för Lantmäteriet

Utredningens bedömning: Flera och ökade krav som inneburit utmaningar för Lantmäteriet har haft betydelse för myndighetens prioriteringar. Sådana krav har varit öppna data, tillgänglighet, digitalisering, en ekonomi i balans och kortare handläggningstider inom främst fastighetsbildning. Fokus inom myndigheten har legat på att möta dessa krav och inte på säkerhetsskydd och informationssäkerhet. Det har varit en bidragande orsak till brister inom dessa områden.

Skälen för utredningens bedömning

Lantmäteriet har en central och mycket viktig roll i samhällsbyggnadsprocessen. Myndigheten bidrar med insatser som ett samhälle inte kan fungera utan. Här avses i första hand information om Sveriges fastigheter och geografi, som bland annat behövs för att lag-

277

280

Överväganden

fart ska kunna beviljas vid köp av en fastighet eller att mark ska kunna avstyckas. Som andra myndigheter har Lantmäteriet sedan 1990-talet varit utsatt för ett starkt förändringstryck. Det har i huvudsak handlat om de generella effektiviseringskrav som redovisats i avsnitt 16.2. Eftersom Lantmäteriet ansvarar för tillhandahållande av grundläggande geografisk information och fastighetsinformation, har digitaliseringen stått i fokus för myndigheten, vilket bland annat ett antal regeringsuppdrag genom åren inom det området visar. Till det kommer kraven på myndigheten från regering och riksdag att minska handläggningstiderna bland annat för fastighetsbildningsärenden samt att Lantmäteriet blev beredskapsmyndighet 2022 och att myndighetens IT-system består av både nya och äldre system. Både det stora behovet av den information som Lantmäteriet ansvarar för och inriktningen mot att effektivt tillhandahålla information har medfört att myndigheten under lång tid präglats av öppenhet och tillgänglighet. Det är något som betonats under flera av våra intervjuer. Samtidigt har den ökade användningen av informationsteknik i statsförvaltningen gjort att frågor om informationssäkerhet blivit viktigare än någonsin. Att brister i sådan säkerhet kan få dramatiska konsekvenser är känt. Trots det har det under förhållandevis lång tid stått klart att statsförvaltningen har haft svårt att leva upp till de ökade kraven på informationssäkerhet. Riksrevisionen har i flera rapporter pekat på brister i hur statsförvaltningen hanterar informationssäkerheten och i hur regeringen styr myndig- 660 heterna i dessa avseenden. Regering och riksdag har strävat efter en öppen, tillgänglig och digitaliserad förvaltning och styrt myndigheterna med den inriktningen. Flera av de intervjuade har tagit upp att ett tydligt fokus inom Lantmäteriet åren före den särskilda händelsen, men också tidigare, har legat på att förkorta de långa handläggningstiderna inom fastighetsbildningen. Den frågan har varit prioriterad. Lantmäteriet har även haft kundnöjdhet i fokus. Det framgår exempelvis av myndighetens årsredovisningar, där det bland annat anges att Lantmäteriets information om geografi och fastigheter är öppen, tillgänglig och användbar. 661 Vidare har det vid internrevisio-

660 Se departementspromemorian Granskning av Transportstyrelsens upphandling av it-drift, Ds 2018:6, s. 24 – 25. 661 Se till exempel Lantmäteriets årsredovisningar 2020, s. 7, och 2022, s. 8.

278

281

Överväganden

nens granskning kommit fram liknande uppfattningar hos medarbetare. Det förändrade säkerhetsläget har ställt helt andra krav än tidigare på Lantmäteriet och fört med sig mer arbete när det gäller säkerhetsorganisation och arbetet med säkerhetsskyddsanalys med mera. De många och ibland svårförenliga krav som ställts på Lantmäteriet har inneburit stora utmaningar för myndigheten. Det kan man ha förståelse för. Samtidigt har förändringen av säkerhetsläget pågått under lång tid. Trots det har viljan att vara öppen och tillgänglig fått dominera och för lite fokus har kommit att ligga på säkerhetsskydd och informationssäkerhet. Denna synpunkt har också kommit fram vid intervjuer. En ytterligare utmaning för Lantmäteriet som tagits upp i vårt arbete är att det pågick en pandemi under några av de år som vi har granskat. Denna omständighet har inte haft någon avgörande betydelse för våra bedömningar men pandemin innebar bland annat att det var svårare att träffas personligen och ta upp säkerhetsfrågor i avlyssningsskyddade rum. Vi återkommer i det följande till Lantmäteriets informationssäkerhetsarbete. Det finns dock anledning att först ta upp några allmänna frågor som vi menar har betydelse vid bedömningen av det arbetet.

17.3 Lantmäteriet som förvaltningsmyndighet

Utredningens bedömning: Lantmäteriet har haft svårt att hålla fast vid och komma till rätta med sin roll som förvaltningsmyndighet och den statliga värdegrunden. Vikten av en god förvaltningskultur har inte lyfts fram i tillräcklig utsträckning. Den omständigheten har varit en bidragande orsak till de brister i informationssäkerhetsarbetet som kan konstateras. Lantmäteriets roll och funktion som förvaltningsmyndighet behöver framhållas inom myndigheten.

279

282

Överväganden

Skälen för utredningens bedömning

En god förvaltningskultur har inte prioriterats

Den bild som vi fått av Lantmäteriet är att det är en myndighet med många kompetenta och engagerade medarbetare. Sakkunskapen är hög inom den verksamhet som myndigheten bedriver. En myndighet behöver arbeta med både strukturen (författningar, regler och intern styrning) och kulturen, det vill säga de värderingar och den praktik som råder i en verksamhet för att åstadkomma och upprätthålla en god förvaltningskultur. Varje myndighet behöver också se till att alla medarbetare känner till och förstår principerna i den statliga värdegrunden. 662 Inom Lantmäteriet har förvaltningskulturen inte varit ett prioriterat område. I Lantmäteriet har det, i vart fall tidigare, funnits bristande kunskap i det man kan kalla allmän förvaltningsjuridik. Det har visat sig bland annat genom bristande dokumentation av beslut, bristfällig diarieföring, bristande kunskaper i offentlighet och sekretess, särskilt när det gäller hanteringen av en begäran att få ut allmänna handlingar från myndigheten. Internrevisionen har i rapporten Säkerställande av regelefterlevnad redogjort närmare för dessa brister. 663 Flera likartade synpunkter har kommit fram vid våra intervjuer. Följande exempel kan nämnas. Statstjänstemannarollen och den statliga värdegrunden har inte funnits med i utbildningspaket för nyanställda. Det finns inom myndigheten inte en känsla av att det är fråga om statsförvaltning. Lantmäteriets ledningsgrupp har inte varit tillräckligt grundad i statstjänstemannarollen och den statliga värdegrunden. På Lantmäteriet får alla göra lite som de vill. Kontroll har man inte velat jobba med, man vill inte kontrollera sina medarbetare. Men om man inte styr tydligt och inte följer upp eller kontrollerar kan det bli lite valfritt vad man vill göra. Det finns inte någon kultur när det gäller diarieföring. Det handlar om bristande kunskaper hos ledningen, man förstår inte detta. Även beredningen brister. Det enda officiella beredningsforumet är ledningsgruppen – det är bara de som anses kunna allt. Det finns ingen GD-stab med kompetenta medarbetare.

662 Se avsnitt 16.3.1. 663 Internrevisionens revisionsrapport Säkerställande av regelefterlevnad den 20 december 2021, LM2021/050144.

280

283

Överväganden

Avsaknad av dokumentation är slående för myndigheten. Protokoll är bristfälliga. Det är svårt att utläsa vad som är ett beslut eller inte och det gäller även på styrelsenivå. Föredragnings-PM existerar inte, vilket är förvånande. Det används mycket Powerpointpresentationer i stället. Det finns en kultur som innebär att allt beslutas i Powerpointformat. Men promemorior som innehåller analyser av ett problem har myndigheten inte använt sig av.

Enligt generaldirektören har Lantmäteriet pratat om den statliga värdegrunden och gjort ett värdegrundsarbete men inte lyft tjänstemannarollen så mycket. Myndigheten hade tidigare tagit fram egna värdeord i stället för att följa den statliga värdegrunden. Detta tog generaldirektören upp med verksamhetsområdet HR för att markera att värdegrunderna inte enbart handlade om service, öppenhet och tillgänglighet. Enligt generaldirektören verkade myndighetsrollen lite ha tappats bort.

Internrevisionens bedömning

Lantmäteriets internrevision har ansett det funnits ett utbildningsbehov inom myndigheten när det gäller förvaltningslagen, dataskydd, offentlighetsprincipen med fokus på utlämnande av allmän handling, myndighetsstyrning, intern styrning och kontroll, statstjänstemannarollen och den statliga värdegrunden. 664 Enligt internrevisionens bedömning är utbildning och kulturfrågor sammankopplade och regelefterlevnadskulturen anses vara en följd av att erforderlig utbildning och fortbildning om regelverk och regelefterlevnadsfrågor inte genomförts. Regelefterlevnadskulturen, i kombination med bristerna inom utbildning, bedömer internrevisionen utgör en betydande risk för bristande regelefterlevnad samt även risk för bristande rättssäkerhet. 665 I kommentarer från medarbetare har lyfts synpunkter om att alla gör som de vill och att det beror på att det inte följs upp vad man gör. Det sägs också bero på kunskapsbrist och då indirekt brist på utbildning. Det anses inte vara självklart för alla vad som är myndighetens uppdrag. Vidare förs fram att man behöver prata om att man är en myndighet och att det finns juridiska förhållningssätt man måste följa. Man menar att man måste få in det i vardagen. På samma

664 Revisionsrapporten Säkerställande av regelefterlevnad, s. 17. 665 Revisionsrapporten Säkerställande av regelefterlevnad, s. 19.

281

284

Överväganden

tema har angetts att man i allmänhet inte prioriterar regelefterlevnad så högt, man prioriterar mer kundnöjdhet och effektivitet. Det ges tydligt avkall på regelefterlevnad till förmån för service och innovation som ger en kundnöjdhet eller publicitet. Regelefterlevnad sägs inte ha så hög status jämfört med affärsmässighet och produktion. Man har tappat bort sig i att man är en myndighet och har regelverk att följa. Det nämns att det inte finns ett ord om regelefterlevnad i myndighetens egen värdegrund. 666

Lantmäteriet behöver hitta tillbaka till grunderna i rollen som förvaltningsmyndighet

Det skriftliga underlag som vi har tagit del av och även uppgifter från flera tidigare och nuvarande anställda på Lantmäteriet som vi har pratat med leder till slutsatsen att man i stora delar av verksamheten behöver hitta tillbaka till grunderna i rollen som förvaltningsmyndighet. Man har på olika sätt i verksamheten tappat sin identitet som myndighet. I det sammanhanget behöver man formulera sitt uppdrag och återkomma till grunderna i det. Noteras kan bland annat myndighetens årsredovisningar och det som där anges om kunder och öppen och tillgänglig information. Den hållningen har över tid, och sedan lång tid, kommit att genomsyra organisationen och varit en del i myndighetens felaktiga prioriteringar. Och den kan ha bidragit till felaktiga analyser av gällande rätt i frågor om offentlighet och sekretess. I alla delar av verksamheten och utifrån Lantmäteriets uppdrag behöver avstamp tas i regeringsformen, myndighetsförordningen och förvaltningslagen. Ett avstamp behöver alltså tas i den offentliga rätten där grunden för verksamheten finns, inte i det som närmast kan beskrivas som privaträttsliga och affärsrättsliga utgångspunkter med en tydlig marknadsrättslig profil, något som i vart fall tidigare präglat delar av verksamheten. Vår bedömning är att uppdraget som förvaltningsmyndighet och den offentliga rättens olika delar tydligt behöver befästas i hela organisationen, det vill säga hos såväl chefer som medarbetare. Det gäller på ett övergripande plan beträffande synen på hur myndighetens uppdrag ska utövas och samtidigt i den konkreta hanteringen av olika delfrågor där myndighetsförordningens och förvaltningslagens

666 Revisionsrapporten Säkerställande av regelefterlevnad, s. 18.

282

285

Överväganden

regelverk ska följas. De förvaltningsrättsliga rutinerna behöver stärkas. Att bristerna i regelefterlevnad har gjort sig gällande särskilt i fråga om säkerhetsskyddslagstiftningen och de uppgifter som för Lantmäteriets räkning följer av den är uppenbart.

Verksamheten har präglats av öppenhet, tillgänglighet och effektivitet

Inriktningen mot öppenhet, tillgänglighet och effektivitet i förhållande till olika externa aktörer har präglat verksamheten under lång tid och kommit att prägla även hur man förhållit sig till förvaltningsrätten och den offentliga rätten i övrigt. Att den inriktningen varit en viktig del i Lantmäteriets verksamhetsmål följer inte bara av den serviceskyldighet som ligger på förvaltningsmyndigheterna utan av de olika uppdrag som regering och riksdag lagt på myndigheten. Det finns därför förklaringar till varför det som kan beskrivas som Lantmäteriets roll i samhällsbyggnadsprocessen kommit att styra var myndigheten haft sitt fokus. I kombination med att det säkerhetspolitiska läget i omvärlden under lång tid bedömts som mindre allvarligt finns flera faktorer som sammantaget sannolikt varit en del i att man på olika nivåer inom Lantmäteriet fokuserat mindre på förvaltningsrättsliga rutiner och säkerhetsskydd än på exempelvis tillgänglighet och handläggningstider. Hela systemuppbyggnaden i verksamheten har på olika sätt skett utan att man tillräckligt vägt in alla utgångspunkter som Lantmäteriet haft att beakta. Man kan säga att säkerhetsskyddet har fått stå tillbaka till förmån för andra intressen. Lantmäteriet har på detta sätt byggt sig fast i IT-system som inte uppfyllt säkerhetsskyddslagstiftningens krav. Eftersom ett alltmer överskuggande fokus har varit ett kund- och marknadsperspektiv, har man inte, trots lång tid och olika externa och interna påpekanden, tagit sig ur denna ensidiga och felaktiga prioritering. I olika delar framstår vägvalen som en kombination av ett medvetet risktagande och nedvärdering av de faktiska riskerna. Det får också anses handla om okunskap om konsekvenserna för Sveriges säkerhet av att IT-system och rutiner inte hindrat det som kan kallas obehörig åtkomst till information. I detta finns också riskerna för individer med skyddade personuppgifter. När riskerna för att röja hemliga uppgifter diskuterats ska oron ha lugnats med uttalandet att

283

286

Överväganden

det nog inte är så farligt. Med marknadens behov i fokus har det också talats om att myndigheten ” måste kunna ha risk aptit” annars lever inte myndigheten upp till sin roll i samhällsbyggnadsprocessen. Det finns alltså tydliga exempel på brister i den allmänna kulturen när det gäller förståelsen för myndighetsrollen och därmed kravet på regelefterlevnad.

Ett påbörjat arbete i rätt riktning

Lantmäteriet driver numera ett arbete som syftar till att stärka myndighetens interna styrning och kontroll genom att utveckla en gemensam förståelse för vad god förvaltningskultur innebär i praktiken. Som framgår av avsnitt 6.7.2 har numera en preliminär bedömning gjorts att kompletterande information till medarbetarna lämpar sig för en informationssida på myndighetens intranät. En sådan skulle enligt Lantmäteriet kunna användas vid kunskapshöjande insatser och länkas till olika ämnen som gynnar en god förvaltningskultur. Mot bakgrund av hur stort och långvarigt problemen med myndighetens förvaltningskultur varit kan det ifrågasättas om detta är en tillräcklig åtgärd. Under 2025 har myndigheten arbetat särskilt med att stärka förutsättningarna för att säkerställa regelefterlevnad inom myndighetens olika verksamheter. En översyn av behovet av styrande och stödjande dokument inom juridisk rådgivning gjordes under våren 2025 av en arbetsgrupp med jurister från de olika verksamhetsområdena. Arbetsgruppen genomförde en del revideringar och tog fram stödjande dokument. Som exempel kan nämnas att informationen på Lantmäteriets intranät som är riktad till beställare av rättsutredningar uppdaterats och att en mall för sådana utredningar inom verksamhetsområde Juridik fastställts. 667 En översyn av introduktionsutbildningen har också genomförts för att stärka medarbetares kunskap om det övergripande regelverk som styr Lantmäteriet. I det ingår bland annat den statliga värdegrunden och Lantmäteriets uppdrag. Utifrån översynen och de utvecklingsbehov som identifierades tog den nämnda arbetsgruppen fram en grundläggande digital utbildning om beslutsfattande och regelefterlevnad. Utbildningen ingår i introduktionsutbildnings-

667 Information från Lantmäteriet i december 2025.

284

287

Överväganden

paketet för alla chefer och har även publicerats på intranätet som en nyhet där samtliga beslutsfattare uppmuntras gå utbildningen. Ett ” uppsamlingsheat ” kommer att hållas årligen för fördjupande diskussioner och reflektioner mellan beslutsfattare som gått utbildningen. 668 Även en utbildning om allmänna handlingar har inkluderats i myndighetens obligatoriska utbildningspaket. Det har publicerats och gått ut via chefsleden att alla medarbetare ska gå utbildningen, som är obligatorisk. Det finns även fördjupande utbildningar för medarbetare som kan behöva lämna ut allmänna handlingar mer frekvent i sitt arbete. 669 Utvecklingen av en myndighetsövergripande process pågår som syftar till att bidra till en enhetlig implementering och uppföljning av författningsändringar som berör myndigheten. När det gäller Lantmäteriets säkerhetskultur har myndigheten ansett att den behöver utvecklas och stärkas. Exempelvis har det visats inslag av bristande tillit till verksamhetsområde Säkerhet från högsta ledningen. Samtidigt har andra verksamhetsområden ibland upplevt kommunikationen från verksamhetsområdet som bristfällig, framför allt kopplat till att förklara varför vissa uppgifter behöver 670 utföras. Under utredningsarbetets gång har vi kunnat konstatera att många inom Lantmäteriet är väl medvetna om den tidigare avsaknaden av en god förvaltningskultur och att flera åtgärder vidtagits eller kommer att vidtas inom det området. Åtgärder är enligt vår mening nödvändiga. Vi bedömer också att arbetet med säkerhetsskydd och informationssäkerhet inom Lantmäteriet måste få en mer central roll i den löpande verksamheten. Vi återkommer i avsnitt 17.10 och 17.15 med förslag om hur det kan ske. I detta sammanhang kan också det självklara nämnas. Det behöver inte finnas något motsatsförhållande mellan rättsliga utgångspunkter och god tillgänglighet och service i den verksamhet som Lantmäteriet bedriver. Att följa det regelverk som gäller för myndigheter är en grundbult med sin bas i regeringsformen. Det är inte valbart och kan inte heller nedprioriteras. Med välfungerade intern styrning och kontroll, med löpande kvalitetssäkring, riskanalyser och riskhantering och med löpande implementering av nya regelverk

668 Information från Lantmäteriet i december 2025. 669 Information från Lantmäteriet i december 2025. 670 Se avsnitt 4.5.

285

288

Överväganden

ska varje verksamhet vara både rättssäker och effektiv. Det ingår i Lantmäteriets uppdrag, och det ingår i varje annan myndighets uppdrag att hantera.

17.4 Kulturen i övrigt inom myndigheten

Utredningens bedömning: Beslutsprocesserna i Lantmäteriet har präglats av en konsensuskultur, där det har varit viktigt att vara överens hellre än att ensam fatta beslut. Kulturen har också präglats av missnöje med myndighetens tidigare ledning. Det har i huvudsak kommit fram genom visselblåsarärenden, att man inte litat på varandra och att det funnits en rädsla för att göra fel. Kulturen inom Lantmäteriet kan ha varit en bidragande orsak till brister i informationssäkerheten och även till att andra frågor tagit lång tid att avgöra.

Skälen för utredningens bedömning

Flera av de som vi har intervjuat har talat om att Lantmäteriet präglas av en konsensuskultur, där det viktigaste är att alla är överens innan beslut fattas. Det framgår också i viss mån av det övriga underlag som vi har tagit del av. I Lantmäteriets logg för den särskilda händelsen anges exempelvis, i samband med kriteriearbetet under juni 2024, att det är viktigt att det av beslutsunderlaget framgår att alla i ledningsgruppen har varit med i den slutliga föredragningen och har tagit del av och står bakom beslutet. 671 Detta förhållningssätt kan ha bidragit till att det tagit lång tid att fatta ett avgörande beslut i frågan om förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. 672 Det missnöje med ledningen som funnits tidigare har, som det ser ut, främst kommit fram genom flera visselblåsarärenden. 673 Att välja att föra fram sitt missnöje den vägen i stället för i dialog mellan berörda, det vill säga i samtal mellan medarbetare och chef eller via fackliga företrädare eller skyddsombud, säger något om kulturen

671 Lantmäteriets logg för den särskilda händelsen, LM 2024/034148. 672 Se mer om det i avsnitt 17.8. 673 Se avsnitt 10.5.

286

289

Överväganden

inom Lantmäteriet. Förekomsten av interna visselblåsarärenden talar för att de gängse kanalerna att lyfta person- och verksamhetsfrågor inte upplevts som tillgängliga. Att beskriva förhållandena i termer av en tystnadskultur stämmer emellertid inte enligt flera av de som utredningen intervjuat. Däremot är det tydligt att den interna kommunikationen inte har fungerat, vilket sannolikt på skilda sätt inverkat på myndighetens beslutsprocesser. Vi har tagit del av ett antal olika tjänsteanteckningar som chefer och medarbetare inom myndigheten har upprättat. En tjänsteanteckning används i normalfallet när till exempel ny information tillförs ett ärende hos myndigheten genom ett samtal eller personligt möte med en part i ärendet. Tjänsteanteckningen ska diarieföras och blir en del av ärendet. De nu nämnda tjänsteanteckningarna handlar i stället om interna förhållanden. Ett exempel är att det funnits olika uppfattningar mellan Kundcenter och chefsjuristen om sekretessprövning ska göras vid begäran om utlämnande av allmän handling. Bara den omständigheten att tjänsteanteckningar används på detta sätt visar att de personer som skrivit dem funnit anledning att hålla sin rygg fri i interna frågor. Detta har också påpekats vid några av våra intervjuer. Dessutom har anteckningar, som det verkar, skrivits i ett tidigare skede, men inte kommit fram och diarieförts förrän den särskilda 674 händelsen uppmärksammades i media. Andra synpunkter som kommit fram i intervjuer är att Lantmäteriet har kommit att bli en organisation där man varit rädd för att göra fel. Man har inte litat helt på varandra. Samtidigt har man dragit sig för att säga att någon annan har fel, det har på det sättet varit en slags snäll och naiv kultur.

Generaldirektören har uppgett följande. Konsensus, med undantag inom några områden, har alltid varit något som eftersträvats på Lantmäteriet och som verkar finnas i myndighetens kultur. Att man velat ha konsensus har, som hon har förstått, varit ett sätt att säkerställa framdrift och undvika konflikter som skulle kunna stoppa utveckling. Lantmäteriet har varit en stark konsensusorganisation som i många fall tjänat myndigheten väl men som i det här fallet, gällande informationssäkerhetsfrågorna, lett till stora förseningar som påverkat framdriften och i slutändan lett till stängningen av tjänsterna.

674 Vissa av tjänsteanteckningarna diariefördes exempelvis den 29 november 2024, LM2024/070657.

287

290

Överväganden

Det var också en spretig kultur med olika synsätt, både på grund av verksamhetens olika bakgrunder och att myndigheten var utspridd i hela landet. Det fanns ingen riktig vilja att faktiskt arbeta ihop och få till liknande arbetssätt.

17.5 Tre myndigheter i en

Utredningens bedömning: De tre verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning och Geodata har i stor utsträck ning arbetat i ”stuprör”, det vill säga mer på varsitt håll än myndighetsövergripande och gemensamt. Bristande samsyn inom myndigheten bedöms ha bidragit till de brister inom flera områden som kunnat konstateras.

Skälen för utredningens bedömning

I intervjuer har lyfts olikheterna mellan de tre verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning och Geodata. Det har talats om ”tre myn dighe ter i en” och att verksamhetsområdena arbetat i ”stuprör”. Som exem pel kan nämnas att de tre verksamhetsområdena tidigare arbetade mer inom respektive eget område med att ta fram Lantmäteriets säkerhetsskyddsanalys medan den senaste analysen har arbetats fram i områdesgränsöverskridande grupper. Verksamhetsområdena har också tillämpat olika styrmodeller. 675 Några åsikter som förts fram under intervjuerna är följande. Att det är som tre olika myndigheter är tydligt. Det finns två starka verksamhetsområden i Geodata och Fastighetsbildning. Geodata är mest utmärkande som en egen del. Marknadsavdelningen där är tung. Där har man inte velat ha styrning, inte riktigt accepterat över tid att man ska ha likartade roller, projektmodeller med mera. Det har mer varit en säljinriktning där. Geodata är fortfarande känsliga för central styrning, ett arv från tidigare ledning. En utmaning i sig har varit att kulturen inte är enhetlig. Myndighetens ursprung är tre olika myndigheter med olika bakgrund, historia, traditioner och synsätt/kultur. De tre verksamhetsområdena Fastighetsbildning, Inskrivning och Geodata har svårt att enas ibland.

675 Genomlysning av Lantmäteriets interna styrning och kontroll den 17 december 2024, LM2024/072534, s. 6.

288

291

Överväganden

Inskrivningen kom från en domstolsbakgrund och har mer juridisk bakgrund. Fastighetsbildningen har varit decentraliserad och tillsammans med en del av kartverksamheten går historien tillbaka till 1600talet. Fastighetsbildningen liknar domstol på det sätt att den verksamheten är som att döma av hur mark ska fördelas. Geodata var en egen myndighet tidigare och har mer informationsperspektivet. Kultur och synsätt har spretat även på grund av att myndigheten är utspridd i hela landet. Det fanns ingen riktig vilja att faktiskt arbeta ihop och få liknande arbetssätt. Det gällde inte minst inom Fastighetsbildningens verksamhet där de olika kontoren varit mer självständiga tidigare och med olika aktörer som kommuner, länsstyrelser med flera inblandade.

Enligt vår bedömning har avsaknaden av en myndighetsövergripande funktion och den omständigheten att de tre verksamhetsområdena arbetat i ”stuprör” och haft flera olikheter bidragit till de brister i säkerhetsskyddet och informationssäkerheten som kan konstateras. Under utredningsarbetet har bristerna i samsyn visat sig även i samband med att vi har fått synpunkter från Lantmäteriet på redovisningar som vi hämtat in från myndigheten. Ett stort antal medarbetare har varit inblandade och dessa har varit till mycket god hjälp i vårt arbete. Men det har varit tydligt att de synpunkter som lämnats kommit från olika verksamhetsområden, där det ena området inte alltid verkar veta vad det andra området gör eller har gjort exempelvis i fråga om bedömningar relaterade till säkerhetsskydd eller utlämnanden. Det arv som Lantmäteriet bär med sig av att verksamheter från olika håll lagts samman bör som vi ser det adresseras. Den ömsesidiga förståelsen och respekten för varandras lika viktiga ansvarsområden behöver öka. Man behöver veta mer om varandras verksamheter, arbetsprocesser och rutiner och hur de samspelar. Med stor sannolikhet kan man därigenom lära av varandra. Bland annat genom ökad förståelse för varandras roller och funktioner kan man få till bättre samsyn och öka effektiviteten inom respektive verksamhetsgren. Och av det följer att effektiviteten i hela organisationen ökar.

289

292

Överväganden

17.6 Lantmäteriets åtgärder avseende brister i den

interna styrningen och kontrollen

Utredningens bedömning: För att en myndighet ska kunna bedriva ett systematiskt informationssäkerhetsarbete krävs en välfungerande intern styrning och kontroll. När det gäller de brister i den interna styrningen och kontrollen som funnits inom Lantmäteriet och vilka åtgärder som myndigheten behöver vidta med anledning av dem gör vi samma bedömning som den externa utredaren gjorde i sin genomlysning 2024. De brister som funnits har haft mycket stor betydelse för arbetet med informationssäkerhet inom myndigheten. De åtgärder som numera genomförts och planeras av Lantmäteriet inom området intern styrning och kontroll är ett steg i rätt riktning men mycket arbete återstår.

Skälen för utredningens bedömning

Bristerna inom den interna styrningen och kontrollen

För att en myndighet ska ha ett godtagbart systematiskt informationssäkerhetsarbete krävs att den har välfungerande och därmed tydliga processer för styrning och ledning av detta arbete. Som redogjorts för i avsnitt 3.3.2 anger MCF när det gäller ledning och styrning av informationssäkerhetsarbete att ledningens agerande, inte minst att fatta beslut, sätta frågorna på agendan och själv vara en förebild, legitimerar frågorna och har mycket stor betydelse för hur informationssäkerhetsarbetet kommer att utvecklas i en organisation. Därför är det problematiskt att bedriva ett godtagbart informationssäkerhetsarbete om den interna styrningen och kontrollen inom en myndighet har stora brister. Samtidigt kan noteras att Lantmäteriet, trots bristerna, 2021 uppnådde nivå 2 i den så kallade Cybersäkerhetskollen. Nivå 2 innebär att myndigheten har grunderna på plats i sitt informationssäkerhetsarbete, åtminstone i begränsad utsträckning. Numera ligger Lantmäteriet emellertid på nivå 1. 676

676 Se avsnitt 9.5.

290

293

Överväganden

Som redogjorts för i kapitel 6 har det under större delen av de år som vi i huvudsak granskat funnits ett antal väsentliga brister i den interna styrningen och kontrollen inom Lantmäteriet. Bristerna har visat sig inom ett antal olika områden. Det har handlat om brister i regelefterlevnad, brister vad gäller styrande dokument, ärendeberedning, dokumentation och diarieföring, avsaknad av en övergripande strukturerad och enhetlig process för effektuerande och uppföljning av interna beslut samt brister i olika avseenden när det gäller ansvarsfördelning. Internrevisionen har i en granskningsrapport menat att mognadsgraden och förståelsen för intern styrning och kontroll varierar inom myndigheten, men att den generellt sett är låg. 677 Bristerna kan, utifrån den genomlysning som gjordes och Lantmäteriets genomförandeplan med anledning av denna, sammanfattas enligt följande. 678 Lantmäteriets styrning har i hög grad varit decentraliserad. Olika styrmodeller har tillämpats inom verksamheten. Organiseringen på central nivå av hur arbetet med intern styrning och kontroll ska drivas behöver renodlas. Arbetet som bedrivs enligt förordningen om intern styrning och kontroll behöver breddas från enbart övergripande riskanalys kopplat till målen i verksamhetsplanen till att även innefatta risker kopplade till fel i processer. Det behöver klargöras hur intern styrning och kontroll kopplad till regelefterlevnad ska gå till. Årsrapporten Intern styrning och kontroll till styrelsen behöver innehålla en redogörelse för resultatet av vidtagna åtgärder under året inklusive en bedömning. I Lantmäteriets riktlinje för intern styrning och kontroll finns, som redovisats i avsnitt 6.2, ett avsnitt om rapporteringsstruktur som innebär att en sammanfattande årsrapport ska lämnas till styrelsen en gång om året. I årsrapporten för 2023 finns en beskrivande skildring av de aktiviteter som verksamhetsområde Säkerhet genomfört under året. I genomlysningen anges att det saknas bedömningar av hur den interna styrningen och kontrollen inom det området fungerat under året. Exempelvis konstate ras att ”myndighetsintern till syn inom området säkerhet, säkerhetsskydd, informationssäkerhet och beredskap har genomförts under året”, men utan några kom mentarer om vad som kommit fram vid tillsynerna. 679

677 Internrevisionens uppföljning av Lantmäteriets åtgärdsarbete utifrån internrevisionens rekommendationer, Tertial 1 2024, den 31 maj 2024, LM2024/029575, s. 2. 678 Se avsnitt 6.5 och 6.7.3. 679 Genomlysning av Lantmäteriets interna styrning och kontroll den 17 december 2024, LM2024/072534, s. 9.

291

294

Överväganden

I årsrapporten för 2024 anges bland annat att Lantmäteriet under året haft väsentliga brister i den interna styrningen och kontrollen. 680 Årsrapporten tar upp frågor om säkerhetsskydd och informationssäkerhet, men innehåller inte någon närmare beskrivning av hur den interna styrningen och kontrollen fungerat under året inom dessa områden. Inom Lantmäteriet är man dock numera väl medveten om den problematik som funnits inom området, vilket framgår av vår redovisning i kapitel 6. Vid våra intervjuer har bland annat följande synpunkter förts fram. Det behövs mer resurser för myndighetsövergripande frågor och generaldirektören hade behövt en stab med en myndighetsövergripande roll. 681 En organisation ska kunna fungera oavsett vem som styr. En annan viktig fråga är hur myndigheten ska vara om fem eller tio år? När man vet det behöver detta brytas ner i någon form av plan och verksamheten behöver drivas i den riktningen. Om man vet det har man sedan en grund för att prioritera. Det här har inte varit tydligt ut mot organisationen. Man jobbar med allt och inget samtidigt, vilket påverkar framdriften.

Generaldirektören har uppgett följande. Hon skulle ha styrt mot snabbare åtgärder avseende internrevisionens granskningar. Men man måste också ge tid för åtgärder. Det kom flera rapporter om samma sak med olika teman innan man hunnit åtgärda tidigare rapporter. Flera av rekommendationerna handlade om att implementera kulturförändringar, vilket alltid tar tid. I en utredning inom Lantmäteriet om att organisera det myndighetsgemensamma arbetet angavs att en förändring vad gäller verksamhetsstyrningen skulle behöva genomföras. Det konstaterades att det saknas förutsättningar att få ett helhetsgrepp, bedriva ett övergripande arbete med verksamhetsplanering och uppföljning, intern styrning och kontroll samt strategisk planering och styrning. 682 Även när det gäller organiseringen av myndighetens juriststöd har det kommit fram brister som haft betydelse för den interna styrningen och kontrollen. 683 Sammanfattningsvis kan vi konstatera att man på många håll inom Lantmäteriet förefaller vara väl medveten

680 Årsrapport intern styrning och kontroll den 6 december 2024, LM2024/063589, s. 7. 681 En GD-stab fanns tidigare inom Lantmäteriet men togs bort av generaldirektören, vår anmärkning. 682 Se avsnitt 4.5. 683 Se avsnitt 4.5.

292

295

Överväganden

om de brister som funnits inom den interna styrningen och kontrollen och behovet av att åtgärda dessa.

Pågående åtgärder för att förbättra den interna styrningen och kontrollen

Insatser inriktade på att förbättra den interna styrningen och kontrollen pågår numera inom Lantmäteriet. 684 Ett starkare centralt ledningsstöd i organisationen är en del i det pågående arbetet. En utvecklad struktur och löpande dialoger ytterligare en del. Med utgångspunkt i det underlag som vi tagit del av under vår granskning framstår det nu pågående arbetet inte bara som steg i rätt riktning, utan som nödvändiga steg, samtidigt som mycket arbete återstår. Vi återkommer i det följande till Lantmäteriets informationssäkerhetsarbete och styrningen av det.

17.7 Organiseringen av myndighetens juridiska stöd

har bidragit till bristerna inom säkerhetsskydd

och informationssäkerhet

Utredningens bedömning: Det har funnits ett behov inom Lantmäteriet av ett tydligare myndighetsövergripande juridiskt stöd för att bidra till regelefterlevnad och intern styrning och kontroll. Avsaknaden av ett tydligt utformat, myndighetsövergripande juridiskt stöd har bidragit till bristerna när det gäller säkerhetsskydd och informationssäkerhet. Den nya organiseringen av det juridiska stödet kommer sannolikt att bättre tillgodose behovet, men förändringen har tagit för lång tid.

Skälen för utredningens bedömning

Frågan hur det juridiska stödet ska vara organiserat inom Lantmäteriet har diskuterats och utretts i olika sammanhang under flera års tid. Utifrån den dokumentation som finns kan konstateras att

684 Se avsnitt 6.7.3.

293

296

Överväganden

frågan varit uppe så tidigt som 2021. 685 De undersökningar som genomförts visar ett behov av förändringar i organisationen av det juridiska stödet inom myndigheten. Rapporter visar också på ett behov av tydligare juridisk styrning för ökad regelefterlevnad och intern styrning och kontroll. Vidare har arbetsmiljöundersökningar visat på en delvis bristande arbetsmiljö för juristerna i nuvarande or- 686 ganisation. När det gäller juridiska frågor har myndigheten haft en juristenhet där chefsjuristen varit chef med personalansvar för endast några få jurister. I övrigt har jurister varit placerade inom bland annat de tre stora verksamhetsområdena Fastighetsbildning, Geodata och Fastighetsinskrivning. Det har medfört, vilket även internrevisionen 687 påpekat, att det i viss mån varit möjligt att försöka hitta en jurist som stödjer den ståndpunkt man vill driva igenom (forumshopping). Internrevisionen har tagit upp också att jurister utsätts för påtryckningar för att juridiska utredningar ska anpassas till verksamhetens behov i stället för att se till lagstiftningen. 688 Vid intervjuer har bland annat följande sagts. Juristerna på chefsjuristenheten var de enda jurister som såg till hela myndighetens behov, medan juristerna inom respektive verksamhetsområde arbe tade som ”advokater” för sitt verksamhetsområde. Det kunde bli konfliktfyllt med motstående intressen, exempelvis i flera situationer under årens lopp gällande informationssäkerhet. Styrningen mellan chefsjuristen och juristerna inom verksamhetsområdena var oklar. Det var förvånande att chefsjuristen knappt ens hade ett vägledande mandat.

På uppdrag av styrelsen gjordes en enkätundersökning om arbetsmiljön i juristgruppen under perioden december 2022 – januari 2023. Undersökningen och efterföljande intervjuer visade att det fanns en upplevd otydlighet kring vad det innebär att vara jurist i Lantmäteriet och vilka förväntningar som finns på juristen. Det framkom också att otydligheten kring roller och förväntningar skapade stress och osäkerhet. 689

685 Revisionsrapporten Säkerställande av regelefterlevnad, LM2021/050144 och rapporten Översyn av juridiskt stöd inom Lantmäteriet den 1 oktober 2021. 686 Rapporten Förslag till organisering av det juridiska stödet inom Lantmäteriet den 21 maj 2025, LM2025/062420. 687 Revisionsrapporten Säkerställande av regelefterlevnad, s. 10. 688 Revisionsrapporten Säkerställande av regelefterlevnad, s. 2. 689 Förslag till organisering av det juridiska stödet inom Lantmäteriet, s. 5.

294

297

Överväganden

Lantmäteriet har sedan den 1 januari 2026 en ny juristorganisation för att komma till rätta med de angivna problemen. 690 Enligt myndigheten kan de tidigare problemen mycket förenklat sammanfattas som att det fanns risk för oenhetlig rättstillämpning, bristande effektivitet, sårbarhet i form av brist på vissa kompetenser samt otydlig styrning och brist på oberoende. 691 De anförda iakttagelserna och bedömningarna stämmer väl överens med våra slutsatser när det gäller juristorganisationen. Problemet har också blivit tydligt för oss när det gäller de olika uppfattningar som funnits om förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Den uppfattning som tidigare funnits inom verksamhetsområde Fastighetsbildning har understötts från juristhåll inom verksamhetsområdet, medan chefsjuristen och säkerhetsskyddschefen haft en annan uppfattning. Visserligen har chefsjuristen haft mandat att göra rättsliga ställningstaganden. Chefsjuristen har dock inte haft personalansvar för jurister inom andra verksamhetsområden och har därför haft svårt att, bland annat av denna anledning, styra upp frågan. Redan vid myndighetens översyn av det juridiska stödet inom Lantmäteriet konstaterades att det inte tydligt framgår om någon – och i sådant fall vem som – avgör rättsliga tolkningsfrågor. Inte heller var det klart vilken dignitet ett eventuellt ställningstagande hade. Mandaten när det gäller rättslig styrning och rättsligt stöd ansågs därför otydliga. Vidare anfördes att det saknades en struktur och organisation för att på ett effektivt sätt arbeta fram beslutsunderlag inför gemensamma ställningstaganden. I frågor som berör hela Lantmäteriet bedömdes det därför svårt att göra gemensamma ställningstaganden och prioriteringar. Följden av detta ansågs dels vara en otydlighet om vem som har rätt att ”sätta ned foten” juridiskt och vad följden av ett ställningstagande blir, dels att olika juridiska tolkningar kan göras av olika jurister i samma juridiska frågor och att den rättsliga styrningen därigenom blir motsägelsefull. 692 Enligt vår mening har denna otydlighet bidragit till att de olika uppfattningarna om förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken har fått finnas alldeles för länge utan att frågan avgjorts slutligt.

690 Se avsnitt 4.5. 691 Förslag till organisering av det juridiska stödet inom Lantmäteriet, s. 5. 692 Översyn av juridiskt stöd inom Lantmäteriet, s. 11.

295

298

Överväganden

Vår slutsats när det gäller den nya organiseringen av juristerna är att den ser ut att vara en lämplig lösning och att den bör kunna lösa många av de problem som tidigare konstaterats. Lantmäteriet har också angett att man kommer att följa upp hur juristorganisationen fungerar. 693 Förändringen har dock tagit för lång tid och avsaknaden av ett tydligt utformat, myndighetsövergripande juridiskt stöd har bidragit till bristerna inom säkerhetsskydd och informationssäkerhet.

17.8 Förekomsten av säkerhetsskyddsklassificerade

uppgifter i Arken

Utredningens bedömning: Det finns säkerhetsskyddsklassificerade uppgifter i Arken. Uppgifterna har funnits tillgängliga genom direktåtkomst för allmänheten före stängningen av de digitala tjänsterna. En sådan förekomst är allvarlig och Lantmäteriet borde långt tidigare och skyndsamt ha vidtagit åtgärder för att komma till rätta med detta.

Skälen för utredningens bedömning

De frågor som behöver bedömas

Förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken behöver bedömas i flera steg. Det handlar inledningsvis om frågan om sådana uppgifter har funnits öppet tillgängliga i Arken. Härtill kommer frågor om hur den bedömningen har gjorts i Lantmäteriet och hur den borde ha gjorts. Vidare uppkommer frågan om det har funnits utrymme att för att bedöma förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken som mindre allvarlig, vilket är en uppfattning som förts fram av medarbetare inom Lantmäteriet. Slutligen behöver Lantmäteriets agerande i fråga om att vidta åtgärder bedömas.

693 Förslag till organisering av det juridiska stödet inom Lantmäteriet, s. 15 – 16.

296

299

Överväganden

Tillgängligheten och öppenheten i sig

Som beskrivits i kapitel 7 om Lantmäteriets digitala system och avsnitt 11.6 om direktåtkomst till digitala tjänster har olika externa användare genom avtal haft full tillgång till fastighetsbildningsakter i Arken i den mån de inte redan vid arkiveringen, eller efter hand vid upptäckt, har bedömts omfattas av sekretess och därmed låsts från att tillhandahållas. Utgångspunkten är därmed att de uppgifter som funnits i Arken före stängningen av systemen också har varit öppna och tillgängliga för olika aktörer att ta del av. Arken är ett informationssystem som tagits i drift före den 1 april 2019. Arken omfattas därför i och för sig inte av vissa bestämmelser i 3 kapitlet säkerhetsskyddsförordningen. 694 Däremot är 3 kap. 1 § Säkerhetspolisens föreskrifter om säkerhetsskydd tillämpliga på Arken. 695 Denna bestämmelse anger att säkerhetsskyddsklassificerade uppgifter i en viss säkerhetsskyddsklass får behandlas endast i informationssystem eller på lagringsmedium som verksamhetsutövaren godkänt för lägst den säkerhetsskyddsklass som uppgifterna har.

Bedömningen ska göras med beaktande av det säkerhetspolitiska läget

Lantmäteriet hanterar både säkerhetsskyddsklassificerade uppgifter och bedriver annan säkerhetskänslig verksamhet, som närmare beskrivs i myndighetens säkerhetsskyddsanalys. En given utgångspunkt är att våra bedömningar av Lantmäteriets säkerhetsskydd och informationssäkerhet ska göras mot bakgrund av den förändring av det säkerhetspolitiska läget i Sverige och den hotbild som beskrivits i kapitel 16. Mot den bakgrunden får det bedömas som mycket allvarligt om säkerhetsskyddsklassificerade uppgifter funnits öppet tillgängliga i Arken.

694 Se avsnitt 3.2.8. 695 PMFS 2022:1.

297

300

Överväganden

De olika uppfattningarna inom Lantmäteriet

Både av den dokumentation som vi har tagit del av och i flera intervjuer har det kommit fram att det över tid har funnits olika uppfattningar inom Lantmäteriet om Arken innehåller säkerhetsskyddsklassificerade uppgifter eller inte. De olika uppfattningarna förefaller i viss mån finnas inom myndigheten även i dag. Olika uppfattningar påverkade också arbetet med informationssäkerhetsprojektet, Infosäk-GDL, som har beskrivits i avsnitt 8.5.3. Ett för oss tydligt exempel på de olika uppfattningarna är den myndighetsinterna tillsynsrapporten 2023, verksamhetsområde Fastighetsbildnings svar på denna och de konkreta sekretessbedömningar av några akter som verksamhetsområdet gjort med anledning av tillsynen. 696 Generaldirektören har i huvudsak anfört följande om de olika uppfattningarna. Det är en mycket komplex fråga att bedöma vad som omfattas av sekretess och inte. Det har varit en tvist under åren mellan säkerhetsskyddschefen och verksamhetsområde Fastighetsbildning om det finns något som är känsligt i Arken eller inte. Det fanns olika uppfattningar men det var svårt att veta vem som hade rätt och att ta ställning. Säkerhetspolisen kunde inte bistå med hjälp i frågan när man försökte få vägledning hos dem. De olika uppfattningarna uppdagades senare under arbetet med informationssäkerhetsprojekten. De stora avvikelserna kom inte till ledningens kännedom förrän långt senare, under slutet av pandemitiden och då var det svårt att diskutera på plats så ofta som hade behövts. Det kom fram att det fanns personer med oerhört rigid syn på saken och personer med alltför öppen syn som stod långt ifrån varandra i synsätten. Myndigheten har jobbat med att ta fram olika typer av kriterier i många år, redan under pandemin, så detta är inte ett nytt arbete enbart utifrån den särskilda händelsen. Men det tog alldeles för lång tid. Snabbhet har inte varit signifikant för myndighetens arbete. Informationen har funnits spridd och det har varit svårt att hitta i akter samt har funnits olika åsikter om och förståelse för vad som är känsligt och inte.

Säkerhetsskyddschefens bedömning 2023

Som redogjorts för i avsnitt 8.4.1 gjordes ett urval av arkivakter vid den myndighetsinterna tillsynen 2022 – 2023. De klassificerades ur ett säkerhetsskyddsperspektiv. Bedömningen stämdes därefter av med Försvarsmakten. Den bedömning som gjordes vid tillsynen var

696 Se avsnitt 8.4.1 och 8.4.2.

298

301

Överväganden

att den beskrivna informationen var av sådan art att om den röjts för en eller flera antagonister riskerade Sveriges säkerhet att skadas. Bristerna behövde därför skyndsamt åtgärdas. I tillsynsrapporten angavs några rekommendationer, bland annat att se till att sekretessbedömningar görs av alla akter vid utlämnande, inklusive de som lämnas ut från Kundcenter och efter enskilda kontakter.

Säkerhetsskyddschefens bedömning borde varit avgörande

Säkerhetsskyddschefen i en myndighet ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lag och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar kan inte delegeras. Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet. 697 I förarbetena till den bestämmelse i säkerhetsskyddslagen där detta anges, som infördes för att stärka säkerhetsskyddschefens roll, anförde regeringen bland annat följande. Om säkerhetsorganisationen fungerar som en isolerad del av verksamheten riskerar säkerhetsskyddsfrågorna att komma in för sent i processerna, vilket kan leda till brister i säkerhetsskyddet och i förlängningen äventyra Sveriges säkerhet. Det anförda visade enligt regeringen på vikten av att säkerhetsskyddschefen organisatoriskt finns nära verksamhetsutövarens 698 ledning och chef. Behovet av att förtydliga och utvidga säkerhetsskyddschefens roll i arbetet med att ta fram och bibehålla ett väl anpassat säkerhetsskydd hade bland annat kommit fram genom flera uppmärksammade händelser de senaste åren där det visat sig att centrala verksamhetsutövare haft ett eftersatt säkerhetsskydd. Ett exempel som regeringen nämner är Transportstyrelsens upphandling av IT-drift och den granskning som gjordes av denna. Den utredaren konstaterade bland annat att säkerhetsfunktionerna på myndigheten var utspridda och saknade tillräcklig samordning. 699 I den delegationsordning som gällde vid den tidpunkt som verksamhetsområde Fastighetsbildnings svar på den myndighetsinterna tillsynen är daterat, anges att i frågor som är av betydelse för Lantmäteriets säkerhet, säkerhetsskydd och informationssäkerhet ska samråd ske med verksamhetsområde Säkerhet. Vidare anges att den

697 2 kap. 7 § säkerhetsskyddslagen. 698 Prop. 2020/21:194, s. 23. 699 Prop. 2020/21:194, s. 25 och Ds 2018:6 s. 98 och 220.

299

302

Överväganden

uppfattning som verksamhetsområde Säkerhet inom ramen för ett sådant samråd ger uttryck för ska vara vägledande för hur frågan därefter hanteras. 700 I huvudsak samma skrivning finns i 701 Lantmäteriets nu gällande delegationsordning. Det står alltså klart enligt både gällande rätt och Lantmäteriets delegationsordning att säkerhetsskyddschefens uppfattning, dels i den myndighetsinterna tillsynsrapporten, dels även tidigare, skulle haft företräde i den tvist i frågan som fanns inom Lantmäteriet. Därmed inte sagt att bedömningar och skilda uppfattningar inom en myndighet inte skulle kunna förekomma. Enligt vår mening framstår det dock som anmärkningsvärt att verksamhetsområde Fastighetsbildning valde att i ett skriftligt svar ifrågasätta den bedömning som säkerhetsskyddschefen gjort i den myndighetsinterna tillsynsrapporten när det gäller förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Även om det rörde sig om ett fåtal utvalda akter hade säkerhetsskyddschefens bedömning stämts av med Försvarsmakten. Det är mot den bakgrunden uppenbart att det var säkerhetsskyddschefens bedömning som borde varit avgörande. Dessutom baserades verksamhetsområde Fastighetsbildnings uppfattning på juridiska bedömningar som kan ifrågasättas. Vi återkommer till det.

Hade tydligare vägledning från säkerhetsskyddschefen behövts?

Redan i samband med 2020 års säkerhetsskyddsanalys ändrade säkerhetsskyddschefen den bedömning i frågan om förekomsten av säkerhetsklassificerade uppgifter i Arken som verksamhetsområde Fastighetsbildning hade gjort. Verksamhetsområdet framhärdade dock i sin uppfattning i sitt svar på den myndighetsinterna tillsynsrapporten. Argumentationen i svaret går bland annat ut på att Fastighetsbildning inte ansåg att verksamhetsområdet fick vägledning av verksamhetsområde Säkerhet och själva saknade förmåga att göra sekretessbedömningar som motsvarade de som det verksamhetsområdet hade gjort. Vi kan konstatera att Fastighetsbildning trots detta uttalande gjort egna bedömningar och i dem gått emot de bedömningar som verksamhetsområde Säkerhet gjort. Vid en av intervjuerna har kommit fram uppgifter om att dåvarande säker-

700 1 kap. 13 a § Lantmäteriets delegationsordning den 29 juni 2023, LM2023/019415. 701 1 kap. 13 a § Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018.

300

303

Överväganden

hetsskyddschefen vid ett tillfälle inte ville svara på vilka säkerhetskänsliga uppgifter som förekom i Arken och att denne inte heller ville visa konkreta bevis för detta. Den dåvarande säkerhetsskyddschefen har på fråga från oss uppgett att den uppgiften delvis kan stämma men att arbetet med akterna inte avslutades vid det tillfället. Han har vidare menat att verksamhetsområde Fastighetsbildning fick all behövlig information. Det har också förts fram att dåvarande chefen för verksamhetsområde Fastighetsbildning hade alla möjligheter att ställa frågor och att det inte hade varit några problem att ta fram konkreta bevis om någon ville se dem. En annan synpunkt är att dåvarande säkerhetskyddschefen inte var tydlig när det gäller ”allvarlighetsnivån”. En annan åsikt som förts fram är att säkerhetsskyddschefen hade behövt vara mer bestämd eller tydligare och säga ”Nu är det detta som gäller”. Problemen har enligt en synpunkt nog inte beskrivits tillräckligt tydligt för att man skulle förstå varandra. I sammanhanget bör beaktas även den översyn av verksamhetsområdet som gjordes i juni 2025 och som bland annat tog upp bristande 702 tillit från högsta ledningen. Det är dock svårt för oss att bedöma om detta kan ha spelat in just i den här frågan. Generaldirektören har för sin del uppgett följande. Verksamhetsområde Fastighetsbildnings uppgift om att säkerhetsskyddschefen inte ville säga vilka känsliga uppgifter man hittat stämmer med hennes bild av hur det var. Och att det gjordes på det sättet beror enligt henne inte på sekretessen, eftersom alla var säkerhetsprövade och de kunde ha pratat fritt om frågan. Man måste ju enligt henne tala om vilka uppgifter det handlar om för att kunna åtgärda saken. Men de påstått känsliga uppgifterna visades inte för de som behövde känna till dem. Hon uppfattade det som att man inte ville visa uppgifterna för någon. När dåvarande chefen för verksamhetsområde Fastighetsbildning inte kunde få se efterfrågade bevis gav hon verksamhetsområdeschefen stöd i att fatta sitt beslut utifrån sin kunskap. Hon har funderat mycket i efterhand på om hon hade behövt vara tydligare gentemot säkerhetsskyddschefen för att få klarhet i frågan. Hon blev mycket förvånad över det som hände vid styrelsemötet den 22 maj 2024 då de så kallade bevisen till slut visades upp. En lista presenterades för bland andra henne 10 – 15 minuter innan mötet och hon hann inte verifiera informationen. Det var bara att hålla med om allvarligheten vid sittande bord. Men när hon tittade på det i efterhand var det inte säkert att bevisen visade det som påstods. Det kanske inte var säkerhetskänslig information då när den hämtades ut enligt loggarna. Hon har efteråt

702 Se avsnitt 4.5.

301

304

Överväganden

funderat mycket på varför det gjordes på det sättet, där och då. Detta hade man ju pratat om i många år redan. Det var ett viktigt arbete som gjordes med den första säkerhetsskyddsanalysen 2020. Hade man gjort den nu, med samma kunskap och kompetens som byggdes upp senare, hade den blivit annorlunda. Det stämmer med hennes minnesbild att verksamhetsområde Fastighetsbildning ville skriva på ett annat sätt om sin information än vad säkerhetsorganisationen tyckte. Det stämmer vidare att det är beskrivet redan då, 2020, att de brister som nu blivit kända fanns. Beskrivningen var utifrån de bedömningar som säkerhetsorganisationen gjorde. Därav arbetades redan innan detta med kriterierna. Efter säkerhetsskyddsanalysen tillsattes arbetsgrupper och det pågående arbetet med kriterier med mera fick en skjuts. Det fanns vid den här tiden fortfarande olika åsikter om man skulle stänga åtkomsten eller inte. Hennes bedömning var då att det inte fanns skäl för stängning (men de pratade egentligen inte om stängning då, som hon minns det, utan mer om att begränsa tillgång till uppgifter). 703 Säkerhetsskyddsanalysen 2020 var bara uppe i delar i ledningsgruppen, för alla skulle inte känna till allt även om samtliga var säkerhetsprövade sedan 2019. Men de pratade om slutsatserna och säkerhetsskyddsanalysen lästes av hela ledningsgruppen. De var mest bekymrade, konstaterade att arbetet måste accelereras och saken lösas (utan att man pratade om stängning). I efterhand kan man tänka att en extern resurs kanske kunde ha tagits in för att reda ut hur detta skulle bedömas. Säkerhetspolisen ville ju inte ge råd och det var svårt för henne att kunna prata med andra om saken. Innan den första incidenten 2017 hade Lantmäteriet inte ens någon egen ingång till eller kontakt med Säkerhetspolisen.

Det är enligt vår mening svårt att få fullständig klarhet i vem som sagt vad och på vilket sätt, det vill säga hur tydligt olika uppfattningar förts fram. En fråga som lyfts är om säkerhetsskyddschefen tydligare borde ha väglett verksamhetsområde Fastighetsbildning. Generellt kan sägas att sådan vägledning naturligtvis är viktig. Dåvarande säkerhetsskyddschefen har sagt att han, om han får vara efterklok, borde ha drivit frågan betydligt hårdare redan 2020. Han tror att konflikten ändå hade funnits men att den hade kunnat lösas tidigare. Även verksamhetsområde Fastighetsbildning har dock enligt honom ett ansvar för situationen med de mycket stora informationsmängder som verksamhetsområdet ansvarade för. Konstateras kan att det inom verksamhetsområde Fastighetsbildning – på ett mycket tydligt sätt – hävdades en uppfattning om hur sekretessbedömningar skulle göras som inte stämmer med gällande rätt. Vi kan

703 Vid intervju med dåvarande säkerhetsskyddschefen har även denne uppgett att det inte pratades om stängning redan då. Vår anmärkning.

302

305

Överväganden

också konstatera att de olika uppfattningarna när det gäller förekomsten av säkerhetsklassificerade uppgifter i Arken, och hur sådana uppgifter skulle bedömas utifrån lagen om offentlighet och sekretess, inte hanterades. Säkerhetsskyddschefen var direkt underställd generaldirektören. Detsamma gällde verksamhetsområdeschefen för Fastighetsbildning. Därmed låg det på generaldirektören att slutligt ta ställning i frågan, och att om den bedömdes komplicerad skaffa sig nödvändigt underlag för sitt beslut.

Några av verksamhetsområde Fastighetsbildnings sekretessbedömningar

Under vår granskning har vi tagit del av skriftliga sekretessbedömningar som gjorts av verksamhetsområde Fastighetsbildning beträffande tre av de arkivakter som nämns i den myndighetsinterna tillsynsrapporten. Bedömningarna är gjorda i maj 2022, det vill säga innan rapporten upprättades i april 2023. 704 Vi är medvetna om att det är svårt att dra några slutsatser utifrån endast ett fåtal bedömningar. Vi anser dock att bedömningarna, utifrån verksamhetsområdets skriftliga svar på den myndighetsinterna tillsynsrapporten, och det som i övrigt kommit fram under granskningen, ger en tydlig bild av hur verksamhetsområdet har resonerat. I en av dessa bedömningar anser verksamhetsområdet att akten 705 innehåller vissa uppgifter som omfattas av försvarssekretess. När det gäller de två andra akterna bedömer verksamhetsområde Fastighetsbildning att de inte omfattas av försvarssekretess. Sekretessbedömningen i den ena akten baseras bland annat på att utbredning och lokalisering av ett objekt framgår av till exempel eniro.se, att uppgifterna om rättighetens ändamål med mera är nödvändiga uppgifter för att rättigheten ska kunna skapas och hävdas och därför offentliga, samt att uppgifterna inte bedöms ge information om styrkeuppbyggnad, effektivitet eller arbetsformer på så sätt att de omfattas av sekretess. 706 Sekretessbedömningen är gjord efter dialog med fastighetsägaren.

704 Se avsnitt 8.4.1. 705 Aktnummer 0380 – 2006/151. 706 Här hänvisas till prop. 1979/80:2 del A, s. 80, NJA 1988 s. 118, Kammarrätten i Jönköpings dom den 21 oktober 2016 i mål nr 2063 – 16, samt Försvarsmaktens handbok i sekretess, del A.

303

306

Överväganden

Här kan inledningsvis anmärkas att fastighetsägaren är en så kallad känslig fastighetsägare. Att en omständighet är allmänt känd eller till exempel har uppmärksammats i media utesluter inte att skada eller men kan uppstå om uppgifter rörande denna lämnas ut i handlingar i andra sammanhang. 707 Det förhållandet att utbredning och lokalisering av objektet framgick av eniro.se är enligt vår mening därmed inte ett godtagbart argument för att anse att akten inte omfattades av försvarssekretess. I bedömningen av den andra akten anges bland annat att koordinater för objektet ska vara offentliga, eftersom de har betydelse för allmänheten på närmare angivet sätt, att ett visst mått framgår av Wikipedia och att en ellednings exakta läge inte framgår. 708 Sekretessbedömningen är gjord efter dialog med berörd nyttjanderättshavare. Av samma anledning som nämnts är det enligt vår mening felaktigt att basera bedömningen på att uppgiften kunde hittas på Wikipedia. Till dessa sekretessbedömningar kommer att verksamhetsområde Fastighetsbildning i sitt svar på den myndighetsinterna tillsynsrapporten angett att det i lagen om offentlighet och sekretess inte finns några bestämmelser om sekretess genom ackumulering eller aggregering av uppgifter, och att om den enskilda uppgiften bedöms vara offentlig, då är den offentlig såväl enskilt som i förening med andra uppgifter. I denna del noterar vi att en begäran om utlämnande av en allmän handling kan prövas med beaktande av så kallad pusselläggning. Att ett stort antal uppgifter om likartade förhållanden sammantaget kan medföra skada även om uppgifterna var för sig är harmlösa, framgår av 709 rättspraxis och är grundläggande.

Är den bedömning som ska göras komplicerad?

En uppgift som förts fram under vår granskning är att alla verkade vara ”med på noterna” hur man skulle se på informationen vid säker hetsskyddsanalysen 2020, men att verksamhetsområde Fastighetsbildning svängde i sin uppfattning när man insåg de problem som det skulle medföra. Flera inom Lantmäteriet som vi har intervjuat har också lyft att sekretessbedömningen är komplex. Förhållanden på en

707 Se bland annat RÅ 1992 ref 15 och Kammarrätten i Stockholms domar den 31 juli 2024, mål nr 2549 – 24 och den 4 oktober 2021, mål nr 6415 – 21 respektive 6550 – 21. 708 Aktnummer 2460 – 10/11. 709 Se till exempel RÅ 1989 ref 111.

304

307

Överväganden

fastighet som tidigare inte varit känsliga kan bli det över tid, till exempel på grund av att fastigheten byter ägare. Flera har påpekat att Lantmäteriet per automatik inte får information om en sådan ändring på en fastighet. En av de intervjuade har sagt att man kan ha förståelse för att det är komplext att sekretess eller skyddade personuppgifter kan ändras avseende uppgifter i Arken men att det ändå finns en skyldighet för informationsägaren att ha kontroll över det. En annan åsikt som förts fram är att det inte handlar om att gå igenom flera miljoner akter för att leta efter säkerhetsskyddsklassificerade uppgifter. Det är ganska enkelt att få ner antalet om man utgår från vilka som är känsliga fastighetsägare. Det grundläggande problemet är i stället att det inte funnits någon vilja att hantera frågan. En arkivakt visar förhållandena som de såg ut vid en förrättnings avslut. Det innebär att informationsmängderna i arkivakten – exempelvis uppgifter om ägarförhållanden, ändamål och användning, fastighetsbeteckning, fastighetsbildningsåtgärd och förmånshavare – inte uppdateras i arkivakten oavsett om ägande eller verksamhet förändras. Arkivakter får enligt arkivlagen inte ändras. 710 Den omständigheten innebär också att bedömningen av uppgifterna i Arken måste ske löpande, eftersom situationen på fastigheten kan förändras på kort tid. Ett annat problem vid bedömningen är aggregerad information. 711 Ytterligare en svårighet som tagits upp under intervjuerna är att en uppgift som bedöms som känslig hos Lantmäteriet kan vara offentlig, till exempel vid en sökning på Google. Som redan konstaterats är detta emellertid i sig inte ett hållbart argument vid en sekretessbedömning. En ytterligare faktor som måste beaktas är de kommunala lantmäterimyndigheternas akter i Arken och att Lantmäteriet inte har någon överblick över dessa. 712 Även det förändrade säkerhetsläget har bidragit till att man i dag bedömer sekretessen på annat sätt än tidigare. En uppgift som kommit fram vid intervjuer är att så kallade känsliga fastighetsägare bekräftat att det finns känsliga uppgifter i handlingarna och att man när det gäller säkerhetsskydd inte kan chansa – det är konsekvensen som är avgörande och inte hur stor risken är. En uppfattning som anförts mot detta är att det är orimligt att enbart bedöma konsekvensen och att man även måste ta ställning till hur stor sannolikheten

710 Säkerhetsskyddsklassificeringspromemoria daterad den 17 september 2024, LM2024/051840, s. 2. 711 Se avsnitt 16.4.7. 712 Se kapitel 18.

305

308

Överväganden

för risken är, om den är relevant. Det skulle i så fall vara en brist att en myndighet när det gäller säkerhetsskydd inte ska bedöma sannolikheten för att något kan inträffa. I det sammanhanget kan följande anföras. En säkerhetsskyddsanalys enligt säkerhetsskyddslagen tar inte hänsyn till bland annat den bedömda sannolikheten för att olika händelser ska inträffa, vilket riskanalyser vanligtvis behöver förhålla 713 sig till. Utgångspunkten i en säkerhetsskyddsanalys är i stället de konsekvenser som måste undvikas. 714 I det betänkande som låg till grund för säkerhetsskyddslagen anfördes att det är viktigt att tona ned sannolikhetsfrågan, eftersom det i det närmaste är omöjligt att med tillförlitlighet göra en sannolikhetsbedömning, det vill säga bedöma risken för att ett hot ska realiseras. Hotbeskrivningen bör därför, liksom när det gäller värderingen av skyddsvärda intressen, vara konsekvensdriven. 715 FoI har i en rapport pekat på en rad svårigheter med att göra en riskbedömning avseende Sveriges säkerhet inför tillgängliggörande av geodata. 716 Bland annat tar FoI upp att uppskatta sannolikhet inte är relevant vid bedömningen av risker för Sveriges säkerhet. I den metod för riskbedömning av geodata vid tillgängliggörande som öppna data, som FoI föreslår i sin rapport, förs även begreppet relevans in. Motiveringen till det är att det inte anses tillräckligt att kunna identifiera situationer, händelser och skeenden som leder till skada för Sveriges säkerhet, utan analysobjektet måste dessutom på ett avgörande sätt orsaka eller underlätta att de negativa konsekvenserna uppstår. Vi menar att frågan visserligen är intressant men att vi i våra bedömningar endast kan utgå från gällande säkerhetsskyddslagstiftning. Enligt denna är sannolikhet inte relevant vid bedömning av risker för Sveriges säkerhet. En intervjuad har uppgett att generaldirektören inte fick alla fakta på bordet för att kunna döma av den tvistiga frågan. Flera har samtidigt anfört att den här typen av frågor av förklarliga skäl behöver hållas inom en mindre krets. Man kan ha förståelse för det resonemanget. Men det är det övergripande perspektivet som behöver vara vägledande, i det här fallet Sveriges säkerhet. Att en fråga anses vara komplicerad eller komplex innebär inte att den inte ska hanteras. Det ligger på varje chef att ta det verksamhetsansvar som

713 Säkerhetspolisens Vägledning i säkerhetsskydd – Säkerhetsskyddsanalys, s. 7. 714 Säkerhetspolisens Vägledning i säkerhetsskydd – Introduktion, s. 13. 715 SOU 2015:25 En ny säkerhetsskyddslag, s. 308. 716 Försvarets forskningsinstituts rapport Riskbedömning av geodata vid tillgängliggörande som öppna data, maj 2025, FOI-R--5745--SE, s. 28.

306

309

Överväganden

delegerats till honom eller henne. Och när en fråga inte får sin lösning på delegerad nivå ligger det i ansvaret att lyfta den till närmaste chef, som har att avgöra frågan slutligt. Vår bedömning är sammanfattningsvis att frågan om det funnits säkerhetsskyddsklassificerade uppgifter i Arken inte har varit så komplicerad som gjorts gällande.

Lantmäteriets nu gällande bedömning

Arken innehåller ca 3,8 miljoner fastighetsbildningsakter och en akt kan bestå av flera tusen sidor. I säkerhetsskyddsklassificeringspromemorior som upprättats inom verksamhetsområde Fastighetsbildning 2024 och 2025 anförs att verksamhetsområdet i en tidigare promemoria skri vit att ”det inte går att utesluta” att säker hetsskyddsklassificerade uppgifter förekommer i informationsmängderna. I och med att det inte kan uteslutas har bedömningen tydliggjorts till att ”det före kom mer” såda na uppgifter i informationsmängderna i Arken. . 717 I Lantmäteriets senaste säkerhetsskyddsanalys anges uttryckligen att det finns arkivakter med säkerhetsskyddsklassificerade uppgifter i Arken. 718 I myndighetens delvisa uppdatering 2022 av säkerhetsskyddsanalysen anges att det har konstaterats att det 719 fortfarande finns sådana akter där. Lantmäteriet har sedan länge en rutin för att hantera ärenden där man från början vet att en fastighet omfattas av försvarssekretess. Rutinen innebär kortfattat att en sådan akt inte arkiveras i Arken. Enligt Lantmäteriet kan man mot denna bakgrund med ganska stor säkerhet säga att nya ärenden som omfattas av försvarssekretess inte hamnar där. Hos de kommunala lantmäterimyndigheterna hanteras sådana ärenden på motsvarande sätt enligt uppgift från tillsynsprotokoll och de kommunala lantmäterimyndigheter som vi under granskningen talat med. 720 Som redovisats i det föregående är verksamhetsområde Fastighetsbildning numera av uppfattningen att det förekommer säker-

717 Säkerhetsskyddsklassificeringspromemorior från verksamhetsområde Fastighetsbildning den 17 september 2024, LM2024/051849 och den 11 september 2025, LM2025/117048. 718 Lantmäteriets säkerhetsskyddsanalys, fastställd den 27 juni 2025, LM2025/088391, s. 40. 719 Lantmäteriets säkerhetsskyddsanalys, fastställd den 16 juni 2022, diarienummer saknas, s. 42. 720 Lantmäteriet saknar dock i dag möjlighet att kontrollera och säkerställa att de kommunala lantmäterimyndigheterna inte för in säkerhetsskyddsklassificerade uppgifter i Arken, säkerhetsskyddsanalysen 2025, s. 40.

307

310

Överväganden

hetsskyddsklassificerade uppgifter i Arken. Det anges också i bland annat den senaste säkerhetsskyddsanalysen. Vidare har Lantmäteriets styrelse i sitt beslut om stängning av de digitala tjänsterna mo- 721 tiverat beslutet bland annat med risken för sådan förekomst. Som redan framgått grundar vi våra överväganden på denna slutsats. En annan fråga är i vilken omfattning det förekommer sådana uppgifter och om det finns utrymme för att bedöma dem som mindre allvarliga.

Finns det utrymme för att bedöma förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken som mindre allvarlig?

En uppfattning som kommit fram vid några intervjuer är att förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken är mindre allvarlig. De som menar detta har vid vår granskning påpekat att ärenden som kommer in och omfattas av försvarssekretess hanteras enligt andra rutiner och över huvud taget inte hamnar i Arken (se ovan). Dessutom har anförts att Lantmäteriet inte funnit många akter som omfattas av sådan sekretess vid sina granskningar. 722 Mot den bakgrunden förefaller resonemanget att det sannolikt är få akter i den öppna delen av Arken som omfattas av försvarssekretess som riktigt. De kriterier som Lantmäteriet numera tillämpar för att fånga upp akter som kan vara känsliga verkar i huvudsak fungera som det är tänkt. I det arbetet är dialogen med så kallade känsliga fastighetsägare väsentlig. Vi återkommer till behovet av ett råd med fokus på informations- och cybersäkerhet, med representation från offentlig- och privaträttsliga subjekt som driver säkerhetskänslig verksamhet som är av betydelse för Sveriges säkerhet. Att det, som nämnts, troligen är fråga om få säkerhetsskyddsklassificerade uppgifter innebär dock enligt vår mening inte att förekomsten är mindre allvarlig. Det enda utrymme som finns i säkerhetsskyddslagstiftningen för att bedöma säkerhetsskyddsklassificerade uppgifter som mindre allvarliga är vid säkerhetsskyddsklassificeringen. Säkerhetsskyddsklassen begränsat hemlig ska användas när ett röjande av en uppgift kan medföra endast ringa skada för Sveriges säkerhet. Det är dock fortfarande fråga om en

721 Styrelsens protokoll den 22 maj 2024, p. 9, och den 29 maj 2024, p. 5. 722 Uppgift från Lantmäteriet den 24 oktober 2025.

308

311

Överväganden

säkerhetsskyddsklassificerad uppgift och ska då hanteras som en sådan.

Skyndsamma åtgärder borde ha vidtagits långt tidigare

Av intervjuerna och den dokumentation som vi har tagit del av framgår att frågan om det kan finnas säkerhetsskyddsklassificerade uppgifter i Arken inte varit ny inom Lantmäteriet. En av de intervjuade har uppgett att det redan 2013 fanns ett förslag till systemarkitektur som bland annat innehöll kopplingarna mellan systemen, insamling samt hur lagring och tillhandahållande skulle hanteras. Förslaget innebar att Lantmäteriet borde skapa en ny teknisk miljö och det 723 behövde göras i viss ordning. Förslaget fullföljdes emellertid inte. Hade förslaget blivit verklighet hade, enligt den intervjuade, möjligen de problem som uppstod senare, bland annat den särskilda händelsen, kunnat undvikas. Vi har även tagit del av dokument som visar att medarbetare reagerat på brister i säkerhetskulturen 2014 – 2015 och brister i informationssäkerheten i maj 2017. 724 Redan i samband med den säkerhetsskyddsklassificering som gjordes av det informationssäkerhetsprojekt som startade i december 2017 uppmärksammades i en tjänsteanteckning från 2018 att det fanns ”hemliga uppgifter i fas tighets bildningsakter” och att åtgärder 725 borde vidtas skyndsamt. Som redogjorts för i avsnitt 8.3.7 konstaterades även i den första säkerhetsskyddsanalysen 2020 att känsliga handlingar redan då fanns i Arken. Vi har inte kunnat få fram någon dokumentation från Lantmäteriet som tydligt visar att uppgifterna i tjänsteanteckningen 2018 och senare säkerhetsskyddsanalysen 2020 hanterats av myndigheten på ett konkret sätt. Flera som vi har intervjuat har också uttryckt att man borde ha ”satt ner foten” långt tidigare och exempelvis stängt tjänsterna tidigare och gått igenom informationsmängderna. Någon har ansett att man borde ha stängt tjänsterna och gått igenom Arken efter den myndighetsinterna tillsynsrapporten 2023. 726 En annan synpunkt som kommit fram är att det varit otydligt mandatmässigt vem det var som skulle sätta ned foten. Generaldirektören har för egen del

723 Förslaget till systemarkitektur har inte kunnat återfinnas. 724 Odaterad logg med dnr 101-2017/4750. 725 Se avsnitt 8.3.3. 726 Se avsnitt 8.4.

309

312

Överväganden

uppgett att hon skulle ha varit mer påstridig i att åtgärder som togs fram verkligen genomfördes snabbare. Hon anser att hon borde ha tryckt på mer. Hon vet inte varför hon inte gjorde det, men det var en komplex verksamhet med väldigt många frågor. Det gick enligt henne inte att lägga ner all kraft och energi på en sak när regering och riksdag tryckte på i andra frågor med, enligt dem, högre prioritet. Det är enligt henne svårt att säga om tjänsterna skulle ha stängts tidigare, man visste ju inte det man nu vet. Hon fick inte några bevis på att känslig information verkligen fanns. Det som anges i tjänsteanteckningen från 2018 utgjorde enligt henne en viktig del i grunden för det fortsatta arbetet bland annat i informationssäkerhetsprojekten. Det utförda arbetet och slutsatserna togs upp i ledningsgruppen, även om själva tjänsteanteckningen kanske inte visades upp. Enligt vår mening är det svårt att förstå varför frågan om säkerhetsskyddskänsliga uppgifter i Arken inte hanterats tidigare, om inte förr så i vart fall 2018 eller åtminstone i samband med säkerhetsskyddsanalysen 2020. Flera av varandra oberoende signaler om problemen och riskerna med innehållet i Arken har lyfts inom Lantmäteriet. Generaldirektören, berörda informationsägare till vilka ansvaret delegerats, ledningsgruppen och styrelsen har alla i sina olika roller haft anledning att agera i frågan. Att signalerna om känsliga uppgifter i Arken och därmed frågan om Lantmäteriets informationssäkerhet inte skyndsamt processades fram till beslut är enligt vår bedömning anmärkningsvärt. Någon godtagbar förklaring till att så inte skett har vi inte kunnat se. Och att man inom Lantmäteriet låtit frågan bero är enligt vår uppfattning en bidragande orsak till den särskilda händelsen 2024.

17.9 Hanteringen av den särskilda händelsen och

Lantmäteriets framtida planering avseende

digitala tjänster

Utredningens bedömning: Stängningen av Lantmäteriets digitala tjänster var nödvändig utifrån de uppgifter som fanns i systemen. Lantmäteriets uppdrag i fråga om att ansvara för andra myndigheters akter bör förtydligas, såväl när det gäller tillgång till

310

313

Överväganden

andra myndigheters akter som tillhandahållandet av sådana akter. Vidare bör Lantmäteriets ansvar för informationssäkerhet framhållas i myndighetens instruktion. Det behöver också förtydligas vad som gäller i fråga om sekretess och behandling av personuppgifter, även känsliga eller skyddade sådana, när Lantmäteriet får tillgång till andra myndigheters akter och därefter tillhandahåller dem. Detta kräver ytterligare utredning. Arbetet inriktat på att öppna de digitala tjänsterna har varit högt prioriterat inom Lantmäteriet. Myndigheten skulle vinna på grundligare utredningar av de rättsliga förutsättningarna för ett återöppnande. Slutsatserna ska beslutas av myndighetens ledning och behöver förankras i hela organisationen. Regeringen bör ge Lantmäteriet tydlig styrning och resurser, antingen är fokus ett snabbt återöppnande av digitala tjänster eller ett fortsatt manuellt utlämnande. Annat har inte kommit fram än att det är en fördel att arkivakter även fortsatt lagras i en gemensam databas och att lagringen kopplas samman med ett tillhandahållande. Lantmäteriet bör även fortsättningsvis ha ansvaret för ett sådant IT-system. Lantmäteriets digitala system är delvis omoderna och har inte byggts utifrån de behov som finns i dag. För att kunna hålla akter tillgängliga i digitala system behöver arkiveringsdatabasen i sig ses över. Det bör också utredas i vilken form ett informationsutbyte lämpligast ska ske.

Skälen för utredningens bedömning

Stängningen har fått stora konsekvenser men var nödvändig

Den särskilda händelsen och beslutet att stänga direktåtkomsten till Lantmäteriets digitala system och fick stora konsekvenser för fastighetsbildningen i Sverige. Hos de kommunala lantmäterimyndigheter som inte hade direkt tillgång till sina egna akter stannade fastighetsbildningen av. Även andra myndigheter såsom Trafikverket, Skatteverket och landets mark-och miljödomstolar påverkades snabbt av stängningen. 727

727 Lantmäteriets logg för den särskilda händelsen, LM 2024/034148, se bland annat datumen 11 juni 2024, 10 juli 2024, 15 januari 2025 och 19 februari 2025.

311

314

Överväganden

Lantmäteriet har därefter hanterat allt som sedvanliga utlämnanden av allmänna handlingar. Det har tagit stora resurser i anspråk. Kostnaden för utlämnandeverksamheten uppgick till drygt 40 miljoner kronor under 2025. I budgeten för 2026 ligger direkta kostnader om 28,5 miljoner kronor för hanteringen av utlämnanden. De 20 miljoner kronor som tilldelats Lantmäteriet för 2026 bedöms av 728 myndigheten redan nu som otillräckliga. Förutom ett stort behov av utökade resurser för utlämnanden har myndigheten ett intäktsbortfall, eftersom tidigare avtal med kommersiella aktörer varit en inkomstkälla. Lantmäteriet har behövt kreditera kunder inom Geodatasamverkan för den information som de anslutna aktörerna inte längre ges tillgång till. Krediteringen upp- 729 gick till 5,4 miljoner kronor 2025 och 3,1 miljoner kronor 2024. Någon annan slutsats kan inte dras än att det var nödvändigt för Lantmäteriet att stänga den externa åtkomsten till myndighetens digitala tjänster givet den information som myndigheten hade konstaterat fanns i akterna och som lämnades ut genom direktåtkomst. Den slutsatsen kan dras redan av det faktum att det har rått stor osäkerhet om vilken information som finns i akterna. Det gäller inte bara den potentiella förekomsten av säkerhetsskyddsklassificerade uppgifter utan även andra former av sekretess, bland annat för skyddade personuppgifter. Härtill innebar de öppna tjänsterna ett utlämnande av personuppgifter i sig, bland annat känsliga sådana, oavsett om de varit sekretesskyddade eller inte (se avsnitt 17.12). När stängningen beslutats kan konstateras att Lantmäteriet visat förmåga att såväl fatta övriga nödvändiga beslut relaterade till den särskilda händelsen som att under tidspress arbeta fram nya rutiner. Lantmäteriets medarbetare har visat handlingskraft, lojalitet och flexibilitet i fråga om både arbetstider och arbetsuppgifter när myndigheten hamnade i ett kritiskt läge. Sammantaget får myndigheten därför anses ha visat stor förmåga att agera när saken väl ställdes på sin spets. Samtidigt, som redan konstaterats, dröjde det alltför lång tid för Lantmäteriet att komma till beslut sett till risker och konsekvenser i den egna informationshanteringen.

728 Information från Lantmäteriet, december 2025. Se mer om detta i kapitel 19. 729 Information från Lantmäteriet, december 2025.

312

315

Överväganden

Arbetet med den särskilda händelsen

Sedan den särskilda händelsen, men även i vart fall i viss mån dessförinnan, har informationsmängderna i Arken sorterats så att säkerhetsskyddsklassificerad informationsmängd har skiljts från övrig information. Den sorteringen har gjorts med hjälp av så kallade kriterier (se avsnitt 13.4.3). Kriterierna, och dialoger med ett antal så kallade känsliga fastighetsägare för att få stöd i att identifiera akter, har lett till att ett relativt stort antal akter låsts för att inte längre vara tillgängliga i de digitala tjänsterna. De identifierade akterna har sedan kontrollerats på olika sätt. Att söka och eliminera annan typ av sekretess uppges dock i nuläget inte vara möjligt. 730 Avsikten är att den information som inte träffas av de framtagna kriterierna ska kunna tillhandahållas digitalt till myndigheter utan sekretessgranskning när de digitala tjänsterna åter öppnas. Ytterligare säkerhetsåtgärder i förhållande till hur arkivering görs av säkerhetsskyddsklassificerade uppgifter planeras. 731 Enligt uppgift från Lantmäteriet började myndigheten i januari 2025 föra statistik över antal utlämnade akter. Under januari – juli 2025 har ca 90 000 akter granskats för utlämnande. Statistik avseende akter där sekretess har identifierats har förts sedan stängningen i maj 2024. Av granskade akter har enligt en sammanställning gjord för Lantmäteriets ledningsgrupp i januari 2025 uppmärksammats ett antal akter som har bedömts innehålla uppgifter som omfattas av sekretess. Samtliga akter har lokaliserats bland de som Lantmäteriet redan bedömt skulle vara låsta. Detta bekräftas i en anteckning från april 2025 där det anges att man inte har hittat något som inte varit låst. 732 Under perioden maj 2024 – december 2025 visar Lantmäteriets statistik att man har identifierat vissa akter som innehåller känsliga personuppgifter eller skyddade personuppgifter. Majoriteten av dessa uppgifter har funnits i de akter som inte ska öppnas, men sådana uppgifter har uppmärksammats även i de akter som bedömts vara öppningsbara. Vidare har man hittat akter som innehåller uppgifter

730 Se Lantmäteriets Sammanfattning över åtgärder för att säkerställa korrekt hantering av aktinformation från Arken, samt konsekvenser och risker för dessa åtgärder, 5 februari, diarienummer saknas. 731 Jämför Lantmäteriets säkerhetsskyddsanalys den 27 juni 2025, LM2025/088391, s. 42. 732 Lantmäteriets logg för den särskilda händelsen, LM 2024/034148.

313

316

Överväganden

som aktualiserar tillämpning av bestämmelserna i 15 kap. 2 § OSL (försvarssekretess) och akter som innehåller uppgifter som aktualiserar regleringen i 18 kap. 8 OSL (sekretess rörande säkerhets- eller bevakningsåtgärd). Härutöver har Lantmäteriet genom dialoger med aktörer identifierat ytterligare akter som innehåller uppgifter som omfattas av försvarssekretess. På samma sätt som gäller känsliga eller skyddade personuppgifter har majoriteten av uppgifterna funnits i den del av akterna som inte avses öppnas, men har identifierats också i den del som bedömts vara öppningsbar. Lantmäteriet har inte fört någon statistik vare sig historiskt eller i nutid över i vilken utsträckning sekretessprövningen vid utlämnande inneburit att uppgifter maskas eller om bedömningen har förändrats efter den sär- 733 skilda händelsen. Det kan nämnas att motsvarande arbete gjorts även inom flera kommunala lantmäterimyndigheter som återfått sina akter av Lantmäteriet och att man i det arbetet har identifierat säkerhetskänslig information i vissa akter. Vår bedömning av Lantmäteriets arbete utifrån den särskilda händelsen är att myndigheten tagit sig an utmaningarna på ett målmedvetet och strukturerat sätt. Det görs också i säkra former, eftersom de digitala tjänsterna fortsatt hålls stängda.

Behöver Lantmäteriets uppdrag förtydligas?

I sina olika utredningar har Lantmäteriet dragit slutsatsen att myndighetens uppdrag i fråga om att ta emot andra myndigheters arkivakter är otydligt. Lantmäteriet anser också att uppdraget är otydligt när det gäller att tillhandahålla arkivakter till andra myndigheter. 734 Ett tydligt myndighetsuppdrag är ett viktigt avstamp för att kunna motivera såväl utbyte av information, särskilt sekretesskyddad sådan, som tillhandahållande av personuppgifter till andra myndigheter. I Lantmäteriets instruktion anges bland annat följande när det gäller förutsättningarna för myndigheten att tillhandahålla informa-

733 Information från Lantmäteriet, december 2025. 734 Se främst Lantmäteriets promemoria Nationellt Digitalt lantmäteriarkiv, den 16 september 2024, LM2024/052370, som redogörs för i kapitel 11, och rapport Behov av regelutveckling för en säker hantering av information, den 13 mars 2025, LM2025/159810, som redogörs för i kapitel 14.

314

317

Överväganden

tion. 735 Lantmäteriet är förvaltningsmyndighet för frågor om bland annat fastighetsindelning och om grundläggande geografisk information och fastighetsinformation. Lantmäteriet ska verka för en väl fungerande försörjning med grundläggande geografisk information och fastighetsinformation av sådan omfattning, kvalitet och aktualitet att samhällets behov tillgodoses. Myndigheten ska vidare ansvara för uppbyggnad, drift, uppdatering och tillhandahållande av grundläggande geografisk information och fastighetsinformation. I Lantmäteriets instruktion finns således punkter som innefattar tillhandahållande av fastighetsinformation. Vi kan inte se att Lantmäteriets uppdrag i den delen har ifrågasatts. Därmed är uppdraget att tillhandahålla fastighetsinformation i och för sig inte otydligt. Vi kan emellertid instämma i Lantmäteriets uppfattning att det inte är helt klarlagt hur brett instruktionen kan tolkas i fråga om att även ta in andra myndigheters akter och tillhandahålla dessa. I sitt slutbetänkande har Utredningen om förbättrade möjligheter till informationsutbyte mellan myndigheter föreslagit en ny bestämmelse om att en myndighet även utan begäran ska få lämna en uppgift som inte är sekretessbelagd till en annan myndighet. Det gäller bland annat om uppgiften kan antas vara av betydelse för att den mottagande myndigheten ska kunna fullgöra sin författningsreglerade verksamhet. 736 En sådan bestämmelse skulle vara till nytta även för Lantmäteriets möjligheter till informationsutbyte, samtidigt som ett tydligt uppdrag för Lantmäteriet i fråga om informationsförsörjning är minst lika viktigt för det systematiska och omfattande tillhandahållande som det nu är fråga om. Formuleringarna i instruktionen bör, som vi ser det, kunna göras tydligare för att bättre motivera det tillhandahållande av även andra myndigheters uppgifter som myndigheten utfört och planerar att utföra. Det får därför bedömas lämpligt att i vart fall förtydliga uppdraget om arkivhållning och tillhandahållande i Lantmäteriets instruktion. I samband med ett tydliggörande av Lantmäteriets uppdrag i myndighetens instruktion bör även Lantmäteriets ansvar för informationssäkerhet framhållas. Alla myndigheter har naturligtvis ett ansvar att följa gällande lagstiftning. Lantmäteriets informationsmängder är emellertid så omfattande och uppdraget i fråga om att

735 2, 3 och 5 §§. 736 Se SOU 2025:45. Förslaget innebär en ny bestämmelse; 6 kap. 5 a § OSL.

315

318

Överväganden

förse samhället med information så viktigt och varierat att ansvaret för informationssäkerheten förtjänar att betonas i regleringen av myndighetens uppdrag. 737 Lantmäteriet har vidare efterfrågat ett tydliggjort rättsligt stöd för att hålla ett nationellt digitalt lantmäteriarkiv, innebärande att myndigheten ska ansvara för uppbyggnad, drift, uppdatering och tillhandahållande samt arkivering för andra myndigheter. Dessutom har Lantmäteriet uttryckt ett behov av att regeringen tydliggör vilka aktörer som ska få tillgång till arkivakterna, exempelvis genom en sekretessbrytande uppgiftsskyldighet för Lantmäteriet avseende arkivhandlingar i Arken till aktörer inom samhällsbyggnadsprocessen som behöver tillgång till arkivhandlingar i sin verksamhet. Lantmäteriet efterfrågar också en utredning av behovet av en registerförfattning när det gäller behandling av personuppgifter och en utredning om behovet av uppgiftsskyldighet för kommunala lantmäterimyndigheter gentemot Lantmäteriet beträffande arkivakter från fastighetsbildning. 738 Lantmäteriets förslag skulle kunna ligga till grund för fortsatt beredning.

Sekretessfrågor behöver utredas vidare

Nästan alla former av sekretess som gäller för uppgifter hos Lantmäteriet, exempelvis försvarssekretess, gäller hos samtliga myndigheter där sådana uppgifter förekommer, oberoende av verksamhet. Merparten av uppgifterna gäller med ett rakt skaderekvisit, det vill säga med en presumtion för offentlighet. 739 Uppgifterna kommer därför i och för sig i stort sett att ha samma sekretesskydd om de 740 skulle lämnas över till andra myndigheter. Emellertid gäller en huvudregel om sekretess även mellan myndigheter, se 8 kap. 1 § OSL. För att den sekretessen ska kunna brytas krävs i regel ett undantag i form av en sekretessbrytande bestämmelse i lagen om offentlighet

737 Jämför RiR 2014:23 och RiR 2016:8. 738 Se promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 1 och rapporten Behov av regelutveckling för en säker hantering av information, den 13 mars 2025, LM2025/159810, s. 2 och 6. 739 Undantaget är 21 kap. 3 a § OSL som avser sekretess för personer med skyddad folkbokföring. Den bestämmelsen innebär tvärt om en presumtion för sekretess och är också i viss mån begränsad på så sätt att den gäller i ett ärende vid en myndighet. 740 Se dock resonemanget om 21 kap. 3 a § OSL jämfört med 11 kap. 4 § som beskrivs i avsnitt 14.3.6.

316

319

Överväganden

och sekretess eller en uppgiftsskyldighet i annan lag eller förordning. 741 Lantmäteriet har, i fråga om möjligheten att lämna över sekretesskyddade uppgifter till andra myndigheter, i egna rättsutredningar konstaterat att någon särskild sekretessbrytande bestämmelse eller uppgiftsskyldighet inte finns för Lantmäteriets uppgifter. Vi instämmer i den slutsatsen. Lantmäteriet har kommit fram till att myndighetens enda möjlighet att bryta viss typ av sekretess för uppgifter i arkivakterna är att tillämpa den så kallade generalklausulen i 10 kap. 27 § OSL. Den innebär att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen 742 ska skydda. Mot bakgrund av de resonemang som förs i äldre förarbeten är det i och för sig inte uteslutet att göra bedömningen att ett uppgiftslämnande enligt generalklausulen vore möjligt i förhållande till andra myndigheter som har ett författningsreglerat och viktigt intresse av att få del av uppgifterna. 743 Uppgiftslämnande mellan myndigheter enligt den bestämmelsen har förekommit i olika sammanhang innan 744 specialregleringar införts. Härtill tyder nuvarande uppgifter på att det är ett begränsat antal arkivakter av en mycket stor mängd som faktiskt omfattas av sekretess. Noteras kan att det i flera senare förarbeten om olika uppgiftsutbyten framhållits att det ofta inte är lämpligt att omfattande utlämnande av sekretesskyddade uppgifter sker enbart med stöd av den 745 sekretessbrytande generalklausulen.

741 Jämför 10 kap. 28 § OSL. Det finns dock förarbetsuttalanden och praxis avseende i vart fall viss sekretess om att det inte behövs någon särskild sekretessbrytande bestämmelse myndigheter emellan om sekretessen kommer att gälla även hos en mottagande myndighet, eftersom det då inte kan antas att skyddsintresset för det allmänna motverkas om uppgiften lämnas till den mottagande myndigheten, se prop. 2003/04:93 s. 82 f. och prop. 2004/05:5 s. 262 ff. samt HFD 2021 not. 58 avseende 18 kap. 8 och 13 §§ OSL. Det bör dock utredas närmare vilka typer av sekretess som omfattas och om det gäller även vid direktåtkomst. 742 Avseende 18 kap. 8 och 13 §§ OSL har Lantmäteriet emellertid angett Högsta förvaltningsdomstolens dom HFD 2021 not. 58 som stöd för utlämnande till andra myndigheter. I det avgörandet kom Högsta förvaltningsdomstolen fram till att det fanns en skyldighet att på begäran lämna ut uppgifter till en myndighet trots att uppgifterna omfattades av sekretess enligt angivna paragrafer, eftersom sekretessbestämmelserna kommer att vara tillämpliga på uppgifterna även hos den mottagande myndigheten. 743 Se prop. 1979/80:2 Del A s, 80 – 81 och 327. 744 Jämför till exempel tidigare uppgiftsutbyte mellan Migrationsverket och Polismyndigheten med flera, se prop. 2015/16:65, s. 94. 745 Se bland annat prop. 2015/16:65, s. 94, om utlänningsdatalagen.

317

320

Överväganden

Syftet med generalklausulen är att medge utlämnande av uppgifter för att inte oförutsedda hinder ska uppkomma i myndigheternas verksamhet. 746 Den delning av arkivakter som det nu är fråga om har pågått under många år och det har funnits en styrning från regeringen att Lantmäteriet ska tillgängliggöra fastighetsrelaterad information för olika samhällsaktörer. 747 Det kan därför inte anses vara fråga om oförutsedda behov att utbyta information, utan en företeelse som bör utredas och regleras för att säkerställa att hänsyn tas till såväl alla relevanta sekretess- och säkerhetsskyddsaspekter som behandlingen av personuppgifter i akterna i samband med att de delas. Det gör sig särskilt gällande om avsikten är att öppna en digital tjänst där akter görs tillgängliga på ett sätt som kan innebära att ett stort antal myndigheter får del av överskottsinformation som inte har efterfrågats. Med hänsyn till Lantmäteriets mycket stora informationsmängder och viktiga samhällsuppdrag, där ett stort antal aktörer är beroende av fastighetsinformation, är det enligt vår mening rimligt att prioritera att författningsreglera Lantmäteriets hantering av infor- 748 mationsmängder.

Mer om arbetet mot ett återöppnande av digitala tjänster

Av löpande anteckningar förda av Lantmäteriet om arbetet med den särskilda händelsen framgår att ett intensivt arbete startade direkt i maj 2024 och pågick hela sommaren och hösten. Det har fortsatt under hela 2025. Arbetet har i huvudsak avsett att dels öka förmågan att lämna ut handlingar som begärs, dels en inriktning mot att öppna de digitala tjänsterna igen – i vart fall för andra myndigheter – efter att man identifierat vilka akter som inte kan delas på det sättet.

746 Prop. 1979/80:2 del A, s. 91. 747 Jämför Lantmäteriets instruktion, samt det tillåtna tillhandahållandet av personuppgifter enligt 4 § Arkenförordningen som bland annat gäller när informationen behövs för omsättning i yrkesmässig verksamhet av sådan egendom som registreras i fastighetsregistret, samt kreditgivning, försäkringsgivning eller annan allmän eller enskild verksamhet där informationen i databasen utgör underlag för prövning eller beslut. Se även utformningen av regleringsbrev som beskrivs i kapitel 11. 748 Det kan noteras att utredningens förslag i SOU 2024:63 innehöll en punkt i den nya 10 kap. 15 a § OSL med innebörden att sekretessgenombrott ska kunna ske även när uppgiftslämnandet behövs för att handlägga ärenden i författningsreglerad verksamhet, men detta ansåg regeringen vara mindre lämpligt utifrån bland annat att det är svårt att överblicka alla de situationer där bestämmelsen skulle kunna tillämpas, se prop. 2024/25:180, s. 39 – 40.

318

321

Överväganden

Som beskrivits i det föregående har tidplanen för att på nytt öppna tjänsterna fått ändras ett antal gånger, från att först ha inriktats på oktober 2024, till nuvarande uppgifter att det är osäkert när de digitala tjänsterna kan öppnas. Myndigheten har av allt att döma prioriterat öppnandet av tjänsterna i det arbete med den särskilda händelsen som fortfarande pågår. Prioriteringen förklaras i hög grad av det tryck som myndigheten upplever från olika samhällsaktörer. Det finns emellertid skäl att ifrågasätta om det numera brådskar med att öppna de digitala tjänsterna. Ett sådant beslut får inte tas grundat på kortfattade och i viss mån provisoriska rättliga bedömningar som tagits fram i ett akut läge. Noteras i sammanhanget bör att Lantmäteriet samtidigt som man har prioriterat öppnandet, påtagligt har ökat förmågan att manuellt hantera utlämnandet av handlingar. Utlämnandetiden ligger nu på i genomsnitt 48 timmar.

Bör Lantmäteriet även fortsatt ansvara för en digital lösning där flera myndigheters akter bevaras och tillhandahålls?

Även om samhällsbyggnadsprocessen fortfarande anses påverkad av nedstängningen av digitala tjänster skulle Lantmäteriet enligt vår bedömning vinna på att göra en betydligt grundligare genomlysning av de rättsliga förutsättningarna för ett fortsatt digitalt tillhandahållande än vad som hittills har gjorts. Det inkluderar ställningstaganden kring de system som används i dagsläget och vilken typ av elektroniskt utlämnande som är lämpligast. Vi har från olika håll förstått att den fråga som är av störst intresse är om Lantmäteriet även fortsatt ska ansvara för en digital lösning där flera myndigheters akter bevaras och tillhandahålls. Konsekvenserna av nedstängningen av den digitala åtkomsten till Arken blev för de kommunala lantmäterimyndigheterna, liksom för övriga samhällsbyggnadsaktörer att handläggningen av ärenden försvårades och fördröjdes avsevärt, eftersom handlingar som tidigare kunde öppnas digitalt nu behövde begäras ut från Lantmäteriet. 749 Annat har inte kommit fram än att det är en fördel att arkivakter även fortsatt lagras på en gemensam plats och att lagringen kopplas till ett tillhandahållande. Såväl Lantmäteriet som flera kommunala

749 Information till utredningen från samtal med Sveriges Kommuner och Regioner samt flera kommunala lantmäterimyndigheter i september och oktober 2025.

319

322

Överväganden

lantmäterimyndigheter har samstämmigt uppgett ett gemensamt intresse i detta. Behovet av information mellan myndigheterna är stort och mycket viktigt för en väl fungerande samhällsbyggnadsprocess. Även om Lantmäteriet nu har förkortat sina utlämnandetider till 48 timmar uppges väntetiden för att få ut handlingar som myndigheter behöver vara för lång. Utifrån Lantmäteriets uppdrag och förutsättningar får, enligt vår mening, Lantmäteriet anses som den myndighet som är bäst lämpad att fortsatt ha ansvaret för ett sådant system. En gemensam lagringsoch tillhandahållandeyta är emellertid, som redan nämnts, kopplad till ett antal rättsliga frågor som behöver utredas och förtydligas. Det bör betonas att den nuvarande manuella utlämnandehanteringen är mycket resurskrävande. Extra medel har tillskjutits Lantmäteriet för det ändamålet. Mot bakgrund av budgetpåverkan är det naturligt att myndigheten samråder med regeringen om kommande prioriteringar. Det ligger emellertid primärt på Lantmäteriet att utreda och komma fram till de rättsliga förutsättningarna för ett digitalt utlämnande av fastighetsinformation med beaktande av frågor om säkerhetsskydd i allmänhet och informationssäkerhet i synnerhet. Tydlig styrning från regeringen kan behövas som vägledning för Lantmäteriets prioriteringar. Antingen är fokus ett snabbt återöppnande av digitala tjänster eller ett fortsatt manuellt utlämnande. Vi återkommer till frågan om de resurser som Lantmäteriet fått för informationssäkerhetsarbetet varit tillräckliga.

Vissa av Lantmäteriets digitala system är omoderna

Det pågår ett omfattande arbete på Lantmäteriet med att utveckla och i viss utsträckning ersätta myndighetens system med inriktningen att alla typer av uppgifter kan hanteras i dem. Det är exempelvis redan beslutat att Trossen inom kort kommer att tas ur bruk och ersättas. När det gäller Arken pågår, som nämnts, arbetet mot att öppna de digitala tjänster som kopplar till det systemet. Arken består av avfotograferade fysiska akter, framför allt fastighetsbildningsakter. Att Arken digitaliserats på detta sätt innebär att det inte på ett enkelt sätt går söka igenom akter för att exempelvis se om det i dem finns säkerhetsskyddsklassificerade uppgifter. Inte heller annan typ av

320

323

Överväganden

sekretess eller personuppgifter är sökbara. Enligt Lantmäteriet skulle det vara ett närmast ogörligt arbete att i efterhand granska samtligt arkivmaterial för att på så sätt undersöka förekomsten av sekretesskyddade uppgifter. Lantmäteriets IT-system stöder inte en sådan digital granskning. Med ett modernare system för digital förvaring av akter, och en möjlighet att avgränsa tillhandahållandet, hade den särskilda händelsen kunnat hanteras på ett helt annat sätt. Med sökbara akter hade Lantmäteriet kunnat få ett grepp om det stora antalet akter och deras innehåll. Om akterna därtill hade varit delbara hade det varit möjligt att skapa ett tillhandahållande som inte omfattat hela akterna. Exempelvis hade enbart genomsökta beslut kunnat tillhandahållas. Enligt vår bedömning är det svårt att se det som lämpligt att ens mellan myndigheter öppna ett helt arkiv på ett sätt som inte är tekniskt möjligt att begränsa. Den bedömningen grundas på de mycket stora och närmast oöverblickbara informationsmängder det handlar om. I arbetet inriktat mot öppna digitala tjänster bör det därför utredas vilka möjligheter som finns att göra akterna sökbara och delbara, samt vilka andra möjliga begränsningar som kan vara lämpliga att göra avseende tillgängligheten. Tidigare har aktörer som köpt tjänster kunnat se mer än de haft behov av. Exempelvis har kommunala lantmäterimyndigheter haft åtkomst till akter för hela landet, alltså inte bara de som avsett den egna kommunen. Man bör ställa sig frågan om alla myndigheter för sina myndighetsuppgifter har ett behov av tillgång till hela landets fastighetsbildningsakter och vad som är försvarbart utifrån offentlighets- och sekretesslagen samt dataskyddsförordningen. Det bör noteras att motsvarande närmast fullständiga öppenhet som har gällt för Arken gällt också för andra system hos Lantmäteriet, till exempel karttjänster. Dessa frågor kräver rättsliga överväganden och ställningstaganden. Frågan om informationsutbyte och att tillhandahålla information innefattar flera aspekter. En avgörande fråga är i vilken form uppgifter bör lämnas ut. Att på sätt som tidigare ha öppna tjänster kan inte ses som en lämplig ordning. Vid bedömningen av hur en digital tjänst för tillhandahållande inte bara rättsligt utan även tekniskt ska utformas bör självfallet övervägas vilka krav som behöver ställas på befintliga eller framtida system i förhållande till säkerhetsskyddslag-

321

324

Överväganden

stiftningen. 750 Innan digitala tjänster för informationshantering och tillhandahållande av uppgifter till externa brukare öppnas behöver det vara säkerställt att alla tekniska system som berörs uppfyller de krav som gäller för de handlingar och de uppgifter som finns i dem.

17.10 Lantmäteriets arbete i övrigt med

informationssäkerhet och säkerhetsskydd

Utredningens bedömning: Bristen på en övergripande struktur i Lantmäteriets arbete med informationssäkerhet har varit påtaglig. Med utgångspunkt i MCF:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6) har Lantmäteriet grunderna i sitt informationssäkerhetsarbete på plats, åtminstone delvis. Det systematiska informationssäkerhetsarbetet har dock stannat av och behöver komma i gång igen. I första hand bör informationsklassningen av samtliga informationsmängder färdigställas. En plan för hur uppföljning av informationssäkerhetsarbetet ska ske behöver tas fram. Lantmäteriet bör också se över styrande dokument och om informationsägarskapet kan förtydligas. Dessutom behöver myndighetens ledningssystem för informationssäkerhet (LIS) uppdateras. Så kallade facilitatorer eller koordinatorer för informationssäkerhetsarbetet bör om möjligt utses inom samtliga verksamhetsområden. På så sätt kan den centrala funktionen fokusera på det myndighetsövergripande informationssäkerhetsarbetet. Det bör beslutas och vara reglerat vem som ska ha det myndighetsövergripande ansvaret för att informationsägare utses för nya informationsmängder och för de informationsmängder där det är otydligt vem som har ansvaret. I det sammanhanget kan övervägas om befintligt informationsägarforum ska ha den rollen eller om ett nytt forum bör skapas.

750 Säkerhetsskyddslagen, säkerhetsskyddsförordningen och Säkerhetspolisens föreskrifter, se kapitel 2.

322

325

Överväganden

Skälen för utredningens bedömning

Har Lantmäteriet utformat sitt informationssäkerhetsarbete på det sätt som krävs enligt MCF:s föreskrifter?

Av MCF:s föreskrifter följer att en myndighet ska utforma sitt informationssäkerhetsarbete på närmare angivet sätt och bedriva det systematiskt och riskbaserat. Utifrån det som anges i föreskrifterna 751 konstaterar vi inledningsvis följande beträffande utformningen av Lantmäteriets informationssäkerhetsarbete. Lantmäteriet har sedan 2022 en informationssäkerhetspolicy. Av den framgår ledningens målsättning med och inriktning för informationssäkerhetsarbetet. Den senaste informationssäkerhetspolicyn beslutades i juni 2025. Innehållet i denna är i huvudsak identiskt med det som anges i den tidigare policyn. I policyn har myndigheten angett bland annat att generaldirektören är ytterst ansvarig för informationssäkerheten inom Lantmäteriet och att verksamhetsansvarig chef ansvarar för att upprätthålla sådan säkerhet inom sin verksamhet, att framtagna policys, riktlinjer och instruktioner följs och att säkerhetsåtgärder genomförs. Det framgår av policyn att verksamhetsområde Säkerhet har ansvar för att samordna övergripande frågor om säkerhet, säkerhetsskydd, beredskap och informationssäkerhet inom samtliga verksamhetsområden. Det framgår av policyn att verksamhetsområde Säkerhet har ansvar för att samordna övergripande frågor om säkerhet, säkerhetsskydd, beredskap och informationssäkerhet inom samtliga verksamhetsområden. En liknande formulering finns i myndighetens delegationsordning. 752 Möjligen hade det kunnat framgå tydligare i styrande dokument vilka som utsetts för att leda och samordna informationssäkerhetsarbetet och vilka befogenheter som följer av dessa befattningar. Det har i övrigt inte blivit tydligt för oss att Lantmäteriet tagit fram de interna regler, arbetssätt och stöd som behövs och att de utvärderats samt anpassats efter behov. Vi återkommer till frågan om de resurser för informationssäkerhetsarbetet som finns inom Lantmäteriet. Som beskrivits i kapitel 9 har Lantmäteriet beslutat om ett sådant ledningssystem för informationssäkerhet (LIS) som avses i MCF:s

751 5 § MSBFS 2020:6 och allmänna råd till denna bestämmelse. 752 Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018, 2 kap. 7 g §.

323

326

Överväganden

föreskrifter. 753 Ledningssystemet ska konkretisera myndighetens informationssäkerhetspolicy och skapa förutsättningar för ett systematiskt informationssäkerhetsarbete. Vid intervjuer har angetts att LIS inte är helt komplett och att Lantmäteriet inte har förvaltat och uppdaterat ledningssystemet. Konstateras kan att det senaste LIS som finns är från 2022. Någon fullständig uppdatering av LIS har inte gjorts, men det finns några LIS som beslutats 2023. Det som angetts vid intervjuer är att LIS är tunt när det gäller anskaffning, utveckling och underhåll och att det inte bara gäller IT utan själva processen. Det finns en riktlinje men inte så mycket metodstöd. Vår sammanfattande bedömning av Lantmäteriets utformning av informationssäkerhetsarbetet är att det finns en struktur på plats som i stort följer de anvisningar som ges i MCF:s föreskrifter. Samtidigt har bristen på en övergripande struktur i Lantmäteriets arbete med informationssäkerhet varit påtaglig. Med det menar vi att det inte tagits något tydligt, samlat grepp om informationssäkerhetsfrågorna inom myndigheten. En orsak till det har varit bristerna inom den interna styrningen och kontrollen. I sammanhanget noterar vi att Lantmäteriets informationssäkerhetsmognad enligt MCF:s Cybersäkerhetskollen numera sjunkit från nivå 2 till nivå 1. 754 Cybersäkerhetskollen har nyligen lagts till som en indikator i Lantmäteriets verksamhetsplan 2026 till 2028. Ett målvärde på mognadsnivå 3 år 2027 har satts vilket innebär att myndigheten visar ett kvalificerat innehåll i informationssäkerhetsarbetet och dessutom är bättre på grunderna i detta arbete. 755 Som vi har varit inne på kan vissa delar av den struktur för arbetet som nu finns på plats behöva ses över, exempelvis när det gäller kompletteringar av LIS. Styrningen och samordningen av arbetet är en viktig del för att få hela verksamheten att arbeta enhetligt med informationssäkerhet, sär skilt mot bakgrund av de ”stuprör” i verksamheten som konstaterats. I tidigare arbetsordningar 756 för Lantmäteriet, och även den senaste, 757 finns säkerhetsskyddschefens och dennes verksamhetsområdes ansvar angivna. I övrigt finns inte något om informationssäkerhet i dessa. I myndighetens delegations-

753 MSBFS 2020:6, 4 § och avsnitt 9.2. 754 Se avsnitt 9.5. 755 Se avsnitt 3.3.3. 756 Se till exempel arbetsordningar för Lantmäteriet den 17 december 2020, LM2020/028310 och den 14 april 2021, LM2021/009167. 757 Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340.

324

327

Överväganden

ordningar anges funktionen informationssäkerhetsansvarig, 758 och det finns vissa skrivningar om informationssäkerhet bland annat i det kapitel som handlar om informationsägarskapet (se nedan). Möjligen är det inte avgörande hur funktionen benämns men vi anser att det hade varit bra om det funnits en tydlig befattningsbeskrivning för funktionen, som nu betecknas informationssäkerhetschef. En sådan beskrivning finns inte men kommer enligt Lantmäteriet att tas fram inom verksamhetsområde Säkerhet. Den beskrivning av denna chefs arbetsuppgifter som utredningen fått del av finns i den annons som användes vid rekryteringen av nuvarande chef. Av beskrivningen framgår att informationssäkerhetschefen har ett övergripande ansvar för att leda och samordna arbetet med informationssäkerhet, inklusive säkerhetsskyddsdimensionen. Att ansvaret inbegriper säkerhetsskyddsdimensionen innebär enligt Lantmäteriet att informationssäkerhetschefen ansvarar för att säkerhetsskyddsaspekterna, där det är relevant, inkorporeras i den styrning och det metodstöd som tas fram inom ramarna för det strukturerade informationssäkerhetsarbetet. Ett exempel är att processen för informationsklassning inkluderar att informationsmängder som bedöms innehålla säkerhetsskyddsklassificerade uppgifter går vidare till en bedömning där man slår fast om så är fallet och även vilken säkerhetsskyddsklass som gäller. 759 Enligt Lantmäteriet har personalresurserna inom informationssäkerhetsfunktionen under de senaste åren varit bristfällig. Under perioden oktober 2024 – augusti 2025 har den bestått av endast en informationssäkerhetshandläggare. Dessförinnan var man enligt uppgift två medarbetare under åren 2022 – 2024. Hösten 2025 har informationssäkerhetsfunktionen successivt kommit att bestå av • en informationssäkerhetschef, och • fyra informationssäkerhetshandläggare varav två är tillika dataskyddssamordnare.

De båda dataskyddssamordnarna har tidigare varit organiserade under ett annat verksamhetsområde och kom till informationssäkerhetsteamet som resultat av en organisationsförändring som genom-

758 Se till exempel delegationsordningar för Lantmäteriet den 29 juni 2023, LM2023/019415, och den 16 december 2025, LM2025/161018. 759 Information från Lantmäteriet i november 2025.

325

328

Överväganden

förts under hösten 2025. Deras arbetsuppgifter är för närvarande i stort sett desamma som innan organisationsförändringen. 760 Enligt vår bedömning finns mot denna bakgrund numera en organisation på plats inom Lantmäteriet som kan arbeta myndighetsövergripande med informationssäkerhet inom myndigheten. För att funktionen ska kunna arbeta på det sättet har vid intervjuer uppgetts att det vore lämpligt om det fanns så kallade facilitatorer inom varje verksamhetsområde, som kan stötta och bistå verksamheten inom informationssäkerhetsområdet. I dagsläget finns det sådana utsedda inom verksamhetsområdena Fastighetsinskrivning och UIT. Dessutom kommer det att finnas en facilitator inom Geodata (Marknad). Facilitatorernas arbete har i huvudsak bestått i hjälp med informationsklassning. Som vi ser det bör Lantmäteriet gå vidare med denna inriktning med konkret stöttning ute i verksamheten, samtidigt som den centrala funktionen kan fokusera på det myndighetsövergripande arbetet. Ledning och styrning av facilitatorernas arbete ska självfallet ligga på den centrala informationssäkerhetsfunktionen.

Finns det otydligheter i informationsägarskapet?

Informationsägare är enligt Lantmäteriets delegationsordning den som äger och ansvarar för att informationen är riktig och tillförlitlig samt för det sätt genom vilket informationen lagras och sprids. Informationsägaren har ett strategiskt eller operativt ansvar för en definierad del av Lantmäteriets information. Informationsägaren har det yttersta ansvaret för att informationen är anpassad för sitt syfte och användningsområde. 761 Generaldirektören har ett övergripande ansvar för Lantmäteriets information. En strategisk informationsägare ansvarar för den delmängd av information som omfattas av delegation rörande informationsägarskap. Den operativa informationsägaren ansvarar för det operativa arbetet och det operativa beslutsfattandet för en tydligt avgränsad delmängd av informationen. 762 När det gäller informationsägarskapet har följande synpunkter förts fram vid våra intervjuer.

760 Lantmäteriets PM till utredningen den 21 november 2025, LM2025/051647. 761 Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018, 6 kap. 1 §. 762 Delegationsordning den 16 december 2025, 6 kap. 2 – 3 §§.

326

329

Överväganden

Informationsägarskapet enligt delegationsordningen fungerar inte. Man följer inte det som står där. Man har exempelvis kanske tio informationsmängder (delmängder, på enhetschefsnivå som är operativ) – då ska det finnas tio informationsklassningar. De ska också revideras eller göras om vart tredje år. Redan där ser man att det brister. Om den operativa informationsägaren brister är det den strategiska informationsägarens ansvar att styra upp det. Men det utkrävs inget ansvar när det inte sker. Informationsägarrollen är nästan omöjlig att utföra. För att kunna det måste man kunna styra över budgeten och sin del av ansvaret. Det är viktigt att man bottnar i den rollen. Informationsägarskapet inom Lantmäteriet är enligt delegationsordningen vertikalt medan informationsmängderna är cirkulära och flyttar sig mellan verksamhetsområden. Det finns olika informationsägare beroende på var i processen man befinner sig. Det är till exempel tydligt mellan verksamhetsområde Geodata och Fastighetsbildning. Geodata är informationsägare för fastighetsregistret men Fastighetsbildning hämtar och för in data i registret. Informationsägarskap handlar om att peka ut vem som är ansvarig för vad. Alla informationsmängder ska vara fördelade och någon ska ha koll. Det kan vara mycket svårt att fördela om flera har samma information, men den brukar fördelas på någon utpekad i gränsfall. På Lantmäteriet är allt i stort sett fördelat ut på verksamhetsområden. Men det är längre ned som klassningar inte har genomförts.

Det finns också de som anser att informationsägarskapet är ganska tydligt i delegationsordningen men att problemet uppstår när det är fråga om system som innehåller information som har många informationsägare. Det har också förts fram att det inte finns någon process för vem som ska ta ansvar för en ny informationsmängd, eller en sådan mängd som är otydligt beskriven. Här behövs en ordning där man gemensamt kommer fram till vem som ska ansvara för sådana informationsmängder. Någon har lyft att det skulle kunna lösas genom att inrätta ett organ inom myndigheten (till exempel informationsråd) som skulle kunna ta ansvar för helheten. Som vi har beskrivit tidigare och i avsnitt 5.3.2 finns det i Lantmäteriets delegationsordning förhållandevis utförliga beskrivningar av vad som avses med begreppet informationsägare, vad en strategisk respektive en operativ informationsägare ansvarar för och vilka uppgifter som ingår i rollen. Regleringen i delegationsordningen får enligt vår bedömning anses godtagbar och rimligt tydlig. Men utifrån de synpunkter som lyfts under utredningen bör Lantmäteriet på nytt överväga formuleringarna om informationsägarskap och hur det ska tillämpas i praktiken. Genom delegationerna blir

327

330

Överväganden

många olika ansvariga för informationen, låt vara inom respektive ansvarsområden. Det är naturligtvis en bra struktur, eftersom det blir ett mindre område för var och en att ansvara för. Med flera inblandade och ett spritt ansvar blir det emellertid utmanande att hålla samman hur informationsansvaret ska tas om hand och utföras. I 6 kap. 2 § delegationsordningen anges att på begäran och inom den tid som anges av informationssäkerhetsansvarig ska en säkerhetsskyddsklassificeringspromemoria upprättas enligt den mall som tillhandahålls av den informationssäkerhetsansvarige. Promemorian ska diarieföras och den informationssäkerhetsansvarige informeras när promemorian har slutförts och diarieförts enligt de instruktioner som tillhandahålls av denne. Denna bestämmelse förefaller inte ha tillämpats utan på fråga har Lantmäteriet uppgett att avseende säkerhetskänslig information är sårbarheter och nödvändiga åtgärder dokumenterade i myndighetens säkerhetsskyddsanalys och säkerhetsskyddsplan. Möjligen bör Lantmäteriet av den anledningen överväga vilket syfte som bestämmelsen har och om den kan utgå.

Samordnande forum eller råd

För att kunna bedriva och samordna arbetet med informationssäkerhet bör det enligt MCF finnas grupperingar som träffas regelbundet. Behovet av sådana är särskilt stort i större organisationer, eftersom det är många personer som arbetar med säkerhetsfrågorna. Dessutom kan såväl de organisatoriska som de geografiska avstån- 763 den skapa problem. Råd och forum är en bra resurs för CISO , som i dessa kan få och ge regelbunden rådgivning, och dessutom utbyta erfarenheter och synpunkter från andra viktiga roller i organisationen. I regel bör CISO-rollen vara ordförande och sammankallande i dessa råd. En annan fördel är att ett formellt inrättat råd eller forum kan ge informationssäkerhetsfrågorna en ökad tyngd och legitimitet, exempelvis vid uttalanden, interna remisser och rådgivning till ledningen. Frågor om informationssäkerhet kan även ingå i råd och forum inom andra områden, som till exempel generell säkerhet, risk eller kvalitet. Rådets eller forumets syfte, deltaganderoller, mötesfrekvens och så vidare bör regleras i ett styrdokument.

763 Den person som är ansvarig för samordningen av informationssäkerheten, Chief information security officer, se avsnitt 3.3.2 .

328

331

Överväganden

Som vi ser det kan ett sådant råd eller forum som MCF beskriver vara en modell för Lantmäteriet. Ett alternativ kan vara att lägga ansvaret för den samordning som krävs på informationssäkerhetschefen. Huvudsaken är att det regleras vem som ska ha det myndighetsövergripande ansvaret för att en informationsägare utses för nya informationsmängder eller för sådana mängder där det är otydligt vem som har ansvaret. Den lösning som väljs måste naturligtvis regleras i delegationsordningen. Att notera i sammanhanget är att Lantmäteriet i nuläget har de strategiska och operativa informationsägarforumen. Genom intervjuerna har kommit fram att det är i dessa som en stor del av informationssäkerhetsarbetet har diskuterats. Forumen är inte reglerade i något styrande dokument, även om det finns ett odaterat dokument med en kort beskrivning av det strategiska informationsägarforumet och vilka som deltar i det. Lantmäteriet bör överväga om något av dessa forum möjligen kan ha en sådan samordnande funktion som nyss nämnts och i så fall beskriva detta i ett styrande dokument, lämpligen arbetsordningen kompletterat av delegationsordningen. I det här sammanhanget bör även de kommunala lantmäterimyndigheternas informationsmängder nämnas. Enligt Lantmäteriet är respektive kommunal lantmäterimyndighet informationsägare för 764 sina arkivakter som lagras i Arken. Detta finns dock inte beskrivet i avtalen mellan Lantmäteriet och de aktuella kommunerna och det kan ifrågasättas om de kommunala lantmäterimyndigheterna känner till vad ett informationsägarskap på Lantmäteriet innebär. Frågan har bäring på vems ansvar det är att säkerställa att uppgifterna hanteras rätt ur bland annat ett säkerhetsskydds- och informationssäkerhetsperspektiv. Vi återkommer till det i kapitel 18 där vi tar upp att Lantmäteriet bör initiera en översyn av avtalen för att tydliggöra avsikten med dem och skapa samsyn med de kommunala lantmäterimyndigheterna om avtalsinnehållet. I det ingår också att klargöra ansvaret för innehållet i arkivakterna.

764 Jämför Lantmäteriets Säkerhetsskyddsanalys, LM2025/088391, s. 27. Vi beskriver detta närmare i kapitel 18.

329

332

Överväganden

Har Lantmäteriet säkerställt att informationssäkerhetsarbetet är systematiskt och riskbaserat?

Det som kommit fram vid våra intervjuer är att det systematiska arbetet med informationssäkerhet inom Lantmäteriet har stannat av. Troligen har det samband med att den särskilda händelsen medförde att annat arbete fick prioriteras och krävde ytterligare resurser. En central del i det systematiska arbetet med informationssäkerhet är att Lantmäteriet ska klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få (informationsklassning). Enligt uppgift från Lantmäteriet pågår informationsklassningen, bland annat i form av workshops. När det gäller kärnverksamheten, det vill säga verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning och Geodata, har uppgetts att ungefär 80 procent av informationsmängderna är informationsklassade. 765 Konstateras kan att det arbetet behöver slutföras. Vidare behöver det systematiska arbetet med informationssäkerhet i övrigt komma i gång igen. I detta ingår att ta fram en plan för uppföljning av arbetet. Enligt uppgift har det funnits en sådan, men den kom aldrig att användas.

Lantmäteriets resurser för informationssäkerhetsarbetet

Utifrån det som redovisats i avsnitt 9.7 kan vi konstatera att Lantmäteriet tilldelats mindre än det myndigheten begärt för aktuella år. Inte någon tilldelning har angetts specifikt avse informationssäkerhet och säkerhetsskydd. Samtidigt finns det de som menar att projektet Infosäk-GDL blev mycket dyrt utan att leda till någonting och att man tidigare har felprioriterat i budgeten genom att det som myndigheten begärt och fått använts på fel sätt.

17.11 Utlämnande av allmänna handlingar efter

begäran

Utredningens bedömning: Handlingar som har funnits i Arken har efter begäran – utan sekretessprövning – lämnats ut av

765 Uppgift från Lantmäteriet i november 2025.

330

333

Överväganden

Lantmäteriet. Hanteringen har varit kopplad till det faktum att handlingarna har bedömts som säkra att lämna ut genom att de har legat öppet tillgängliga i Arken. En överhängande risk har funnits för att såväl säkerhetsskyddsklassificerade som andra uppgifter som borde ha skyddats av sekretess har lämnats ut. Att Lantmäteriet rutinmässigt lämnat ut akter som kunnat innehålla sekretesskyddade uppgifter utan en föregående sekretessprövning av innehållet bygger på att myndigheten felaktigt bedömt och tillämpat gällande rätt i fråga om offentlighet och sekretess. Det är samtidigt kopplat till bristerna i fråga om intern styrning och kontroll. Flera myndighetsinterna påpekanden om brister i och risker med den manuella utlämnandehanteringen har gjorts genom åren. Beslut att upphöra med detta utlämnande fattades först våren 2024. Det beslutet borde ha tagits långt tidigare. Lantmäteriet har haft en alltför långsam takt när det gäller att komma till rätta med uppmärksammade brister i fråga om manuellt utlämnande av allmänna handlingar. Numera vidtagna åtgärder framstår som relevanta, men behöver kvalitetssäkras. Kundcenters medarbetare har följt givna direktiv, och kan inte lastas för hur frågan har hanterats.

Skälen för utredningens bedömning

Allmänna handlingar har efter begäran lämnats ut utan sekretessprövning

Som redogjorts för i det föregående har säkerhetsskyddsklassificerade uppgifter och andra sekretessbelagda uppgifter lämnats ut eller riskerat att lämnas ut genom att tillhandahållas genom direktåtkomst i öppna digitala system för de aktörer som har haft tillgång till sådana tjänster. I detta avsnitt bedömer vi Lantmäteriets hantering av utlämnande av allmänna handlingar efter begäran, det vill säga efter att någon hör av sig till myndigheten och vill få ut en specifik handling. 766 Att i en myndighet ha kunskap om vad som gäller när någon begär ut en handling från myndigheten är grundläggande och kan

766 I enlighet med den definition vi gjort i avsnitt 12.1.

331

334

Överväganden

sägas ingå både i den statliga värdegrunden och en god förvaltningskultur. Det står klart för oss, vilket vi konstaterat i avsnitt 17.3, att det funnits stora brister hos Lantmäteriet vad gäller offentlighet och sekretess. Dessa brister har fått till följd att allmänna handlingar, bland annat i form av fastighetsbildningsakter, lämnats ut från Kundcenter utan sekretessprövning. Det har därmed funnits en överhängande risk för att såväl säkerhetsskyddsklassificerade som andra uppgifter som borde ha skyddats av sekretess har lämnats ut. Trots olika utredningar och myndighetsinterna påpekanden under ett antal år har det dröjt alldeles för länge innan problematiken inom utlämnandefunktionen klarnade för myndigheten. Som vi förstått det har en stor del av denna berott på att man, bland annat inom Kundcenter, hade uppfattningen att de handlingar som fanns i Arken kunde lämnas ut, eftersom de ingick i de digitala tjänster som fanns öppet tillgängliga. En förklaring till detta är att myndigheten felaktigt bedömt och tillämpat gällande rätt i fråga om offentlighet och sekretess. Som vi beskrivit i avsnitt 17.8 har det funnits olika uppfattningar inom Lantmäteriet i frågan om Arken innehåller säkerhetsskyddsklassificerade uppgifter och så har förhållandena fått vara under lång tid. Även när det gäller denna fråga har flera av Lantmäteriets medarbetare, även på verksamhetsområdeschefsnivå, uttryckt till oss att någon borde ha dömt av den frågan. Och man anser att myndigheten borde ha gått igenom informationsmängderna tidigare. Det har förts fram att man antingen inte har förstått, inte har velat förstå, eller har förstått men valt att inte göra något. Det uppges även ha förekommit kommentarer som att ” man inte kan följa alla regler ” , att ”vi har så många regler att följa ” och att man ju då måste ha ”jättemånga som granskar”. Det sistnämnda kan vi konstatera nu har blivit fallet; myndigheten har byggt upp en stor granskningsfunktion, och det synes fungera relativt väl även om den kräver stora resurser. Enligt uppgift från Lantmäteriet fick generaldirektören information om de frågor som dåvarande säkerhetsskyddschefen ställde till chefen för Kundcenter i december 2021, det vill säga om det stämde att akter från fastighetsbildningen lämnades ut utan föregående sekretessprövning. Även om generaldirektören sedan inte tog del av svaret från Kundcenters chef är det anmärkningsvärt

332

335

Överväganden

att kännedomen om frågeställningen i sig inte medförde att saken följdes upp. Det står klart att även Lantmäteriet har uppfattningen att handlingar ur Arken under många år har lämnats ut på begäran utan någon sekretessprövning. Här bortser vi från att en begäran att få ut handlingar som haft en sekretessmarkering i fastighetsregistret hanterats på ett annat sätt. En rutin för sekretessprövning av i vart fall vissa akter har inte varit på plats förrän omkring 2020, samtidigt som utbildningen om de olika varningssignaler som funnits i system 767 kopplade till Arken har varit bristfällig. Manuella utlämnanden av allmänna handlingar efter begäran har skötts av myndighetens Kundcenter som är en funktion som i januari 2023 flyttades från verksamhetsområde Kommunikation till verksamhetsområde Fastighetsinskrivning. Det innebar en förändring av chefskapet på verksamhetsområdesnivå för medarbetarna på Kundcenter. Hanteringen av utlämnanden synes dock inte ha förändrats nämnvärt med anledning av omorganisationen. Sekretessprövningar vid utlämnanden gjordes varken före eller direkt efter den tidpunkten. Kundcenters chef under den här perioden har uppgett att han lyft problematiken med utlämnanden i Lantmäteriets ledningsgrupp samt styrelsen under åren 2021 och 2023 och att han har velat få tillsatt en arbetsgrupp med representanter från verksamhetsområdena. Den dåvarande chefsjuristen har gett en annan bild av dröjsmålet med att börja sekretesspröva handlingar. Vi kan konstatera att det dröjde till våren 2024 innan det fattades ett uttryckligt beslut av chefen på Kundcenter att alla handlingar i samtliga arkivakter skulle sekretessgranskas före utlämnande. 768 Mot bakgrund av att problematiken varit känd under lång tid på myndigheten borde ett sådant beslut naturligtvis ha fattats av ledningen betydligt tidigare. Att den kända hanteringen vid utlämnande av allmänna handlingar efter begäran inte lett till insikten att åtgärder behövde vidtas är anmärkningsvärt. Vi återkommer i avsnitt 17.13 till ledningsperspektivet när det gäller bland annat denna brist. Hanteringen av utlämnanden av allmänna handlingar och att den fått fortgå visar inte annat än att Lantmäteriets interna styrning och kontroll inte har fungerat tillfredsställande. Ett systematiskt bedri-

767 Se avsnittet om anmälan om säkerhetshotande händelse i mars 2024 i 13.2.2. 768 Jämför Tjänsteanteckningar från dåvarande chefsjurist under 2021 – 2023 i kapitel 12 samt beskrivningen i kapitel 13 av hur utlämnanden utan granskning stoppades i mars 2024.

333

336

Överväganden

vet kvalitetsarbete borde självfallet långt tidigare ha fångat frågeställningarna och lett till både analys och åtgärder. Inte minst gäller det i ljuset av att utmaningarna och de olika uppfattningarna varit väl kända inom stora delar av organisationen. Som vi redan konstaterat i avsnitt 17.3 har många medarbetare lyft att öppenhet och kundnöjdhet varit något som präglat myndighetskulturen i allmänhet. Även inom området utlämnanden uppges god kundservice ha varit i fokus. Sannolikt har det påverkat att öppenhet även i fråga om utlämnanden har gått före säkerhet och sekretess. Medarbetarna på Kundcenter kan inte lastas för de angivna bristerna. De har följt de direktiv som de har fått. Enligt uppgift har de tidigare inte heller fått någon riktig introduktion om vad som kan lämnas ut och inte.

Lantmäteriets numera vidtagna åtgärder

Att alla akter hade behövt sekretessprövas före utlämnande är grundläggande. Informationen i dem är dessutom ostrukturerad och innehåller stora delar fritext som inte har kunnat sekretessmarkeras utifrån sökningar på den faktiska informationen i akterna. Lantmäteriets avsikt även långt före den särskilda händelsen har varit att akter som kan omfattas av försvarssekretess inte ska finnas i Arken utan hanteras på annat sätt. Den insikt som myndigheten numera kommit till, med innebörden att sådana akter av olika skäl ändå kan finnas i Arken, har inneburit ett stort arbete med att sortera ut sådana akter inför ett framtida digitalt tillhandahållande. Det har också införts processer för att säkerställa att nya sådana akter inte förs in i Arken. Vissa akter har sökts fram utifrån vem som är fastighetsägare. Det har vidare införts såväl maskinella som manuella rutiner för säkerställt skydd, bland annat i form av användning av 769 olika kriterier för att fånga upp viss typ av sekretess och låsa akter. Oavsett om akterna är låsta eller inte, görs i nuläget en sekretessprövning av samtliga arkivakter före utlämnande. Vi kan därför inte se annat än att godtagbara rutiner för utlämnande av allmänna handlingar efter begäran numera är på plats i Lantmäteriet.

769 En närmare beskrivning av detta arbete finns i kapitel 14 samt i tidigare avsnitt i detta kapitel.

334

337

Överväganden

Den nuvarande organisationen för utlämnanden och vilka resurser som finns för det har beskrivits närmare i kapitel 12. Det är positivt att det har skett en betydande kapacitetsökning för hanteringen av utlämnande av akter, både genom intern omfördelning av personal och nyrekrytering. Den nuvarande tiden om högst 48 timmar från begäran till utlämnande är enligt vår bedömning fullt godtagbar. Av Lantmäteriets egen dokumentation i anslutning till att hanteringen av utlämnandefrågan utretts framgår att avsaknaden av en handbok för utlämnanden nämnts som ett problem. Det har vidare uppgetts som problematiskt att information om utlämnande av allmän handling varit utspridd på olika håll inom myndigheten och att verksamheterna har haft sina egna styrande och stödjande dokument. Enligt uppgift har det också efterfrågats utbildning och fortbildning inom området. 770 Som beskrivits i avsnitt 12.2.6 inleddes projektet UTAH redan 2022. I det ingick att arbeta fram en handbok om utlämnande av allmän handling. Handboken färdigställdes och trädde i kraft först den 1 april 2025. All väsentlig information om utlämnande av allmän handling finns nu samlad på ett ställe på myndighetens intranät. Vidare har det tagits fram ett utbildningspaket med en struktur bland annat när det gäller vilka medarbetare som ska gå vilka delar. Problemet med att en handbok eller motsvarande saknats, att information inte hållits samlad och att utbildning saknats har härmed numera åtgärdats. Det har också genomförts utbildningar för handläggare av nya ärenden samt arkivering för att undvika framtida låsningar av akter. Handläggarna på Lantmäteriet har härtill fått digitalt stöd i form av åtkomst till information om tidigare utlämnanden i form av återanvändning av tidigare granskade akter. Enligt vår mening bör dock en sådan återanvändning tillämpas med, eftersom förhållandena på en fastighet kan ha ändrats. Engagemanget och ambitionen att göra rätt i fråga om sekretesshanteringen är något som numera är märkbart inom Lantmäteriet. Samtidigt bör poängteras att effekterna av ökad medvetenhet och

770 Se avsnittet om internrevisionsrapporten Utlämnande av allmän handling 2021 i kapitel 12 samt anmälan om säkerhetshotande händelse i mars 2024 i kapitel 13.

335

338

Överväganden

kunskap om utlämnande av allmänna handlingar och att implementering i verksamheten skett behöver följas upp framåt. Åtgärderna med manuellt utlämnande av akter framstår enligt vår mening som relevanta. Frågan är om de är tillräckliga. Från medarbetare inom Lantmäteriet har vi fått uppfattningen att det efter den uppmärksamhet som riktats mot myndighetens hantering av informationssäkerheten råder en ängslighet för att göra fel vid exempelvis utlämnande av allmänna handlingar. I fråga om Lantmäteriets kompetens, med de senaste utbildningsinsatserna på plats, är det svårt att ännu dra några slutsatser om myndigheten har en tillräckligt god förmåga att även på sikt hantera dessa frågor. Allt tyder dock på att myndigheten är på rätt väg. Nämnas bör att rekrytering av en rättschef pågår. Det har saknats en roll på rätt nivå för att döma av tvistiga juridiska frågor, exempelvis den om förekomsten av känsliga handlingar i arkivakter. En sådan rekrytering får ses som ytterligare ett steg för att säkerställa juridisk kompetens och mandat att avgöra den typen av frågor. Genom utbildningar har kunskap i nu nämnda hänseenden förmedlats till många medarbetare. Men vilken kompetenshöjning som utbildningen lett till har ännu inte undersökts. Effekterna av utbildningsinsatserna behöver kvalitetssäkras. Endast därigenom kan man försäkra sig om att utlämnandefrågan processas i den ordning som följer av tryckfrihetsförordningen, lagen om offentlighet och sekretess samt de interna rutiner som tagits fram, exempelvis den handbok som utarbetats. Det gäller för Lantmäteriet att så långt som möjligt pröva och bedöma om man ”ligger rätt” i sekretess prövningarna. I ljuset av den uppmärksamhet som bristerna i informationssäkerhet inneburit är det naturligt att det finns en risk att sekretessprövningen får slagsida så att mer bedöms omfattas av sekretess än vad som är motiverat av syftet med sekretessbestämmelserna. Lantmäteriet har enligt uppgift emellertid inte haft några överklaganden av nekade utlämnanden efter den särskilda händelsen. Myndigheten har endast vid två tillfällen fått en begäran om skriftligt beslut som båda, efter förnyad bedömning, lett till utlämnanden av begärda uppgifter. 771 Att hitta rätt balans vid hanteringen av utlämnanden är dock ett fortgående arbete. Och kvaliteten i det arbetet behöver löpande prövas.

771 Information från Lantmäteriet, december 2025.

336

339

Överväganden

Det är prioriterat och avgörande att Lantmäteriet säkerställer att utlämnandefunktionen nu fungerar enligt gällande regelverk samt att utbildning och resurser till den verksamheten förblir prioriterade områden, det vill säga som det kommit att bli efter den särskilda händelsen.

17.12 Lantmäteriets behandling av personuppgifter

Utredningens bedömning: Såväl känsliga som skyddade personuppgifter kan förekomma i fastighetsbildningsakterna. Vi ifrågasätter om det har varit nödvändigt för Lantmäteriet att tillhandahålla personuppgifter i den omfattning som har gjorts genom att samtliga arkivakter funnits öppet tillgängliga trots känsligt innehåll. I likhet med den bedömning vi gjort beträffande säkerhetsskyddsklassificerade uppgifter i Arken borde Lantmäteriet långt tidigare och skyndsamt ha vidtagit åtgärder för att komma till rätta med problemen. Lantmäteriet har rättslig grund för att behandla personuppgifter i form av arkivering i och tillhandahållande från Arken. Arkenförordningen är tillämplig på Lantmäteriets tillhandahållande av personuppgifter och det är därför inte möjligt att välja bort den för att i stället tillämpa dataskyddslagen. Enligt förordningen är inte behandling av känsliga personuppgifter tillåten, vilket Lantmäteriet har att förhålla sig till. Det finns anledning att se över förordningen. Det kan ifrågasättas om Lantmäteriet har säkerställt att samtliga principer för dataskydd följts, eftersom man avstått från att tillämpa gällande förordning, när det gäller att tillhandahålla personuppgifter till andra aktörer. Det gäller vid såväl direktåtkomst som manuellt utlämnande av akter. Frågan om vad som ska ingå i en akt vid arkivering behöver Lantmäteriet analysera närmare. Vägledning och utbildning om aktbildning behövs också. Dessutom behövs en löpande kvalitetssäkring av att personuppgifter inte arkiveras utöver det som är nödvändigt i verksamheten och som följer av arkivregleringen. Lantmäteriet behöver säkerställa att myndighetens inriktning mot öppna digitala tjänster i förhållande till andra myndigheter har stöd i dataskyddslagstiftningen. I det ingår att genomföra

337

340

Överväganden

lämpliga tekniska och organisatoriska åtgärder så att endast personuppgifter som är nödvändiga för varje specifikt ändamål behandlas. Lantmäteriet behöver utveckla sina rutiner för uppföljning och kvalitetssäkring av myndighetens utbildningar och medarbetarnas utbildningsnivå inom området för dataskydd. Arbetet med att göra konsekvensbedömningar enligt dataskyddslagstiftningen måste vara en av flera prioriterade åtgärder. Lantmäteriet behöver i samråd med de kommunala lantmäterimyndigheterna förtydliga personuppgiftsansvaret för dessa myndigheters arkivakter i Arken.

Skälen för utredningens bedömning

Några av dataskyddsförordningens grundläggande principer

Myndigheters laglighet i att behandla personuppgifter är typiskt sett relaterad till att behandlingen ska vara nödvändig för att fullgöra en rättslig förpliktelse eller att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. 772 Vidare får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa 773 ändamål (det sistnämnda brukar benämnas finalitetsprincipen). Ändamålsbegränsningen innebär att en myndighet måste ha klart för sig redan vid insamlandet av personuppgifter varför de behövs, vilket i förlängningen också får betydelse för om de får behandlas på andra sätt (utlämnande av allmänna handlingar är dock tillåtet). En annan viktig princip är uppgiftsminimering. Den innebär att personuppgifterna inte får vara för omfattande i förhållande till de ändamål för vilka de behandlas. Slutligen gäller även principerna om integritet och konfidentialitet. Dessa inbegriper skydd mot obehörig eller 774 otillåten behandling. Bland annat ändamålet med behandlingen ska anges i artikel 30-registret. Enligt information från Integritetsskyddsmyndigheten måste ändamålen vara specifika och konkreta, inte otydliga. Det är

772 Artikel 6.1 c respektive e i dataskyddsförordningen. 773 Artikel 5.1 i dataskyddsförordningen. 774 Artikel 5.1 i dataskyddsförordningen.

338

341

Överväganden

till exempel inte tillräckligt att ange "kontroller" som ändamål för loggning och övervakning, också syftet med kontrollen ska anges. 775

Vilken är den rättsliga grunden för behandlingen av personuppgifter i Arken?

Behandlingen av personuppgifter i Arken avser två situationer. Den ena är själva förekomsten av personuppgifter i arkivet. Den andra avser Lantmäteriets tillhandahållande av information från arkivet. Båda situationerna måste enligt dataskyddsförordningen ha rättslig grund. Myndigheters behandling av personuppgifter styrs av den reglering som gäller för myndigheten och dess uppdrag. Det finns alltså en nära koppling mellan denna rättsliga grund och de personuppgifter som en myndighet får behandla. Annorlunda uttryckt får en myndighet enligt dataskyddsförordningen inte behandla fler eller andra personuppgifter än vad som behövs för att myndigheten ska kunna utföra sin författningsreglerade verksamhet. 776 Vad gäller den första situationen finns det enligt vår bedömning rättslig grund för förekomsten av personuppgifter i Arken. Det följer såväl av den reglering som gäller för fastighetsbildning som av bestämmelser om diarieföring och arkivering av allmänna handlingar. Även skyddade, känsliga och extra skyddsvärda personuppgifter kan behöva tas in i ett fastighetsbildningsärende. Utifrån kravet på att bevara allmänna handlingar och de begränsningar som kan finnas i fråga om gallring kan det vara ofrånkomligt att personuppgifter, även känsliga sådana, finns och behöver finnas i arkivakter. Akterna och utlämnanden ur dessa behöver därför vara anpassade till att där förekommer olika slags personuppgifter. Anledningen till den omfattande förekomsten av personuppgifter i arkivakterna kan möjligen i viss mån bero på överskottsinformation som skulle kunna ha gallrats före arkivering, exempelvis behörighetshandlingar. Att så skulle kunna vara fallet har nämnts vid våra intervjuer. Frågan om aktbildningen inför arkivläggning är en fråga som man inom Lantmäteriet kan behöva analysera närmare. I det bör ingå utbildning och vägledning inom myndigheten avseende

775 Se https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/grundlaggandeprinciper/, hämtat den 2 december 2025. 776 Jämför SOU 2024:63, s. 47 – 48.

339

342

Överväganden

aktbildning och en löpande kvalitetssäkring av att inte uppgifter arkiveras utöver det som är nödvändigt i verksamheten och som följer av arkivregleringen. På samma sätt som vi har noterat i andra delar av verksamheten förutsätter detta välgrundade rättsliga utgångspunkter samt en välfungerande intern styrning och kontroll. Den andra situationen vi tagit upp ovan avser tillhandahållandet av personuppgifter från Arken, som bland annat skett externt genom att de digitala tjänsterna legat öppna. I Arkenförordningen beskrivs vad som gäller för Lantmäteriets behandling av personuppgifter i Lantmäteriets databas för tillhandahållande av uppgifter i arkiverade handlingar. I 4 § i förordningen anges uttryckligen att personuppgifter får behandlas i databasen när det är nödvändigt för att tillhandahålla information som behövs för vissa närmare angivna situationer. Det är alltså tydligt för oss att förordningen ger en rättslig grund för tillhandahållandet, vilket naturligtvis också varit regeringens avsikt. 777 Det kan härvid noteras att det är tillåtet att tillhandahålla personnummer enligt Arkenförordningen för de ändamål som där anges, varför vi inte har fördjupat oss närmare i den 778 behandlingen. Det är däremot, enligt förordningen, inte tillåtet att behandla känsliga personuppgifter, vilket vi återkommer till. Under vårt arbete har det kommit fram att det finns en uppfattning inom Lantmäteriet om att förordningen inte är tillämplig på Arken, eftersom arkivet inte är en databas för tillhandahållande. 779 Arken är i stället att se som ett arkiv. Den bedömningen bygger på att Arken som system, med det därtill kopplade tillhandahållandet, inte har kommit att byggas på ett sådant sätt som möjligen var avsikten från början och som förutsattes vid förordningens tillkomst. 780 Som vi förstår det innebär resonemanget att själva arkivet och tillhandahållandet ur arkivet borde varit separerade från var-

777 Arkenförordningen ställer dock inte upp något sådant krav på tillhandahållande som bör medföra en rättlig förpliktelse för Lantmäteriet, jämför vad som anges om Arken i Lantmäteriets artikel 30-register som beskrivits i avsnitt 15.7.2. Den rättsliga grunden är därför snarare att se som en uppgift av allmänt intresse som har stöd i Arkenförordningen. 778 Se 6 § Arkenförordningen. 779 Enligt 1 § förordningen gäller förordningen Lantmäteriets databas för tillhandahållande av uppgifter i arkiverade handlingar (databasen). 780 Jämför beskrivningen i avsnitt 11.5 om Arkenförordningens tillkomst där det bland annat beskrivs att såväl förslaget till förordning från 2003 som Justitiedepartementets promemoria från 2010 innehöll förslag med innebörden att personuppgifter i databasen skulle få behandlas automatiserat för två huvudändamål; dels för att bevara arkivhandlingar, dels för att tillhandahålla arkivhandlingar. Den gällande förordningens tillämpningsområde kom emellertid att begränsas till enbart tillhandahållandet av uppgifter, se 1 och 4 §§ i förordningen.

340

343

Överväganden

andra. Förordningen hade då varit tillämplig enbart på den del som avser tillhandahållandet. Som vi redan varit inne på står det klart, oavsett detta resonemang, att regeringens avsikt med Arkenförordningen har varit att reglera Lantmäteriets tillhandahållande av personuppgifter i arkiverade handlingar från Arken. Enligt vår mening är därför Arkenförordningen tillämplig på tillhandahållande av uppgifter i arkiverade handlingar från Arken. Det kan dock finnas anledning att förtydliga förordningen utifrån de synpunkter som Lantmäteriet har på utformningen av den. Lantmäteriet har också nyligen i ett remissvar pekat på behovet av en större översyn av förordningen. 781

Är det omfattande tillhandahållandet av personuppgifter nödvändigt?

I internrevisionens granskningsrapport från 2023 om efterlevnad av dataskyddsförordningen rekommenderas myndigheten bland annat att upprätta en rutin för att säkerställa att personuppgifter används endast för de ändamål för vilka de samlats in. Det ska också upprättas en rutin för att säkerställa att gallringsrutiner och tidsfrister utefter informationshanteringsplanen efterlevs i praktiken så att personuppgifter inte bevaras längre än vad som bedöms ändamålsenligt. 782 Som tidigare beskrivits har det också kommit fram uppgifter från myndighetens anställda om att man inom myndigheten inte har skött gallring av uppgifter i den utsträckning som skulle vara möjligt och att man därmed alltså inte har uppgiftsminimerat. Sett till det krav på nödvändighet som finns inbyggt i bedömningen av lagligheten, 783 samt de andra nyss beskrivna principerna, finns skäl att ifrågasätta om det har varit nödvändigt för Lantmäteriet att dela med sig av personuppgifter i den omfattning som har gjorts. Det gäller oavsett om det varit fråga om känsliga personuppgifter eller inte. Myndigheten har hållit samtliga arkivakter öppna för de som har haft tillgång till tjänsterna, utan någon be-

781 Yttrande över slutbetänkande Ökat informationsutbyte mellan myndigheter – några anslutande frågor (SOU 2025:45) den 15 december 2025, LM2025/153520. I nämnda betänkande föreslås en ny bestämmelse i Arkenförordningen som anger att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Det kan här noteras att Lantmäteriet inte i remissvaret uppger att Arkenförordningen inte är tillämplig. 782 Internrevisionsrapporten Granskning efterlevnad av dataskyddsförordningen (GDPR), den 15 juni 2023, LM2023/030425. Denna rapport finns beskriven i kapitel 15. 783 Jämför artikel 6.1 c respektive e i dataskyddsförordningen.

341

344

Överväganden

gränsning till vilka akter som egentligen har efterfrågats eller behövts. Som tidigare nämnts har Lantmäteriet i sitt artikel 30-register i fråga om tillhandahållandet i AktDirekt som ändamål uppgett att det handlar om att tillgängliggöra akter. Skälen för detta eller omfattningen av tillhandahållandet preciseras dock inte. Vid kontroll hos några kommunala lantmäterimyndigheter har det visat sig att inte heller de i sina artikel 30-register har preciserat utbytet av personuppgifter. Sammanfattningsvis behöver Lantmäteriet säkerställa att det omfattande tillhandahållandet av personuppgifter i Arken har stöd i dataskyddslagstiftningen. I detta ingår att genomföra lämpliga tekniska och organisatoriska åtgärder så att endast personuppgifter 784 som är nödvändiga för varje specifikt ändamål behandlas.

Förekomsten av skyddade och känsliga personuppgifter i Arken

Problematiken i denna del är i grunden densamma som när det gäller frågan om säkerhetsskyddsklassificerade uppgifter funnits öppet tillgängliga i Arken. Arkivakterna kan innehålla såväl känsliga som skyddade personuppgifter. Skyddsvärdet av personuppgifterna kan, på samma sätt som gäller säkerhetskänsliga uppgifter, förändras över tid. Det är allvarligt att sådana uppgifter har kunnat spridas genom Lantmäteriets tillhandahållande. Vi konstaterar också att frågan om det kan finnas känsliga personuppgifter i Arken inte är ny för Lantmäteriet. Som exempel kan nämnas att en diskussion om detta fördes redan i en promemoria från 2003. I denna ansåg myndigheten att lantmäterihandlingar inte torde innehålla känsliga personuppgifter och att personnummer endast fanns i begränsad 785 omfattning. Först 2010 konstaterades att det inte kunde uteslutas att vissa handlingar från enskilda personer innehöll känsliga personuppgifter. 786 Trots det fortsatte tillhandahållandet av arkivakter genom digitala tjänster.

784 Se artikel 25 i dataskyddsförordningen och internrevisionsrapporten om efterlevnad av dataskyddsförordningen. 785 Promemorian Författningsreglering rörande tillhandahållande m.m. av fastighetsinformation ur digitala arkiv, Lantmäteriet och Domstolsverket den 7 oktober 2003, 500-2003/472, se mer om den i kapitel 11. 786 Jämför promemorian Personuppgifter i Lantmäteriets databas för arkiverade handlingar, Justitiedepartementet den 31 maj 2010, s. 6 – 7.

342

345

Överväganden

Det står numera klart för Lantmäteriet att det, som vi redan konstaterat, är relativt vanligt förekommande med behandling av känsliga personuppgifter och personnummer i Arken, samt att det i viss utsträckning där även finns skyddade personuppgifter enligt offentlighets- och sekretesslagen. Det är, som Lantmäteriet har konstaterat, svårt att tillämpa Arkenförordningen på myndighetens tillhandahållande. Förordningen tillåter inte behandling av känsliga personuppgifter. Sådana personuppgifter finns emellertid i databasen. De har tidigare tillhandahållits från databasen och enligt uppgift är Lantmäteriets avsikt att fortsätta att på samma sätt tillhandahålla akter oavsett innehåll. Vår bedömning är att det inte är möjligt att bortse från den gällande förordningen och i stället tillämpa dataskyddslagen. Bedömningen får betydelse för Lantmäteriets fortsatta arbete mot att öppna de digitala tjänsterna. De kommunala lantmäterimyndigheterna behöver vara delaktiga i arbetet med hur ett eventuellt framtida gemensamt arkiv och en tillhandahållandetjänst kan utformas utifrån vilka personuppgifter som får finnas i de akter som ska tillhandahållas. I den här frågan är det viktigt med samsyn myndigheterna emellan. För känsliga personuppgifter behöver det ställas mycket höga krav på skyddet för den personliga integriteten. Risken för de enskilda ökar och därmed har den utlämnande myndigheten ett än större ansvar för att säkerställa att åtkomsten begränsas. De krav som ställs i dataskyddsförordningen måste alltid vara uppfyllda vid behandling av känsliga personuppgifter. 787 En åtkomst till samtliga akter för samtliga myndigheter av ett visst slag får i det här sammanhanget betraktas som allt för omfattande. Det kan exempelvis behövas en begränsning av vilka som får behörighet till vilka personuppgifter. Det blir problematiskt när det inte är möjligt ens för Lantmäteriet att söka fram personuppgifterna i akterna. En teknisk utveckling framstår som nödvändig, varvid det kan övervägas att ta AI-verktyg till hjälp för att söka information.

787 Se artikel 9, jämför även 3 kap. 3 § dataskyddslagen.

343

346

Överväganden

Personuppgiftsansvaret för innehållet i Arken

Lantmäteriets inställning till personuppgiftsansvaret för innehållet i arkivakter i Arken är splittrad. Att Lantmäteriet har personuppgiftsansvar för myndighetens akter är inte ifrågasatt. Det i sig utgör skäl för myndigheten att ha en god uppfattning om förekomsten av personuppgifter i akterna och den rättsliga grunden för att dela dessa. Däremot uppges det från Lantmäteriet vara oklart om myndigheten 788 har personuppgiftsansvar även för andra akter i Arken än de egna. Av Arkenförordningen framgår att Lantmäteriet är personuppgiftsansvarig för den behandling av personuppgifter som sker i databasen. Lantmäteriet har emellertid uppgett att det saknas författningsstöd för myndigheten att ta över personuppgiftsansvaret för personuppgifter i kommunala lantmäterimyndigheters arkivhandlingar. Den slutsatsen drogs i samband med att myndigheten kom fram till att Arkenförordningen inte skulle vara tillämplig på Arken. 789 Samtidigt har myndigheten en mängd så kallade Arkenavtal med kommunala lantmäterimyndigheter, som man i övrigt agerat efter. I avtalen anges att Lantmäteriet är personuppgiftsansvarig för personuppgifterna i databasen Arken. I avtalen hänvisas i övrigt till Arkenförordningen och avsikten kan således ha varit att personuppgiftsansvaret ska ta sikte på det som avses med förordningen, det vill säga tillhandahållandet. Att Lantmäteriet är personuppgiftsansvarig för tillhandahållandet från Arken har beskrivits i myndighetens artikel 30-register (avseende AktDirekt). Även i den delen har Lantmäteriet uppgett att ansvaret bara avser de egna akterna. Vi har uppfattat att Lantmäteriet ser ett behov av ett klargörande av hur långt personuppgiftsanvaret sträcker sig och hur de kommunala lantmäterimyndigheterna ser på saken. 790 Den här frågan behöver processas av Lantmäteriet i samråd med de kommunala lantmäterimyndigheterna. Det gäller inte minst eftersom myndigheten i avtalen med de kommunala lantmäterimyndigheterna, som uppges avse både arkivering och tillhandahållande av

788 Vi har emellertid inte fått en motsvarande bild av de kommunala lantmäterimyndigheterna – att det skulle råda oklarheter gällande det faktum att Lantmäteriet har personuppgiftsansvar för akterna. 789 Promemorian Nationellt Digitalt lantmäteriarkiv, den 16 september 2024, LM2024/052370, s. 23 – 29, se mer om den i kapitel 11 samt se mer om personuppgiftsanvaret i förhållande till kommunala lantmäterimyndigheter i kapitel 18. 790 Information från Lantmäteriet, november 2025.

344

347

Överväganden

förrättningsakter, har uppgett sig vara personuppgiftsansvarig för Arken. Om det är fråga om en personuppgiftsbiträdessituation behöver det klargöras och personuppgiftsbiträdesavtal upprättas.

Lantmäteriet behöver få grepp om vilka personuppgifter som förekommer inom myndigheten

Som tidigare redovisats är informationsklassning i enlighet med gällande föreskrifter ett viktigt verktyg för att säkerställa att informationssäkerhetsarbetet är systematiskt och riskbaserat. Som nämnts pågår arbetet med informationsklassning hos Lantmäteriet. Efter att informationen klassats ska man identifiera, analysera och värdera riskerna med den i en riskbedömning. 791 Detta gäller även, eller kanske särskilt, inom området personuppgiftsbehandling och dataskydd. En hög risk för de registrerade medför att det ytterligare steget att göra en konsekvensbedömning enligt dataskyddsförordningen behöver tas. Att samtliga informationsklassningar ännu inte genomförts får ses som en brist även ur perspektivet personuppgiftsbehandlingar.

Lantmäteriets konsekvensbedömningar enligt dataskyddsförordningen

En konsekvensbedömning gällande dataskydd ska göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av behandlingens art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (se artikel 35 dataskyddsförordningen). En konsekvensbedömning är enligt Integritetsskyddsmyndigheten en pågående och dokumenterad process som hjälper personuppgiftsansvariga att följa dataskyddsförordningen. Processen ger ett stöd i att bedöma risker med en planerad behandling och att avgöra om riskerna är proportionerliga i förhållande till syftet med behandlingen. 792 Personuppgiftsbehandlingar med en sådan hög risk som avses i artikel 35 dataskyddsförordningen kan identifieras redan i

791 Se mer om Lantmäteriets informationsklassning i avsnitt 9.4. 792 Se Integritetsskyddsmyndighetens webbplats, https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligtgdpr/konsekvensbedomning/, hämtat den 7 november 2025. Se även artikel 37.7 i dataskyddsförordningen.

345

348

Överväganden

samband med informationsklassningens riskbedömning när det gäller integritet. 793 Syftet med att därefter göra en konsekvensbedömning är att skydda de registrerades fri- och rättigheter. Enligt uppgifter från Lantmäteriet är det ett problem att konsekvensutredningar inom myndigheten görs sent och ofta när system redan är i drift. Risker har också vid flera tillfällen undervärderats. I en lägesrapport i juni 2025 uppgav dataskyddssamordnarna att det fortfarande finns utmaningar i arbetet. Exempelvis görs olika integritetsriskbedömningar. Arbetet med konsekvensbedömningar uppges vara tidskrävande med många inblandade, vilket kräver tid, resurser och engagemang från verksamheten. 794 Mot bakgrund av det underlag som vi har tagit del av är bedömningen att arbetet med att göra konsekvensbedömningar enligt dataskyddslagstiftningen måste fortgå. Lantmäteriet behöver planera för att kunna hantera det som en av flera prioriterade åtgärder. I det här sammanhanget kan också nämnas det krav som finns i artikel 36 dataskyddsförordningen på förhandssamråd med Integritetsskyddsmyndigheten. Ett sådant ska ske om en konsekvensbedömning enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken. På det sättet kan Integritetsskyddsmyndigheten involveras i processen och bidra med synpunkter inför ett eventuellt återöppnande av direktåtkomst genom digitala tjänster.

Utbildningsnivån inom dataskydd har ökat

Lantmäteriets utbildningar inom området har beskrivits i avsnitt 15.3.5. Enligt en lägesrapport i juni 2025 har 77 procent av medarbetarna godkänts när det gäller den obligatoriska GDPR-utbildningen om 15 minuter. Endast 20 procent var godkända 2022. Dataskyddssamordnarna anser emellertid att samtliga medarbetare ska vara godkända. Ytterst uppges det vara cheferna för verksamhetsområdena

793 Enligt Lantmäteriets Riktlinje för hantering av personuppgifter från den 16 december 2025, LM2025/121999, behöver den aktuella behandlingens risker analyseras för att kunna avgöra om en konsekvensbedömning ska utföras. Riskbedömningen inför en konsekvensbedömning kallas på Lantmäteriet för integritetsriskbedömning och den görs normalt i samband med informationsklassningar. Om bedömningen blir att behandlingen sannolikt inte leder till "en hög risk" ska en motivering av varför konsekvensbedömning inte utförs dokumenteras i informationsklassningen. 794 Bildspelet Rapportering dataskyddsarbete LMLG, den 10 juni 2025 med stödanteckningar.

346

349

Överväganden

som ansvarar för att medarbetarna utbildas, vilket kan följas upp genom Lärplattformen. 795 Konstateras kan att Lantmäteriet under senare år synes ha uppnått en betydligt högre utbildningsnivå i fråga om dataskydd. Detta goda arbete behöver fortsätta. Ett naturligt och önskvärt mål är att alla medarbetare ska ha gått en obligatorisk utbildning. Ansvaret för att det blir så ligger på respektive chef. Varje chef ansvarar också för att medarbetarna på individnivå inte bara har genomfört utbildningen. Medarbetarna ska också ha tagit till sig den kompetens som utbildningen syftar till. Det kräver uppföljning. Och det är bara efter kvalitetssäkring av rätt kompetens som ett eget ansvar inom exempelvis området för dataskydd kan delegeras till en medarbetare. Rutiner för uppföljning och kvalitetssäkring är något som Lantmäteriet behöver utveckla.

Övrigt om Lantmäteriets arbete med dataskydd

Som framgått av avsnitt 15.3.1 fanns det före 2022 inte någon övergripande styrning av dataskyddsprocessen, inga dedikerade verksamhetsresurser i informationssäkerhetsarbetet och inget myndighetsövergripande och systematiskt samarbete inom dataskydds- och informationssäkerhetsområdet. Det är positivt att dessa delar numera finns på plats. Lantmäteriets dataskyddsombud arbetar i enlighet med det som anges i dataskyddsförordningen med information, rådgivning och 796 granskning samt kontakter med Integritetsskyddsmyndigheten. I delegationsordningen finns en samrådsplikt med dataskyddsombudet. Denne uppdaterar också myndighetens medarbetare om dataskyddsfrågor genom en egen blogg. Dataskyddsombudet svarar för specifik kunskap inom området men har under de tidiga åren sedan dataskyddsförordningens tillkomst varit för ensam om detta arbete i en så stor organisation som Lantmäteriet. Dataskyddsombudet har härtill per definition en fristående roll som inte får påverkas. 797 Av dessa anledningar, och utifrån den typ av interna granskningar som ett dataskyddsombud gör, kan konstateras att medarbetarna inte vänt sig till dataskyddsombu-

795 Bildspelet Rapportering dataskyddsarbete LMLG, den 10 juni 2025. 796 Se artikel 39 i dataskyddsförordningen. 797 Se artikel 38 i dataskyddsförordningen.

347

350

Överväganden

det i tillräcklig utsträckning. Det framstår därför som ett väl genomtänkt och nödvändigt tillskott att verksamheten har utökats med dataskyddssamordnare och koordinatorer. Myndigheten har gjort ett gediget arbete med en utökad dataskyddsorganisation sedan 2022 som synes fungera väl i förhållande till de resurser som tillförts. Dataskyddssamordnarna har utfört ett grundligt och till synes systematiskt arbete under åren. Arbetet har varit stödjande och lösningsorienterat. Engagemanget för dataskyddsfrågor verkar vara på uppåtgående, vilket myndigheten förmodligen kan tacka samordnarna och koordinatorerna ute på verksamhetsområdena för. Konstateras kan samtidigt att det fortfarande, under 2025, vilket kommit fram genom olika underlag och samtal, verkar finnas ett visst stuprörstänk mellan såväl verksamhetsområden som enheter även i fråga om hur man ska arbeta med dataskydd. Det finns enligt uppgift fortfarande många som har svårt att lyfta blicken och se mer än sin egen verksamhet. Som vi ser det återstår det en hel del arbete inom området för dataskydd. Den organisation som myndigheten nu har på plats kan möjligtvis vara tillräcklig för framtida dataskyddsarbete. Men givet de frågor som ännu finns att utreda, exempelvis i fråga om tillhandahållande av personuppgifter, kan det behövas ytterligare punktinsatser utöver det löpande och dagliga arbetet. Det har också kommit fram att dataskyddssamordnarna uppmärksammar eller får till sig en mängd andra frågor utöver dataskydd. Att en verksamhet på det sättet kommer i kontakt med andra frågor utanför sitt expertområde torde inte vara ovanligt. Lantmäteriet bör verka för att ge dataskyddssamordnarna och andra medarbetare enkla vägar för att adressera dessa frågor så att de tas om hand på ett adekvat sätt och vid behov slussas vidare.

Konsekvensbedömning vid direktåtkomst till arkivakter

Vid en eventuell kommande direktåtkomst (det vill säga ett återöppnande av digitala tjänster) av arkivakter i Arken för kommunala lantmäterimyndigheter, mark- och miljödomstolar samt andra myndigheter som har behov av det i förvaltning och rättskipning kommer det, som tidigare, att vara fråga om personuppgiftsbehandling.

348

351

Överväganden

Som beskrivits i det föregående är den rättsliga grunden för tillhandahållandet ifrågasatt av Lantmäteriet. Det är också en fråga i sig om det finns rättsligt stöd enligt lagen om offentlighet och sekretess för att lämna ut också sekretesskyddade personuppgifter till andra myndigheter och vad som gäller i fråga om risken att överföra säkerhetsskyddsklassificerad information. Även med beaktande av de frågorna är det enligt vår bedömning nödvändigt med en förnyad konsekvensbedömning av den typen av behandling, det vill säga att dela personuppgifter, eventuellt även skyddade sådana, mellan myndigheter. Vi har i samband med vår granskning tagit del av ett utkast till konsekvensbedömning av ett kommande öppnande av Arken i förhållande till nyss nämnda aktörer, för ändamål som närmare preciseras i bedömningen. 798 Personuppgifter uppges i utkastet förekomma i stor omfattning och även känsliga sådana. Personuppgiftsansvarig för tillhandahållandet uppges vara Lantmäteriet enbart, något gemensamt personuppgiftsansvar anges inte finnas. Den tillämpliga rättsliga grunden för personuppgiftsbehandlingen – det vill säga att tillhandahålla uppgifter till andra myndigheter för vissa ändamål – anges i utkastet vara 3, 4 och 5 §§ i Lantmäteriets instruktion (dessa bestämmelser har redogjorts för tidigare och de handlar i huvudsak om Lantmäteriets ansvar för tillhandahållande av fastighetsinformation) och regleringsbreven för myndigheten. I fråga om nödvändigheten av behandlingen har beaktats de alternativ som finns till direktåtkomst. Det konstateras att en fråga/svarstjänst vore ett bra alternativ ur de registrerades perspektiv, eftersom respektive myndighet då inte skulle få tillgång till någon överskottsinformation. 799 Det skulle emellertid inte vara möjligt att skilja ut efterfrågad information,

798 Utkast till konsekvensbedömning avseende dataskydd, Personuppgifter i arkivhandlingar i Arken (odaterat, men med uppdateringar från januari 2025), pågående ärende LM2024/042838. 799 En fråga/svarstjänst är ett automatiserat system hos den utlämnande myndigheten som den myndigheten själv förfogar över och till vilket en myndighet kan skicka en begäran elektroniskt. Det ska på förhand vara bestämt vilka typer av frågor som ska kunna ställas till tjänsten och vilka uppgifter som kan komma att lämnas ut till följd av en sådan begäran. Uppgifterna ska dessutom ha avgränsats så att det går att genomföra en automatiserad prövning. Se Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form, eSam (eSamverkansprogrammet) den 7 juli 2025.

349

352

Överväganden

eftersom den är ostrukturerad och det saknas teknisk möjlighet att använda sig av personliga behörigheter. Manuell hantering bedöms möjlig och som ett bra alternativ för de registrerade men på sikt mycket ineffektiv och kostsam utifrån de stora volymerna och den fördröjning som skulle uppstå. En geografisk behörighetsstyrning, exempelvis per kommunal lantmäterimyndighet, anges också som ett bra alternativ för de registrerade. En sådan lösning skulle dock vara mycket kostsam, eftersom den tekniska möjligheten inte finns i dag. Vid en sammanvägd bedömning bedöms myndigheternas behov av att behandla uppgifterna genom direktåtkomst som stort och behandlingen nödvändig med hänsyn till det viktiga allmänintresset. I en bilaga till konsekvensbedömningen har Lantmäteriet gjort en särskild bedömning av behandlingen av känsliga personuppgifter när det gäller att tillhandahålla arkivakter till andra myndigheter. I bedömningen redogörs för behovet av arkivakterna hos kommuner och domstolar. Slutsatsen dras att ett digitalt tillhandahållande av innehållet i arkivakterna sammantaget bör anses utgöra ett starkt och 800 viktigt allmänt intresse. 801 Avseende kriteriet nödvändighet av Lantmäteriets behandling görs samma bedömning som i konsekvensanalysen, det vill säga att direktåtkomst är det bästa alternativet. Det konstateras vidare att det finns känsliga uppgifter i arkivakterna men att de i de flesta fall svårligen kan anses vara ”mycket integritetskänsliga”. Det anges att uppgifterna finns i all männa handlingar hos Lantmäteriet och att den spridning de kan få är att de kommer att ingå i allmänna handlingar hos ytterligare ett antal mottagande myndigheter. Dataskyddsombudet har i sina syn- 802 punkter på förslaget till konsekvensbedömning av personuppgiftsbehandlingar i Arken lämnat synpunkter och rekommendationer. Bland dessa kan nämnas att dataskyddsombudet anser att Arkenförordningen är tillämplig och att den rättsliga grunden behöver förtydligas. Det gäller även den rättsliga grunden för direktåtkomst. Enligt dataskyddsombudet saknas vidare i nödvändighetsbedömningen fördelar och nackdelar med huvudalternativet direktåtkomst. Som exempel anges att vid en fråga/svartjänst skulle inte hela

800 Bilaga 1 till konsekvensbedömning, Känsliga personuppgifter, den 29 augusti 2024, pågående ärende LM2024/042838. 801 Jämför artikel 9.2 g i dataskyddsförordningen. 802 Avsåg en version som tillhandahölls dataskyddsombudet den 2 september 2024.

350

353

Överväganden

Arken bli tillgänglig för allmänheten, utan bara de handlingar som myndigheten själv valt att hämta ut. Det har enligt dataskyddsombudet rimligtvis en väsentlig inverkan på de registrerades friheter 803 och rättigheter. Konstateras kan att bedömningen i bilagan, det vill säga att ett digitalt tillhandahållande av innehållet i arkivakterna sammantaget bör anses utgöra ett starkt och viktigt allmänt intresse, utgår från dataskyddslagens bestämmelser om behandling av känsliga personuppgifter. Dataskyddslagen är dock tillämplig endast om det inte 804 finns avvikande bestämmelser i särskilda registerförfattningar. Som vi redan kommit fram till är Arkenförordningen tillämplig på tillhandahållandet. Det innebär att man inte kan bortse från den förordningens förbud mot behandling av känsliga personuppgifter. Noteras i sammanhanget kan slutligen uttalandet i utkastet till konsekvensbedömning om att känsliga uppgifter i arkivakterna svårligen kan anses som mycket integritetskänsliga. Någon sådan distinktion finns inte i dataskyddslagstiftningen, det vill säga man värderar inte känsliga personuppgifter på det sättet. Det har Lantmäteriet att förhålla sig till.

17.13 Ledningen – roller och ansvar av betydelse för

säkerhetsskydd och informationssäkerhet

17.13.1 Inledning

Lantmäteriets ledningsstruktur utgår från styrelseformen där styrelsen har det yttersta ansvaret för myndighetens ledning och styrning. I det innefattas ansvaret för myndighetens säkerhetsskydd, inklusive informationssäkerheten. Inom ramen för den interna styrningen och kontrollen lägger styrelsen fast den övergripande inriktningen för verksamheten, i regel i samspel med generaldirektören som verksamhetsansvarig myndighetschef. I sammanhanget bör – för Lantmäteriets del – nämnas även internrevisionen som styrelsens organ. Inom Lantmäteriet har generaldirektören organiserat myndighetens ledning i en ledningsgrupp där bland andra myndighetens verksamhetsområdeschefer ingått.

803 Dataskyddsombudets synpunkter på förslag till konsekvensbedömning, den 3 september 2024 i pågående ärende LM2024/042838. 804 Jämför 1 kap. 6 § dataskyddslagen.

351

354

Överväganden

I en välfungerande organisation och verksamhet är samspel ett nyckelord. Och det bygger på väl genomarbetade strukturer på systemnivå med tydlig fördelning av det organisatoriska ansvaret i verksamheten. Det bygger också på tydlighet när det gäller ansvar och beslutsbefogenheter samt beslutsförmåga. Som redovisats i tidigare avsnitt har det inom Lantmäteriet funnits stora utmaningar i att få till det som innefattas i en organisations interna styrning och kontroll. Problemen, som har varit generella, har fått mycket allvarliga återverkningar på informationssäkerheten. I det följande berörs de olika ledningsorganen eller det man kan kalla chefsleden. Dessutom berörs internrevisionen och därefter chefs- och ledarskapet inom Lantmäteriet.

17.13.2 Styrelsen

Utredningens bedömning: Säkerhetsskydds- och informationssäkerhetsfrågor borde ha tagits upp mer ingående vid styrelsens sammanträden. När det gäller förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken och bristerna i rutinerna i samband med utlämnande av allmänna handlingar borde styrelsen, som haft stöd av internrevisionen, ha agerat tidigare, även om generaldirektören också på ett tydligare sätt borde ha informerat styrelsen. Styrelsearbetet behöver utvecklas för att styrelsen ska kunna ta ansvar för Lantmäteriets styrning och kontroll. I det innefattas att utveckla hur styrelsen följer upp de beslut som fattats. Säkerhetsprövning av samtliga styrelseledamöter borde ha gjorts tidigare, men Lantmäteriet kan inte lastas för att så inte skett.

Skälen för utredningens bedömning

Uppgiftsfördelningen mellan styrelsen och generaldirektören

Som redogjorts för i avsnitt 16.7.2 är det viktigt att uppgiftsfördelningen mellan styrelsen och myndighetschefen regleras tydligt. Det gäller bland annat för att arbetsfördelningen mellan ordföranden och myndighetschefen ska löpa smidigt, och för att undvika dubbelarbe-

352

355

Överväganden

te. Regleringen tas i väsentliga delar in i myndighetens arbetsordning. Utöver i myndighetsförordningen angivna uppgifter som ligger på styrelsen, ska styrelsen enligt Lantmäteriets arbetsordning ansvara för och besluta om bland annat: – förhållanden av större strategisk eller ekonomisk betydelse; vid beslut om större investeringar eller strategiskt viktiga avtal – sådant som generaldirektören hänskjuter till styrelsen för beslut 805

Myndighetschefen i en styrelsemyndighet ansvarar enligt 13 § myndighetsförordningen inför styrelsen och ska sköta den löpande verksamheten enligt de direktiv och riktlinjer som styrelsen beslutar. Myndighetschefen ska hålla styrelsen informerad om verksamheten, förse styrelsen med underlag för beslut och verkställa styrelsens beslut. I Lantmäteriets arbetsordning har myndigheten angett att generaldirektören ska samråda med styrelsen innan beslut fattas om bland annat vissa angivna organisatoriska förändringar och lön för internrevisionen. 806 Internrevisionen har i samband med vårt granskningsarbete upp- 807 gett att ansvarsfördelningen mellan styrelsen och generaldirektören har varit en öppen fråga sedan den granskning av styrande dokument och interna beslut som gjordes 2018 – 2019. Styrelsen har till viss del beslutat om förändringar i arbetsordningen, men har en öppen fråga kopplad till exempelvis beloppsgränser för beslut av styrelsen avseende utvecklingsprojekt, vilket uppmärksammades av internrevisionen i granskningarna Ärendeberedning och beslutsunderlag och Prioritering av utvecklingsportföljen. 808 Någon granskning eller rekommendation hänförlig till frågan om ansvarsfördelningen mellan styrelsen och generaldirektören avseende säkerhetsskydd inklusive informationssäkerhet har inte genomförts av internrevisionen. I sammanhanget finns anledning att beröra samspelet mellan styrelsen och verksamheten. Som redan nämnts har det förekommit att det som styrelsen fattat beslut om ändrats av verksamheten, till exempel när det gäller prioritering och tidplan, utan att styrelsen

805 2.1.2 Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340. 806 2.2.3 arbetsordningen. 807 E-postmeddelande till utredningen den 5 juni 2025 med svar på frågor, punkt A5. 808 Se avsnitt 6.3.

353

356

Överväganden

känt till det. Även om man skulle kunna förutsätta att styrelsens beslut följs kan konstateras att den modell för uppföljning som styrelsen tillämpat har varit otillräcklig. Detta är ett utvecklingsområde och i den delen kan internrevisionen användas på ett mer utvecklat sätt, inte minst med tanke på att det förekommer att styrelsens beslut grundas på underlag som internrevisionen tagit fram.

Styrelsens fokus har inte legat på informationssäkerhet

Av de protokoll från styrelsens sammanträden som vi har tagit del av – från och med 2017 fram till den särskilda händelsen – framgår att frågor om säkerhetsskydd och informationssäkerhet varit på agendan vid styrelsemöten några gånger varje år. Av noteringarna i mötesprotokollen framgår emellertid inte närmare vad som vid varje tillfälle avhandlats. Styrelseledamöterna har vid intervjuer gett uttryck för att frågor om säkerhetsskydd knappast berörts över huvud taget. Exempelvis har en ledamot uppgett att upplevelsen när det gäller arbetet med informationssäkerhet var att detta inte var en aktuell fråga alls under de första åren, utan kom först mer på slutet i samband med förändringar i bland annat världsläget. Fokus i styrelsen uppges i stället i huvudsak ha legat på handläggningstiderna inom fastighetsbildningen, ekonomi samt intern styrning och kontroll. En ledamot har uttryckt det som att extremt mycket i styrelsen har handlat om ekonomi i balans, främst den anslagsfinansierade delen, och struktur i fastighetsbildningens organisation. Även med beaktande av att alla diskussioner av olika skäl inte redovisas i styrelsens protokoll och att det funnits andra viktiga frågor att hantera, får det ses som en stor brist att säkerhetsskyddet och informationssäkerheten i Lantmäteriets verksamhet inte mer ingående behandlats av styrelsen.

Vilka informationssäkerhetsfrågor har tagits upp i styrelsen före den särskilda händelsen?

Vid ett möte i augusti 2017 konstaterade styrelsen, under punkten ”Lantmäteriets IT - system och outsourcing” att myndigheten har ” höga krav på säkerhet och kontinuitet av informationen med en uppbyggd organisation för IT-system och säkerhetsfrågor ” . Styrel-

354

357

Överväganden

sen angav vidare att man kommer att fortsätta att följa säkerhetsfrågorna. 809 Annat som tagits upp i styrelsen före den särskilda händelsen är exempelvis den nya säkerhetsorganisationen kopplat till den då nya säkerhetsskyddslagen, världsläget, uppdraget och ansvaret, 810 säkerhetsprövning av styrelseledamöter som vid tillfället inte var klar, 811 myndighetens svar på internrevisionens rapport om säkerhetsskyddad upphandling, 812 säkerhetsskyddschefens lägesbild av pågående arbete inom säkerhets- och säkerhetsskyddsområdet och pågående arbete med säkerhetsskyddsanalyser och säkerhetsskyddsplan, 813 samt myndighetens arbete med säkerhetsrelaterade frågor. 814

Borde styrelsen agerat tidigare beträffande det som ledde fram till den särskilda händelsen?

Som vi har konstaterat har frågan om förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken varit uppe inom Lantmäteriet i olika sammanhang under en längre tid, i vart fall sedan 2018. Mot den bakgrunden borde skyndsamma åtgärder ha vidtagits tidigare. Frågan är också om styrelsen borde ha agerat tidigare i frågan. Vi återkommer i det följande till generaldirektörens ansvar att informera styrelsen. I protokollet från styrelsemötet den 22 maj 2024, då styrelsen fattade beslut om stängning av all extern tillgång till Arken, med omedelbar verkan, anges att uppgifterna om bristerna i rutinerna kring sekretessprövning i samband med utlämnande av allmänna handlingar och risken för förekomsten av säkerhetsskyddsklassifice- 815 rade uppgifter i Arken var okända för styrelsen. Samma uppgift har förts fram vid våra intervjuer med olika styrelseledamöter. En ledamot är mycket kritisk till att de inte fick information om det som föranledde den särskilda händelsen och menar att det är att ställa

809 Protokoll den 15 augusti 2017, punkt 9. 810 Protokoll den 19 februari 2019, punkt 14. 811 Protokoll den 2 oktober 2019, punkt 10. 812 Protokoll den 15 april 2020, punkt 14. 813 Protokoll den 27 oktober 2020, punkt 20. Här kan noteras att det var fråga om ett möte via Skype, vilket innebär att några närmare detaljer om arbetet troligen inte kan ha lämnats, vår anmärkning. 814 Protokoll den 14 juni 2022, punkt 12, den 8 september 2022, punkt 18, den 14 december 2022, punkt 14 och, den 25 oktober 2023, punkt 11. 815 Styrelsens beslut formulerades senare om vid styrelsemöte den 29 maj 2024 men inte i den nu angivna delen. Protokoll den 29 maj 2024, punkt 5.

355

358

Överväganden

orimligt höga krav att kräva att styrelsen skulle ställa frågor om just det här, som skulle kunna ha lett dem på rätt väg. Samma ledamot har uppgett att de fick information om att Säkerhetspolisens tillsyn pågick men inte vad den handlade om. Det är enligt ledamoten inte något anmärkningsvärt i sig att Säkerhetspolisen utför tillsyn. Diskussionen om att det fanns olika starka åsikter mellan verksamhetsområden har enligt en annan ledamot varit uppe i styrelsen, men då som en kulturfråga som inte specifikt handlade om den information som fanns i IT-systemen. Uppgiften om att det fanns en risk att information låg öppen kom enligt ledamoten till styrelsen först 2 – 3 dagar före stängningen i maj 2024. Enligt en annan ledamot efterfrågade styrelsen information om säkerhetsskyddsanalys, säkerhetsskyddsplan och risk- och sårbarhetsbedömningar men sådant kom att presenteras först i slutet av den dåvarande säkerhetsskyddschefens tjänstgöring. De började fråga om det cirka två år dessförinnan, omkring 2022. Ledamoten kan inte säga att styrelsen var välinformerad om säkerhetsarbetet. Dåvarande säkerhetsskyddschefen har uppgett att säkerhetsskyddsanalysen 2020 inte delgetts styrelsen. I vart fall har han inte haft någon föredragning om den i styrelsen. Vid en annan av våra intervjuer har sagts att en avgörande brist varit passivitet i styrelsen, att de förlitat sig på att myndigheten försett dem med information. Upplevelsen var att styrelsen inte funderade närmare över vad man hade behövt veta och man har inte heller krävt att få veta. En av de intervjuade har ansett att styrelsen borde ha varit mer drivande, om man efterhand funderar på hur det var. En åsikt som förts fram är att säkerhetsskyddsanalyser borde ha föredragits för styrelsen, i vart fall som ett informationsärende. Upplevelsen var att det som presenterades i styrelsen inte hade sådan kvalité att man kunde se de problem som senare visade sig. Den stora bristen anses handla om att beredningsunderlaget borde ha varit betydligt vassare. Vi har noterat att internrevisionen redogjorde för sin granskningsrapport om utlämnande av allmän handling vid ett styrelsemöte den 17 februari 2022. 816 I rapporten identifierade internrevisionen brister som exempelvis avsaknad av en övergripande process, rutiner, utbildning och tillgänglig information om utlämnande av allmän handling på myndighetens intranät. Vidare anges i rapporten att bristerna i Lantmäteriets rutiner om sekretessprövning kan innebära

816 Protokoll nr 1 2022, punkt 20, se även avsnitt 12.2.2

356

359

Överväganden

att säkerhetskänslig information eller skyddade personuppgifter lämnas ut felaktigt. Internrevisionen skriver bland annat i rapporten att fastighetsinformation kan vara känslig eller sekretessbelagd och personuppgifter kan vara skyddade, samt att det kan lämnas ut uppgifter om känsliga fastigheter om medarbetaren inte är uppmärksam. 817 Vid våra intervjuer har kommit fram uppgifter om att styrelsen behövde få del av säkerhetsskyddsanalysen efter uppdateringen 2022, eftersom den kunde ha påverkan på budget med mera. Den trycktes därför upp i flera exemplar som fanns för påseende i Gävle i samband med ett styrelsemöte. Inte någon styrelseledamot har dock kunnat erinra sig detta. Vi har tagit del av den PowerPoint-presentation som den ställföreträdande säkerhetsskyddschefen höll för styrelsen vid mötet i september 2022, vilket vi bedömer som det tillfälle som åsyftas. 818 I en av bilderna med rubriken Säkerhetsskydd nämns kort att en uppdaterad säkerhetsskyddsanalys beslutades den 16 juni 2022. I denna, liksom i säkerhetsskyddsanalysen från 2020, tas upp att det fortfarande finns arkivakter med säkerhetsskyddsklassificerade uppgifter i Arken och att de sekretessbedömningar som gjorts vid handläggning behöver ses över på grund av det försämrade säkerhetsläget. 819 Varken av presentationsunderlaget eller styrelseprotokollet framgår att just denna centrala uppgift från säkerhetsskyddsanalysen nämndes vid styrelsemötet, vilket om så varit fallet framstår som anmärkningsvärt. Även om den inte nämnts har i vart fall säkerhetsskyddsanalysen behandlats på ett styrelsemöte och det har funnits möjlighet för ledamöterna att ställa frågor kring denna. En ledamot uppger sig inte minnas att styrelsen fick se säkerhetsskyddsanalysen från 2020 men att de däremot kring 2023 fick se en sådan analys. Generaldirektören har uppgett att det inte stämmer att styrelsen inte haft en aning om att säkerhetskänslig information funnits i systemen. Enligt generaldirektören har styrelsen flera gånger från omkring 2019 och framåt fått se ett bildspel som innehåller en specifik bild om säkerhetskänslig information. Bilden i fråga ska enligt generaldirektören ha visats både för ledningsgruppen och styrelsen och är en summering av det som sägs i tjänsteanteckningen

817 Internrevisionens revisionsrapport Utlämnande av allmän handling, s. 11. Se avsnitt 12.2.2 818 Protokoll den 8 september 2022, punkt 18. 819 Lantmäteriets säkerhetsskyddsanalys den 16 juni 2022, s. 42.

357

360

Överväganden

från 2018. 820 Trots efterforskningar har vi under vår granskning inte kunnat få klarhet kring vad som sagts om den specifika bild som skulle vara klargörande. En styrelseledamot har nämnt internrevisionens granskning, som handlade om Kundcenter, och att man i styrelsen då inte var medveten om vad som fanns i systemen. Ledamoten har sagt att diskussionen i styrelsen var att det typiskt sett är mänskligt att det kan bli felaktiga prövningar, men att säkerhetsriskerna då inte lyftes. En annan ledamot har sagt att den tidigaste tidpunkt som styrelsen kanske borde ha ställt frågor på ett annat sätt var kring 2023. En ytterligare uppfattning som angetts är att man hade ett hum om att skyddsvärda uppgifter fanns i systemen men inte att de lämnades ut eller låg öppna. I övrigt säger sig de ledamöter som intervjuats inte minnas om exempelvis det som nämns i säkerhetsskyddsanalysen om säkerhetsskyddskänsliga uppgifter i Arken tagits upp på något styrelsemöte. Det som nämns i årsredovisningarna, som styrelsen får del av, om att det finns en risk för att Lantmäteriet inte uppfyller kraven i säkerhetsskyddslagstiftningen menar flera ledamöter inte handlat om att känslig information lämnades ut eller låg åtkomlig. Även den tidigare ställföreträdande säkerhetsskyddschefen har samma uppfattning. Generaldirektören har uppgett att det som avsågs med skrivningarna var att de har information i system som inte ska ligga öppen. Men skrivningarna handlade också om lokaler och tillträde till dem med mera ute i landet. Generaldirektören har i denna del vidare uppgett följande. Det fanns en frustration från henne när hon ibland i styrelsen inte fick gensvar om vilka punkter de borde diskutera och ha med på dagordningen. Hon kände ofta att säkerhetsfrågorna inte fick gehör. Minst två gånger togs punkten säkerhet bort från agendan och bordlades. Hon sade till vid flera tillfällen att de måste lyssna på detta. Senare kom det dock in personer i styrelsen med bättre förståelse för säkerhetsfrågor. Hon insåg att frågan om innehållet i Arken måste upp till styrelsen, eftersom det skulle bli stora konsekvenser för hela Lantmäteriet och alla aktörer i samhällsbyggnadsprocessen utifrån att alla aktörer är beroende av informationen. Hon kommer ihåg att de pratade om att tillgängliggöra säkerhetsskyddsanalysen 2020 för styrelsen men minns inte om det faktiskt gjordes. Däremot minns hon att den uppdaterade säkerhetsskyddsanalysen 2022 gjordes tillgänglig för styrelsen som ville läsa den i samband med

820 Se avsnitt 8.3.3 och 17.8.

358

361

Överväganden

ett möte i Gävle. Men den skickades inte ut och hon kommer inte ihåg vilka som faktiskt läste den. Styrelsen hade inte så stort intresse för säkerhetsfrågorna men området kom mer och mer i fokus när nya styrelseledamöter kom in. I introduktionen för nya styrelsemedlemmar ingick säkerhetsskydd och dåvarande säkerhetsskyddschefen höll en särskild presentation om bland annat vilken information som hanterades hos Lantmäteriet. Styrelsen har vetat om detta, annat vore rent felaktigt att säga. Internrevisionen har ju också lyft detta.

Det finns i och för sig inte anledning att ifrågasätta styrelseledamöternas upplevelser av hur säkerhetsskyddsfrågor behandlats i styrelsen. Det finns inte heller skäl att tvivla på deras minnesbilder av att de inte fått fullständig eller ingående information om bristerna i rutinerna kring sekretessprövning i samband med utlämnande av allmänna handlingar och risken för förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Frågan är dock om de inte ändå över tid fått sådan information som borde föranlett dem att vidta åtgärder. Vi har för vår del svårt att förstå varför i vart fall inte internrevisionens nyss nämnda rapport om utlämnande av allmän handling 821 väckt fler frågor hos styrelsen, exempelvis om vilken typ av information som fanns i systemen. Frågan om utlämnande av allmän handling utan sekretessprövning och frågan om det funnits säkerhetsskyddsklassificerade uppgifter i Arken är för övrigt inte så väsensskilda. Noteras i sammanhanget kan påståendet att man i styrelsen inte visste vilken information som fanns i Lantmäteriets system. Den uppgiften i sig är anmärkningsvärd. Det som sammantaget har kommit fram visar enligt vår mening att det kan ifrågasättas om uppgifterna om brister när det gäller sekretessprövning i samband med utlämnande av allmänna handlingar och förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken varit okända för de styrelseledamöter som deltog på de nämnda mötena 2022. I vart fall har styrelsen varit alltför passiv i frågan. Att ledamöterna mot bakgrund av signalerna om problemen med informationssäkerheten och hanteringen av allmänna handlingar inte ställt följdfrågor och inte heller agerat är en del i att problemen kunnat fortgå under lång tid. Vi har vidare noterat att styrelsens planering i oktober 2023 var att en tidigare chef för den militära underrättelsetjänsten skulle bju-

821 Se avsnitt 12.2.2.

359

362

Överväganden

das in till ett möte för att prata om ”hur styrelsen säkerställer sitt ansvar för säkerhetsfrå gor”. 822 En sådan föreläsning ägde också rum vid ett styrelsemöte i december 2023 med noteringen i protokollet att den handlade om regelverk som påverkar styrelsen med särskilt fokus på cybersäkerhet. 823 Av därefter följande styrelseprotokoll eller vad som i övrigt nämnts om det som avhandlats inom styrelsen före den särskilda händelsen framgår inte att föreläsningen lett till att säkerhetsskydd och därmed sammanhängande frågor fått ökat fokus i styrelsens arbete. Av det underlag som vi har tagit del av kan inte dras annan slutsats än att styrelsearbetet på flera sätt behöver utvecklas för att styrelsen ska kunna ta det yttersta ansvar för Lantmäteriet och myndighetens styrning och kontroll som följer av myndighetsförordningen. Det personliga ansvar som ligger i detta bör göras tydligt och inskärpas, låt vara att det skiljer sig från det ansvar som styrelseledamöter har enligt bolagsrätten. Även samspelet mellan styrelsen och generaldirektören behöver klarläggas. Bland annat behöver det tydliggöras vilken information och vilket beslutsunderlag som styrelsen förväntar sig. Tydlighet och uppföljning av fattade beslut är ytterligare ett förbättringsområde för styrelsen att ta sig an i samverkan med generaldirektören och med stöd av internrevisionen som styrelsens organ.

Säkerhetsprövningen av styrelseledamöter

En styrelseledamot som började sin tjänstgöring 2017 har uppgett att ledamöterna inte var säkerhetsprövade under de första åren som ledamoten deltog och att man därför inte fick information om känsliga frågor. Dåvarande styrelseordföranden har anfört att han blev säkerhetsprövad när han tillträdde uppdraget 2017. Han har bekräftat att det då var få i styrelsen som var säkerhetsprövade men att det sedan skedde successivt. Hela styrelsen var säkerhetsprövad 2020 och numera blir alla ledamöter säkerhetsprövade innan de tillträder. 824 Mot bakgrund av de stora informationsmängder som Lantmäteriet hanterar och att myndigheten har tillgång även till säkerhets-

822 Protokoll den 25 oktober 2023, punkt 21. 823 Protokoll den 13 december 2023, punkt 7. 824 Information från Landsbygds- och infrastrukturdepartementet i november 2025 .

360

363

Överväganden

skyddsklassificerade uppgifter framstår det som en uppenbar brist att inte hela styrelsen var säkerhetsprövad före 2020. Samtidigt kan vi inte se att den bristen har haft avgörande betydelse för bedömningen att styrelsen borde ha vidtagit åtgärder tidigare. Det är inte avsaknaden av säkerhetsprövning i sig som gjort att styrelsen inte fått tillräcklig information. En synpunkt som förts fram vid intervjuerna är att också att frågan om säkerhetsprövning av styrelsen inte var ett problem eller hinder, i stället fick man sålla informationen så att det som föredrogs ändå blev begripligt, men utan att säkerhetskänsliga detaljer röjdes.

Vilken grundläggande utbildning och introduktion i informationssäkerhetsfrågor har ledamöterna i styrelsen fått?

När det gäller vilken utbildning och introduktion som ledamöterna 825 i Lantmäteriets styrelse fått innan de tillträdde har de intervjuade i huvudsak uppgett att de fått en introduktion via Regeringskansliet samtidigt som att Lantmäteriet informerade om verksamheten vid ett heldagsbesök där. Regeringskansliet har gett ut Vägledning för statliga myndighetsstyrelser (se avsnitt 16.7.1). Den innehåller emellertid inte något om informationssäkerhet. Vi har tagit del av ett program för en utbildningsdag för Lantmäteriets nya styrelseledamöter från 2019. I programmet finns ett kortare pass (20 minuter) om Lantmäteriets säkerhetsarbete, men inte något i övrigt om myndighetens informationsmängder och informationssäkerhet. Vid intervjuer med styrelseledamöterna har frågan om utbildning inom bland annat informationssäkerhet och säkerhetsskydd diskuterats och om man fått någon introduktion till vilka informationsmängder som hanteras inom Lantmäteriet och eventuella säkerhetsaspekter kring dessa. Någon har svarat att generaldirektören var rätt tydlig med just detta. En annan ledamot har uppgett att digitaliseringen var en stor fråga under flera år och det fanns mycket som var relaterat till det. I början fick de inte se och veta allt, men de fick ändå en bild av att olika slags känslig information fanns i myndigheten. Andra har inte något minne av att sådant tagits upp.

825 Här bortses från att vissa av ledamöterna redan haft kunskaper inom området innan de tillträdde.

361

364

Överväganden

Den samlade bilden av styrelseledamöternas kunskap om Lantmäteriets olika verksamheter och IT-system, informationssäkerhet och hantering av utlämnande av allmänna handlingar med mera visar inte annat än att ledamöterna behöver ytterligare information, även på grundläggande nivå. De behöver få bättre kunskap inte bara om Lantmäteriets verksamhet utan också om de rättsregler som styr myndigheten, allt för att de ska kunna ta det ansvar som följer av styrelseuppdraget. Vi återkommer i det följande till frågan om utbildning i informationssäkerhet för bland andra ledamöter i myndighetsstyrelser.

17.13.3 Generaldirektören

Utredningens bedömning: Generaldirektören borde skyndsamt och långt tidigare ha vidtagit åtgärder med anledning av förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Detsamma gäller beträffande bristerna i hanteringen av utlämnande av allmänna handlingar och vid behandlingen av personuppgifter. Styrelsen borde ingående ha informerats om Lantmäteriets brister i fråga såväl informationssäkerheten som vid utlämnande av allmänna handlingar och behandlingen av personuppgifter.

Skälen för utredningens bedömning

I vårt granskningsuppdrag ingår inte att utkräva ansvar för de brister i informationssäkerheten, utlämnandet av allmänna handlingar och sekretessbedömningar samt personuppgiftsbehandlingen som identifierats. Däremot är det av intresse för granskningen att diskutera agerande och ansvar utifrån ett roll- och funktionsperspektiv och därmed risker och konsekvenser av identifierade brister i bland annat Lantmäteriets informationssäkerhet. Som konstaterats har det förhållandet att det förekommit säkerhetsskyddsklassificerade uppgifter i Arken berörts i flera olika sammanhang och varit väl känt inom många funktioner och av många i chefsledet, även om vissa har haft en annan uppfattning eller syn på risker och konsekvenser av detta. I chefsuppdraget på varje nivå har

362

365

Överväganden

det genom det delegerade informationsägarskapet ingått att ha grepp om de informationsmängder som delegationen omfattat och förekomsten av säkerhetskänslig information i dessa. Som också konstaterats borde åtgärder skyndsamt och långt tidigare än 2024 ha satts in med anledning av bristerna i Lantmäteriets informationssäkerhet. Vidare står det klart att säkerhetsskyddschefens uppfattning borde varit avgörande i den tvist som fanns mellan verksamhetsområden i frågan. Som vi har påpekat har andra brister inom Lantmäteriet när det bland annat gäller förvaltningskulturen och den interna styrningen och kontrollen, bidragit till bristerna i informationssäkerhetsarbetet och den särskilda händelsen. Även om vi anser att styrelsen borde ha agerat tidigare står det också klart att den borde ha informerats mer i detalj om de brister i informationssäkerheten som fanns och som var väl kända i organisationen. Generaldirektören borde ha sett till att så skett. Vid våra intervjuer har man från flera håll betonat detta. Synpunkter som lyfts kan sammanfattas med att generaldirektören visade en ovilja att lyfta frågor till styrelsen, att det borde legat på henne att ” sätta ned foten ” när olika enheter hade skilda uppfattningar, att hon hade kunnat arbeta mer med hela gruppen och mindre i ”stuprör”, samt att det är centralt att en generaldirektör har stöd från chefsjuristen och chefen för internrevisionen men att hon inte fullt ut kom överens med dessa. En annan synpunkt som förts fram är att generaldirektören själv borde ha varit den som tog beslutet om stängning av tjänsterna och därefter informerat styrelsen. Mot dessa synpunkter ska ställas att generaldirektören upplevdes som effektiv och driven, tog på sig mycket och ville att allt skulle bli rätt, skapade ordning och reda, samt att det fanns ett starkt tryck från verksamhetsområdena och att hon kunde ha behövt ytterligare stöd i frågorna. Flera intervjuade har vidare tagit upp att generaldirektören inte ville leda genom en stab och att ledningsgruppen skulle tagit ett större ansvar, att hon ville ha en liten krets för informationssäkerhetsfrågorna samt att man år efter år försökte få pengar för att modernisera systemen men inte fick det. Generaldirektören har uppgett följande. Det fanns när hon tillträdde i januari 2018 inte så många inom Lantmäteriet som hon kunde prata säkerhetsfrågor med. Få var säkerhetsprövade och det fanns inte heller lämpliga lokaler. I styrelsen var inte någon säkerhetsprövad utom möjligen ordföranden. Direkt när hon började fick hon information om en incident. Hon fick också information om

363

366

Överväganden

att det fanns information i vissa system som skulle kunna vara känslig från ett säkerhetsperspektiv och att åtgärder hade vidtagits för att åtgärda det. Det sades inte något särskilt om säkerhetsskydd och informationssäkerhet vid överlämningen från hennes företrädare. Hon informerade ansvarigt departement om den aktuella incidenten. Under första halvåret 2018 förekom flera möten med statssekreterare, enhetschefen på departementet och vid vissa tillfällen expeditionschefen. Dåvarande styrelseordföranden var med vid åtminstone ett tillfälle. Försvarsdepartementet blev också informerat, eftersom Lantmäteriet hade behov av hjälp att lösa ut problemet. Kontakter med Säkerhetspolisen behövdes också och även här fick Lantmäteriet hjälp för att få till kontakterna. Det framgick vid dessa kontakter att även Säkerhetspolisen hade svårt att förstå att Lantmäteriet hade information som var av viss karaktär. Efter den angivna incidenten fick man till slut till en lösning men det tog lång tid. Lantmäteriet har haft en dialog med Regeringskansliet om bland annat informationssäkerhet varje gång Lantmäteriet har fått byta ansvarigt departement eller byte skett av statssekreterare och minister. Hon själv, säkerhetsskyddschefen och dåvarande chefen för verksamhetsområde Geodata brukade vara med vid dessa dialoger. Hon har funderat på om hon varit tillräckligt tydlig när hon pratat om informationssäkerhetsfrågor vid dessa dialoger. Det varierade hur statssekreterarna tog till sig informationen. En synpunkt är att Regeringskansliet kunde ha gett mer av den budget som efterfrågades. Informationssäkerhetsarbetet har gått från noll när hon kom till vad det är i dag. Det som hänt har definitivt inte varit ett problem bara inom Lantmäteriet. Inte någon myndighet jobbade på rätt sätt med informationssäkerheten.

Enligt myndighetsförordningen ska myndighetens ledning avgöra ärenden som har principiell karaktär eller större betydelse. 826 Myndighetschefen ska hålla styrelsen informerad om verksamheten, förse styrelsen med underlag för beslut och verkställa styrelsens beslut. 827 Generaldirektören har enligt Lantmäteriets delegationsordning ett övergripande ansvar för Lantmäteriets information. 828 Att löpande och i det dagliga arbetet ha grepp om säkerhetsskyddet och därmed informationssäkerheten, det vill säga nivån i verksamheten inom dessa områden har legat på generaldirektören. Det har också varit en uppgift för generaldirektören att skyndsamt och långt tidigare se till att det vidtogs åtgärder med anledning av förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Med tanke på de synnerligen allvarliga konsekvenserna av bristerna i in-

826 4 § 5 myndighetsförordningen. 827 13 § myndighetsförordningen. 828 6 kap. 2 § delegationsordningen den 16 december 2025, LM2025/161018.

364

367

Överväganden

formationssäkerheten borde generaldirektören vidare ingående ha presenterat hela problembilden för styrelsen. Det som nu nämnts gäller också de mycket allvarliga problemen i hanteringen av utlämnande av allmänna handlingar och vid behandlingen av personuppgifter. Riskerna med den bristande informationssäkerheten och konsekvenserna av dessa är omfattande och långtgående. Och de berör så stora delar av samhällets många olika funktioner, det vill säga långt utöver enbart Lantmäteriets verksamhet, att omständigheterna och allvaret i dessa borde ha tagits upp med Regeringskansliet. Även om generaldirektören nämnt ett antal kontakter med Regeringskansliet har vi inte kunnat se att detta gjorts tillräckligt tydligt och inte heller långt tidigare än vad som blev fallet. Det är svårt att se varför tvisten inom Lantmäteriet i frågan om det fanns säkerhetsskyddsklassificerade uppgifter i Arken kunnat pågå under så lång tid, särskilt mot bakgrund av att säkerhetsskyddschefens bedömning i frågan borde varit avgörande. Det är också svårt att förstå att myndighetens bristande sekretessprövning vid utlämnande av allmänna handlingar kunde fortgå under lång tid. Detsamma gäller bristerna i behandlingen av personuppgifter. Att informationssäkerheten, sekretessprövningen och behandlingen av personuppgifter inte skötts enligt gällande rätt kan inte hänföras till annat än att myndighetens ledning brustit i fråga om styrning och kontroll.

17.13.4 Ledningsgruppen

Utredningens bedömning: Lantmäteriets ledningsgrupp har i stort fungerat som ett beredningsorgan. Cheferna i ledningsgruppen har haft ett ansvar för att åtgärder inte skyndsamt vidtagits med anledning av förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Det gäller också bristerna i rutinerna i samband med utlämnande av allmänna handlingar och vid behandlingen av personuppgifter

365

368

Överväganden

Skälen för utredningens bedömning

Ledningsgruppens funktion och sammansättning

Ledningsgruppen inom Lantmäteriet har inte någon egen beslutsbefogenhet som organ utan är ett stöd för generaldirektörens beslutsfattande. I ledningsgruppen sitter i dag generaldirektören, ställföreträdande generaldirektören, verksamhetsområdescheferna för Fastighetsbildning, Geodata och Fastighetsinskrivning och cheferna för de myndighetsgemensamma verksamhetsområdena samt 829 en sekreterare. Som redogjorts för i kapitel 5 är det en uppgift för Lantmäteriets ledningsgrupp arbeta aktivt med informationssäkerhet genom att säkerställa att • mål för informationssäkerhet uppfylls, • informationssäkerhetsarbetet bedrivs på ett systematiskt och kontinuerligt sätt, och att • informationssäkerhet är en del i det årliga arbetet med verksamhetsplanering.

Ledningsgruppen ska minst en gång per år fördjupat gå igenom informationssäkerhetsläget.

Vilken funktion har ledningsgruppen haft i praktiken?

Några av de synpunkter som kommit fram vid intervjuerna är att ledningsgruppen absolut inte upplevdes som en ledningsgrupp utan mer som ett informationsforum och att gruppen varit ett beredningsorgan utan den spetskompetens som krävs för att bereda frågor. Det handlade inte om hur man skulle samarbeta för myndighetens hela leverans och verksamhet. Man pratade till exempel om ekonomi utifrån sina egna respektive delar. Någon har uppgett att den strategiska ledningen, i vilken ledningsgruppen torde ingå, varit inne och detaljstyrt för mycket. Man har inte lyft blicken, utan haft ett kontrollbehov och inte lyssnat på experterna i verksamheten. Det har också talats om svagt ledarskap. Annat som förts fram vid

829 Information på Lantmäteriets webbplats, www.lantmateriet.se, hämtat den 26 januari 2026.

366

369

Överväganden

intervjuerna är att man uppvisade en brist på direkt beslutsförmåga samtidigt som allt skulle tas i ledningsgruppen även om det brådskade och att ledningsgruppen inte haft tillräcklig integritet och förståelse för statstjänstemannarollen. Vidare har sagts att motsättningar på individnivå i ledningsgruppen inte har bidragit till ett välfungerande sammanhang. Att ingå i en myndighets ledningsgrupp innebär ett ansvar inte bara för sitt eget verksamhetsområde. Ledningsgruppsuppdraget är större än det egna ansvarsområdet. I den rollen är man engagerad i och bidrar till helheten och man hjälper varandra över verksamhetsområdesgränserna. Som nämnts tidigare har Lantmäteriets verksamhet som helhet präglats av brist på helhetssyn. De olika verksamhetsgrenarna har arbetat i stuprör. Detta synes också ha satt sin prägel på ledningsgruppens funktion. Strävan mot konsensus i varje fråga är omvittnad, i stället för diskussioner där åsikter bryts mot varandra med inriktningen att åstadkomma bästa möjliga lösning för verksamheten som helhet. Ansvaret för att få till en ledningsgrupp med tillit och ett gemensamt ansvarstagande för helheten ligger inte bara på myndighetschefen, det vill säga för Lantmäteriets del generaldirektören. Det ligger på varje ledamot i gruppen och innefattas i både mandat och uppdrag. Och utgångspunkten är organisationens uppdrag, något som tydligt framgått hade behövt klargöras och förankras inte bara i ledningsgruppen. Tilläggas kan att det av naturliga skäl i grunden är upp till myndighetschefen att använda en ledningsgrupp på det sätt som bedöms lämpligast. Det är också ytterst myndighetschefen som avgör ledningsgruppens sammansättning. Enligt vår bedömning förefaller ledningsgruppen inte ha använts på ett effektivt sätt, bland annat på grund av inriktningen mot konsensus. Den utgångspunkten har hämmat ett konstruktivt meningsutbyte i ledningsgruppen. Det är inte heller lämpligt att en sådan grupp utgör ett beredningsorgan, särskilt när expertkunskaperna finns i organisationen och inte i gruppen. Ledningsgruppen bör så långt som möjligt och utan förutfattade meningar kunna diskutera de frågor som behandlas i gruppen, man bör tillsammans kunna lyfta blicken och se längre än till en enskild frågeställning. Detta är inte sällan problematiskt om man varit närmare involverad i en frågas beredning. Det är naturligtvis också viktigt att ledamöterna i en ledningsgrupp står för en god förvaltningskultur och har tagit till sig den statliga värdegrunden och statstjänstemannarollen.

367

370

Överväganden

Har ledningsgruppen och dess funktion haft någon inverkan på de brister i informationssäkerheten som funnits?

Som tagits upp i det föregående har frågor som berör informationssäkerhet hållits inom en liten krets i Lantmäteriet. Det innebär bland annat att frågorna behandlats i de informationsägarforum som nämnts tidigare. Enligt intervjuuppgifter har det exempelvis inneburit att halva ledningsgruppen inte kände till projektet Infosäk- GDL. 830 Däremot har uppgetts att alla i ledningsgruppen ska ha känt till att det fanns information i systemen som inte borde finnas där. En annan synpunkt är att ledningsgruppen inte prioriterade informationssäkerhet tillräckligt och att sådana punkter på agendan flera gånger ströks eller flyttades. Någon har ansett att kompetensen i ledningsgruppen varit låg inom områden man måste ha grepp om när man sitter i ledningen, såsom hantering av regelförändringar och dataskydd. Detsamma gäller frågor om säkerhetsskydd. Ledningsgruppen var bromsande, trots att det var vissa saker som måste genomföras enligt lag. Gruppen prioriterade annat. Tidigare säkerhetsskyddschefen har uppgett att han innan han kom att ingå i ledningsgruppen bara deltog och föredrog vissa ärenden. När ärendet därefter skulle diskuteras fick han lämna rummet. Han kunde inte följa frågorna vidare och tappade greppet. Det kan naturligtvis vara lämpligt att vissa frågor som rör informationssäkerhet hålls inom en mindre krets. Någon rimlig anledning till att inte hela ledningsgruppen hållits informerad om sådana frågor är emellertid svår att se. De som ingår i ledningsgruppen är enligt uppgift säkerhetsprövade. Vid vår genomgång av ledningsgruppens anteckningar för perioden 2018 – 2024 kan man inte se att informationssäkerhet varit en prioriterad fråga före den särskilda händelsen. Cheferna i ledningsgruppen har, som ledamöter i detta forum, genom sina respektive funktioner i verksamheten i övrigt och genom ett delegerat informationsägarskap, haft ett informationssäkerhetsansvar. Det som har kommit fram talar inte för annat än att ledningsgruppen haft kännedom om att det förekom säkerhetsskyddsklassificerade uppgifter i Arken. Detsamma gäller beträffande bristerna i sekretessprövning av allmänna handlingar och behandlingen av personuppgifter. I vart fall borde ledningsgruppen ha haft sådan kännedom.

830 Se avsnitt 8.3.4 angående detta projekt.

368

371

Överväganden

17.13.5 Internrevisionen

Utredningens bedömning: Internrevisionen har genomfört ett antal angelägna och väl utförda granskningar. Uppföljningen av internrevisionens rekommendationer har inte fungerat tillfredsställande. Relationen mellan generaldirektören och internrevisionen har med tiden blivit sämre, vilket påverkat arbetsklimatet och med det internrevisionens arbete. De åtgärder som Lantmäteriet numera vidtagit för att förbättra myndighetens hantering av internrevisionens granskningar framstår som lämpliga men en särskild uppföljning av dessa är motiverad.

Skälen för utredningens bedömning

Vi har i avsnitt 16.7.4 redogjort för syftet med en internrevision inom en myndighet. Internrevisionen rapporterar till styrelsen och för att kunna fullgöra sitt uppdrag måste den ha en självständig ställning gentemot generaldirektören, myndighetsledningen i övrigt och i förhållande till organisationen i stort. Det är dock i regel inte praktiskt genomförbart att internrevisionen agerar helt utan koppling till generaldirektören och ledningen, eftersom internrevisionen finns och verkar inom myndigheten. Noteras kan också exempelvis att det är generaldirektören som beslutar om anställning och lön för chefen för internrevisionen, dock efter samråd med styrelsen. 831 Internrevisionens samarbete med styrelsen har enligt vad som kommit fram vid intervjuer fungerat väl. Också samarbetet med generaldirektören synes inledningsvis ha varit bra, men kom efter hand att bli mer ansträngt, särskilt efter internrevisionsrapporten om säkerställande av regelefterlevnad 2021. Det finns uppgifter om att det påverkade arbetsklimatet. Enligt generaldirektören är samspelet med styrelsen om lämpliga granskningsområden för internrevisionen något som skulle ha gjorts annorlunda. Internrevisionen kom med sina förslag till styrelsen direkt, medan hon hade velat ha upp allt i ledningsgruppen först för att komma med inspel. Hon själv hade flera förslag till internrevisionschefen men de fick enligt henne inte gehör. Hon anser att det

831 2.2.3 Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340.

369

372

Överväganden

blev litet väl mycket att frågor togs direkt mellan styrelseordföranden och internrevisorn. Vi kan konstatera att det i sig inte är ovanligt att det finns en löpande dialog mellan styrelsen och internrevisionen. Internrevisionen är styrelsens organ. Men det är samtidigt viktigt att internrevisionen har regelbundna avstämningar med generaldirektören. I den delen har det funnits brister. Det är vidare otillfredsställande att internrevisionens rekommendationer inte har följts på ett tillräckligt bra sätt inom Lantmäteriet. Det framgår av internrevisionens uppföljning av myndighetens åtgärdsarbete. 832 Internrevisionen har konstaterat att verksamhetens ambitionsnivå varit låg och att en åtgärdsplan tagits fram snarare för att hantera internrevisionens iakttagelser och rekommendationer än att faktiskt åtgärda de brister som adresseras. För att förbättra myndighetens hantering av internrevisionsgranskningar samt den interna styrningen och kontrollen utsåg myndigheten i februari 2024 en särskild resurs till rollen som samordnare/controller för internrevisionsfrågor. Under våren 2024 har dessutom en översyn av internrevisionsprocessen gjorts och en ny process tagits fram. Dessa åtgärder framstår som lämpliga. Förhoppningsvis kommer de att medföra att internrevisionens rekommendationer följs på ett bättre sätt. I denna del är en särskild uppföljning motiverad. När det gäller de granskningar som internrevisionen genomfört under senare år är vår bedömning att de har varit angelägna och väl utförda och att de har pekat på brister inom en rad viktiga områden. Det gäller särskilt de tidigare nämnda bristerna i den interna styrningen och kontrollen och vid utlämnande av allmän handling. Flera granskningar har haft koppling till informationssäkerhet, såsom granskningarna av behörigheter och behörighetsadministration, cybersäkerhet, applikationslivscykelhantering och säkerhetsskyddad upphandling. 833 Internrevisionen har även haft förslag på granskningar inom området som ännu inte lett till någon granskning. 834 Styrelsen ska, i den utsträckning det inte möter hinder på grund av bestämmelser om sekretess, se till att internrevisionen får tillgång

832 Se avsnitt 6.4. 833 Se avsnitt 6.3 och 10.4. 834 Exempelvis granskning av kontinuitetsplanering, kopplat till Disaster Recovery, se revisionsplan för 2018, diarienummer 203 – 2017/6259, revisionsplan för 2023, LM2022/056621 och revisionsplan 2025, LM2025/070181.

370

373

Överväganden

till de uppgifter den behöver. 835 Internrevisionen har till oss uppgett att detta generellt sett inte har varit ett problem och att man har fått ta del av den information som efterfrågats. Man har haft bra dialoger med verksamheten. Utmaningen har enligt internrevisionen snarare varit att hitta rätt personer i verksamheten som vet vilken information som är möjlig att ta del av, om det område som är föremål för granskning är reglerat och om det finns dokumentation. I flertalet granskningar har dokumenterad styrning eller dokumentation över etablerade arbetssätt saknats. Något styrelsen också gjort är att ge internrevisionschefen möjlighet att fram till augusti 2025 sitta med under styrelsemötena för att ta del av den rapportering som lämnas från verksamheten till styrelsen, samt ta del av styrelsens resonemang. Premissen för närvaro var då att endast lyssna, yttranderätt förekom endast vid direkta frågor samt de punkter där internrevisionschefen var föredragande. Sedan tillträdet av en ny styrelseordförande har styrelsen reviderat riktlinjerna för internrevision. Möjligheten för revisionschefen att delta under styrelsemöten har tagits bort. Internrevisionschefen deltar numera endast i de delar 836 som rör internrevisionens frågor. En särskild fråga som vi har tagit upp med internrevisionen är hur man har hanterat att tidplaner och åtgärder som styrelsen beslutat ändrats utan att styrelsen informerats. Internrevisionen har svarat 837 följande. Internrevisionen har i dialog med verksamheten, kopplat till tertialuppföljningen, påtalat att man inte själva kan ändra åtgärder eller tidplaner utan styrelsens kännedom eller beslut. Företeelsen med sådana ändringar har lyfts även till styrelsen, dels muntligt, dels skriftligt exempelvis i internrevisionens uppföljningsrapport T1 838 2024. Frågan har efter att en internrevisions-controller tillsatts hanterats i en nyutvecklad process för hantering av internrevisionens rekommendationer. Internrevisionens uppfattning är att det med en controller har fungerat bra och att även tertialrapportering, framdrift och uppföljning har fungerat bättre. Noteras kan även att styrelsen på senare tid har fattat beslut om flertalet förändrade åtgärdsplaner med anledning av exempelvis ändrade tidplaner.

835 11 § internrevisionsförordningen. 836 Information från Lantmäteriet i december 2025. 837 Svar från Internrevisionen i december 2025. 838 LM 2024/029575.

371

374

Överväganden

Att ha tillgång till en internrevision är typiskt sett en styrka i varje organisation. Med en internrevision har man hjälp av granskningsexpertis som är väl insatt i den löpande verksamheten. Och externa granskare behöver inte anlitas, i vart fall inte i samma utsträckning även om utifrånperspektivet ibland är viktigt. I styrelsemyndigheter, som Lantmäteriet, finns internrevisionen som ett stöd både för styrelsen och för verksamheten i stort, givet att styrelsen använder revisionsresurserna på rätt sätt. Som styrelsens organ ökar förutsättningarna för styrelsen påtagligt att få insyn i och därmed grepp om den verksamhet som man som styrelse har det yttersta ansvaret för. Naturligtvis ökar också ansvaret, och man kan ställa högre krav, på en styrelse som löpande har denna resurs tillgänglig. Som vi har konstaterat har flera av internrevisionens granskningar berört informationssäkerhetsområdet. I ljuset av de allvarliga brister när det gäller säkerhetsskyddet och informationssäkerheten som i flera delar och under lång tid varit väl kända inom Lantmäteriet kan det dock ifrågasättas om inte internrevisionen tidigare och med större skärpa borde ha närmat sig dessa frågor. Vi har i avsnitt 17.13.2 kommit fram till att styrelsen, med stöd av internrevisionen borde ha agerat tidigare. I linje med den bedömningen har det även legat på internrevisionen att på eget initiativ ta upp frågan. Möjligtvis hade då skadeverkningarna av säkerhetsbristerna kunnat begränsas. Ett ytterligare utvecklingsområde som uppmärksammats rör uppföljningen av internrevisionens påpekanden. Ett ansvar i den delen ligger naturligt på styrelsen som beslutar om vilka åtgärder som vidtas utifrån gjorda revisionsinsatser. Det är också styrelsen som ansvarar för uppföljningen. Samtidigt är det naturligt att internrevisionen följer hur verksamheten tar hand om det som lyfts fram i revisionsrapporter och tydligt signalerar till styrelsen när verksamheten avviker från det som styrelsen beslutat.

17.13.6 Chefs- och ledarskapet

Utredningens bedömning: Med genomarbetade strukturer i verksamheten ökar förutsättningarna för ett välfungerande chefsoch ledarskap på såväl system- som individnivå. Att utveckla

372

375

Överväganden

chefs- och ledarskapet är en viktig del i att få den interna styrningen och kontrollen på plats och därmed öka kvalitén i bland annat informationssäkerhetsarbetet. Den organisatoriskt spridda verksamheten ställer stora krav på ett väl utvecklat chefs- och ledarskap. Detsamma gäller utifrån Lantmäteriets komplexa verksamhet med kontinuerligt nya uppdrag att hantera. Förståelsen för Lantmäteriets myndighetsroll och uppdrag behöver befästas. Samtidigt behöver samsynen om att alla verksamhetsområden ska bidra till det övergripande målet med verksamheten öka. Här ska cheferna vara förebilder. Utrymmet för att tycka olika och att i ledningsgruppen föra fram olika uppfattningar bör öka. Alla chefer bör ges möjlighet att utveckla sitt personliga ledarskap och sin chefsroll. Lantmäteriet bör i chefsledet satsa på kompetensutveckling om grundläggande rättsregler av betydelse för myndighetsstyrning och regelefterlevnad. Att frågor om säkerhetsskydd och informationssäkerhet samt offentlighet och sekretess och personuppgiftsbehandling kräver särskilda utbildningsinsatser är givet.

Skälen för utredningens bedömning

I vårt uppdrag ingår att uttala oss om hur Lantmäteriets arbete med informationssäkerhetsfrågor kan stärkas. Med den utgångspunkten bör noteras att informationssäkerheten inte är en verksamhet eller verksamhetsgren som är isolerad från organisation och verksamhet i övrigt. Den är integrerad i stora delar av Lantmäteriets verksamhet. Och det har visat sig att de utmaningar som påverkat informationssäkerheten i stor utsträckning samtidigt har gjort sig gällande i organisationen som helhet. Bristerna i fråga om att identifiera och tydliggöra utmaningarna och att agera är uppenbara. Ett arbete inriktat mot att få till samsyn som ett led i att åstadkomma en sammanhållen organisation och verksamhet, låt vara med olika verksamhetsgrenar, har lyst med sin frånvaro. Först på senare tid har man inlett en förflyttning mot en utvecklad ledningsfunktion och en effektivare ledning och styrning. Och för att komma dit har det inte räckt med de interna insikterna.

373

376

Överväganden

Man har behövt extern input. Med tanke på de mycket tydliga problemområdena och den interna kännedomen är det förvånande att arbetet dröjt och får tillskrivas bristande beslutsförmåga på ledningsnivå. Alla delar av verksamheten har påverkats av att grepp inte tagits på ledningsstrukturen och rutiner för den. Det har självfallet drabbat även myndighetens säkerhetsskydd och därmed informationssäkerheten, hanteringen av frågor om offentlighet och sekretess och behandlingen av personuppgifter. Exemplen är många och utomordentligt allvarliga både i sig och sett till konsekvenserna av dem. Som diskuterats i det föregående (kapitel 16) finns flera yttre omständigheter som var för sig och sammantaget inverkat på hur man inom Lantmäteriet hanterat informationssäkerheten, utlämnandet av allmänna handlingar och behandlingen av personuppgifter. Man kan uttrycka det som att yttre omständigheter tillåtits påverka dessa delar i verksamheten. Ett givet påpekande i sammanhanget är att det är problematiskt att driva ett godtagbart informationssäkerhetsarbete om den interna styrningen och kontrollen har stora brister. Olika interna beslut och vägval, som byggt på felaktiga prioriteringar och okunskap om gällande rätt, har kommit att låsa och få stor betydelse för inriktningen av verksamheten. Exempelvis finns grundläggande problem sedan långt tillbaka i tiden när ett system som Arken och till detta kopplade tillhandahållandetjänster kunnat konstrueras och driftsättas grundat på delvis felaktiga analyser och beslut. I tidigare avsnitt har Lantmäteriets interna styrning och kontroll behandlats. Bristerna i den har visat sig inom ett antal olika områden och på olika nivåer, till exempel i fråga om regelefterlevnad, styrande dokument, beredning, dokumentation och diarieföring, avsaknad av en övergripande strukturerad och enhetlig process för genomförande och uppföljning av interna beslut samt brister i olika avseenden när det gäller ansvarsfördelning. Att de exemplifierade bristerna har funnits och tillåtits beror inte på organisatoriska eller verksamhetsmässiga förhållanden. Orsakerna kan i stället härledas till myndighetens chefs- och ledarskap. Utan ett välfungerande chefs- och ledarskap saknas förutsättningar att organisera verksamheten på ett effektivt och samtidigt rättssäkert sätt. Det saknas också förutsättningar att hantera de nya utmaningar och förändringar som löpande

374

377

Överväganden

dyker upp i varje verksamhet. Det går helt enkelt inte att få till en välfungerande intern styrning och kontroll. Chefs- och ledarskap innebär ofta utmaningar i de flesta organisationer. För Lantmäteriet tillkommer specifika förutsättningar med en komplex verksamhet med kontinuerligt nya uppdrag att hantera och en verksamhet som organisatoriskt är spridd över hela landet. Det gör myndighetens uppdrag än mer utmanande. Och det innebär att det ställs ännu högre krav än annars på ledarskapet såväl på system- som individnivå. Lantmäteriet behöver alltså satsa mer än många andra verksamheter på att få till ett välfungerande chefs- och ledarskap. Ledningens agerande är av naturliga skäl centralt i varje verksamhet och för Lantmäteriets del självfallet när det gäller informationssäkerhetsarbetet. I chefsledet handlar det inte minst om att fatta beslut, sätta frågorna på agendan och själv vara förebilder. Ledningens förhållningssätt legitimerar frågorna och har mycket stor betydelse för hur informationssäkerhetsarbetet kommer att utvecklas i organisationen. På systemnivå krävs strukturer som skapar goda förutsättningar för ansvar och beslutsfattande. Hur verksamheten organiseras är en del i det. Ett exempel som under mycket lång tid präglat verksamheten är avsaknaden av ett myndighetsgemensamt juridiskt stöd för att säkerställa regelefterlevnad i hela organisationen, något som bidragit till bristerna i säkerhetsskyddet. Det behöver också finnas en förutbestämd beslutsgång som gör att de frågor som behöver avgöras tas till beslut på ett effektivt sätt. Och ledningsmodellen ska ge stöd för samverkan mellan verksamhetsområden. Denna samverkan ska genomgående ha myndighetens samlade bästa som mål. Att föra fram olika åsikter behöver uppmuntras. Bara då kan det som i grunden är bäst för verksamheten som helhet bli resultatet när beslut ska tas i olika frågor. En ibland använd teknik är att en eller flera i en ledningsgrupp ges uppdraget att vara kritiskt ifrågasättande när ett förslag till förändring diskuteras. Olika tekniker finns men för Lantmäteriets del är det angeläget att lämna konsensusmodellen som i förlängningen får chefer att tystna i ledningsrummet och synpunkterna att i stället ventileras i korridorerna. På individnivå är chefs- och ledarskap en kompetensfråga. Det är också en värderingsfråga. Ledarskapet förutsätter samtidigt att kom-

375

378

Överväganden

munikation och relationer fungerar väl. Och det gäller även i ledningsgruppen. Förståelsen för Lantmäteriets roll som myndighet har varit eftersatt liksom insikterna i det tjänstemannaansvar och ansvar i övrigt som följer ledningsuppdraget. Detsamma gäller de rättsregler som är styrande exempelvis när det gäller informationssäkerheten. Att utveckla såväl chefskap som ledarskap framstår som prioriterade frågor för Lantmäteriet där också strukturella frågor på systemnivå behöver ses över. Samtidigt behöver varje chef på varje nivå ges förutsättningar att utveckla sitt personliga ledarskap och sina kompetenser, utöver den ledarutveckling som ett stort antal chefer redan erbjudits. Utgångspunkten för denna utveckling är, som redan påpekats, Lantmäteriets uppdrag, och att det finns en fullständig förståelse för det och en samsyn om vad det innebär.

17.14 Något om tillsynen över att

säkerhetsskyddslagstiftningen följs

Utredningens bedömning: Enligt säkerhetsskyddslagstiftningen har olika tillsynsmyndigheter tillsynsansvar över Lantmäteriet respektive de kommunala lantmäterimyndigheterna och därmed över i allt väsentligt samma informationsmängder och system (Arken och Trossen). Samordning mellan tillsynsmyndigheterna är viktigt. Det är också viktigt att tillsynsmyndigheterna ger vägledning och därmed stöd till en myndighet som hanterar säkerhetskänsliga uppgifter.

Skälen för utredningens bedömning

Flera tillsynsmyndigheter enligt säkerhetsskyddslagstiftningen

Tillsynsmyndigheten utövar tillsyn över att verksamhetsutövare följer säkerhetsskyddslagstiftningen. 839 Som beskrivits i avsnitt 2.3 är Säkerhetspolisen tillsynsmyndighet för Lantmäteriet och fyra

839 6 kap. 1 § säkerhetsskyddslagen.

376

379

Överväganden

angivna länsstyrelser är tillsynsmyndigheter för de kommunala lantmäterimyndigheterna. 840 Visserligen är det skyddsvärdet enligt säkerhetsskyddslagstiftningen hos en myndighet som omfattas av tillsynsmyndighetens ansvar. 841 Mot den bakgrunden omfattas de kommunala lantmäterimyndigheternas akter som förvaras hos Lantmäteriet i Arken av Säkerhetspolisens tillsynsansvar. Samtidigt har angivna länsstyrelser tillsynsansvaret för de kommunala lantmäterimyndigheterna. Man skulle därmed kunna se det som att Lantmäteriet och de kommunala lantmäterimyndigheterna delvis träffas av flera myndigheters tillsynsansvar. 842 Om två olika myndigheter har tillsyn över informationssäkerheten beträffande i stort sett likartade informationsmängder och hur dessa hanteras, det vill säga i allt väsentligt i samma IT-system är det problematiskt. Enklare och renare skulle vara om endast en tillsynsmyndighet hade det tillsynsansvar som avser myndigheter som hanterar den information som både Lantmäteriet och de kommunala lantmäterimyndigheterna ansvarar för. Den frågan får emellertid övervägas i annat sammanhang. Med nuvarande ordning är det självfallet nödvändigt att Säkerhetspolisen och berörda länsstyrelser samråder och samordnar sina respektive tillsynsinsatser. En gemensam plan för hur tillsynsarbetet ska bedrivas behövs och skulle öka effektiviteten i tillsynsarbetet, nyttan i detta och säkerhetsskyddet i berörda verksamheter.

Säkerhetspolisens tillsyn

Enligt Lantmäteriet finns i verksamheten inte de IT-system som Säkerhetspolisens föreskrifter anger att man ska ha, men ett arbete med den inriktningen pågår. Nya system behöver byggas, bland annat för att lyfta ut information till säkra system. En annan del är hur uppgifter hanteras inom system och hur olika system kommunicerar med varandra. Säkerhetspolisens föreskrifter anger vissa sys-

840 Med anledning av den särskilda händelsen vid Lantmäteriet 2024 har Länsstyrelsen i Västra Götalands län, som är tillsynsmyndighet enligt säkerhetsskyddslagen över kommuner som hör till bland annat Hallands och Västra Götalands län, inlett tillsyn av några kommunala lantmäterimyndigheter. 841 Information från Säkerhetspolisen, december 2025. 842 Säkerhetspolisen har ansett att frågan om hur verksamhetsutövare som träffas av flera tillsynsmyndigheters tillsynsområden ska hanteras behöver förtydligas, se Säkerhetspolisens återrapport till regeringen Tillsyn på säkerhetsskyddsområdet den 27 september 2024, dnr 2024-8614-4, s. 6, 15 och 18.

377

380

Överväganden

temkrav. Och utgångspunkten är att de system som följer av föreskrifterna ska finnas. Som nämnts i det föregående har generaldirektören uppgett att det fanns olika uppfattningar om förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken men att det var svårt att veta vem som hade rätt och att ta ställning. Som också nämnts kunde enligt generaldirektören Säkerhetspolisen inte bistå med hjälp i frågan när man försökte få vägledning hos dem. Säkerhetspolisen har hänvisat till att man hade ett möte den 1 juli 2024 vid vilket generaldirektören deltog. Vi konstaterar dock att det mötet skett när den särskilda händelsen väl hade inträffat. Däremot har det naturligtvis förekommit ett antal kontakter mellan Säkerhetspolisen och Lantmäteriet, bland annat i tillsynsärenden. Vid kontakter med Säkerhetspolisen har förmedlats att det inte ingår i myndighetens tillsynsuppdrag att besvara en myndighets fråga om vilken väg som ska väljas i en situation som den aktuella. I förarbetena till den senaste översynen av säkerhetsskyddslagen ansåg regeringen att det är både nödvändigt och ofrånkomligt att tillsynsmyndigheterna även framöver ger verksamhetsutövare stöd i säkerhetsskyddsarbetet. Sådant stöd borde dock som en utgångspunkt inte besvara frågor om vad som ska göras i ett specifikt fall utan snarare innefatta upplysningar om innebörden av den relevanta regleringen och hur den ska tolkas samt metoder för hur den kan 843 uppfyllas. Riksrevisionen har dock ansett att förarbetena ger ett visst utrymme för att lämna mer konkret stöd i frågor om säkerhetsskydd. Med beaktande av de konsekvenser ett bristande säkerhetsskydd kan få för Sveriges säkerhet anser Riksrevisionen att Säkerhetspolisen i större utsträckning bör använda det utrymme som finns för att lämna mer stöd i enskilda fall än vad som sker i dag. 844 Även Fastighetsregisterutredningen har tagit upp frågan och ansett att det inte finns hinder för en tillsynsmyndighet att, till skillnad från rådgivning, ge vägledning. Vägledning är mer allmänt inriktad och svarar på frågan på vilket sätt en viss fråga kan hanteras och inte vad som ska göras i det specifika fallet. 845 Vi instämmer i den bedömningen och återkommer något till den i avsnitt 17.15.2.

843 Prop. 2020/21:194, s. 78. 844 Riksrevisionens rapport Säkerhetspolisens verksamhet, RiR 2024:24, s. 17. 845 SOU 2024:7, s. 621.

378

381

Överväganden

17.15 Hur kan Lantmäteriets arbete med

informationssäkerhet stärkas i övrigt?

17.15.1 Informationssäkerhetsfrågor måste allmänt sett få ett

större fokus

Utredningens bedömning: Informationssäkerhetsfrågor måste få ett större fokus i myndigheternas arbete. Riksdag och regering har ett ansvar för att så blir fallet, vilket är en fråga som får övervägas i annat sammanhang. Regelbunden utbildning i informationssäkerhet är ett givet sätt att få informationssäkerheten i fokus. Även myndighetens ledning bör inkluderas i utbildningsinsatserna. När det gäller nytillträdda styrelseledamöter bör informationssäkerhet utgöra en större del i den utbildning som Regeringskansliet i dag svarar för. Detsamma bör allmänt gälla för nytillträdda generaldirektörer.

Skälen för utredningens bedömning

Bristande informationssäkerhet är inte något unikt för Lantmäteriet

Redan 2018 anförde den utredning som granskade Transportstyrelsens upphandling av it-drift följande. 846 Bristande informationssäkerhet är som framgått ovan inget nytt problem för svensk statsförvaltning. Myndigheterna tycks, trots att man rimligen är väl medvetna om såväl gällande regelverk som de skyddsvärda intressen som dessa ska garantera, inte vara förmögna att leva upp till de höga krav som ställs på en modern och teknikberoende förvaltning. Vid bedömningen av vilka åtgärder som krävs är det svårt att ge förtroendekostnaderna vid brister i informationshanteringen ett eget värde och dessa frågor hamnar lätt i skymundan. I detta ligger en fara för tilltron till myndigheterna som kanske är allvarligare än de enskilda brister som kan förekomma. I ljuset av hur vanliga och vitala olika typer av e-tjänster blivit för både medborgare och myndigheter kan nämligen ett bristfälligt hanterande av känslig information – inte minst sådan som rör personuppgifter – göra att medborgarna förlorar en del av sitt förtroende för förvaltningen. Medborgarna skulle till exempel kunna känna tvekan inför att utnyttja myndigheternas service och tjänster och myndigheterna skulle ha svårigheter att få in information av betydelse för deras uppdrag.

846 Granskning av Transportstyrelsens upphandling av it-drift, Ds 2018:6, s. 238 – 239.

379

382

Överväganden

Det ligger inte i vårt uppdrag att föreslå lösningar på sådana allmänna förvaltningspolitiska problem som det här diskuterade. Vi noterar dock att Riksrevisionen 2016 föreslog ett starkare operativt stöd till myndigheterna för att de ska kunna leva upp till kraven på detta område. Det är svårt att inte instämma i rekommendationen.

Mot bakgrund av bland annat resultatet från MCF:s Cybersäkerhetskollen är det i sig inte förvånande att en granskning av en myndighet på grund av brister i informationssäkerhetsarbetet återigen blivit aktuell. Det finns dessutom likheter mellan bristerna i informationssäkerhetsarbetet inom Lantmäteriet och de brister som granskningen av Transportstyrelsen visade. Inte heller i Lantmäteriet har informationssäkerhet varit i fokus, vilket bland annat visat sig genom att styrelsen har prioriterat andra områden som i och för sig också varit viktiga. Liksom i fallet med Transportstyrelsen har ledningen haft ett ansvar för hur Lantmäteriet varit organiserat, hur man prioriterat sina resurser och agerat i praktiken. 847 Det är uppenbart att informationssäkerhetsarbetet måste få ta större plats inom en myndighet och inte endast vara en fråga som man tar upp vid exempelvis styrelsemöten om den hinns med. Det ligger också i sakens natur att även riksdag och regering har ett ansvar för att informationssäkerhetsfrågorna inte fått ett större fokus. En synpunkt som kommit fram vid intervjuer är att man efterlyst hårdare styrning genom speciallagstiftning och tydlighet i fråga om vilken information som Lantmäteriet ska tillhandahålla och hur det ska ske. Dessa frågor ligger dock utanför vårt uppdrag och får övervägas i annat sammanhang. Vi vill dock peka på vikten av att utbildning sker regelbundet inom informationssäkerhetsområdet. Utbildningsnivån bör också höjas i fråga om myndighetens obligatoriska utbildning inom området dataskydd.

Behovet av utbildning i informationssäkerhet

Generaldirektören har bland annat uppgett följande. Man behöver tillsätta resurser för att höja och säkerställa kompetens, ha en öppen dialog, och tydlighet om vem som bestämmer och inte bara söka konsensus. Det gäller inte bara kompetens i sak utan också kompetens om att kommunicera det man kan. Man behöver ha en

847 Se till exempel sammanfattningen i Ds 2018:6, s. 4.

380

383

Överväganden

gemensam syn, det vill säga sätta en standard för att göra samma tolkningar, men också ha kompetens att kunna förändra dessa om säkerhetsläget förändras. Fastighetsbildning är en stor och splittrad verksamhet som behöver en stark ledning. Det finns nu förutsättningar för detta, med ett korrekt tänk gällande säkerhetsfrågor. Man får utföra ett standardiserat kriteriearbete för alla områden, inte bara fastighetsbildning, och reda ut vad som faller under säkerhetsskyddslagstiftningen (och annan lagstiftning) och inte. Och man får jobba med säkerhetsskydd- och informationssäkerhet ute på landets kontor. Den statliga värdegrunden och statstjänstemannarollen behöver man också arbeta med. Man får reda ut vad som är viktigast att få processer kring av allt det som internrevisionen har lyft, som också skulle vara kulturförändrande.

När det gäller utbildning i informationssäkerhet för medarbetarna finns i dag interna utbildningar inom Lantmäteriet. De handlar bland annat om grundläggande säkerhetsutbildning och operativ informationssäkerhet. 848 Nya styrelseledamöter får enligt uppgift en utbildning om drygt en halv dag via Regeringskansliet. Den handlar emellertid endast i liten utsträckning om allmänna handlingar, lagen om offentlighet och sekretess och säkerhetsskydd. Däremot innehåller utbildningen en hel del om intern styrning och kontroll och information om internrevision. Härtill finns en vägledning från Regeringskansliet 849 om att vara ledamot i en myndighets styrelse. Som vi ser det bör Regeringskansliets introduktion innehålla även en introduktion om informationssäkerhet och säkerhetsskydd. Och i den angivna vägledningen bör tas in ett avsnitt om dessa frågor. Regeringskansliet anordnar även ett introduktionsseminarium för nya myndighetschefer. Vi har tagit del av ett program för ett sådant seminarium från 2024 där det finns ett pass om 30 minuter som handlar om säkerhetsskydd. Inom chefsprogrammet hålls också digitala seminarier på olika teman. År 2022 var temat informationssäkerhet och säkerhetsskydd. Det finns även chefsgrupper, där cheferna själva väljer innehåll, och möjlighet till individuella insatser utformade efter var och ens önskemål. 850 Även här anser vi att större fokus bör ligga på informationssäkerhet och säkerhetsskydd. I sammanhanget kan nämnas att Svenska institutet för standarder anordnar utbildningar inom informationssäkerhet och cybersä-

848 Enligt uppgift från Lantmäteriet i november 2025. 849 Information från Regeringskansliet i september 2025. Se även avsnitt 16.7. 850 Information från Regeringskansliet i november 2025.

381

384

Överväganden

kerhet. Exempelvis finns en utbildning inom systematiskt cyberoch informationssäkerhetsarbete för styrelse- och ledningsmedlemmar. Utbildningen riktar sig till bland annat styrelser, verkställande direktörer och generaldirektörer samt andra ledningsroller i olika verksamheter. Syftet med utbildningen är att ge den högsta ledningen i offentliga eller privata verksamheter verktyg för att styra cyber- och informationssäkerhetsarbetet och att säkerställa att ledningssystemet för informationssäkerhet omfattar efterlevnad av de lagar och andra externa krav som gäller för verksamheten. Utbildningen förtydligar hur lagkrav såsom dataskyddsförordningen och säkerhetsskyddslagen hänger ihop med informationssäkerhetsarbetet. Den ger vägledning omkring hur roller och ansvar kan fördelas för att få i gång det riskbaserade säkerhetsarbetet. Frågor som tas upp är exempelvis hur man säkerställer rapportering till ledningen om informationssäkerhet och cybersäkerhet, hur man kan integrera informationssäkerhet med andra styrområden i verksamheten samt hur man ska arbeta med informationsklassning och vem som bör vara informationsägare. 851 Vi anser att denna utbildning är ett bra exempel på vilka frågor som är viktiga att ha kunskap om som chef eller medlem i en statlig styrelse. Ytterligare ett exempel som kan nämnas är att Lantmäteriet tagit fasta på EU:s informationssäkerhetsmånad i syfte att öka medveten- 852 heten om informations- och cybersäkerhetsfrågor. Lantmäteriet har i oktober 2025 genomfört informationssäkerhetsmånaden med följande aktiviteter. 853 – Ny skärmsläckare varje vecka med tips/påminnelser på hur man som användare bidrar till att öka informationssäkerheten. – Artiklar om informationssäkerhet på Insikten (Lantmäteriets intranät), en per vecka. Varje artikel innehöll länk till medvetandehöjande filmmaterial från MCF, en film per artikel. – Frågesport där man behövde visa att man varit inne och läst om informationssäkerhet på Insikten.

851 Information på https://www.sis.se/Utbildning/utbildningar/styrning-och-riskkontrollav-information-och-cybersakerhet, hämtat den 26 januari 2026.

382

385

Överväganden

17.15.2 Uppgiftsskyldighet för fastighetsägare och ett råd för

informations- och cybersäkerhet vid Lantmäteriet

Utredningens förslag: Samtliga fastighetsägare och andra aktörer som hanterar fastigheter eller samhällsviktiga anläggningar eller verksamheter av betydelse för Sveriges säkerhet bör vara skyldiga att löpande lämna uppgifter till Lantmäteriet om sådana fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Uppgiftsskyldigheten bör vara författningsreglerad. Ett råd med fokus på informations- och cybersäkerhet, med representation från offentlig- och privaträttsliga subjekt som driver säkerhetskänslig verksamhet av betydelse för Sveriges säkerhet, bör inrättas vid Lantmäteriet. Rådet ska vara en del i att Lantmäteriet ska kunna ta ansvar för informationssäkerheten inom sitt verksamhetsområde. Rådet ska bidra till ökad kunskap och kompetens hos de aktörer som hanterar säkerhetskyddsklassificerad information eller i övrigt uppgifter av betydelse för Sveriges säkerhet. Frågan om uppgiftsskyldighet för berörda subjekt och den närmare utformningen av ett råd för informations- och cybersäkerhet bör beredas vidare inom Regeringskansliet. I det innefattas nödvändig författningsreglering.

Skälen för utredningens förslag

När det gäller informationssäkerhet är tre perspektiv i fokus – konfidentialitet, riktighet och tillgänglighet. Det handlar alltså inte bara om att information inte ska komma i orätta händer. Att information är korrekt och inte förvanskas är också prioriterat. Och detsamma gäller att information är tillgänglig i rätt sammanhang och i rätt tid. De tre perspektiven behöver balanseras i den meningen att exempelvis konfidentialitet inte ska leda till problem i fråga om tillgänglighet som leder till begränsningar i, som för Lantmäteriets del samhällsbyggnadsprocessen, som går längre än det syfte som konfidentialiteten tjänar. En tydlig avgränsning och definition av det som är skyddsvärt är en central del i att nå den balans som sammantaget leder till en ändamålsenlig informationssäkerhet. Avgränsningar och

383

386

Överväganden

definitioner är ett fortgående arbete som styrs av de förändringar som en föränderlig verklighet, till exempel omvärld, både nationellt och internationellt, motiverar. Det finns – i vart fall generellt – inte ett givet synsätt på och förhållningssätt till informationssäkerheten som står sig över tid. Ändamålsenliga processer i vilka man kontinuerligt strävar efter att ”ligga rätt” när det gäller gränserna för in formationssäkerheten är nödvändiga i detta. I Lantmäteriets uppdrag att ansvara för och hantera grundläggande geografisk information och fastighetsinformation innefattas informationsmängder om hela Sveriges fastighetsbestånd. Uppgifterna finns i allt väsentligt i Lantmäteriets olika IT-system. I de mycket stora informationsmängder som Lantmäteriet ansvarar för ingår i viss utsträckning känsliga uppgifter som på skilda sätt har betydelse för Sveriges säkerhet. De omfattas därför på olika grunder av sekretess. Eftersom uppgifterna finns hos Lantmäteriet, är det myndighetens ansvar att de skyddas, det vill säga att ansvara för konfidentialiteten. En förutsättning för att Lantmäteriet ska kunna ta det ansvaret är att myndigheten vet vilka uppgifter som är skyddsvärda och varför. Det är bara då som Lantmäteriet har möjlighet att göra en korrekt sekretessprövning vid en begäran om utlämnande. I vissa fall, exempelvis beroende på aktuell fastighetsägare eller verksamhet, står det utan någon närmare utredning klart att fastighetsinformation är känslig och bör omfattas av sekretess. I andra fall finns emellertid inte ett sådant underlag att Lantmäteriet har möjlighet att bedöma om och i så fall i vilken utsträckning som uppgifter är skyddsvärda, till exempel säkerhetsskyddsklassificerade uppgifter. För att Lantmäteriet på ett säkert sätt ska kunna ansvara även för känslig fastighetsinformation behöver myndigheten i många fall få information om att vissa uppgifter är skyddsvärda. Det är information som primärt finns hos berörda fastighetsägare som driver verksamhet av betydelse för Sveriges säkerhet. Frågan är hur Lantmäteriet ska få det underlag som behövs för att kunna göra adekvata bedömningar av skyddsvärdet hos den fastighetsinformation som myndigheten löpande förses med i sin verksamhet och som tas in i och hanteras i bland annat fastighetsregistret och Arken. Enligt vår mening framstår det som naturligt att fastighetsägare och verksamhetsutövare, som primära informationsägare med kunskap om informationsmängderna i verksamheten, bör ansvara för att förse Lantmäteriet med det underlag som behövs för att myndighe-

384

387

Överväganden

ten ska kunna klassificera uppgifterna utifrån ett informationssäkerhetsperspektiv. Det är också vår bedömning att ansvaret för att på detta sätt bidra till Sveriges säkerhet inte bör vara valbart. Det talar som vi ser det för att uppgiftsskyldigheten bör författningsregleras. Vilka samhällsviktiga aktörer som berörs bör definieras utifrån ett totalförsvarsperspektiv, det vill säga även det civila försvaret. Alla berörda samhällsviktiga och därmed på olika sätt skyddsvärda aktörer och funktioner bör omfattas. Dessa bör – med stöd i författning – ha ett ansvar för att löpande lämna uppgifter till Lantmäteriet om fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Hur en sådan uppgiftsskyldighet närmare bör utformas ligger dock utanför vårt uppdrag och får övervägas i annat sammanhang. Som ett led i att utveckla förmågan att på ett säkert sätt ta ansvar för skyddsvärda fastighetsuppgifter driver Lantmäteriet i dag bland annat ett arbete med dialoger med ett antal samhällsviktiga aktörer. Syftet är att identifiera känsliga uppgifter utifrån olika samhällsviktiga perspektiv. 854 Som ett led i det arbetet tas fram och används kriterier som fångar säkerhetskänslig information som Lantmäteriet kan använda för att komma fram till vilka uppgifter som bör omfattas av sekretess. Fastighetsregisterlagsutredningen har nyligen föreslagit bland annat att ett nytt samverkansorgan, med representation från relevanta myndigheter och företag, bör inrättas vid Lantmäteriet för övergripande diskussioner och avstämningar av olika säkerhetsanknutna frågor kopplade till främst myndighetens fastighetsregister- och tillhandahållandeverksamhet. 855 Utredningen hade haft kontakter med olika intressenter inom främst telekom och elproduktion och eldistribution men också med flera myndigheter och bland annat diskuterat behovet av en uppgiftsskyldighet gentemot myndigheter med ansvar inom informationssäkerhetsområdet. Det som efterfrågades vid dessa kontakter var samverkan och samarbete snarare än lagregler för att höja den samlade förmågan att skydda känslig fastighetsinformation från olika typer av angrepp. Aktörerna menade bland annat att det i olika organisationer görs olika bedömningar vad gäller till exempel behovet av att skydda vissa uppgifter. Utred-

854 Se avsnitt 14.3.2. 855 SOU 2024:7, s. 613 f.

385

388

Överväganden

ningen föreslog att samverkansorganet skulle utgöra ett råd och benämnas informations- och cybersäkerhetsråd. I remissvar över betänkandet tillstyrkte Lantmäteriet förslaget om ett nytt samverkansorgan, men såg bland annat ett behov av att det i myndighetens instruktion i vart fall delvis skulle föreskrivas vilka myndigheter som ska delta i rådet. 856 Genom dialoger med berörda aktörer skapas förutsättningar för en fortgående utveckling av synen på och även samsyn när det gäller verksamhetsutövares olika skyddsvärden. Möjligheterna ökar för ett mer konsekvent skydd av uppgifter som var för sig eller i sammanställd form skulle kunna skada Sveriges säkerhet. De sammanställningar som i dag kan genereras med hjälp av artificiell intelligens utgör särskilda risker med konsekvenser som är svårare att överblicka än tidigare. Det perspektivet kan lämpligen också diskuteras i samverkan mellan Lantmäteriet och berörda aktörer. Fastighetsregisterutredningen konstaterade att en verksamhetsutövares yrkanden i samband med en ansökan om fastighetsbildning kunde leda till beslut som på ett onödigt detaljerat sätt ger en bild av verksamhetens art som i sin tur skulle kunna skada Sveriges säkerhet. Sannolikt kan dialoger som ger ökad kunskap och högre kompetens i fråga om vilka uppgifter som behöver registreras och arkiveras respektive inte ska sparas utifrån ett informationssäkerhetsperspektiv leda till högre kvalitet i tillämpningen av säkerhetsskyddslagen och övriga berörda författningar. Samtidigt kan Lantmäteriets förutsättningar att sovra bland de uppgifter som i dag läggs in i registren öka. I regeringens beslut i december 2020 om ett nationellt cybersäkerhetscenter 857 uttalas att det övergripande målet med centret är att stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot. Samverkan med privata och offentliga aktörer ska enligt regeringen utgöra en central del av uppdraget. Samma synsätt kan appliceras på Lantmäteriets verksamhet och förutsättningar att skydda säkerhetskänslig information och att begränsa information i register och arkiv till det som är nödvändigt i myndighetens verksamhet.

856 Lantmäteriets remissvar den 20 september 2024, LM2024/019026. Enligt uppgift från Justitiedepartementet i januari 2026 finns det ännu inte någon exakt tidplan för när de delar av betänkandet som rör fastighetsregistret ska tas om hand. 857 Fö2019/01330.

386

389

Överväganden

Fastighetsregisterutredningen exemplifierar vilka aktörer som naturligt skulle komma att ingå i ett samverkansorgan, till exempel aktörer inom elproduktion, eldistribution och telekom. Andra aktörer som nämns är bland andra Försvarsmakten, Försvarets radioanstalt, Säkerhetspolisen samt Polismyndigheten och MCF. Utredningen diskuterar i det sammanhanget tillsynsmyndigheten roll. Som nämnts tidigare instämmer vi i den delen i utredningens syn på skillnaden mellan rådgivning och vägledning. Som vi ser det får det anses naturligt att Säkerhetspolisen i ett sammanhang av det här slaget bidrar med vägledning, exempelvis utifrån de föreskrifter om informationssäkerhet som myndigheten beslutat och som berörda aktörer har att tillämpa. I det hänseendet finns inte något motsatsförhållande mellan tillsynsrollen och att vara en del i den kompetensutveckling som bidrar till Sveriges säkerhet. Enligt vår bedömning finns det anledning att ta fasta på Fastighetsregisterutredningens förslag om ett samverkansorgan – ett råd. 858 Det ligger som framgått i det föregående helt i linje med Lantmäteriets redan pågående dialoger och arbete med kriterier. Den inriktningen på arbetet med informationssäkerhet anser vi bör fortsätta genom att Lantmäteriet på årsbasis för dialoger med samtliga berörda fastighetsägare och även med de som på fastighet driver samhällsviktig verksamhet som har betydelse för Sveriges säkerhet. Dialogerna för att identifiera säkerhetsskyddsklassificerade uppgifter, som behöver hållas löpande eftersom förhållandena kan förändras, skulle kunna hanteras inom ramen för ett sådant råd. Att inrätta ett råd hade också fört med sig ökade möjligheter att generellt få ett större fokus på informationssäkerhetsfrågor. Och det gäller inte bara inom Lantmäteriet, det gäller också övriga berörda aktörer. Utifrån ett övergripande perspektiv skulle, med en sådan ordning, Sveriges säkerhet gynnas på flera plan. Fastighetsregisterutredningen har inte lämnat något förslag om författningsreglering kopplad till det informations- och cybersäkerhetsråd som utredningen föreslår annat än att det i instruktionen för Lantmäteriet tas in bestämmelser om rådet som en uppgift för myndigheten att hantera. Hur det gemensamma arbetet i rådet ska komma till stånd diskuteras inte närmare annat än att det ges exempel på några samhällsviktiga aktörer. Någon fullständig genomgång av be-

858 Jämför prop. 2020/21:30, s. 151 f.

387

390

Överväganden

rörda verksamhetsutövare görs inte. Som vi ser det behöver frågan om utformningen av ett råd övervägas ytterligare. Bland annat behöver berörda samhällsviktiga aktörer identifieras. Författningsstöd bör ges som lämpligen kan kopplas till en författningsreglerad uppgiftsskyldighet för den vars fastighetsuppgifter ska finnas i Lantmäteriets register och arkiv. Den nyssnämnda uppgiftsskyldigheten och delaktigheten i ett råd har samma utgångspunkter – att utifrån en samhällsviktig funktion vara en del i Sveriges säkerhet. För detta ändamål bör, som Fastighetsregisterutredningen har föreslagit, ett råd inrättas. Arbetet i rådet bör riktas in på att definiera skyddsvärda objekt och funktioner och därmed skyddsvärda uppgifter. En annan del är ökad kunskap och kompetensutveckling när det gäller informationssäkerhet till skydd för Sveriges säkerhet. Genom att många samhällsviktiga aktörer berörs, inom i stort sett alla samhällssektorer, finns mycket goda förutsättningar för ökad kvalitet när det gäller hur säkerhetskänslig information hanteras. Och det gäller inte bara hos Lantmäteriet och i myndighetens register och arkiv utan samtidigt i verksamheten hos respektive samhällsviktig aktör. Nämnas i sammanhanget bör de kommunala lantmäterimyndigheterna som i sin fastighetsbildningsverksamhet använder uppgifter som finns i Lantmäteriets register och arkiv och även Lantmäteriets handläggningssystem. De kommunala lantmäterimyndigheterna hämtar uppgifter från Lantmäteriets IT-system och returnerar ny information in i systemen utan att Lantmäteriet i den processen tar ställning till vare sig uppgifternas känslighet utifrån ett informationssäkerhetsperspektiv eller om uppgifterna är nödvändiga att arkivera. De kommunala lantmäterimyndigheterna bör vara representerade i ett information- och cybersäkerhetsråd. Tilläggas kan att ledamöterna i rådet, i denna funktion, av naturliga skäl, ska vara säkerhetsprövade och att Lantmäteriet bör ansvara för den prövningen. Frågan om författningsreglering i berörda hänseenden och den närmare utformningen av ett informations- och cybersäkerhetsråd bör beredas vidare inom Regeringskansliet.

388

391

18 Arkivansvaret för de kommunala

lantmäterimyndigheternas akter

18.1 Kapitlets innehåll

I detta kapitel beskrivs vårt uppdrag och våra överväganden i fråga om arkivansvaret för de kommunala Lantmäterimyndigheternas akter. Kapitlet innehåller en kort bakgrundsbeskrivning av de kommunala lantmäterimyndigheternas arkivering i Arken, en beskrivning av regleringen av nuvarande arkivansvar, en beskrivning av tillsyn relaterad till arkivfrågor samt synpunkter från några aktörer. Vidare tas frågor upp som hänger samman med personuppgiftsansvaret för akter i Arken och utlämnande av de kommunala lantmäterimyndigheternas akter från Arken.

18.2 Utgångspunkter för vårt uppdrag

Vårt uppdrag i den här delen är formulerat på så sätt att vi ska utreda om Lantmäteriet bör ha fortsatt arkivansvar och ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheternas akter samt, om så inte är fallet, lämna förslag på vilken eller vilka aktörer som i stället framstår som lämpliga för att ta över ansvaret för dessa uppgifter.

Lantmäteriet har i dagsläget inte något att göra med de kommunala lantmäterimyndigheternas fysiska akter, som i viss mån fortfarande förekommer eller finns kvar hos kommunerna sedan tidigare. Uppdraget tar därför sikte endast på de digitala fastighetsbildningsakter som Lantmäteriet enligt avtal förvarar i Arken åt dessa myndigheter. Formuleringen i vårt uppdrag om att vi ska utreda om Lantmäteriet bör ha fortsatt arkivansvar för de kommunala lantmäterimyn-

389

392

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

digheternas akter kan uppfattas på olika sätt. En sak är att de kommunala lantmäterimyndigheternas akter förvaras digitalt hos Lantmäteriet med det ansvar för aktmaterialet som ligger i det. En annan sak är arkivansvaret i formell mening. I vår granskning har vi noterat att flertalet aktörer utgått från att det är de kommunala lantmäterimyndigheterna som i rättslig mening har arkivansvaret för sina akter, inte Lantmäteriet. Vi har emellertid inte fått några indikationer som tyder på att frågan om arkivansvaret är rättsligt klarlagd.

18.3 Allmänt om de kommunala

lantmäterimyndigheterna

Det finns ett relativt nytt betänkande, från oktober 2025, En bättre organisering av fastighetsbildningsverksamheten (SOU 2025:98), som rör de kommunala lantmäterimyndigheterna. I betänkandet redogörs ingående för bland annat historiken, de rättsliga förutsättningarna samt myndigheternas organisation, storlek och ärendestatistik. Vi hänvisar till det betänkandet för mer information om de kommunala lantmäterimyndigheterna. I dag finns kommunala lantmäterimyndigheter i 40 av landets kommuner. Storleken på kommunerna varierar och följaktligen också antalet förrättningar och komplexitet i de ärenden som respektive kommunal lantmäterimyndighet handlägger. Alla tre storstadskommuner har egna kommunala lantmäterimyndigheter och de i Göteborg och Stockholm hör till landets största. Sett till folkmängd per kommun bor cirka 50 procent av landets befolkning i de 250 kommuner där Lantmäteriet svarar för fastighetsbildningsverksamheten. Återstående cirka 50 procent av landets befolkning bor i de 40 kommuner där en kommunal lantmäterimyndighet svarar för 859 fastighetsbildningsverksamheten. Förutsättningarna för att inrätta kommunala lantmäterimyndigheter och befogenheterna för dessa framgår av lagen (1995:1393) om kommunal lantmäterimyndighet, som trädde i kraft den 1 januari 1996. En kommunal lantmäterimyndighet handlägger bland annat ärenden om fastighetsbildning, fastighetsbestämning, särskild gränsutmärkning och fastighetsregistrering inom kommunen. En kom-

859 SOU 2025:98 bilaga 3, s. 542.

390

393

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

munal lantmäterimyndighet ska dock överlämna vissa ärenden till Lantmäteriet. Det gäller förrättningar i vissa fall där sakägaren begär det, förrättningar som avser flera lantmäterimyndigheters verksamhetsområden, stora jord- och skogsbruksförrättningar som inte omfattar ny bebyggelse och andra särskilda förrättningar som av kompetens- eller resursskäl inte bör handläggas hos myndigheten. Lantmäteriet bedriver tillsyn av de kommunala lantmäterimyndigheterna. 860 Vi har tagit del av Lantmäteriets tillsynsrapporter och tillsynskrivelser för åren 2021 – 2024. Referenser till Lantmäteriets tillsyn görs i det följande enbart genom hänvisning till kommun och tillsynsår.

18.4 Kommunala lantmäterimyndigheters arkivering

av handlingar hos Lantmäteriet

Flera kommuners förrättningsarkiv har helt digitaliserats. Även plandokument som finns registrerade i fastighetsregistret kan vara digitaliserade. Lantmäteriet lagrar kommunala lantmäterimyndigheters digitala arkivakter från förrättningar i Arken. I den följande beskrivningen bortses från ärenden där kända säkerhetsskyddsklassificerade uppgifter förekommer. 861 När ett ärende får laga kraft registreras förrättningen i fastighetsregistret av den kommunala lantmäterimyndigheten genom Trossen. Den digitala registerkartan, som är en del av fastighetsregistret, upp- 862 dateras från kartprogrammet. Arkiveringen sker digitalt genom att en arkivakt skapas i Trossen och sparas i Arken. Det kan även förekomma att fysiska handlingar i original, exempelvis vid skyddade personuppgifter, läggs i ett arkiv hos kommunen och att analog arkivering i viss mån sker av andra skäl. Analoga akter kan efter inskanning till Arken även fortsätta förvaras i ett eget arkiv hos kommunen, alternativt kommun- eller stadsarkiv, där även äldre förrättningsakter finns arkiverade. 863

860 Se 5 och 6 §§ lagen om kommunal lantmäterimyndighet. Uppräkningen i 5 § är dock inte uttömmande. Kommunala lantmäterimyndigheter handlägger även ärenden enligt andra lagstiftningar. 861 Lantmäteriets Säkerhetsskyddsanalys, LM2025/088391, s. 27 och 30. 862 GeoSecma för de kommunala lantmäterimyndigheter som använder det systemet, i annat fall används systemet Bryggan. 863 Information från tillsynsprotokoll, exempelvis Huddinge och Jönköping 2021, samt samtal med olika kommunala lantmäterimyndigheter i september och oktober 2025.

391

394

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

18.4.1 Rättsliga förutsättningar för arkivet

Arkivlagen

Arkivlagen gäller för arkiv hos alla typer av myndigheter, såväl statliga som kommunala. En myndighets arkiv bildas bland annat av de allmänna handlingarna från myndighetens verksamhet. I arkivlagen beskrivs bland annat hur arkivet ska organiseras och vårdas samt vad som gäller för upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter. 864 En kommunal myndighet får, förutom vid gallring eller särskilda varianter av övertaganden och överlämnanden, avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av lag, eller särskilt beslut av kommunfullmäktige eller regionfullmäktige. 865 I förarbetena till arkivlagen anges att överlämnande till annan myndighet ska kunna ske exempelvis när det gäller kvalificerat hemliga handlingar som helt eller till vissa delar har upprättats hos en myndighet men som av sekretesskäl bör finnas samlade hos en 866 annan, överordnad myndighet.

Arkivförordningen

I arkivförordningen (1991:446) finns ytterligare bestämmelser om arkiv och arkivmyndigheter. Sedan ett ärende hos en myndighet slutbehandlats ska de allmänna handlingarna i ärendet arkiveras. I samband med det ska myndigheten pröva i vilken omfattning exempelvis minnesanteckningar, utkast och koncept ska tas om hand för arkivering. Allmänna handlingar som inte hör till ett ärende ska arkiveras så snart de har justerats av myndigheten eller färdigställts på annat sätt. 867 Det är Riksarkivet som är statlig arkivmyndighet. Riksarkivet får meddela föreskrifter om statliga myndigheters (inte kommunala) arkiv, bland annat i fråga om överlämnande av hela arkivet eller delar därav till en annan myndighet eller till en arkivmyndighet. 868 För

864 Se kapitel 2 för en utförligare beskrivning av lagen. 865 15 § arkivlagen. 866 Prop. 1989/90 :72 s. 78. 867 3 §. 868 8 och 11 §§.

392

395

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

kommunernas del är det kommunstyrelsen eller annan nämnd som är kommunal arkivmyndighet. Den kommunala förvaltning som har hand om detta brukar kallas kommunarkiv eller stadsarkiv. I vissa fall av samverkan, exempelvis i Göteborg, finns ett regionarkiv som bevarar och tillgängliggör arkiven från både stad och region.

Lantmäteriets instruktion och Arkenförordningen

I kapitel 11 har redogjorts närmare för Lantmäteriets uppgifter i instruktionen i fråga om Arken och tillhandahållandetjänsterna. Där, samt i kapitel 4, har också beskrivits vad som förekommit i myndighetens regleringsbrev. Även den så kallade Arkenförordningen har beskrivits i kapitel 11. Där har Lantmäteriets uppfattning om förordningen beskrivits, vilket är att den över huvud taget inte är tillämplig på Arken utifrån att man menar att flertalet rättsliga bedömningar som låg till grund för förordningen var oriktiga. Lantmäteriet bedömer att den databas som förordningen avser aldrig har existerat och att enskilda bestämmelser i förordningen strider mot lag om de skulle tillämpas på arkivhandlingarna i Lantmäteriets digitala arkiv Arken. 869

Avtal mellan Lantmäteriet och kommuner

Lantmäteriet lagrar och tillhandahåller de kommunala lantmäterimyndigheternas arkivakter med stöd av avtal. Enligt Lantmäteriet är det en möjlighet som kan utläsas i Lantmäteriets instruktion samt regleringsbrev, om än en tydligare reglering enligt myndigheten hade varit önskvärd. 870 Vi har tagit del av avtal om arkivering mellan Lantmäteriet och ett antal kommuner. 871 Det kan noteras att de avtal vi har tagit del av är från åren 2016 – 2018. De hänvisar till personuppgiftslagen och har inte uppdaterats sedan dataskyddsförordningen trätt i kraft.

869 Promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 23 – 29. 870 Information från Lantmäteriet, november 2025. 871 I avtalen används genomgående uttrycket arkivering, bortsett från i avtalsrubriken, men Lantmäteriet har i november 2025 uppgett att uttrycket lagring genomgående i stället hade varit mer korrekt.

393

396

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

Enligt uppgifter från såväl Lantmäteriet som de kommunala lantmäterimyndigheterna är samtliga avtal, rubricerade Avtal om lagring i Lantmäteriets digitala arkiv, Arken, så kallade Arkenavtal, i det närmaste likalydande och utgår från samma mall. Av avtalen framgår bland annat följande om bakgrunden och vad avtalen avser. 872 Kommunen har för sin kommunala lantmäterimyndighets behov ett intresse av ett fortsatt samarbete med Lantmäteriet för att vidmakthålla ett aktuellt och nationellt digitalt arkiv för förrättningsakter. Avtalet avser därför arkivering, mot en avgift, av digitala förrättningsakter i original, genom inskanning av digitaliserade analoga förrättningsakter samt planer. Kommunen är arkivmyndighet och arkiverar sina förrättningsakter i Arken, som Lantmäteriet förvaltar. Avtalet omfattar även sådana planer och bestämmelser som är inskannade från analoga original eller utgör kopior av digitala original och som kommunen valt att förvara digitalt i Arken. Av avtalen framgår vidare att Lantmäteriet åtar sig att till kommunen leverera en fysisk kopia av kommunens databas en gång i halvåret, och att på anmälan från kommunen utföra mindre kompletteringar eller rättelser i metadata. Större kompletterings- och rättelsearbeten kan utföras endast efter särskild överenskommelse mellan Lantmäteriet och kommunen. Gällande kraven på arkiveringen anges att Lantmäteriet ansvarar för att Arken uppfyller de generella krav på funktionalitet som framgår av följande definition av e-arkiv: • e-arkiv är ett system för bevarande av allmänna handlingar över tid • i e-arkivet är de allmänna handlingarna frikopplade från de system i vilka de skapats • e-arkivet innehåller funktioner för inleverans, arkivering, lagring, gallring, administration, återsökning och utlämnande • e-arkivet säkerställer upprätthållande av autenticitet, tillförlitlighet, integritet och användbarhet hos de allmänna handlingarna

872 Enligt information från Lantmäteriet, november 2025, avser avtalen Lantmäteriets ansvar för digitala kopior. Det har dock enligt vår bedömning inte kommit till uttryck i avtalen och synes inte heller vara samtliga kommunala lantmäterimyndigheters uppfattning, utan en del anser tvärtom att deras digitala akter från senare år finns i original i Arken och i vissa fall enbart i Arken. Frågan om vilken typ av handling som kan utgöra ett digitalt original kan, som framgår av våra överväganden, behöva utredas.

394

397

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

• e-arkivets funktioner säkrar handlingarna från informationsförluster genom validering samt kontinuerliga kontroller och tester Vidare anges om kraven på arkiveringen bland annat att Lantmäteriet ska ansvara för att Arken uppfyller angivna av Riksarkivets aktuella föreskrifter och allmänna råd samt andra relevanta författningar av betydelse för ändamålsenlig arkivering. Beträffande kommunens åtaganden anges att kommunen ska spara en egen kopia av det aktmaterial som arkiveras i databasen, att kommunen bekostar och genomför digitaliseringen av sina förrättningsakter samt förberedelserna för detta och att kommunen ska följa Lantmäteriets eventuella anvisningar som behövs för att arkivering kan genomföras på ett kostnadseffektivt sätt enligt gällande regler. När det gäller kommunernas nyttjanderätt till informationen i Arken uppges i avtalen att den inte regleras där utan i andra avtal. Vidare uppges att Lantmäteriet äger rätt att nyttja informationen i Arken i sin myndighetsutövning. Lantmäteriets rätt att sälja information 873 eller kopior av handlingar som arkiverats i Arken uppges regleras i särskilda avtal, till exempel avtal om Arkivsök eller avtal om Geodatasamverkan (se mer om innehållet i sådana avtal i kapitel 11 om extern direktåtkomst till olika digitala tjänster). Lantmäteriet uppges i avtalen vara personuppgiftsansvarig myndighet för Arken. 874 Enligt avtalen ska Lantmäteriet vidare beakta bestämmelserna i bland annat offentlighets- och sekretesslagen och andra författningar där frågor om sekretess, säkerhet och informationsansvar regleras. De kommunala lantmäterimyndigheterna har härtill tillgång till andra system, såsom handläggningsstödet Trossen samt AktDirekt, ArkivSök och FRWebb som är tjänster som kopplar till Arken. De kommunala lantmäterimyndigheterna lägger upp sina egna behörigheter. 875

873 Lantmäteriet uppger i november 2025 att det är tveksamt om de hänvisade avtalen verkligen reglerar rätten att sälja information, vilket vi också anser vara tveksamt. 874 Denna skrivning är enligt uppgift från Lantmäteriet i december 2025 sannolikt endast en upplysning om vad som gäller enligt Arkenförordningen. Däremot borde det enligt Lantmäteriet möjligen ha uttryckts som att Lantmäteriets ansvar avser tillhandahållandet i enlighet med Arkenförordningen. 875 Rapporten Risker i tillhandahållande av akter och konsekvenser vid borttagande av digitala tjänster, den 6 maj 2024.

395

398

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

18.5 Tillsyn av arkivrelaterade frågor

18.5.1 Allmänt om tillsynen

Som tidigare beskrivits bedrivs tillsyn av arkiv av arkivmyndigheterna. Riksarkivet är den statliga arkivmyndigheten medan kommunstyrelsen i regel är arkivmyndighet i kommunen. Vi har inte utrett i vilken utsträckning kommunstyrelserna i respektive kommun har utövat tillsyn över sina kommunala lantmäterimyndigheters arkiv. Det är däremot klarlagt att Riksarkivet inte har utfört någon sådan tillsyn, eftersom det rör sig om kommunal verksamhet. I fråga om säkerhetsskyddslagen är det också klarlagt att länsstyrelser efter den särskilda händelsen i viss skala inlett tillsyn. Vid Lantmäteriets ordinarie tillsyn av de kommunala lantmäterimyndigheterna har frågor om arkiv och allmänna handlingar berörts i vissa fall.

18.5.2 Lantmäteriets tillsyn

Av Lantmäteriets instruktioner inför ett planerat tillsynsbesök framgår att den kommunala lantmäterimyndigheten uppmanas redovisa bland annat uppgifter om myndighetens registrering och registervård samt förvaltningsrättslig regelefterlevnad. Specifika detaljer inom dessa områden är bland annat arkivering, system och rutiner för diarieföring, förvaring av handlingar samt rutiner för personuppgiftshantering och skyddade personuppgifter. 876 Tillsynen har inte i något fall handlat om arkivansvaret för de kommunala lantmäterimyndigheternas akter i Arken.

18.6 Allmänna handlingar och personuppgifter

18.6.1 Utlämnande av allmänna handlingar ur Arken

När det ska lämnas ut handlingar från de kommunala lantmäterimyndigheternas akter i Arken har såväl Lantmäteriet som de kommunala lantmäterimyndigheterna ansett sig ha tillgång till hand-

876 Skrivelsen Lantmäteriets ansvar för tillsyn över de kommunala lantmäterimyndigheterna enligt gällande rätt den 28 maj 2025, LM2025/051647.

396

399

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

lingarna som allmänna hos dem. Den myndighet som fått en begäran om att få ut en allmän handling – Lantmäteriet eller aktuell kommunal lantmäterimyndighet – har därmed kunnat lämna ut handlingar, i vilket ingår att bedöma om handlingarna kan lämnas ut eller om de innehåller uppgifter som omfattas av sekretess.

18.6.2 Personuppgiftsansvaret i Arken

Arken och Arkenförordningen beskrivs närmare i kapitel 11 och i kapitel 15 redovisas Lantmäteriets personuppgiftsbehandling i Arken. I det följande redogörs för några ytterligare frågor relaterade till de kommunala lantmäterimyndigheterna. Lantmäteriet har, i fråga om personuppgiftsansvaret enligt 3 § Arkenförordningen, framfört uppfattningen att myndigheten lagrar och tillhandahåller de kommunala lantmäterimyndigheternas arkivakter med stöd av avtal samt att Lantmäteriet inte har tagit över ansvaret för de kommunala lantmäterimyndigheternas arkivhandlingar. Det saknas enligt Lantmäteriet författningsstöd för myndigheten att ta över personuppgiftsansvaret för personuppgifter i kommunala lantmäterimyndigheters arkivhandlingar. 877 Vi har tagit del av artikel 30-register från några kommunala lantmäterimyndigheter. I dessa tas inte behandlingen i form av arkivering eller hantering i Arken upp, och inte heller själva överlämnandet av uppgifter till Arken. I Lantmäteriets artikel 30-register anges emellertid på ett flertal ställen Lantmäteriet som personuppgiftsansvarig för Arken och för AktDirekt. I fråga om AktDirekt anges ändamålet med behandlingen vara att tillgängliggöra akter utifrån en rättslig förpliktelse. Lantmäteriet har uppgett att innebörden av det som anges i fråga om Arken i artikel 30registret är att Lantmäteriet är personuppgiftsansvarig för sina egna arkivakter och inte för de kommunala lantmäterimyndigheternas akter. Några personuppgiftsbiträdesavtal, så kallade PUB-avtal, avseende Arken finns inte. Enligt uppgift från Lantmäteriet beror det på att det har saknats ett helhetsgrepp om frågan och arbete med

877 Promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 23 – 29. Lantmäteriet hänvisar till att utgångspunkten i författningsförslaget från 2003 var att arkivansvaret skulle ligga kvar på respektive arkivbildare. Samtidigt angavs i förslaget att respektive myndighet skulle vara personuppgiftsansvarig för den behandling som den myndigheten utförde.

397

400

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

den har pågått under lång tid. Dataskyddsombudet har dock enligt egen uppgift inte involverats i något sådant arbete. 878

18.7 Inhämtade synpunkter om arkivansvaret

18.7.1 Sveriges kommuner och Regioner (SKR)

SKR har vid kontakter under vår granskning uppgett i huvudsak följande om arkivfrågan. Lagringen i Arken regleras genom avtal. Utan avtalen hade de kommunala lantmäterimyndigheterna inte behövt lämna över handlingar till Lantmäteriet, utan man var överens om att göra på detta sätt. Det ansågs vara en förenkling att använda samma arkiv men det är svårt att se att arkivansvaret kan flyttas över för att man är överens om ett lagringssätt genom avtal, eftersom avtal kan sägas upp. Det är en fråga i sig om upplägget verkligen ska regleras på avtalsbasis eller på annat sätt. Lantmäteriet kan antagligen inte anses ha arkivansvaret, eftersom avtalen bara reglerar den digitala delen, det vill säga systemet Arken som handlingar läggs in i. Originalhandlingar finns också kvar på kommunerna i fysisk form. Arken kopplar till andra system och om man inte förvarar akterna i Arken har man inte tillgång till uppgifterna i de systemen. 879 De uppgifter som arkiveras i Arken är en nödvändig förutsättning för att kommunerna och de kommunala lantmäterimyndigheterna ska kunna bedriva den verksamhet de enligt lag ska utföra. Lösningen med ett gemensamt digitalt arkiv kom till för att kunna få en effektiv åtkomst till uppgifterna. Utan en sådan åtkomst finns inte förutsättningar för ett gemensamt arkiv. Det gör att arkivfrågan och tillgången till uppgifterna inte kan separeras utan måste behandlas i ett sammanhang. 880

18.7.2 Några kommunala lantmäterimyndigheter

Vi har haft kontakt med fem kommunala lantmäterimyndigheter, tillhörande kommunerna Göteborg, Halmstad, Sandviken, Stockholm och Trollhättan. Den bild som vi har fått vid kontakterna är relativt samstämmig. Det som förmedlas är att ett nationellt och

878 Information från Lantmäteriet, november och december 2025. 879 Möte mellan utredningen och representanter från SKR den 22 september 2025. 880 E-post till utredningen från SKR, den 2 oktober 2025.

398

401

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

öppet tillgängligt arkiv har varit bra utifrån att många aktörer har behov av arkivuppgifterna samt att samarbetet mellan kommunerna och Lantmäteriet historiskt sett har fungerat väl. Även Lantmäteriet har framfört en liknande uppfattning, men även att uppdelningen med en statlig myndighet och kommunala lantmäterimyndigheter är otydlig och rättsligt svårhanterad. Tydlig reglering och tydliga 881 uppdrag krävs. Den kommunala lantmäterimyndigheten i Sandviken anser att Lantmäteriet inte kan anses ha ett arkivansvar i dag. Varje kommunal lantmäterimyndighet har ett arkivansvar som aldrig har lämnats över till Lantmäteriet. Myndigheterna köper enbart tjänsten att använda Lantmäteriets tekniska system. Frågan är snarare om arkivansvaret ska bli Lantmäteriets. Den kommunala lantmäterimyndigheten i Trollhättan har fört fram att innebörden av avtalen med Lantmäteriet när det gäller arkivansvaret kan diskuteras. Man har inte uppfattat det som möjligt att lämna över sitt arkivansvar utan har sett det som att man lånat arkivplats hos Lantmäteriet. Den kommunala lantmäterimyndigheten i Stockholm anser inte heller att Lantmäteriet har något arkivansvar för deras akter utan att akterna bara lagras där. Även den kommunala lantmäterimyndigheten i Göteborg anser att Arken endast är en lagringsyta. Den kommunala lantmäterimyndigheten i Göteborg har kvar de fysiska originalen av allt som skannats in, vilket gör det möjligt att hämta fysiska akter vid behov. Som den kommunala lantmäterimyndigheten i Göteborg ser det är tre frågor angelägna; det handlar om arkivansvaret, lagringen och tillhandahållandet. Den kommunala lantmäterimyndigheten i Göteborg anser att arkivansvaret bör förbli som det är, det vill säga ligga på respektive myndighet, men att det behöver möjliggöras ett utbyte av information till och från lagringsytan. Det bör ske dels i form av en möjlighet för en kommunal lantmäterimyndighet att fortsätta att leverera information, dels för Lantmäteriet att leverera ut information tillbaka till den kommunala lantmäterimyndigheten även om informationen skulle omfattas av sekretess. Den kommunala lantmäterimyndigheten i Halmstad har samma uppfattning som de övriga i fråga om arkivansvaret och framhåller behovet av ett informationsflöde oavsett vem som förvaltar akterna.

881 Information från Lantmäteriet, november 2025.

399

402

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

18.8 Överväganden i fråga om arkivansvar och

utlämnande av akter

Utredningens bedömning: Arkivansvaret bör ligga på den myndighet som skapar arkivmaterialet. De kommunala lantmäterimyndigheterna förvarar digitala arkivakter i Arken och har arkivansvaret för dessa. Lantmäteriet har inte något arkivansvar för akterna. Det finns inte skäl att ändra denna ordning. Dock bör övervägas att i författning tydliggöra att respektive myndighet har ansvar för att arkivera sin information. Det bör förtydligas även vad som gäller om ansvaret för arkiveringssystemet som sådant. Även om Lantmäteriet inte har arkivansvar för de kommunala lantmäterimyndigheternas akter har Lantmäteriet ansvar för att lämna ut sådana akter från Arken som myndigheten har tillgång till.

Skälen för utredningens bedömning

Inledning till frågeställningen om arkivansvaret

Frågan om vilken myndighet som har arkivansvar för en kommunal lantmäterimyndighets akt som förvaras i Arken har uppkommit enbart av den anledningen att det handlar om ett delat informationssystem. Det är – av naturliga skäl – inte någon som ifrågasätter att det är de kommunala lantmäterimyndigheterna som har arkivansvaret för sina akter som de inte förvarar i Arken. Lantmäteriet har beskrivit det som att det är respektive kommunal lantmäterimyndighet som är arkivbildare för sina arkivakter. De kommunala lantmäterimyndigheterna är informationsägare avseende dessa, medan Lantmäteriet utför och ansvarar för lagringen av de digitala arkivakterna enligt ingångna avtal. Eftersom arkivakterna är inkomna till Lantmäteriet som har tillgång till dem, är de 882 dock allmänna handlingar också hos Lantmäteriet. I samband med den särskilda händelsen, när alla externa tjänster stängdes, distribuerade Lantmäteriet också relativt omgående ut de kommunala lantmäterimyndigheternas akter till dem i särskild

882 Lantmäteriets Säkerhetsskyddsanalys, LM2025/088391, s. 27 och 30.

400

403

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

ordning. Det har beskrivits närmare i kapitlet om den särskilda händelsen. Av Lantmäteriets logg från den här perioden framgår att den dåvarande chefsjuristen, vid en intern avstämning i ledningsgruppen, uppgett att Lantmäteriet inte delat med sig av sin information utan att de kommunala lantmäterimyndigheterna enbart har fått tillbaka sin egen information. Även de kommunala lantmäterimyndigheterna har beskrivit en liknande uppfattning, som också får stöd i såväl avtalen om lagring i Arken som i arkivlagstiftningen. Även om det inte framgår av Arkenförordningen, som avser tillhandahållande från arkivet, kan det också konstateras att avsikten med regleringen enligt den promemoria som föregick förordningen var att Lantmäteriet skulle bära arkivansvaret för det statliga lantmäterimaterialet. Avsikten var vidare att respektive kommunal myndighet skulle bära ansvaret för det kommunala lantmäterimaterialet. 883 Det finns inte någon särskild bestämmelse i arkivlagen som kan tillämpas för att lämna över arkivmaterial till Lantmäteriet, eftersom den inte är en utpekad arkivmyndighet. Det har inte heller kommit fram att det skulle vara kommunfullmäktige i respektive kommun som beslutat att lämna över allmänna handlingar till Lantmäteriet. Det vore den sista tänkbara möjligheten för en kommunal myndighet att avhända sig allmänna handlingar. 884 Därmed återstår att bedöma hur man ska se på ansvaret för arkivet utifrån att det är fråga om ett delat system.

Arkivbildning i delade system

Ett möjligt skäl att se Lantmäteriet som arkivansvarig är bestämmelsen om att upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, bara ska bilda arkiv hos den myndighet som svarar för 885 huvuddelen av upptagningen. Av en kommentar till den bestämmelsen framgår bland annat följande. Undantaget är nödvändigt eftersom en upptagning för

883 Promemorian Författningsreglering rörande tillhandahållande m.m. av fastighetsinformation ur digitala arkiv, Lantmäteriet och Domstolsverket den 7 oktober 2003, 500-2003/472, s. 7 och 13. 884 Jämför 9 och 15 §§ arkivlagen. 885 3 § arkivlagen.

401

404

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

automatiserad behandling som är tillgänglig för flera myndigheter på så sätt att de exempelvis kan läsa innehållet, anses förvarad hos och inkommen till samtliga myndigheter som kan läsa den (se 2 kap. 6 och 9 §§ tryckfrihetsförordningen). Upptagningen är därmed allmän handling hos samtliga myndigheter som kan ta del av den. Ur arkivsynpunkt är det onödigt att arkivera upptagningen på flera ställen. Av förarbetena framgår att avsikten är att beslut om hos vilken myndighet upptagningen ska arkiveras i enskilda fall ska fattas av den arkivmyndighet som har ansvar för den aktuella verksamheten. I praktiken bör det innebära att om en myndighet svarar för huvuddelen av en upptagning för automatiserad behandling, ingår det i myndighetens skyldighet att avgränsa arkivet att ange hos vilken myndighet (den egna eller någon annan) som handlingen ska utgöra arkiv. Med att en myndighet svarar för huvuddelen av upptagningen avses sannolikt att myndigheten förfogar över upptagningen på fler sätt än att endast kunna ta del av information från den, exempelvis genom att kunna tillföra eller ta bort information. Möjligheten att på så sätt förfoga över informationen bör omfatta en större del av 886 informationsmängden i upptagningen. Av Riksarkivets information om arkivbildning i delade system framgår bland annat följande. 887 När två eller flera myndigheter delar användningen av ett gemensamt system ska det stå helt klart vilken av dessa myndigheter som utgör arkivbildare eller om de var för sig är egna arkivbildare i systemet. I fråga om vad som är huvuddelen av en upptagning så behöver det inte enbart omfatta själva informationsmängden, utan kan också omfatta på vilket sätt myndigheten förfogar över den. Enligt Riksarkivets uppfattning bör det även kunna omfatta om myndigheten hanterar lagring, drift- och förvaltning av upptagningen, det vill säga har systemadministrativt ansvar för databasen. Vissa myndigheter har särskilda lagar eller förordningar som säger att de ska hålla särskilda register för vissa specifika ändamål. Då är det också den registerhållande myndigheten enligt lagen eller förordningen som utgör arkivbildare. Ett beslut om att avgränsa sitt arkiv så att uppgifter i ett delat informationssystem endast bildar arkiv hos en av myndigheterna kan inte fattas om det inte är motiverat. Att ingå i ett gemensamt system genom att man överlåter uppgifter inom arkivvården till den som äger och förvaltar systemet är ofta en tillräcklig lösning.

886 Se Geijer och Lövblad, Arkivlagen (18 juni 2025, JUNO), kommentaren till 3 §. 887 Se https://riksarkivet.se/resurser/arkivbildning-i-delade-system#heading-15545-4, hämtat den 5 december 2025.

402

405

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

Lantmäteriet har inte arkivansvar för de kommunala lantmäterimyndigheternas akter i Arken

Av arkivlagen framgår att den myndighet i vars verksamhet arkivet skapas i första hand ska ta hand om arkiveringen av sina handlingar, det vill säga varje arkivbildare är ansvarig för sitt arkiv. Redan härav följer att det enligt huvudregeln inte är Lantmäteriet som har arkivansvaret för en kommunal lantmäterimyndighets akt i Arken. Arkenförordningen syftar endast till att reglera tillhandahållandet ur arkivet och inte arkivansvaret i sig. Den kan därför inte anses vara en sådan särskild förordning som gör Lantmäteriet till arkivbildare i enlighet med Riksarkivets beskrivning. Det behöver vara motiverat varför ett arkiv ska avgränsas till att utgöra endast en myndighets ansvar. Parternas intentioner synes vara att behålla sitt respektive arkivansvar och någon annan överenskommelse om vem handlingarna bildar arkiv hos finns inte. Även dessa omständigheter talar för att arkivansvaret ligger kvar på respektive myndighet. Arkivansvaret för respektive kommunal lantmäterimyndighets förrättningsakter ligger alltså fortfarande kvar hos kommunerna med allt vad det innebär i form av ansvar för arkivvård. Lantmäteriet har därmed inte ett arkivansvar i dagsläget. Den oklarhet som har visat sig finnas i den här frågan skulle enligt vår bedömning behöva tydliggöras i författning, det vill säga att arkivansvaret ligger hos respektive aktör och att en viss uppgift i fråga om lagring eller arkivvård inte innebär ett övertagande av arkivansvaret som sådant. Detta skulle förslagsvis kunna göras i Lantmäteriets instruktion. Innebörden av det nuvarande förhållandet mellan Lantmäteriet och de kommunala lantmäterimyndigheterna och ansvaret för arkiveringssystemet som sådant bör också förtydligas.

Bör arkivansvaret förändras?

Det har enligt vår mening inte kommit fram några avgörande skäl till att arkivansvaret bör förändras. Som beskrivits ovan bygger arkivansvaret på en lagstiftning som tar avstamp i regelverket om allmänna handlingar och syftar till ett vårdande och bevarande av sådana.

403

406

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

De kommunala lantmäterimyndigheterna står för sin egen, klart avgränsade del av tillförseln av akter till det gemensamma arkiveringssystemet. Förrättningsakterna innehåller allmänna handlingar som har kommit in till de kommunala lantmäterimyndigheterna, alternativt upprättats eller expedierats av dem. Det är därmed de kommunala lantmäterimyndigheterna som redan vid ett ärendes start har bäst förutsättningar att avgöra vad som är allmän handling och ta vederbörlig hänsyn till det i fråga om arkivvården. Det är också viktigt att informationen finns tillgänglig hos dem som behöver den, vilket typiskt sett bäst säkerställs av den som har skapat informationen. De uppgifter som vi har fått från såväl Lantmäteriet som de kommunala lantmäterimyndigheterna är att inte någon av dem har haft intentionen eller viljan att flytta arkivansvaret. Som vi ser det vore det en onödig komplikation att förändra arkivansvaret för digitala handlingar så att det uppstår olika arkiveringsansvar för samma typ av handlingar enbart utifrån deras form.

Bör Lantmäteriet ha ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheternas akter?

Vårt uppdrag handlar också om att bedöma om Lantmäteriet fortsatt ska ha ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheternas akter. En begäran att få ta del av en allmän handling kan göras hos den myndighet som förvarar handlingen. 888 Lantmäteriet har mycket riktigt gjort bedömningen att myndighetens tillgång till de kommunala lantmäterimyndigheternas akter gör att Lantmäteriet har att lämna ut sådana på begäran. Den omständigheten att vi har bedömt att Lantmäteriet inte har arkivansvar för de kommunala lantmäterimyndigheternas akter förändrar inte den saken. De kommunala lantmäterimyndigheternas registrering och arkivering av sina uppgifter i Lantmäteriets system gör att vardera parten är mycket beroende av en korrekt hantering från respektive håll för att säkerställa att säkerhetsskyddsklassificerade uppgifter inte exponeras. Detsamma gäller att uppgifter som av annan anledning är sekretesskyddade inte röjs. Detta kräver ett antal bedömningar inför ett eventuellt återöppnande av ett gemensamt system.

888 2 kap. 6, 7 och 17 §§ tryckfrihetsförordningen.

404

407

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

Till det kommer frågan om vem som egentligen är informationsägare över huvud taget för akterna, vilket har bäring på vems ansvar det är att säkerställa att uppgifterna hanteras rätt och också om det är en statlig eller kommunal angelägenhet att utöva tillsyn av saken, se mer om detta i avsnitt 17.10. Slutligen finns det en del frågor att reda ut gällande systemets tekniska förutsättningar i fråga om säkerhetsskydd, dataskydd och tillhandahållandelösningar, vilket också har beskrivits närmare i kapitel 17.

18.9 Överväganden i övrigt

Utredningens bedömning: Det saknas ett fullständigt och tydligt rättsligt stöd för Lantmäteriet att förvara och tillhandahålla även andra myndigheters arkivakter. Ansvaret för säkerhetsskydd, informationssäkerhet och personuppgifter när det gäller de kommunala lantmäterimyndigheternas akter i Arken behöver förtydligas (jämför kapitel 17). Avtalen mellan Lantmäteriet och de kommunala lantmäterimyndigheterna är delvis oklara, bland annat när det gäller de begrepp som används. Avtalsparterna har inte, i alla delar, samma uppfattning om avtalens innebörd. Lantmäteriet bör därför initiera en översyn av avtalen för att skapa samsyn om avtalsinnehållet.

Skälen för utredningens bedömning

Hur ser det rättsliga stödet för lagring och tillhandahållande av akter ut?

Lantmäteriet har uppfattningen att det saknas ett tydligt författningsstöd för myndigheten att hålla ett nationellt digitalt lantmäteriarkiv som innehåller flera olika myndigheters arkivhandlingar och för att tillhandahålla arkivet. Lantmäteriet anser sig dock ändå ha ett grundläggande stöd efter en sammanvägning av i första hand myndighetens instruktion och regleringsbrev. Detta beskrivs närmare i kapitel 11 om Arken och Arkenförordningen. Den sistnämnda utgör enligt Lantmäteriet inte i sig ett stöd för Lantmäteriet att hålla ett

405

408

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

arkiv med andra myndigheters arkivhandlingar eller att tillhandahålla arkivakter, utan avser bara personuppgiftsbehandlingen i myndighetens databas för tillhandahållande ur arkiverade handlingar. Vi instämmer i att det saknas ett uttryckligt författningsstöd för Lantmäteriet att tillhandahålla andra myndigheters information, det vill säga i detta fall de kommunala lantmäterimyndigheternas. Som har beskrivits i kapitel 17 anser vi att formuleringarna i Lantmäteriets instruktion bör kunna göras tydligare och mer heltäckande i fråga om myndighetens uppdrag att hålla ett myndighetsgemensamt system för arkivering och att tillhandahålla akter ur detta. Det bör innefatta överväganden om såväl de rättsliga förutsättningarna för som behovet av ett gemensamt arkiv. I det ligger också att det behöver klargöras vad som är original och vad som är kopior av det som läggs i arkivet. Vidare behöver det vara tydligt för de som har tillgång till systemet vad som gäller i fråga om registrering av inkomna handlingar och om flera myndigheter genom den gemensamma konstruktionen kan få arkivansvar för samma material. 889 Vår bedömning av Arkenförordningen är däremot att den är tillämplig, som också beskrivits närmare i kapitel 17. Därmed bör arbetet i fråga om att på nytt öppna de digitala tillhandahållandetjänsterna utgå från det i avvaktan på en eventuell utredning om regleringen av Lantmäteriets uppdrag i den här delen. Som vi har tagit upp i kapitel 17 finns det emellertid anledning att se över förordningen även utifrån den problematik som nämnts.

Vad gäller för personuppgiftsansvaret för de kommunala lantmäterimyndigheternas akter i Arken?

Även personuppgiftsansvaret för de kommunala lantmäterimyndigheternas akter i Arken har varit otydligt för Lantmäteriet. Som har beskrivits i kapitel 17 anser Lantmäteriet att det är oklart om myndigheten har personuppgiftsansvar även för andra akter i Arken än de egna och det har uttryckts ett behov av att få det klargjort. 890

889 Allmänna handlingar som har inkommit till en myndighet ska enligt 5 kap. 1 § OSL i regel registreras med där angivna undantag. Som tidigare nämnts betraktar Lantmäteriet de kommunala lantmäteriernas akter som inkomna till myndigheten, vilket vi bedömer som korrekt. Det kan då uppstå fråga om dessa handlingar behöver arkiveras även hos Lantmäteriet, oaktat att de kommunala lantmäterimyndigheterna också har arkivansvar för sina egna handlingar. 890 Information från Lantmäteriet, november 2025.

406

409

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

De upplevda otydligheterna i den här delen bygger, liksom flera andra frågor, dels på bedömningen att Arkenförordningen inte är tillämplig på Arken, dels på otydliga och möjligen felaktiga formuleringar i de så kallade Arkenavtalen mellan Lantmäteriet och de kommunala lantmäterimyndigheterna. Enligt dataskyddsförordningen ligger personuppgiftsansvaret som huvudregel på den som bestämmer ändamålen och medlen för behandlingen, men ett gemensamt personuppgiftsansvar kan också fastställas och arrangeras. Det sistnämnda har inte gjorts. Det skulle behöva utredas närmare vilken av myndigheterna som faktiskt bestämmer ändamålen och medlen för behandlingen att arkivera en akt. I vart fall en del kommunala lantmäterimyndigheter synes ha tolkat det som att det är Lantmäteriet, vilket stämmer med vad som anges i avtalen. Vi har inte utrett den här frågan närmare men anser att det är viktigt med ett klarläggande, antingen i författning eller i avtalen, så att parterna kommer till samsyn om personuppgiftsansvaret för arkivet som sådant. När det däremot gäller tillhandahållandet ur Arken finns saken reglerad i Arkenförordningen som vi, till skillnad från Lantmäteriet, har bedömt vara tillämplig på Lantmäteriets tillhandahållande ur Arken. I förordningen uppges Lantmäteriet vara personuppgiftsansvarig. Av Lantmäteriets artikel 30-register framgår också att myndigheten är personuppgiftsansvarig för tillhandahållandetjänsten AktDirekt. Lantmäteriet har dock för oss uttryckt att det inte är säkert att det som anges om personuppgiftsansvarig i artikel 30registret har varit avsett att täcka all hantering i Arken, även de kommunala lantmäterimyndigheternas akter. 891 Även i fråga om tillhandahållandet har personuppgiftsansvaret för akterna i Arken alltså varit otydligt för Lantmäteriet. I den här delen anser vi dock att ansvaret får betraktas som klarlagt genom Arkenförordningen trots Lantmäteriets syn på den och önskan att få den upphävd eller ändrad. I kapitel 17 redogörs för våra övriga överväganden avseende Lantmäteriets personuppgiftsbehandling i förhållande till Arkenförordningens tillämplighet, handlingarnas innehåll samt ändamålet med och nödvändigheten av tillhandahållandet.

891 Information från Lantmäteriet, november 2025.

407

410

Arkivansvaret för de kommunala lantmäterimyndigheternas akter

Avtalen om arkivering och tillhandahållande är otydliga och behöver ses över

Som har beskrivits i kapitel 11 om Arken och Arkenförordningen har Lantmäteriet avtal om lagring med de kommunala lantmäterimyndigheterna. Många viktiga frågor regleras således genom frivilligt ingångna avtal. De nu gällande avtalen är delvis oklara, bland annat när det gäller de begrepp som används. Det talas omväxlande om lagring och om arkivering och avtalsparterna verkar inte i alla delar ha samma uppfattning om avtalens innebörd. Det har under den här utredningen visat sig att det råder delade meningar om det är fråga om arkivering, i vissa fall av digitala original, i Arken eller bara lagring av kopior. Alla kommunala lantmäterimyndigheter har inte kvar några egna kopior av de arkiverade handlingarna utan betraktar Arken som det enda arkivet. Det har också uttryckts oklarheter om ansvaret för innehållet i handlingar som läggs in i Arken, såväl i fråga om säkerhetsskydd som personuppgifter, samtidigt som det är Lantmäteriet som har stått för att tillhandahålla akter externt med de brister som har beskrivits i fråga om sekretess med mera. Lantmäteriet bör därför initiera en översyn av avtalen för att tydliggöra avsikten med dem och skapa samsyn med de kommunala lantmäterimyndigheterna om avtalsinnehållet. I det sammanhanget bör övervägas även hur sekretesskydd och en korrekt behandling av personuppgifter kan garanteras om informationen hanteras i ett system där den överlåts till skilda externa aktörer.

408

411

19 Konsekvenser av utredningens

förslag

19.1 Kapitlets innehåll

Särskilda utredare ska redovisa en konsekvensutredning när förslag lämnas till regeringen eller Regeringskansliet om att regeringen ska föreslå nya eller ändrade lagar eller besluta om förordningar. Även för andra förslag ska särskilda utredare redovisa en konsekvensut- 892 redning. I vårt uppdrag har inte ingått att lämna författningsförslag. I detta kapitel redovisas vilka konsekvenser som våra överväganden och förslag kan få. Redovisningen är uppställd utifrån de krav som anges i förordningen om konsekvensutredningar. I vissa frågor är vår bedömning att ytterligare utredning och överväganden behövs. Konsekvenserna i dessa delar blir en senare fråga att analysera.

19.2 Det aktuella problemet och den förändring som

eftersträvas

Bakgrunden till vårt uppdrag är att det kommit fram uppgifter om brister i Lantmäteriets arbete med informationssäkerhet och myndighetens hantering av uppgifter som omfattas av sekretess och personuppgifter. I uppdraget har även ingått att utreda om Lantmäteriet bör ha fortsatt arkivansvar och ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheternas akter. Det som eftersträvas med vår granskning och våra bedömningar och förslag är att Lantmäteriets arbete med informationssäkerhet ska stärkas och samtidigt ge myndigheten förutsättningar att på ett

892 2 § förordningen (2024:183) om konsekvensutredningar.

409

412

Konsekvenser av utredningens förslag

effektivt sätt fullgöra sina uppgifter enligt förordningen (2009:946) med instruktion för Lantmäteriet.

19.3 Vilka konsekvenser bedöms uppstå om inga

åtgärder vidtas?

Inom Lantmäteriet finns det numera en stor medvetenhet om huvuddelen av bristerna inom de områden som vi har granskat och tagit upp i våra överväganden. Myndigheten har också vidtagit, och planerar att vidta, åtgärder för att stärka sitt arbete med informationssäkerheten. Även om inte något av det som vi för fram i våra överväganden genomförs är det troligt att många av de förändringar som eftersträvas, och som vi menar är nödvändiga, ändå kommer att vidtas av Lantmäteriet och leda till förbättringar. Att Lantmäteriet har ett antal frågor att arbeta med framför sig står enligt vår mening klart liksom att det finns en stor utvecklingspotential inom myndigheten.

19.4 Finns det alternativ för att uppnå förändringen

och vilket är i så fall lämpligast?

I grunden är det Lantmäteriets ansvar att stärka arbetet med sin informationssäkerhet. Att exempelvis lägga det ansvaret på någon annan part är inte aktuellt. Vi har därför inte utrett några andra alternativ och anser därmed att våra bedömningar är den lämpligaste lösningen. En annan sak är att en utvecklad samverkan med andra myndigheter och även andra aktörer kan vara ett sätt att utveckla arbetet med informationssäkerhet inom Lantmäteriet och samtidigt kan vara en del i att stärka Sveriges säkerhet. Övervägandena kring detta redovisas i kap. 17.

19.5 Förslagens kostnader och intäkter för staten med

flera

19.5.1 Kostnader och intäkter för staten

Det vi lyfter om förbättringar i arbetet med informationssäkerheten är egentligen inte något nytt. Allt ingår i det uppdrag som Lantmä-

410

413

Konsekvenser av utredningens förslag

teriet som myndighet redan har och är därmed anslagsfinansierat. Som vi har konstaterat är ett antal åtgärder i stora delar redan igångsatta, bland annat när det gäller att utveckla den interna styrningen och kontrollen, och får med det anses ha beaktats i budgetdialogen. Lantmäteriet har behövt rekrytera medarbetare till två granskningsfunktioner för att klara granskningen vid utlämnande av allmänna handlingar. Härutöver har medarbetare i övriga kärnverksamheten fått förstärka i detta arbete. Enligt Lantmäteriet uppgick kostnaden insatserna till drygt 40 mnkr under 2025. I budgeten för 2026 ligger i denna del direkta kostnader om 28,5 mnkr. Lantmäteriet har redan nu bedömt att de 20 mnkr som tilldelats myndigheten i budgetpropositionen 2026 inte kommer att räcka. Myndigheten har uppgett att man kommer att aktualisera den frågan med Regeringskansliet inför arbetet med vårändringsbudgeten. Lantmäteriet har hittills anställt 37 medarbetare och två funktionschefer för granskningen vid utlämnande. Man bereder nu ett förslag om att nästa år införa ytterligare en funktion med knappt 20 medarbetare som ska arbeta med granskningar inför utlämnande. Enligt Lantmäteriet saknas dock för närvarande finansiering för den åtgärden. Några ytterligare rekryteringar har inte gjorts utan intern personal från olika verksamhetsområden har omfördelats internt (lånats in) för att klara av ett utlämnade inom 48 timmar. Om myndigheten inför ytterligare en sådan funktion som nämnts är planen att merparten av inlånad personal kommer att återgå till ordinarie arbetsuppgifter. Mycket av det senaste årets fokus inom Lantmäteriet har legat på frågan om det finns möjlighet att öppna de olika digitala tjänsterna igen, i vart fall i förhållande till vissa aktörer. En rimlig bedömning är emellertid att det fortsättningsvis och för lång tid framåt kommer att finnas ett behov av manuell hantering vid utlämnande. Det framstår också som sannolikt att myndighetens utlämnandefunktion kommer att vara betydligt mer omfattande än tidigare. Att det utan mycket stora investeringar i nya tekniska system skulle vara möjligt att genom digitala tjänster tillhandahålla fastighetsinformation till samma krets externa brukare som tidigare får ses som osannolikt. Tekniska förutsättningar att skapa databaser med tillhandahållandefunktioner finns i dag. Att formatera innehållet i Arken till en digitalt hanterbar informationsmängd är också möjligt. Det är vidare

411

414

Konsekvenser av utredningens förslag

möjligt att bygga IT-lösningar som klarar kraven på informationssäkerhet och som gör att man digitalt kan hantera frågor om sekretesskydd. Att bygga system med den inriktningen är önskvärt med tanke på behovet av effektiv informationsförsörjning i samhällsbyggnadsprocessen. Att nå dit är emellertid en långsiktig fråga som förutsätter ett omtag där bland annat investeringsbehovet kräver särskilda överväganden. När det gäller dagens manuella granskning vid utlämnande av allmänna handlingar är resursbehovet enligt vår bedömning beroende av om och i vilken utsträckning som Lantmäteriet hittar godtagbara former för att öppna digitala tjänster igen och vad som i så fall kommer att vara tillgängligt via direktåtkomst. Enligt vår mening är det inte möjligt att bedöma hur omfattande den digitala utlämnandemöjligheten kan komma att bli, i vart fall inte i närtid. Hur lång tid det kan ta tills ett digitalt utlämnande är tillgängligt samtidigt som säkerhetsskyddsregleringen och lagen om offentlighet och sekretess följs är inte heller möjligt att nu bedöma. Men vikten av att Lantmäteriet ges tillräckliga resurser och styrning i dessa frågor bör framhållas. Av allt att döma kan kapaciteten i form av personalresurser fortsatt komma att behöva utökas beroende på om, när och i vilken utsträckning som digitala tjänster och utvecklade IT-system kan tas i bruk. Noteras kan att Lantmäteriet enligt uppgift har behövt kreditera kunder inom Geodatasamverkan för den information som de anslutna aktörerna inte längre får tillgång till. Krediteringen uppgick till 5,4 mnkr 2025 och till 3,1 mnkr 2024. Vi har i övervägandena angett att regeringen bör ge Lantmäteriet tydlig styrning och budget, där prioriterad inriktning bör anges – återöppnande av digitala tjänster alternativt ett fortsatt manuellt utlämnande eller en kombinerad hantering. Givetvis är tidsperspektivet viktigt i Lantmäteriets planering både när det gäller verksamhet och ekonomi. Vidare är Lantmäteriets digitala system delvis omoderna. De har inte byggts utifrån de behov som finns i dag. För att kunna hålla akter tillgängliga i digitala system på ett liknande sätt som tidigare har vi också bedömt att Arken i sig behöver ses över. Dessutom anser vi att Lantmäteriets instruktion bör förtydligas, att Arkenförordningen behöver ses över och att det bör utredas ytterligare i vilken form ett informationsutbyte lämpligast ska ske. Samtliga dessa överväganden kan innebära ökade kostnader för Lant-

412

415

Konsekvenser av utredningens förslag

mäteriet och staten i övrigt. Det finns i dag inte tillräckligt underlag för att kunna bedöma exempelvis, som nyss nämnts, investeringsbehovet för nya IT-lösningar och det finns ett antal vägval som först behöver göras bland annat om vilken form av tillhandahållande som bör finnas och vilka frågor som först behöver utredas närmare; det finns redan i vissa delar förslag från Lantmäteriet att arbeta vidare med. Vår bedömning är att informationssäkerhet bör utgöra en större del i den utbildning som Regeringskansliet i dag håller för tillträdande styrelseledamöter och generaldirektörer och kan möjligen medföra något, men marginellt, ökade kostnader för Regeringskansliet. Med tanke på riskerna i bristande kunskap och kompetens om säkerhetsskydd och informationssäkerhet får utbildning i dessa frågor ses som en investering som långsiktigt sparar resurser, möjligtvis betydande, för det allmänna. När det gäller vårt förslag att inrätta ett informationssäkerhetsoch cybersäkerhetsråd inom Lantmäteriet kan det medföra att myndigheten behöver tillföras ytterligare resurser. Men det kan samtidigt noteras att myndigheten redan driver ett liknande arbete med samråd med olika intressenter. Och för Lantmäteriet bör den tänkta ordningen kunna bidra i det säkerhetsarbete som redan är en del av myndighetens uppdrag. När väl formerna för ett samverkansorgan etablerats bör det för Lantmäteriet inte vara fråga om en nämnvärd merkostnad. Vilka ökade kostnader som initialt kan uppkomma får Lantmäteriet ta upp med Regeringskansliet i sedvanliga budgetöverläggningar. I sammanhanget bör ett samhällsekonomiskt perspektiv vägas in. Ökad samverkan mellan de som ansvarar för säkerhetskänsliga resurser ökar effektiviteten i det arbete med säkerhetsskydd som ska bedrivas. Den kan förväntas leda till stora besparingar för samhället som helhet och samtidigt få positiva effekter för Sveriges säkerhet. När det gäller den arkivering av de kommunala lantmäterimyndigheternas akter som i dag ligger på Lantmäteriet föreslås inte någon ändring. Däremot finns ett behov av att se över de avtal som reglerar förhållandet mellan myndigheterna. De resurser som en översyn kan förväntas ta i anspråk får emellertid bedömas som begränsade.

413

416

Konsekvenser av utredningens förslag

19.5.2 Kostnader och intäkter för kommuner, regioner, företag

och andra enskilda

Vi har föreslagit att samtliga fastighetsägare och andra aktörer som hanterar fastigheter eller samhällsviktiga anläggningar eller verksamheter av betydelse för Sveriges säkerhet bör vara skyldiga att löpande hålla Lantmäteriet informerat om sådana fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Enligt vår bedömning bör en sådan skyldighet vara författningsreglerad. Den närmare utformningen av en sådan reglering får utredas i annat sammanhang då även konsekvenserna får bedömas. Nämnas kan dock att Fastighetsregisterutredningen i sitt betänkande konstaterade att det är en högst begränsad del av landets 3,4 miljoner fastigheter som på något sätt kan 893 antas vara känsliga utifrån ett säkerhetsskyddsperspektiv. Mot den bakgrunden är bedömningen att få fastighetsägare och andra aktörer kommer att bli uppgiftsskyldiga. Dessutom kan vi inte se att en sådan skyldighet kommer att innebära några ökade kostnader för berörda, eftersom de uppgifter som utifrån ett säkerhetsskyddsperspektiv avses redan finns hos respektive aktör. Det handlar i denna del bara om att uppgifterna ska förmedlas till Lantmäteriet som därefter ansvarar för informationssäkerheten såvitt avser uppgifter som påverkar den information som finns i myndighetens system. För berörda aktörer handlar det också om att delta i ett sammanhang där säkerhetsskyddet behandlas. Den samverkan som detta innebär bör sammantaget leda till ökad effektivitet i berörda aktörers verksamhet och i hur säkerhetsskyddet hanteras och ger på så sätt ett mervärde för dem. Den effektivitetsvinst som ligger i detta får anses leda till besparingar för alla berörda inte minst genom de synergieffekter som samverkan kommer att föra med sig. Till detta kommer den ökade effektivitet utifrån ett nationellt perspektiv som samverkan kan förväntas föra med sig för Sveriges säkerhet. Från ett samhällsekonomiskt perspektiv kan ökad samverkan på både kort och lång sikt förväntas leda till stora besparingar för samhället som helhet. Som nyss berörts finns ett behov av att se över de avtal som reglerar förhållandet mellan Lantmäteriet och de kommunala lantmäterimyndigheterna om arkivering av de kommunala lantmäterimyn-

893 SOU 2024:7, s. 652.

414

417

Konsekvenser av utredningens förslag

digheternas akter. De resurser som den översynen kan förväntas ta i anspråk får emellertid bedömas som begränsade. För de kommunala lantmäterimyndigheterna bör översynen lämpligen samordnas, förslagsvis av SKR.

19.6 Övriga konsekvenser av förslagen

Våra bedömningar och förslag inverkar inte på den kommunala självstyrelsen. De innebär inte heller några förändringar av kommunala befogenheter eller skyldigheter, respektive grunderna för kommunernas eller regionernas organisation eller verksamhetsformer. Vidare har förslagen inte någon koppling till de skyldigheter som följer av Sveriges anslutning till Europeiska unionen och för inte heller i övrigt med sig några konsekvenser att beakta.

415

419

20 Avslutande reflektioner

20.1 Allmänt om våra iakttagelser

I tidigare kapitel har en genomgång gjorts av utmaningarna i Lantmäteriets verksamhet i fråga om informationssäkerhet, hanteringen av allmänna handlingar och sekretess samt behandlingen av personuppgifter. Även arkivansvaret för de kommunala lantmäterimyndigheternas akter har tagits upp. I detta avslutande kapitel berörs vissa av våra iakttagelser. Dessutom berörs kortfattat konsekvenserna av identifierade brister med inriktning framför allt på informationssäkerheten i Lantmäteriets verksamhet. Vi har, som nämnts inledningsvis, på olika sätt avgränsat vår granskning. Det gäller bland annat den period som granskats. Samtidigt bör poängteras att de brister som nu uppmärksammats har sin grund i vägval som gjorts långt tillbaka i tiden. De många år som sedan dess gått innebär enligt vår bedömning att en granskning av tidigare skeden i myndighetens verksamhet inte är meningsfull. Centralt är vidare att kunna dra slutsatser som har betydelse för framtiden. Vi har också fokuserat vår granskning på Lantmäteriets digitala förrättningsarkiv Arken. Och det är primärt beträffande den som det har kommit fram brister i Lantmäteriets arbete med informationssäkerhet och i hanteringen av uppgifter som omfattas av sekretess och även av personuppgifter. Samtidigt har vi noterat att det kan finnas likartade utmaningar i andra system hos Lantmäteriet. Inom Lantmäteriet behöver regelkonformiteten övervägas i vart och ett av de olika system där säkerhetskänsliga uppgifter eller personuppgifter förekommer. Den givna utgångspunkten för Lantmäteriet är att få grepp om allt innehåll trots de mycket stora informationsmängder som det sammantaget handlar om. Och det rör sig om

417

420

Avslutande reflektioner

innehållet i ett antal system, antingen separata eller sammanlänkade. Typfallen i fråga om vilka uppgifter som förekommer är emellertid något som Lantmäteriet har en uppfattning om. Det ger goda förutsättningar för myndigheten att ta sig an en genomgång av systemen och informationsinnehållet i dem och informationshanteringen. Detta är givna och prioriterade uppgifter för Lantmäteriet att arbeta vidare med. Att vi inte heller har analyserat det som kan kallas den IT-tekniska säkerheten för informationshantering i de många olika ITsystem som Lantmäteriet använder bör framhållas. Också detta är något som Lantmäteriet behöver ta sig an. Flera av myndighetens system är föråldrade. Lantmäteriet har en IT-miljö som består av en blandning av äldre och nya system där både säkerhetskrav och tillgängliga möjligheter att uppnå en säkerhetsnivå skiljer sig åt. Systemens förenlighet med kraven i nu gällande säkerhetsreglering behöver övervägas. Nämnas bör att vi inte haft i uppdrag att ta ställning till om och i så fall hur ansvar ska utkrävas för olika brister som kan identifieras. En annan sak är emellertid ansvarsfrågorna utifrån Lantmäteriets organisation och verksamhet som nära hänger samman med myndighetens interna styrning och kontroll.

20.2 Lantmäteriets verksamhetsfokus

Lantmäteriet har under lång tid haft ett verksamhetsfokus på tillgänglighet och att effektivt tillhandahålla fastighetsinformation till stöd för byggande och samhällsutveckling. Att Lantmäteriets roll i samhällsbyggnadsprocessen varit central grundas på regeringens uppdrag till myndigheten. Lantmäteriet ska verka för en väl fungerande försörjning med grundläggande geografisk information och fastighetsinformation av sådan omfattning, kvalitet och aktualitet att samhällets behov tillgodoses. I lantmäteriets instruktion är det också dessa perspektiv som lyfts fram. Med detta fokus har Lantmäteriet i den delen kommit långt. Man har kontinuerligt strävat efter ytterligare effektivisering och mot att förkorta handläggningstiderna i ärendehandläggningen. I detta har direktåtkomst till fastighetsinformation för externa aktörer varit en del.

418

421

Avslutande reflektioner

Den påtagligt dominerande prioriteringen av informationsförsörjningen förklaras av flera olika och samverkande faktorer. Omvärldssituationen med ett under många år förhållandevis stabilt säkerhetsläge, i vart fall i vårt närområde och ett fokus mer på nedrustning än upprustning har varit en sådan faktor. En annan aspekt har varit de nya tekniska möjligheterna att effektivt förmedla information och de tydliga effektivitetsvinsterna i detta. Ambitionen att ligga i framkant med att digitalisera det offentliga Sverige har märkts inte minst för Lantmäteriet. Det har funnits ett tryck på Lantmäteriet att effektivisera och som en del i det förkorta handläggningstiderna. Digital åtkomst till fastighetsinformation har i detta varit ett naturligt vägval och även kostnadseffektivt för såväl externa användare som Lantmäteriet. Med gjorda vägval har uppbyggnaden av kompetenser i organisationen kommit att få samma fokus. IT-uppbyggnaden och ett effektivt tillhandahållande har varit det allt överskuggande. Satsningar på säkerhetsorganisation och säkerhetsresurser har i olika delar fått stå tillbaka i förhållande till vad som varit motiverat med tanke på informationsmängder och informationsinnehåll och därmed behovet av säkerhetsskydd. Det gäller i fråga om såväl informationssäkerhet som fysisk säkerhet och personalsäkerhet. Säkerhetsskyddslagen, både tidigare och nuvarande, och vad den innebär har i flera hänseenden förbisetts jämfört med frågor om tillhandahållande av information och digitaliseringens möjligheter för effektiv samhällsservice som tydliga uppdrag inom det offentliga Sverige. Detta tydligt uttalade fokus är en del i förklaringen till en tidigare underdimensionerad säkerhetsorganisation. Det förklarar också att man i flera delar av verksamheten helt enkelt inte tillräckligt har haft med informationssäkerheten i verksamhetsplaneringen. Och man har inte heller utvecklat sina kompetenser om den reglering som man haft att följa i fråga om offentlighet och sekretess och vid behandlingen av personuppgifter.

20.3 Lantmäteriets ledningsarbete internt

Lantmäteriet har löpande arbetat med att utveckla verksamheten genom olika åtgärder och projekt. Insatserna framstår var för sig som behövliga. Helheten och vad de olika påbörjade eller successivt avs-

419

422

Avslutande reflektioner

lutade insatserna sammantaget syftar till har emellertid varit svårt att få grepp om. Och det har inte heller funnits något sammanhang där det gått att få en överblick över eller samlad bild av inriktningen framåt. I vart fall har bilden inte blivit konkret. I stället är intrycket efter våra många samtal med nuvarande och tidigare anställda med olika funktioner i verksamheten, och efter att ha tagit del av ett omfattande skriftligt underlag, att en tydlig struktur har saknats. Till det kommer att felaktiga bedömningar och tolkningar av rättsläget har kommit att få fortgå. Och i den interna styrningen och kontrollen har utmaningarna med informationssäkerheten förbisetts. I vart fall har man inte lyckats få till en analys av de faktiska förhållandena som inneburit att man insett riskerna i verksamheten och de potentiella konsekvenserna av dessa risker. Även om enskilda åtgärder framstår som inriktade på att utveckla bland annat informationssäkerheten är svårigheten att få överblick tydlig. Att i verksamheten som helhet få ihop säkerhetsskyddet i allmänhet och informationssäkerheten i synnerhet och att beskriva det är, med tanke på Lantmäteriets viktiga och känsliga verksamhet, givna delar i myndighetens uppdrag. Att så inte skett får ses som ett uttryck för att ett så kallat samlat grepp om säkerhetsskyddsfrågor inte tagits inom verksamheten, inte i styrelsen, av generaldirektören eller av någon annan funktion inom myndigheten. Avsaknaden av ett grepp om helheten är en ledningsfråga. Det finns skäl att tro att den bristande tydligheten i detta hänseende har bidragit till problemen inom Lantmäteriet när det gäller att hålla samman verksamhetens olika delar och prioriteringar. Att det får återverkningar på bland annat informationssäkerheten är närmast givet. Samarbete och samsyn och tydliga beslutsprocesser där frågor avgörs med tydlig dokumentation är utvecklingsområden. Och som en bas ökad kunskap om, förståelse för och samsyn om myndighetens uppdrag. Det är där man måste börja. Att driva ett systematiskt informationssäkerhetsarbete är ett ledningsuppdrag. Det handlar om att fatta beslut, sätta frågorna på agendan och själva vara förebilder. Detta är viktigt för att legitimera frågorna och har mycket stor betydelse för hur informationssäkerhetsarbetet kommer att utvecklas i organisationen. Uppföljning och kvalitetssäkring är också ett ledningsansvar som behöver få ta större

420

423

Avslutande reflektioner

plats. Om man inte följer upp beslut vet man helt enkelt inte om man har gjort det man ska. Funktionellt i verksamheten ansvarar respektive verksamhetsområdeschef för en effektiv styrning och kontroll inom sitt område. I det ingår att säkerställa att information behandlas i enlighet med gällande rätt samt att identifiera och hantera risker, inklusive regelbunden uppföljning och kontroll. Inom Lantmäteriet är verksamhetsområdescheferna det man kallar första ansvarslinjen. De har härigenom ett både stort och primärt ansvar. Om inte den första ansvarslinjen fungerar, blir det i regel inte bättre längre ut i organisationen.

20.4 Ledningens roll och uppgifter

I Lantmäteriet som styrelsemyndighet är det styrelsen som har det övergripande ansvaret för intern styrning och kontroll medan generaldirektören ansvarar för den löpande verksamheten enligt styrelsens direktiv. Generaldirektören ska också hålla styrelsen informerad om verksamheten. Detta är en förutsättning för att styrelsen ska kunna ta sitt yttersta och övergripande ansvar. Som påpekats tidigare är det ett förbättringsområde att utveckla styrelsearbetet och förhållandet till verksamheten genom generaldirektören. I det sammanhanget bör styrelsen överväga hur man på effektivast möjliga sätt använder den resurs som man har i internrevisionen. Internrevisionen får i sina granskningar anses ha uttryckt sig nyanserat men ändå tydligt. I ljuset av de många och i flera fall mycket allvarliga brister som internrevisionen noterat hade skarpare kritik kunnat formuleras. Och som internrevisionen konstaterat tjänar de styrande dokumenten inget syfte om de inte är kända, tillämpas och efterlevs. Internrevisionen har flera gånger noterat att det saknats det som förenklat kan kallas ordning och reda i verksamheten. Och det har saknats på flera plan. Att internrevisionens olika påpekanden inte lett till bättre strukturer är anmärkningsvärt. Det har inte förklarats på annat sätt än att det i verksamheten har funnits synpunkter på revisionens arbete och en upplevelse av att granskningarna gått in för mycket på detaljer.

421

424

Avslutande reflektioner

Att verksamhetens ambitionsnivå varit låg och att åtgärdsplaner snarare tagits fram för att hantera internrevisionens iakttagelser och rekommendationer än att faktiskt åtgärda de brister som adresseras är naturligtvis problematiskt. Att man dessutom i verksamheten angett att åtgärdsarbete slutförts trots att det vid uppföljningen inte visat sig stämma är ytterligare ett exempel på bristerna på ledningsnivå. En större tydlighet från internrevisionens sida, ökad och närmare kommunikation med verksamhetens olika delar i kombination med en skarpare uppföljning skulle förbättra nyttan av den resurs som man har genom internrevisionen. Kompetenserna inom revisionen skulle på flera sätt kunna nyttjas bättre, exempelvis genom att proaktivt ge stöd och hjälp i att utveckla regelefterlevnaden. Självfallet får internrevisionens agerande balanseras mot den självständighet och integritet som ligger i revisionsrollen. Ett särskilt ansvar när det gäller den interna styrningen och kontrollen ligger på chefsledet med planering, genomförande och uppföljning, det vill säga ett ständigt pågående kvalitetsarbete. Att Lantmäteriet inte haft bättre grepp om styrningen och kontrollen i verksamheten, trots upprepade påpekanden och en på många håll tydlig intern medvetenhet om brister, är allvarligt. Ansvaret ligger naturligt på myndighetens ledning med generaldirektör, ledningsgrupp och verksamhetsområdeschefer. Som styrelsemyndighet finns samtidigt styrelsen som ytterst ansvarigt organ som för Lantmäteriets del till sin hjälp har en internrevision med full insyn i alla delar av myndighetens verksamhet. Att styrelsen inte haft bättre kontroll på exempelvis säkerhetsskyddet inom Lantmäteriet är också allvarligt. Bristerna på ledningsnivå kan inte hänföras till historiska beteenden och förhållningssätt. De kan endast tillskrivas bristande vilja eller förmåga hos varje berörd chef och styrelseledamot att med utgångspunkt i gällande rätt ta det ansvar som man i sina respektive roller varit satt att hantera. Ledningsansvaret på varje nivå och i varje roll relateras i varje delfråga till de rättsregler som är styrande. Det relateras också till det tjänstemannaansvar och ansvar i övrigt som följer av varje fråga som ingår i ledningsuppdraget. Innebörden av att ett långtgående ansvar för exempelvis Sveriges säkerhet varit en del i det dagliga ledningsansvaret verkar ha förbigått flera med ett ledningsansvar. Att vissa på ledningsnivå varit beredda att väga Sveriges säkerhet mot mark-

422

425

Avslutande reflektioner

nadens förväntningar på ett effektivt tillhandahållande av information säger en hel del om hur man tolkat och värderat sina uppdrag, och med det Lantmäteriets uppdrag. Att man på ledningsnivå inte sett till att få ett bättre beslutsunderlag i frågor om informationssäkerhet pekar också på bristande vilja eller förmåga att förstå sitt och myndighetens uppdrag.

20.5 Risker och konsekvenser

Som konstaterats i det föregående har säkerhets- och integritetskänsliga uppgifter varit öppet tillgängliga i Lantmäteriets IT-system och till dessa kopplade tillhandahållandetjänster. Det är i sig utomordentligt allvarligt. Att så har varit fallet under mycket lång tid gör detta förhållande än mer problematiskt. När det gäller riskerna med bristande informationssäkerhet kan, som nämnts tidigare, en antagonist orsaka skada för Sveriges säkerhet exempelvis genom att komma över säkerhetsskyddsklassificerade uppgifter. I vårt uppdrag har ingått att kartlägga och granska Lantmäteriets arbete med informationssäkerhet och förekommande brister och risker i det arbetet. Riskerna med identifierade brister kan vara av olika slag. Och de kan vara mer eller mindre allvarliga beroende på vilket område de hänför sig till. Vissa brister kan röra enskilda frågor och vara lätta att komma till rätta med. Andra kan vara mer komplexa och kräva större insatser för att lösa. Allvaret i de brister som identifieras får typiskt sett bedömas utifrån vilka konsekvenser som de kan anses ha fört med sig, eller kan antas få. För Lantmäteriets del är bristerna i fråga om bland annat informationssäkerheten tydliga. Riskerna med identifierade brister är också tydliga. Däremot är det svårare att med säkerhet uttala sig om konsekvenserna. De reella skadorna för i första hand Sveriges säkerhet av det sätt som Lantmäteriet hanterat all den information som myndigheten disponerar över är svåra att bedöma. En rimlig utgångspunkt är att alla uppgifter i Arken som har legat åtkomliga för externa brukare, och därmed varit tillgängliga för främmande makt eller antagonister av skilda slag, är röjda. Endast sådana uppgifter som hanterats i separata system kan bedömas vara fortsatt skyddade.

423

426

Avslutande reflektioner

De uppgifter som kan anses röjda avser inte bara exempelvis vissa försvarsanläggningar. Det gäller också alla i övrigt öppet tillgängliga uppgifter om totalförsvaret, det vill säga även civila anläggningar och verksamheter, till exempel el- och vattenförsörjningen, tele- och ITkommunikation, och så vidare. Listan kan göras lång. Problematiskt är, som nyss nämnts, att uppgifter om sådana anläggningar och verksamheter har legat öppna under lång tid. Och under lika lång tid har den som önskat det haft möjlighet att hämta information och kartlägga fastigheter, anläggningar, ledningsdragningar med mera. Det bör tilläggas att det inte bara handlar om enskilda uppgifter. Det har funnits god tid att kartlägga och sammanställa och att komplettera uppgiftsinsamlandet. 894 Sett till potentiella konsekvenser av hos Lantmäteriet identifierade brister är ytterligare en rimlig utgångspunkt att det för samtliga aktörer med känsliga anläggningar krävs ett omtag. Varje berörd myndighet eller annan aktör, som inte redan gjort det, behöver göra en risk- och konsekvensanalys utifrån att alla känsliga uppgifter som funnits i Lantmäteriets öppna system har röjts. Därefter får det övervägas vilka åtgärder som kan vidtas för fastigheter, anläggningar och verksamheter med inriktningen att öka skydd och säkerhet. Perspektivet här är alltså långt större än enbart Lantmäteriets verksamhet. Eftersom överblick och samordning behövs, ligger frågan nu hos regeringen som får ta grepp på helheten. Det handlar alltså inte bara om Lantmäteriet – det handlar om hela Sveriges säkerhet. Att reparera den skada som åsamkats Sveriges säkerhet är knappast möjligt fullt ut. Men det som går att göra bör göras, även om det kommer att ta tid. Den samordning som krävs för att inleda och därefter driva detta arbete bör inledas snarast. Vårt granskningsuppdrag har avsett Lantmäteriet. Liknande utmaningar finns hos ett antal andra myndigheter inom såväl stat som kommun. Och i den privata sektorn som i många hänseenden driver samhällskritisk verksamhet. Att överväga hur kontinuiteten kan upprätthållas behöver göras utifrån scenariot att kunna hantera att de känsliga uppgifter som får antas röjda utnyttjas av en antagonist. Och det behöver inte göras bara i varje verksamhet för sig. Det behöver sättas in i ett samman-

894 Jämför Möjliga hot och risker rörande öppna geodata – Redovisning av arbete i en förstudie den 20 november 2023, FOI Memo 8296.

424

427

Avslutande reflektioner

hang som garanterar största möjliga förutsättningar för att samhällets alla viktiga funktioner fungerar ihop. Att åstadkomma det förutsätter proaktiva insatser och samordning.

20.6 Lantmäteriet framåt – förflyttning i rätt riktning

Det har från flera håll sagts att det med tanke på de mycket stora informationsmängder som Lantmäteriet hanterar är ogörligt för myndigheten att i detalj ha kontroll över informationen. Inriktningen inom verksamheten har därför varit att försöka skaffa sig en överblick och att göra sannolikhetsbedömningar av var exempelvis säkerhetskänslig information kan finnas. Den inställningen bygger på uppfattningen att man får acceptera vissa risker i den omfattande informationshanteringen. Detta är emellertid inte ett godtagbart eller hållbart synsätt, eftersom sannolikhetsbedömningen görs av en informationsmängd som man inte vet vad den innehåller i alla delar. Man kan därmed inte heller bedöma vare sig riskerna i eller konsekvenserna av att förekommande känsliga uppgifter lämnas ut. En specifik utmaning ligger i att vissa bedömningar av skyddsvärde och sekretess som gjorts långt tillbaka i tiden i samband med arkivering, mot bakgrund av bland annat det förändrade säkerhetsläget numera kan vara inaktuella. Förhållningssättet inom Lantmäteriet har, som nämnts, utgått från att myndighetens informationsmängder ska vara allmänt tillgängliga (bortsett från viss manuellt hanterad information). Att fastighetsregistret syftar till offentlighet för vissa uppgifter verkar rakt av ha översatts till att också hela arkivakter bör och ska vara offentliga. Därefter – men först efter mycket lång tid – har man på ett systematiskt sätt försökt ta ställning till om vissa uppgifter i informationsmängderna skulle kunna omfattas av sekretess. För Lantmäteriet liksom för andra myndigheter gäller tryckfrihetsförordningens principer om rätten att ta del av allmänna handlingar liksom förutsättningarna att begränsa den rätten, bland annat av hänsyn till Sveriges säkerhet. För att ta det författningsreglerade ansvar som följer inte bara av tryckfrihetsförordningen utan också av lagen om offentlighet och sekretess ligger på myndigheten att pröva sekretesskyddet i all informationshantering. Det innebär helt enkelt en sedvanlig sekretessprövning vid varje begäran om utläm-

425

428

Avslutande reflektioner

nande av allmän handling. Lantmäteriet bör i varje del av sin informationshantering se till att nödvändiga skyddsåtgärder integreras i varje system och varje rutin. Ett proaktivt förhållningssätt bör tillämpas i stället för de mycket resurskrävande insatser som behövs för att i efterhand, eller reaktivt, försöka klara informationssäkerheten, sekretessfrågor och behandlingen av personuppgifter i överensstämmelse med gällande rätt. Utgångspunkt för Lantmäteriet bör vara att riskminimera och nolltolerans när det gäller riskerna för Sveriges säkerhet. Det gäller inte minst med tanke på de skadeverkningar som den tidigare hanteringen av informationssäkerheten får bedömas ha inneburit. Ytterligare eller fortsatta brister är inte godtagbart. Samma utgångspunkt ska för övrigt gälla i fråga om hanteringen av skyddade personuppgifter men också av personuppgifter i övrigt. Med sådana utgångspunkter bör Lantmäteriet i sitt viktiga uppdrag hitta nya sätt att effektivt förse samhället med den information som i många olika sammanhang behövs. Ett omtag är nödvändigt. Sannolikt bör ett nytt system, ett jämfört med Arken fullt ut digitalt system, tas fram. Det framstår som den enda långsiktigt rimliga lösningen för de mycket stora informationsmängder det handlar som. Ny teknik bör användas och ett nytt IT-system för fastighetsinformation tas fram trots de stora kostnader som det för med sig. Men det är en långsiktig investering med lång avskrivningstid. Alternativet att kompromissa med manuella funktioner framstår vid en jämförelse inte som en ekonomiskt realistisk lösning. Övergångsvis är emellertid en rimlig bedömning att det för lång tid framåt kommer att finnas ett behov av manuell granskning och hantering vid utlämnande av fastighetsinformation. Det framstår också som sannolikt att myndighetens utlämnandefunktion kommer att vara betydligt mer omfattande än tidigare. Att i närtid genom digitala tjänster tillhandahålla fastighetsinformation till samma krets externa brukare som tidigare får ses som osannolikt. I det fortsatta arbetet med att stärka informationssäkerheten är den dialogmodell som redan används i förhållande till aktörer med säkerhetskänsliga fastigheter, anläggningar eller verksamheter ett verktyg att ta fasta på. Modellen kan utvecklas och effektiviseras. Ett råd för informations- och cybersäkerhet bör lämpligen inrättas. I kombination med en uppgiftsskyldighet för berörda aktörer, som vi

426

429

Avslutande reflektioner

har diskuterat tidigare, ökar förutsättningarna för hög informationssäkerhet inte bara hos Lantmäteriet utan i samhället i övrigt. 895 Under senare tid har mycket gjorts inom Lantmäteriet. Och det har gjorts under kort tid. Utredningar har genomförts, flera åtgärder vidtagits och olika processer startats. Inriktningen mot en mer utvecklad intern styrning och kontroll är tydlig. De tre delar som vår granskning haft fokus på, informationssäkerheten i stort, sekretesshanteringen och behandlingen av personuppgifter är alla beroende av en väl fungerade styrning och kontroll. Enligt Lantmäteriet har arbetet med intern styrning och kontroll under 2025 fortsatt att stärka myndighetens struktur. Samtidigt kvarstår variationer i tillämpning, ansvarsfördelning och arbetssätt. Och myndigheten anser att det finns ett fortsatt behov av en mer enhetlig och förutsägbar styrning. Roller, mandat och ansvar behöver vara tydliga, samordnade och tillämpas likvärdigt i hela myndigheten. Enligt Lantmäteriet varierar mognadsnivån i organisationen och det behövs ytterligare utveckling av processer, uppföljning och samverkan. Inom säkerhetsområdet, inklusive säkerhetsskydd, informationssäkerhet och beredskap, har enligt Lantmäteriet betydande steg tagits. Men det betonas att fortsatt utveckling krävs för att uppnå en helt enhetlig och långsiktigt hållbar förmåga. Trots ett antal utmaningar bedömer Lantmäteriet att den interna styrningen och kontrollen i huvudsak fungerar och att myndigheten står bättre rustad för att hantera risker och säkerställa god intern styrning och kontroll framåt. Enligt vår bedömning är det tydligt att Lantmäteriet har påbörjat en förflyttning i rätt riktning. Under senare tid har myndigheten vidtagit flera åtgärder inriktade på att utveckla den interna styrningen. Och fler åtgärder är på gång. Att exempelvis få ett centralt ledningsoch verksamhetsstöd på plats är en viktig del. Det finns inte skäl att tro annat än att Lantmäteriets nuvarande inriktning kommer att leda till väsentliga förbättringar av avgörande betydelse framåt. Som Lantmäteriet konstaterar i bland annat årsrapporten intern styrning och kontroll 2025 återstår emellertid en hel del arbete. Regelefterlevnad, kompetensutveckling och kvalitetssäkring är centrala delar i det som Lantmäteriet har framför sig. Under det fortsatta arbetet med att få fler bitar på plats är det för Lantmäteriet en given utgångspunkt och nödvändigt att verksamhe-

895 Se avsnitt 17.15.2.

427

430

Avslutande reflektioner

ten på alla nivåer leds och bedrivs utan att man ytterligare riskerar Sveriges och inte heller enskildas integritet eller säkerhet.

428

431

Bilaga

Uppdrag att granska Lantmäteriets

arbete med informationssäkerhet

Regeringens beslut

Regeringen beslutar att en utredare ska granska Lantmäteriets arbete med informationssäkerhet i sin manuella hantering och i sina digitala system. Utredaren ska göra följande: • Kartlägga dels Lantmäteriets arbete med informationssäkerhet, dels myndighetens behandling av personuppgifter. I detta ingår att identifiera eventuella brister och risker i hanteringen och behandlingen. • Beskriva hur ansvaret för informationssäkerhetsfrågor är fördelat i Lantmäteriet, bl.a. mellan styrelsen och generaldirektören, och utvärdera om ansvarsfördelningen innebär att det finns förutsättningar för myndigheten att leva upp till högt ställda krav på arbetet med sådana frågor. • Utreda om Lantmäteriet bör ha fortsatt arkivansvar och ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheternas akter samt, om så inte är fallet, lämna förslag på vilken eller vilka aktörer som i stället framstår som lämpliga för att ta över ansvaret för dessa uppgifter. • Särskilt redovisa vilka åtgärder som myndigheten har vidtagit de senaste åren med avseende på att säkerställa en hög informationssäkerhet och att uppgifter som omfattas av sekretess och personuppgifter inte felaktigt lämnas ut eller röjs på något annat sätt. I detta ingår att analysera de åtgärder som myndigheten har vidtagit med anledning av de senaste årens myndighetsinterna påpekandena om bristande skydd av sådana uppgifter.

429

432

Bilaga

• Kartlägga befintliga roller och kompetenser samt vilka roller och kompetenser som behövs framgent för att upprätthålla hög informationssäkerhet. • Vid behov föreslå åtgärder som stärker Lantmäteriets arbete med informationssäkerhetsfrågor och samtidigt ger förutsättningar för Lantmäteriet att fullgöra sina uppgifter enligt förordningen (2009:946) med instruktion för Lantmäteriet på ett effektivt sätt.

Lantmäteriet ska bistå utredaren med de uppgifter som utredaren bedömer att denne behöver för genomförandet av uppdraget.

Utredaren ska samråda med Säkerhetspolisen och Integritetsskyddsmyndigheten.

Uppdraget ska redovisas till Regeringskansliet (Landsbygds- och infrastrukturdepartementet) senast den 15 december 2025.

Regeringen bemyndigar det statsråd som har till uppgift att föredra ärenden om Lantmäteriet att utse utredare och besluta om annat biträde åt utredaren.

Kostnaderna för uppdraget ska belasta det under utgiftsområde 1 Rikets styrelse uppförda anslaget 4:1 Regeringskansliet m.m., anslagsposten 1 Till Regeringskansliets disposition, budgetram 12 Landsbygds- och infrastrukturdepartementet.

Skälen för regeringens beslut

Enligt 2 § förordningen med instruktion för Lantmäteriet är Lantmäteriet den statliga lantmäterimyndigheten som är förvaltningsmyndighet för frågor om fastighetsindelning, om grundläggande geografisk information och fastighetsinformation, om inskrivning enligt jordabalken och om geodetiska referenssystem.

I sin verksamhet hanterar Lantmäteriet en stor mängd uppgifter, däribland uppgifter som omfattas av olika typer av sekretess, sådana säkerhetsskyddsklassificerade uppgifter som avses i säkerhetsskyddslagen (2018:585), samt personuppgifter som omfattas av bestämmelserna i den s.k. dataskyddsförordningen (GDPR).

430

433

Bilaga

I verksamheter som hanterar denna typ av uppgifter, liknande verksamheten hos Lantmäteriet, är det särskilt viktigt med ett systematiskt informationssäkerhetsarbete. Begreppet informationssäkerhet används i olika sammanhang och innebär huvudsakligen att förhindra att information läcker ut, förvanskas eller förstörs. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid.

Särskilda krav på informationssäkerhet finns för säkerhetskänsliga verksamheter. Enligt säkerhetsskyddslagen är den som bedriver sådan verksamhet, såvitt nu är aktuellt Lantmäteriet, skyldig att vidta åtgärder för att förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Verksamhetsutövaren ska även vidta åtgärder för att förebygga annan skadlig inverkan på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Verksamhetsutövare som omfattas av säkerhetsskyddslagen står under tillsyn av vissa utpekade tillsynsmyndigheter. I Lantmäteriets fall är det Säkerhetspolisen som är tillsynsmyndighet. Tillsynsmyndigheten ska kontrollera att verksamhetsutövarna följer säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Tillsynsmyndigheten får förelägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen. Vissa brister i säkerhetsskyddsarbetet kan även leda till sanktionsavgifter.

Det har framkommit uppgifter som tyder på att det finns brister i Lantmäteriets arbete med informationssäkerhet och myndighetens hantering av uppgifter som omfattas av sekretess och av personuppgifter. Det finns därför starka skäl att granska Lantmäteriets uppgiftshantering och analysera framför allt om och hur myndighetens arbete i dessa hänseenden kan utvecklas.

Konsekvensanalys

Utredaren ska redovisa en sådan konsekvensutredning som särskilda utredare ska redovisa enligt förordningen (2024:183) om konsekvensutredningar.

431

434

Departementsserien 2026

Kronologisk förteckning

1. Nya möjligheter att bekämpa onlinerekrytering. Ju. 2. Granskning av Lantmäteriets informationssäkerhet. LI.

435

Departementsserien 2026

Systematisk förteckning

Justitiedepartementet

Nya möjligheter att bekämpa onlinerekrytering. [1]

Landsbygds- och infrastrukturdepartementet

Granskning av Lantmäteriets informationssäkerhet. [2]