Granskning av Lantmäteriets informationssäkerhet
Departementsserien 2026:2
Granskning av Lantmäteriets informationssäkerhet
Ds 2026:2
SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss
Statsrådsberedningen, SB PM 2021:1.
Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Omslag: Regeringskansliets standard
Tryck och remisshantering: Åtta45, Stockholm 2026
ISBN 978-91-525-1471-9 (tryck)
ISBN 978-91-525-1472-6 (pdf)
ISSN 0284-6012
Förord
Regeringen beslutade den 10 april 2025 att en utredare ska granska Lantmäteriets arbete med informationssäkerhet i myndighetens manuella hantering och digitala system (LI2025/00816). I samma beslut bemyndigade regeringen det statsråd som har till uppgift att föredra ärenden om Lantmäteriet att utse utredare och besluta om annat biträde åt utredaren. Statsrådet Andreas Carlson förordnade den 11 april 2025 tidigare kammarrättspresidenten i Kammarrätten i Göteborg Dag Stegeland att som utredare genomföra den nämnda granskningen (LI2025/00825).
Kammarrättsrådet och vice ordföranden Niclas Falkendal och rådmannen Victoria Röshammar har arbetat som ämnessakkunniga i uppdraget.
Denna promemoria är resultatet av ett gemensamt arbete av mig och de ämnessakkunniga. Den är därför skriven i vi-form. Jag är dock ensam ansvarig för slutsatserna.
Genom promemorian, Granskning av Lantmäteriets informa- tionssäkerhet, är uppdraget slutfört.
Göteborg i februari 2026
Dag Stegeland
/Niclas Falkendal
Victoria Röshammar
Innehåll
Innehållsförteckning | Ds 2026:2 |
2.6.2Sekretess till skydd för säkerhets- eller
| bevakningsåtgärd..................................................... | |
2.6.4Sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket
4
Ds 2026:2 | Innehållsförteckning |
3.2.3Varför behöver säkerhetskänsliga
| verksamheter ett särskilt skydd? ............................ | |
Hur fungerar säkerhetsskydd?................................ | ||
Verksamhetsutövarens ansvar................................. |
3.3Ett systematiskt och riskbaserat
informationssäkerhetsarbete .................................................. | ||
3.3.2Metodstöd för ett systematiskt
4.3.4Myndighetsgemensamma
|
| verksamhetsområdena ............................................. | |
| |||
|
| ||
|
| stöd ........................................................................... | |
5
Innehållsförteckning | Ds 2026:2 |
6.4Internrevisionens uppföljning av Lantmäteriets
åtgärdsarbete ......................................................................... |
6.5Genomlysning av Lantmäteriets interna styrning och
kontroll.................................................................................. |
6.6Riksrevisionen angående den interna styrningen och
kontrollen.............................................................................. |
6.7Vilka åtgärder har Lantmäteriet vidtagit inom området?... 115
6.7.1 Åtgärder som nämns i den senaste
| årsredovisningen.................................................... | |
6.7.3Lantmäteriets åtgärder efter genomlysningen
6
Ds 2026:2Innehållsförteckning
8.3.3Säkerhetskänslig information i arkivakter
| identifieras 2018..................................................... | |
En ny säkerhetsorganisation ................................. | ||
Trossenincidenten ................................................. | ||
8.3.9Status för säkerhetsskyddsarbetet vid
utgången av 2020 ................................................... |
8.3.10Olika bedömningar av Lantmäteriets
information ............................................................ | |
8.4 Den myndighetsinterna tillsynen 2022–2023...................... |
8.4.1Fastighetsbildningsakter innehåller uppgifter
8.4.2Verksamhetsområde Fastighetsbildnings svar
8.6Beredning av verksamhetsområdens
säkerhetsskyddsanalyser ....................................................... | |
8.7 Senare säkerhetsskyddsanalyser ........................................... |
7
Innehållsförteckning | Ds 2026:2 |
8.7.1En delvis uppdaterad säkerhetsskyddsanalys
| 2022........................................................................ | |
Säkerhetsskyddsanalys 2025 ................................. |
8.8Övrigt om Lantmäteriets arbete med
9.2.1Allmänt om Lantmäteriets ledningssystem för
| informationssäkerhetsarbete ................................ | |
9.3 Strategiskt och operativt informationssäkerhetsarbete ..... | ||
9.3.1Hur hanteras informationssäkerheten
8
Ds 2026:2Innehållsförteckning
12.2.2Internrevisionsrapporten Utlämnande av
allmän handling 2021............................................. |
12.2.3Dåvarande chefsjuristens tjänsteanteckningar
2021–2023 .............................................................. |
12.2.4Processen för utlämnande av akter via
| Kundcenter ............................................................ | |
| ||
| under 2023–2025.................................................... |
9
Innehållsförteckning | Ds 2026:2 |
12.2.7Internrevisionens uppföljningsrapport i maj
13.2.3Rutinen kring sekretessprövning stärks inom
Kundcenter ............................................................ |
13.2.4Säkerhetsskyddschefens rekommendation i
april 2024 ............................................................... |
13.2.5Frågan om stängning av digitala tjänster tas upp i det strategiska
13.2.6Rapport avseende borttagande av digitala
tjänster ................................................................... |
13.2.7Vad togs upp på ledningsgruppsmötet den 14–
15 maj 2024? .......................................................... |
13.2.8Styrelsen rekommenderar stängning av digitala
| tjänster ................................................................... | |
13.3 Den särskilda händelsen med mera...................................... | ||
13.3.3Även den interna åtkomsten till akter i Arken
10
Ds 2026:2 | Innehållsförteckning |
13.4.3Granskningsgrupp Arken och de särskilda
kriterierna............................................................... | |
13.4.4 Ett stort antal arkivakter låses .............................. |
15.3.2Internrevisionens granskning av efterlevnaden
15.3.3Den särskilda händelsens påverkan på det
| ||
15.3.4 Styrande och stödjande dokument ....................... | ||
11
Innehållsförteckning | Ds 2026:2 |
12
Ds 2026:2 | Innehållsförteckning |
16.4.1Lantmäteriet har haft en aktiv roll i
digitaliseringen av förvaltningen........................... |
16.4.2Regeringsuppdrag till Lantmäteriet om
16.4.7Potentiella hot och risker som orsakas eller
underlättas av öppna data...................................... | |
16.4.8 Värdefulla datamängder......................................... |
16.4.9Riksrevisionens granskning av statens arbete
16.7.3Myndighetschefens roll i en
13
Innehållsförteckning | Ds 2026:2 |
17.7Organiseringen av myndighetens juridiska stöd har bidragit till bristerna inom säkerhetsskydd och
informationssäkerhet............................................................ | |
| |
uppgifter i Arken .................................................................. |
17.9Hanteringen av den särskilda händelsen och Lantmäteriets framtida planering avseende digitala
14
Ds 2026:2 | Innehållsförteckning |
| |
sett få ett större fokus ........................................... |
17.15.2Uppgiftsskyldighet för fastighetsägare och ett råd för informations- och cybersäkerhet vid
15
Innehållsförteckning | Ds 2026:2 |
16
Sammanfattning
Uppdraget
Enligt vår uppdragsbeskrivning har det kommit fram uppgifter som tyder på att det finns brister i Lantmäteriets arbete med informa- tionssäkerhet och i myndighetens hantering av uppgifter som om- fattas av sekretess och personuppgifter. Vi har därför haft i uppdrag att granska Lantmäteriets arbete med informationssäkerhet i myn- dighetens manuella hantering och digitala system. Vi har avgränsat vårt arbete till att i huvudsak avse Lantmäteriets arkiv för förvaring av digitaliserade förrättningsakter, den så kallade Arken.
Vi har i vårt arbete identifierat ett antal brister och risker inom Lantmäteriets säkerhetsskydd och informationssäkerhet, hante- ringen av utlämnande av allmän handling och myndighetens behand- ling av personuppgifter.
I vårt uppdrag har även ingått att utreda frågan om arkivansvaret för de digitala akter som de kommunala lantmäterimyndigheterna förvarar i Arken och ansvaret för att lämna ut och sekretessgranska dem. Vi har också haft i uppdrag att vid behov föreslå åtgärder som stärker Lantmäteriets arbete med informationssäkerhetsfrågor och samtidigt ger förutsättningar för Lantmäteriet att fullgöra sina upp- gifter enligt sin instruktion på ett effektivt sätt.
Stängningen av digitala tjänster
Lantmäteriet har under många år tillhandahållit digitala tjänster till olika aktörer, bland annat myndigheter och enskilda. Genom tjäns- terna har förrättningsakter i Arken funnits tillgängliga på Lantmäte- riets webbplats genom direktåtkomst.
Lantmäteriets styrelse beslutade den 22 maj 2024 att all extern tillgång till Arken med omedelbar verkan skulle stängas. Anled-
17
Sammanfattning | Ds 2026:2 |
ningen var enligt beslutet för styrelsen tidigare okända brister i rutinerna kring sekretessprövning i samband med utlämnande av allmän handling och risken för att det förekom säkerhetsskydds- klassificerade uppgifter i bland annat Arken. Stängningen beslutades sedan av generaldirektören den 24 maj 2024. Åtgärden och följderna av den kallas inom Lantmäteriet ”den särskilda händelsen”.
Efter vår granskning instämmer vi i att angivna brister har funnits och anser att de, särskilt med beaktande av rådande säkerhetsläge, är mycket allvarliga. Vår utredning har dock visat att frågan om det förekommer säkerhetsskyddsklassificerade uppgifter i Arken har varit aktuell inom Lantmäteriet under en längre tid. Vi anser därför att myndigheten långt tidigare och skyndsamt borde ha vidtagit åtgärder för att komma till rätta med bristerna. Till det kommer att såväl känsliga som skyddade personuppgifter kan förekomma i ak- terna. Stängningen av de digitala tjänsterna var därför enligt vår be- dömning nödvändig.
För de individer som har haft sina personuppgifter, i vissa fall känsliga eller skyddade sådana, i Lantmäteriets system har genom det kontinuerliga utlämnandet av uppgifter utan sekretessprövning, risken för den personliga integriteten och i vissa fall även säkerheten varit påtaglig. Konsekvenserna av de risker som hanteringen av per- sonuppgifter inneburit är emellertid inte möjliga att bedöma i efter- hand.
Allvaret i och riskerna med den bristande informationssäkerhe- ten hos Lantmäteriet får typiskt sett bedömas utifrån vilka konsek- venser som bristerna kan antas leda till. Men konsekvenserna för Sveriges säkerhet är svåra att överblicka. En rimlig utgångspunkt är att alla uppgifter i Arken som har legat åtkomliga för externa bruka- re, och därmed varit tillgängliga för främmande makt eller antago- nister av skilda slag, är röjda. Det är i sig utomordentligt allvarligt. Att så har varit fallet under mycket lång tid gör detta förhållande än mer problematiskt. Det bör tilläggas att det inte bara handlar om en- skilda uppgifter. För den som så önskat har det funnits god tid att kartlägga och sammanställa och att komplettera uppgiftsinsamlan- det.
Sett till potentiella konsekvenser av Lantmäteriets bristande in- formationssäkerhet är ytterligare en rimlig utgångspunkt att det för varje myndighet eller annan aktör med känsliga fastigheter, anlägg- ningar eller verksamheter, vars uppgifter funnits öppet tillgängliga
18
Ds 2026:2 | Sammanfattning |
hos Lantmäteriet, krävs ett omtag. En risk- och konsekvensanalys får göras utifrån att alla känsliga uppgifter som funnits i Lantmäte- riets öppna system har röjts. Därefter får övervägas vilka åtgärder som kan vidtas för att öka skydd och säkerhet. Perspektivet här är långt större än enbart Lantmäteriets verksamhet – det handlar om hela Sveriges säkerhet.
I Lantmäteriets arbete sedan den särskilda händelsen är ambi- tionen att på nytt öppna de digitala tjänsterna i vart fall i förhållande till myndigheter. I dag är exempelvis rutinen att allmänna handlingar inte i något fall lämnas ut utan sekretessprövning. Den och andra vidtagna åtgärder framstår för oss som relevanta, men behöver kva- litetssäkras. Vi gör dock ett antal bedömningar som innebär att det kan ifrågasättas om det för närvarande är lämpligt att öppna de digi- tala tjänsterna igen. Vi menar att regeringen bör ge Lantmäteriet tyd- lig styrning och budget, antingen är fokus ett snabbt återöppnande av digitala tjänster eller ett fortsatt manuellt utlämnande.
Övriga brister i Lantmäteriets informationssäkerhet
Lantmäteriet hanterar mycket stora informationsmängder. Avsak- naden av en övergripande struktur i myndighetens arbete med infor- mationssäkerhet har varit påtaglig och hänger samman med brister inom den interna styrningen och kontrollen. Med utgångspunkt i Myndigheten för civilt försvars föreskrifter om informationssäker- het för statliga myndigheter1 har dock Lantmäteriet grunderna i sitt informationssäkerhetsarbete på plats, åtminstone delvis.
Det systematiska informationssäkerhetsarbetet har stannat av, vilket bland annat berott på att arbetet med den särskilda händelsen behövt prioriteras. Det systematiska arbetet behöver komma i gång igen, vilket även poängterats av Lantmäteriet. Informationsklass- ningen av Lantmäteriets informationsmängder behöver slutföras.
En informationsägare är den som äger och ansvarar för att in- formation är riktig och tillförlitlig samt för det sätt genom vilket in- formationen lagras och sprids. Informationsägarskapet inom myn- digheten måste förtydligas, bland annat vad gäller de akter från de kommunala lantmäterimyndigheterna som förvaras i Arken.
1MSBFS 2022:6.
19
Sammanfattning | Ds 2026:2 |
Lantmäteriets digitala system är delvis omoderna och har inte byggts utifrån de behov som finns i dag. För att kunna hålla akter tillgängliga i digitala system på ett liknande sätt som tidigare behöver systemen ses över.
Orsaker till bristerna i informationssäkerheten
Vi har i vårt arbete funnit ett antal bidragande orsaker till bristerna i informationssäkerheten inom Lantmäteriet.
Utmaningar för Lantmäteriet
Flera och ökade krav som inneburit utmaningar för Lantmäteriet har haft betydelse för myndighetens prioriteringar. Sådana krav har varit öppna data, tillgänglighet, digitalisering, en ekonomi i balans och kortare handläggningstider främst inom fastighetsbildningsområ- det. Fokus inom myndigheten har legat på att möta dessa krav och inte på säkerhetsskydd och informationssäkerhet.
Lantmäteriets roll som förvaltningsmyndighet och kultur
Vår bedömning är att Lantmäteriet har haft svårt att hålla fast vid och komma till rätta med sin roll som förvaltningsmyndighet och den statliga värdegrunden. Vikten av en god förvaltningskultur, som innefattar den statliga värdegrunden och tjänstemannarollen, har inte lyfts fram i tillräcklig utsträckning. Lantmäteriets roll och funk- tion som förvaltningsmyndighet behöver därför framhållas inom myndigheten. Vi har också konstaterat att beslutsprocesserna i Lantmäteriet har präglats av en konsensuskultur, där det har varit viktigt att vara överens hellre än öppna diskussioner där åsikter bryts mot varandra och hellre än att ensam fatta beslut. Denna kultur kan ha bidragit till att det tagit för lång tid att fatta beslut och till att beslut varit bristfälligt underbyggda.
De tre verksamhetsområdena Fastighetsbildning, Fastighetsin- skrivning och Geodata har i stor utsträckning arbetat i ”stuprör”, det vill säga mer på varsitt håll än myndighetsövergripande och gemen- samt. Bristande samsyn inom myndigheten har bidragit till brister
20
Ds 2026:2 | Sammanfattning |
inom flera områden. Ett exempel är att verksamhetsområdena har haft olika uppfattningar i frågan om det funnits säkerhetsskydds- klassificerade uppgifter i Arken.
Brister i den interna styrningen och kontrollen
För att en myndighet ska kunna bedriva ett systematiskt informa- tionssäkerhetsarbete krävs en välfungerande intern styrning och kontroll. Det har under lång tid funnits brister i den interna styr- ningen och kontrollen inom Lantmäteriet. De har enligt vår mening påverkat informationssäkerheten i stor utsträckning. Ett exempel är att det saknats ett tydligt myndighetsövergripande juridiskt stöd för att säkerställa regelefterlevnad och intern styrning och kontroll. Myndigheten är väl medveten om de brister som funnits. De åtgär- der som numera genomförts och planeras bedömer vi vara steg i rätt riktning. Mycket arbete återstår dock.
Ledningen – roller och ansvar av betydelse för säkerhetsskydd och informationssäkerhet
Lantmäteriets ledningsstruktur utgår från styrelseformen där styrel- sen har det yttersta ansvaret för myndighetens ledning och styrning. I det innefattas ansvaret för myndighetens säkerhetsskydd, inklusive informationssäkerheten. Inom ramen för den interna styrningen och kontrollen lägger styrelsen fast den övergripande inriktningen för verksamheten, i regel i samspel med generaldirektören som verksam- hetsansvarig myndighetschef. I sammanhanget bör nämnas även internrevisionen som styrelsens organ.
Inom Lantmäteriet har generaldirektören organiserat myndighe- tens ledning i en ledningsgrupp där bland andra myndighetens verk- samhetsområdeschefer ingått.
I en välfungerande organisation och verksamhet är samspel ett nyckelord. Och det bygger på väl genomarbetade strukturer på sys- temnivå med tydlig fördelning av det organisatoriska ansvaret i verk- samheten. Det bygger också på tydlighet när det gäller ansvar och beslutsbefogenheter samt beslutsförmåga. Som nämnts har det inom Lantmäteriet funnits stora utmaningar i att få till det som innefattas i en organisations interna styrning och kontroll. Problemen, som har
21
Sammanfattning | Ds 2026:2 |
varit generella, har fått mycket allvarliga återverkningar inte minst på informationssäkerheten. Vi har dragit vissa slutsatser när det gäl- ler de olika ledningsorganen eller det man kan kalla chefsleden. Dessutom har vi gjort bedömningar som berör internrevisionen. Vi uttalar oss också om chefs- och ledarskapet i stort inom Lantmäte- riet.
Styrelsen
Säkerhetsskydds- och informationssäkerhetsfrågor borde enligt vår mening ha tagits upp mer ingående vid styrelsens sammanträden. När det gäller förekomsten av säkerhetsskyddsklassificerade upp- gifter i Arken och bristerna i rutinerna i samband med utlämnande av allmänna handlingar och behandlingen av personuppgifter borde styrelsen, som haft stöd av internrevisionen, ha agerat tidigare. Det gäller även om generaldirektören också på ett tydligare sätt borde ha informerat styrelsen.
Vi anser vidare att styrelsearbetet behöver utvecklas för att sty- relsen ska kunna ta ansvar för Lantmäteriets styrning och kontroll. Styrelsen bör också utveckla hur man följer upp de beslut som fat- tats.
Generaldirektören
Generaldirektören borde skyndsamt och långt tidigare ha vidtagit åtgärder med anledning av förekomsten av säkerhetsskyddsklassifi- cerade uppgifter i Arken och de övriga brister som vi har konstaterat. Styrelsen borde ingående ha informerats om bristerna.
Ledningsgruppen
Lantmäteriets ledningsgrupp har i stort fungerat som ett bered- ningsorgan, vilket enligt vår mening inte är lämpligt. De chefer som ingått i ledningsgruppen har genom sina respektive funktioner i verksamheten i övrigt och genom ett delegerat informationsägarskap haft ett informationssäkerhetsansvar. Härigenom och som ledamö- ter i ledningsgruppen har de haft ett ansvar för att åtgärder inte
22
Ds 2026:2 | Sammanfattning |
skyndsamt vidtagits med anledning av förekomsten av säkerhets- skyddsklassificerade uppgifter i Arken. Detsamma gäller i fråga om bristerna i hanteringen av allmänna handlingar och behandlingen av personuppgifter.
Internrevisionen
Internrevisionen har genomfört ett antal angelägna och väl utförda granskningar. Uppföljningen av internrevisionens rekommenda- tioner har dock inte fungerat tillfredsställande. Relationen mellan generaldirektören och internrevisionen har med tiden blivit sämre, vilket påverkat arbetsklimatet och med det internrevisionens arbete. De åtgärder som Lantmäteriet numera vidtagit för att förbättra myndighetens hantering av internrevisionens granskningar framstår som lämpliga men en särskild uppföljning av dessa är motiverad.
Chefs- och ledarskapet
Den organisatoriskt spridda verksamheten i Lantmäteriet ställer stora krav på ett väl utvecklat chefs- och ledarskap. Detsamma gäller utifrån myndighetens komplexa verksamhet med kontinuerligt nya uppdrag att hantera.
Förståelsen för Lantmäteriets myndighetsroll och uppdrag behö- ver som nämnts befästas. Samtidigt behöver samsynen om att alla verksamhetsområden ska bidra till det övergripande målet med verk- samheten öka. Här menar vi att cheferna ska vara förebilder. Utrym- met för att tycka olika och att i ledningsgruppen föra fram olika upp- fattningar bör öka.
Alla chefer bör ges möjlighet att utveckla sitt personliga ledar- skap och sin chefsroll. Lantmäteriet bör i chefsledet satsa på kompe- tensutveckling om grundläggande rättsregler av betydelse för myn- dighetsstyrning och regelefterlevnad. Att frågor om säkerhetsskydd och informationssäkerhet samt offentlighet och sekretess och per- sonuppgiftsbehandling kräver särskilda utbildningsinsatser är givet.
23
Sammanfattning | Ds 2026:2 |
Övriga informationssäkerhetsfrågor inom Lantmäteriet
En plan för hur uppföljning av informationssäkerhetsarbetet ska ske behöver tas fram. Dessutom behöver myndighetens ledningssystem för informationssäkerhet uppdateras. Så kallade facilitatorer eller koordinatorer för informationssäkerhetsarbetet bör om möjligt utses inom samtliga verksamhetsområden. På så sätt kan den centrala funktionen fokusera på det myndighetsövergripande infor- mationssäkerhetsarbetet.
Det bör beslutas och vara reglerat vem som ska ha det myndig- hetsövergripande ansvaret för att informationsägare utses för nya informationsmängder och för de informationsmängder där det är otydligt vem som har ansvaret.
Lantmäteriets ansvar för informationssäkerhet bör framhållas i myndighetens instruktion.
Samtliga fastighetsägare och andra aktörer som hanterar fastig- heter eller samhällsviktiga anläggningar eller verksamheter av bety- delse för Sveriges säkerhet bör vara skyldiga att löpande lämna upp- gifter till Lantmäteriet om sådana fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Uppgiftsskyldigheten bör vara författnings- reglerad.
Ett råd med fokus på informations- och cybersäkerhet, med representation från offentlig- och privaträttsliga subjekt som driver säkerhetskänslig verksamhet av betydelse för Sveriges säkerhet, bör inrättas vid Lantmäteriet. Rådet ska vara en del i att Lantmäteriet ska kunna ta ansvar för informationssäkerheten inom sitt verksamhets- område. Rådet ska bidra till ökad kunskap och kompetens hos de aktörer som hanterar säkerhetskyddsklassificerad information eller i övrigt uppgifter av betydelse för Sveriges säkerhet.
Frågan om uppgiftsskyldighet för berörda subjekt och den närmare utformningen av ett råd för informations- och cybersäker- het bör beredas vidare inom Regeringskansliet. I det innefattas nöd- vändig författningsreglering.
Utlämnande av allmän handling efter begäran
Handlingar som har funnits i Arken har efter begäran – utan sekre- tessprövning – lämnats ut av Lantmäteriet. Hanteringen har varit
24
Ds 2026:2 | Sammanfattning |
kopplad till det faktum att handlingarna har bedömts säkra att lämna ut, eftersom de har legat öppet tillgängliga i Arken. En överhängande risk har funnits för att såväl säkerhetsskyddsklassificerade som andra uppgifter som borde ha skyddats av sekretess har lämnats ut även på detta sätt. Att Lantmäteriet rutinmässigt lämnat ut akter som kunnat innehålla sekretesskyddade uppgifter utan en föregående sekre- tessprövning av innehållet bygger på att myndigheten felaktigt bedömt och tillämpat gällande rätt i fråga om offentlighet och sekretess. Det är samtidigt kopplat till bristerna i fråga om intern styrning och kontroll.
Lantmäteriet har haft en alltför långsam takt när det gäller att komma till rätta med uppmärksammade brister i fråga om manuellt utlämnande av allmänna handlingar.
Kundcenters medarbetare har följt givna direktiv, och kan inte lastas för hur frågan har hanterats.
Lantmäteriets behandling av personuppgifter
Såväl känsliga som skyddade personuppgifter kan förekomma i fas- tighetsbildningsakterna. Det kan ifrågasättas om det har varit nöd- vändigt för Lantmäteriet att tillhandahålla personuppgifter i den om- fattning som har gjorts genom att samtliga arkivakter, trots detta känsliga innehåll, funnits öppet tillgängliga. I likhet med bedöm- ningen i fråga om säkerhetsskyddsklassificerade uppgifter i Arken borde Lantmäteriet långt tidigare och skyndsamt ha vidtagit åtgärder för att komma till rätta med problemen.
Arkenförordningen är tillämplig på Lantmäteriets tillhandahål- lande av personuppgifter och det är därför inte möjligt att välja bort den för att i stället tillämpa dataskyddslagen. Arken innehåller käns- liga personuppgifter. Enligt förordningen är behandling av känsliga personuppgifter inte tillåten, vilket Lantmäteriet har att förhålla sig till. Det finns anledning att se över förordningen.
Det kan ifrågasättas om Lantmäteriet har säkerställt att samtliga principer för dataskydd följts, eftersom man avstått från att tillämpa gällande förordning, när det gäller att tillhandahålla personuppgifter till andra aktörer. Det gäller vid såväl direktåtkomst som manuellt utlämnande av akter.
25
Sammanfattning | Ds 2026:2 |
Lantmäteriet behöver säkerställa att myndighetens inriktning mot öppna digitala tjänster i förhållande till andra myndigheter har stöd i dataskyddslagstiftningen. I det ingår att genomföra lämpliga tekniska och organisatoriska åtgärder för att bland annat säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål behandlas.
Lantmäteriet behöver i samråd med de kommunala lantmäteri- myndigheterna förtydliga personuppgiftsansvaret för dessa myndig- heters arkivakter i Arken.
Arkivansvaret för de kommunala lantmäterimyndigheternas akter i Arken
Arkivansvaret bör ligga på den myndighet som skapar arkivmate- rialet. De kommunala lantmäterimyndigheterna förvarar digitala arkivakter i Arken och har arkivansvaret för dessa. Lantmäteriet har inte något arkivansvar för akterna. Det finns inte skäl att ändra den ordningen. Dock bör i författning tydliggöras att respektive myn- dighet har ansvaret för att arkivera sin information. Det bör förtyd- ligas även vad som gäller om ansvaret för arkiveringssystemet som sådant.
Utlämnande av de kommunala lantmäterimyndigheternas akter
Även om Lantmäteriet inte har arkivansvar för de kommunala lant- mäterimyndigheternas akter har Lantmäteriet ansvar för att från Arken lämna ut sådana akter som myndigheten har tillgång till.
Lantmäteriets förvaring och tillhandahållande av kommunala lantmäterimyndigheters akter
Det saknas ett fullständigt och tydligt rättsligt stöd för Lantmäteriet att förvara och tillhandahålla även andra myndigheters arkivakter. Ansvaret för säkerhetsskydd, informationssäkerhet och personupp- gifter när det gäller de kommunala lantmäterimyndigheternas akter i Arken behöver förtydligas.
26
Ds 2026:2 | Sammanfattning |
Avtalen mellan Lantmäteriet och de kommunala lantmäterimyn- digheterna är delvis oklara, bland annat när det gäller de begrepp som används. Avtalsparterna har inte, i alla delar, samma uppfattning om avtalens innebörd. Lantmäteriet bör därför initiera en översyn av avtalen för att skapa samsyn om avtalsinnehållet.
Ett större fokus på informationssäkerhetsfrågor
Informationssäkerhetsfrågor behöver få ett större fokus i myndig- heternas arbete. Riksdag och regering har ett ansvar för att så blir fallet, vilket är en fråga som får övervägas i annat sammanhang. Som ett led i detta är det inom en myndighet angeläget med regelbunden utbildning i informationssäkerhet. Utbildningen bör omfatta myn- dighetens ledning. När det gäller nytillträdda styrelseledamöter bör informationssäkerhet utgöra en större del i den utbildning som Re- geringskansliet i dag svarar för. Detsamma bör allmänt gälla för ny- tillträdda generaldirektörer.
Tillsynsfrågor
Enligt säkerhetsskyddslagstiftningen har olika tillsynsmyndigheter tillsynsansvar över Lantmäteriet respektive de kommunala lantmä- terimyndigheterna och därmed över i allt väsentligt samma informa- tionsmängder och system, bland annat Arken. Samordning mellan tillsynsmyndigheterna är viktigt. Det är också angeläget att tillsyns- myndigheterna ger vägledning och därmed stöd till en myndighet som hanterar säkerhetskänsliga uppgifter.
Konsekvenser av förslagen
Det vi lyfter om förbättringar i arbetet med informationssäkerheten är egentligen inte något nytt. Allt ingår i det uppdrag som Lantmä- teriet som myndighet redan har och är därmed anslagsfinansierat. Som vi har konstaterat är ett antal åtgärder i stora delar igångsatta. Det gäller bland annat i fråga om att utveckla den interna styrningen och kontrollen, och får med det anses ha beaktats i budgetdialogen.
27
Sammanfattning | Ds 2026:2 |
Vi gör i övrigt vissa bedömningar som hänger ihop med Lantmä- teriets behov av rekrytering för de två granskningsfunktioner som har inrättats för att klara granskningen vid utlämnande av allmänna handlingar. Myndigheten har uppgett att man kommer att aktua- lisera frågan med Regeringskansliet inför arbetet med vårändrings- budgeten. Mot bakgrund av de olika allvarliga brister som har upp- märksammats vill vi framhålla vikten av att Lantmäteriet ges tillräck- liga resurser och även styrning när det gäller frågor om informations- säkerhet, sekretesshantering och personuppgiftsbehandling.
Av allt att döma kan kapaciteten i form av personalresurser fort- satt komma att behöva utökas beroende på om, när och i vilken ut- sträckning som digitala tjänster och utvecklade IT-system kan tas i bruk. Vidare är Lantmäteriets digitala system delvis omoderna. De har inte byggts utifrån de behov som finns i dag. För att kunna hålla akter tillgängliga digitalt på ett liknande sätt som tidigare är det vår bedömning att Arken som system behöver ses över.
Vi anser också att Lantmäteriets instruktion bör förtydligas, att Arkenförordningen behöver ses över och att det bör utredas ytter- ligare i vilken form ett informationsutbyte lämpligast ska ske. Samt- liga våra överväganden kan innebära ökade kostnader för Lantmäte- riet och staten i övrigt, men också besparingar på sikt.
När det gäller vårt förslag att inrätta ett informations- och cyber- säkerhetsråd inom Lantmäteriet kan det medföra att myndigheten behöver tillföras ytterligare resurser. Denna samrådsmodell får be- dömas öka förutsättningarna för hög informationssäkerhet inte bara hos Lantmäteriet utan i samhället i övrigt med stora besparingar som följd.
Vi har föreslagit att samtliga fastighetsägare och andra aktörer som hanterar fastigheter eller samhällsviktiga anläggningar eller verksamheter av betydelse för Sveriges säkerhet bör ha en författ- ningsreglerad skyldighet att löpande hålla Lantmäteriet informerat om sådana fastigheter, anläggningar eller verksamheter i de hänseen- den som uppgifter om dessa ska finnas i Lantmäteriets register. Få fastighetsägare kommer att beröras av förslaget. Utifrån ett sam- hällsekonomiskt perspektiv bedömer vi att en sådan ökad samverkan som förslaget innebär kan förväntas leda till stora besparingar för samhället som helhet, både på kort och lång sikt.
28
1 Utredningsuppdraget med mera
1.1Uppdraget
I vår uppdragsbeskrivning har regeringen angett att det har kommit fram uppgifter som tyder på att det finns brister i Lantmäteriets arbete med informationssäkerhet och myndighetens hantering av uppgifter som omfattas av sekretess och personuppgifter. Enligt regeringen finns det därför starka skäl att granska Lantmäteriets uppgiftshantering och analysera framför allt om och hur myndig- hetens arbete i dessa hänseenden kan utvecklas. Mot den bak- grunden har regeringen den 10 april 2025 beslutat att en utredare ska granska Lantmäteriets arbete med informationssäkerhet i sin ma- nuella hantering och i sina digitala system.
Enligt uppdraget ska utredaren:
•Kartlägga dels Lantmäteriets arbete med informationssäkerhet, dels myndighetens behandling av personuppgifter. I det ingår att identifiera eventuella brister och risker i hanteringen och behandlingen.
•Beskriva hur ansvaret för informationssäkerhetsfrågor är fördelat i Lantmäteriet, bland annat mellan styrelsen och generaldirektö- ren, och utvärdera om ansvarsfördelningen innebär att det finns förutsättningar för myndigheten att leva upp till högt ställda krav på arbetet med sådana frågor.
•Utreda om Lantmäteriet bör ha fortsatt arkivansvar och ansvar för att lämna ut och sekretessgranska de kommunala lantmäteri- myndigheternas akter samt, om så inte är fallet, lämna förslag på vilken eller vilka aktörer som i stället framstår som lämpliga för att ta över ansvaret för dessa uppgifter.
29
Utredningens uppdrag m.m. | Ds 2026:2 |
•Särskilt redovisa vilka åtgärder som myndigheten har vidtagit de senaste åren med avseende på att säkerställa en hög informations- säkerhet och att uppgifter som omfattas av sekretess och person- uppgifter inte felaktigt lämnas ut eller röjs på något annat sätt. I det ingår att analysera de åtgärder som myndigheten har vidtagit med anledning av de senaste årens myndighetsinterna påpekan- den om bristande skydd av sådana uppgifter.
•Kartlägga befintliga roller och kompetenser samt vilka roller och kompetenser som behövs framgent för att upprätthålla hög infor- mationssäkerhet.
•Vid behov föreslå åtgärder som stärker Lantmäteriets arbete med informationssäkerhetsfrågor och samtidigt ger förutsättningar för Lantmäteriet att på ett effektivt sätt fullgöra sina uppgifter enligt förordningen (2009:946) med instruktion för Lantmäte- riet.
1.2Avgränsningar
När det gäller Lantmäteriets arbete med informationssäkerhet har vi avgränsat vår granskning till i huvudsak åren 2017–2025. Det är i första hand den perioden som vi bedömt som aktuell och relevant för att kunna dra slutsatser som har betydelse för framtiden. Trots det berörs i vissa hänseenden förhållandena dessförinnan.
I den del av uppdraget som avser Lantmäteriets åtgärder för sä- kerställande av hög informationssäkerhet och att uppgifter som om- fattas av sekretess och personuppgifter inte felaktigt röjs genom ma- nuellt eller digitalt utlämnande har vi fokuserat på fastighetsbild- ningsakter i Lantmäteriets digitala förrättningsarkiv Arken. Som be- skrivs närmare i det följande är det framför allt utlämnandet av hand- lingar från Arken som har varit grunden för det som har kommit fram om brister i Lantmäteriets arbete med informationssäkerhet och i hanteringen av uppgifter som omfattas av sekretess och även av personuppgifter.
Samtidigt kan noteras att det kan finnas likartade utmaningar även i andra system hos Lantmäteriet vid sidan av Arken, såsom fas- tighetsregistret och handläggningssystemet Trossen (se mer om Lantmäteriets system i kapitel 7).
30
Ds 2026:2 | Utredningens uppdrag m.m. |
Fastighetsregistret omfattas av ett tydligt regelverk som syftar till att ge offentlighet åt den information som ingår i registret.2 Samti- digt regleras såväl tillhandahållandet av personuppgifter3 som Lant- mäteriets ansvar för att se till att det inte uppkommer otillbörligt intrång i registrerades personliga integritet eller risker från säker- hetssynpunkt.4 Registret har miljontals anrop per dag, exempelvis från myndigheter, mäklare och kreditinstitut.5 Ett informationssä- kerhetsarbete avseende fastighetsregistret uppges ha pågått sedan strax efter sekelskiftet, framför allt i fråga om skyddade personupp- gifter men även genom dialoger med olika aktörer om andra typer av känsliga uppgifter. Även om det undantagsvis kan ha lagts in uppgif- ter i registret som inte hör hemma där, har åtgärder löpande vidtagits för att komma till rätta med det utifrån att uppgifterna i registret ska kunna vara offentliga. Skyddade personuppgifter uppdateras löpan- de utifrån Skatteverkets folkbokföringsuppgifter. Skillnaden mellan fastighetsregistret och Arken är att fastighetsregistret är digitalt, inte innehåller dokument och är byggt med ett tillhandahållandela- ger, det vill säga den del som visas eller lämnas ut. Detta är separerat från registret som helhet och man har, som nämnts, kontinuerligt under mer än tjugo år arbetat med att hindra vissa sökningar och redovisningar i den synliga delen. Uppgifter som har tagits bort från tillhandahållandedelen har haft olika typer av varningssignaler. Och sekretessgranskning av sådana uppgifter har alltid skett före utläm- nande. Tilläggas kan att Fastighetsregisterutredningen relativt nyli- gen i betänkandet Ett säkrare och mer tillgängligt fastighetsregister (SOU 2024:7) övervägt frågan om att stärka säkerhetsskyddet för fastighetsregistret och skapa en modern reglering för effektiv infor- mationsförsörjning. Betänkandet bereds för närvarande inom Rege- ringskansliet. Mot den bakgrunden bedömer vi sammantaget att ut- maningarna med fastighetsregistret vad avser informationssäkerhe- ten i huvudsak redan är omhändertagna. Vi går därför inte närmare in på informationshanteringen i fastighetsregistret.
Även när det gäller handläggningssystemet Trossen, som används internt av Lantmäteriet och av de kommunala lantmäterimyndighe- terna, finns utmaningar i fråga om vilken typ av uppgifter och infor- mation som kan hanteras där. Det gäller såväl i fråga om säkerhets-
2Se 1 § lag (2000:224) om fastighetsregister.
3Se 2 och 7–9 §§ samma lag.
4Se 6 § samma lag.
5SOU 2024:7, s. 695.
31
Utredningens uppdrag m.m. | Ds 2026:2 |
skyddsklassificerade uppgifter som skyddade personuppgifter. Sys- temet hämtar dock viss del av den information som behövs för ären- dehandläggningen från Arken, som har varit vårt huvudsakliga fo- kus. Enligt uppgifter från Lantmäteriet är dessutom planen att Tros- sen under 2027 kommer att ersättas med ett nytt handläggningssys- tem. Vi har därför inte heller funnit anledning att analysera informa- tionshanteringen i Trossen närmare.
Det finns naturligtvis även i övrigt en stor mängd handlingar hos en myndighet som Lantmäteriet som kan omfattas av sekretess eller innehålla personuppgifter. Det gäller exempelvis i den personalad- ministrativa verksamheten och i fråga om upphandlingar och avtal. Vi har emellertid inte gjort en närmare genomgång av myndighetens hantering av samtliga sådana handlingar eller uppgifter, vare sig i frå- ga om utlämnanden eller informationssäkerheten i övrigt.
Med de nu nämnda avgränsningarna kan följande tilläggas. De allmänna utgångspunkter som är ett avstamp för våra överväganden beträffande Arken är på flera sätt allmängiltiga. Det gäller också de analyser och bedömningar som görs. Problembeskrivningarna och bristerna på systemnivå gör sig sannolikt gällande i lika hög grad oavsett vilken informationsmängd och informationshantering inom Lantmäteriet som avses. Analyserna och resonemangen kring Arken kan därför appliceras även på myndighetens övriga informations- mängder. Det är något som får innefattas i Lantmäteriets fortsatta arbete med säkerhetsskydd i allmänhet och informationssäkerhet i synnerhet.
En ytterligare avgränsning är att vi i huvudsak inte analyserar och uttalar oss om den IT-tekniska säkerheten för informationshante- ring i de många olika IT-system som Lantmäteriet använder. Det gäller de olika informationssystemens förenlighet med de generella kraven i säkerhetsskyddslagen och de mer detaljerade krav på IT- system som följer av föreskrifter som har beslutats med stöd av den lagstiftningen, exempelvis Säkerhetspolisens föreskrifter om säker- hetsskydd6 och Myndigheten för civilt försvars (MCF) föreskrifter om rapportering av it-incidenter för statliga myndigheter.7 Noteras i sammanhanget kan att Säkerhetspolisen har ett pågående tillsyns- ärende med fokus på Lantmäteriets regelefterlevnad. Parallellt har
6PMFS 2022:1.
7MSBFS 2020:8. Myndigheten för samhällsskydd och beredskap, MSB, bytte den 1 januari 2026 namn till Myndigheten för civilt förvar, MCF.
32
Ds 2026:2 | Utredningens uppdrag m.m. |
Länsstyrelsen i Västra Götaland pågående tillsynsärenden beträffan- de vissa kommunala lantmäterimyndigheter. Vår avgränsning i detta hänseende avser alltså den mer tekniska beskaffenheten av IT-syste- men i fråga om exempelvis robusthet, skydd mot intrång, segmente- ring, kryptering, behörighetsstyrning och loggning med mera och om systemen i sådana delar är regelkonforma och fyller gällande sä- kerhetskrav. En annan sak är hur Lantmäteriet använt systemen och exempelvis möjliggjort extern åtkomst och användning av informa- tionsmängder i systemen.
Slutligen har vi i vårt arbete beaktat de ändringar i Lantmäteriets organisation som skett den 1 januari 2026. I övrigt har vi avgränsat oss till att inte ta upp sådant som skett inom Lantmäteriet efter den 31 december 2025.
1.3Utredningsarbetet
Vårt arbete har inledningsvis fokuserat på att från Lantmäteriet be- gära in och hantera ett omfattande skriftligt material. Vi har också vid flera tillfällen besökt Lantmäteriets huvudkontor i Gävle för att hämta in relevant information. Genom det material som inhämtats från Lantmäteriet har vi fått ett brett underlag som beskriver orga- nisation och arbetssätt inom myndigheten. Ett flertal interna och externa rapporter är en del i detta. Konstateras kan att underlaget är av skiftande kvalitet. Visst underlag är påtagligt rudimentärt medan annat är väl genomarbetat. Detaljeringsgraden i olika delar av under- laget varierar. Protokoll från olika möten är ofta kortfattade och summariskt utformade. Det gäller även när centrala eller annars vik- tiga frågor avhandlats. I princip förekommer inte ledningsmötes- protokoll eller styrelsemötesprotokoll som detaljerat beskriver hur olika frågor avhandlats eller vem som uttalat vad eller om någon haft en avvikande mening. Ett antal frågor har behandlats genom Power Point-presentationer som i flera fall utgör det enda sparade under- laget. När det däremot gäller projektrapporter och liknande är de i vissa fall mycket genomarbetade och detaljerade. Det gäller såväl in- terna som externa rapporter.
För att komplettera bilden har drygt 60 intervjuer och samtal genomförts med nuvarande och tidigare anställda i Lantmäteriet samt nuvarande och tidigare ledamöter i Lantmäteriets styrelse. De
33
Utredningens uppdrag m.m. | Ds 2026:2 |
intervjuade har eller har haft olika funktioner inom Lantmäteriet, exempelvis generaldirektör, verksamhetsområdeschef eller biträ- dande sådan, chefsjurist, enhetschef, strategichef, dataskyddsombud och informationssäkerhetshandläggare. Genom intervjuerna och samtalen har frågorna om informationssäkerhet och sekretesshante- ringen med mera kommit att belysas från olika perspektiv och uti- från skilda infallsvinklar beroende på vars och ens roll och funktion inom Lantmäteriet. Det har påtagligt breddat underlaget i vår granskning. Slående har varit att det i vissa centrala delar, från helt skilda håll, har lämnats synpunkter som oberoende av varandra varit påtagligt samstämmiga.
Tilläggas bör att vi i samtalen noterat att vissa kommit ihåg mer och andra mindre, delvis beroende på ett varierande engagemang i det som rör säkerhetsskyddet och informationssäkerheten och övriga granskade områden. Konstateras kan också att minnena för många med tiden blir mindre tydliga. Samtidigt har vissa helt klart för sig vad som inträffat och när och i vilken ordning och så vidare. I regel grundas det på egna minnesanteckningar från vissa kritiska perioder och händelser.
Vid de intervjuer som vi har hållit har anteckningar förts och hu- vuddragen i det som lyfts noterats. De som intervjuats har beretts tillfälle att lämna synpunkter på anteckningarna. Flertalet av de som
vihar pratat med har varit anställda i Lantmäteriet under den period som vi har granskat. Och vi har förstått att flera brister när det gäller informationssäkerheten, sekretessprövningar och behandlingen av personuppgifter varit kända i olika delar av verksamheten. Trots det har vi upplevt att de vi samtalat med på ett öppet, utlämnande och samtidigt professionellt sätt delat med sig av sina erfarenheter av interna arbetsprocesser, arbetsklimat och kultur. Vidare har Lant- mäteriet som myndighet på ett mycket effektivt sätt försett oss med de olika underlag som vi initialt och därefter successivt har begärt. Det har varit en förutsättning för att kunna genomföra gransk- ningen.
Utöver ett stort antal kontakter med Lantmäteriet har vi haft flera kontakter med de kommunala lantmäterimyndigheterna, pri- märt med fokus på frågan om arkivansvar hos dessa och om arkive- ring inom Lantmäteriet. Genom dessa kontakter har samtidigt note- rats de gemensamma utmaningar när det gäller informationssäkerhet och personuppgiftshantering som finns i såväl den statliga som
34
Ds 2026:2 | Utredningens uppdrag m.m. |
kommunala lantmäteriverksamheten. Till detta kommer att vi i vissa delar har informerat oss om Lantmäteriets kontakter med Rege- ringskansliet i ljuset av att regeringen primärt är Lantmäteriets upp- dragsgivare och huvudman för myndigheten. Som framgår av redo- visningen har regeringen också löpande gett Lantmäteriet olika upp- drag att hantera. Vidare har vi samrått med och fått information från Säkerhetspolisen och Integritetsskyddsmyndigheten. Detsamma gäller Sveriges kommuner och regioner och Riksarkivet.
Inte minst den dokumentation som vi har hämtat in från Lant- mäteriet i kombination med samtalen med nuvarande och tidigare anställda i myndigheten har gett oss ett brett underlag. Sammantaget har det starkt bidragit till att underbygga våra bedömningar och där- med slutsatserna av vår granskning.
De hänvisningar till de intervjuer som hållits utgör inte alltid citat utan har i vissa fall, beroende på sammanhang, omformulerats. Det som olika personer berättat har vägts samman och i vissa delar åter- getts för att exemplifiera det som många gånger framstår som fleras upplevelser av hur verksamheten har fungerat. I sak har emellertid inte något ändrats. De intervjuade namnges inte i texten.
Under större delen av den period som utredningens granskning avser har Susanne Ås Sivborg varit generaldirektör vid Lantmäteriet. Vid hänvisningar i texten till generaldirektören avses alltså Susanne Ås Sivborg, om inte annat anges.
Den chef inom Lantmäteriet som är ansvarig för verksamhetsom- råde Säkerhet benämns säkerhets- och säkerhetsskyddschef inom myndigheten.8 Vi har valt att genomgående benämna denna chef säkerhetsskyddschef.9 Vidare benämner vi det verksamhetsområde som tidigare kallades Säkerhets- och säkerhetsskydd för verksam- hetsområde Säkerhet.
1.4Redovisningens struktur
I avsnitt 1.5 redogörs för ansvarsbegreppet och i avsnitt 1.6 tas några grundläggande begrepp upp.
Kapitel 2 innehåller en genomgång av tillämpliga bestämmelser i stort.
8Se 3 kap. 5 § i Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018.
9Det är också den titel som anges i 2 kap. 7 § säkerhetsskyddslagen (2018:585).
35
Utredningens uppdrag m.m. | Ds 2026:2 |
I kapitel 3 redogörs för några grundläggande delar vad gäller säkerhetsskydd och för vad ett systematiskt och riskbaserat infor- mationssäkerhetsarbete i stort omfattar. Slutligen beskrivs hur detta arbete kan mätas genom den så kallade Cybersäkerhetskollen, samt några resultat från denna.
Kapitel 4 beskriver Lantmäteriets organisation och uppgifter, for- merna för den interna styrningen av myndigheten och något om den översyn av delar av organisationen som gjorts.
I kapitel 5 redogörs för ansvaret för informationssäkerhet inom Lantmäteriet och vilka styrande dokument som finns inom området.
I kapitel 6 redogörs inledningsvis för Lantmäteriets riktlinje för intern styrning och kontroll. Härefter övergår vi till att gå igenom några av de brister inom området som uppmärksammats hos Lant- mäteriet under senare år.
Kapitel 7 beskriver relevanta digitala system och tjänster hos Lantmäteriet i huvuddrag. Dessutom redogörs för historiken kring digitaliseringen av Lantmäteriets akter.
I kapitel 8 redogörs för väsentliga delar i Lantmäteriets arbete med säkerhetsskydd.
I kapitel 9 finns en redovisning av Lantmäteriets arbete med in- formationssäkerhet såvitt avser bland annat ledningssystem för in- formationssäkerhetsarbetet, det strategiska och taktiska arbetet och informationsklassning och dessutom något om myndighetens eko- nomiska resurser för informationssäkerhet.10
Kapitel 10 tar upp några externa och interna granskningar av Lantmäteriets informationssäkerhetsarbete.
Kapitel 11 innehåller en redogörelse för Arken och med det arki- vet sammanhängande frågor.
I kapitel 12 behandlas frågor om utlämnande av allmän handling och sekretess hos myndigheten.
I kapitel 13 redogörs för det som under 2024 ledde fram till det som Lantmäteriet kallar den särskilda händelsen, det vill säga stäng- ningen av de digitala tjänsterna i maj samma år. Kapitlet innehåller också en översiktlig beskrivning av den särskilda händelsen i sig och hur arbetet med den bedrevs under resten av året.
I kapitel 14 redogörs för det fortsatta arbetet inom myndigheten med den särskilda händelsen och i fråga om utlämnande av allmänna
10Texten bygger delvis på Lantmäteriets PM till utredningen Strukturerat informationssäker- hetsarbete den 21 november 2025, LM2025/051647.
36
Ds 2026:2 | Utredningens uppdrag m.m. |
handlingar, inklusive inriktningen mot att igen försöka öppna digi- tala tjänster.
Kapitel 15 beskriver Lantmäteriets personuppgiftsansvar, myn- dighetens arbete med dataskydd och den nuvarande organisationen för detta. Vidare tas myndighetens riktlinjer för hantering av per- sonuppgifter och skyddade personuppgifter upp. Slutligen beskrivs några utvalda delar av Lantmäteriets behandling av personuppgifter med fokus på arkivakter.
I kapitel 16 redogörs för några utgångspunkter för våra övervä- ganden när det gäller Lantmäteriets arbete med informationssäker- het.
Kapitel 17 innehåller våra överväganden i fråga om Lantmäteriets informationssäkerhet, med mera.
I kapitel 18 behandlas frågan om de kommunala lantmäterimyn- digheternas akter och arkivansvaret för dem. Kapitlet innehåller ock- så vår analys och våra slutsatser i den frågan.
En redovisning av konsekvenserna av våra analyser och övervä- ganden finns i kapitel 19.
Kapitel 20 innehåller våra avslutande reflektioner.
1.5Ansvarsbegreppet
Det har under åren funnits flera olika kommittéer och utredningar som haft i uppdrag att granska specifika händelser eller företeelser.11 2005 års katastrofkommission har i sitt betänkande en längre redo- görelse och diskussion om ansvarsbegreppet.12 Kommissionen an- förde att dess uppdrag hade två huvudkomponenter, en granskande (bakåtblickande) och en förslagsinriktad (framåtblickande) och att dessa hängde intimt samman via ansvarsbegreppet. Kommissionen menade att en granskning förutsatte en konkret behandling av frågor om ansvaret och dess fördelning. Det ansvarsbegrepp som kommis- sionen valde att arbeta med inrymde att kritik av varierande styrka skulle kunna riktas mot dem som visat sig inte motsvara de krav som framgår av gällande bestämmelser eller som annars rimligen bör kun- na ställas. Om en sådan analys inte görs, försvåras möjligheterna att
11 Bland annat granskningen av Karolinska Institutet och Macchiariniärendet från 2016, granskningen av Transportstyrelsens upphandling av IT-drift, Ds 2018:6, och 2005 års katastrofkommission om hanteringen av tsunamikatastrofen, SOU 2005:104.
12SOU 2005:104 s. 60 f, och även Ds 2018:6 s. 18–19.
37
Utredningens uppdrag m.m. | Ds 2026:2 |
lära av misstagen och medborgarnas förtroende för myndigheterna urholkas. Att göra en analys av ansvarsfrågorna ansåg kommissionen vara en sak. Däremot var det inte en uppgift för kommissionen att utkräva ansvar.
Precis som katastrofkommissionen och utredningen om Trans- portstyrelsens upphandling av IT-drift har vi inom ramen för granskningen av Lantmäteriet en både bakåtblickande och framåt- blickande del. I dessa delar kan ingå både bedömningar av enskilda rollers eller funktioners ansvar och agerande samt organisationslös- ningar. Det ingår emellertid inte heller i vårt utredningsuppdrag att utkräva ansvar.
1.6Grundläggande begrepp
1.6.1Säkerhetskänslig verksamhet
Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.13
1.6.2Säkerhetsskydd
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskydds- klassificerade uppgifter.14
1.6.3Säkerhetsskyddsklassificerade uppgifter
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.15 Det är enligt Säkerhetspolisens vägledning viktigt
131 kap. 1 § säkerhetsskyddslagen.
141 kap. 2 § säkerhetsskyddslagen.
151 kap. 2 § säkerhetsskyddslagen.
38
Ds 2026:2 | Utredningens uppdrag m.m. |
att komma ihåg att båda kriterierna måste vara uppfyllda. Följande exempel, hämtat ur vägledningen, visar när så inte är fallet.16
Säkerhetspolisen ger varje år ut en lägesbild som publiceras på myndig- hetens webbplats. Rapporten beskriver Säkerhetspolisens säkerhets- känsliga verksamhet men innehåller inga uppgifter som omfattas av sek- retess. Årsboken anses därmed inte innehålla säkerhetsskyddsklassifice- rade uppgifter.
1.6.4Säkerhetsskyddsklasser
Säkerhetsskyddsklassificerade uppgifter delas in i säkerhetsskydds- klasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen ska göras enligt följande:
1.kvalificerat hemlig vid en synnerligen allvarlig skada,
2.hemlig vid en allvarlig skada,
3.konfidentiell vid en inte obetydlig skada, eller
4.begränsat hemlig vid endast ringa skada.17
1.6.5Informationssäkerhet
Informationssäkerhet ska förebygga att säkerhetsskyddsklassifice- rade uppgifter obehörigen röjs, ändras, görs otillgängliga eller för- störs, och förebygga skadlig inverkan i övrigt på uppgifter och infor- mationssystem som gäller säkerhetskänslig verksamhet.18
MCF definierar informationssäkerhet som bevarande av konfi- dentialitet, riktighet och tillgänglighet hos information.19
16Säkerhetspolisens Vägledning i säkerhetsskydd – Introduktion, s. 19.
172 kap. 5 § säkerhetsskyddslagen.
182 kap. 2 § säkerhetsskyddslagen.
193 § MSBFS 2020:6.
39
Utredningens uppdrag m.m. | Ds 2026:2 |
1.6.6Informationsklassning20
Med detta begrepp avses att en myndighet ska klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få.21
1.6.7Informationssystem
Med informationssystem avses ett system av sammansatt mjuk- och hårdvara som behandlar information.22
1.6.8IT-säkerhet
IT-säkerhet är en del av informationssäkerheten, avgränsad till it- resurser. It-resurser kan vara nätverk, servrar, hårdvara med mera.23
1.6.9Cybersäkerhet
Cybersäkerhet definieras som all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra personer mot cyberhot.24
1.6.10Personuppgifter och personuppgiftsansvarig
Personuppgifter definieras i dataskyddsförordningen.25 Sådana upp- gifter är; varje upplysning som avser en identifierad eller identifier- bar person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokalise-
20Begreppet ska inte förväxlas med begreppet säkerhetsskyddsklassificering. För resonemang om detta, se prop. 2017/18:89, s. 63–64.
216 § MSBFS 2020:6.
221 kap. 3 § säkerhetsskyddsförordningen.
23Myndigheten för samhällsskydd och beredskaps termbank för informationssäkerhet, https://termbank-informationssakerhet.msb.se, hämtat den 21 januari 2026.
241 kap. 2 § cybersäkerhetslagen (2025:1506).
25Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen eller GDPR).
40
Ds 2026:2 | Utredningens uppdrag m.m. |
ringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.26
Personuppgiftsansvarig är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.27
1.6.11Känsliga och särskilt skyddsvärda personuppgifter
Med känsliga personuppgifter avses uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, med- lemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska uppgifter och biometriska uppgifter som används för att entydigt identifiera en person. I dataskyddsförord- ningen kallas de här uppgifterna för särskilda kategorier av per- sonuppgifter.28
Personnummer och samordningsnummer utgör inte känsliga personuppgifter enligt dataskyddsförordningen och dataskydds- lagen men är sådana uppgifter som har bedömts som särskilt skydds- värda. De får behandlas endast utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.29
1.6.12Skyddade personuppgifter
Det finns tre typer av skyddade personuppgifter; skyddad folkbok- föring, sekretessmarkering, och fingerade personuppgifter. Skyddad folkbokföring innebär att den som av särskilda skäl kan antas bli utsatt för brott, förföljelser eller allvarliga trakasserier på annat sätt
26Artikel 4.1 dataskyddsförordningen.
27Artikel 4.7 dataskyddsförordningen.
28Se 3 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsföror- dning (dataskyddslagen) och artikel 9 dataskyddsförordningen.
29Se 3 kap 10 § dataskyddslagen och artikel 87 dataskyddsförordningen.
41
Utredningens uppdrag m.m. | Ds 2026:2 |
efter ansökan kan bli folkbokförd på en annan ort än där personen är bosatt. En sekretessmarkering betyder i det här sammanhanget att en noggrann skadeprövning alltid måste göras för att avgöra om en sekretessmarkerad uppgift kan lämnas ut. Fingerade personuppgif- ter innebär att en person blir registrerad i folkbokföringsdatabasen med andra personuppgifter än de verkliga.30
Sekretesskyddet för personuppgifter följer av offentlighets- och sekretesslagen (2009:400).
30https://www4.skatteverket.se/rattsligvagledning/330543, hämtat den 6 januari 2026.
42
2 Tillämpliga bestämmelser
2.1Kapitlets innehåll
I kapitlet redogörs för relevanta tillämpliga bestämmelser för vårt arbete.
2.2Säkerhetsskyddslagen (2018:585)
Lagen gäller, såvitt nu är aktuellt, för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet (säkerhets- känslig verksamhet).31
Den som till någon del bedriver säkerhetskänslig verksamhet (verksamhetsutövare) ska utreda behovet av säkerhetsskydd (säker- hetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras. Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verk- samhetens art och omfattning, förekomst av säkerhetsskyddsklassi- ficerade uppgifter och övriga omständigheter.
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt lagen.32
Vid verksamhet som omfattas av lagen ska det finnas en säker- hetsskyddschef, om det inte är uppenbart obehövligt. Denne ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och de föreskrifter som har med- delats i anslutning till lagen. Det ansvaret kan inte delegeras. Säker- hetsskyddschefen ska vara direkt underställd chefen för verksam-
311 kap. 1 § säkerhetsskyddslagen.
322 kap. 1 § säkerhetsskyddslagen.
43
Tillämpliga bestämmelser | Ds 2026:2 |
hetsutövarens verksamhet, om en sådan chef finns, och annars verk- samhetsutövarens ledning.33
I lagen finns även bland annat bestämmelser om säkerhetspröv- ning av den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet. 34
Tillsynsmyndigheten, det vill säga för Lantmäteriets del Säkerhetspolisen, ska utöva tillsyn över att verksamhetsutövare följer lagen och de föreskrifter som har meddelats i anslutning till lagen. I det syftet får tillsynsmyndigheten även utöva tillsyn hos de aktörer som verksamhetsutövare har ingått säkerhetsskyddsavtal med.35
Tillsynsmyndigheten får besluta att förelägga en verksamhets- utövare att vidta åtgärder för att fullgöra sina skyldigheter enligt lagen och föreskrifter som har meddelats i anslutning till lagen. Ett sådant beslut om föreläggande får förenas med vite.36
Tillsynsmyndigheten får även besluta att ta ut en sanktionsavgift av en verksamhetsutövare som har åsidosatt sina skyldigheter enligt närmare angivna bestämmelser.37
2.3Säkerhetsskyddsförordningen (2021:955)
Förordningen innehåller kompletterande bestämmelser till säker- hetsskyddslagen.38
I förordningen finns bland annat närmare bestämmelser om vad en säkerhetsskyddsanalys ska innehålla. Analysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhets- känslig verksamhet i övrigt som finns i verksamheten samt vilka hot och sårbarheter som finns kopplade till dessa skyddsvärden. Säker- hetsskyddsanalysen ska innehålla en bedömning av vilka säkerhets- skyddsåtgärder som är nödvändiga. Analysen ska uppdateras vid be- hov och åtminstone vartannat år.39
En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspoli- sen om
332 kap. 7 § säkerhetsskyddslagen.
343 kap. säkerhetsskyddslagen.
356 kap. 1 § säkerhetsskyddslagen.
366 kap. 6 § säkerhetsskyddslagen.
377 kap. 1 § säkerhetsskyddslagen.
381 kap. 1 § säkerhetsskyddsförordningen.
392 kap. 1 § säkerhetsskyddsförordningen.
44
Ds 2026:2 | Tillämpliga bestämmelser |
1.det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts,
2.det inträffat en it-incident i ett informationssystem som verk- samhetsutövaren är ansvarig för och som har betydelse för säker- hetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller
3.verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.40
I 3 kap. finns bestämmelser om informationssäkerhet.
Innan ett informationssystem som har betydelse för säkerhets- känslig verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhets- krav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Säkerhetsskyddsbedöm- ningen ska dokumenteras.41
En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhets- utövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet. En verksamhetsutövare som ansvarar för ett informationssystem ska vidare beakta förekomsten av röjande signaler och vidta lämpliga skyddsåtgärder för systemet om informationssystemet avses behandla säkerhetsskyddsklassifice- rade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.42
En verksamhetsutövare ska se till att den som anställs eller på annat sätt deltar i verksamheten får utbildning i säkerhetsskydd. Be- hovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.43
I förordningen finns också bestämmelser om bland annat genom- förandet av säkerhetsprövning och beslut om placering i säkerhets- klass.44
402 kap. 4 § säkerhetsskyddsförordningen.
413 kap. 1 § säkerhetsskyddsförordningen.
423 kap. 4 § säkerhetsskyddsförordningen.
435 kap. 1 § säkerhetsskyddsförordningen.
445 kap. 2 § med flera, säkerhetsskyddsförordningen.
45
Tillämpliga bestämmelser | Ds 2026:2 |
Säkerhetspolisen är tillsynsmyndighet för Lantmäteriet. Läns- styrelserna i Stockholms, Skånes, Västra Götalands respektive Norr- bottens län är tillsynsmyndigheter för de kommunala lantmäteri- myndigheterna.45
Säkerhetspolisen och Försvarsmakten är samordningsmyndighe- ter. Det innebär bland annat att de ska förmedla relevant hotinfor- mation till tillsynsmyndigheterna och leda ett samarbetsforum där tillsynsmyndigheterna ingår i syfte att underlätta samordning och åstadkomma en effektiv och likvärdig tillsyn.46
Säkerhetspolisen och Försvarsmakten ska på begäran lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och till Justitiekanslern.47 Tillsynsmyndigheterna ska inom sina respektive tillsynsområden ge vägledning om säkerhets- skydd.48
2.4Säkerhetspolisens föreskrifter om säkerhetsskydd
I föreskrifterna49 finns en uppräkning av de moment som en säker- hetsskyddsanalys ska innehålla.50 Exempelvis ska verksamhetsut- övaren identifiera vilka skyddsvärden som finns i den säkerhetskäns- liga verksamheten, det vill säga bland annat säkerhetsskyddsklassifi- cerade uppgifter och anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet.51
De skyddsvärden som avses när det gäller anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveri- ges säkerhet ska delas in i följande konsekvensnivåer utifrån en be- dömning av den skada för Sveriges säkerhet en antagonistisk hand- ling mot skyddsvärdet kan medföra:52
–Synnerligen allvarlig skada för Sveriges säkerhet (nivå A).
–Allvarlig skada för Sveriges säkerhet (nivå B).
458 kap. 1 § säkerhetsskyddsförordningen.
468 kap. 2 § säkerhetsskyddsförordningen.
478 kap. 11 § säkerhetsskyddsförordningen.
488 kap. 12 § säkerhetsskyddsförordningen.
49PMFS 2022:1.
502 kap. 2–9 §§ PMFS 2022:1.
512 kap. 3 § PMFS 2022:1.
522 kap. 5 § PMFS 2022:1.
46
Ds 2026:2 | Tillämpliga bestämmelser |
–Inte obetydlig skada för Sveriges säkerhet (nivå C).
–Endast ringa skada för Sveriges säkerhet (nivå D).
Verksamhetsutövaren ska identifiera säkerhetshot kopplade till de identifierade skyddsvärdena och den säkerhetskänsliga verksamhe- ten i stort.53
Verksamhetsutövarens högsta chef eller motsvarande organ ska fastställa säkerhetsskyddsanalysen.54
En verksamhetsutövare ska upprätta en säkerhetsskyddsplan ef- ter att säkerhetsskyddsanalysen är fastställd. Planen ska redogöra för hur behovet av säkerhetsskyddsåtgärder som identifierats i säker- hetsskyddsanalysen omhändertas. Det ska vidare framgå när åtgär- derna ska vidtas och vilken funktion som ansvarar för dem. Säker- hetsskyddsplanen ska fastställas av säkerhetsskyddschefen.55
I föreskrifterna finns vidare bland annat närmare föreskrifter om informationssäkerhet.56
2.5Tryckfrihetsförordningen
Till främjande av ett fritt meningsutbyte, en fri och allsidig upplys- ning och ett fritt konstnärligt skapande ska var och en ha rätt att ta del av allmänna handlingar,.57 En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det bedöms lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till.58 Sådana begränsningar finns i offentlighets- och sekretesslagen (2009:400).
2.6Offentlighets- och sekretesslagen (2009:400)
2.6.1Försvarssekretess
Sekretess gäller för uppgift som rör verksamhet för att försvara lan- det eller planläggning eller annan förberedelse av sådan verksamhet
532 kap. 6 § PMFS 2022:1.
542 kap. 10 § PMFS 2022:1.
552 kap. 12 § PMFS 2022:1.
563 kap. PMFS 2022:1.
572 kap. 1 § tryckfrihetsförordningen.
582 kap. 2 § tryckfrihetsförordningen.
47
Tillämpliga bestämmelser | Ds 2026:2 |
eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs.59
2.6.2Sekretess till skydd för säkerhets- eller bevakningsåtgärd
Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden bland annat avser telekommunikation eller system för automatiserad behandling av information.60
2.6.3Sekretess för risk- och sårbarhetsanalyser
Sekretess gäller för uppgift som hänför sig till en myndighets verk- samhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av situationer, om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs.61
2.6.4Sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer
Bestämmelserna i 21 kapitlet offentlighets och sekretesslagen avser bland annat hälsa och sexualliv samt förföljda personer. De tar sikte på att skydda enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer och gäller således för alla myndigheter.
59 15 kap. 2 § offentlighets- och sekretesslagen (2009:400), OSL. Som huvudregel gäller sekretessen för uppgift i en allmän handling enligt denna bestämmelse i högst fyrtio år. Rege- ringen har dock i 4 § offentlighets- och sekretessförordningen (2009:641) föreskrivit att sek- retessen gäller i högst etthundrafemtio år om uppgifterna bland annat rör geografisk informa- tion om militärgeografiska förhållanden och rikets fasta försvarsanläggningar för krigsbruk.
6018 kap. 8 § OSL.
6118 kap. 13 § OSL.
48
Ds 2026:2 | Tillämpliga bestämmelser |
Sekretess gäller för uppgift som rör en enskilds hälsa eller sexual- liv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste an- tas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs.62
Sekretess gäller vidare för uppgift om en enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller tillfälligt, den enskildes telefonnum- mer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med denne samt för motsvarande uppgifter om den enskildes anhöriga, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att ut- sättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs.63
Sekretess gäller i bland annat ärende vid myndighet där en part har skyddad folkbokföring enligt 16 § folkbokföringslagen (1991:481) för uppgift som lämnar upplysning om var parten bor stadigvarande eller tillfälligt, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men. Detsamma gäller om uppgiften tillsammans med annan uppgift i må- let eller ärendet bidrar till sådan upplysning. Sekretessen gäller dock inte för uppgift om beteckning på fastighet eller tomträtt.64
Sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med bland annat dataskyddsförordningen65 eller dataskyddslagen.66
2.6.5Sekretess till skydd för enskild vid folkbokföring
Sekretess gäller för uppgift om en enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till denne lider men om uppgiften röjs och uppgiften förekommer i verksamhet som avser folkbokföringen eller annan
6221 kap. 1 § OSL.
6321 kap. 3 § OSL.
6421 kap. 3 a § OSL.
65Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.
6621 kap. 7 § OSL och lagen (2018:218) med kompletterande bestämmelser till EU:s data- skyddsförordning.
49
Tillämpliga bestämmelser | Ds 2026:2 |
liknande registrering av befolkningen och, i den utsträckning rege- ringen meddelar föreskrifter om det, i annan verksamhet som avser registrering av en betydande del av befolkningen.67
2.7Dataskyddsförordningen
Dataskyddsförordningen ska tillämpas på helt eller delvis automati- serad behandling av personuppgifter samt för manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register.68
Med behandling av personuppgifter avses bland annat insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring samt utlämning genom överföring, spridning eller tillhanda- hållande på annat sätt.69
En personuppgiftsansvarig är den som bestämmer ändamålen och medlen för behandlingen av personuppgifter och ett personuppgifts- biträde behandlar personuppgifter för en personuppgiftsansvarigs räkning.70
Dataskyddsförordningen innehåller ett antal grundläggande prin- ciper som gäller för all behandling av personuppgifter som faller un- der dataskyddsförordningens tillämpningsområde. Dessa principer, kan sammanfattningsvis beskrivas enligt följande:71
a)Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppen- het).
b)De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).
c)De ska vara adekvata, relevanta och inte för omfattande i förhål- lande till de ändamål för vilka de behandlas (uppgifts- minimering).
d)De ska vara korrekta och om nödvändigt uppdaterade. Alla rim- liga åtgärder måste vidtas för att säkerställa att personuppgifter
6722 kap. 1 § 1 OSL.
68Artikel 2.1 dataskyddsförordningen.
69Artikel 4.2 dataskyddsförordningen.
70Artikel 4.7 och 4.8 dataskyddsförordningen.
71Artikel 5.1 dataskyddsförordningen.
50
Ds 2026:2 | Tillämpliga bestämmelser |
som är felaktiga i förhållande till de ändamål för vilka de behand- las raderas eller rättas utan dröjsmål (korrekthet).
e)De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminime- ring).
f)De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling (integritet och konfidentialitet).
Det finns sex olika villkor, varav åtminstone ett måste vara uppfyllt, för att behandling av personuppgifter ska vara laglig:72
a)Den registrerade har lämnat sitt samtycke till att dennes person- uppgifter behandlas för ett eller flera specifika ändamål.
b)Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c)Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d)Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e)Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndig- hetsutövning.
f)Behandlingen är nödvändig för ändamål som rör den personupp- giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, sär- skilt när den registrerade är ett barn. Detta gäller dock inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.
72Artikel 6.1 dataskyddsförordningen.
51
Tillämpliga bestämmelser | Ds 2026:2 |
Myndigheters behandling av personuppgifter är typiskt sett relate- rade till villkoren rättslig förpliktelse73 eller uppgift av allmänt int- resse eller led i myndighetsutövning.74
Så kallade känsliga personuppgifter är som utgångspunkt för- bjudna att behandla.75 Det finns ett antal undantag som anger när känsliga personuppgifter ändå får behandlas. De gäller bland annat om behandlingen är nödvändig av hänsyn till ett viktigt allmänt int- resse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet,76 eller om behandlingen är nödvändig för arkivändamål av allmänt intresse.77
Av artikel 12–22 framgår vilka rättigheter de registrerade har, exempelvis i form av att få personuppgifter rättade eller raderade el- ler att få behandlingen begränsad.
Varje personuppgiftsansvarig ska föra ett register över sina be- handlingar (ett så kallat artikel 30-register) där bland annat ändamå- let med behandlingen ska anges.78
I artikel 33–34 regleras hur personuppgiftsincidenter ska anmälas samt hur och när den registrerade ska informeras om en sådan inci- dent.
En konsekvensbedömning avseende dataskydd ska göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, san- nolikt leder till en hög risk för fysiska personers rättigheter och fri- heter.79
I artikel 37–39 anges vad som gäller för dataskyddsombud. Där framgår bland annat dennes utnämnande och uppgifter. Vidare fram- går att dataskyddsombudet ska rapportera direkt till den personupp- giftsansvariges eller personuppgiftsbiträdets högsta förvaltnings- nivå.
Personuppgifter i allmänna handlingar som förvaras bland annat av en myndighet, för utförande av en uppgift av allmänt intresse, får lämnas ut av myndigheten i enlighet med medlemsstatens nationella
73Artikel 6.1 c dataskyddsförordningen.
74Artikel 6.1 e dataskyddsförordningen.
75Artikel 9 dataskyddsförordningen.
76Artikel 9.2 g dataskyddsförordningen.
77Artikel 9.2 j. Jämför även artikel 89.1 där det anges att sådana uppgifter ska omfattas av särskilda skyddsåtgärder samt att nationella undantag får föreskrivas från vissa rättigheter när det är fråga om personuppgifter som behandlas för arkivändamål
78Artikel 30 dataskyddsförordningen.
79Artikel 35 dataskyddsförordningen.
52
Ds 2026:2 | Tillämpliga bestämmelser |
rätt, för att jämka samman allmänhetens rätt att få tillgång till all- männa handlingar med rätten till skydd av personuppgifter.80
Gällande nationella identifikationsnummer (det vill säga person- nummer och samordningsnummer i Sverige) får medlemsstaterna närmare bestämma på vilka särskilda villkor sådana får behandlas. De ska i sådana fall användas endast med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.81
2.8Dataskyddslagen (2018:218)
Dataskyddsförordningen ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihets- grundlagen.82
Känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om be- handlingen är nödvändig för handläggningen av ett ärende, eller i an- nat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den regist- rerades personliga integritet.83 Den lagstiftning som avses i bestäm- melsen är främst offentlighets- och sekretesslagen och förvaltnings- lagen som innehåller bestämmelser om hantering av allmänna hand- lingar.84
Känsliga personuppgifter får behandlas för arkivändamål av allmänt intresse med stöd av artikel 9.2 j i dataskyddsförordningen, om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv.85
Bestämmelsen om arkiv gäller oavsett om de känsliga personupp- gifterna samlats in för arkivändamål av allmänt intresse eller om de samlats in för andra ändamål och vidarebehandlas för arkivändamål av allmänt intresse, inklusive överlämnande till en arkivmyndighet. Med föreskrifter om arkiv avses föreskrifter som säkerställer att
80Artikel 86 dataskyddsförordningen.
81Artikel 87 dataskyddsförordningen.
821 kap. 7 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförord- ning (dataskyddslagen).
833 kap. 3 § dataskyddslagen.
84Öman, Dataskyddsförordningen (GDPR) med mera (11 september 2025, JUNO), kom- mentaren till 3 kap. 3 § första stycket första punkten.
853 kap. 6 § dataskyddslagen.
53
Tillämpliga bestämmelser | Ds 2026:2 |
sådana arkiv som utgör en del av det svenska kulturarvet bevaras, hålls ordnade och vårdas. Sådana föreskrifter finns bland annat i arkivlagen (1990:782), arkivförordningen (1991:446) samt i Riksar- kivets och andra arkivmyndigheters föreskrifter.
Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.86
Som ett exempel på sådan behandling av personnummer eller samordningsnummer som är tillåten nämns i förarbetena den be- handling som sker vid hanteringen av allmänna handlingar enligt till exempel offentlighets- och sekretesslagen eller arkivlagen.87
Personuppgifter som behandlas enbart för arkivändamål av all- mänt intresse får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.88 Detta hindrar inte myndigheter från att använda personuppgifter som finns i allmänna handlingar.89 Myn- digheter kan alltså använda arkiverade personuppgifter för att vidta åtgärder gentemot den registrerade, förutsatt att övriga bestämmel- ser i dataskyddsregleringen följs, bland annat att vidarebehandlingen av personuppgifterna inte är oförenlig med det ursprungliga ända- målet för behandlingen.90 Bakgrunden till undantaget lär i första hand vara att myndigheternas arkiv ska tillgodose bland annat behovet av information för rättskipningen och förvaltningen.91
2.9Arkivlagen (1990:782)
I arkivlagen ges bestämmelser om myndigheternas och vissa andra organs arkiv samt om arkivmyndigheterna.92
En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas
863 kap. 10 § dataskyddslagen.
87Kommentaren till 3 kap. 10 § Dataskyddsförordningen.
884 kap. 1 § dataskyddslagen.
894 kap. 1 § dataskyddslagen.
90Artikel 5.1 b dataskyddsförordningen.
913 § arkivlagen (1990:782). Öman, Dataskyddsförordningen (GDPR) med mera
(11 september 2025, JUNO), kommentaren till 4 kap. 1 § andra stycket.
921 § arkivlagen
54
Ds 2026:2 | Tillämpliga bestämmelser |
om hand för arkivering. Upptagningar för automatisk databehand- ling som är tillgängliga för flera myndigheter, så att de där utgör all- männa handlingar, ska dock bilda arkiv endast hos en av dessa myn- digheter, i första hand den myndighet som svarar för huvuddelen av upptagningen.
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser
1.rätten att ta del av allmänna handlingar,
2.behovet av information för rättskipningen och förvaltningen, och
3.forskningens behov.93
Varje myndighet skall svara för vården av sitt arkiv, om inte en arkiv- myndighet med stöd av 9 § har tagit över ansvaret.94
I arkivvården ingår att myndigheten ska
1.organisera arkivet på ett sådant sätt att rätten att ta del av allmän- na handlingar underlättas,
2.upprätta dels en arkivbeskrivning som ger information om vilka slag av handlingar som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning,
3.skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åt- komst,
4.avgränsa arkivet genom att fastställa vilka handlingar som ska vara arkivhandlingar, och
5.verkställa föreskriven gallring i arkivet.95
2.10Myndighetsförordningen (2007:515)
Förordningen gäller för förvaltningsmyndigheter under rege- ringen.96
933 § arkivlagen.
944 § arkivlagen.
956 § arkivlagen.
961 § myndighetsförordningen.
55
Tillämpliga bestämmelser | Ds 2026:2 |
En myndighet leds av en myndighetschef (enrådighetsmyndig- het), en styrelse (styrelsemyndighet), eller en nämnd (nämndmyn- dighet).97
Myndighetens ledning ansvarar inför regeringen för verksam- heten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel.98
Myndighetens ledning ska
1.besluta en arbetsordning,
2.i arbetsordningen besluta de närmare föreskrifter som behövs om myndighetens organisation, arbetsfördelningen mellan styrelse och myndighetschef, delegeringen av beslutanderätt inom myn- digheten, handläggningen av ärenden och formerna i övrigt för verksamheten,
3.besluta en verksamhetsplan för myndigheten,
4.säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt, i vilken det ingår att förebygga att verksamheten utsätts fört korruption, otillbör- lig påverkan, bedrägeri och andra oegentligheter, och
5.avgöra andra ärenden som har principiell karaktär eller större be- tydelse eller som avser föreskrifter, om ärendena inte ska avgöras av personalansvarsnämnden.99
Särskilda bestämmelser för styrelsemyndigheter finns i 10–13 §§. Av dessa framgår bland annat följande.
Styrelsen består av det antal ledamöter som regeringen bestäm- mer. En av ledamöterna ska vara ordförande i styrelsen och en ska vara vice ordförande. Myndighetschefen ska ingå i styrelsen, men inte vara dess ordförande eller vice ordförande.100 Myndighetschefen ansvarar inför styrelsen och ska sköta den löpande verksamheten enligt de direktiv och riktlinjer som styrelsen beslutar. Myndig- hetschefen ska vidare hålla styrelsen informerad om verksamheten,
972 § myndighetsförordningen.
983 § myndighetsförordningen.
994 § myndighetsförordningen.
10010 § myndighetsförordningen.
56
Ds 2026:2 | Tillämpliga bestämmelser |
förse styrelsen med underlag för beslut och verkställa styrelsens beslut.101
Ordförande och ledamöter i styrelsen utses av regeringen för en bestämd tid.102 Myndighetschefen anställs av regeringen. Annan per- sonal anställs av myndigheten.103
2.11Förordningen (2007:603) om intern styrning och kontroll
Förordningen gäller för förvaltningsmyndigheter under regeringen som har skyldighet att följa internrevisionsförordningen (2006:1228).104
Myndighetsledningen ansvarar för att det finns en process för intern styrning och kontroll vid myndigheten som fungerar på ett betryggande sätt. Processen ska säkerställa att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen. Processen för intern styrning och kontroll ska även förebygga att verksamheten utsätts för korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter. Myndighetsledningen ska vidare säkerställa att det inom myndigheten finns en god intern miljö som skapar förutsätt- ningar för en väl fungerande process för intern styrning och kont- roll.105
En riskanalys ska göras i syfte att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen.106
Med ledning av riskanalysen ska de åtgärder vidtas som är nöd- vändiga för att myndigheten med rimlig säkerhet ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen.107
10113 § myndighetsförordningen.
10222 § myndighetsförordningen.
10323 myndighetsförordningen.
1041 § förordningen om intern styrning och kontroll.
1052 § förordningen om intern styrning och kontroll.
1063 § förordningen om intern styrning och kontroll.
1074 § förordningen om intern styrning och kontroll.
57
Tillämpliga bestämmelser | Ds 2026:2 |
Den interna styrningen och kontrollen ska systematiskt och re- gelbundet följas upp och bedömas. Vid bedömningen ska iakttagel- ser som lämnas vid extern revision och internrevision beaktas.108
Riskanalysen och de åtgärder som vidtas med anledning av ana- lysen ska dokumenteras i den utsträckning som är nödvändig för myndighetens uppföljning och bedömning av om den interna styr- ningen och kontrollen är betryggande.109
Ekonomistyrningsverket har med stöd 7 § i förordningen utfär- dat föreskrifter och allmänna råd om intern styrning och kontroll (ESVFA 2022:8).110
2.12Internrevisionsförordningen (2006:1228) med mera
Förordningen gäller för förvaltningsmyndigheter under regeringen i den omfattning som regeringen föreskriver i myndighetens instruk- tion eller i någon annan förordning eller beslutar särskilt.111
Vid myndigheten ska finnas en internrevision som ska ledas av en chef som ska vara anställd i myndigheten.112
Internrevisionen ska granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll.113
Vidare ska internrevisionen utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kon- troll är utformad så att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller kraven i 3 § myndighetsförordningen.114
Internrevisionen ska ge råd och stöd till styrelsen och chefen för myndigheten.115
Resultatet av internrevisionens granskning ska redovisas i form av iakttagelser och rekommendationer. Dessa ska rapporteras till styrelsen.116
1085 § förordningen om intern styrning och kontroll.
1096 § förordningen om intern styrning och kontroll.
110Det är numera enligt 7 § Statskontoret som får meddela de föreskrifter som behövs för verkställigheten av förordningen.
1111 § internrevisionsförordningen.
1122 § internrevisionsförordningen.
1133 § internrevisionsförordningen.
1144 § internrevisionsförordningen.
1155 § internrevisionsförordningen.
1169 § internrevisionsförordningen.
58
Ds 2026:2 | Tillämpliga bestämmelser |
Myndighetens styrelse ska besluta om
1.riktlinjer för internrevisionen,
2.revisionsplan för internrevisionen, och
3.åtgärder med anledning av internrevisionens iakttagelser och re- kommendationer.117
Styrelsen ska, i den utsträckning som det inte möter hinder på grund av bestämmelse om sekretess, se till att internrevisionen får tillgång till de uppgifter och upplysningar som den behöver för att fullgöra sitt uppdrag.118
Ekonomistyrningsverket har med stöd av 13 § utfärdat före- skrifter och allmänna råd om internrevision. Där framgår bland annat att internrevisionen ska inrättas direkt under myndighetens ledning och är självständig i förhållande till den granskade verksamheten och att rapportering bör ske efter varje avslutad granskning för att iakttagelser och rekommendationer ska medföra förbättringar av processen för intern styrning och kontroll.119
2.13Lagen (1992:1403) om totalförsvar och höjd beredskap
Totalförsvar är verksamhet som behövs för att förbereda Sverige för krig. För att stärka landets försvarsförmåga kan beredskapen höjas. Höjd beredskap är antingen skärpt beredskap eller högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då ska bedrivas. Totalförsvar består av militär verksamhet (militärt försvar) och civil verksamhet (civilt försvar).120
Totalförsvarsresurser ska utformas så att de även kan användas vid internationella fredsfrämjande och humanitära insatser och stär- ka samhällets förmåga att förebygga och hantera svåra påfrestningar på samhället.121
11710 § internrevisionsförordningen.
11811 § internrevisionsförordningen.
1192 § och allmänna råd till 9 § internrevisionsförordningen, ESVFA 2022:9.
1201 § lagen om totalförsvar och höjd beredskap.
1212 § lagen om totalförsvar och höjd beredskap.
59
Tillämpliga bestämmelser | Ds 2026:2 |
2.14Förordningen (2022:524) om statliga myndigheters beredskap
Förordningen innehåller bestämmelser om uppgifter som statliga myndigheter under regeringen har inför och vid fredstida krissitua- tioner och höjd beredskap. Syftet med förordningen är att statliga myndigheter under regeringen genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter vid fredstida krissituationer och höjd beredskap.122
Bestämmelserna i förordningen ska tillämpas bara om något an- nat inte följer av lag eller annan förordning.123
Varje myndighet ska
1.identifiera samhällsviktig verksamhet inom myndighetens an- svarsområde,
2.kontinuerligt analysera om det inför eller vid fredstida krissitua- tioner och höjd beredskap finns sårbarhet och hot eller risker som allvarligt kan hota, skada eller försämra förmågan till den sam- hällsviktiga verksamheten inom ansvarsområdet
3.bedriva ett systematiskt arbete för att kunna upprätthålla den egna samhällsviktiga verksamheten (kontinuitet) och verka för att andra aktörer inom ansvarsområdet också bedriver ett sådant arbete, och
4.minst vartannat år värdera och sammanställa resultatet av analys- arbetet enligt 1–3 i en risk- och sårbarhetsanalys. Risk- och sår- barhetsanalysen ska även omfatta vilka åtgärder som myndighe- ten vidtagit och planerar för att minska sårbarheten mot sådana hot och risker som identifierats samt en övergripande bedömning av vilka övriga åtgärder inom myndighetens ansvarsområde som bör vidtas i samma syfte.124
Varje myndighet ansvarar för att egna informationshanteringssys- tem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. I
1221 § förordningen om statliga myndigheters beredskap.
1232 § förordningen om statliga myndigheters beredskap.
1247 § förordningen om statliga myndigheters beredskap.
60
Ds 2026:2 | Tillämpliga bestämmelser |
ansvaret ingår att myndigheten särskilt ska beakta behovet av säkra ledningssystem.125
Till stöd för arbetet med samhällets informationssäkerhet ska en myndighet till MCF skyndsamt rapportera it-incidenter som in- träffat i den rapporterande myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för, eller som inträffat i tjänster som myndigheten tillhandahåller åt en annan organisation.126
Statliga myndigheter med ansvar inom en eller flera viktiga sam- hällsfunktioner och vars verksamhet har särskild betydelse för sam- hällets krisberedskap och totalförsvaret ska vara beredskapsmyndig- heter. Av bilaga 1 till förordningen framgår att Lantmäteriet är en sådan myndighet.127
Beredskapsmyndigheterna ska senast vid utgången av september månad varje jämnt årtal till Regeringskansliet och MCF lämna en sammanfattande redovisning (risk- och sårbarhetsbedömning) baserad på den risk- och sårbarhetsanalys som gjorts enligt 7 §. Risk- och sårbarhetsbedömningen ska innehålla dels uppgifter om de åtgärder som myndigheten vidtagit och planerar för att minska sårbarheten mot sådana hot och risker som identifierats i risk- och sårbarhetsanalysen, dels en övergripande bedömning av vilka övriga åtgärder inom myndighetens ansvarsområde som bör vidtas i samma syfte samt hur dessa åtgärder ska prioriteras.128
2.15Myndigheten för civilt försvar
MCF har med stöd av bemyndiganden i förordningen om statliga myndigheters beredskap utfärdat föreskrifter om bland annat informationssäkerhet för statliga myndigheter.129
Av föreskrifterna om informationssäkerhet för statliga myndig- heter framgår bland annat följande.
Myndigheten ska bedriva ett systematiskt och riskbaserat infor- mationssäkerhetsarbete med stöd av närmare angivna standarder.
12513 § förordningen om statliga myndigheters beredskap.
12614 § förordningen om statliga myndigheters beredskap.
12718 § förordningen om statliga myndigheters beredskap.
12819 § förordningen om statliga myndigheters beredskap.
129MSBFS 2020:6.
61
Tillämpliga bestämmelser | Ds 2026:2 |
Informationssäkerhetsarbetet ska utformas utifrån de risker och behov som myndigheten identifierar. Det ska omfatta all behandling av information som myndigheten ansvarar för och integreras med myndighetens befintliga sätt att leda och styra sin organisation. När myndigheten utformar informationssäkerhetsarbetet ska den
1.säkerställa att det finns en informationssäkerhetspolicy där led- ningens målsättning med och inriktning för informationssäker- hetsarbetet framgår,
2.tydliggöra myndighetsledningens och den övriga organisationens ansvar, inklusive den eller de som utses att leda och samordna in- formationssäkerhetsarbetet, och ge dessa befattningar de befo- genheter som behövs,
3.säkerställa att informationssäkerhetsarbetet tilldelas nödvändiga resurser,
4.upprätta de interna regler, arbetssätt och stöd som behövs, och
5.säkerställa att innehållet i myndigheternas interna regler, arbets- sätt och stöd utvärderas samt vid behov anpassas.
Utformningen av informationssäkerhetsarbetet ska dokumente- ras.130
Myndigheten ska säkerställa att informationssäkerhetsarbetet är systematiskt och riskbaserat genom att
1.klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett brist- ande skydd kan få (informationsklassning),
2.identifiera, analysera och värdera risker för sin information (risk- bedömning),
3.utifrån genomförd informationsklassning och riskbedömning identifiera behov av och införa ändamålsenliga och proportionella säkerhetsåtgärder, och
4.utvärdera säkerhetsåtgärderna och vid behov anpassa skyddet av informationen. I arbetet ingår att genomföra en gapanalys.
1305 § MSBFS 2020:6.
62
Ds 2026:2 | Tillämpliga bestämmelser |
Informationssäkerhetsarbetet och införda säkerhetsåtgärder ska do- kumenteras.131 Myndigheten bör som stöd för arbetet med informa- tionsklassning och riskbedömning bland annat fastställa vilka befatt- ningar som ansvarar för att informationsklassning och riskbedöm- ning genomförs.132
Föreskrifterna innehåller i övrigt ett antal ytterligare bestämmel- ser om informationssäkerhet, bland annat om uppföljning av infor- mationssäkerhetsarbetet.133
2.16Lantmäteriets instruktion
Av förordningen (2009:946) med instruktion för Lantmäteriet fram- går bland annat följande.
Lantmäteriet är den statliga lantmäterimyndigheten och är för- valtningsmyndighet för frågor om fastighetsindelning, om grundläg- gande geografisk information och fastighetsinformation, om in- skrivning enligt jordabalken och om geodetiska referenssystem.134 Lantmäteriet ska verka för
1.en enhetlig och ändamålsenlig förrättningsverksamhet och en än- damålsenlig fastighetsindelning,
2.en väl fungerande försörjning med grundläggande geografisk in- formation och fastighetsinformation av sådan omfattning, kvali- tet och aktualitet att samhällets behov tillgodoses,
3.en enhetlig och ändamålsenlig inskrivningsverksamhet, och
4.en nationell enhetlig geodetisk infrastruktur.135
Lantmäteriet har ett nationellt samordningsansvar för produktion, samverkan, tillhandahållande och utveckling inom området för geo- grafisk information och fastighetsinformation (geodataområdet). Inom geodataområdet ska Lantmäteriet åt andra statliga myndig- heter och åt kommuner även lagra och tillgängliggöra sådan infor- mation som de berörda parterna kommer överens om.136
1316 § MSBFS 2020:6.
132Allmänna råd till 6 § MSBFS.
13314 § MSBFS 2020:6.
1341–2 §§ instruktionen.
1353 § instruktionen.
1364 § instruktionen.
63
Tillämpliga bestämmelser | Ds 2026:2 |
Lantmäteriet ska
1.ansvara för uppbyggnad, drift, uppdatering och tillhandahållande av grundläggande geografisk information och fastighetsinforma- tion, inklusive de allmänna kartorna,
2.handlägga inskrivningsärenden enligt jordabalken,
3.handlägga förrättningar,
4.ansvara för drift och uppdatering av pantbrevssystem och lägen- hetsregister och för att tillhandahålla pantbrevsinformation, in- formation från pantbrevssystem, pantbrevsanknuten information och information från lägenhetsregister,
5.ansvara för de nationella geodetiska referensnäten,
6.verka för enhetlighet, samordning och kvalitet inom mätnings- området och inom det karttekniska området,
7.verka för ett ändamålsenligt och vårdat ortnamnsskick samt be- sluta om ortnamn i den utsträckning inte någon annan myndighet har befogenhet att göra det,
8.ansvara för redovisning, tillsyn och skötsel av Sveriges riksgräns på land mot Finland,
9.bedriva forsknings- och utvecklingsverksamhet inom sitt verk- samhetsområde,
10.avgöra ärenden om fastigheters skattetal,
11.utöva tillsyn över de kommunala lantmäterimyndigheterna, och
12.tillgodose Försvarsmaktens behov av geografisk information och fastighetsinformation samt av råd och stöd i fråga om sådan in- formation.137
Lantmäteriet ska inom ramen för sitt verksamhetsområde bland an- nat även bevaka Sveriges intresse i det internationella arbetet.138
Lantmäteriet är beredskapsmyndighet enligt förordningen (2022:524) om statliga myndigheters beredskap.139
1375 § instruktionen.
1386 § instruktionen.
1398 § instruktionen.
64
3Säkerhetsskydd och informationssäkerhet
3.1Kapitlets innehåll
Lantmäteriet bedriver säkerhetskänslig verksamhet och hanterar mycket stora informationsmängder både digitalt och manuellt. I detta kapitel redogörs för några grundläggande delar vad gäller säkerhetsskydd och för vad ett systematiskt och riskbaserat infor- mationssäkerhetsarbete i stort omfattar. Slutligen beskrivs hur ett sådant arbete kan mätas genom den så kallade Cybersäkerhetskollen, samt några resultat från denna.
3.2Säkerhetsskydd140
3.2.1Vad är säkerhetsskydd?
I Sverige finns ett antal skyddsvärden som är prioriterade när det gäller säkerhetsskydd. Det handlar exempelvis om att skydda Sveriges yttre säkerhet, demokrati, rättsväsendet och dess brottsbe- kämpande förmåga. Samtidigt är säkerhetshoten komplexa och be- står bland annat av främmande stater, organisationer och personer som är beredda att använda våld, spionera eller begå andra brott för att orsaka skador på det som är skyddsvärt för Sverige. En antagonist kan orsaka skada för Sveriges säkerhet genom att komma över säker- hetsskyddsklassificerade uppgifter eller sabotera och manipulera öv- rig säkerhetskänslig verksamhet.
Säkerhetsskydd är ett system av förebyggande åtgärder för att skydda dessa uppgifter och övrig säkerhetskänslig verksamhet mot
140 Avsnittet bygger på information i Säkerhetspolisens Vägledning om säkerhetsskydd – Introduktion och Informationssäkerhet på www.sakerhetspolisen.se, hämtat den 3 december 2025.
65
Säkerhetsskydd och informationssäkerhet | Ds 2026:2 |
antagonistiska handlingar. Säkerhetsskydd innefattar också skydd i andra fall av säkerhetsskyddsklassificerade uppgifter, exempelvis mot att uppgifter röjs som en följd av bristande säkerhetsrutiner.
Säkerhetskänslig verksamhet är sådan verksamhet som är av betydelse för Sveriges säkerhet141 eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Enligt Säkerhetspolisen bör det noteras att behoven och förut- sättningarna varierar mellan olika verksamhetsutövare och att det därför inte finns någon standardlösning som går att tillämpa på all säkerhetskänslig verksamhet. Detta gör säkerhetsskydd till ett komplext område med många pusselbitar som behöver läggas ihop för att värna Sveriges säkerhet och sådant som Sverige åtagit sig att skydda åt andra stater och mellanfolkliga organisationer.
3.2.2Sveriges säkerhet
Vad som är av betydelse för Sveriges säkerhet kan förändras över tid och i takt med att samhället utvecklas. Ett exempel är hur samhällets funktionalitet de senaste åren blivit mer beroende av olika digi- taliserade informationssystem och mobiltelefoni. Av den anled- ningen är det viktigt att verksamhetsutövaren bedriver ett systema- tiskt säkerhetsskyddsarbete. Det görs exempelvis genom att konti- nuerligt uppdatera säkerhetsskyddsanalysen för att identifiera skyddsvärden och nödvändiga säkerhetsskyddsåtgärder samt kont- rollera och utvärdera om säkerhetsskyddsåtgärderna ger avsedd ef- fekt.
3.2.3Varför behöver säkerhetskänsliga verksamheter ett särskilt skydd?
Säkerhetsskydd behövs för att skydda säkerhetskänsliga verksam- heter, främst mot olika typer av antagonistiska handlingar från hot- aktörer med varierande avsikt och förmåga. Det säkerhetspolitiska läget i Sveriges närområde har allvarligt försämrats, vilket har en di- rekt inverkan på Sverige, eftersom de yttre hoten har betydelse för
141 Uttrycket Sveriges säkerhet saknar definition i lag men förekommer även i annan författning och kan sammanfattas som Sveriges oberoende – i betydelsen självständighet och suveränitet – och bestånd. Detta innefattar okränkta landsgränser, ett bevarande av det svenska självstyret och det demokratiska statsskicket samt samhällets grundläggande funktionalitet.
66
Ds 2026:2 | Säkerhetsskydd och informationssäkerhet |
Sveriges säkerhet. Säkerhetshotet från främmande makt är högt, långsiktigt och har även blivit mer komplext. Sverige är ett attraktivt mål när behovet av teknik, information och kunskap hos främmande makt ökar.
Förmågan hos främmande makt kan bestå av såväl stora ekono- miska som personella resurser med tillgång till avancerad teknik och kunskap. Intresset riktas främst mot de myndigheter och enskilda verksamhetsutövare som är av betydelse för Sveriges militära och ci- vila försvar. Sådana verksamheter kan exempelvis finnas inom sekto- rerna energiförsörjning, elektronisk kommunikation, finansiella tjänster eller i olika typer av internationella samarbeten.
Främmande makt använder olika metoder för underrättelsein- hämtning. Exempel är bland annat inhämtning från öppna källor, såsom webbplatser, årsredovisningar och rapporter om verksam- heters organisation, kris- och krigsberedskap, samt genom att inleda olika typer av samarbeten och delta i upphandlingar. Utöver främ- mande makt utgör också ideologiskt motiverade grupper och perso- ner ett hot. De kan utföra antagonistiska handlingar riktade mot myndigheter, institutioner och bolag.
3.2.4Hur fungerar säkerhetsskydd?
Säkerhetsskydd kan beskrivas som ett system av åtgärder som uti- från vad som identifierats i säkerhetsskyddsanalysen sammantaget skyddar den säkerhetskänsliga verksamheten. Merparten av åtgär- derna inom säkerhetsskydd kan sorteras in i någon av de tre säker- hetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet. Andra åtgärder är exempelvis hantering av säker- hetshotande händelser och säkerhetsskyddsavtal med aktörer som kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller an- nan säkerhetskänslig verksamhet. En grundförutsättning för ett hel- täckande säkerhetsskydd är samspelet mellan olika typer av åtgärder som överlappar varandra. Exempelvis räcker det inte att enbart skyd- da ett informationssystem med informationssäkerhetsåtgärder som hindrar intrång via internet. Det krävs även fysisk säkerhet för att förhindra att obehöriga kommer åt datautrustningen samt personal- säkerhet för att förebygga att personer som inte är pålitliga från sä- kerhetssynpunkt får arbeta med systemet.
67
Säkerhetsskydd och informationssäkerhet | Ds 2026:2 |
Den som till någon del bedriver säkerhetskänslig verksamhet är skyldig att utreda behovet av säkerhetsskydd. Det görs genom en säkerhetsskyddsanalys. Analysen är grundläggande för ett struktu- rerat och systematiskt säkerhetsskyddsarbete. Säkerhetsskyddet måste vara heltäckande vilket kan innebära ökade kostnader, mins- kad effektivitet och ökad administration. Genom att i analysen iden- tifiera skyddsvärden och nödvändiga säkerhetsskyddsåtgärder kan verksamhetsutövaren säkerställa att säkerhetsskyddet läggs på en väl avvägd nivå. Utifrån säkerhetsskyddsanalysen redogörs sedan i en säkerhetsskyddsplan för hur behovet av säkerhetsskyddsåtgärder tas omhand. Säkerhetsskyddsanalysen ska ge svar på vad som ska skyd- das, mot vad det ska skyddas och hur det ska skyddas.
3.2.5Informationssäkerhet inom säkerhetsskydd
Alla verksamheter är beroende av att kunna inhämta, lagra, bearbeta och kommunicera information i olika former. Den tekniska utveck- lingen har gjort informationssystem till viktiga verktyg i hante- ringen. Informationssäkerhet syftar till att skydda information i form av uppgifter och informationssystem. Uppgifterna ska skyddas oavsett hur och var de förekommer.
Även om det i olika sammanhang finns skiftande definitioner av begreppet informationssäkerhet återkommer alltid tre centrala pers- pektiv eller egenskaper:
–Konfidentialitet: att förhindra att obehöriga får tillgång till information.
–Riktighet: att det går att lita på att den information som används i verksamheten är korrekt och inte manipulerad.
–Tillgänglighet: att säkerställa att informationen är tillgänglig när den behövs.
Informationssäkerhet ska förebygga att säkerhetsskyddsklassifice- rade uppgifter obehörigen röjs, ändras, görs otillgängliga eller för- störs. Informationssäkerhet ska också förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som rör säkerhetskäns- lig verksamhet. Informationssäkerhet är inte begränsat till enbart
68
Ds 2026:2 | Säkerhetsskydd och informationssäkerhet |
tekniska åtgärder utan inkluderar även bland annat rutiner och ut- bildning.
Säkerhetsskyddsklassificerade uppgifter kan förekomma i fysisk form som exempelvis utskrivna dokument, fotografier, inspelningar och ritningar. Informationssäkerhetsåtgärder kan i dessa fall exem- pelvis utgöras av att dokumenten förses med anteckning om aktuell säkerhetsskyddsklass och att förvaring sker på ett betryggande sätt. Säkerhetsskyddsklassificerade uppgifter kan även förekomma munt- ligt genom samtal och möten. En säkerhetskyddsåtgärd kan då ut- göras av att det enbart är tillåtet att ta del av och tala om dessa upp- gifter i särskilda skyddade och godkända utrymmen. Behovet av samspel mellan säkerhetsskyddsåtgärder är av stor vikt oavsett i vil- ken form de säkerhetsskyddsklassificerade uppgifterna förekom- mer. Personalen som hanterar dokumenten behöver utbildas i säker- hetsskydd och ha kunskap om anteckningens (säkerhetsskyddsklas- sens) innebörd och förvaringsutrymmena måste dimensioneras i för- hållande till den fysiska säkerheten i övrigt. Rutiner för hantering, delning, kopiering och destruktion är andra exempel på åtgärder.
Hantering av säkerhetskyddsklassificerade uppgifter sker i dag ofta i olika informationssystem. Ett informationssystem behöver inte innehålla säkerhetsskyddsklassificerade uppgifter för att omfat- tas av krav på säkerhetsskydd. Det skulle kunna röra sig om fall där det kan uppstå en skada för Sveriges säkerhet om tillgängligheten till eller riktigheten i uppgifterna som hanteras i systemet påverkas.
3.2.6Krav på godkännande av informationssystem
Innan ett informationssystem som har betydelse för säkerhetskäns- lig verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i sys- temet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses.142 Ett informationssystem som ska använ- das i säkerhetskänslig verksamhet får inte tas i drift förrän det har godkänts från säkerhetsskyddssynpunkt av verksamhetsutövaren.143 En motsvarande bestämmelse fanns i den numera upphävda säker- hetsskyddsförordningen (2018:658). Den förordningen trädde i
1423 kap. 1 § säkerhetsskyddsförordningen.
1433 kap. 3 § säkerhetsskyddsförordningen.
69
Säkerhetsskydd och informationssäkerhet | Ds 2026:2 |
kraft den 1 april 2019 men det fanns inte några övergångs- bestämmelser som angav att det angivna kravet skulle gälla in- formationssystem som ”togs i drift” innan ikraftträdandet. Detta be- tyder dock inte enligt Säkerhetspolisens vägledning att sådana äldre informationssystem inte behöver vara godkända från säker- hetsskyddssynpunkt av verksamhetsutövaren. Säkerhetspolisens föreskrifter om säkerhetsskydd anger att säkerhetsskyddsklassi- ficerade uppgifter i en viss säkerhetsskyddsklass får behandlas endast i informationssystem eller på lagringsmedium som verksamhets- utövaren godkänt för lägst den säkerhetsskyddsklass som uppgif- terna har.144 Detta godkännandekrav är till skillnad från bestämmelsen i säkerhetsskyddsförordningen av löpande karaktär och omfattar således alla informationssystem (och lagringsmedium) som hanterar säkerhetsskyddsklassificerade uppgifter, oberoende av när informationssystemet togs i drift. Det finns alltså inte något legalt krav på en särskild säkerhetsskyddsbedömning, men upprättandet av en sådan är en lämplig metod för att säkerställa ett fullgott resultat.145
3.2.7Verksamhetsutövarens ansvar
Den som till någon del bedriver säkerhetskänslig verksamhet har en grundläggande skyldighet att utreda behovet av säkerhetsskydd. Det innefattar bland annat att identifiera förekomsten av säkerhets- skyddsklassificerade uppgifter och andra skyddsvärden. Vidare inne- fattas att planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomsten av säkerhetsskyddsklassificerade uppgifter och andra omständigheter. Verksamhetsutövaren ska dessutom kontinuerligt kontrollera och följa upp det egna säkerhetsskyddet.
Säkerhetskänsliga verksamheter ska ha rutiner för hantering av säkerhetshotande händelser som är av betydelse för verksamheten. En säkerhetshotande händelse ska skyndsamt anmälas till Säkerhets- polisen, exempelvis om en säkerhetsskyddsklassificerad uppgift kan ha röjts.
1443 kap. 1 § PMFS 2022:1.
145Säkerhetspolisens Vägledning i säkerhetsskydd–Informationssäkerhet, www.sakerhetspolisen.se, hämtat den 29 december 2025, s. 15 och 54.
70
Ds 2026:2 | Säkerhetsskydd och informationssäkerhet |
3.3Ett systematiskt och riskbaserat informations- säkerhetsarbete146
3.3.1Myndigheten för civilt försvars ansvar
MCF ska stödja och samordna arbetet med samhällets informations- säkerhet samt analysera och bedöma omvärldsutvecklingen inom området. I detta ingår att lämna råd och stöd i fråga om förebyg- gande arbete till andra statliga myndigheter, kommuner och regioner samt företag och organisationer.147
En myndighet ska bedriva ett systematiskt och riskbaserat infor- mationssäkerhetsarbete.148
3.3.2Metodstöd för ett systematiskt informationssäkerhetsarbete
MCF har utarbetat ett metodstöd för systematiskt informations- säkerhetsarbete. Det är en samling vägledningar och verktyg som finns för att tydliggöra hur ett systematiskt informationssäkerhets- arbete kan utformas. Metodstödet bygger på standardserien ISO/IEC 27000. Omfattande information om metodstödet finns på MCF:s webbplats.149 I korthet kan sägas att ett systematiskt arbetssätt innebär att organisationen arbetar strukturerat på ett sätt som är planerat i förväg för att säkra sin information. Arbetet är riskbaserat, vilket betyder att organisationen arbetar proaktivt och kontinuerligt identifierar, förebygger, hanterar och följer upp organisationens risker och agerar utifrån dessa.
Metodstödet består av fyra olika metodsteg som sammantaget bildar helheten av det systematiska informationssäkerhetsarbetet. Metodstegen är Identifiera och analysera, Utforma, Använda samt Följa upp och förbättra.
146Avsnittet bygger på information på www.mcf.se/sv/amnesomraden/informationssakerhet- och-cybersakerhet/arbeta-systematiskt-med-informationssakerhet-och- cybersakerhet/metodstod-for-informationssakerhetsarbete, hämtat den 14 januari 2026.
14711 a § förordningen (2008:1002) med instruktion för Myndigheten för civilt försvar.
1484 § MSBFS 2020:6.
149https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/arbeta- systematiskt-med-informationssakerhet-och-cybersakerhet/metodstod-for- informationssakerhetsarbete, hämtat den 28 januari 2026.
71
Säkerhetsskydd och informationssäkerhet | Ds 2026:2 |
Metodstödet syftar till att förtydliga hur ett systematiskt infor- mationssäkerhetsarbete kan utformas och användas utifrån standar- derna om ledningssystem för informationssäkerhet.
När det gäller Ledning och styrning, som är en del av metodsteget Utforma, anger MCF att ledningens agerande, inte minst att fatta beslut, sätta frågorna på agendan och själv vara en förebild, legitime- rar frågorna och har mycket stor betydelse för hur informationssä- kerhetsarbetet kommer att utvecklas i organisationen. Här betonas bland annat att det är viktigt att ledningen får insikt i betydelsen av och nyttan med informationssäkerhet och hur att ledningen tillsam- mans med CISO150 etablerar ett gott samarbete för att leda och styra informationssäkerhetsarbetet. Vidare anges att ledningen löpande behöver hållas underrättad om händelser och avvikelser som påver- kar organisationens situation och förutsättningar, exempelvis nya lagförslag, förändrad riskbild eller inträffade incidenter. Resultat ska inte dyka upp som överraskningar vid ett planerat möte i slutet av en period.
3.3.3Cybersäkerhetskollen
Cybersäkerhetskollen är ett verktyg för ökad motståndskraft och ett stärkt civilt försvar och är samlingsnamnet för MCF:s cybersäker- hetsmätningar. Cybersäkerhetskollen mäter nivån på verksamhetens systematiska cybersäkerhetsarbete, samt ger stöd för förbättrings- arbete.151 Verktyget innehåller, såvitt främst är av intresse, Infosäk- kollen. Den är en mätning och ett verktyg som stödjer uppföljning och förbättring av systematiskt informations- och cybersäkerhets- arbete. Med Infosäkkollen kan organisationen själv undersöka vilken nivå som arbetet befinner sig på och hur det kan utvecklas. Resulta- tet ger underlag för planering och prioritering, och med regelbundna uppföljningar kan utvecklingen följas över tid. Infosäkkollen följer MCF:s föreskrifter om informationssäkerhet för statliga myndighe- ter152 och är framtagen och testad tillsammans med offentlig sektor. I samband med utvärderingen av Cybersäkerhetskollen 2024 uppgav
150Chief Information Security Officer.
151Avsnittet bygger på information på www.mcf.se/sv/amnesomraden/informationssakerhet- och-cybersakerhet/arbeta-systematiskt-med-informationssakerhet-och- cybersakerhet/cybersakerhetskollen/om-cybersakerhetskollen, hämtat den 14 januari 2026.
152MSBFS 2020:6.
72
Ds 2026:2 | Säkerhetsskydd och informationssäkerhet |
över 80 procent att Infosäkkollen är värdefull för deras organisations informations- och cybersäkerhetsarbete. Cybersäkerhetskollen ge- nomförs normalt vartannat år. Det har hittills gjorts vid fyra tillfäl- len, 2021, 2023, 2024 och 2025.153
De olika nivåerna i Infosäkkollen är följande.154
1.Organisationer har grunderna i sitt informationssäkerhetsarbete på plats, åtminstone i begränsad utsträckning.
2.Organisationen bedriver informationssäkerhetsarbetet med viss systematik och är dessutom bättre på grunderna, det vill säga de frågor som anges i nivå 1.
3.Organisationen uppvisar ett kvalificerat innehåll i informations- säkerhetsarbetet och är dessutom bättre på grunderna, det vill säga de frågor som anges i nivå 1–2.
4.Organisationen arbetar avancerat med ständiga förbättringar och är dessutom bättre på grunderna, systematiken och innehållet, det vill säga de frågor som anges i 1–3. Informationssäkerhetsar- betet karaktäriseras genomgående av systematik och ändamålsen- lighet.
Resultatet av Infosäkkollen, för 2024 visade att endast något fler än fyra av tio organisationer nådde upp till någon av modellens fyra nivåer. Övriga 58,6 procent av organisationerna saknade de mest grundläggande delarna i ett systematiskt cybersäkerhetsarbete. Be- träffande myndigheter anförde dåvarande MSB följande.155
Som analysen av resultattalen från myndigheter visar kan det konstate- ras att en tydlig majoritet av myndigheterna uppvisar ett resultat som indikerar att de kommer att behöva vidta en rad åtgärder innan de upp- fyller kraven i MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
Myndigheternas resultat spänner över ett spektrum där några endast har haft enstaka åtgärder på plats under perioden. Tio myndigheter har fått mindre än 50 poäng, av Infosäkkollens totalt 200 poäng. Ingen av dessa har uppnått nivå 1.
153Information på MCF:s webbplats, hämtat den 14 januari 2026. Resultatet för 2025 är i januari 2026 ännu inte publicerat på webbplatsen men Lantmäteriet har fått del av resultatet. Vi återkommer till detta i kapitel 9.
154Information i Cybersäkerhetskollen 2025 vers 1.3 på MCF:s webbplats, hämtat den 14 januari 2026.
155Resultatredovisning av Cybersäkerhetskollen 2024 – Det systematiska cybersäkerhets- arbetet i den offentliga förvaltningen, MCF, s. 115.
73
Säkerhetsskydd och informationssäkerhet | Ds 2026:2 |
86 myndigheter har fått mer än 100 poäng, men 26 av dem har ändå inte uppnått nivå 1 då de har saknat bredden i arbetet, huvudsakligen på grund av brister avseende Uppföljning och utvärdering, Ledningens styrning och kontroll samt Incident- och kontinuitetshantering. Bland de myndigheter som har nått höga poäng i Infosäkkollen är det alltså en klar majoritet som har genomfört stora delar av de åtgärder som före- skrifterna kräver, men som samtidigt uppvisar brister inom något eller några arbetsområden. Av alla deltagande 120 myndigheter är det åtta som når det samlade resultat som MSB har definierat som en indikation över huruvida en organisation uppfyller MSB:s föreskriftskrav om statliga myndigheters informationssäkerhet.
Även om MSB:s föreskrifter med krav på statliga myndigheters infor- mationssäkerhetsarbete har uppdaterats och förtydligats i några om- gångar sedan de först trädde i kraft 2009 bör det ändå noteras att myn- digheterna har omfattats av författningskrav på att bedriva ett systema- tiskt och riskbaserat informationssäkerhetsarbete i fjorton år. Under den tiden har några nya myndigheter skapats och det kan vara så att dessa inte har haft tid att bygga upp det systematiska informationssä- kerhetsarbetet fullt ut. Den faktorn är dock inte tillräcklig för att för- klara resultatet.
MSB har inte i uppgift att utöva tillsyn över hur enskilda myndigheter efterlever föreskrifterna om statliga myndigheters informationssäker- het. Myndigheten har därför inte någon djupare insyn än den som ges genom Infosäkkollen, incidentrapportering och informella kontakter. Trots det blir den övergripande slutsatsen ändå att arbetet med att efter- leva föreskrifterna är eftersatt hos majoriteten av myndigheterna.
Det kan läggas till att endast åtta av 120 deltagande myndigheter nådde det samlade resultatet, nivå 3, som MSB har definierat som en indikation över huruvida en organisation uppfyller MSB:s före- skriftskrav om statliga myndigheters informationssäkerhet. Detta utgjorde i och för sig en fördubbling jämfört med tidigare resultat, från fyra till åtta myndigheter, men det innebar samtidigt att 112 av 120 deltagande myndigheter inte klarade föreskriftskraven på infor- mationssäkerhet.156
Infosäkkollens arbetsområde för Ledningens styrning och kont- roll var det arbetsområde där minst antal organisationer klarade nivå 1. Sammantaget var den bild som framkom enligt MSB att orga- nisationsledningarna inte engagerar sig, prioriterar eller tillför de resurser till förbättringsarbetet i den utsträckning som krävs. Medan ett visst skydd kan uppnås utan aktiv inriktning och uppföljning av ledningen så var MSB:s bedömning att förutsättningarna för att be-
156Resultatredovisningen, s. 103.
74
Ds 2026:2 | Säkerhetsskydd och informationssäkerhet |
driva ett systematiskt och riskbaserat cybersäkerhetsarbete saknas utan ledningens löpande engagemang.157
MSB hade i rapporten även ett antal rekommendationer till myn- digheterna. Dessa var bland annat att följa MSB:s föreskrifter om statliga myndigheters informationssäkerhet och att stärka led- ningens engagemang i det systematiska informations- och cybersä- kerhetsarbetet.158
157Resultatredovisningen, s. 8.
158Resultatredovisningen, s. 32 f.
75
4Lantmäteriets organisation och uppgifter
4.1Kapitlets innehåll
Kapitlet innehåller en beskrivning av Lantmäteriets organisation och uppgifter, formerna för den interna styrningen av myndigheten och något om den översyn av delar av organisationen som gjorts.
4.2Allmänt om Lantmäteriet
Den 1 september 2008 slogs det tidigare Lantmäteriverket och de 21 länsvisa lantmäterimyndigheterna ihop till en myndighet med det nya namnet Lantmäteriet.159
Lantmäteriet är den statliga lantmäterimyndigheten och har kart- lagt Sverige sedan 1628. Lantmäteriets uppdrag är att säkra ägandet av fastigheter, göra geodata160 tillgängligt i samhället och lägga grun- den för en fungerande samhällsekonomi. Myndigheten driver också aktivt, i samverkan med andra, digitaliseringen av samhällsbyggnads- processen.161
Lantmäteriet har enligt myndighetens regleringsbrev 2003–2006 haft i uppdrag att bygga upp informationssystem med grund- läggande landskaps- och fastighetsinformation. Det beskrivs närmare som att Lantmäteriet ska se till att en gemensam
159Se prop. 2007/08:134 Det nya statliga lantmäteriet.
160Geodata beskriver allt som har ett geografiskt läge, till exempel fastigheter, byggnader, sjöar, vägar, vegetation och befolkning, www.lantmateriet.se/sv/geodata, hämtat den 13 januari 2026.
161www.lantmateriet.se/sv/om-lantmateriet, hämtat den 13 januari 2026.
77
Lantmäteriets organisation och uppgifter | Ds 2026:2 |
rikstäckande databas för geografisk information och fastighetsinfor- mation byggs upp och att databaser över tiden har ett aktuellt och väl specificerat informationsinnehåll som kvalitetsmässigt och tek- niskt motsvarar användarkraven från samhället. Myndigheten ska bland annat se till att erbjuda ett ökat och flexibelt utbud med såväl elektroniska som traditionella tjänster, samt att genom olika aktivi- teter och kanaler, såsom användning av återförsäljare, öka använd- ningen av informationen. Man ska verka för att informationen ska komma till nytta hos allt fler användare och inom allt fler tillämp- ningsområden.162
Lantmäteriet omfattar huvudkontoret i Gävle och verksamhet på
50 orter runt om i Sverige. Lantmäteriet har totalt ca 2 200 anställda, varav 940 arbetar på huvudkontoret.
4.3Organisation163
Lantmäteriets organisation kan illustreras med följande skiss.
162Se myndighetens regleringsbrev 2003–2006.
163Avsnittet bygger på Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340, dele- gationsordning den 16 december 2025, LM2025/161018, och information från Lantmäteriet i januari 2026.
78
Ds 2026:2 | Lantmäteriets organisation och uppgifter |
4.3.1Styrelsen
Styrelsen består av sex ledamöter. Myndighetens chef ingår i styrel- sen och ansvarar för den löpande verksamheten i enlighet med sty- relsens direktiv. Regeringen utser ordförande och övriga ledamöter.
I myndighetens arbetsordning anges vad styrelsen ansvarar och beslutar om utöver de i myndighetsförordningen reglerade uppgif- terna. Som exempel kan nämnas riktlinjer för internrevisionen och förhållanden av större strategisk eller ekonomisk betydelse.164
4.3.2Generaldirektören
Utöver det som följer av myndighetsförordningen har generaldirek- tören, enligt arbetsordningen, följande uppgifter.
Generaldirektören ansvarar för att fortlöpande utveckla verksam- heten, tillhandahålla styrelsen information om myndighetens verk- samhet och rekrytering av chefer som ska direktrapportera till gene- raldirektören samt följa sådana förhållanden utanför myndigheten som har betydelse för verksamheten. Generaldirektören ansvarar vi- dare för att det upprättas sådana interna styrande dokument som en- ligt författning eller av andra skäl bör upprättas för Lantmäteriets verksamhet. Generaldirektören ska verka för att genom samarbete med myndigheter och andra ta tillvara de fördelar som kan vinnas för enskilda samt för staten som helhet. Generaldirektören ansvarar för att till styrelsen lämna förslag till åtgärdsplan med anledning av iakttagelser och rekommendationer från internrevisionen och data- skyddsombudet. Generaldirektören rapporterar årligen vilka ären- den som har avgjorts av Lantmäteriets personalansvarsnämnd. Ge- neraldirektörens uppgifter enligt detta avsnitt kan inte delegeras vi- dare.165
Generaldirektören ska vidare samråda med styrelsen innan beslut fattas om bland annat organisatoriska förändringar vad gäller led- ningsstöd och myndighetsgemensamma verksamhetsområden som inte regleras i arbetsordningen.166
Generaldirektören ska avgöra ärenden som inte ska avgöras av styrelsen eller av personalansvarsnämnden. Generaldirektörens rätt
1642.1.2 arbetsordningen.
1652.2.2 arbetsordningen.
1662.2.3 arbetsordningen.
79
Lantmäteriets organisation och uppgifter | Ds 2026:2 |
att besluta kan genom delegationsordning eller skriftligt delega- tionsbeslut delegeras till annan tjänsteman med de begränsningar som följer av författning eller arbetsordningen.167
Som stöd för generaldirektörens beslutsfattande finns en led- ningsgrupp. Generaldirektören är ordförande i ledningsgruppen. I ledningsgruppen ingår den ställföreträdande generaldirektören och samtliga verksamhetsområdeschefer samt en sekreterare som gene- raldirektören utser. Ledningsgruppen har inte någon formell be- hörighet att fatta beslut och beslut fattas därför av generaldirektören eller enskilda medlemmar i gruppen med stöd av arbetsordningen, delegationsordning eller skriftliga delegationsbeslut.168 Lednings- gruppens sammansättning följer inte direkt av arbetsordningen. Generaldirektören beslutar om sammansättningen med stöd av arbetsordningen.
4.3.3Ledningsstöd
Ledningsstödet ansvarar för vissa myndighetsövergripande frågor och lämnar stöd i övrigt till generaldirektören och styrelsen. I ledningsstödet ingår ledningssamordnaren, tillika GD-assistenten, och den strategiska rådgivaren. Ledningssamordnaren, tillika GD- assistenten, samordnar ärenden till generaldirektören och lednings- gruppen.
Den strategiska rådgivaren ansvarar för Lantmäteriets kontakter med Regeringskansliet.169 Rådgivaren ansvarar därutöver tillsam- mans med chefsjuristen för att i samråd med berörd verksamhet sammanställa Lantmäteriets behov av författningsutveckling i en lista som lämnas till ansvarigt departement.
4.3.4Myndighetsgemensamma verksamhetsområden
De myndighetsgemensamma verksamhetsområdena utgörs av Lant- mäteriets samlade resurser för gemensamma frågor rörande ekono- mi, personal (HR), utveckling och IT, kommunikation, internatio-
1672.2.4 arbetsordningen.
1682.2.6 arbetsordningen.
1693.2 arbetsordningen.
80
Ds 2026:2 | Lantmäteriets organisation och uppgifter |
nellt arbete, inköp, lokalförsörjning och informationsstyrning, juri- dik samt säkerhet, beredskap och säkerhetsskydd.
Verksamhetsområde Juridik
Verksamhetsområdet har ansvar för att samordna övergripande frågor om rättssäkerhet, regelefterlevnad och regelstyrning inom Lantmäteriet och bistår chefsjuristen i den rättsliga styrningen vid myndigheten. I detta ansvar ingår bland annat att lämna juridisk råd- givning till myndighetens ledning och övriga verksamhetsområden. I verksamhetsområdet ingår myndighetens registratur. Verksam- hetsområdet är indelat i fem enheter med totalt 72 medarbetare.
Chefsjuristen är chef för verksamhetsområdet och ansvarar för myndighetens visselblåsarfunktion och samordning av myndighe- tens uppföljning avseende regelefterlevnad. Chefsjuristen rapporte- rar i dessa frågor till generaldirektören och årligen, eller vid behov, till styrelsen.170
Verksamhetsområdet kan illustreras med följande skiss.
Verksamhetsområde Ekonomi och controlling
Verksamhetsområdet har ansvar för Lantmäteriets övergripande och samordnande verksamhetsplanering, inköp, budget och uppföljning samt ekonomiprocesserna. Verksamhetsområdet är ett strategiskt och operativt stöd för hela Lantmäteriet.
1703.3.1 arbetsordningen.
81
Lantmäteriets organisation och uppgifter | Ds 2026:2 |
Verksamhetsområde HR
Verksamhetsområdet har ansvar för Lantmäteriets övergripande och samordnande personal- och arbetsgivarpolitik samt HR-relaterade frågeställningar. Verksamhetsområdet är ett strategiskt och opera- tivt stöd för hela Lantmäteriet.
Verksamhetsområde Utveckling och IT (UIT)
Verksamhetsområdet har ansvar för Lantmäteriets IT-drift, infra- struktur och systemutveckling samt övergripande och samordnande utvecklingsverksamhet och utvecklingsstyrning. Verksamhetsområ- det är ett strategiskt och operativt stöd för hela Lantmäteriet.
Verksamhetsområde kommunikation
Verksamhetsområdet har ansvar för Lantmäteriets övergripande externa och interna kommunikationsarbete och är ett strategiskt och operativt stöd för hela Lantmäteriet. Verksamhetsområdet har till uppgift att utveckla och förvalta Lantmäteriets övergripande kom- munikation och anpassa den efter målgruppernas behov.
Verksamhetsområde Tre I
Verksamhetsområdet har ett övergripande ansvar för samordningen av färdigheter inom lokalförsörjning, informationsstyrning och in- ternationella frågor.
Verksamhetsområde Säkerhet
Verksamhetsområdet leder och samordnar Lantmäteriets verk- samhet enligt säkerhetsskyddslagen, säkerhetsskyddsförordningen, Säkerhetspolisens föreskrifter om säkerhetsskydd, lagen om total- försvar och höjd beredskap, förordningen om totalförsvar och höjd beredskap, förordningen om statliga myndigheters beredskap, samt NIS2 EU-direktiv.171
171Se avsnitt 16.6 angående NIS2.
82
Ds 2026:2 | Lantmäteriets organisation och uppgifter |
Verksamhetsområdet ansvarar för Lantmäteriets samverkan med Säkerhetspolisen, MCF, Försvarsmakten samt andra myndigheter inom säkerhetsskydds- och beredskapsområdet om inte annat följer av särskilda överenskommelser eller regleringar.
Säkerhetsskyddschefen rapporterar löpande till generaldirek- tören samt årligen, eller vid behov, till styrelsen resultatet av de analyser, de kontroller och den myndighetsinterna tillsyn som har gjorts avseende Lantmäteriets säkerhetsskydd och beredskap.
Verksamhetsområdet ansvarar även för ledningsstöd i form av rådgivning i säkerhets- och säkerhetsskyddsfrågor till generaldirek- tören och styrelsen.
Inom verksamhetsområdet finns också Lantmäteriets data- skyddsombud. Dataskyddsombudet rapporterar i de frågor som om- fattas av uppdraget som dataskyddsombud löpande till generaldirek- tören och redovisar planeringen och utfallet av sitt övervakande och granskande arbete två gånger per år till styrelsen.172
Antalet årsarbetare inom verksamhetsområdet uppgår till 21. Nu- varande befattningar inom verksamhetsområdet i övrigt är säker- hetsskyddshandläggare, informationssäkerhetschef, informationssä- kerhetshandläggare, dataskyddsamordnare tillika informationssä- kerhetshandläggare, beredskapschef, beredskapshandläggare, signal- skyddschef, dataskyddsombud, biträdande säkerhetsskyddschef samt verksamhetsområdeschef.
Beredskapsorganisation
Inom myndigheten finns en beredskapsorganisation som aktiveras och avaktiveras i enlighet med för var tid gällande beredskapsplan för Lantmäteriet. Beredskapsorganisationen leds av en stabschefs- funktion.173
4.3.5Verksamhetsområde Fastighetsbildning
Verksamhetsområde Fastighetsbildning har ansvar för fastighetsin- delningen, det vill säga fattar genom sina lantmäteriförrättningar beslut om nya fastigheter eller om ändring av existerande fastighe-
1723.3.2 arbetsordningen.
1733.3.3 arbetsordningen.
83
Lantmäteriets organisation och uppgifter | Ds 2026:2 |
ter.174 Det kan också gälla beslut om samfälligheter, servitut och led- ningsrätter. Verksamhetsområdet är uppdelat i en stödenhet och sex geografiskt indelade och enheter. Inom området sysselsätts ca 900 medarbetare. Verksamheten bedrivs på 47 kontor fördelade över lan- det.175 Inom enheten Fastighetsbildningens ledningsstöd Fastighets- bildningsstöd finns tre funktioner; Arbetssätt, Stab och Tekniskt handläggningsstöd.
Funktionen Arbetssätts uppdrag är att ansvara för framtagande, utveckling och förvaltning av verksamhetsområdets arbetssätt, struktur för ständiga förbättringar samt samordning för systema- tiskt kvalitetsarbete.
Funktion Stab är ett stöd till Fastighetsbildnings ledning. Funktionen Tekniskt handläggningsstöd har i uppdrag att fånga
upp verksamhetsområdets verksamhetsmässiga behov av tekniska handläggningsstöd samt ge stöd och samordning av arkiveringsfrå- gor.
Verksamhetsområdet kan illustreras med följande skiss:
4.3.6Verksamhetsområde Fastighetsinskrivning
Verksamhetsområdet omfattar ca 330 medarbetare och fullgör Lant- mäteriets roll som inskrivningsmyndighet och ansvarar för inskriv- ning enligt jordabalken. Det innebär att ungefär 500 000 ärenden om bland annat lagfart och inteckningar hanteras varje år. Dessutom fattas beslut om stämpelskatt och expeditionsavgifter i ärendehand- läggningen. Verksamhetsområdet ansvarar även förhanteringen av förlorade pantbrev, samfällighetsregistret, granskning av arkivakter samt myndighetens kundcenter.
174Information från Lantmäteriet i januari 2026. Se även 3.4 arbetsordningen.
175Lantmäteriets säkerhetsskyddsanalys den 27 juni 2025, LM2025/088391, s. 25.
84
Ds 2026:2 | Lantmäteriets organisation och uppgifter |
Organisationen består av en gemensam ledning och fem enheter. Verksamheten bedrivs i Skellefteå, Härnösand, Kiruna, Mora, Norr- tälje, Uddevalla, Eksjö, Hässleholm och Gävle.176
Enheten Stab ansvarar för verksamhetsövergripande strategiska frågor, samordning, uppföljning och verksamhetsutveckling. Hand- läggning av inskrivningsärenden utförs vid sju kontor runt om i Sverige. De är organiserade i enheterna Inskrivning och Granskning, Inskrivning och Kundcenter, samt Inskrivning och juridik. Enheten Pant och Utveckling består av funktionen Digital utveckling, Sam- fällighetsföreningsregistret samt Pant och värdering. Gransknings- funktionerna ansvarar för granskning av arkivakter i samband med utlämnande av allmän handling.177 Verksamhetsområdet kan illust- reras med följande skiss:
4.3.7Verksamhetsområde Geodata
Verksamhetsområdet bygger upp, vidareutvecklar och förvaltar geo- grafisk information och fastighetsinformation samt ansvarar för att tillhandahålla informationen. Inom området bedrivs också standar- diseringsarbetes samt forskning och utveckling inom geodesi,178 kar- tografikartografi och geografiska informationssystem.
Verksamhetsområdet har sju enheter, Verksamhetssamordning, GeoStab, Geo SE, Geografisk information, Fastighetsinformation,
176Lantmäteriets säkerhetsskyddsanalys den 27 juni 2025, LM2025/088391, s. 45.
177Information från Lantmäteriet, januari 2026. Se även 3.5 arbetsordningen.
178Vetenskapen om jordytans uppmätning och kartläggning, eller vetenskapen om jordens storlek, form och tyngdkraftsfält, www.lantmateriet.se/sv/geodata/gps-geodesi-och- swepos/Om-geodesi, hämtat den 21 januari 2026.
85
Lantmäteriets organisation och uppgifter | Ds 2026:2 |
Geodesi och Marknad. Verksamheten finns i Gävle, Karlskrona, Kiruna, Luleå, Stockholm och Vänersborg. Verksamhetsområdet kan illustreras med följande skiss:
4.3.8Rådsfunktioner
Vid Lantmäteriet finns i enlighet med myndighetens instruktion Ortnamnsrådet och Geodatarådet. Härutöver finns Mark- och fas- tighetsrådet samt Kredit- och fastighetsmarknadsrådet, som är in- rättade på Lantmäteriets eget initiativ.179
4.3.9Internrevisionen
Vid Lantmäteriet finns en funktion för internrevision enligt intern- revisionsförordningen. Den leds av en chef som förordnas av gene- raldirektören. Lantmäteriets styrelse är internrevisionens uppdrags- givare. Styrelsens instruktioner till internrevisionen ges i en rikt- linje.180 Enligt Lantmäteriets arbetsordning ska generaldirektören samråda med styrelsen innan beslut fattas om lön, anställning och entledigande av chefen för internrevisionen.181
Internrevisionen ska granska och lämna förslag till förbättringar av myndighetens process för intern styrning och kontroll. Internre- visionen ska därutöver utifrån en analys av verksamhetens risker självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör sina upp-
1793.7 arbetsordningen.
180Lantmäteriets Riktlinjer för interrevision, beslutad av styrelsen den 25 september 2025, LM2025/128783.
1812.2.3 arbetsordningen
86
Ds 2026:2 | Lantmäteriets organisation och uppgifter |
gifter, uppnår verksamhetens mål och uppfyller kraven i myndig- hetsförordningen.182
4.4Formerna för den interna styrningen av myndigheten
Lantmäteriets styrning formaliseras genom interna styrdokument. Med sådana dokument menas i arbetsordningen alla typer av doku- ment som styr hur myndigheten och dess medarbetare ska arbeta.183 Planerande dokument är dokument som beslutas av styrelsen och innehåller en planering av myndighetens eller enskilda verksamhets- delars framtida arbete. Exempel på sådana dokument är verksam- hetsplanen, myndighetens budgetunderlag och internrevisionspla-
nen.184
Styrande dokument utgörs, förutom av arbetsordningen och av generaldirektören eller verksamhetsområdescheferna beslutade de- legationsordningar, av följande dokumenttyper.185
•Interna föreskrifter (publicerade som LMIF). Dessa är interna, långsiktiga regler av föreskriftsnatur som fastställs av styrelsen. De interna föreskrifterna ska granskas av chefsjuristen, och säkerhetsskyddschefen, chefen för verksamhetsområde Ekonomi och controlling och generaldirektören innan de beslutas av styrelsen.
•Strategier beslutas av styrelsen och är dokument som beskriver hur övergripande mål ska omsättas till handling. Strategierna ska granskas av ovan nämnda funktioner innan de beslutas av styrel- sen.
•Policys beslutas av generaldirektören och anger ett förhållnings- sätt, en ambitionsnivå eller en inriktning. De är generella och övergripande för hela myndighetens verksamhet och används för att uttrycka grundläggande principer för Lantmäteriets agerande i viktiga frågor. Samma funktioner som ovan ska granska policys
1823.8 arbetsordningen.
1831.2 arbetsordningen.
1841.2.1 arbetsordningen.
1851.2.2 arbetsordningen.
87
Lantmäteriets organisation och uppgifter | Ds 2026:2 |
innan de beslutas av generaldirektören. De ska därefter redovisas för styrelsen vid nästkommande styrelsemöte.
•Riktlinjer tydliggör hur en viss verksamhet ska styras i form av övergripande principer och förutsättningar. Beslut om riktlinjer fattas av den som ansvarar för området som riktlinjerna ska gälla för enligt arbetsordningen, generaldirektörens delegationsord- ning eller enskilt delegationsbeslut.
•Centrala interna beslut anger i själva beslutet hur vissa myndig- hets- eller verksamhetsområdesövergripande interna angelägen- heter, frågor eller viss information ska hanteras. Centrala interna beslut fattas av den som ansvarar för frågan enligt arbetsord- ningen, generaldirektörens delegationsordning eller enskilt dele- gationsbeslut.
•Rättsliga ställningstaganden tas fram i syfte att åstadkomma en en- hetlig rättstillämpning inom myndigheten. De görs i principiella frågor när det saknas svar i en rättsfråga eller när rättsläget är oklart. Internt blir ställningstaganden som myndigheten gör i rättsliga bedömningsfrågor bindande. Det är chefsjuristen som fattar beslut om rättsliga ställningstaganden.
4.5Översyn av delar av Lantmäteriets organisation
4.5.1De myndighetsgemensamma verksamhetsområdena
För att kunna möta kravet på såväl effektivitet som verksamhetsför- ståelse har Lantmäteriet ansett att det finns ett behov av att stöd- funktioner samarbetar i större utsträckning än tidigare. En utredning har därför gjorts inom myndigheten i syfte att se över bland annat organiseringen av myndighetsgemensam verksamhet inklusive led- ningsstrukturen för att optimera verksamheten och tydliggöra roller och ansvar. Resultatet av utredningens arbete har redovisats i en pro- memoria.186 I sammanfattningen av denna anges följande.
De myndighetsgemensamma verksamheterna ska utgöra en re- surs som nyttjas av såväl GD/Ledning som av övriga verksamheter. Översynen visar att en klar majoritet är positiva till en förändring av
186Översyn och förslag på organisering av Lantmäteriets myndighetsgemensamma verksamhetsområden, PM den 28 oktober 2024, LM2024/059383.
88
Ds 2026:2 | Lantmäteriets organisation och uppgifter |
de myndighetsgemensamma verksamhetsområdena. De främsta an- ledningarna till det är att hitta och nyttja synergier, skapa mer effek- tivitet och få ett uttalat helhetstänk. För att uppnå det och få en or- ganisation att fungera effektivt behöver flera parametrar vara på plats. Utgångspunkten i översynen har varit att se över vilka förut- sättningar som behöver vara på plats för att få en hög lednings- effektivitet, det vill säga en bra ledning och styrning av de myndig- hetsgemensamma verksamheterna. Utredningen visar att förvänt- ningarna på och upplevelsen av hur myndighetsgemensam verksam- het uppfylls varierar mellan verksamhetsområdena. Det är viktigt att skapa en samsyn kring förväntningar, synsätt och arbetssätt. Enligt utredningen behöver en förändring vad gäller verksamhetsstyr- ningen genomföras. Det saknas förutsättningar för att få ett helhets- grepp, bedriva ett övergripande arbete med att göra analyser, verk- samhetsplanering och uppföljning, intern styrning och kontroll och strategisk planering och styrning. För att skapa framdrift på ett effektivt sätt och vara ett stöd till GD och ledningsgruppen behöver dessa uppgifter lyftas till en högre nivå. Utredningen föreslår att dessa uppgifter samlas i ett nytt verksamhetsområde Ledningsstöd och analys. Lantmäteriets val att organisera de övergripande verk- samheterna återspeglas inte till fullo i Lantmäteriets arbets- och de- legationsordning. Till detta kommer att det finns förväntningar i linjen som inte överensstämmer med vare sig arbets- eller delega- tionsordningen eller val att organisera verksamheten. Att endast flytta rutor i en organisationsskiss innebär inte per automatik att för- ändringen blir lyckosam och hållbar. Även organisationskulturen, synsätt och arbetssätten behöver lyftas och arbetas med. Organisa- tionskulturen och arbetssätten ska utgå från myndighetens behov och inte vara personberoende. I dagens organisation saknas ett fo- rum för att samordna de myndighetsgemensamma verksamheterna. Ett gemensamt forum skulle bidra till en ökad enhetlighet, ett mer gemensamt synsätt och en ökad förståelse för de olika verksamhe- ternas roller och ansvar.
89
Lantmäteriets organisation och uppgifter | Ds 2026:2 |
4.5.2Verksamhetsområde Säkerhet
I en rapport187 i juni 2025 från den tillförordnade säkerhetsskydds- chefen redovisades en översyn av verksamhetsområde Säkerhet. Bakgrunden var att den vikarierande generaldirektören i december 2024 gett denna chef i uppdrag att med stöd av Statens servicecenter genomföra en sådan översyn. Översynen skulle fokusera på verk- samhetsområdets behov av kompetensförsörjning och utveckling genom att kartlägga hur verksamheten kunde förändras utifrån orga- nisation, bemanning, roller och arbetssätt. Syftet med kartlägg- ningen var att långsiktigt stärka Lantmäteriets säkerhetsarbete och säkerhetskultur ytterligare. Av rapporten framgår i huvudsak föl- jande.
Förändringar i omvärlden och i Sverige har medfört ökade krav på myn- dighetens arbete med säkerhetsfrågor. Hotbilden har ökat och kraven på ett väl fungerande säkerhetsarbete på myndigheten är större än tidi- gare. Det kraftigt förändrade säkerhetslandskapet gör att myndigheten betraktar behovet av hanteringen av sina informationsmängder i databa- ser på ett annorlunda sätt än vad som gjordes för ett antal år sedan. En större mängd information betraktas i dag som säkerhetskänslig än vad som tidigare var fallet.188
Lantmäteriet behöver etablera en tydlig, hållbar och strategiskt kapa- bel organisation för säkerhet och beredskap. Lantmäteriets regelefter- levnad inom säkerhetsskydd och totalförsvar behöver stärkas. För att kunna uppnå det behövde verksamhetsområdets tillgänglighet och stöd till hela verksamheten förstärkas.189
Verksamhetsområdet är i dag en del av Ledningsstödet på Lantmäte- riet, ansvarar för vissa myndighetsövergripande frågor och lämnar främst stöd till generaldirektören och styrelsen, enligt arbetsordningen. Att ingå i Ledningsstödet innebär alltså inte att vara ett uttalat internt stöd till hela verksamheten. Detta förhållande kan ha skapat en otydlig- het som bidragit till att verksamhetsområdets uppdrag och roll tolkats som mer kontrollerande och uppföljande än stödjande och förebyg- gande. Verksamhetsområdet behövde organisatoriskt flyttas från Led- ningsstöd till ett myndighetsgemensamt verksamhetsområde. Genom den förändringen kan verksamheten på ett tydligare sätt betraktas som ett internt stöd till alla verksamhetsområden och inte främst till led- ningen.190
Myndigheten behöver anpassa sig efter förändrade och ökade krav vilket gör att verksamhetsområdets medarbetare behöver utöka och
187Rapporten Översyn verksamhetsområde säkerhet och säkerhetsskydd den 12 juni 2025, LM2025/065587.
188Rapporten, s. 2.
189Rapporten, s. 4.
190Rapporten. s. 4–5.
90
Ds 2026:2 | Lantmäteriets organisation och uppgifter |
bredda sin kompetens. För detta krävs planering och särskilda in- satser.191
Kravet på Lantmäteriet som beredskapsmyndighet192 är förpliktigande. En organisation behöver skapas för fredstida arbete och en för höjd be- redskap och slutligen en organisation för krig. Verksamhetsområdet har en ledande roll i detta. För att kunna arbeta med dessa strategiskt viktiga frågor samt att vara mer proaktiva och handlingskraftiga behöver be- manningen förstärkas samt ansvar och befogenheter förtydligas.193
Verksamhetsområdets medarbetare upplever att de ofta kopplas in i frågor i ett sent skede. Ytterligare en upplevelse är att det förekommer bristande förståelse för regelefterlevnad inom Lantmäteriet avseende frågor som verksamhetsområdet ansvarar för. Det leder till svårigheter att utföra arbetet i enlighet med uppdraget.
Verksamhetsområdets medarbetare upplever sig inte kunna stödja övriga verksamhetsområden i den omfattning som efterfrågas vilket exempelvis innebär att nödvändig information om arbetsprocesser inte på ett effektivt sätt sprids till alla berörda. Inom ramen för översynen har en SWOT-analys194 genomförts inom verksamhetsområdet. Av ana- lysen framgår att verksamhetsområdets arbetsmiljö inte är bra. Arbets- belastningen har länge varit hög och tiden för återhämtning är och har varit för låg. Vidare går det att utläsa inslag av upplevd bristande tillit från högsta ledningen. Detta blir ett oerhört viktigt område att förbättra och arbeta med för den högsta ledningen, verksamhetsområdet och hela myndigheten.
Den tillförordnade verksamhetsområdeschefen har uppfattat att and- ra verksamhetsområden ibland upplevt kommunikationen från verk- samhetsområdet som bristfällig; detta har framför allt varit kopplat till att förklara varför vissa uppgifter behöver utföras. Härutöver förmedlas behov av förbättrat stöd och ett mer långsiktigt och förebyggande arbe- te till hela verksamheten. Verksamheterna efterfrågar även tydligare ar- betsprocesser kopplat till säkerhetsarbetet samt ett mer uppsökande ar- betssätt där det finns tid till förtydligande, fördjupning, frågor och dia- log. Vidare upplever den tillförordnade verksamhetsområdeschefen att verksamhetsområdets tillit till övriga verksamheten behöver förbättras. De övriga verksamheternas förtroende tillbaka är inte heller tillfreds- ställande. Att återupprätta ömsesidigt förtroende och en välfungerande relation startar i chefsleden och måste långsiktigt byggas upp genom ett aktivt arbete och dagliga kontakter mellan alla berörda medarbetare. För att kunna tillhandahålla ett förebyggande och systematiskt stöd till hela myndigheten genom utbildning, förbättrad information till verksamhe- terna och tydliga befintliga arbetsprocesser kommer att krävas ett till- skott av resurser till organisationen. Det är viktigt att ta höjd för att stödet ska vara relevant och fungera för Lantmäteriets alla 50 kontor.
191Rapporten, s. 5.
192Lantmäteriet blev beredskapsmyndighet den 1 oktober 2022.
193Rapporten, s. 5
194Strengths, Weaknesses, Opportunities and Threats, se exempelvis https://ki.se/media/54154/download, hämtat den 21 januari 2026, och bilaga 3 till rapporten.
91
Lantmäteriets organisation och uppgifter | Ds 2026:2 |
Säkerhetskulturen på myndigheten behöver fortsätta att utvecklas och stärkas. I det arbetet har verksamhetsområdet en central roll som ans- varig, stödjande och styrande i alla arbetsprocesser. Vidare har man även en roll i att sätta ramar och besluta om regelverk och kriterier för myn- dighetens informationshantering.195
Det finns en upplevd otydlighet i verksamhetsområdets uppdrag. De förväntningar som riktas mot verksamhetsområdet matchar inte alltid verksamhetens egen uppfattning om uppdraget. Det är därför viktigt att fortsätta att tydliggöra och efterfråga tydligare ansvar, befogenheter och mandat både inom och utanför verksamheten samt att ge verksamhets- området rätt förutsättningar. Verksamheten arbetar i dag med en intern arbetsfördelning på veckobasis. Det bör fortsätta.196
Det är tydligt att verksamhetsområdet behöver omorganiseras och bemanningen förstärkas.197
De myndighetsgemensamma verksamhetsområdena på Lantmäteriet är små och har inte tillgång till ett gemensamt verksamhetsstöd eller an- nan stödfunktionalitet. Resursbehov från andra stödjande verksamheter kan vara en gemensam indikation på att samtliga mindre myndighetsge- mensamma verksamhetsområden behöver ett ökat verksamhetsstöd av varandra för att kunna fullgöra sina uppdrag på ett kvalitativt och effek- tivt sätt. Övriga stödverksamheternas resursmässiga eller organisato- riska möjligheter att erbjuda förstärkt stöd till verksamhetsområde sä- kerhet och säkerhetsskydd har inte utretts i detta sammanhang.198
4.5.3Organiseringen av Lantmäteriets juridiska stöd
Lantmäteriet genomförde den 1 januari 2026 en omorganisation av det juridiska stödet inom myndigheten.199 Genom denna omorga- nisation har Lantmäteriet flyttat samtliga medarbetare vid de juri- diska stödfunktioner som tidigare hörde till verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning och Geodata till verksam- hetsområde Juridik. Lantmäteriet har även flyttat enheten registra- tur och arkiv från verksamhetsområdet Tre I till verksamhetsområde Juridik.
Verksamhetsområdet leds av chefsjuristen och består, som fram- går av avsnitt 4.3.4, av fem enheter som var och en leds av en enhets- chef. Tre av enheterna har ett huvudansvar för att ge juridiskt stöd inom verksamhetsområdesspecifika rättsområden till verksamhets-
195Rapporten, s. 5–6.
196Rapporten, s. 6.
197Den nuvarande organisationen framgår av kapitel 4.
198Rapporten, s. 7–8.
199Se även delegationsordning för verksamhetsområde Juridik den 19 december 2025, LM2025/137616.
92
Ds 2026:2 | Lantmäteriets organisation och uppgifter |
områdena Fastighetsinskrivning, Fastighetsbildning och Geodata. I den enhet som bidrar med juridiskt stöd till verksamhetsområde Fastighetsbildning ingår de jurister som tidigare hörde till Över- klagandepoolen.200 En fjärde enhet har ett huvudansvar för myndig- hetsövergripande juridiska frågor och därutöver bland annat Lant- mäteriets tillsyn över verksamheten vid de kommunala lantmäteri- myndigheterna.
Till följd av omorganisationen kommer ett antal medarbetare från de förstnämnda tre enheterna att flyttas till den fjärde enheten. Det beräknas att ske under 2026.
200Överklagandepoolens uppdrag är enligt Lantmäteriet att bidra till en mer enhetlig och rätts- säker överklagandeprocess, oavsett vilka beslut som överklagas under pågående förrättning eller i samband med att förrättningen avslutas. Här ingår även att föra statistik rörande över- klaganden. Överklagandepoolen startades för att avlasta förrättningslantmätarna i produk- tion.
93
5Ansvaret för informations- säkerhet inom Lantmäteriet
5.1Kapitlets innehåll
I detta kapitel redogörs för ansvarsfördelningen inom Lantmäteriet när det gäller ansvaret för informationssäkerhetsfrågor och vilka sty- rande dokument som finns inom detta område. I kapitlet går vi inte närmare in på det yttersta ansvar som styrelsen har enligt myndig- hetsförordningen, även för informationssäkerheten. Vi återkommer till den frågan i våra överväganden i kapitel 17.
5.2Allmänt om delegation inom myndigheten
Arbetsfördelningen mellan styrelsen och generaldirektören samt de- legationen av beslutanderätt inom Lantmäteriet följer av myndig- hetsförordningen och myndighetens arbetsordning.201
Generaldirektörens beslutanderätt får delegeras till annan tjäns- teman vid myndigheten med de begränsningar som framgår av myn- dighetsförordningen och arbetsordningen. Delegation av general- direktörens beslutanderätt sker genom delegationsordningen eller i undantagsfall i enskilda delegationsbeslut.202
Beslutanderätt som delegeras med stöd av delegationsordningen eller enskilt delegationsbeslut får vidaredelegeras endast i den ut- sträckning som medges i delegationsordningen eller delegationsbe- slutet. Av beslutet ska framgå om beslutanderätten får delegeras vi-
2011 kap. 1 § andra stycket, Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018.
2021 kap. 2 § delegationsordningen.
95
Ansvaret för informationssäkerhet | Ds 2026:2 |
dare.203 Beslut om vidaredelegation ska anmälas till närmast överord- nad chef och delegaten utan oskäligt dröjsmål.204
5.3Vad anges i styrande dokument?
5.3.1Arbetsordningen
Generaldirektören är ytterst ansvarig för myndighetens informa- tion. För delmängder av informationen överlämnas ansvar till utsed- da informationsägare. De har ansvar för att respektive informations- tillgång är aktuell samt anpassad för sitt syfte och användningsom- råde.205 Som redogjorts för i avsnitt 4.3.4. ansvarar Verksamhetsom- råde Säkerhet för Lantmäteriets verksamhet enligt bland annat sä- kerhetsskyddslagen.
5.3.2Delegationsordningen
Samråd
Samråd med verksamhetsområde Säkerhet ska ske i frågor som är av betydelse för Lantmäteriets säkerhet, säkerhetsskydd, informations- säkerhet och beredskap. Den uppfattning som verksamhetsområde Säkerhet inom ramen för ett sådant samråd ger uttryck för ska vara vägledande för hur frågan därefter hanteras.206
Vid genomförande av en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen samt kompletterande författningar ska samråd ske med Lantmäteriets dataskyddsombud. Samråd ska även ske med dataskyddsombudet i enlighet med artikel 38.1 i data- skyddsförordningen.207
Verksamhetsområde Säkerhet
Verksamhetsområdet har ansvar för att samordna övergripande frå- gor om säkerhet, säkerhetsskydd, informationssäkerhet och bered-
2031 kap. 16 § delegationsordningen.
2041 kap. 22 § delegationsordningen.
2053.13 Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340.
2061 kap. 13 a § delegationsordningen.
2071 kap. 15 § delegationsordningen.
96
Ds 2026:2 | Ansvaret för informationssäkerhet |
skap inom samtliga verksamhetsområden. Verksamhetsområdet an- svarar bland annat för nedanstående uppgifter.208
•Framtagande och revidering av ramverk för säkerhet, säkerhets- skydd, informationssäkerhet och beredskap.
•Uppföljning av myndighetens arbete och myndighetsintern till- syn inom området säkerhet, säkerhetsskydd, informationssäker- het och beredskap.
•Framtagande av utbildning och informationsmaterial inom om- rådet säkerhet, säkerhetsskydd, informationssäkerhet och bered- skap.
•Myndighetsinternt stöd i säkerhet, säkerhetsskydd, informa- tionssäkerhet och beredskap.
•Operativt samarbete och samverkan med andra myndigheter och aktörer inom verksamhetsområdets ansvarsområde.
•Lantmäteriets tjänsteman i beredskap enligt 15 § förordning om statliga myndigheters beredskap samt regeringsbeslut.209
•Lantmäteriets signalskydd innefattande kryptoberedskap enligt förordning om totalförsvar och höjd beredskap, MCF:s före- skrifter om civila myndigheters kryptoberedskap210 samt För- svarsmaktens föreskrifter om signalskyddstjänsten.211
•Leda myndighetens planering för att genom sin verksamhet mins- ka sårbarheten i samhället samt utveckla en god förmåga att han- tera sina uppgifter vid fredstida krissituationer och höjd bered- skap i enlighet med förordning om totalförsvar och höjd bered- skap samt förordning om statliga myndigheters beredskap.
•Förvaltning och revision av myndighetens krav på fysisk säker- het.
•Beredning av myndighetens risk och sårbarhetsanalys (RSA) samt säkerhetsskyddsanalys.
2082 kap. 7 g § delegationsordningen.
209Fö 2014/1195/SSK.
210MSBFS 2025:3. Rätteligen civila myndigheters signalskyddsberedskap, vår anmärkning.
211FFS 2021:1.
97
Ansvaret för informationssäkerhet | Ds 2026:2 |
Verksamhetsområde Utveckling och IT
Verksamhetsområdet har ansvar för Lantmäteriets IT-drift, infra- struktur och systemutveckling, samt övergripande och samordnande utvecklingsverksamhet och utvecklingsstyrning. Verksamhetsområ- det är ett strategiskt och operativt stöd för hela Lantmäteriet och ansvarar bland annat för IT-säkerhet och arkitektur i samtliga lager (IT-infrastruktur och applikations-, informations- och verksam- hetsarkitektur).212
Säkerhetsskyddschefen
Säkerhetsskyddschefen är strategisk och operativ informationsägare (enligt 6 kap.) för information som ingår i ärenden som handläggs inom verksamhetsområde Säkerhet eller som i övrigt genereras eller behandlas inom verksamhetsområdet, med undantag för data- skyddsombudets, beredskapschefens samt signalskyddschefens verksamhet. Beslut som får vidaredelegeras av säkerhetsskyddsche- fen är bland annat beslut om godkännande av säkerhetsprövning och om inplacering i säkerhetsklass. Beslut som inte får vidaredelegeras är beslut om säkerhetsskyddsplan enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen och beslut om godkännande av genomförd eller uppdaterad säkerhetsskyddsklassificering.213
Chef för säkerhetskänslig verksamhet
En chef för säkerhetskänslig verksamhet ansvarar bland annat för sä- kerheten (där säkerhetsskydd ingår) och för att Lantmäteriets regelverk för säkerhet följs så att säkerhetsskyddet upprätthålls. En sådan chef har även till uppgift att göra en säkerhetsskyddsanalys och ansvarar för att upprätthålla informationssäkerheten inom sin verksamhet.214
2122 kap. 7 c § delegationsordningen.
2133 kap. 5 § delegationsordningen.
2144 kap. 1 c § delegationsordningen.
98
Ds 2026:2 | Ansvaret för informationssäkerhet |
Dataskyddsombudet
Dataskyddsombudet har den ställning och fullgör de uppgifter som framgår av artikel 38–39 dataskyddsförordningen. Ombudet be- stämmer hur de författningsreglerade uppgifterna att övervaka och granska Lantmäteriets efterlevnad av dataskyddsbestämmelserna ska fullgöras. Det inkluderar vilka områden som ska granskas och vilka underlag som behöver hämtas in för dessa ändamål. Dataskyddsom- budet är strategisk och operativ informationsägare (enligt 6 kap.) för information som ingår i ärenden som handläggs av dataskyddsom- budet eller som i övrigt genereras eller behandlas av ombudet.215
Utlämnande av allmän handling
Frågan om utlämnande av allmän handling och uppgift ur sådan handling finns närmare reglerad i delegationsordningen.216
Informationsägare
Informationsägare (där termen ”ägare” identifierar en individ eller enhet som har tilldelats och godkänt217 ledningsansvaret för informationstillgången) är den som äger och ansvarar för att information är riktig och tillförlitlig samt för det sätt genom vilket informationen lagras och sprids. Informationsägaren formulerar dels icke-funktionella krav som tillgänglighet, kapacitet, säkerhetsnivå, dels funktionella krav som på vilket sätt informationen ska visas och vilken information som ska finnas. Informationsägaren är därmed riskägare för den information som ska hanteras. Informationsägaren har ett strategiskt och/eller operativt ansvar för en definierad del av Lantmäteriets information, och har det yttersta ansvaret för att informationen är anpassad för sitt syfte och användningsområde.218
2153 kap. 7 § delegationsordningen.
2165 kap. 7 § delegationsordningen.
217Med ”godkänt” avses att det ska finnas en ömsesidig förståelse att det skett en delegation av informationsägarskapet, vad informationsägarskapet avser och vad det innebär. Information från Lantmäteriet i december 2025.
2186 kap. 1 § delegationsordningen.
99
Ansvaret för informationssäkerhet | Ds 2026:2 |
Strategisk informationsägare219
Generaldirektören har ett övergripande ansvar för Lantmäteriets information. En strategisk informationsägare ansvarar för den del- mängd av information som omfattas av delegation av informa- tionsägarskap. Den strategiska informationsägaren är ansvarig för den delmängd av information som ingår i handläggning eller som annars genereras eller behandlas inom den egna verksamheten enligt delegation, men specifika tillägg kan förekomma i delegationen. In- formationsägaren ansvarar också för planerande, styrande och stöd- jande dokument som tas fram inom ramen för den egna verksamhe- ten eller som på begäran av verksamheten beslutas av styrelsen eller generaldirektören. Informationsägaren ansvarar vidare för att res- pektive informationstillgång som omfattas av ansvaret är aktuell och anpassad för sitt syfte och användningsområde, vilket innebär att in- formationen ska vara anpassad till de behov Lantmäteriet har att beakta, att den ska ha rätt innehåll och kvalitet, samt vara anpassad till och behandlas i enlighet med gällande rätt och myndighetens sty- rande dokument.
Inom ramen för informationsägarskapet ska informationsägaren
–genom att ansvara för att nödvändiga planerande, styrande och stödjande dokument upprättas – säkerställa att informationen för- varas, behandlas och hanteras i enlighet med gällande rätt och myn- dighetens styrande dokument. Informationsägaren ska också säkerställa att informationen förvaras, behandlas och hanteras på ett sådant sätt att sekretesskyddad information inte görs tillgänglig för obehöriga, samt att en fullgod informationssäkerhet upprätthålls i enlighet med Ledningssystem för informationssäkerhet.
Informationsägarskapet innebär även att vid behov samråda med sakkunniga, exempelvis myndighetens dataskyddsombud, säker- hetsskyddschef, informationssäkerhetsansvarig, chefsjurist, chef för informationsstyrningsenheten, externa tillsynsmyndigheter eller motsvarande i frågor som rör personuppgifter, Sveriges säkerhet, in- formationssäkerhet eller långsiktigt bevarande. Med vilka sakkun- niga samråd ska ske är beroende av frågans art. Vidare ska informa- tionsägaren vid behov bland annat samordna åtgärder rörande be- handling eller klassificering av information med andra informations- ägare i frågor som sträcker sig utanför det egna ansvarsområdet.
2196 kap. 2 § delegationsordningen.
100
Ds 2026:2 | Ansvaret för informationssäkerhet |
På begäran och inom den tid som anges av informationssäker- hetsansvarig ska informationsägaren upprätta en säkerhetsskydds- klassificeringspromemoria enligt den mall som tillhandahålls av in- formationssäkerhetsansvarig, samt diarieföra och informera infor- mationssäkerhetsansvarig när promemorian har slutförts och diarie- förts enligt de instruktioner som tillhandahålls av informationssä- kerhetsansvarig.
I frågor av strategisk betydelse för hela Lantmäteriet som inte ska hänskjutas till styrelsen eller där behandling av information sker inom ramen för fler verksamheter än den egna, ska beslut fattas av generaldirektören efter samråd med samtliga berörda strategiska in- formationsägare gemensamt och eventuellt berörda verksamhets- områdeschefer utan informationsägaransvar. Delegerat ansvar om- fattar då också ansvar för hantering i enlighet med ett av generaldi- rektören fattat beslut om inte annat särskilt regleras.220
Operativ informationsägare221
En operativ informationsägare ansvarar för det operativa arbetet och beslutsfattandet för en tydligt avgränsad delmängd av informatio- nen. Denne ska ha god kunskap om informationshantering, både di- gital och analog, med avseende på bland annat innehåll, kvalitet, säkerhet, åtkomst och bevarande.
I rollen ingår att för berörd information säkerställa att informa- tionen förvaras, behandlas och hanteras i enlighet med gällande rätt och myndighetens styrande dokument och på ett sådant sätt att sekretesskyddad information inte görs tillgänglig för obehöriga, samt att en fullgod informationssäkerhet upprätthålls. Vidare ingår att vid behov samråda beträffande åtgärder rörande förvaring, be- handling, hantering eller klassificering av information med andra in- formationsägare i frågor som sträcker sig utanför det egna ansvarsområdet.
Den operativa informationsägaren ska även bereda och för be- slutsfattaren föredra säkerhetsskyddsklassificeringspromemoria en- ligt den mall som anges ovan, samt säkerställa att den diarieförts en-
2206 kap. 2 § delegationsordningen.
2216 kap. 3 § delegationsordningen.
101
Ansvaret för informationssäkerhet | Ds 2026:2 |
ligt de instruktioner som tillhandahålls av informationssäkerhets- ansvarig och att denna informeras när promemorian har slutförts.
Det operativa informationsägarskapet och därmed förenad beslu- tanderätt får vidaredelegeras av den operativa informationsägaren till en eller flera medarbetare. Lantmäteriets informationssäkerhetsans- varige, chefsjurist och internrevisionschefen ska informeras om så- dant beslut och beslutet ska publiceras på Lantmäteriets intranät.
5.3.3Centrala roller och funktioner enligt informations- säkerhetspolicyn
I denna policy beskrivs centrala roller och funktioner inom infor- mationssäkerhetsarbetet och vilket ansvar dessa har.222 Utöver det som redan tagits upp i tidigare avsnitt anges följande.
Medarbetare är ansvariga för att känna till och följa policy, rikt- linjer och instruktioner för informationssäkerhet samt vara upp- märksamma och rapportera händelser och avvikelser som kan påver- ka informationssäkerheten. Verksamhetsansvarig chef ansvarar för att upprätthålla informationssäkerheten inom sin verksamhet, att framtagna policys, riktlinjer och instruktioner följs och att säker- hetsåtgärder genomförs.
Lantmäteriets ledningsgrupp arbetar aktivt med informationssä- kerhet genom att säkerställa att:
•mål för informationssäkerhet uppfylls,
•informationssäkerhetsarbetet bedrivs på ett systematiskt och kontinuerligt sätt och att
•informationssäkerhet är en del i det årliga arbetet med verksam- hetsplanering.
Ledningsgruppen ska minst en gång per år fördjupat gå igenom in- formationssäkerhetsläget – ledningens genomgång.
Lantmäteriet arbetar med ständiga förbättringar av informations- säkerheten. Uppföljning och utvärdering av informationssäkerhets- arbetet görs enligt en fastställd metodik och genomförs minst en gång per år.
222Lantmäteriets informationssäkerhetspolicy, beslutad den 27 juni 2025, LM2025/090735.
102
Ds 2026:2 | Ansvaret för informationssäkerhet |
Informationssäkerhetschefen ser över och reviderar minst vart- annat år eller vid behov informationssäkerhetspolicyn och lednings- systemet för informationssäkerhet. Detta ska göras för att sä- kerställa att förändringar i omvärlden, teknisk utveckling, legala krav och verksamhetskrav tas om hand i policy och riktlinje.
103
6Den interna styrningen och kontrollen
6.1Kapitlets innehåll
I detta kapitel redogörs inledningsvis för Lantmäteriets riktlinje för intern styrning och kontroll. Härefter övergår vi till att gå igenom några av de brister inom området som uppmärksammats hos Lant- mäteriet under senare år och de åtgärder inom området som myn- digheten har vidtagit.
6.2Riktlinje för intern styrning och kontroll
Riktlinjen beskriver Lantmäteriets process för intern styrning och kontroll och konkretiserar hur myndigheten tillämpar förordningen om intern styrning och kontroll.223
Riktlinjen syftar till att tydliggöra hur risker i Lantmäteriets verk- samhet ska hanteras och tydliggöra ansvarsroller i arbetet med att säkerställa att tillämpliga regelverk efterlevs.224 Under rubriken Roller och ansvarsfördelning anges att intern styrning och kontroll i stor utsträckning är en fråga om ansvar.225 I avsnittet beskrivs rollerna i arbetet, vad som förväntas av respektive roll och vad som ingår i ansvaret. Vidare anges att styrelsen har det övergripande ansvaret för intern styrning och kontroll. Generaldirektören är ansvarig för att Lantmäteriet uppfyller kraven i nämnda förordning, inklusive att myndigheten dokumenterar, kommunicerar och följer
223Lantmäteriets riktlinje för intern styrning och kontroll, beslutad den 1 september 2023, LM2023/043714. Riktlinjen är delvis inaktuell eftersom den bland annat hänvisar till verksam- hetsområden som numera bytt namn, vår anmärkning.
224Avsnitt 1.1 riktlinjen.
225Avsnitt 2 riktlinjen.
105
Den interna styrningen och kontrollen | Ds 2026:2 |
upp enligt förordningen. I avsnittet finns en tabell där angiven funktion, bland annat styrelsen och generaldirektören, och funktionens ansvar närmare anges.
I riktlinjen redovisas vidare tre ansvarslinjer för kontroll och upp- följning.226
Den första ansvarslinjen utgörs av verksamhetsområdena och dessas underliggande funktioner som har det operativa ansvaret för risker och att såväl interna som externa regler efterlevs i det dagliga arbetet. Verksamhetsområdeschefen ansvarar för att upprätthålla en effektiv styrning och kontroll inom sitt område och dess processer, bland annat genom att i egenskap av informationsägare säkerställa att informationen behandlas i enlighet med gällande rätt, samt att nödvändiga styrande och stödjande dokument tas fram i detta syfte. Samtliga verksamhetsansvariga chefer ansvarar för att identifiera och hantera riskerna inom sitt ansvarsområde, inklusive att utföra regel- bunden uppföljning och efterkontroller av dem. Cheferna ska vara medvetna om de allvarligaste riskerna inom sitt ansvarsområde. Det gäller också vilken påverkan olika händelser kan ha i förhållande till förväntade resultat eller avbrott i verksamheten. Vidare ska de säker- ställa regelefterlevnaden inom verksamhetsområdet, enheten, funk- tionen eller gruppen. Det inkluderar bland annat frågor om säkerhet, säkerhetsskydd, beredskap och dataskydd.
Den andra ansvarslinjen utgörs av verksamhetsområdeschef eko- nomi och controlling, säkerhetsskyddschef, dataskyddsombud, in- formationssäkerhetsansvarig och chefsjurist. Denna linje ger råd och stöd till den första ansvarslinjen, ger rekommendationer kring hur verksamheten kan utvecklas för att stärka den interna kontrollen och styrningen samt ansvarar för att regelbundet följa upp åtgärder och rapportera till generaldirektören samt i vissa fall till styrelsen. Bland annat anges att Verksamhetsområde Säkerhet ansvarar för riskhantering, kontroll och uppföljning av regelverk inom områdena säkerhet, säkerhetsskydd, informationssäkerhet, dataskydd och beredskap.
Den tredje ansvarslinjen utgörs av Internrevisionen som på upp- drag av styrelsen granskar första och andra ansvarslinjernas arbete samt genomför granskningar enligt den revisionsplan som styrelsen har beslutat.
226Avsnitt 2.1 riktlinjen.
106
Ds 2026:2 | Den interna styrningen och kontrollen |
Verksamhetsområde ekonomi och controlling har ansvar för myndighetens övergripande riskhantering och samlade riskrappor- tering i enlighet med förordningen om intern styrning och kontroll.227 Arbetet med riskhantering ska bidra till att Lantmäteriet i rätt tid identifierar och hanterar risker som hindrar myndigheten från att fullgöra sina uppgifter, uppnå verksamhetsmålen eller uppfylla verksamhetskraven. Det innefattar att tillsammans med första ansvarslinjen genomföra och dokumentera en årlig myndig- hetsövergripande riskanalys och tillhörande internkontrollplan med åtgärder för uppföljning och kontroll av risker och att följa upp att identifierade åtgärder för riskhantering genomförs.228 Lantmäteriets riskområden anges i samma avsnitt vara strategiska risker, redo- visningsrisker, operativa risker och legala risker. Operativa risker anges som risker till följd av icke ändamålsenliga eller felaktiga system eller processer, informationssäkerhet, människor eller yttre händelser.
Bland andra chefsjuristen samordnar uppföljningen av regelefter- levnad och rapporterar löpande utfallet av uppföljningen till general- direktören, och årligen eller vid behov till styrelsen. Syftet med upp- följningen är att säkerställa att legalitetsprincipen följs och att frågan om regelefterlevnad följs upp inom hela myndigheten på ett så enhetligt och ändamålsenligt sätt som möjligt.229
Varje chef med verksamhetsansvar ansvarar för att säkerställa re- gelefterlevnaden inom det egna verksamhetsområdet, enheten, funktionen eller gruppen. Det innefattar att identifiera och bedöma risker för bristande regelefterlevnad av tillämpliga interna och externa regelverk.230
Verksamhetsområdeschefen för ekonomi och controlling, chefs- juristen, säkerhetsskyddschefen samt dataskyddsombudet ska rap- portera till generaldirektören och styrelsen med en frekvens minst enligt en tabell i riktlinjen.231 Redovisning av analyser, kontroller och den myndighetsinterna tillsynen som har gjorts avseende Lantmäte- riets säkerhetsskydd och beredskap ska skriftligen rapporteras av sä- kerhetsskyddschefen till styrelsen en gång årligen eller vid behov. Information om väsentliga risker, brister, incidenter och iakttagelser
227Avsnitt 3 riktlinjen.
228Avsnitt 3.1 riktlinjen.
229Avsnitt 4.1 riktlinjen
230Avsnitt 4.2 riktlinjen.
231Avsnitt 5.1 riktlinjen
107
Den interna styrningen och kontrollen | Ds 2026:2 |
ska skriftligen rapporteras av angivet område till generaldirektören löpande och vid särskilda händelser. Statusrapport om löpande arbe- te, såsom analyser, kontroller och den myndighetsinterna tillsynen ska lämnas av angivet område dataskydd vid behov.232
Årsrapport intern styrning och kontroll utgör underlag till sty- relsens årliga bedömning av myndighetens interna styrning och kontroll och ska minst innehålla en beskrivning av identifierade ris- ker för det gångna verksamhetsåret, åtgärder som rekommenderas samt uppföljning av vidtagna åtgärder, sammanfattning av rapporte- ring för visselblåsarfunktionen och den samordnade uppföljningen avseende regelefterlevnad, samt en sammanfattning av rapportering av löpande arbete (analyser, kontroller och myndighetsintern tillsyn avseende säkerhet, säkerhetsskydd och beredskap). Den myndig- hetsövergripande riskanalysen och tillhörande internkontrollplan ska minst innehålla identifierade väsentliga risker för det kommande verksamhetsåret som hindrar myndigheten från att fullgöra sina uppgifter, uppnå verksamhetens mål eller uppfylla verksamhets- kraven och rekommenderade åtgärder för att hantera de identifiera- de riskerna, ansvar för genomförande och tidplan för uppföljning.233
6.3Brister i den interna styrningen och kontrollen
Internrevisionen har vid flera av sina granskningar konstaterat bris- ter i den interna styrningen och kontrollen hos Lantmäteriet och re- dogjort för dessa i revisionsrapporterna Behörigheter och behörig- hetsadministration,234 Styrande dokument del I-III,235 Säkerhets- skyddad upphandling,236 Intern styrning och kontroll,237 Säkerställ- ande av regelefterlevnad,238 Applikationslivscykelhantering,239 Ären-
232Avsnitt 5.2 riktlinjen
233Avsnitt 5.3 riktlinjen.
234Internrevisionens revisionsrapport Behörigheter och behörighetsadministration den 28 juni 2019, LM2019/004334.
235Internrevisionens revisionsrapport Styrande dokument, del 1-Struktur den 10 oktober 2019, LM2019/013890, del 2-Interna beslut den 22 april 2020, LM2020/007667 och del 3- Effektuerande och uppföljning av interna beslut den 2 juli 2020, LM2020/015171.
236Internrevisionens revisionsrapport Säkerhetsskyddad upphandling den 12 mars 2020, LM2020/003957.
237Internrevisionens revisionsrapport Intern styrning och kontroll den 31 oktober 2019, LM2019/017228.
238Internrevisionens revisionsrapport Säkerställande av regelefterlevnad den 20 december 2021, LM2021/050144.
239Internrevisionens revisionsrapport Applikationslivscykelhantering den 17 maj 2022, LM2022/021558.
108
Ds 2026:2 | Den interna styrningen och kontrollen |
deberedning och beslutsunderlag240, Licenshantering241 och Priori- tering av utvecklingsportföljen.242 Det finns inte anledning att re- dogöra för samtliga interrevisionsrapporter i detalj men sammanfatt- ningsvis kan följande brister och bedömningar som internrevisionen noterat nämnas.
•Brister inom dokumentation och rutiner för att tilldela, förändra och återta behörigheter, både vanliga och priviligierade. Ett otyd- ligt definierat ansvar avseende att utveckla och ajourhålla styran- de dokument, att säkerställa efterlevnaden i processerna samt för genomförande av enskilda arbetsmoment bidrar till dessa brister. En rekommendation (av flera) är att utvärdera och utveckla ans- varsfördelningen för styrande dokument inom behörigheter samt dokumentera och implementera rutiner som säkerställer att sty- rande dokument ajourhålls.243
•Brister inom övergripande struktur, rutiner för att anta, förändra och uppdatera styrande dokument samt inom dokumenthante- ring och tillgängliggörande. Lantmäteriets definition av styrande dokument bedöms otillräcklig, det saknas riktlinjer, rutiner för ajourhållande och uppföljning samt ett tydligt definierat ansvar för området.244
•Brister inom dokumentation, kännedom om regler och riktlinjer, praktiskt genomförande samt uppföljning och analys. Processen för intern styrning och kontroll avseende delarna kontrollåtgär- der, uppföljning och korruption, otillbörlig påverkan, bedrägeri och oegentligheter är inte tillfredställande. Ansvarsbeskriv- ningarna tillämpar inte på ett tydligt sätt modellen med tre ans- varslinjer. Olika delar av organisationen har kommit olika långt i att implementera och följa riktlinjerna för riskhantering i verk- samheten.245
•Internrevisionen har inom området säkerhetsskyddad upphand- ling inte funnit någon delegation till linjechef gällande ansvaret
240Internrevisionens Revisionsrapport Ärendeberedning och beslutsunderlag den 9 december 2022, LM2022/056625.
241Internrevisionens Revisionsrapport Licenshantering den 10 mars 2023, LM2022/061403.
242Internrevisionens revisionsrapport Prioritering av utvecklingsportföljen den 25 april 2023, LM2023/020582.
243Internrevisionens revisionsrapport Behörigheter och behörighetsadministration, s. 3–4.
244Internrevisionens revisionsrapport Styrande dokument, del 1-Struktur, s. 2.
245Internrevisionens revisionsrapport Intern styrning och kontroll, s. 2, 8, 10 och 13.
109
Den interna styrningen och kontrollen | Ds 2026:2 |
för säkerhet och säkerhetsskyddet. Om delegering inte skett lig- ger således ansvaret kvar på myndighetens ledning. Myndigheten bör tydliggöra ansvarsfördelning och roller inom området. Uti- från förtydligandet bör även beslut och övriga styrande doku- ment anpassas och ensas.246
•Brister avseende definierat ansvar för processen för beslut, det in- terna regelverket och stöddokumentation. Arbetsordning och beslutsordning ger ett bristande stöd i definition av roller, ansvar och befogenheter. Detta sammantaget med det stora antal dele- gationsbeslut som förekommer, varav många är inaktuella, gör att det är svårt att veta vem som har befogenhet att fatta beslut. Ans- varet för besluts giltighet över tid är inte tydligt och det finns bristande rutiner för att upphäva beslut vilket medför att det före- kommer inaktuella beslut och det saknas kontrollåtgärder som förebygger detta. Lantmäteriet saknar även förteckning över gäl- lande beslut.247
•Internrevisionen har inte funnit någon övergripande strukturerad och enhetlig process för effektuerande och uppföljning av interna beslut. Det saknas ett definierat ansvar för området och det råder olika syn inom myndigheten på hur ansvaret för det praktiska ar- betet med både effektuerande och uppföljning är fördelat. Defi- nition eller kriterier för vad som utgör ett väsentligt beslut som föranleder att det behöver följas upp saknas.248
•Det finns inte vid Lantmäteriet någon verksamhet med ett utpe- kat ansvar för uppföljning av regelefterlevnad, motsvarande en
”compliancefunktion”; en andra ansvarslinje. Det saknas en lant- mäteriövergripande process för att säkerställa regelefterlevnad samt rutiner för att anpassa verksamheten till regelförändringar. Förteckning saknas över vilka lagar, förordningar och föreskrif- ter som påverkar Lantmäteriet likväl som ett uttalat ansvar för att bevaka regelverksförändringar. Arbetsordningen249 reglerar att det är styrelsen som ansvarar för att Lantmäteriet följer myndig- hetsförordningen och således även gällande rätt (lagefterlevnad)
246Internrevisionens revisionsrapport Säkerhetsskyddad upphandling, s. 6.
247Internrevisionens revisionspromemoria Styrande dokument, del 2-Interna beslut, s. 2.
248Internrevisionens revisionsrapport Styrande dokument, del 3-Effektuerande och uppföljning av interna beslut, s. 2.
249Här avses Lantmäteriets arbetsordning 2021:1, LM2021/009167, med ikraftträdande den
1maj 2021.
110
Ds 2026:2 | Den interna styrningen och kontrollen |
samt att det är generaldirektören som sköter den löpande förvalt- ningen enligt styrelsens direktiv och riktlinjer. Hur regelefterlev- nad ska säkerställas finns inte beskrivet i arbetsordningen. Det framgår inte heller uttryckligen som en av generaldirektörens ar- betsuppgifter. Internrevisionen har utöver arbetsordningen inte funnit några särskilda direktiv eller riktlinjer från styrelsen som tydliggör att säkerställande av regelefterlevnad ingår i generaldi- rektörens ansvar. Det finns för få jurister som tar ansvar för hela myndigheten och det saknas en rättsavdelning eller motsvarande som tar det övergripande ansvaret för regelefterlevnad.250
•Det saknas en definierad beredningsordning, tydlighet i hur be- redningsarbetet ska gå till och hur beslutsunderlag ska kvalitets- säkras. Även roller och ansvar kan förtydligas, exempelvis vilket ansvar en föredragande har för ärendets beredning och besluts- underlag. En tydlig och dokumenterad struktur för ärendebered- ning och framtagande av beslutsunderlag skulle enligt internrevi- sion kunna öka kvalitet, transparens och spårbarheten i hur ären- den har beretts och beslutsunderlaget kvalitetssäkrats vilket i slutändan även kan ge mer välgrundade och spårbara beslut. Lant- mäteriet har inte på ett enkelt och rättvisande sätt haft möjlighet att ta fram samtliga beslut som generaldirektören fattat när de ef- terfrågats vilket enligt internrevisionens bedömning är en brist i möjligheten att eftersöka beslutshandlingar.251
6.4Internrevisionens uppföljning av Lantmäteriets åtgärdsarbete
Under 2024, tertial 1, genomförde internrevisionen en större upp- följning av de åtgärder som beslutats av styrelsen med anledning av internrevisionens rekommendationer. I rapporten från denna anför- de internrevisionen följande.
Mognadsgraden och förståelsen för intern styrning och kontroll varie- rar inom myndigheten, men den är generellt sett låg. Ett omfattande arbete inom myndigheten kvarstår för att genomföra de åtgärder som krävs för att sammantaget förbättra den interna styrningen och kont- rollen och skapa en god förvaltningskultur.
250Internrevisionens revisionsrapport Säkerställande av regelefterlevnad, s. 2, 6, 9.
251Revisionsrapport Ärendeberedning och beslutsunderlag, s. 2, 6.
111
Den interna styrningen och kontrollen | Ds 2026:2 |
De direkt avgörande delarna för att den interna styrningen ska få ef- fekt såsom implementering, kommunikation och utbildningsinsatser samt förändring av processer och arbetssätt har utifrån uppföljningen visat sig bristande. De styrande dokumenten tjänar inget syfte om de inte är kända, tillämpas och efterlevs. Därtill ser internrevisionen att det inom några väsentliga områden saknas strategisk inriktning och doku- menterade strategier att koppla underliggande styrning mot, exempelvis riktlinjer. Även detta bedöms ge en negativ inverkan på styrningen.
Trots att rekommendationer avslutats i samband med uppföljningen är internrevisionens bedömning att ett flertal av de risker som föranlett de avlämnade rekommendationerna kvarstår även efter myndighetens åtgärdsarbete. Det är en följd av att åtgärderna i många fall varit otydligt formulerade eller specificerade varpå det varit en definitionsfråga vad som ska göras, vilket även försvårat såväl genomförandet av åtgärdsar- betet som möjligheten till uppföljning. För vissa åtgärder är dock in- ternrevisionens uppfattning att verksamhetens ambitionsnivå varit låg och att en åtgärdsplan snarare tagits fram för att hantera internrevisio- nens iakttagelser och rekommendationer än att faktiskt åtgärda de bris- ter som adresseras.
Internrevisionen gör utifrån uppföljningen ett antal iakttagelser.
En stor del av de beslutade åtgärderna har passerat sin tidplan, exem- pelvis Intern styrning och kontroll, Behörigheter och behörighetsadmi- nistration och Säkerhetsskyddad upphandling.
Verksamheten har angivit att åtgärdsarbetet är slutfört trots att det vid uppföljningen inte visar sig stämma.
Verksamheten har själva ändrat de tidplaner och åtgärder styrelsen beslutat om utan att styrelsen informerats, exempelvis Styrande doku- ment del III – effektuerande och uppföljning.
Uppföljningen påvisar att framdriften i myndighetens åtgärdsarbete kopplat till internrevisionens rekommendationer i flertalet tillfällen varit bristande och i flera fall obefintlig. Enligt internrevisionens be- dömning kan detta till del sannolikt hänföras till att myndigheten under en längre tid har saknat både arbetssätt och en utpekad person från myn- dighetens sida som håller samman och driver på myndigheten arbete. Under första tertialet 2024 har en sådan roll införts vilket förhopp- ningsvis kan bidra till att skapa bättre ordning, struktur och i förläng- ningen även framdrift i myndighetens åtgärdsarbete.
En ytterligare anledning till den bristfälliga framdriften kan sannolikt hänföras till bristande prioritering och resurstillsättning av åtgärdsarbe- tet och att det i flera fall inte inarbetats i ordinarie verksamhetsplaner. Arbetet med åtgärder med anledning av internrevisionens rekommen- dationer har ofta hanterats vid sidan av ordinarie linjeverksamhet.
En tredje potentiell anledning kopplat till prioritering är att myndig- heten de facto nästan uteslutande tagit fram åtgärder för samtliga in- ternrevisionens rekommendationer. Internrevisionen ser i grunden positivt på att myndigheten visar en ambition att hantera de brister och den förbättringspotential som internrevisionen lyfter. Givet den låga framdriften skulle dock myndigheten sannolikt vara betjänt av att redan
112
Ds 2026:2 | Den interna styrningen och kontrollen |
vid framtagandet av åtgärdsplanerna prioritera vilka rekommendationer myndigheten faktiskt vill, måste och kan hantera. Utöver detta bör det då framgå vilka risker myndigheten väljer att acceptera, så det blir tydligt för styrelsen i samband med att myndighetens svar presenteras.252
6.5Genomlysning av Lantmäteriets interna styrning och kontroll
Myndighetsledningen vid Lantmäteriet hade sett ett behov av att göra en genomlysning av hur den interna styrningen och kontrollen är organiserad och hur den fungerar. Styrelsen hade noterat brister inom området, med bland annat referens till internrevisionens upp- följning.
Genomlysningen gjordes av en extern granskare från Sjöfartsver- ket.253 Sammanfattningsvis lämnade granskaren följande rekommen- dationer för att stärka förutsättningarna för en väl fungerande intern styrning och kontroll vid Lantmäteriet:
•att renodla organiseringen på central nivå för hur arbete med in- tern styrning och kontroll ska drivas,
•att omprioritera resurser från verksamhetsområdesnivå till cent- ral nivå för att på så sätt stärka den centrala styrningen och upp- följningen,
•att bredda arbetet som bedrivs enligt förordningen om intern styrning och kontroll från enbart övergripande riskanalys kopplat till målen i verksamhetsplan till att även innefatta risker kopplade till risk för fel i processer,
•att klargöra hur intern styrning och kontroll kopplat till lagefter- levnad ska gå till, vilket också kan ha effekter på hur den rättsliga styrningen och stödet ska organiseras, samt
•att utveckla återrapporteringen till styrelsen så att årsrapporten Intern styrning och kontroll inte endast innehåller en redogörelse för vilka aktiviteter som är vidtagna under året utan också en re- dogörelse för resultatet av dessa aktiviteter inklusive bedömning.
252Internrevisionens uppföljning av Lantmäteriets åtgärdsarbete utifrån internrevisionens rekommendationer, Tertial 1 2024, den 31 maj 2024, LM2024/029575, s. 2–3.
253Genomlysning av Lantmäteriets interna styrning och kontroll, promemoria av Mikael Andersson, Sjöfartsverket, den 17 december 2024, LM2024/072534, s. 5–19.
113
Den interna styrningen och kontrollen | Ds 2026:2 |
Uppdragets andra del handlade om att granska om Lantmäteriet har ett fungerande arbetssätt för att hantera rekommendationer från in- ternrevisionen. I syfte att stärka förutsättningarna för att Lantmäte- riet hanterar rekommendationer från internrevisionen effektivt och ändamålsenligt rekommenderade utredaren sammanfattningsvis föl- jande:
•att den nya processen för myndighetens hantering av internrevi- sionsgranskningar implementeras i sina olika delar och får sin plats inom ramen för en eventuellt förändrad och förstärkt cent- ral styrning,
•att internrevisionen, generaldirektören och styrelsen skapar en större samsyn kring myndighetens risker och vilka risker som det är relevant och lämpligt att internrevisionen granskar och vid vil- ken tidpunkt, samt
•att internrevisionen, verksamheten och styrelsen konkluderar vad som är en rimlig och ändamålsenlig nivå på hur internrevisionens rekommendationer ska formuleras. Det kan med fördel kombi- neras med en översyn av internrevisionens arbetssätt för att be- vaka framdriften i verksamhetens åtgärdsarbete.
Vidare förde utredaren fram följande.
I normalfallet har internrevisionen och generaldirektören en lö- pande dialog där internrevisionen kan presentera sina slutsatser och bedömningar innan de presenteras för styrelsen. Generaldirektören
åandra sidan behöver löpande informera internrevisionen om vä- sentliga frågor för att internrevisionen ska kunna förstå verksamhe- tens utmaningar och prioriteringar. Internrevisionens rätt till infor- mation framgår av Riktlinjer för internrevision: ”Internrevisionen har rätt att ta del av information och dokument samt delta vid de möten som bedöms vara nödvändiga för att utföra uppdraget.” Om dialogen mellan styrelsen, generaldirektören och internrevisionen kan utvecklas kommer det också att ge positiva effekter på myndig- hetens arbete med intern styrning och kontroll.254
254Genomlysning av Lantmäteriets interna styrning och kontroll, promemoria av Mikael Andersson, Sjöfartsverket den 17 december 2024, LM2024/072534, s. 5–19.
114
Ds 2026:2 | Den interna styrningen och kontrollen |
6.6Riksrevisionen angående den interna styrningen och kontrollen
Riksrevisionen har i sin revisionsberättelse för Lantmäteriet för 2024 gjort ett uttalande ”med reservation” om ledningens bedömning av intern styrning och kontroll och bedömt att Lantmäteriet inte har följt förordningen om intern styrning och kontroll. Grunden för det uppges vara att Lantmäteriets ledning i årsredovisningen för 2024 bedömt att det har funnits väsentliga brister i den interna styrningen och kontrollen under den period som årsredovisningen avser. De brister som ledningen beskriver är att det saknas en välfungerande och effektiv process, organisation samt ledningskultur för intern styrning och kontroll. Detta anses inte förenligt med 2 § förord- ningen om intern styrning och kontroll.255
6.7Vilka åtgärder har Lantmäteriet vidtagit inom området?
6.7.1Åtgärder som nämns i den senaste årsredovisningen
I årsredovisningen för 2024256 anges bland annat följande under rub- riken Intern styrning och kontroll.
Lantmäteriets styrelse har under verksamhetsåret 2024 noterat vä- sentliga brister i intern styrning och kontroll. Bristerna bedöms finnas i såväl organisation som riskhantering, processer och ledningskultur.
Generaldirektörens rapportering av handläggningen av flertalet in- komna visselblåsarärenden och hanteringen av den särskilda händelsen har successivt förstärkt styrelsens bild av brister i intern styrning och kontroll. Styrelsen har löpande vidtagit ett antal åtgärder.
Styrelsen uppdrog, med anledning av i mars inkomna visselblåsar- ärenden, åt chefen för internrevisionen att återkomma med en upp- dragsbeskrivning för en granskning av intern styrning och kontroll. I maj informerades styrelsen för första gången om allvarliga risker kopp- lat till elektroniskt utlämnande av handlingar via vissa digitala tjänster. Styrelsen observerade att den bakomliggande hanteringen av dessa risker pekade på dels brister inom Lantmäteriets interna styrning och kontroll, dels brister i agerandet gentemot styrelsen.
I juni visade internrevisionens uppföljning av verksamhetens genom- förande av handlingsplaner, kopplat till tidigare revisioner, på allvarliga avvikelser både avseende tidplan och genomförande. Mot bakgrund av
255Revisionsberättelse för Lantmäteriet 2024, den 21 mars 2025, dnr 3.1.2-2024-195.
256LM2025/006013, s. 54–56.
115
Den interna styrningen och kontrollen | Ds 2026:2 |
styrelsens överläggning avseende bristerna inom intern styrning och kontroll beslöt styrelsen att ge ett uppdrag till generaldirektören att genomföra en extern genomlysning av intern styrning och kontroll inom Lantmäteriet.
Styrelsen gav, med anledning av i december inkomna visselblåsarären- den, myndigheten i uppdrag att handlägga dessa visselblåsarärenden genom en extern aktör.257
I början av 2024 utsåg Lantmäteriet en sammanhållande resurs till myndighetens arbete med internrevisionsgranskningar. En ny process togs fram utifrån brister som myndigheten identifierat i den tidigare processen. De konstaterade bristerna bekräftades även av internrevisio- nens uppföljande granskningsrapport (juni 2024) som omfattade ett flertal äldre granskningar.
Under maj-september 2024 genomfördes en intern utredning och analys av Lantmäteriets myndighetsgemensamma verksamhetsområ- den. Syftet med utredningen var bland annat att se vilka eventuella be- hov av förbättring avseende ett enhetligt och effektivt stöd som finns, se över organiseringen av myndighetsgemensam verksamhet inklusive ledningsstrukturen för att optimera verksamheten och tydliggöra roller och ansvar.
Utredningen visade bland annat att en förändring vad gäller verksam- hetsstyrningen behöver genomföras. Det saknas interna förutsätt- ningar, såsom personella resurser, tydliga mandat och arbetssätt för att ha en väl fungerande och effektiv process för intern styrning och kont- roll. För ökad enhetlighet och samordning på Lantmäteriets övergri- pande arbete med exempelvis verksamhetsplanering/uppföljning, stra- tegisk planering, remisshantering, övergripande analyser behöver en tydlig lednings- och styrningsstruktur tas fram. Utredningen ger förslag på åtgärder och organisering för ökad tydlighet, enhetlighet och effek- tivisering. Relevanta delar av förslagen ingår i den genomförandeplan som är under framtagande utifrån genomlysningen av Lantmäteriets in- terna styrning och kontroll.258
6.7.2Åtgärder som redovisats till regeringen 2025
Lantmäteriet fick i regleringsbrev för budgetåret 2025 i uppdrag av regeringen att redovisa hur arbetet fortskrider med att stärka den in- terna styrningen och kontrollen för att främja en god förvaltnings- kultur. I en första delredovisning av två skulle myndigheten beskriva hittills vidtagna åtgärder med anledning av det arbete som hade ini- tierats av styrelsen mot bakgrund av internrevisionens iakttagelser. Den andra delredovisningen skulle fokusera på ledningssystem för
257Se avsnitt 10.5.
258Se avsnitt 6.5.
116
Ds 2026:2 | Den interna styrningen och kontrollen |
verksamhetsstyrningen, god intern miljö och riskhantering. Dess- utom skulle redovisas en analys av befintlig funktionalitet inom fokusområdena och vid behov föreslås åtgärder för att säkerställa dessa funktioner.259
Delredovisning 1
I delredovisningen260 återkopplade Lantmäteriet inledningsvis till de åtgärder som den tidigare nämnda genomlysningen rekommende- rade.261 Sammanfattningsvis framgår följande av redovisningen.
Myndigheten planerade att genomföra en översyn av verksam- hetsplaneringsprocessen under våren 2025 som skulle ligga till grund för planeringsförutsättningar inför verksamhetsplaneringen 2026. Som ett stöd till generaldirektören hade styrelsen lämnat internrevi- sionen ett rådgivningsuppdrag inom ramen för området. Rådgiv- ningsuppdraget syftade till att bedöma hur Lantmäteriets process och organisering för verksamhetsstyrning och uppföljning kan ut- vecklas, effektiviseras och ske med en betryggande intern styrning och kontroll. Lantmäteriet hade rekryterat en ny verksamhetsområ- deschef för ekonomi som skulle leda arbetet inom utvecklingsom- rådet. Under hösten 2024 genomfördes en översyn av organisering för myndighetsgemensam verksamhet. Syftet med översynen var att identifiera och föreslå effektivare organisationsformer vilket skulle förbättra även förutsättningarna för arbetet med den interna styr- ningen och kontrollen. Några förändringar genomfördes inte med anledning av översynen.262
Delredovisning 2
Sammanfattningsvis anges bland annat följande i denna redovis- ning.263
259Regleringsbrev för budgetåret 2025 avseende Lantmäteriet den 19 december 2024, LI2024/02309 (delvis), LI2024/02395.
260Delredovisning 1, Intern styrning och kontroll, den 12 februari 2025, LM2025/008373.
261Se avsnitt 6.5.
262Enligt information från Lantmäteriet i december 2025 berodde detta på att frågan blev nedprioriterad på grund av hanteringen av den särskilda händelsen. Hur organiseringen av den myndighetsgemensamma verksamheten ser ut i januari 2026 framgår av avsnitt 4.3.4.
263Delredovisning 2 Intern styrning och kontroll den 14 maj 2025, LM2025/008373.
117
Den interna styrningen och kontrollen | Ds 2026:2 |
Lantmäteriet arbetar med en översyn av strukturen för verksamhets- planen som kommer att ligga till grund för planeringsförutsättningar inför verksamhetsplaneringen 2026. Planen är att myndigheten kommer att ha fyra mål varav tre är nya och tydligare identifierade. Målen kom- mer att beskrivas utifrån ett nuläge och önskat läge. Lantmäteriets upp- följningsprocess kommer bland annat att kompletteras med ytterligare ett moment bestående av en GD-dialog för att säkerställa att general- direktören får förbättrad insyn i och kontroll över verksamhetens mål- uppfyllelse.
Lantmäteriet har identifierat att förutsättningarna att efterleva den interna styrningen kan förbättras genom ökad tydlighet i lednings- systemet. I en tidigare internutredning264 om organisationsöversyn hade konstaterats att Lantmäteriets val att organisera verksamheten inte till fullo återspeglades i myndighetens arbetsordning och delegationsord- ning. Enligt internutredningen fanns det även förväntningar i verksam- heten som inte överensstämde med vare sig arbets- eller delegations- ordningen eller befintlig organisationsform. Detta ansågs kunna vara en orsak till att det inom myndigheten förekom upplevd otydlighet i roller, uppdrag och ansvar. Utifrån enkätundersökningar riktade till myn- dighetens informationsägare och chefer under våren 2025 drogs bland andra slutsatserna att det förekommer oreglerade ansvarsroller på myn- digheten som föranleder oklara förutsättningar att bära rollanknutet och upplevt ansvar, olika reglerade ansvarsroller överlappar varandra vilket exempelvis kan bidra till att ansvaret hamnar mellan stolarna, verksamhetsansvariga chefer upplever att det egna ansvarsområdet inte är tydligt reglerat, ansvar kopplat till en roll möts inte av motsvarande mandat eller också är mandatet otydligt beskrivet samt att kunskaps- nivån och förståelsen för interna styrande dokument, roller, ansvar och arbetssätt behöver höjas. Myndighetens ledningssystem för verksam- hetsstyrning har brister. Det försvårar myndighetsledningens möjlighe- ter att säkerställa en välfungerande intern styrning och kontroll och myndighetanställdas förutsättningar att efterleva den interna styr- ningen. Inom ramen för projektet, det vill säga en översyn av bland an- nat Lantmäteriets övergripande styrande dokument, skulle även myn- dighetens arbetsordning och delegationsordning samt relaterad doku- mentation ses över.
Det finns i dag informations- och utbildningsmaterial kopplat till god förvaltningskultur, men materialet behöver stärkas och utvecklas för att ge ett mer heltäckande stöd. Det kan vara en bidragande orsak till otyd- lighet i innebörden av chefsansvaret. Och det kan i sin tur få konsek- venser särskilt vad gäller intern styrning och kontroll. Dessutom saknas konkreta gemensamma definitioner av vad en god förvaltningskultur samt intern styrning och kontroll innebär för Lantmäteriet. Det riskerar att skapa variationer i tolkning och tillämpning, vilket kan påverka både regelefterlevnad och tilliten till styrningen. För att säkerställa en sam-
264Översyn och förslag på organisering av Lantmäteriets myndighetsgemensamma verksamhetsområden, PM den 28 oktober 2024, LM2024/059383. Se avsnitt 4.5.
118
Ds 2026:2 | Den interna styrningen och kontrollen |
manhållen styrning krävs förtydliganden, kompetensutveckling och ett gemensamt språk kring myndighetsansvar, riskmedvetenhet och styr- ning i en föränderlig omvärld. Lantmäteriet har startat ett arbete som syftar till att stärka Lantmäteriets interna styrning och kontroll genom att utveckla en gemensam förståelse för vad god förvaltningskultur innebär i praktiken. Det handlar om att förtydliga chefsrollens ansvar i en förvaltningsmyndighet och öka förståelsen för hur statlig styrning, regelefterlevnad och organisatorisk kultur samverkar. Uppdraget om- fattar behovsanalys, kartläggning av befintlig information och utbild- ningsmaterial samt utveckling av ett koncept för kompetenshöjande in- satser.265 Resultatet ska bidra till en stärkt förvaltningskultur där regel- efterlevnad, ansvarstagande och helhetssyn präglar styrningen av verk- samheten.
I delredovisningen tas upp även hur förutsättningarna för regel- efterlevnad skulle stärkas under 2025 inom myndighetens olika verk- samheter. Det anges vidare att arbete pågår med att ta fram kompe- tenshöjande insatser i form av utbildning med fokus på beslutsfat- tande samt stöddokument som riktar sig till myndighetens besluts- fattare. Ett annat initiativ som inletts är att stärka medarbetares kun- skap om de övergripande regelverk som styr Lantmäteriet. Därför hade en översyn av befintlig introduktionsutbildning genomförts. Utifrån iakttagelserna i översynen skulle delar av introduktions- utbildningen revideras i syfte att bredda utbildningens fokus från service till övriga delar av den statliga värdegrunden samt Lantmä- teriets uppdrag.266 Som en del i detta arbete hade en utbildning om allmänna handlingar nu också inkluderats i myndighetens obliga- toriska utbildningspaket. Alla medarbetare förväntades gå utbild- ningen.267 Arbete pågår med att ta fram enhetliga rutiner för en sam- ordnad och regelbunden uppföljning av regelefterlevnad inom myn-
265Under våren 2025 gjordes övervägningar mellan olika upplägg för att nå en kunskapsför- stärkning. Innan en slutlig bedömning gjordes kring utbildning eller andra alternativ, gjordes en inventering av befintliga utbildningar som ger cheferna förutsättningar för att stötta en god förvaltningskultur. Den preliminära bedömningen utifrån inventeringen är att den kompletterande information som behövs, i stället lämpar sig för en informationssida på Insikten som kan användas vid kunskapshöjande insatser och länkas till olika ämnen som gynnar en god förvaltningskultur. Information från Lantmäteriet i december 2025.
266Den statliga värdegrunden ingår i utbildningar ”Ny på Lantmäteriet” och den obligatoriska utbildningen ”Din roll i staten” från Statskontoret. Det som enligt Lantmäteriet kvarstår är önskemål om en kompletterande filmad del som lägger fokus på regelefterlevnad i beslutsfattande. Frågan är under arbete. En del mindre uppdateringar i samma syfte är redan gjorda och en revidering är planerad i samband med att all introduktionsutbildning ses över under 2026. Information från Lantmäteriet i december 2025.
267I juni 2025 hade 91 procent av målgruppen genomfört utbildningen. Information från Lantmäteriet i december 2025.
119
Den interna styrningen och kontrollen | Ds 2026:2 |
digheten. Slutligen pågår utveckling av en myndighetsövergripande process som syftar till att bidra till enhetlig implementering och uppföljning av författningsändringar som berör myndigheten.
Slutlig redovisning av regeringsuppdraget
Uppdraget ska slutredovisas till regeringen senast den 16 februari 2026.
6.7.3Lantmäteriets åtgärder efter genomlysningen av den interna styrningen och kontrollen
Chefen för verksamhetsområde Ekonomi och controlling fick i upp- drag av den vikarierande generaldirektören att leda arbetet inom om- rådet intern styrning och kontroll. Arbetet är ett projekt som om- händertar både uppdraget i regleringsbrevet och den gjorda genom- lysningen. Den genomförandeplan som arbetats fram tas inte upp i detalj här.268
På vår begäran har Lantmäteriet i november 2025 redogjort för genomförda och pågående åtgärder för att förbättra den interna styr- ningen och kontrollen. I redogörelsen anges följande.
Förändrad organisation
Den juridiska kompetensen inom myndigheten har centraliserats under ett enda verksamhetsområde som kommer ledas av en rättschef. Ett syfte med förändringen är att myndigheten snabbare ska kunna ”döma av” rättsliga frågor där de olika verksamhetsområdena gör olika bedöm- ningar. Förändringen avser vidare att skapa förutsättningar för en mer samordnad styrning av resurserna och ett mer samordnat rättsligt stöd till verksamheten i olika frågor. Med en starkare rättslig styrning och ett stärkt rättsligt stöd till hela verksamheten bedöms även myndighetens förmåga att säkerställa regelefterlevnad samt upprätthålla en god intern styrning och kontroll förbättras. Rekrytering av chefsjurist/Rättschef pågår.
En uppdaterad ansvars- och delegationsordning kommer under 2026 att implementeras efter beslut i styrelsen. Det syftar till att tydliggöra ansvar och mandat inom myndigheten.
I enlighet med tidigare beslut om att centralisera frågor om intern styrning och kontroll har enheten Verksamhetsstyrning och internkon-
268Myndighetens genomförandeplan för styrelseuppdraget ”Genomlysning av Lantmäteriets interna styrning och kontroll” den 2 juni 2025, LM2025/066848.
120
Ds 2026:2 | Den interna styrningen och kontrollen |
troll inrättats. Chef är rekryterad. Uppdraget innefattar ett övergri- pande stöd till generaldirektören och myndighetsledningen. Syftet är att skapa bättre förutsättningar för en sammanhållen och transparent styr- modell och uppföljning samt bidra till en god förvaltningskultur. En översyn pågår även för att fastställa vilka resurser och kompetenser som bör vara direkt underställda GD och som därmed kan utgöra ett stöd till denne, särskilt i frågor som rör intern styrning och kontroll.
Förbättrad process för styrning, verksamhetsplanering och uppföljning
Under våren 2025 utarbetades nya förflyttningsområden, mål. Målen beskrivs utifrån nuläge och önskat läge. Under hösten 2025 har en ny struktur för myndighetens verksamhetsplan utarbetats. Strukturen tar sin utgångspunkt i förordning med instruktion för Lantmäteriet samt de styrande regleringsbreven med tillhörande uppdrag. Det har gjorts för att stärka kopplingen mellan den externa och interna styrningen samt för att bidra till en ökad förståelse hos alla medarbetare av hur myndigheten styrs och vad som är myndighetens uppdrag. Detta bidrar även till en stärkt förvaltningskultur.
Under hösten har den nuvarande generaldirektören beslutat att införa så kallade GD-dialoger, vilka kommer att ske tertialvis med respektive VO-chef och dennes ledningsgrupp. Vid dessa tillfällen kommer verk- samhetsresultat, ekonomi, riskhantering med mera att följas upp i en statusrapport. Vidare kommer dessa tillfällen att ge den nuvarande ge- neraldirektören möjlighet att lyssna in verksamheten och samtala om aktuella frågor.
Den nuvarande generaldirektören har också infört en berednings- ordning för beslut eller annat ställningstagande från generaldirektören. Beredningsordningen innebär bland annat att varje verksamhetsområde har fasta beredningstider. Det resulterar i att beredningarna hålls ihop och att arbetsmaterial samlas och bevaras centralt av en utsedd bered- ningsansvarig.
En gemensam beredningsordning medför att myndigheten har en systematisk metod för att förbereda ärenden för beredning, med fokus på kvalitet, transparens, effektivitet och tydliga ansvarsområden. Detta kommer sammantaget att medföra bättre beslutsunderlag samt stärka generaldirektörens och myndighetsledningens möjlighet att följa upp verksamheten och måluppfyllelse.
Vidare har lantmäteriets ledningsgrupp genomfört två internatdagar under hösten 2025 med fokus på den interna styrningen och kontrollen, ny beredningsordning, GD-dialog och verksamhetsplan 2026. Detta har gjorts för att det fortsatta arbetet ska ske med utgångspunkt i en gemen- sam plattform.
Översyn av ekonomimodell
Lantmäteriets ekonomistyrning utgår från en gemensam ekonomimo- dell.
121
Den interna styrningen och kontrollen | Ds 2026:2 |
Genom sin utformning påverkar ekonomimodellen såväl den opera- tiva som den strategiska nivån i verksamheten. Den reglerar förutsätt- ningarna för ekonomisk planering, styr incitament för effektivitet och ansvarstagande, samt bidrar till att skapa långsiktighet i resursanvänd- ningen. Modellen fungerar därmed som ett verktyg för att balansera ekonomisk stabilitet med verksamhetsmässig utveckling.
Den nuvarande ekonomimodellen är komplex och stödjer inte fullt ut en effektiv ekonomistyrning. Modellen skapar inte förutsättningar för, och speglar inte myndighetens krav, på en god resultatstyrning. En revidering är därför nödvändig för att säkerställa att ekonomimodellen fortsatt stödjer organisationens mål, skapar en rättvis resursfördelning och främjar en effektiv användning av tillgängliga medel. Under 2026 kommer myndigheten att utvärdera befintlig ekonomimodell och före- slå åtgärder.
6.7.4Årsrapport intern styrning och kontroll 2025
I den senaste årsrapporten om intern styrning och kontroll anges sammanfattningsvis följande.269
Arbetet med intern styrning och kontroll har under 2025 fortsatt att stärka Lantmäteriets struktur, men variationer i tillämpning, ans- varsfördelning och arbetssätt kvarstår. Det finns ett fortsatt behov av en mer enhetlig och förutsägbar styrning där roller, mandat och ansvar är tydliga, samordnade och tillämpas likvärdigt i hela myndig- heten, särskilt i frågor som spänner över flera verksamhetsområden. Flera verksamhetsområden arbetar systematiskt, men samordning, beroenden och praktisk implementering av gemensamma processer, exempelvis verksamhetsplanerings- och uppföljningsprocessen, be- höver förtydligas. Den fördjupade självutvärderingen visar att mog- nadsnivån varierar och att det behövs ytterligare utveckling av pro- cesser, uppföljning och samverkan inom myndigheten. Inom säker- hetsområdet, inklusive säkerhetsskydd, informationssäkerhet och beredskap, har betydande steg tagits, men fortsatt utveckling krävs för att uppnå en helt enhetlig och långsiktigt hållbar förmåga.
Sammantaget bedömer Lantmäteriet att den interna styrningen och kontrollen i huvudsak fungerar och att myndigheten står bättre rustad för att hantera risker och säkerställa god intern styrning och kontroll framåt. Samtidigt lyfts att fortsatt utveckling krävs när det gäller ansvarsfördelning, samordning och processmognad, det vill säga i vilken utsträckning processer är tydligt definierade, kända och
269Årsrapport intern styrning och kontroll den 19 december 2025, LM2025/148643.
122
Ds 2026:2 | Den interna styrningen och kontrollen |
tillämpas på ett enhetligt sätt i hela myndigheten för att stärka myn- dighetens samlade styrning kommande år.
123
7Lantmäteriets digitala system och tjänster
7.1Kapitlets innehåll
I detta avsnitt beskrivs för utredningen relevanta digitala system och tjänster hos Lantmäteriet i huvuddrag. Dessutom redogörs för his- toriken kring digitaliseringen av Lantmäteriets akter.270
7.2Relevanta system och tjänster
Lantmäteriets system och tjänster, varav några har bedömts relevanta för utredningen, kan inledningsvis illustreras med följande skiss:
270Hela avsnittet bygger, där inte annat anges, på information från Lantmäteriet i augusti 2025.
125
Lantmäteriets digitala system och tjänster | Ds 2026:2 |
7.2.1Arken
Arken är ett digitalt förrättningsarkiv som innehåller flera infor- mationsmängder, bland annat arkivakter från fastighetsbildning (från Lantmäteriet och kommunala lantmäterimyndigheter), plan- akter och fastighetsinskrivningsakter. Arken är utvecklad i Lant- mäteriets egen regi. Akterna består av ostrukturerade data i form av bildfiler som inte är sökbara.271
Tillhandahållande av akter ur Arken har kunnat ske dels på begä- ran om utlämnande av allmän handling, dels genom tillhandahållande i olika digitala tjänster, exempelvis AktDirekt och ArkivSök, som beskrivs i skissen ovan samt redogörs för närmare nedan.
De digitala tjänster som är kopplade till Arken är helt eller delvis stängda sedan maj 2024, vilket vi återkommer till i senare kapitel.
Eftersom vårt huvudsakliga fokus är Arken, redogörs närmare för den i kapitel 11.
7.2.2AktDirekt272
AktDirekt, som började användas 2018, hämtar information från Arken och möjliggör för externa användare att hämta arkivakter som är upptagna i fastighetsregistret och integrera informationen i egna system. Tjänsten är utvecklad i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. Tjänsten tillhandahåller arkivakter från fastighetsbildande myndigheter samt planer och bestämmelser. Arkivakterna är enbart sökbara på län och aktbeteckning, vilket in- nebär att den externa användaren måste ha åtkomst till fastighetsre- gistret för att akterna ska vara sökbara på ett enkelt sätt.
AktDirekt integreras även med andra tjänster utvecklade av Lant- mäteriet, exempelvis FR Webb och ArkivSök. Dessa tjänster har både interna användare på Lantmäteriet och externa användare. De användare som har haft tillgång till AktDirekt genom olika tjänster (se mer om detta i kapitel 11) har haft tillgång till samtliga273
271 Jämför Beslut om kriterier för informationssäkerhetsåtgärder avseende Arken den 5 september 2024, LM2024/049935 samt säkerhetsskyddsklassificeringspromemoria LM2024/051840, s. 1.
272Avsnittet om AktDirekt har kompletterats med information från skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken den 29 september 2025.
273Såvida de inte har omfattats av säkerhetsåtgärder i form av att ha varit låsta eller dylikt, se mer om detta i kommande kapitel.
126
Ds 2026:2 | Lantmäteriets digitala system och tjänster |
fastighetsbildningsakter i Arken utan begränsning utifrån geogra- fiskt område eller dylikt.
För att externa användare ska få tillgång till innehållet i AktDirekt görs först en ändamålsprövning. Därefter tecknas avtal med samma villkor och avgifter som ArkivSök (se mer om den tjänsten i det följande).
Det är av tekniska skäl som huvudregel inte möjligt för Lantmä- teriet att se vilken individ som har öppnat en viss arkivakt. Lantmä- teriet tar betalt för den totala användningen av tjänsten och logg- ningen är utformad på ett sätt som gör det möjligt att följa upp det totala antalet öppnade arkivakter per extern användare.
Externa organisationer som har fått tillgång till AktDirekt är bland andra kommuner och myndigheter i övrigt som har ingått geo- datasamverkanavtal med Lantmäteriet, kommersiella aktörer samt andra offentliga aktörer. Kommersiella vidareförädlare är en kategori av aktörer som har ingått avtal med Lantmäteriet och som genom tjänster utformade på sätt som liknar FR Webb säljer informationen vidare. Lantmäteriet känner i dessa fall inte till vilka slutanvändarna är och det finns inte någon möjlighet till loggning på slutanvändar- nivå.
I AktDirekt finns inte några informationssäkerhetsåtgärder av- seende skyddade personuppgifter som gör det möjligt att identifiera skyddsvärda arkivakter innan de tillhandahålls. Den externa åt- komsten till tjänsten stängdes den 24 maj 2024.
Före AktDirekt fanns under perioden 2007–2018 tjänsten ArkenProxy som fungerade på likartat sätt. ArkenProxy var en e- tjänst som erbjöd direktåtkomst till arkivakter i Arken. Via det egna kart- eller fastighetsinformationssystemet kunde användaren, ge- nom att klicka på en aktbeteckning, öppna och ta del av kartor och handlingar.
För att externa användare skulle få tillgång till ArkenProxy ge- nomfördes först en ändamålsprövning och därefter tecknades avtal med samma villkor och avgifter som för tjänsten ArkivSök. Det var inte möjligt för Lantmäteriet att se vilken individ som öppnat en viss arkivakt. På samma sätt som med AktDirekt tog Lantmäteriet betalt för den totala användningen av tjänsten och loggningen var utformad på sätt som gjorde det möjligt att följa upp det totala antalet öppnade arkivakter per extern användare.
127
Lantmäteriets digitala system och tjänster | Ds 2026:2 |
ArkenProxy var begränsad till vad som var registrerat i fastighets- registret. Det innebar att en användare inte kunde se allt historiskt material, eftersom inte alla arkivakter är registrerade i fastighetsre- gistret. Tillhandahållandet var inte begränsat på något annat sätt, till exempel avseende sekretess.
7.2.3ArkivSök274
ArkivSök har funnits sedan 2011 och är en tjänst för interna och externa användare. Tjänsten är utvecklad i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. Tjänsten hämtar infor- mation från Arken och ger åtkomst till kartor, arkivakter från fas- tighetsbildande myndigheter samt planer och bestämmelser.
ArkivSök är en e-tjänst med ett bredare innehåll än AktDirekt och innehåller både akter som är upptagna i fastighetsregistret och sådana akter som inte är det. ArkivSök tillförs kontinuerligt nytt innehåll när arkivakter arkiveras digitalt eller när en analog akt skannas.
Det är inte möjligt att söka på innehållet i arkivakterna, eftersom akterna lagras som bildfiler. Det innebär att arkivakterna måste läsas eller tolkas för att det ska vara möjligt att ta del av innehållet. Lant- mäteriet har inte gjort det möjligt att söka på fastighetsbeteckning eller ägande i ArkivSök.
Det är möjligt att läsa, spara eller skriva ut en kopia av en arkivakt från ArkivSök. För att användare inom Lantmäteriet ska få tillgång till innehållet i Arken behöver den anställdes chef godkänna till- gången. Sådana användare har individuella behörigheter och öppnan- det av en arkivakt loggas. För att externa användare ska få tillgång till innehållet i Arken görs först en ändamålsprövning och sedan tecknas avtal med samma villkor och avgifter som för tjänsten ArkenProxy/Akt Direkt. Externa användare har inte individuella be- hörigheter utan tilldelas normalt ett antal gemensamma behörighe- ter för användarna inom organisationen.
Externa organisationer som har fått tillgång till ArkivSök är bland annat kommuner och andra myndigheter som har ingått i geodata- samverkanavtal med Lantmäteriet, kommersiella aktörer samt vissa
274Avsnittet om ArkivSök bygger delvis på information från Skrivelsen Information om Lant- mäteriets tillhandahållandetjänster rörande Arken som lämnades till utredningen den 29 sep- tember 2025.
128
Ds 2026:2 | Lantmäteriets digitala system och tjänster |
andra offentliga aktörer (exempelvis inom områdena forskning och utveckling samt kultur). I fråga om det sistnämnda är det särskilt svårt att veta vem som fått tillgång till ArkivSök, eftersom det rör sig om användarbehörigheter som nyttjas av exempelvis en högskola.
I ArkivSök finns inte några automatiska kontroller för att identi- fiera arkivakter som innehåller skyddade personuppgifter. Arkivak- terna utgör bildfiler och har därmed heller inte sökbar information som kan användas för att sortera ut arkivakter som innehåller skyd- dade personuppgifter. I de fall en individ har skyddade personupp- gifter vid den tidpunkt ett ärende är under handläggning finns ruti- ner och systemstöd för att säkerställa att den skyddsvärda informa- tionen inte lagras i Arken.
Om det vid handläggningen av ett ärende är känt att akten kommer att innehålla säkerhetsskyddsklassificerade uppgifter finns också rutiner som innebär att akten inte lagras i Arken.
I november år 2023 vidtogs informationssäkerhetsåtgärder som innebär att vissa arkivakter låstes och inte kunde öppnas i ArkivSök.275 ArkivSök stängdes den 24 maj 2024.
7.2.4Trossen
Informationssystemet Trossen är ett handläggningsstöd, som är ut- vecklat i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. Trossen innehåller ärendeinformation som ligger kvar åt- komlig för handläggarna i två år efter att ett ärende slutförts. Infor- mationssystemet används av Lantmäteriet och samtliga kommunala lantmäterimyndigheter.276 De kommunala lantmäterimyndigheterna har inte åtkomst till varandras ärenden i Trossen. Ett fåtal medarbe- tare på Lantmäteriet med särskild behörighet har åtkomst till dessa myndigheters ärenden, exempelvis för support.
Trossen hämtar och skickar information från och till fastighets- registret och är även kopplad till Arken. Trossen är integrerad med andra system inom Lantmäteriet, exempelvis kunddatasystem och ekonomisystem.
275Projekt Infosäk-GDL, se avsnitt 8.3.4.
276Lantmäteriets säkerhetsskyddsanalys den 27 juni 2025, LM2025/088391, s. 27.
129
Lantmäteriets digitala system och tjänster | Ds 2026:2 |
Trossen består av över 30 olika komponenter som både är egen- utvecklade och upphandlade programvaror, till exempel dokument- hanteringssystem.277
7.2.5Några övriga system
FR Webb278
FR Webb har funnits sedan 2008 och är en e-tjänst som visar fastig- hetsinformation från fastighetsregistret med en länk till arkivakter i Arken. FR Webb är avsedd för interna och externa handläggare som ajourför fastighetsregistret. Tjänsten är utvecklad i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö.
I tjänsten kan man söka på fastighetsbeteckningar, adresser, or- ganisationsnummer, rättigheter, koordinater med mera samt få fram vem som äger en fastighet. FR Webb hämtar information från många av lantmäteriets informationstjänster. Eftersom FR Webb är integrerad med ArkivSök ger tjänsten åtkomst till de arkivakter i Ar- ken som är redovisade i fastighetens åtgärdshistorik.
Inloggning krävs i FR Webb. Tjänsten används till stor del av Lantmäteriets personal inom verksamhetsområdena Fastighetsbild- ning, Fastighetsinskrivning (inklusive Kundcenter) och Geodata. Kommuner som ajourför fastighetsregistret och som därför har be- hov av information ur fastighetsregistret och arkivakter ur Arken för sin verksamhet har möjlighet att ingå avtal med Lantmäteriet för att få tillgång till FR Webb och Arken. Det rör sig om 40 kommunala lantmäterimyndigheter och ca 60 kommuner. Det finns även andra externa användare som har ingått avtal med Lantmäteriet och som har tillgång till FR Webb och Arken.
FR Webb har varit föremål för flera säkerhetsanpassningar över tid. De har huvudsakligen varit inriktade mot skyddade personupp- gifter. Fastigheter med information om individer med skyddade per- sonuppgifter (däribland lagfaren ägare) har varit föremål för infor- mationssäkerhetsåtgärder som innebär att det har saknats möjlighet att hämta arkivakter redovisade i åtgärdshistoriken för den aktuella
277Information från Lantmäteriet, den 14 augusti 2025.
278Avsnittet om FR Webb har kompletterats med information från skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken som lämnades till utredningen den
29september 2025.
130
Ds 2026:2 | Lantmäteriets digitala system och tjänster |
fastigheten från Arken. Individens personuppgifter har även varit dolda för användaren.
FR Webb stängdes för extern åtkomst den 24 maj 2024. FastighetSök, som fanns under åren 2001–2008, var föregångare
till FR Webb och visade fastighetsinformation från fastighetsregist- ret med en länk till arkivakter i Arken.
SFÄR
SFÄR är Lantmäteriets handläggningssystem för inskrivnings- ärenden och finns i myndighetens interna IT-miljö. Systemet omfat- tar ärenderegistrering, beredning och beslut samt hantering av ärenden avseende förlorade pantbrev. SFÄR utvecklades under perioden 2010 – 2014 och driftsattes successivt under denna period.
SFÄR är sedan 2011 arkiv för inskrivningsakter. Äldre inskrivningsakter (från perioden 1 juni 2008 – 10 november 2011) finns arkiverade i Arken. Inskrivningsakter från tiden före den 1 juni 2008 finns arkiverade hos Riksarkivet.
Geosecma
Geosecma är ett informationssystem som stöder fastighetsbild- ningsverksamhetens geometridelar. Systemet finns i Lantmäteriets interna IT-miljö. Informationssystemet används av 36 kommunala lantmäterimyndigheter, det vill säga alla utom fyra.
Enligt uppgift från Lantmäteriet finns det finns tekniska och administrativa begränsningar i systemet för att separera myndighe- ternas information mellan Lantmäteriet och de kommunala lantmä- terimyndigheterna men inte mellan de kommunala lantmäterimyn- digheterna. De kan således ta del av varandras kartarbete.
Ett nytt geometristöd håller på att tas fram och förväntas bli klart 2026.
131
Lantmäteriets digitala system och tjänster | Ds 2026:2 |
Min fastighet279
Tjänsten Min fastighet, som har funnits sedan 2011, är en e-tjänst för allmänheten som bland annat gör det möjligt att se fastighetsin- formation från fastighetsregistret om den egna fastigheten. Tjänsten är utvecklad i Lantmäteriets egen regi och finns i myndighetens interna IT-miljö. I tjänsten har det varit möjligt att hämta arkivakter från Arken som är redovisade i åtgärdshistoriken för de egna regis- terenheterna.
För att använda Min Fastighet behöver ägaren ha giltig e-legiti- mation och sitt personnummer eller samordningsnummer registre- rat i fastighetsregistret. Företag eller organisationer kan inte använda tjänsten, eftersom det inte är möjligt att logga in i tjänsten om inne- havet är registrerat på ett organisationsnummer.
Individer med skyddade personuppgifter har inte möjlighet att få åtkomst till Min Fastighet, eftersom de inte är sökbara i fastighets- registret som ägare.
I november 2023 genomfördes informationssäkerhetsåtgärder som innebär att vissa arkivakter är låsta och inte kan öppnas i Min Fastighet280.
Vissa tillhandahållandetjänster stängdes den 24 maj 2024. Min Fastighet är fortfarande tillgänglig men det är inte längre möjligt att hämta arkivakter från Arken i e-tjänsten.
7.3Lantmäteriets Wiki
Lantmäteriet använder sig av en lagringsyta benämnd ”Wiki” för medarbetarnas interna bruk.
Av Lantmäteriets egen beskrivning, tagen från startsidan för Wiki, framgår att den är indelad i utrymmen. Varje utrymme har egna inställningar för behörighet. Ett sådant utrymme kan exempel- vis användas av en arbetsgrupp som har behov av ett eget utrymme. Wiki är ett ställe där man utbyter erfarenheter och sprider informa- tion. Innehållet syns bara på Lantmäteriets interna nätverk men vissa
279Avsnittet om Min fastighet har kompletterats med information från skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken som lämnades till utredningen den
29september 2025.
280Infosäk-GDL, se avsnitt 8.3.4.
132
Ds 2026:2 | Lantmäteriets digitala system och tjänster |
enstaka utrymmen kan läsas av kommunala lantmäterimyndigheter. Alla medarbetare på Lantmäteriet har tillgång till Wiki.
I en del av det underlag som vi har tagit del av hänvisas det till information som ligger på Wiki. Exempelvis anges i internrevisions- rapporten Utlämnande av allmän handling att det förekommer att verksamheterna har styrande och stödjande dokument på respektive verksamhets Wiki-sidor.281
Enligt uppgift från samtal med Lantmäteriets medarbetare före- kommer det att handlingar läggs på Wiki i stället för att diarieföras.
281Se Utlämnande av allmän handling den 20 december 2021, LM2021/049967. Internrevi- sionen rekommenderar att all väsentlig information avseende processen utlämnande av allmän handling i stället finns samlad och tillgänglig på intranätet. Rapporten beskrivs mer i detalj längre fram.
133
8Lantmäteriets arbete med säkerhetsskydd
8.1Kapitlets innehåll
I detta kapitel redogörs för väsentliga delar i Lantmäteriets arbete med säkerhetsskydd.282 Den särskilda händelsen 2024 och det efter- följande arbetet redovisas i kapitel 13 och 14.
8.2Kort om säkerhetsskyddsverksamheten före 2017
Innan sent 2017 fanns säkerhetsskyddsverksamheten inom Lantmä- teriet främst i ”öar” som Kart- och bildsekretessen (KBS), Myn- dighetsuppdrag (numera GeoSE) och signalskyddsorganisationen. Det fanns en säkerhetsskyddschef som var placerad på HR-av- delningen men som endast arbetade med säkerhet på deltid (25 pro- cent). På division (numera verksamhetsområde) Utveckling och IT (UIT) fanns en informationssäkerhetschef och en IT-säkerhetschef placerade. För informationssäkerhetschefen var det tydliggjort att denne inte skulle jobba med säkerhetsskydd.
282Texten i detta kapitel utgår delvis från Lantmäteriets promemoria Den särskilda händelsen ur ett säkerhetsskyddsperspektiv den 24 november 2025, LM2025/051647.
135
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
8.3Lantmäteriets nutida säkerhetsskyddsarbete påbörjas
8.3.1En säkerhetsskyddsincident 2017
Under våren 2017 anmäldes en säkerhetsskyddsincident relaterad till Lantmäteriets Disaster Recovery-förmåga (DR)283 och ett projekt – Informationssäkerhetsprojektet – startades för att åtgärda den upp- märksammade sårbarheten. Incidenten och projektet kan anses vara starten för det nutida säkerhetsskyddsarbetet inom myndigheten.284
8.3.2Säkerhetsskyddsklassificering av all information som Lantmäteriet hanterar
Inom projektet misstänkte man att DR-sårbarheten bara var ett spe- cialfall av en mängd sårbarheter relaterade till hur Lantmäteriet han- terar säkerhetskänslig information. För att kunna kartlägga de po- tentiella sårbarheterna behövde Lantmäteriets information vara säkerhetsskyddsklassificerad. Något sådant arbete hade hittills inte gjorts. Projektet fick då tilläggsuppgiften att genomföra en säker- hetsskyddsklassificering av all information som Lantmäteriet hante- rade. Arbetet bedrevs genom workshops per informationsmängd med deltagande av informationsägare och verksamhetsexperter. De preliminära resultaten stämdes av med utvalda fastighetsägare där kännedom fanns om att de bedrev säkerhetskänslig verksamhet. Därefter fattades beslut av respektive informationsägare. Säkerhets- skyddsklassificeringsbesluten dokumenterades i promemorior un- der hösten 2020.285
Under klassificeringsarbetet tydliggjordes successivt var stora sårbarheter i säkerhetsskyddet fanns. De relaterades framför allt till informationssäkerheten. Det gjorde att förstudier av IT-arkitektu- ren och det externa tillhandahållandet av fastighetsregisterinforma-
283Disaster Recovery, eller katastrofåterställning, innefattar den uppsättning åtgärder och tek- niska lösningar som möjliggör återhämtning av vitala IT-system, data och applikationer efter en oförutsedd händelse som slår ut den primära driftsmiljön. Sådana händelser kan vara natur- katastrofer (brand, översvämning), storskaliga strömavbrott, cyberattacker (som ransom- ware) eller omfattande hårdvarufel, https://www.advania.se/ordforradet/disaster-recovery, hämtat den 22 januari 2026.
284Beslut 2017/2020 och 2017/2121 den 5 oktober 2017.
285En ”delleverans” var den tjänsteanteckning från den 19 december 2018 som utredningen
återkommer till nedan.
136
Ds 2026:2 | Lantmäteriets arbete med säkerhetsskydd |
tion startades parallellt i projektets regi. Informationssäkerhetspro- jektet avslutades när säkerhetsskyddsklassificeringen var genomförd hösten 2020.
Sammanfattningsvis bestod projektet över tid av tre delar:
1.att åtgärda DR-sårbarheten,
2.att genomföra en säkerhetsskyddsklassificering i syfte att identi- fiera vilken säkerhetsskyddsklassificerad information som fanns inom Lantmäteriet, och
3.att identifiera och initiera projekt för att åtgärda väsentliga sår- barheter avseende säkerhetsskydd.
8.3.3Säkerhetskänslig information i arkivakter identifieras 2018
Av särskilt intresse i arbetet med det första informationssäkerhets- projektet är en tjänsteanteckning från december 2018 undertecknad av en grupp tjänstemän som hanterat den del av informations- säkerhetsprojektet som avsåg säkerhetsskyddsklassificering. Av den framgår sammanfattningsvis följande.286
Gruppen hade under hösten 2018 träffats för att detaljstudera utvalda objekt i Lantmäteriets informationssystem. Syftet var att identifiera om det fanns information som kunde anses vara hemlig på någon nivå. Gruppens slutsatser var att det fanns säkerhetskänslig information i arkivakter och i register. Följande åtgärder föreslogs.
1.Utreda juridiska och tekniska möjligheter för att genomföra an- passning av registerinnehåll (gallring, rättning med mera).
2.Genomföra anpassning av registerinnehåll enligt riktlinjer som tas fram i punkten ovan.
3.Utveckla åtkomsthantering.
4.Ta fram rutin för att sekretessmarkera arkiverade fastighetsbild- ningsakter.
5.Genomföra sekretessmarkering av akter där man vet att det finns hemliga uppgifter.
286 Tjänsteanteckning den 19 december 2018, Informationssäkerhetsprojektet – Slutsatser inom informationsklassificering.
137
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
Gruppen pekade också på att det saknades rutiner och tekniska för- utsättningar inom verksamhetsområdena Fastighetsinskrivning och Fastighetsbildning för hantering av ärenden där så kallade känsliga fastighetsägare och organisationer är inblandade och att känsliga fastighetsbildningsärenden även hanteras utanför Lantmäteriet av kommunala lantmäterimyndigheter. Förslag på fortsatt hantering behövde tas fram och det fanns även ett behov av ökad samverkan med berörda tillsynsmyndigheter och berörda objektsägare.
Åtgärdsförslagen lämnades vidare till andra aktiviteter inom In- formationssäkerhetsprojektet för fortsatt arbete. Parallellt med gruppens arbete genomfördes möten med tillsynsmyndigheter och känsliga fastighetsägare. Enligt gruppen stämde tillsynsmyndighe- ternas och fastighetsägarnas synpunkter väl överens med det gruppen hade identifierat och förslagen till åtgärder. Lantmäteriets ledningsgrupp hade informerats om arbetet och gruppens slut- satser.287 Beträffande slutsatserna menade gruppen att dessa var av sådan karaktär att de borde åtgärdas skyndsamt. Slutsatserna var bland annat att det fanns information i fastighetsregistret som om- fattades av försvarssekretess och att det fanns hemliga uppgifter i fastighetsbildningsakter. Lantmäteriet har uppgett att det inte bara var den här gruppen som stod bakom slutsatserna utan hela informa- tionssäkerhetsprojektet.288
8.3.4Tre nya informationssäkerhetsprojekt
Förstudierna fortsatte under hösten 2020 som tre nya fristående in- formationssäkerhetsprojekt med separata styrgrupper enligt föl- jande tabell.
287Enligt uppgift från Lantmäteriet i oktober 2025 bör detta ha varit kring december 2018.
288Information från Lantmäteriet, september 2025.
138
Ds 2026:2Lantmäteriets arbete med säkerhetsskydd
Projekt | Syfte |
Infosäk-GDL | Säkerställa att endast informa- |
| tion som inte omfattas av sek- |
| retess levereras från Lantmäte- |
| riets tillhandahållandesystem |
Infosäk-Plattform | Säker IT-infrastruktur/platt- |
| form för säkerhetsskyddsklas- |
| sificerade uppgifter |
Säkra tekniklokaler | Adekvat fysiskt skydd för |
| lokaler och IT-miljöer där sä- |
| kerhetsskyddsklassificerade |
| uppgifter hanteras |
I samtliga dessa projekt var verksamhetsområde UIT beställare men övriga berörda verksamhetsområden deltog i projekt- och styrgrup- per.
8.3.5En ny säkerhetsorganisation
Parallellt med Informationssäkerhetsprojektet etablerades en ny sä- kerhetsorganisation från den 1 januari 2019 under ledning av en säkerhetsskyddschef. Dessutom anställdes två biträdande säkerhets- skyddschefer. Senare under året rekryterades en ny informations- säkerhetsansvarig med ett uttalat ansvar även för informations- säkerheten inom säkerhetsskyddet. Den tidigare informationssäker- hetschefsrollen på UIT togs samtidigt bort medan IT-säkerhets- chefsbefattningen behölls med fortsatt placering på UIT. Inrikt- ningen för den befattningen var ett mycket nära samarbete med sä- kerhetsorganisationen, framför allt med den informationssäkerhets- ansvarige. Över tid tillkom även säkerhetshandläggare och bered- skapsresurser inklusive en beredskapssamordnare (sedermera bered- skapschef) till säkerhetsorganisationen.
139
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
8.3.6Trossenincidenten
Den så kallade Trossenincidenten, som uppmärksammades och an- mäldes till dåvarande Dataskyddsinspektionen 2019,289 var inte en separat händelse utan en utredning som visade att Lantmäteriet inte kunde ingå personuppgiftsbiträdesavtal (PUB-avtal) med de kom- munala lantmäterimyndigheterna. I korthet berodde detta på att Lantmäteriet och de kommunala lantmäterimyndigheterna hade till- gång till varandras information, vilket exempelvis innebar att infor- mation i ärenden blev allmänna handlingar hos samtliga myndigheter och att alla personuppgifter som fanns i ärendena behandlades på samtliga myndigheter.290 Incidenten visade att vissa åtgärder behövde vidtas i systemet för att upprätthålla myndighetsgränser och de åtgärderna behövde vara på plats innan PUB-avtal kunde tecknas. Ledningen informerades den 24 september 2019 om slutsatsen att PUB-avtal inte kunde tecknas och generaldirektören informerade styrelsen den 2 oktober 2019.291 Den 30 september sam- ma år informerades även Regeringskansliet.292
Incidenten fick till följd att gränser upprättades mellan Lantmäte- riet och de kommunala lantmäterimyndigheterna på så sätt att tjäns- temän på respektive lantmäterimyndighet endast skulle ha åtkomst till den egna myndighetens ärenden och handlingar. Syftet var att minimera uppgifter, framför allt personuppgifter.293 En följd var att PUB-avtal kunde ingås med kommunala lantmäterimyndigheter. Ursprungsincidenten utvecklades därefter till att omfatta även en säkerhetsskyddsincident, eftersom det konstaterades att det fanns säkerhetskänslig information i Trossen. En anmälan gjordes till Sä- kerhetspolisen undertecknad av verksamhetsområdeschefen för Fas- tighetsbildning. Senare ändrade dock denna chef uppfattning i frå- gan. Vi återkommer till detta.
289INC283117, LM2019/015704, anmälan den 27 september 2019.
290Information från Lantmäteriet, oktober 2025.
291Information från Lantmäteriet i oktober 2025. Att detta gjordes framgår dock inte av pro- tokollet från det mötet, protokoll nr 4. Vår anmärkning.
292Information från Lantmäteriet i oktober 2025.
293Information från Lantmäteriet, maj 2025.
140
Ds 2026:2 | Lantmäteriets arbete med säkerhetsskydd |
8.3.7Lantmäteriets säkerhetsskyddsanalys 2020
Arbetet med att ta fram en säkerhetsskyddsanalys och säkerhets- skyddsplan för Lantmäteriet påbörjades hösten 2019 och baserades vid starten på leveranser från informationssäkerhetsprojektet, inklu- sive påbörjade säkerhetsskyddsklassificeringar, identifierade sårbar- heter och startade förmågeutvecklande åtgärder (se ovan).
Arbetet organiserades så att varje verksamhetsområde med för- modad säkerhetskänslig verksamhet i projektform tog fram en sä- kerhetsskyddsanalys och säkerhetsskyddsplan för sin verksamhet, medan ett centralt team från bland annat den nyligen startade säker- hetsorganisationen styrde, stöttade och höll ihop arbetet. Baserat på verksamhetsområdenas analyser och planer tog det centrala teamet fram myndighetens övergripande säkerhetsskyddsanalys och säker- hetsskyddsplan, som fastställdes av generaldirektören i december 2020.294 Syftet med upplägget var att få in verksamhetskompetens i arbetet, tydliggöra ansvar och skapa engagemang och bygga kompe- tens avseende säkerhetsskydd i verksamheterna.
I säkerhetsskyddsanalysen anges bland annat följande. Säkerhetsskyddsklassificerade uppgifter finns i register. Det görs
inte någon sekretessbedömning av inkommande handlingar, oavsett medium och om de kommer in till ärendemottagningen eller verk- samheten. Avseende Arken finns redan känsliga handlingar i detta arkiv och flera sådana kan fortfarande av misstag hamna där. Ären- den och handlingar är tillgängliga via avtal och e-tjänster externt till bland annat myndigheter, företag och kommunala lantmäterimyn- digheter och det saknas loggning och logganalys. Oklart avtal leder till otydligt mandat och otydlig ansvarsfördelning för informationen i Arken. Avtalet berör Fastighetsbildning, Geodata, Informations- styrning och de kommunala lantmäterimyndigheterna. Det saknas ett ställningstagande från Fastighetsbildning om vad som ska anses vara säkerhetsskyddsklassificerade uppgifter, särskilt på aggregerad och ackumulerad nivå.295
När det gäller arkivering beskrivs vidare vissa säkerhetsskyddsåt- gärder, att mandat och ansvarsfördelning för bland annat Arken be- höver klargöras och att nuvarande avtal och e-tjänster för externa
294LM2020/029734.
295Lantmäteriets säkerhetsskyddsanalys den 16 december 2020, LM2020/029734, s. 38–40.
141
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
kunder som ger obegränsad tillgång till ärenden och handlingar i Arken bör ses över.296
8.3.8Första låsningen av arkivakt i Arken
Funktionaliteten för att kunna låsa arkivakter i Arken infördes den 30 december 2019.297 Enligt Lantmäteriet infördes funktionaliteten för att låsa akter från användning medan de rättas, så att beslut inte skulle tas på felaktiga grunder (felaktiga arkivakter). När man sedan behövde låsa arkivakter på grund av sekretess utvecklades funk- tionen och den används fortfarande för båda ändamålen. Inlednings- vis, i december 2023, låstes knappt tio akter på rekommendation av säkerhetsskyddschefen. Det gjordes som en informationssäkerhets- åtgärd.298 En låsning av en arkivakt innebär att akten endast är tillgänglig för ett begränsat antal handläggare med särskild behö- righet och kompetens inom sekretessfrågor.299 En låst akt är således inte tillgänglig i Lantmäteriets digitala tjänster eller handläggnings- stöd.300 Låsningar har härefter skett löpande när akter i behov av låsning identifieras.301
8.3.9Status för säkerhetsskyddsarbetet vid utgången av 2020
•Myndighetens information var säkerhetsskyddsklassificerad.
•Viktiga sårbarheter hade identifierats.
•Myndighetsövergripande projekt för att bygga basförmågor och åtgärda sårbarheter hade startats.
•Säkerhetsskyddsanalys och säkerhetsskyddsplan var fastställda.
•Säkerhets- och säkerhetsskyddsorganisationen var etablerad med IT-säkerhet operationellt integrerad.
296Säkerhetsskyddsanalysen 2020, s. 49–50.
297Information från Lantmäteriet i maj 2025.
298Information från Lantmäteriet i december 2025.
299Lantmäteriets säkerhetsskyddsanalys, fastställd den 27 juni 2025, LM 2025/088391, s. 37.
300Säkerhetsskyddsanalysen 2025, s. 38.
301Information från Lantmäteriet i maj 2025.
142
Ds 2026:2 | Lantmäteriets arbete med säkerhetsskydd |
8.3.10Olika bedömningar av Lantmäteriets information
Över tid blev det enligt uppgift från Lantmäteriet tydligt att det fanns olika syn på förekomsten av säkerhetsskyddsklassificerade uppgifter inom myndigheten, speciellt när förekomsten hade poten- tial att få konsekvenser för hur verksamheten måste bedrivas. Fas- tighetsbildning gick igenom ett stort antal av sina arkivakter utan att hitta någon säkerhetskänslig information och ifrågasatte tidigare gjorda bedömningar i bland annat Lantmäteriets säkerhetsskydds- analys från december 2020. Andra delar av Lantmäteriet, inklusive säkerhetsorganisationen och verksamhetsområde Geodata,302 höll dock fast vid den ursprungliga bedömningen. Meningsskiljaktighe- terna var väl kända men dömdes under flera år inte av på myndig- hetsnivå av vare sig generaldirektören, säkerhetsskyddschefen eller någon annan. En myndighetsintern tillsyn av Fastighetsbildningens säkerhetsskyddsarbete förbereddes inom säkerhetsorganisationen under 2021 i syfte att driva frågan till ett avgörande. Omedelbart in- nan tillsynen skulle startas i september samma år meddelade dock säkerhetsskyddschefen att den skulle stoppas.303 De kvardröjande skilda bedömningarna fick följande konsekvenser för verksamheten.
•Projekt Infosäk-GDL försenades kraftigt när behovet av infor- mationssäkerhetsåtgärder ifrågasattes och deras potentiellt nega- tiva konsekvenser för ledtider och kostnader i förrättningsverk- samheten betonades. Först i början av 2024 kunde en första be- gränsad delleverans göras och när projektet stängdes 2025 låg det cirka 3,5 år efter ursprunglig tidplan.304
•Uppdateringen av myndighetens säkerhetsskyddsanalys och sä- kerhetsskyddsplan för 2022 blev ofullständig.
•Arkivtjänster förblev öppna till externa kunder.
302 Verksamhetsområde Geodata ansvarar för informationen i fastighetsregistret. Verksamhetsområde Fastighetsbildning hämtar information från och uppdaterar fastighetsregistret i sin förrättningsverksamhet. Detta gör att Fastighetsbildning och Geodata delvis hanterar samma information. Se fotnot 4 i Lantmäteriets PM till utredningen Den särskilda händelsen ur ett säkerhetsskyddsperspektiv den 24 november 2025, LM2025/051647.
303Enligt uppgift från Lantmäteriet kommunicerades detta muntligt till arbetsgruppen för tillsynen. Utredningen har inte tagit del av någon skriftlig dokumentation som visar detta.
304Slutrapport Infosäk-GDL, LM2025/119468.
143
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
•Kundcenter instruerades av medarbetare på Fastighetsbildning att de inte skulle granska alla fastighetsbildningsakter vid begäran om utlämnande av allmän handling.305
En myndighetsintern tillsyn för att avgöra eventuell förekomst av säkerhetsskyddsklassificerade uppgifter i fastighetsbildningsakter i Arken påbörjades till sist hösten 2022.
8.4Den myndighetsinterna tillsynen 2022–2023
8.4.1Fastighetsbildningsakter innehåller uppgifter som omfattas av försvarssekretess
Tillsynen redovisades i en rapport 2023.306 Som angetts i det före- gående var bakgrunden att verksamhetsområde Fastighetsbildning hade bedömt att fastighetsbildningsakterna i Arken inte innehöll säkerhetsskyddsklassificerade uppgifter. Det var en förändring jäm- fört med tidigare bedömning, uttryckt exempelvis i Lantmäteriets säkerhetsskyddsanalys från 2020.307 Syftet med tillsynen var att pröva verksamhetsområde Fastighetsbildnings säkerhetsskyddsklas- sificering av arkivakter i Arken. Tillsynen omfattade enbart digitala fastighetsbildningsakter (inklusive kommunala lantmäterimyndig- heters akter) i Arken. Ett urval av arkivakter hade bedömts och klas- sificerats ur ett säkerhetsskyddsperspektiv. Bedömningen hade där- efter stämts av med Försvarsmakten. Vid tillsynen konstaterades att fastighetsbildningsakterna innehöll uppgifter som omfattades av totalförsvarssekretess. Bedömningen var vidare att bristerna var all- varliga, eftersom de hade bäring på Sveriges säkerhet. Bristerna be- hövde därför skyndsamt åtgärdas. I tillsynsrapporten angavs några rekommendationer, bland annat att tillse att sekretessbedömningar görs av alla akter vid utlämnande, inklusive de som lämnas ut från Kundcenter och efter enskilda kontakter.
Enligt uppgift från Lantmäteriet startade tillsynen för att tvinga fram ett ställningstagande från myndigheten avseende förekomsten
305Tjänsteanteckningar från dåvarande chefsjurist 12 januari 2022. Detta beskrivs närmare i kapitel 12.
306Myndighetsintern tillsynsrapport den 3 april 2023, LM2023/016386.
307Säkerhetsskyddsanalysen 2020, s. 39.
144
Ds 2026:2Lantmäteriets arbete med säkerhetsskydd
av säkerhetsskyddsklassificerade uppgifter i vissa informations- mängder.308
8.4.2Verksamhetsområde Fastighetsbildnings svar på tillsynsrapporten
Verksamhetsområde Fastighetsbildning (nedan benämnt Fastig- hetsbildning) lämnade i en promemoria i augusti 2023 ett formellt svar på nyssnämnda tillsynsrapport.309 I svaret anges bland annat föl- jande.
Den svenska samhällsbyggnadsprocessen och fastighetsbild- ningsinstitutet är uppbyggda utifrån utgångspunkten att fastighets- bildningsbesluten är offentliga. Vid tidpunkten för säkerhetsskydds- analysen 2020 saknades i Lantmäteriet gemensamma riktlinjer för vilka informationsmängder som kan utgöra säkerhetsskyddsklassifi- cerade uppgifter.310 Fastighetsbildning utgick därför från informa- tionsmängder i befintliga arkivakter som bedömts innehålla sådana uppgifter, domstolspraxis och doktrin. Avseende eventuellt skydds- behov av uppgifter som ackumuleras eller aggregeras gjorde verk- samhetsområdet bedömningen att om den enskilda uppgiften be- döms vara offentlig, är den offentlig såväl enskilt som tillsammans med andra uppgifter. I offentlighets- och sekretesslagen finns inga bestämmelser om sekretess genom ackumulering eller aggregering av uppgifter. Utifrån den samlade kunskapen inom Fastighetsbild- ning, dock utan att granska samtliga arkivakter i Arken, bedömdes att Arken inte innehöll några säkerhetsskyddsklassificerade upp- gifter. I maj 2022 informerade verksamhetsområde Säkerhet (nedan benämnd Säkerhet) Fastighetsbildning om att man identifierat nio311 arkivakter i Arken där det förekom säkerhetsskyddsklassificerade uppgifter. Därefter inledde Fastighetsbildning en förnyad sekretess- bedömning utifrån de aktnummer som Säkerhet överlämnat. Vid ett möte senare i maj 2022 var avsikten att Säkerhet skulle ge Fastighets- bildning vägledning i att identifiera säkerhetsskyddsklassificerade
308Information från Lantmäteriet i september 2025.
309Verksamhetens svar på myndighetsintern tillsynsrapport den 28 augusti 2023, LM2023/016386.
310Enligt uppgift från Lantmäteriets informations- och säkerhetssamordnare i oktober 2025 var dock säkerhetsskyddsklassificeringen genomförd vid den tiden.
311Anledningen till att sex av dessa därefter valdes ut och tas upp i tillsynsrapporten var att dessa ansågs utgöra tydligast exempel på känslig information, uppgift från Lantmäteriet den 7 november 2025.
145
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
uppgifter men Säkerhet ska inte ha redovisat sina bedömningar vid det mötet.312 Senare kunde Fastighetsbildning konstatera att verk- samhetsområdets skrivningar i den uppdaterade säkerhetsskydds- analysen hade ändrats av Säkerhet. Fastighetsbildning gjorde i maj 2023 en analys av de arkivakter som togs upp i tillsynsrapporten. Sekretessbedömningen innebar en förnyad bedömning av arkivak- terna. Fastighetsbildning bedömde att en av arkivakterna även fort- sättningsvis borde vara sekretessmarkerad med stöd av 15 kap. 2 § OSL samt att två arkivakter även fortsatt borde vara sekretessmar- kerade med stöd av 18 kap. 8 § OSL. Resterande akter skulle även fortsättningsvis omfattas av informationssäkerhetsåtgärder så att de var åtkomliga endast för behöriga medarbetare. Informationssäker- hetsåtgärderna gjordes för att Fastighetsbildning skulle agera i enlighet med Säkerhets sekretessbedömning. Fastighetsbildning be- dömde att rättsläget var oklart, eftersom det i huvudsak saknades vägledande domstolspraxis. Vidare efterfrågade Fastighetsbildning fortfarande att Säkerhet skulle vägleda medarbetare vid Fastighets- bildning utifrån sin kunskap om sekretessbedömning. Sammantaget saknade Fastighetsbildning förmåga att själva göra sekretessbedöm- ningar motsvarande de som Säkerhet hade gjort.
8.4.3Beslut om forcering av Infosäk-GDL
Vid ett ledningsgruppsmöte i augusti 2023313 beslutades att planera om i projektet Infosäk-GDL så att implementeringen av den tek- niska lösningen av funktionalitet skulle ha högsta prioritet. Projek- tet var vid det laget redan försenat med flera år. Det forcerade infö- randet omfattade endast del av ursprungsprojektets omfattning.314 Som redan nämnts var syftet att säkerställa att endast information som inte omfattas av sekretess levereras från Lantmäteriets tillhan- dahållandesystem. Ytterligare information om denna så kallade for- cering lämnades av chefen för verksamhetsområde Utveckling och IT i ett e-postmeddelande till bland annat ledningsgruppen.315 I in- formationen anges bland annat att generaldirektören hade beslutat
312Enligt uppgift från verksamhetsområde Säkerhet i december 2025 stämmer inte denna uppgift.
313Mötesanteckningar Lantmäteriets ledningsgrupp den 22 augusti 2023, punkt 8.
314Information från Lantmäteriet i september 2025.
315E-postmeddelande den 23 augusti 2023.
146
Ds 2026:2 | Lantmäteriets arbete med säkerhetsskydd |
om forceringen och att projektet Infosäk–GDL skulle fortsätta. Skillnaden angavs bli att en avgränsad del i den tekniska utvecklingen skulle forceras och att fullt fokus låg på att driftsätta denna.
8.5Informationssäkerhetsprojektens slutrapporter
8.5.1Säkra tekniklokaler
Informationssäkerhetsprojektet Säkra tekniklokaler avslutades den 22 januari 2025.316 Slutrapporten handlar till stor del om intressen- ternas och projektdeltagarnas upplevelse av projektet. Resultatet av projektet anges vara en närmare angiven teknisk lösning. Lösningen anges uppfylla de krav som ställts på myndigheter med ansvar för kontinuitet inom staten. Den utökade genomförandetiden som följt av att projektet måste bedrivas utifrån de riktlinjer som gäller för säkerhetsprojekt noteras också.
8.5.2Informationssäkerhet Infraplattform
Informationssäkerhetsprojektet Infraplattform avslutades den
16april 2024.317 I slutrapporten anges bland annat att den initiala pla- nen var att projektet skulle leverera en infrastrukturplattform samt processer och arbetssätt som innebär att Lantmäteriet har en säker informationshantering, och att utfallet blev att plattformen samt nya processer och arbetssätt levererats. Dock anges att mer arbete krävs för att fullt ut implementera detta. Vidare framgår att projektet försenades med cirka två år, bland annat på grund av att många delar tog längre tid än beräknat. Det anges också att projektets största för- ändring när det gäller mål och omfattning kom i samband med det beslut om revidering av projektplanen som togs i april 2023, då vissa delar som närmare framgår av beslutet exkluderades.
316LM2025/007743.
317LM2024/018488.
147
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
8.5.3Infosäk-GDL
I slutrapporten318 för projektet Infosäk-GDL den 18 september 2025 anges följande under rubriken Slutsats och rekommendationer.
Initialt var målet för projektet Infosäk-GDL att säkerställa att en- dast information som inte omfattas av sekretess levereras från Lant- mäteriets tillhandahållandesystem. Med tiden ändrades inriktningen för projektet till att skapa förmågan att leverera information till Lantmäteriets tillhandahållandesystem på ett rättssäkert sätt, samt säkerställa offentlighets- och myndighetsuttag (utlämnande enligt offentlighetsprincipen och 6 kap. 5 § OSL i första hand) på lämpligt sätt. Vidare skulle projektet ta fram riktlinjer och processer kring hur informationen ska hanteras. Projektet skulle också identifiera om det behövdes ytterligare åtgärder kring hantering av informa- tionen. De identifierade åtgärderna skulle införas inom utsett verk- samhetsområde. Projektet Infosäk-GDL bedömdes från början vara ett miniprojekt men växte över tiden till ett stort komplext projekt med många interna beroenden och nya förutsättningar. Det var flera faktorer som påverkade projektet med flera förseningar och därmed avsevärt högre kostnader än som initialt beräknats. Följande tre fak- torer har haft störst inverkan på projektet:
1.Brist på erfarenhet inom området. Vid starten fanns inte tillräck- ligt med kunskap inom myndigheten kring informationssäker- hetsområdet. Denna kunskap och kompetens har byggts upp allt eftersom. Det saknades gemensam styrning, samsyn och tydlig- het kring vägar för att fatta beslut och ansvarsfördelning i infor- mationssäkerhetsfrågor. Det saknades också samverkan och ett gemensamt forum för informationssäkerhetsfrågor vilket resul- terade i att frågeställningar som inte hörde till projektet ändå han- terades inom projektet, något som påverkade framdriften. Styr- gruppen påtalade behovet till verksamhetsområde Säkerhet, som tog initiativ till att skapa olika informationssäkerhetsforum. Dessa fora hanterade därefter vissa frågor som därmed kunde lyf- tas ut från projektet.
2.Otillräcklig förberedelsefas samt förändringsledning under pro- jekttiden. Vid starten av det aktuella projektet saknades juridiska utredningar. Målbild, krav och behov var inte förankrade med
318LM2025/119468.
148
Ds 2026:2 | Lantmäteriets arbete med säkerhetsskydd |
samsyn inom projektet och hos övriga verksamhetsområden. Initialt saknades förståelsen för att projektet skulle påverka myndighetsutövningen inom Lantmäteriet då målet var att införa justeringar i det externa tillhandahållandet av information. Givet att Lantmäteriet internt använder samma tillandahållandetjänster som externa kunder uppkom därför långdragna diskussioner kring verksamhetskonsekvenserna för myndighetsutövningen in- ternt inom Lantmäteriet. Det krävde både anpassningar av hand- läggningssystem, utveckling av processer och förändringsledning inom övriga verksamhetsområden. Det brast i gemensam för- ståelse för informationsflödet mellan verksamhetsområden, vil- ket orsakade att mycket fokus fick läggas på interna konsekvens- utredningar. Målet för projektet var tydligt från start men det fanns oklarheter i bedömningen av informationens skyddsvärde och vad som skulle åtgärdas. Det fanns exempelvis från början tydliga meningsskiljaktigheter kring enligt vilken rättslig grund som åtgärderna skulle genomföras och vem som hade mandat att fatta beslut när den berörda informationen hanteras inom flera verksamhetsområden. Dessa olika uppfattningar tilläts existera parallellt och ”avdömdes” inte av antingen säkerhetsskyddschef eller generaldirektör. Det fanns också olika uppfattningar om vilka leveranser som skulle ingå i projektet och var ansvaret fanns för att åtgärda konsekvenser och behov. Under lång tid var det mycket stort fokus på verksamhetskonsekvenser av föreslagna säkerhetsskyddsåtgärder snarare än på hur man skulle förbättra Sveriges säkerhet. Lantmäteriet behövde ha dialoger med berörda fastighetsägare för att tydliggöra vilken information som är skyddsvärd och vilka skyddsåtgärder som krävdes. Det medförde att projektets tidplan försköts och att kostnaderna ökade.
3.Information och kommunikation. Kommunikation har varit svårt, eftersom det krävts att man varit fysiskt på plats för vissa typer av diskussioner. Det har inte alltid varit möjligt att prata i klartext till följd av att diskussionerna rört säkerhetsklassificerad information, vilket gjorde att det kunde uppstå missförstånd. Det material som skapades inom projektet samt information som be- hövde kommuniceras klassificerades/bedömdes inte utifrån skyddsvärde. Det har gjort att det funnits en osäkerhet kring han- teringen av olika typer av dokument. Det har därför varit mycket diskussioner om vem som får ta del av vilken information och
149
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
vem som får vara med på vad. Det har också gjort att det har blivit informationsförluster på vissa ställen. Att information inte varit tillgänglig har försvårat möjligheterna att genomföra nödvändiga konsekvensbedömningar/utredningar, vilket påverkat projektets framdrift, men även påverkat myndighetens möjlighet till nöd- vändiga anpassningar.
8.6Beredning av verksamhetsområdens säkerhetsskyddsanalyser
Lantmäteriet beslutade i augusti 2024319 att verksamhetsområdes- chefer som ansvarar för säkerhetskänslig verksamhet och är ålagda att göra en säkerhetsskyddsanalys skriftligt ska samråda denna och tillhörande säkerhetsskyddsplan med verksamhetsområde Säkerhet.
Lantmäteriet beslutade vidare att verksamhetsområdescheferna efter genomfört samråd ska föredra sina respektive säkerhetsskydds- analyser och säkerhetsskyddsplaner för generaldirektören och säkerhetsskyddschefen.
Motivet för beslutet var att tydliggöra verksamhetsområdesche- fernas ansvar som det beskrivs i delegationsordningen för sina res- pektive säkerhetskänsliga verksamheter inklusive handlingarna säk- erhetsskyddsanalys och säkerhetsskyddsplan. Det bedömdes också vara av stor vikt att ansvarig verksamhet säkerställer att nämnda handlingar håller en hög kvalitet, att de är fullständigt integrerade med varandra samt att identifierade säkerhetsskyddsåtgärder införs med tillräcklig prioritet och skyndsamhet.
Beslutet fattades mot bakgrund av rådande säkerhetsläge där myndigheten måste försäkra sig om att alla eventuella sårbarheter som berör säkerhetsskyddet identifieras och att adekvata säkerhets- skyddsåtgärder införs skyndsamt.
Som kompletterande information om arbetet med säkerhets- skyddsanalyser har Lantmäteriet uppgett följande.
Ett verksamhetsområdes säkerhetsskyddsanalys ingår som ett sammanhållet avsnitt i myndighetens säkerhetsskyddsanalys och fastställs som en del av detta dokument av generaldirektören, det vill säga analyserna fastställs inte per verksamhetsområde. Säkerhets-
319Beslut den 16 augusti 2024, LM2024/029736. En första version beslutades i januari 2024 enligt uppgift från Lantmäteriet.
150
Ds 2026:2 | Lantmäteriets arbete med säkerhetsskydd |
skyddschefen påverkar genom att delta i de möten där verksamhets- områdeschefen presenterar sin säkerhetsskyddsanalys för generaldi- rektören. Dessutom fastställer säkerhetsskyddschefen verksamhets- områdets säkerhetsskyddsplan som en del av myndighetens. Det in- nebär en möjlighet till indirekt påverkan, eftersom alla ingående sår- barheter och åtgärder i säkerhetsskyddsplanen ska vara identifierade redan i säkerhetsskyddsanalysen.320
8.7Senare säkerhetsskyddsanalyser
8.7.1En delvis uppdaterad säkerhetsskyddsanalys 2022
Lantmäteriet fastställde en ofullständigt uppdaterad säkerhets- skyddsanalys den 16 juni 2022. Av den framgår bland annat föl- jande.321
Det har identifierats säkerhetsskyddsklassificerade uppgifter i Lantmä- teriets informationsgrupper. Sekretessbedömning vid ärendemottag- ningar och vid begäran om utlämnande av allmän handling har förbätt- rats men behöver utvecklas ytterligare. Vidare tillhandahålls fortfarande säkerhetsskyddsklassificerade uppgifter i digitala tjänster. Dessutom är ansvaren för tilldelning och uppföljning av behörigheter samt hantering av loggar otydliga. Även här pågår prioriterade insatser för att bättre kontrollera utflödet. För att framgångsrikt kunna genomföra nödvän- diga åtgärder måste flera utmaningar hanteras. Bland annat att det fort- farande finns delvis olika syn på vad som är säkerhetsskyddsklassifi- cerade uppgifter i olika delar av myndigheten. Vidare krävs stora verk- samhetsförändringar och därmed också aktivt förändringsledarskap exempelvis för nya beteenden som att alltid granska och göra sekretess- bedömning innan utlämnande.
Fortfarande uppges, liksom redan i säkerhetsskyddsanalysen 2020, att säkerhetsskyddsklassificerade uppgifter finns lagrade i leverans- lagren, vilket innebär att informationen tillhandahålls. Det anges vi- dare bland annat att säkerhetsskyddsklassificerade uppgifter tillhan- dahålls ihop med övrig information via produkter och uttag av både fastighetsinformation och akter samt att det finns brister i bedöm- ningen före utlämnande.322
320Information från Lantmäteriet i december 2025.
321Lantmäteriets säkerhetsskyddsanalys, fastställd den 16 juni 2022, LM 2022/031377, s. 4, 9 och 12.
322Säkerhetsskyddsanalysen 2022. s. 31.
151
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
Även säkerhetsskyddsanalysen från 2022 beskriver en mängd sä- kerhetsskyddsåtgärder av likartat slag som angavs redan 2020, såsom att säkerställa att tillhandahållandesystemen inte innehåller säker- hetsskyddsklassificerade uppgifter, att införa en bedömning av om sådana uppgifter förekommer före tillhandhållande och att identi- fiera och lyfta ut arkivakter som innehåller sådan information ur Arken.323
8.7.2Säkerhetsskyddsanalyser 2023 och 2024
Den 1 november 2023324 respektive den 18 september 2024325 fast- ställdes nya säkerhetsskyddsanalyser i samband med svar på begäran från Säkerhetspolisen inom ramen för den då pågående tillsynen.
8.7.3Säkerhetsskyddsanalys 2025
Den 27 juni 2025 fastställdes en ny säkerhetsskyddsanalys. Av den framgår till stora delar samma problematik som tidigare, det vill säga att det finns säkerhetsskyddsklassificerade uppgifter hos Lantmäte- riet samt att det fortfarande finns ett behov av att hantera detta i systemen.
8.8Övrigt om Lantmäteriets arbete med säkerhetsskyddsfrågor
8.8.1Lantmäteriets årsredovisningar med mera
En riskformulering som återkommer hos Lantmäteriet genom åren är att myndigheten inte uppfyller kraven i säkerhetsskyddslagstift- ningen. Som exempel på vad som i olika dokument anförs i detta sammanhang, särskilt i myndighetens årsredovisningar, kan följande nämnas.
323Säkerhetsskyddsanalysen 2022, s. 34 och 44.
324LM2024/001418.
325LM2024/053674.
152
Ds 2026:2 | Lantmäteriets arbete med säkerhetsskydd |
•Fortsatt fokus på den interna uppbyggnaden av en säkerhets- kultur. Den är en nyckelfråga för att lyckas att svara mot kraven i lagstiftningen.326
•Verksamheternas interna säkerhetsskyddsarbete är betydelsefullt för att stärka säkerhetsskyddskompetensen i hela Lantmäteriet. Med säkerhetsskyddsanalysen som grund konstateras att insatser för att omhänderta de sårbarheter som identifierats i analysen drivs genom verksamhetsområdenas säkerhetsskyddsplaner. Pla- nerna följs upp kontinuerligt. Ett skyndsamt genomförande av åtgärder kommer även fortsättningsvis att kräva en tydlig intern prioritering av de verksamheter som bedriver säkerhetskänsligt arbete.327
•För att omhänderta de sårbarheter som identifierades i säkerhets- skyddsanalysen (2022) finns åtgärder i respektive verksamhets- områdes säkerhetsskyddsplaner. För de verksamheter som bedri- ver säkerhetskänsligt arbete är detta prioriterat. Myndigheten har under året följt upp säkerhetsskyddsplanerna kontinuerligt. Sä- kerhetspolisen har under året genomfört en tillsyn av Lantmäte- riets regelefterlevnad kopplat till säkerhetsskyddslagen. De två brister som identifierades var att myndigheten inte färdigställt en av säkerhetsskyddsplanerna och saknade en så kallad indexering av säkerhetsskyddsanalysen enligt Säkerhetspolisens vägledning. Bristerna har åtgärdats och detta har återrapporterat till Säker- hetspolisen.328
•Lantmäteriet hade planerat att under året (2024) fokusera på att ta fram och revidera ramverk för säkerhet och säkerhetsskydd samt beredskap. På grund av den särskilda händelsen har detta arbete prioriterats ned för att frigöra resurser. I syfte att höja sä- kerhetsmedvetandet hos samtliga medarbetare har resurser lagts på att skapa utbildnings- och informationsmaterial inom områ- det. Myndighetsintern tillsyn inom området har påbörjats men inte genomförts enligt plan under året. Lantmäteriet har under 2024 arbetat med att uppdatera säkerhetsskyddsanalysen och till- hörande säkerhetsskyddsplan. Det är en av de åtgärder som ge- nomförts under året för att minska risken att inte möta kraven i
326Lantmäteriets årsredovisning 2020, LM2020/029855, s. 58.
327Lantmäteriets årsredovisning 2022, LM2022/062197, s. 48–49.
328Lantmäteriets årsredovisning 2023, LM2023/062562, s. 43.
153
Lantmäteriets arbete med säkerhetsskydd | Ds 2026:2 |
säkerhetsskyddslagstiftningen. Insatser för att omhänderta de sårbarheter som identifierats i analysen drivs genom verksam- hetsområdenas säkerhetsskyddsplaner. Dessa har följts upp un- der året men inte i den omfattning som var planerat. Ett skynd- samt genomförande av åtgärder kommer även fortsättningsvis att kräva en tydlig intern prioritering av de verksamheter som bedri- ver säkerhetskänslig verksamhet.329
8.8.2Säkerhetsskyddsarbetet sedan hösten 2024330
Efter stängningen av de externa arkivtjänsterna i maj 2024 har myn- dighetsledningen drivit frågan om att skyndsamt på nytt öppna tjänsterna till en mindre krets myndighetsanvändare. Detta har hit- tills inte visat sig vara möjligt på grund av att det fortfarande inte kan uteslutas att säkerhetsskyddsklassificerade uppgifter kan förekom- ma i sådana tjänster. Ett högt prioriterat arbete pågår därför inriktat på att kunna utesluta en sådan förekomst. Arbetet inkluderar dialo- ger och avstämningar med ett stort antal externa aktörer. Arbetet beräknas slutföras under det första kvartalet 2026 då ställning ska tas om ett begränsat externt öppnande av arkivtjänsterna är lämpligt och säkert.
Lantmäteriets säkerhetsskyddsanalys och säkerhetsskyddsplan reviderades under våren 2025 och fastställdes i slutet av juni samma år.331 Arbetet genomfördes som ett uppdrag under ledning av säker- hetsorganisationen. Berörda verksamhetsområden deltog. Planen var ursprungligen att en fullständig revidering av säkerhetsskydds- analysen skulle genomföras redan 2024 men den särskilda händelsen medförde att andra aktiviteter prioriterades. Ett arbete kopplat till en säker IT-driftsmiljö är enligt Lantmäteriet av yttersta betydelse för att förbättra det faktiska säkerhetsskyddet. Aktiviteterna berör flera verksamhetsområden och samordnas sedan hösten 2025 i uppdraget Samordning Färdplan Intåget.332
När det gäller utbildning inom säkerhetsområdet har priorite- ringen varit en nanoutbildning om informationssäkerhet för alla medarbetare, att ta fram en försvarssekretessutbildning, i huvudsak
329Lantmäteriets årsredovisning 2024, LM2025/006013, s. 20–21.
330Texten är hämtad från den promemoria från Lantmäteriet som nämns i avsnitt 8.1.
331LM2025/088391 och LM2025/090853.
332LM2025/130776.
154
Ds 2026:2 | Lantmäteriets arbete med säkerhetsskydd |
för granskningsgrupperna, vägledning rörande sekretess främst som stöd för pågående projekt samt material för och genomförande av informationssäkerhetsmånaden såväl 2024 som 2025, en utbild- ningsinsats riktat till samtliga medarbetare.333
333Se kapitel 9.
155
9Lantmäteriets arbete med informationssäkerhet
9.1Kapitlets innehåll
I detta kapitel redovisas Lantmäteriets arbete med informations- säkerhet såvitt avser bland annat ledningssystem för informations- säkerhetsarbetet, det strategiska och taktiska arbetet och informa- tionsklassning och dessutom något om myndighetens ekonomiska resurser för informationssäkerhet.334 Arbetet under 2024 redovisas i kapitel 13.
9.2Ledningssystem för informationssäkerhetsarbete
9.2.1Allmänt om Lantmäteriets ledningssystem för informa- tionssäkerhetsarbete
Lantmäteriet har ett ledningssystem för informationssäkerhet (LIS) som är baserat på den allmänt vedertagna informationssäkerhets- standarden.335 LIS innehåller den övergripande informationssäker- hetspolicyn, riktlinjer, instruktioner, metodstöd och allmänna be- skrivningar som stöd för hur informationssäkerhetsarbetet ska be- drivas inom Lantmäteriets olika verksamhetsområden.
LIS är ett stöd för hur informationssäkerhetsarbetet styrs i verk- samheten. Det konkretiserar Lantmäteriets informationssäkerhets- policy och ska skapa förutsättningar för ett systematiskt informa- tionssäkerhetsarbete. LIS ska vara en integrerad del av organisa- tionens processer. Övergripande ledningsstruktur och informa-
334Texten bygger delvis på Lantmäteriets PM till utredningen Strukturerat informationssäker- hetsarbete den 21 november 2025, LM2025/051647.
335SS-EN ISO/IEC 27001:2017 och ISO/IEC 27002:2017.
157
Lantmäteriets arbete med informationssäkerhet | Ds 2026:2 |
tionssäkerhet ska beaktas i utformningen av processer, IT-system och säkerhetsåtgärder.336
Ansvaret för informationssäkerhetsarbetets olika delar beskrivs i Lantmäteriets delegationsordning och myndigheten följer MCF:s metodstöd.337 Lantmäteriets LIS ska innehålla processer och metoder inom minst ett antal områden, bland annat informations- klassning.338
Det nuvarande ledningssystemet är beslutat 2022. Uppdateringar har gjorts under 2023.
9.2.2Struktur över Lantmäteriets LIS
Skissen på nästa sida visar Lantmäteriets nuvarande LIS-struktur.
336Lantmäteriets riktlinje för Ledningssystem för informationssäkerhet, beslutad den 30 juni 2022, LM2022/033815.
337Avsnitt 2 riktlinjen. Se även avsnitt 3.3.2.
338Avsnitt 3.2 riktlinjen.
158
Ds 2026:2 | Lantmäteriets arbete med informationssäkerhet |
159
Lantmäteriets arbete med informationssäkerhet | Ds 2026:2 |
9.2.3Lantmäteriets informationssäkerhetspolicy
Informationssäkerhetspolicyn339 beskriver de principer som gäller för informationssäkerhet. Informationssäkerhet innebär att Lant- mäteriet hanterar information utifrån krav på konfidentialitet, riktighet och tillgänglighet. Informationen ska inte bara skyddas från att hamna i orätta händer, man ska också kontrollera att den inte förstörs eller förvanskas och se till att den finns tillgänglig när den behövs.
Lantmäteriets mål för informationssäkerhet är bland annat att arbetet med informationssäkerhet är en naturlig del i verksamheten, att alla medarbetare ska veta vad det egna ansvaret omfattar gällande informationssäkerhet, och att alla informationstillgångar är beskriv- na och klassificerade enligt framtagna metoder. Vidare anges att en förutsättning för ett strukturerat arbete med informationssäkerhet är att arbetet är verksamhetsdrivet samt att information och infor- mationssystem är beskrivna och har utpekade ägare.
9.3Strategiskt och operativt informationssäkerhets- arbete
9.3.1Hur hanteras informationssäkerheten organisatoriskt inom myndigheten?
Inom verksamhetsområde Säkerhet finns en central informations- säkerhetsfunktion som ansvarar för att samordna övergripande frå- gor om informationssäkerhet. Funktionen förvaltar och vidareut- vecklar LIS och tillhandahåller allmänt verksamhetsstöd på strate- gisk och taktisk nivå om informationssäkerhetsfrågor. Arbetet leds av informationssäkerhetschefen.
Enligt Lantmäteriet har bemanningen av informationssäkerhets- funktionen under de senaste åren varit bristfällig och bestod under perioden oktober 2024 till augusti 2025 av endast en informations- säkerhetshandläggare. Under hösten 2025 har teamet successivt nått följande bemanning:
•En informationssäkerhetschef
339Lantmäteriets informationssäkerhetspolicy den 27 juni 2025, LM2025/090735.
160
Ds 2026:2 | Lantmäteriets arbete med informationssäkerhet |
•Fyra informationssäkerhetshandläggare varav två också är data- skyddssamordnare
De båda dataskyddssamordnarna har tidigare varit organiserade under ett annat verksamhetsområde och kom till informationssäker- hetsteamet som resultat av en organisationsförändring som genom- fördes under hösten 2025.
9.3.2Två informationssäkerhetsforum
Det finns två forum inom Lantmäteriet som hanterar informations- säkerhet, ett strategiskt och ett taktiskt.
Det strategiska informationsägarforumet består av generaldirek- tören, ställföreträdande generaldirektören, chefsjuristen och bland andra cheferna för verksamhetsområdena Säkerhet, Fastighetsin- skrivning, Fastighetsbildning, Geodata och UIT.340
Det strategiska forumet omhändertar de identifierade verksam- hetsområdesgränsöverskridande frågeställningarna och fattar beslut inom respektives delegation för att lösa identifierade hinder. Foru- met är enligt Lantmäteriet en viktig del i det systematiska informa- tionssäkerhetsarbetet. Forumet uppdateras kontinuerligt om bland annat framtagna regelverk (exempelvis LIS), uppföljningar med mera. Det strategiska forumet bereder frågor för presentation och beslutsfattande i Lantmäteriets ledningsgrupp. Forumet har under 2025 haft möten var tredje vecka. Under 2026 kommer mötena att hållas månadsvis. Forumet är inte uttryckligen reglerat i Lantmäte- riets arbetsordning eller delegationsordning.
Det taktiska informationsägarforumet bildades i februari 2022 och ersatte, i kombination med det strategiska informationssäker- hetsforumet, den tidigare samordningsgrupp som funnits för att ta hand om frågor som rörde pågående informationssäkerhetsprojekt. Möten hölls från början en gång i månaden, men under hösten 2025 har möten hållits varannan vecka. Deltagare består i huvudsak av operativa informationsägare. Informationssäkerhetschefen ansvarar för forumet. Agenda och anteckningar förs på Lantmäteriets Wiki.
340Enligt odaterat dokument från Lantmäteriet med rubriken Strategiskt informationssäker- hetsforum.
161
Lantmäteriets arbete med informationssäkerhet | Ds 2026:2 |
När det taktiska informationssäkerhetsforumet bildades togs föl- jande beskrivning fram:341
Det taktiska forumet identifierar verksamhetsområdesöverskridande frågeställningar, bereder underlag för att lösa hinder. De deltagande från respektive verksamhetsområde ska meddela behov/önskemål om ställ- ningstaganden, beskrivningar, utbildningar med mera till Lantmäteriets informationssäkerhetsansvarige. Det taktiska forumet tittar på de pro- jekt, utredningar och annat som pågår för att identifiera beröringspunk- ter, problem, möjlighet till synergier med mera. Lantmäteriets informa- tionssäkerhetsansvarige informerar om framtagna regelverk, uppfölj- ningar med mera.
9.3.3Operativt informationssäkerhetsarbete
Grunden för det operativa informationssäkerhetsarbetet inom Lant- mäteriet är att informationstillgångar ska vara identifierade och att det ska finnas ett tydligt ägarskap för de olika informationstill- gångarna. I Lantmäteriets LIS definieras informationstillgångar som information, applikationer och inventarier.
LIS innehåller riktlinjer och metodstöd för flera områden där styrning och stöd krävs för det operativa informationssäkerhets- arbetet. Informationsklassningen är en central del och det operativa arbetet inom övriga områden är i hög utsträckning beroende av resultatet av genomförda informationsklassningar.
9.4Informationsklassning inom Lantmäteriet
Sedan 2006 har riskanalyser om information och applikationer ge- nomförts. Med start 2009 har rudimentär klassning av information och applikationer gjorts och sedan dess har metodiken fortlöpande vidareutvecklats och anpassats utifrån Lantmäteriets specifika verk- samhet. Metodiken följer MCF:s rekommendationer. De senaste fem åren har det funnits metod- och faciliteringsstöd i form av ”klas- sare” inom Lantmäteriets verksamhetsområden som kan facilitera själva klassningsprocessen. Det är informationsägaren som ansvarar för att informationen klassas och för resultatet av klassningen.
Klassning genomförs alltid i ett sammanhang, oftast utifrån en verksamhetsprocess eller en IT-lösning. Vid klassningen identifieras
341Information från Lantmäteriet i december 2025.
162
Ds 2026:2 | Lantmäteriets arbete med informationssäkerhet |
de informationsmängder som behandlas. De klassas utifrån aspek- terna konfidentialitet, riktighet och tillgänglighet. Informationen klassas enligt en skyddskala 0 till 4, där 4 anges om informationen innehåller eller kan innehålla säkerhetsskyddsklassificerade uppgif- ter i enlighet med säkerhetsskyddslagen.
Om en klassning resulterar i att en informationsmängd ges skyddsvärde 4, går klassningsarbetet vidare till en analys för att fast- slå om, och i så fall vilken säkerhetsskyddsklassificering som ska gälla. Hur det görs framgår av Lantmäteriets metodstöd för infor- mationsklassning som är en del av LIS.
Beslut om och uppdelning av informationsägarskap framgår av ett särskilt dokument.342 I det finns en tabell som beskriver hur informationsägarskapet är fördelat till roller eller personer enligt delegeringsbeslut som finns publicerade på Insikten. Bland annat framgår vem som är strategisk och operativ informationsägare för en angiven informationsmängd.
Resultatet av informationsklassningen dokumenteras på Lantmä- teriets Wiki. Det sker inte någon central avrapportering av genom- förda informationsklassningar.343
9.5Cybersäkerhetskollen
Lantmäteriet har genomfört Cybersäkerhetskollen, i vilken Infosäk- kollen ingår, vid fyra tillfällen sedan 2021.344 Myndigheten hade vid Cybersäkerhetskollen 2024 höjt sig från nivå 1 till nivå 2 (skala 0–4) sedan mätningen 2023. Med hjälp av det verktyget har man identifierat att arbetet med uppföljning samt att höja kunskapen hos medarbetarna behöver utvecklas. En åtgärd som genomförts är att införa ett verktyg för nanoutbildningar i informationssäkerhet. Det är korta utbildningar som skickas direkt till samtliga medarbetares mejl en gång per månad och de följs upp efter genomförda utbild- ningar med enkla tester. En annan åtgärd som genomförts är upp- följning inom olika delar på informationssäkerhetsområdet exem- pelvis i fråga om informationsklassningar och incidenthantering. Arbetet med informationssäkerhet har inte gått enligt plan. Det be-
342Beslut och uppdelning, senast uppdaterat den 24 oktober 2025.
343Information från Lantmäteriet i december 2025.
344MCF har i januari 2026 ännu inte presenterat resultatet för 2025. Uppgiften kommer från Lantmäteriet.
163
Lantmäteriets arbete med informationssäkerhet | Ds 2026:2 |
ror dels på arbetet med den särskilda händelsen, dels på att den tidigare informationssäkerhetschefen slutat. Uppdateringen av LIS har inte kunnat komma i gång som planerat. Vidare noteras att incidentrapporteringen har ökat, från 132 år 2023 till 193 år 2024, vilket troligen beror på ökad medvetenhet bland medarbetarna som en följd av utbildningsinsatserna inom området. Som exempel på planerade och genomförda aktiviteter under 2024 har angetts bland annat att ett antal stora informationsklassificeringar och riskanalyser för informationssäkerhet genomförts, exempelvis av ekonomi- systemet.345
Vid mätning 2025 har mognadsnivån i Cybersäkerhetskollen sjunkit och ligger på nytt på nivå 1. Det beror enligt Lantmäteriet främst på att uppföljning och utvärdering inte prioriterats, eftersom de resurser som skulle arbeta med detta i stället behövde ägna sig åt den särskilda händelsen. Informationssäkerhetsfunktionen bestod dessutom endast av en informationssäkerhetshandläggare och var så- ledes underbemannad.346
9.6Uppföljningar av informationssäkerhetsarbetet 2025
Lantmäteriet planerade för uppföljningar av informationssäkerhets- arbetet under 2025, vilket framgår av ett dokument upprättat i juni 2025.347 Planeringen grundade sig på två rekommendationer i intern- revisionens revisionsrapport Cybersäkerhet.348 Planeringen innebär på strategisk nivå bland annat att myndigheten ska delta i MCF:s mognadsdialog vartannat år.349
På taktisk nivå innebär planeringen att en rapport om infor- mations- och IT-säkerhetsincidenter från hela Lantmäteriet tas fram varje månad. Detsamma gäller hur många som har gått de obligatoriska nanoutbildningarna i Informationssäkerhet.
345Lantmäteriets årsredovisning 2024, LM2025/0006013, s. 21 och 68.
346Information från Lantmäteriet i december 2025.
347Dokument den 30 juni 2025 med rubriken ”Säkerhet och säkerhetsskydd redovisning av åtgärder kopplat till IR-rapporter”. Det framgår inte vem som upprättat dokumentet eller i vilket sammanhang, vår anmärkning.
348Se avsnitt 10.4.
349Detta har enligt information från Lantmäteriet i december 2025 varit avsikten men inte hunnits med.
164
Ds 2026:2 | Lantmäteriets arbete med informationssäkerhet |
9.7Ekonomiska resurser för informations- säkerhetsarbetet
Lantmäteriet har uppgett att myndigheten de senaste åren för rege- ringen har påtalat behovet av finansiering av säkerhetsrelaterade frå- gor och gett in budgetunderlag för åren 2022–2028 för att visa det. I budgetunderlaget för 2022–2024 anförs bland annat följande under rubriken Säkerhetsskydd.350
En ny säkerhetsskyddslag trädde i kraft den 1 april 2019. Den nya lagen ställer tydligare och mer omfattande krav på myndigheter som bedriver säkerhetskänslig verksamhet. Den innebär bland annat att man inven- terar och klassificerar IT-system och information. Lantmäteriet be- driver säkerhetskänslig verksamhet. Myndigheten måste därför kart- lägga och bedöma sina skyddsvärden, inventera och klassificera sina informationstillgångar och IT-system efter informationssäkerhetens grundprinciper konfidentialitet, tillgänglighet och riktighet. Lant- mäteriet behöver även förstärka strukturen för säkerhets- och sä- kerhetsskyddsområdet vilket medför ett ökat resursbehov. Säkerhets- skyddsanalys, risk- och sårbarhetsanalys och inträffade incidenter visar att ett ökat fokus på området behövs under de kommande åren. Om- världen har förändrats, vilket ger myndigheter i Sverige nya utmaningar också inom IT-driftområdet. Det säkerhetspolitiska läget, domar på EU-nivå, ny säkerhetsskyddslagstiftning och cyberhot ställer helt nya krav. Områden som informationssäkerhet, IT-säkerhet, robusta data- hallar och IT-miljöer, säkerhetsskydd samt regeluppfyllnad måste stär- kas inom myndighetsvärlden. Det blir allt svårare och mer kostsamt för enskilda myndigheter att uppfylla alla krav. Därför ökar behovet av samverkan inom IT-drift/IT-tjänsteområdet. För att möta detta be- höver Lantmäteriet investera ytterligare för en säker statlig IT-drift och informationshantering för egen del och i samverkan med andra. Lant- mäteriet betonar också att man i remissvar angående betänkandet Kompletteringar till den nya säkerhetsskyddslagen, SOU 2018:82351, framfört bedömningen att ett genomförande av de nya säkerhets- skyddsreglerna kunde få betydande konsekvenser för myndigheten. Lantmäteriet anförde att myndigheten totalt för området behövde till- föras finansiering med minst 25 miljoner kronor 2022 och minst 28 mil- joner kronor årligen 2023–2024.
Liknande argumentation finns i budgetunderlaget för 2024–2026,352 där även behovet av ökade resurser för sekretessgranskning av ärenden betonas. Lantmäteriet anförde också bland annat att ytterligare resurser för att stärka upp säkerhetsorganisationen be-
350Budgetunderlag för Lantmäteriet 2022–2024 den 17 februari 2021, LM2020/029216, s. 6 f.
351Lantmäteriets remissvar till Justitiedepartementet den 8 april 2019, LM2019/000218.
352Budgetunderlag för Lantmäteriet 2024–2026 den 21 februari 2023, LM2023/001224, s. 6–7.
165
Lantmäteriets arbete med informationssäkerhet | Ds 2026:2 |
hövdes och begärde för det ändamålet ett tillskott om minst 10 mil- joner kronor årligen.
I budgetunderlaget för 2025–2027353 begärde myndigheten 14 miljoner kronor årligen för ökade kostnader för primärsite med an- ledning av förstärkning i enlighet med kraven i säkerhetsskyddslag- stiftningen, ny sekundärsite och förstärkning av verksamhets- skyddet utifrån verksamhetens säkerhetsskyddsanalys.
I myndighetens senaste budgetunderlag354, som avser 2026–2028, begär Lantmäteriet 33,2 miljoner kronor för myndighetens säker- hetsarbete 2026, 33 miljoner kronor för 2027 och 29 miljoner kronor för 2028. I dessa belopp är inkluderat bland annat kart- och bildsek- retess och insamling av aktuell geografisk information. För posterna säkerhets- och verksamhetsskydd för fysiska lokaler med mera be- gärs totalt 10 miljoner kronor, 15 miljoner kronor respektive 11 mil- joner kronor.
Lantmäteriet har även i en särskild hemställan fört fram ett behov av medel för ökade kostnader för granskning och utlämnande av ar- kivakter och föreslagit att myndigheten genom vårändringsbudgeten för 2025 ska tillföras 30 miljoner kronor. 355
Regeringen har mot bakgrund av Lantmäteriets särskilda yrkan- den tillfört myndigheten följande medel:
•3,5 miljoner kronor årligen från och med 2023 i samband med att myndigheten blev beredskapsmyndighet.356
•5 miljoner kronor 2025, 6 miljoner kronor 2026, 8 miljoner kro- nor 2027 och 10 miljoner kronor per år från och med 2028 för att stärka Lantmäteriets arbete med civilt försvar.357 Förstärkningen avsåg specifikt Lantmäteriets arbete med att öka robusthet, skyd- da särskilt utpekade verksamhetsorter med mera, utbildnings- satsningar och tillhandahållande av kartunderlag till det civila för- svaret.358
353Budgetunderlag för Lantmäteriet 2025–2027 den 29 februari 2024, LM2024/001765, s. 7–8.
354Budgetunderlag för Lantmäteriet 2026–2028 den 3 mars 2025, LM2025/006386, s. 8
355Hemställan om medel för ökade kostnader för granskning och utlämnande av arkivakter den 23 januari 2025, LM2025/007519.
356Prop. 2022/23:1 Utgiftsområde 18, sid 33.
357Prop. 2024/25:1 Utgiftsområde 18, sid 37.
358Prop. 2024/25:1 Utgiftsområde 18, sid 28.
166
Ds 2026:2 | Lantmäteriets arbete med informationssäkerhet |
•30 miljoner kronor 2025 för ökat behov av manuell granskning för att hantera myndighetens ärenden om utlämnande av allmän- na handlingar samt för viss teknisk utredning och utveckling.359
•20 miljoner kronor 2026 för att möta det ökade behovet av ma- nuell granskning för att hantera ärenden om utlämnande av all- männa handlingar och för viss teknisk utredning och utveck- ling.360
359Prop. 2024/25:99, sid 47
360Prop. 2025/26:1 Utgiftsområde 18, s. 35.
167
10Några granskningar av arbetet med informationssäkerhet med mera
10.1Kapitlets innehåll
Kapitlet beskriver några externa och interna granskningar av Lant- mäteriets arbete med informationssäkerhet. Området är brett och det finns ytterligare granskningar, exempelvis inom området data- skydd, som tas upp i andra kapitel.
10.2Riksrevisionen
10.2.1Åren 2005–2007
Under dessa år granskade Riksrevisionen arbetet med informations- säkerhet på elva statliga myndigheter, däribland det dåvarande Lant- mäteriverket. Granskningen mynnade för Lantmäteriverkets del ut i en rapport.361
I rapporten från 2006 konstaterade Riksrevisionen att det vid Lantmäteriverket fanns flera fungerande delar av ett ledningssystem för informationssäkerheten men att vissa delar av ledningssystemet inte var tillräckligt väl utvecklade. Granskningen visade att led- ningens informationssäkerhetsarbete hade tre huvudsakliga brister; ansvarsfördelningen var oklar, riskanalysarbetet hade inte fullföljts
361 Riksrevisionens rapport Granskning av Lantmäteriets interna styrning och kontroll av informationssäkerheten den 29 november 2006, RiR 2006:26. I sammanhanget kan även nämnas en senare rapport, Riksrevisionens rapport Informationssäkerheten i den civila statsförvaltningen den 10 november 2014, RiR 2014:23. I den granskningen ingick inte Lantmäteriet. Rapporten visade att det fanns påtagliga brister i arbetet med informationssäkerhet hos de granskade myndigheterna och att regeringen inte utövat en effektiv styrning.
169
Några granskningar av arbetet med informationssäkerhet med mera | Ds 2026:2 |
och uppföljningen var inte systematisk. Det saknades till exempel en tydligt utpekad ansvarig för uppföljning av att beslutade säker- hetsåtgärder införts. Bristerna innebar bland annat att myndighetens ledning inte ansågs ha tillräckligt stöd eller tillräckliga hjälpmedel för att skapa överblick över, leda och följa upp informationssäkerheten. Sammantaget innebar bristerna att myndigheten inte fullt ut arbe- tade systematiskt med sin informationssäkerhet utifrån gängse nor- mer.
10.2.2Granskning av nio myndigheter 2016
Som ett led i Riksrevisionens granskning av hur nio myndigheter, däribland Lantmäteriet, arbetade med sin informationssäkerhet gjorde Riksrevisionen en enkätundersökning under 2015. Av Lant- mäteriets svar på undersökningen framgår bland annat följande.362
Myndighetens bedömning var att den informationssäkerhetspo- licy som fanns delvis efterlevdes i praktiken. När det gällde frågan om ledningssystemet för informationssäkerhet följdes upp systema- tiskt och regelbundet (och alltså inte ad hoc), så att det säkerställdes att beslutade åtgärder genomförts, var svaret nej.
Vidare angav Lantmäteriet att man delvis följde standarderna för informationssäkerhet.363 Det avsnitt som saknades i nuvarande LIS skulle enligt myndigheten tas fram till nästa års revidering av LIS. På fråga om det fanns en tydligt utpekad person eller befattning som ansvarade för att följa upp säkerhetsåtgärder svarade Lantmäteriet nej. Svaret var detsamma på frågan om myndigheten hade säkerställt att nyckelpersoner för informationssäkerheten fick tillräcklig och återkommande utbildning inom området.
Lantmäteriet angav vidare att övrig personal inte utbildas i frågor som rör informationssäkerhet, det var endast nyanställda som om- fattades av sådan utbildning. Utbildningen hölls en gång under det första anställningsåret. Lantmäteriet angav samtidigt att man förbe- redde en interaktiv utbildning för informationssäkerhet, riktad till alla anställda.
Under rubriken Riskanalys redogjorde Lantmäteriet för denna, bland annat med en skiss över processen, och angav att myndigheten
362Svar på Riksrevisionens enkätundersökning den 23 november 2015, dnr 101–2015/4311.
363Se avsnitt 3.3.2.
170
Ds 2026:2 | Några granskningar av arbetet med informationssäkerhet med mera |
behövde bli mycket bättre på att följa upp informationssäkerhetsåt- gärder. På fråga om samtliga informationstillgångar klassificerades efter en bedömning av vilken skyddsnivå som är lämplig sett till vär- det av informationen och de hot som omger den svarade Lantmäte- riet nej och uppgav att informationen klassificerades vid behov, så- som när en ny teknisk lösning tas fram eller inför genomförande av risk- och sårbarhetsanalyser. Vidare angav myndigheten att skydds- krav och vidtagna skyddsåtgärder inte framgick av förteckningen av informationstillgångar. Lantmäteriet uppgav vidare att det inte fanns en övergripande plan för informationssäkerheten.
Det framgår vidare av svaret att det inte fanns en kontinuitetsplan som täckte all verksamhet. Det fanns inte heller en samlad och upp- följningsbar plan över nya säkerhetsåtgärder (åtgärdsplan) som gjorde det möjligt för myndighetsledningen att informera sig om vilka beslutade åtgärder som genomförts och kontrollerats. Vidare fanns inte heller en samlad lägesbild över informationssäkerheten, omfattande risker, skyddsåtgärder och händelser.
Riksrevisionens granskning mynnade ut i en rapport.364 Av rap- porten framgår sammanfattningsvis följande.
Riksrevisionens samlade slutsats var att arbetet med informa- tionssäkerhet på de granskade nio myndigheterna låg på en nivå som var märkbart under vad som var tillräckligt. En viktig förklaring till det var att förståelsen för vikten av en god informationssäkerhet överlag var alltför liten. Det fick till följd att arbetet med informa- tionssäkerhet inte blev tillräckligt prioriterat i förhållande till riskerna. Det gällde såväl för regeringen, som borde kunnat vara tyd- ligare med att styra myndigheterna i frågan, som för myndigheternas ledningar, som inte prioriterat arbetet med informationssäkerhet i den utsträckning som krävs. Mycket tydde på att det var svårt för många myndigheter att få till stånd ett ändamålsenligt informations- säkerhetsarbete.
10.3Säkerhetspolisen
Säkerhetspolisen är tillsynsmyndighet över att bland andra Lantmä- teriet följer säkerhetsskyddslagen och de föreskrifter som har med-
364 Riksrevisionens rapport Informationssäkerhetsarbete på nio myndigheter – en andra granskning av informationssäkerhet i staten den 4 maj 2016, RiR 2016:8.
171
Några granskningar av arbetet med informationssäkerhet med mera | Ds 2026:2 |
delats i anslutning till lagen. Lantmäteriets säkerhetsskyddsanalys 2020 granskades av Säkerhetspolisen vid en tillsyn. Vid tillsynen identifierades brister i säkerhetsskyddsanalysen som åtgärdades. Därefter avslutades tillsynsärendet. I ett senare tillsynsärende har Sä- kerhetspolisen granskat Lantmäteriets personalsäkerhet. Vid tillsy- nen identifierades brister som också åtgärdades, och därefter avslu- tades tillsynsärendet. Mot bakgrund av att de uppmärksammade överträdelserna upphört fann tillsynsmyndigheten inte några skäl att förelägga myndigheten att vidta åtgärder. Säkerhetspolisen har även för närvarande ett pågående tillsynsärende som gäller informations- säkerheten och regelefterlevnaden hos Lantmäteriet.365
10.4Internrevisionens granskning av cybersäkerhet
I internrevisionens revisionsrapport 2023366 berörs den granskning av cybersäkerheten som revisionen uppdragit åt Öhrlings Price- waterhouseCoopers AB (PwC) att utföra. Den avsåg förutsätt- ningarna för medarbetare vid Lantmäteriet att upprätthålla en god cybersäkerhet.367 Granskningen omfattade även en övergripande ut- värdering av Lantmäteriets processer för incidenthantering och kon- tinuitetshantering. Granskningen ingick i den av styrelsen beslutade revisionsplanen för 2023.
Granskningen syftade till att bedöma om Lantmäteriet skapat förutsättningar för myndighetens medarbetare att kunna upprätthål- la en god cybersäkerhet och att det gjorts med en betryggande intern styrning och kontroll. Granskningen utfördes genom intervjuer med utvalda nyckelpersoner inom Lantmäteriet med koppling till bland annat myndighetens cybersäkerhetsarbete och dokumentstudier.
Den sammanfattande bedömningen var att Lantmäteriet bedriver ett arbete för att skapa förutsättningar för myndighetens medarbe- tare att kunna upprätthålla en god cybersäkerhet samt att det finns processer för incidenthantering som anses vara acceptabla. Lantmä- teriet bedömdes ha skapat förutsättningar för myndighetens medar- betare att kunna upprätthålla en god cybersäkerhet. Dock hade flera
365Se även avsnitt 18.6.1 angående det tillsynsansvar inom detta område som några utpekade länsstyrelser har för de kommunala lantmäterimyndigheternas informationsmängder i Arken.
366Revisionsrapport den 4 december 2023, LM2023/063665, s. 2.
367I rapporten används begreppen informationssäkerhet, IT-säkerhet och cybersäkerhet likartat. Detta utifrån betydelsen och definitionen säkerhet för information, rapporten s. 5.
172
Ds 2026:2 | Några granskningar av arbetet med informationssäkerhet med mera |
förbättringsområden i den interna styrningen och kontrollen identi- fierats och åtgärder borde vidtas för att inte öka risknivån.
Internrevisionen konstaterade att det fanns brister och utvecklingspotential inom området. Bland annat saknades krav på att samtliga medarbetare minst årligen genomför utbildning inom cybersäkerhet. Vidare var inte aktiviteter och uppföljningar av myn- dighetens informationssäkerhetsarbete tillräckligt tydliga, struktu- rerade och formaliserade.
Under rubriken Systematisk uppföljning av informationssäker- hetsarbetet anger internrevisionen bland annat följande.368
Utifrån genomförda intervjuer har det noterats att det finns förbätt- ringsmöjligheter relaterade till Lantmäteriets systematiska uppföljning av myndigheternas informationssäkerhetsarbete.
I granskningen har internrevisionen noterat att det inte finns tydligt definierat vilka aktiviteter och uppföljningar som ska genomföras. En- ligt uppgift har Informationssäkerhet inom verksamhetsområde Säker- het de senaste åren fokuserat på att ta fram en tydlig struktur för myndighetens ledningssystem för informationssäkerhet. I detta arbete har Lantmäteriet inte kommit till stadiet där exempelvis strukturerad och kontinuerlig uppföljning av att riktlinjer efterlevs i organisationen genomförs.
Internrevisionens bedömning är att Lantmäteriet bör prioritera åtgärder för att tydliggöra vilka aktiviteter och uppföljningar av infor- mationssäkerhetsarbetet som ska genomföras i syfte att åstadkomma en ständig förbättring.
10.5Granskning kopplad till visselblåsarärenden
Vi har tagit del av sju visselblåsarärenden. Ett av dessa är från 2025 och saknar relevans för vår granskning. De övriga avser följande:
•12 mars 2024, anmälan att Lantmäteriet lämnar ut akter utan att de sekretessgranskas.
•4 december 2024, fem anmälningar om en film som generaldirek- tören lagt upp på Lantmäteriets intranät. Anmälningarna har i huvudsak samma inriktning och nämner bland annat att vissa medarbetare i filmen indirekt pekas ut som klandervärda. I en av dessa anmälningar påstås att ”slarvet med sekretess och bristerna i Arken varit kända för gd sen hon började”. Visselblåsningarna
368Revisionsrapporten, s. 9.
173
Några granskningar av arbetet med informationssäkerhet med mera | Ds 2026:2 |
innehåller även bland annat påståenden om efterforskning av vem som rapporterat om den särskilda händelsen i media.
Lantmäteriets styrelse beslutade den 9 december 2024369 att de fem visselblåsarärenden som avsåg filmen på intranätet skulle utredas externt. Utredningen gjordes av revisions- och konsultföretaget Ernst & Young (EY) och avslutades med en rapport den 14 april 2025.370 Syftet med utredningen anges i rapporten vara att belägga sanningshalten i påståendet om efterforskning. Utredningen syftade även till att identifiera om eventuella repressalier vidtagits med an- ledning av dessa uppgifter. I rapporten anges att det fanns indika- tioner på att efterforskning förekommit om vem som kontaktat me- dia om den särskilda händelsen, men att det inte hade kunnat be- kräftas. Vidare uppgavs i rapporten att arbetsklimatet upplevdes av ett antal intervjupersoner som negativt och att det som lyfts inte alltid tas på allvar. Det upplevdes också finnas en bristande transpa- rens inom myndigheten där det bland annat uppfattades som att tjänsteanteckningar och minnesanteckningar inte är tillåtet.
369Protokoll nr 14/2024, punkt 4.
370Oberoende utredning av visselblåsarärenden rörande den interna hanteringen efter att upp- gifter kopplat till den Särskilda händelsen publicerats i media i november 2024, EY.
174
11Mer om Arken och Arkenförordningen
11.1Kapitlets innehåll
I detta kapitel finns en beskrivning av Lantmäteriets digitala förrätt- ningsarkiv Arken. Som nämns i kapitel 1 om avgränsning av gransk- ningsuppdraget har vi i delar av uppdraget begränsat granskningen till fastighetsbildningsakterna i Arken.
Kapitlet innehåller en översiktlig beskrivning av Arken och dess tillkomst samt vad som förvaras där. Här redogörs också för den rättsliga regleringen i form av Lantmäteriets instruktion och förord- ningen (2011:58) om behandling av personuppgifter i Lantmäteriets databas för arkiverade handlingar, den så kallade Arkenförord- ningen. Vidare tas några andra frågor upp som har samband med Ar- ken.
11.2Bakgrunden till den digitala arkiveringen
Arken är ett digitalt förrättningsarkiv som innehåller flera informa- tionsmängder, bland annat arkivakter från fastighetsbildning (från Lantmäteriet och kommunala lantmäterimyndigheter), planakter och fastighetsinskrivningsakter.
Informationsägarskapet371 för informationen i Arken är fördelat mellan verksamhetsområdena Fastighetsbildning, Fastighetsinskriv- ning och Geodata. De kommunala lantmäterimyndigheterna är en- ligt Lantmäteriet informationsägare för sina arkivakter.372 Som nämnts har tillhandahållande av akter ur Arken tidigare skett genom olika digitala tjänster som sedan maj 2024 helt eller delvis är stängda.
371Se mer om informationsägare i kapitel 5.
372Lantmäteriets Säkerhetsskyddsanalys, LM 2025/088391, s. 27 och 30.
175
Mer om Arken och Arkenförordningen | Ds 2026:2 |
Verksamhetsområde Geodata ansvarar för tillhandahållandetjänster- na både till interna och externa användare.
Under år 2003 inledde Lantmäteriet ett projekt som innebar att bland annat de dåvarande lantmäterimyndigheternas förrättnings- arkiv digitaliserades (skannades). De elektroniska kopiorna av pap- persarkiven skulle samlas i en databas hos Lantmäteriet, Arken.
År 2009 började Lantmäteriet att arkivera digitalt i detta arkiv. De kommunala lantmäterimyndigheternas digitala arkivering av ak- ter i Arken gjordes under åren 2016–2020. I vilken utsträckning det- ta har gjorts och när varierar, bland annat utifrån när respektive kommunal lantmäterimyndighet bildades och när de valde att föra in sina akter i Arken. Den digitala arkiveringen sker genom handlägg- ningssystemet Trossen.373 Samtliga kommunala lantmäterimyndig- heter har enligt uppgift från Lantmäteriet valt att lagra sina digitala akter i Arken via Trossen men de har i varierande utsträckning skan- nat in sina analoga arkivakter i Arken.374
Avsikten med den digitala arkiveringen var att underlätta för användare att ta del av informationen i arkivhandlingarna. Vidare var tanken att rationalisera fastighetsbildningsverksamheten och annan verksamhet där handlingar från till exempel lantmäteriverksamheten används, och att genom minskat slitage förbättra möjligheterna att bevara pappersarkiven. Även handlingar i förrättningsärenden, med elektronisk signatur, överfördes från Lantmäteriets handläggnings- system till Arken.375
Utvecklingen av systemen innebär enligt uppgift från Lantmäte- riet att Arken innehåller både elektroniska kopior (inskannade fysiska arkivakter) och digitala original från Trossen.376
Innan de tjänster som kopplades till Arken stängdes för extern åtkomst hade de kommunala lantmäterimyndigheterna tillgång även till informationen i Arken i form av direktåtkomst via Trossen och AktDirekt.
373Promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 4–6. Enligt information från Lantmäteriet i augusti 2025 utvecklades parallellt med detta den digitala tjänsten ArkivSök för att möjliggöra tillhandahållande av arkivakterna.
374Information från Lantmäteriet, november 2025.
375Promemorian Personuppgifter i Lantmäteriets databas för arkiverade handlingar, Justitie- departementet den 31 maj 2010, s. 1
376Information från Lantmäteriet i augusti 2025. Myndigheten har efteråt, i december 2025, emellertid uppgett att det inte är klarlagt vad som utgör digitala original och den frågan har inte heller vi utrett närmare, se vidare i kapitel 18.
176
Ds 2026:2 | Mer om Arken och Arkenförordningen |
11.3Handlingar i Arken
Lantmäteriet hanterar en mängd uppgifter om bland annat kartor, fastigheter och personer i sina olika system.
Fastighetsbildningssakterna innehåller information som beskri- ver fastighetsindelningens beskaffenhet, både den historiska och den nu gällande. Här finns alla de beslut som tagits om ny- och ombild- ningar av fastigheter och upplåtelser av olika rättigheter. Akterna in- nehåller både kartor och tillhörande beskrivningar samt protokoll som redovisar hur förrättningarna genomfördes. Här finns den full- ständiga informationen om till exempel servitut och gränser. Akter- na består av ostrukturerade data i form av bildfiler som inte är sök- bara.377
De arkivhandlingar från såväl lantmäteriverksamhet som andra myndighetsbeslut som finns i Arken utgör grunden för bland annat fastighetsregistret och är att se som grundläggande geografisk information och fastighetsinformation. Handlingarna är nödvändiga beslutsunderlag för lantmäterimyndigheter och andra aktörer inom samhällsbyggnadsprocessen.378
Arken innehåller uppskattningsvis cirka 3,8 miljoner379 fastig- hetsbildningsakter och storleken på akterna kan enligt Lantmäteriet uppgå till hundra- och ibland tusentals sidor vardera. Ärendena kan sträcka sig långt tillbaka i tiden och en bedömning av skyddsvärdet och eventuell sekretess för en viss akt har gjorts i samband med arkiveringen. Det är, med hänsyn till bland annat det förändrade säkerhetsläget, inte osannolikt att bedömningar som tidigare gjorts kan vara inaktuella. Vi återkommer i avsnitt 17.8 till frågan om förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Härtill kan arkivhandlingar innehålla känsliga personuppgifter enligt dataskyddsförordningen, exempelvis om hälsa, etnicitet och sexuell läggning eller andra extra skyddsvärda personuppgifter. Lantmäte- riets personuppgiftshantering i bland annat Arken beskrivs närmare i kapitel 15.
377 Jämför Beslut om kriterier för informationssäkerhetsåtgärder avseende Arken den 5 september 2024, LM2024/049935 samt säkerhetsskyddsklassificeringspromemoria LM2024/051840, s. 1.
378Promemorian Nationellt Digitalt lantmäteriarkiv den 16 september 2024, LM2024/052370, s. 8 och 10.
379Enligt uppgift från Lantmäteriet i december 2025 kommer cirka en halv miljon akter från de kommunala lantmäterimyndigheterna.
177
Mer om Arken och Arkenförordningen | Ds 2026:2 |
Det finns stöd vid granskningen av registerutdrag ur fastighets- registret som signalerar att uppgifter kopplade till fastigheter kan omfattas av sekretess. Sådana sekretesskyddade uppgifter kan finnas också i de handlingar som finns i Arken. Men eftersom en akt inne- håller stora mängder information i ostrukturerad form, är det stöd som finns inte tillräckligt för granskning av akter.380
11.4Lantmäteriets instruktion i relevanta delar
Lantmäteriets uppgifter regleras i huvudsak i förordningen med instruktion för Lantmäteriet som har beskrivits närmare i kapitel 2.
Till Lantmäteriets uppgifter hör bland annat att verka för en enhetlig och ändamålsenlig förrättningsverksamhet och en ända- målsenlig fastighetsindelning. Lantmäteriets uppgift är också att verka för en väl fungerande försörjning med grundläggande geogra- fisk information och fastighetsinformation av sådan omfattning, kvalitet och aktualitet att samhällets behov tillgodoses.381
Lantmäteriet har vidare ett nationellt samordningsansvar för pro- duktion, samverkan, tillhandahållande och utveckling inom området för geografisk information och fastighetsinformation (geodataom- rådet).382
Lantmäteriet ansvarar för uppbyggnad, drift, uppdatering och tillhandahållande av grundläggande geografisk information och fas- tighetsinformation, inklusive de allmänna kartorna. Lantmäteriet får bedriva viss uppdragsverksamhet, bland annat om verksamheten omfattar upprättande av fastighetsförteckning samt fastighets- och arkivutredning, myndighetssamverkan som avser uppdrag åt statliga myndigheter eller tekniskt handläggningsstöd i förrättningsproces- sen.383
380Information från Lantmäteriet, december 2025.
3812 och 3 §§ instruktionen.
3824 § instruktionen.
3835, 10 och 12 §§ instruktionen.
178
Ds 2026:2 | Mer om Arken och Arkenförordningen |
11.5Arkenförordningen
11.5.1Förordningens huvudsakliga innehåll
I Arkenförordningen anges i vilka avseenden som personuppgifter får behandlas i Arken.384 Av förordningen framgår i huvudsak följande.
Förordningen gäller för Lantmäteriets databas för tillhanda- hållande av uppgifter i arkiverade handlingar (databasen). Databasen får innehålla bland annat personuppgifter som ingår i de statliga och de kommunala förrättningsarkiven, inklusive planer och bestämmel- ser som ingår i arkiven och Lantmäteriet är personuppgiftsansvarig för den behandling av personuppgifter som sker i databasen.385
Personuppgifter får behandlas i databasen när det är nödvändigt för att tillhandahålla information som behövs för
1.rättskipning, förvaltning eller annan verksamhet för vilken staten eller en kommun ansvarar enligt lag eller annan författning,
2.omsättning i yrkesmässig verksamhet av sådan egendom som registreras i fastighetsregistret,
3.kreditgivning, försäkringsgivning eller annan allmän eller enskild verksamhet där informationen i databasen utgör underlag för prövning eller beslut,
4.fastighetsförvaltning, byggande eller annan liknande åtgärd, och
5.kulturvård eller forskning.386
Personuppgifter som behandlas i databasen för dessa ändamål får också behandlas för att fullgöra uppgiftslämnande som sker i över- ensstämmelse med lag eller förordning, samt för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.387
Uppgifter om personnummer eller samordningsnummer i handlingar som ingår i databasen får behandlas för de tillåtna ända- målen men så kallade känsliga personuppgifter enligt dataskyddsför-
384Lantmäteriet anser dock att förordningen inte är tillämplig för myndighetens del, som framgår längre fram i detta kapitel.
3851–3 §§ förordningen.
3864 § förordningen.
3875 §§ förordningen.
179
Mer om Arken och Arkenförordningen | Ds 2026:2 |
ordningen får inte behandlas i databasen. Vidare får inte namn, per- sonnummer eller samordningsnummer eller del av sådana nummer användas som sökbegrepp i databasen. Direktåtkomst till person- uppgifter i databasen får medges endast för de angivna ändamålen Detsamma gäller utlämnande av personuppgifter på medium för automatiserad behandling.388
11.5.2Förordningens tillkomst
Arkenförordningen trädde i kraft den 1 mars 2011, det vill säga några år efter att Arken började användas. Underlag om bakgrunden till förordningen är begränsat. Det finns dock ett par dokument som legat till grund när förordningen arbetades fram.
Förslaget till förordning från 2003
Lantmäteriet och Domstolsverket tog 2003 fram ett författnings- förslag till en förordning om tillhandahållande av fastighetsinforma- tion ur digitala arkiv. Av promemorian framgår bland annat föl- jande.389
I förordningen anges de ändamål för vilka behandling av person- uppgifter ska få ske. Det är fråga om två huvudsakliga ändamål. Det ena tar sikte på bevarande av informationsinnehållet i de analoga arkiven, det andra på tillhandahållande av information från de digi- tala arkiven för att tillgodose informationsbehovet inom vissa i för- ordningen uppräknade verksamheter. Personuppgiftsansvaret före- slås fördelas med utgångspunkt i regeln att en myndighet är person- uppgiftsansvarig för den behandling av personuppgifter som myn- digheten utför. Den som faktiskt har utfört en viss behandling, till exempel lagrat eller tillhandahållit en personuppgift, är således per- sonuppgiftsansvarig för den behandlingen. I förslaget finns också en särskild bestämmelse som reglerar fördelningen av arkivansvaret för de digitala arkiven. Enligt den ska Lantmäteriet bära arkivansvaret för det statliga lantmäterimaterialet medan respektive kommunal
3886–7 och 9–10 §§ förordningen.
389Promemorian Författningsreglering rörande tillhandahållande m.m. av fastighetsinforma- tion ur digitala arkiv, Lantmäteriet och Domstolsverket den 7 juli 2003, 500-2003/472.
180
Ds 2026:2 | Mer om Arken och Arkenförordningen |
myndighet ska bära ansvaret för det kommunala lantmäterimateria- let.390
Av promemorian framgår vidare att arkivmaterialet innehåller personuppgifter i varierande grad. Det konstateras emellertid att lantmäterihandlingarna i begränsad omfattning innehåller person- nummer och inte torde innehålla information som är att klassa som känsliga personuppgifter enligt dåvarande personuppgiftslag (1998:204).391
Det sistnämnda anser emellertid Lantmäteriet i vart fall numera vara en felaktig utgångspunkt utifrån nuvarande dataskyddsförord- ning, eftersom det i arkivmaterialet kan finnas information relaterad till hälsa, etnicitet, politiska åsikter och sexualliv. Härtill är det nu- mera klarlagt att det kan finnas skyddade personuppgifter i arkiv- handlingarna.392
Förslaget till förordning från 2010
Med Lantmäteriets och Domstolsverkets promemoria från 2003 som grund tog Justitiedepartementet 2010 fram en promemoria med ett utkast till förordning. Av Justitiedepartementets promemoria framgår bland annat följande.393
Databasen är inte en samling av information av sammanställda, sökbara uppgifter om personer och har därmed inte karaktär av register. Ur in- tegritetssynpunkt har detta stor betydelse. Till saken hör också att den typ av information som förs in i databasen ytterst sällan innehåller käns- liga personuppgifter i den mening som avses i personuppgiftslagen. Per- sonuppgifter i databasen föreslås få behandlas automatiserat för två hu- vudändamål, dels för att bevara arkivhandlingar, dels för att tillhanda- hålla arkivhandlingar. Bestämmelserna i personuppgiftslagen hindrar inte att en myndighet arkiverar och bevarar allmänna handlingar. Att skapa databasen innebär dock att elektroniska kopior framställs och att personuppgifter lagras elektroniskt. Ett av de främsta syftena med att bygga upp en databas med elektroniska kopior av arkiverade handlingar är att informationen i handlingarna på ett mer rationellt sätt ska kunna tillhandahållas de myndigheter och personer som har ett behov av in- formationen i fråga. Uppgifterna ska även kunna tillhandahållas för
390Lantmäteriets och Domstolsverkets promemoria 2003, s. 6–7 samt 10 och 13.
391Lantmäteriets och Domstolsverkets promemoria 2003, s. 16–17 och 32.
392Se Promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 27 samt rättsutredningen Skyddade personuppgifter i AktDirekt/Arken den 19 januari 2021, LM2025/093989.
393Promemorian Personuppgifter i Lantmäteriets databas för arkiverade handlingar, Justitie- departementet den 31 maj 2010.
181
Mer om Arken och Arkenförordningen | Ds 2026:2 |
Lantmäteriets egen verksamhet, exempelvis fastighetsbildningsverk- samheten och inskrivningsverksamheten. Av integritetsskyddsskäl bör sådan behandling endast få ske för särskilda ändamål, som preciseras i förordningen. Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser exempelvis behovet av information för rätt- skipningen och förvaltningen samt forskningens behov. Dessa syften med arkivbildningen bör också beaktas vid utformningen av bestämmel- sen som anger de ändamål för vilka personuppgifterna i databasen får tillhandahållas.394
I de handlingar som har skannats in eller överförts elektroniskt till databasen kan det förekomma uppgifter om exempelvis sökandens per- sonnummer. De personer vars personnummer förekommer i databasen har inte lämnat sitt samtycke till att sådana personuppgifter behandlas. Det saknas praktiska möjligheter för Lantmäteriet att gå igenom det mycket omfattande materialet för att utplåna uppgifter om personnum- mer. Om behandling av personnummer, som finns i löptexten i doku- menten, inte är tillåten skulle det innebära att tillgängliggörande och be- varande av de handlingar som avses ingå i databasen omöjliggörs. Med hänsyn till de effektiviserings- och rationaliseringsvinster som tillhan- dahållande av materialet i databasen innebär är det angeläget att behand- ling av personnummer tillåts. Mot detta intresse måste ställas de enskil- das intresse av att deras personliga integritet inte kränks. Behandling av personnummer kan vara förenad med risker ur ett integritetsskydds- perspektiv. När det gäller databasen bör det emellertid framhållas att sökning på personnummer eller del av personnummer i databasen var- ken kommer att vara tillåten eller tekniskt möjligt. Risken för att enskildas personliga integritet kränks genom att personnummer förekommer i löptext i de arkiverade handlingarna bedöms vara mycket liten. Mot denna bakgrund görs bedömningen att behandling av personnummer som förekommer i arkiverade handlingar bör vara tillåten. Av tydlighetsskäl bör detta framgå av förordningstexten.395
Det kan inte uteslutas att vissa handlingar från enskilda personer kan innehålla känsliga personuppgifter. De ändamål som uppgifterna i data- basen får behandlas för bedöms inte utgöra sådana viktiga allmänna int- ressen att det finns anledning att tillåta behandling av känsliga person- uppgifter i databasen. Huvudregeln i personuppgiftslagen om förbud mot behandling av känsliga personuppgifter ska alltså gälla. Om en sådan uppgift av förbiseende har förts in i databasen ska den uppgiften utplånas, så snart det upptäcks.396
394Justitiedepartementets promemoria 2010, s. 3–4.
395Justitiedepartementets promemoria 2010, s. 6–7.
396Justitiedepartementets promemoria 2010, s. 7.
182
Ds 2026:2 | Mer om Arken och Arkenförordningen |
11.6Extern direktåtkomst genom olika digitala tjänster
Lantmäteriet har som tidigare beskrivits ett antal digitala tjänster som medger direktåtkomst. Genom tjänsterna AktDirekt och ArkivSök har eller har användare haft direktåtkomst till information ur arkivet Arken. Såväl kommuner som privata kommersiella aktörer har haft sådan direktåtkomst.
Termen direktåtkomst tar sikte på att den utlämnande myndig- heten bildligt talat öppnar sina dörrar för mottagaren, som tillåts träda in innanför dörrarna och själv får, i den omfattning som med- getts, söka fritt i den utlämnande myndighetens informationssam- lingar. Det innebär att den utlämnande myndigheten redan vid den tidpunkt då åtkomst etableras har lämnat ut berörda uppgifter till mottagaren. Den omständigheten gör att direktåtkomst är en betyd- ligt mer vittomfattande form av elektroniskt utlämnande än andra sådana former av utlämnanden.397
I begreppet direktåtkomst ligger att den utlämnande myndighe- ten i det enskilda fallet inte har någon kontroll över vilka uppgifter mottagaren vid ett visst söktillfälle tar del av. Den myndighet som lämnar ut uppgifter genom direktåtkomst fattar därmed inte något beslut om utlämnande av uppgifter i varje enskilt fall som den mot- tagande myndigheten tar del av uppgifterna. I stället måste den ut- lämnande myndigheten göra en förhandsprövning av förutsätt- ningarna för utlämnande i samband med att åtkomsten rent tekniskt upprättas. En sådan prövning innefattar alla uppgifter som mottaga- ren har möjlighet att ta del av genom direktåtkomsten. Lagstiftaren har under en lång tid bedömt att direktåtkomst är en så integritets- känslig form av personuppgiftsbehandling att den i princip är tillåten endast om det finns ett uttryckligt stöd för den i lag. Myndigheters möjlighet att utbyta uppgifter elektroniskt genom direktåtkomst är följaktligen ofta starkt begränsad. Bestämmelser som förbjuder di- rektåtkomst, eller som anger i vilka fall direktåtkomst får förekom- ma, finns i regel i den kompletterande dataskyddsregleringen.398
Vi har tagit del av några exempel på avtal med kunder om till- handahållande av information ur Arken. I avtalen anges att de avser
397Jämför SOU 2015:39, s. 136.
398Se till exempel prop. 2016/17:58, s. 126 och prop. 2007/08:160, s. 57 f. samt SOU 2025:45, s. 289.
183
Mer om Arken och Arkenförordningen | Ds 2026:2 |
kundens tillgång till bland annat förrättningsakter samt detaljplaner och andra markreglerande bestämmelser från Lantmäterimyndighe- ternas förrättningsarkiv. Såvitt kan utläsas avses samtliga arkivakter som finns lagrade i Arken oberoende av om de är skapade av Lantmäteriet eller en kommunal lantmäterimyndighet. I avtalen an- ges vidare att Lantmäteriet tillhandahåller informationen via inter- nettjänsten ArkivSök, att kunden tilldelas en användaridentitet och ett lösenord, att kunden ska underrätta Lantmäteriet om de personer som är behöriga att omfattas av användaridentiteten samt att kunden inte har rätt att lämna ut användaridentitet och lösenord till obehö- riga. Kunden erinras om att vissa uppgifter kan vara personuppgifter. Eventuell förekomst av sekretess i handlingar omnämns inte.
Sedan år 2020 finns en integrationslösning för skyddsvärd infor- mation399 som begränsar möjligheten att hämta arkivakter från Ar- ken där det kan finnas information om individer med skyddade per- sonuppgifter eller där fastigheten har en viss lagfaren ägare. Den informationssäkerhetsåtgärden har ersatt tidigare säkerhetsåtgärder.
De informationssäkerhetsåtgärder som Lantmäteriet har vidtagit för arkivakter i Arken har dock inte varit heltäckande, eftersom arkivakterna normalt finns redovisade på två eller flera fastigheter i fastighetsregistret.400 Det har i dessa fall varit möjligt att hämta arkivakten från Arken genom att söka fram en annan fastighet (som inte innehåller information om individer med skyddade personupp- gifter) och hämta akten därifrån.
En sökning som ger träff på en fastighet som omfattas av informationssäkerhetsåtgärden visas med en sekretessmarkering för Kundcenter som på detta sätt får information om att utlämnande av allmän handling som rör den aktuella fastigheten kräver särskild bedömning. Informationssäkerhetsåtgärden från 2020 finns fortfa- rande kvar men har kompletterats med den informationssäkerhets- åtgärd som infördes i november 2024, som innebär att vissa arkiv- akter är låsta.401
399Av Lantmäteriet benämnd som ”BUF”.
400Det beror på att en lantmäteriförrättning berör mer än en fastighet. Akterna syns som länk i alla fastigheter som berört varandra vid en förrättning.
401Jämför informationssäkerhetsprojektet Infosäk-GDL, se avsnitt 8.3.4.
184
Ds 2026:2 | Mer om Arken och Arkenförordningen |
11.7Det rättsliga stödet för Arken enligt Lantmäteriet
11.7.1En ifrågasatt rättslig grund
En särskild fråga om Arken som har föranlett utredning hos Lant- mäteriet är de rättsliga förutsättningarna för Lantmäteriet att över huvud taget hålla andra myndigheters arkivhandlingar i Arken och att dela med sig av dem.
Avgörande för den frågan har varit bland annat om Arken är att betrakta som ett arkiv eller en databas. Lantmäteriets utredning redovisas i promemorian Nationellt digitalt lantmäteriarkiv.402
11.7.2Promemorian Nationellt digitalt lantmäteriarkiv
Lantmäteriet anser enligt promemorian bland annat att Arkenför- ordningen inte ger rättsligt stöd för att tillhanda arkivhandlingar från Arken. I stället ska, enligt Lantmäteriet, bestämmelser i dataskydds- lagstiftningen tillämpas. Vidare uppges att Lantmäteriet bör verka för att de rättsliga förutsättningarna för ett nationellt digitalt lant- mäteriarkiv tydliggörs.
I promemorian konstateras att det saknas tydligt författnings- stöd för Lantmäteriet att hålla ett nationellt digitalt lantmäteriarkiv som innehåller flera olika myndigheters arkivhandlingar och för att tillhandahålla arkivet. Grundläggande rättsligt stöd för det bedöms emellertid ändå finnas vid en sammanvägning av flera rättskällor. Regleringsbreven uppges visa att Lantmäteriet har fått i uppgift att hålla ett nationellt digitalt lantmäteriarkiv och tillhandahålla det för en korrekt och effektiv förrättningsprocess samt för att tillgodose angelägna samhällsbehov. Som stöd för den ståndpunkten hänvisas bland annat till att 2006 års regleringsbrev gav uttryck för att rege- ringen varit informerad och då gav Lantmäteriet uppdrag att redovisa hur materialet används i olika delar av samhället och hur tillgänglig- heten till arkivmaterialet förändrats. Vidare anses Lantmäteriets för- valtningsuppdrag i instruktionen för myndigheten utgöra stöd för att hålla och tillhandahålla ett nationellt digitalt lantmäteriarkiv.403
402Promemorian Nationellt Digitalt lantmäteriarkiv den 16 september 2024, LM2024/052370.
403Promemorian s. 7–11.
185
Mer om Arken och Arkenförordningen | Ds 2026:2 |
I fråga om sekretess drar Lantmäteriet bland annat följande slut- satser i promemorian.404
Lantmäteriet har inte någon uppgiftsskyldighet avseende inne- hållet i arkivhandlingar i Arken gentemot andra myndigheter som bryter sekretessen. Det innebär att frågor om sekretess måste han- teras utifrån offentlighets- och sekretesslagens regler om sekretess. Två huvudsakliga anledningar gör att Lantmäteriet anser att Arken- förordningen inte är tillämplig på behandlingen av personuppgifter i Arken. En är att det inte anses finnas någon sådan tillhandahål- landedatabas som avses i förordningen att tillämpa förordningen på, eftersom Arken är ett arkiv och det inte finns någon databas som är skild från arkivet, vilket var tanken när förordningen kom till. Den andra anledningen är att tillämpning av vissa bestämmelser i förordningen på arkivhandlingar i ett arkiv skulle strida mot lag. Bland annat anges i förordningen att känsliga personuppgifter inte får behandlas trots att sådana måste ingå i arkivhandlingarna och kunna tillhandahållas till andra myndigheter samt att en gallring av sådana skulle strida mot arkivlagen. Lantmäteriets samlade bedöm- ning är att flertalet rättsliga bedömningar som låg till grund för förordningen var oriktiga.405
Vi återkommer till Lantmäteriets slutsatser i våra överväganden (avsnitt 17.8).
11.8Regleringsbrev
Lantmäteriet uppger att myndighetens regleringsbrev under åren 2003–2006 återkommande visat att regeringen haft ett fokus på att Lantmäteriet digitalt ska tillhandahålla rikstäckande och tillförlitlig fastighetsinformation via direktåtkomst. Regleringsbreven visar en- ligt Lantmäteriet att myndigheten har fått i uppgift att hålla ett na- tionellt digitalt lantmäteriarkiv och tillhandahålla det för en korrekt och effektiv förrättningsprocess samt för att tillgodose angelägna samhällsbehov.406 Vi har redogjort för dessa regleringsbrev i kapitel 4.
404Promemorian s. 11–12.
405Promemorian s. 23–29.
406Promemorian s. 7–8.
186
12Utlämnande av allmän handling hos Lantmäteriet
12.1Kapitlets innehåll
I detta kapitel redogörs för ett urval av frågor som uppstått och be- dömningar som gjorts av Lantmäteriet eller av enskilda verksamhets- områden (myndighetsinterna påpekanden) när det gäller Lantmäte- riets hantering av utlämnande av allmänna handlingar, i huvudsak under den period som vi har granskat. I kapitlet finns även en be- skrivning av Lantmäteriets nuvarande hantering av utlämnande av allmänna handlingar.
Med utlämnande av allmänna handlingar avser vi här utlämnande efter en begäran som ställts till Lantmäteriet om att ta del av en sådan handling. Vi behandlar således i detta kapitel inte tillhandahållande av allmänna handlingar genom direktåtkomst. Av intresse vid vår granskning är främst hanteringen av utlämnande av handlingar från Arken.
12.2Lantmäteriets tidigare hantering av utlämnande av allmän handling
12.2.1Akter från Arken lämnas ut utan föregående sekretessprövning
Kundcenter har länge varit den funktion inom Lantmäteriet som ansvarat för hanteringen av en begäran om att få ut allmänna hand- lingar från myndigheten.
Redan 2013 rekommenderade den så kallade OSIS-gruppen inom Lantmäteriet att man skulle vidta lämpliga utvecklingsinsatser för att få bort de mest uppenbara riskerna med tillhandahållandet av de digi-
187
Utlämnande av allmän handling | Ds 2026:2 |
tala akterna. Gruppens ställningstagande blev att alla handlingar skulle sekretessprövas före utlämnande.407 Vi har dock inte kunnat se att några åtgärder vidtogs inom myndigheten med anledning av detta ställningstagande, vilket även bekräftas av den följande redovisningen.
I november 2019 infördes en ny rutin för Kundcenter för viss sekretessprövning vid utlämnande av allmän handling. Den innebar att Kundcenter började skicka akter för fördjupad granskning till en särskild granskningsgrupp inom verksamhetsområde Fastighets- bildning.408 Fram till dess hade utgångspunkten varit att arkivakter som lagrades i Arken var offentliga – arkivakter var åtkomliga via allmänhetens terminal,409 tillhandahållandetjänster och lämnades ut som allmänna handlingar.
Den dåvarande säkerhetsskyddschefen fick i december 2021 upp- gifter om att akter från fastighetsbildningen lämnades ut utan före- gående sekretessprövning. Han kontaktade därför chefen för Kund- center och bad om svar på om detta stämde och vilka överväganden som gjorts i dessa delar. Svaret från chefen för Kundcenter ska då ha varit att det fanns rutiner för att hantera ärenden som innehöll sekretess och att sådana handlingar inte arkiverades i Arken.410 Kundcenter hade inte instruerats att göra en förnyad sekretess- prövning vid begäran om utlämnanden från Arken.411 Enligt uppgift från Lantmäteriet fick generaldirektören information om att frågorna hade ställts men tog inte del av svaret från Kundcenter. Frågorna från säkerhetsskyddschefen ledde inte till någon åtgärd.412
407 OSIS står för Offentlighet, Säkerhet, Integritet och Sekretess. Gruppen, som var rådgivande inom Lantmäteriet, leddes av chefsjuristen och träffades en gång per månad för att diskutera olika frågeställningar inom nämnda områden. Se i övrigt Sammanställning av OSIS- gruppens praxis, september 2021, LM2021/027872, samt Mötesanteckningar OSIS-gruppen den 5 juni 2013.
408 Information från Lantmäteriet, maj 2025, samt Lantmäteriets bildspel Förrättnings- arkivakter i Arken den 21 november 2023. Vi har noterat att det finns olika uppgifter om när sekretessgranskning infördes – enligt den anmälan som gjordes till Säkerhetspolisen i mars 2024 (LM2024/016075) infördes detta först 2020.
409Generaldirektören beslutade i april 2019 att stänga allmänhetens terminal. Handlingar och uppgifter i denna var inte föremål för sekretessgranskning innan de blev tillgängliga för mottagaren. Information från Lantmäteriet, december 2025.
410Information från Lantmäteriet, maj och juni 2025.
411Enligt uppgift från Lantmäteriet till utredningen i oktober 2025 bör Kundcenter ha haft en instruktion om granskning vid den här tidpunkten, jämför chefsjuristens tjänsteanteckningar där det anges att en utbildningsinsats avseende utlämnande av allmänna handlingar hade påbörjats redan våren 2021, se mer om det i avsnitt 12.2.3.
412Information från Lantmäteriet, maj och juni 2025.
188
Ds 2026:2 | Utlämnande av allmän handling |
I säkerhetsskyddsanalysen 2020 anges bland annat att det vid handläggning av fastighetsbildningsärenden inte görs någon sekre- tessbedömning av inkommande handlingar, att säkerhetskänsliga uppgifter finns publikt tillgängliga i arkiverade akter i Arken och i vissa fall lämnas ut utan säkerhetsskyddsbedömning. Vidare anges att ärenden och handlingar i Arken är tillgängliga via avtal och e- tjänster externt till bland annat myndigheter, företag och kommu- nala lantmäterimyndigheter.413
Av den uppdaterade säkerhetsskyddsanalysen 2022 framgår att säkerhetsskyddsklassificerade uppgifter fortfarande tillhandahålls i digitala tjänster samt att det inom olika delar av myndigheten råder olika syn på vad som är säkerhetsskyddsklassificerade uppgifter.414 Det anges även att det krävs stora verksamhetsförändringar och ett aktivt förändringsledarskap för nya beteenden som att alltid granska och göra sekretessbedömning innan utlämnande.415
12.2.2Internrevisionsrapporten Utlämnande av allmän handling 2021
I rapporten konstaterade internrevisionen att utlämnande av allmän handling fungerade vid Lantmäteriet men man hade identifierat ett antal förbättringsområden inom processen. Internrevisionen ansåg att det fanns brister, såsom exempelvis avsaknad av en övergripande process, rutiner, utbildning och tillgänglig information på myndig- hetens intranät. I sammanfattningen anger internrevisionen vidare bland annat följande.416
Utlämnande av allmän handling vid Lantmäteriet sker inte enhet- ligt. Från intervjuer och enkätundersökning framkommer att det finns ett behov av utbildning och fortbildning av medarbetarna, som inte upplever en trygghet i sekretessprövningen vid utlämnande. Kännedom om sekretessprövning finns men genomförandet varierar beroende på verksamhet. Spårbarheter i gjorda sekretessprövningar kan förbättras liksom informationen om de stödsystem och stöd- funktioner som finns.
413Lantmäteriets säkerhetsskyddsanalys den 16 december 2020, LM2020/029734, s. 38–40.
414Se avsnitt 8.7.
415Lantmäteriets säkerhetsskyddsanalys den 16 juni 2022, LM2022/031377, s. 9 och 12.
416Internrevisionens revisionsrapport Utlämnande av allmän handling den 20 december 2021, LM2021/049967, s. 2.
189
Utlämnande av allmän handling | Ds 2026:2 |
Internrevisionen lämnade ett antal rekommendationer i rappor- ten, varav fyra bedömdes som högprioriterade på en angiven värde- ringsskala. Dessa var att fastställa en ägare för processen utlämnande av allmän handling och definiera vad som ingår i detta ansvar, att upprätta myndighetsgemensam praxis för arbetet med utlämnande, att upprätta och besluta om myndighetsgemensamma styrande do- kument för processen och att ta fram handledningar och checklistor på myndighetsgemensam nivå för att ge stöd till medarbetarna i sekretessprövningen.
Lantmäteriets styrelse informerades om rapporten och styrelsen fastställde myndighetens svar på denna i februari 2022.417 I en allmän kommentar i svaret angavs i huvudsak att myndigheten också hade identifierat en klar förbättringspotential och att man hade tillsatt en arbetsgrupp för ändamålet.418 Denna arbetsgrupp benämndes UTAH och dess arbete beskrivs i avsnitt 12.2.6. Vi återkommer i avsnitt 12.2.7 till uppföljningen av detta arbete.
12.2.3Dåvarande chefsjuristens tjänsteanteckningar 2021– 2023
Lantmäteriets tidigare chefsjurist har enligt egna tjänsteanteck- ningar vid flera tillfällen påtalat för olika verksamhetschefer och generaldirektören att myndigheten hade en bristande hantering av sekretessprövningen av handlingar.419 Sammanfattningsvis framgår följande av anteckningarna.
Det har tidigare funnits instruktioner till Kundcenter om att arkivakter från verksamhetsområde Fastighetsbildning inte behövde sekretessprövas. Vid ett möte i januari 2022 påtalade chefsjuristen och säkerhetsskyddschefen för bland andra den operativa informa- tionsägaren inom verksamhetsområdet och chefen för Kundcenter att detta innebar risker för säkerhetsskyddet och att sådana uttalanden inte fick göras. Enligt anteckningarna accepterade de när- varande vid mötet att arkivakter skulle sekretessprövas före utläm- nande.420
417Styrelseprotokoll den 17 februari 2022, punkt 21, och myndighetens svar, LM 2021/049967.
418Myndighetens svar, LM 2021/049967, s. 1
419Tjänsteanteckningarna är daterade den 12 januari 2022, den 14 november 2023, den 28 mars 2024 och den 15 maj 2024, samtliga enligt uppgift från Lantmäteriet diarieförda den 29 november 2024, LM2024/070657.
420Tjänsteanteckningen den 12 januari 2022.
190
Ds 2026:2 | Utlämnande av allmän handling |
Vidare framgår av anteckningarna att dåvarande chefsjuristen i november 2023 tog upp med chefen för verksamhetsområde Fastig- hetsinskrivning421 att det var viktigt att korrekta sekretessprövningar görs och att det inte kan göras några undantag. Vid den här tiden uttrycktes fortfarande inom verksamhetsområde Fastighetsbildning att arkivakter från förrättningsverksamheten kunde lämnas ut utan granskning, trots att såväl chefsjuristen som säkerhetsskyddschefen klargjort att det är direkt felaktigt. Dåvarande chefsjuristen hade vid möte den 14 november 2023 informerat även Lantmäteriets led- ningsgrupp om skyldigheten att sekretesspröva all information som lämnas ut.422
I en tjänsteanteckning från 2024 anges vidare att den dåvarande chefsjuristen under våren 2021 tagit fram och inlett en utbildnings- insats inom kundcenterverksamheten avseende bland annat offent- lighet och sekretess för chefer, rådgivare och samtliga övriga medar- betare. Sådana utbildningstillfällen fortgick även under den hösten. Kundcenters medarbetare hade då reagerat starkt på att de arbetsru- tiner som ansvariga chefer hade beslutat om inte var förenliga med den lagstiftning som chefsjuristen hade utbildat dem i. De kände sig därför inte bekväma med att tjänstgöra inom kundcenterverksam- heten vad gällde utlämnande av allmänna handlingar. Ansvarig verk- samhetsområdeschef och enhetschef uppmanades av chefsjuristen att bland annat lyfta frågan till generaldirektören. Chefsjuristen på- talade även själv för generaldirektören att aktuella chefer inte be- dömdes ha tillräcklig kompetens inom området allmänna hand- lingar.423
12.2.4Processen för utlämnande av akter via Kundcenter
I den i avsnitt 8.4.1 beskrivna myndighetsinterna tillsynsrapporten från april 2023 rekommenderades bland annat att myndigheten skulle tillse att sekretessbedömningar görs av alla akter vid utläm- nande, inklusive de som lämnas ut från Kundcenter och från enskilda kontor. Vidare borde en översyn göras av alla digitala tjänster där
421Kundcenter hörde vid denna tidpunkt till Verksamhetsområde Fastighetsinskrivning.
422Denna information, som framgår av tjänsteanteckningen den 14 november 2023, är inte uttryckligen utskriven i ledningsgruppens protokoll från samma datum.
423Tjänsteanteckningen den 28 mars 2024.
191
Utlämnande av allmän handling | Ds 2026:2 |
kunder hade direkttillgång till icke-bedömda förrättningsakter.424 Alternativt borde tjänsterna ”stoppas”, det vill säga stängas. Det är oklart om rapporten delgavs generaldirektören.425
I verksamhetsområde Fastighetsbildnings svar på den myndig- hetsinterna tillsynsrapporten beskrivs processen för utlämnande av akter via Kundcenter på följande sätt.426
Kundcenter använder FR Webb som stöd när de ska lämna ut arkivakter från förrättningar. Där finns indikatorer427 på när det krävs särskild be- dömning innan utlämnande. I de fallen kontaktas Fastighetsbildning och särskilda medarbetare gör en sekretessbedömning. Om handlingen inte lämnas ut behörighetsbegränsas åtkomsten till utvalda medarbetare och akten tas bort från åtkomst i digitala tjänster.
Om det inte finns en indikation i FR Webb ska Kundcenter i första hand endast lämna ut de uppgifter som efterfrågas. I andra hand ska be- slutshandlingar och dagboksblad lämnas ut. Om hela akten begärs ut ska en sekretessgranskning göras utifrån en ”triggerlista” som Fastig- hetsbildning har tagit fram och vid osäkerhet ska Kundcenter ta hjälp av medarbetare på Fastighetsbildning för sekretessbedömning.428
Fastighetsbildning bedömer att om alla arkivakter ska sekretess- granskas på samma sätt som görs när en indikator finns, ökar arbets- mängden avsevärt. En sådan arbetssättsförändring kan endast genom- föras i dialog med generaldirektören då den är av strategisk betydelse för Lantmäteriet.
Om externt tillhandahållande via Lantmäteriets digitala tjänster stop- pas helt kommer belastningen på Kundcenter att öka väsentligt. Enligt delegationsordningen är det Geodata som ansvarar för beslut om till- handahållande av arkivakter till kunder.
12.2.5Utgångspunkter för sekretessbedömning 2023
Utgångspunkterna och processen för sekretessbedömning av för- rättningsarkivakter i Arken beskrevs i november 2023 på ett likartat
424 Den myndighetsinterna tillsynsrapporten Eventuell förekomst av säkerhetsskydds- klassificerade uppgifter i fastighetsbildningsakter den 3 april 2023, LM2023/016386. Se avsnitt 8.4.1.
425Information från Lantmäteriet, oktober 2025.
426Verksamhetens svar på myndighetsgemensam tillsynsrapport den 28 augusti 2023, LM2023/016286. Se avsnitt 8.4.2.
427Indikatorerna är enligt information från Lantmäteriet i oktober 2025 enbart baserade på uppgifter i Fastighetsregistret och har ingen koppling till akter.
428Triggerlistan utgick enligt information från Lantmäteriet i oktober 2025 från Säkerhets- polisens vägledningar och beskrev vilka uppgifter som typiskt sett kan ingå i en arkivakt och omfattas av säkerhetsskydd.
192
Ds 2026:2 | Utlämnande av allmän handling |
sätt som i verksamhetens svar ovan. Sammanfattningsvis framgår följande om hur bedömningar görs.429
Ett fåtal fastighetsägare eller rättighetshavare bedriver verksamhet som är sekretessreglerad enligt 15 kap. 2 § OSL men typiskt sett är uppgifter i arkivakter i Arken ”harmlösa”. Skadebedömning enligt 15 kap 2 § och 20 kap. 1 § OSL kan dock förändras över tid.
Vid direktåtkomst till information görs sekretessprövning i förväg och inte i varje enskilt fall. Samma princip har verksamhetsområde Fas- tighetsbildning tillämpat på arkivakter i Arken vid begäran om utläm- nande av allmän handling. Den sekretessbedömning som gjordes vid förfrågan till Kundcenter var att arkivakter som lagrades i Arken var offentliga men 2019 infördes en rutin för viss sekretessgranskning när arkivakter från Arken lämnas ut via Kundcenter.430
Om det inte finns någon särskild varning att särskild granskning krävs på fastigheten i FR Webb kan beslutshandlingar och ärendets dag- bok i förrättningsakt som är tillgänglig via AktDirekt, ArkivSök eller FR Webb som utgångspunkt lämnas ut. Det finns typiskt sett inte sär- skild anledning att göra en skadebedömning i det enskilda fallet.
I samma information om granskning av arkivakter före utlämnande anges bland annat att en begränsad mängd information ska lämnas ut, bara det som efterfrågas och inte hela akter. Det anges också var i akten man ska leta efter uppgifter som kan omfattas av sekretess och ges exempel på sådana uppgifter.
12.2.6Projekt om utlämnande av allmän handling under 2023–2025
Under hela 2023 gjorde Lantmäteriet ett övergripande arbete kring utlämnande av allmän handling och en handbok arbetades fram av en projektgrupp som gick under benämningen UTAH.431 Som beskri- vits tidigare hade denna grupp startats redan i mars 2022 som en följd av internrevisionens rapport Utlämnande av allmän handling från 2021. Gruppen avslutade sitt arbete i december 2023. I samband med det arbetet uppmärksammades bland annat att det saknats enhetliga
429Lantmäteriets bildspel (enligt uppgift skapat av verksamhetsområde Fastighetsbildning) Förrättningsarkivakter i Arken, den 21 november 2023.
430Enligt uppgift från Lantmäteriet i oktober 2025 var det Kundcenter som skötte i stort sett all utlämnande av allmän handling och inte verksamhetsområde Fastighetsbildning. Kundcen- ter uppges redan 2022 ha informerats om att arkivakter ska granskas före utlämning, vilket vi noterar också stämmer överens med de ovan beskrivna tjänsteanteckningarna från den dåva- rande chefsjuristen avseende att denne och den dåvarande säkerhetsskyddchefen har gett sådana instruktioner till Kundcenter.
431UTAH står för Utlämnande av allmän handling.
193
Utlämnande av allmän handling | Ds 2026:2 |
processer och arbetsstöd för sekretesshantering. För en rättssäker, enhetlig och effektiv hantering av utlämnanden av allmänna hand- lingar enades ledningen om att fortsätta detta arbete genom ytterli- gare ett nytt uppdrag. Uppdraget benämndes Verksamhetsutveck- ling kring hantering av utlämnande av allmän handling och beslu- tades i januari 2024 av generaldirektören med genomförande under hela 2024.432 Projektet prioriterades sedan ned under 2024 på grund av den särskilda händelsen och ännu ett omtag gjordes i december 2024.433
Handboken om utlämnande av allmän handling färdigställdes och trädde i kraft den 1 april 2025. Ansvarig för handboken är för närvarande chefsjuristen.434 Handboken omfattar drygt 100 sidor och innehåller bland annat en allmän beskrivning av processen för utlämnande och innebörden av rätten att ta del av handlingar. Vidare finns mer specifik information om vanligt förekommande sekretess- bestämmelser och hur man rent praktiskt utför en maskning av uppgifter i handlingar.
Enligt Lantmäteriets summering och avslut av uppdraget UTAH implementerades handboken genom information, nyheter och APT- material. En gemensam sida på Lantmäteriets intranät (arbetsstöd) publicerades den 1 april 2025 där all väsentlig information för utlämnande av allmän handling finns samlad. I uppdraget ingick även att ta bort information som tidigare fanns på olika sidor på intranä- tet. I april 2025 blev också ett utbildningspaket klart och planeringen var att alla medarbetare skulle genomföra delar av utbildningen samt få del av APT-material. Det har också utretts hur myndigheten systematiskt kan genomföra uppföljning på eller kontroll av att sekretessprövning genomförts i samband med utlämnande av allmän handling. Verksamhetsområde Fastighetsinskrivning har fått i upp- drag att implementera systematisk kvalitetsuppföljning för denna hantering.435
432Beslut den 22 januari 2024, LM2024/003319.
433Beslut den 13 december 2023, LM2023/065461.
433Information från Lantmäteriet, maj 2025.
434Beslut den 19 mars 2025, LM2025/029931.
435Bildspel som vi tagit del av utan datering eller diarienummer.
194
Ds 2026:2 | Utlämnande av allmän handling |
12.2.7Internrevisionens uppföljningsrapport i maj 2024
Internrevisionen gjorde under det första tertialet 2024 en uppfölj- ning av bland annat den tidigare beskrivna internrevisionsrapporten Utlämnande av allmän handling från 2021.436 I uppföljningsrappor- ten konstaterade internrevisionen bland annat följande.
Gällande utlämnande av allmän handling hade verksamheten uppgett att samtliga åtgärder var avslutade, en bedömning som efter uppföljningstillfället ändrades till att de inte var slutförda. Status ändrades därför till ”ej enligt plan”. Enligt internrevisionens bedöm- ning har åtgärdsarbetet primärt fokuserat på att utarbeta den nämn- da handboken för utlämnande av allmän handling. Handboken var dock då inte färdigställd, upprättad, kommunicerad eller implemen- terad. Det hade heller inte genomförts några utbildningsinsatser med anledning av handboken och de nya processerna. Åtgärdsar- betet fortsatte i det ovan nämnda uppdraget under 2024.437 Trots att verksamheterna hade markerat åtgärderna som slutförda bedömde internrevisionen att ett antal rekommendationer kvarstod.
12.3Lantmäteriets nuvarande hantering av utlämnande av allmänna handlingar
12.3.1Delegationsordningen
Enligt 5 kap. 7–8 §§ i Lantmäteriets delegationsordning gäller bland annat följande i fråga om utlämnande av allmän handling och uppgift ur allmän handling.438
En begäran om att få ta del av en allmän handling eller att få uppgift ur en allmän handling ska prövas avseende sekretess av tjänsteman vid den organisatoriska enhet som ansvarar för eller har ansvarat för handlägg- ningen av ärendet. Om begäran berör flera olika verksamhetsområden inom Lantmäteriet ska utlämnandet samordnas.
Tjänsteman vid enheten Kundcenter får handlägga begäran om att ta del av en allmän handling eller att få uppgift ur allmän handling ur ären- dehanteringssystem och arkiv som är tillgängliga för Kundcenter. Mot-
436Uppföljning av Lantmäteriets åtgärdsarbete utifrån internrevisionens rekommendationer, Tertial 1 2024 den 31 maj 2024, LM2024/029575. Se avsnitt 6.4.
437Beslutet om Verksamhetsutveckling kring hantering av utlämnande av allmän handling den
22januari 2024, LM2024/003319.
438Delegationsordning beslutad den 16 december 2025, LM2025/161018.
195
Utlämnande av allmän handling | Ds 2026:2 |
svarande rätt gäller för tjänsteman vid granskningsfunktion som tillhör annan organisatorisk enhet än Kundcenter.
Myndighetsbeslut om avslag på begäran att få del av allmän handling eller uppgift ur allmän handling får endast meddelas av den som enligt delegationsordningen eller särskilt delegationsbeslut har fått sådan beslutsbefogenhet.
I de fall berörd tjänsteman finner att utlämnande inte bör ske och begäran om myndighetsbeslut har framställts, ska frågan hänskjutas till verksamhetsområdeschefen för berört verksamhetsområde eller till av vederbörande utsedd tjänsteman med befogenhet att besluta om att lämna begäran helt eller delvis utan bifall.
Om det kan antas att en uppgift i en allmän handling inte får lämnas ut på grund av en bestämmelse om sekretess, får den som har vården av handlingen markera detta genom en särskild anteckning (sekretessmar- kering) enligt 5 kap. 5 § offentlighets- och sekretesslagen.
Fråga om utlämnande av allmän handling eller att få uppgift ur allmän handling ska för sådan handling som avses i 15 kap. 2 och 4 §§ offentlighets- och sekretesslagen överlämnas till verksamhetsområdes- chefen för verksamhetsområde Geodata eller verksamhetsområdes- chefen för verksamhetsområde Säkerhet eller till annan enligt beslut om vidaredelegation för bedömning om utlämnande kan ske.
Fråga om utlämnande av allmän handling eller att få uppgift ur allmän handling ska för sådan handling som avses i 18 kap. offentlighets- och sekretesslagen överlämnas till verksamhetsområdeschefen för verksamhetsområde Säkerhet för bedömning om utlämnande kan ske.
Samråd ska alltid ske med verksamhetsområdeschefen för verksam- hetsområde Geodata innan fråga avgörs om utlämnande av känsliga uppgifter ur allmänna handlingar som utgör geografisk information en- ligt lagen (2016:319) om skydd för geografisk information och i övriga ärenden av väsentlig betydelse för totalförsvaret.
12.3.2Vilka åtgärder har Lantmäteriet numera vidtagit?
I början av februari 2025 sammanfattade Lantmäteriet sin kapacitets- höjning avseende utlämnande av akter enligt följande.439
Under sommaren 2024 tillsatte Lantmäteriet ungefär 80 extra års- arbetskrafter för sekretessprövning och utlämnande av akter. De som fick dessa arbetsuppgifter kom framför allt från verksamhets- område Fastighetsbildning. Ett arbete har gjorts för att förflytta hälften av denna kapacitet till andra delar av Lantmäteriet, vilka är anslagsfinansierade, för att väga upp del av den ekonomiska konsek-
439Sammanfattning över åtgärder för att säkerställa korrekt hantering av aktinformation från Arken, samt konsekvenser och risker för dessa åtgärder, den 5 februari 2025, s. 8, med vissa förtydliganden från Lantmäteriet i december 2025.
196
Ds 2026:2 | Utlämnande av allmän handling |
vens som uppstår i och med nyttjande av personal till dessa upp- gifter. Lantmäteriet har också rekryterat 19 medarbetare till en ny funktion som etablerats den 1 oktober 2024 för att över tid komma att bli den funktion som hanterar låsta akter (Granskningsgrupp Arken som beskrivits i avsnitt 13.4.3). Sedan den 1 september 2025 finns ytterligare en granskningsfunktion vid huvudkontoret i Gävle som består av 20 personer.
Myndighetens kompetenshöjning när det gäller hanteringen av akter beskrivs i samma dokument på följande sätt.
Lantmäteriet har tagit fram ett utbildningspaket med flera kom- petensblock för att stärka kunskapen inom sekretessprövning och fördjupning inom försvarssekretess där kunskapen om kriterier och hur de kan sökas är en del av utbildningen. En liten grupp med ut- bildare har satts samman med kompetens inom sekretessprövning utifrån juridik, säkerhet och kriterierna,440 samt praktisk erfarenhet av sekretessprövning. Utbildningarna är en blandning av teori och praktisk övning där gruppen gemensamt diskuterar bedömningar. Den största delen består av digitala utbildningar. Utbildningen är obligatorisk för alla som lämnar ut akter och det pågår ett arbete att ta fram utbildning även för de som skapar akter. Gruppen som ska hantera låsta akter i närtid, samt den nyrekryterade gruppen som ska hantera låsta akter, har fått gå utbildningen först. Härefter kommer utbildningarna att ges till alla som identifierats ska gå den.441
I februari 2025 beslutade Lantmäteriet att genomföra en punkt- insats för att minska tiden för sekretessprövning och utlämnande av allmän handling till 48 timmar. Det gjordes genom att mobilisera flera resurser internt för att sekretesspröva arkivakter. Punktinsat- sen pågick fram till halvårsskiftet 2025. Granskningsgrupp Arken förlängdes vidare till och med den 30 september 2025, för att tillgo- dose ett tillfälligt behov fram till dess att en ordinarie ny arbetsfunk- tion bedöms ha kapacitet och kompetens att hantera arbetsuppgif- terna.442
Samma månad beslutade Lantmäteriet att inrätta ytterligare tre granskningskontor för att minska tiderna för granskning och utläm- nande av allmän handling. Det anges vidare att dessa kontor kan
440Se avsnitt 14.3.4.
441Sammanfattning över åtgärder för att säkerställa korrekt hantering av aktinformation från Arken, samt konsekvenser och risker för dessa åtgärder, den 5 februari 2025, s. 9.
442Beslut den 19 februari 2025, LM2025/021287 samt den 3 februari 2025, LM2025/011770.
197
Utlämnande av allmän handling | Ds 2026:2 |
komma att ges möjlighet att fortsätta granska akter även efter an- givet datum som en del av ordinarie linjeverksamhet.443
Under 2025 har myndigheten utrett möjligheterna till maskinellt stöd för sekretessprövning, i vilket AI skulle kunna användas. Pro- jektet pågår och finns med i utvecklingsplanen med en planerad driftsättning i slutet av 2026.444
Numera finns också ett hanteringssystem för begäran om utläm- nande av allmän handling (kundservicesystemet KSS) på plats.
Enligt uppgift klarar Lantmäteriet numera, sedan augusti 2025, av utlämnande inom 48 timmar.445
443Beslut den 19 februari 2025, LM2025/019586.
444Information från Lantmäteriet, december 2025.
445Information från Lantmäteriet, december 2025.
198
13 Den särskilda händelsen
13.1Kapitlets innehåll
I detta kapitel redogörs för det som under 2024 ledde fram till det som Lantmäteriet kallar den särskilda händelsen, det vill säga stäng- ningen av de digitala tjänsterna i maj samma år. Kapitlet innehåller också en översiktlig beskrivning av den särskilda händelsen i sig och hur arbetet med den bedrevs under resten av året.
13.2Relevanta händelser
13.2.1Införandet av informationssäkerhetsåtgärder
I januari 2024 beslutade den ställföreträdande generaldirektören att införa informationssäkerhetsåtgärder i Lantmäteriets tillhandahål- lande av fastighetsinformation.446 De driftsattes inom ramen för den tidigare beskrivna forceringen av projektet Infosäk-GDL.
Verksamhetsområde Fastighetsbildnings anpassningar för att uppfylla informationssäkerhetsåtgärderna bestod i bland annat en fördjupad sekretessprövningsrutin, viss dialog med fastighetsägare, bedömning av om ärenden behövde flyttas till säkerhetsprövad handläggare, teknisk utveckling av handläggningsstödet och låsning av arkivakter för aktuella fastighetsägare (anpassningarna i sig speg- las bland annat av de tidigare beskrivna besluten som fattades redan i samband med låsning av akter i december 2023).447
446Beslut om införande av säkerhetsåtgärder i Lantmäteriets tillhandahållande med bilagor, den 15 januari 2024, LM2024/003162.
447Se avsnitt 8.3.8.
199
Den särskilda händelsen | Ds 2026:2 |
13.2.2Anmälan om säkerhetshotande händelse
I ett visselblåsarärende den 12 mars 2024 angavs att Lantmäteriet lämnar ut handlingar utan sekretessprövning.448
Av en intern e-postkonversation mellan en jurist och den då ställ- företrädande säkerhetsskyddschefen samma dag framgår bland an- nat att kartläggningen av hur nuläget såg ut vad avsåg utlämnande av allmänna handlingar avseende verksamhetsområde Fastighetsbild- nings informationsmängder449 inte var klar. Brister hade dock kons- taterats i form av att inte någon inom verksamhetsområde Fastig- hetsbildning eller Kundcenter verkade ha någon helhetssyn på flöden, gränsdragningar, rutiner och processer avseende utlämnan- den av uppgifter och handlingar. Juristen konstaterade att om be- fintliga rutiner skulle börja följas, rutiner tas fram eller medvetenheten om sekretess öka, saknades kapacitet att utföra arbetet – det skulle krävas både utökad kapacitet och bemanning. Det konstaterades även finnas bristande tekniska förutsättningar att exempelvis dela akter för att lämna ut vissa handlingar. De varningssignaler som fanns i systemen uppgavs vidare dels inte fånga alla typer av sekretess, dels användas på olika sätt på grund av bristande utbildning om deras funktion.
Den 21 mars ställde den ställföreträdande säkerhetsskyddschefen den uttryckliga frågan till Kundcenter om det stämde att de lämnade ut arkivakter utan sekretessprövning. Kundcenter svarade ja på den frågan och uppgav som en förklaring att den handbok som den ställ- företrädande säkerhetsskyddschefen ansåg skulle följas inte ännu fastställts.450 Samma dag gjorde Lantmäteriet en anmälan till Säker- hetspolisen om bristfällig sekretessprövning.451 Ärendet avslutades av Säkerhetspolisen med kortfattad information om åtgärder och utvärdering som Lantmäteriet förutsattes utföra.
448Se avsnitt 10.5.
449I visselblåsarärendet nämns inget specifikt verksamhetsområde men det synes för Lantmä- teriet ha stått klart att det var med verksamhetsområde Fastighetsbildnings informations- mängder som arbetet skulle inledas. I e-posten talas om Fastighetsbildnings information eller informationsmängder – det handlar till stora delar om arkivakter i Arken men även utlämningar ur Trossen och ej fördelade ärenden nämns.
450Tjänsteanteckning den 21 mars 2024, diarienummer saknas.
451LM2024/016075. I den första anmälan angavs att den avsåg handlingar i Fastighetsregistret. Av senare kompletteringar till Säkerhetspolisen framgår dock att det som avses är utlämnan- den av arkivakter.
200
Ds 2026:2 | Den särskilda händelsen |
13.2.3Rutinen kring sekretessprövning stärks inom Kundcenter
Den 25 mars 2024 fattades ett beslut av enhetschefen på Kundcenter att stärka rutinen kring sekretessprövningen på Kundcenter genom att samtliga arkivakter skulle sekretessprövas före utlämnande. Det innebar att utlämnande utan sekretessprövning upphörde detta datum.
Olika funktioner inom Lantmäteriet har beskrivit att sekretessprövning vid utlämnande av arkivakter såväl tidigare som under nu rådande förhållanden, med stängda digitala tjänster, försvårats avsevärt av att det saknats tekniska förutsättningar för detta, eller i vart fall tekniska systemstöd som i tillräcklig utsträckning underlättar genomförandet av sekretessprövningen. Akterna kan inte på ett enkelt sätt delas upp så att man kan lämna ut bara delar. Enligt uppgift från Lantmäteriet är det i och för sig möjligt att beställa en utskrift av enstaka sidor eller intervall av sidor men det är komplicerat och innebär en omfattande manuell handpåläggning.452
13.2.4Säkerhetsskyddschefens rekommendation i april 2024
Säkerhetsskyddschefen hade i den myndighetsinterna tillsynsrap- porten från april 2023 rekommenderat verksamhetschefen för Geodata att göra översyn av eller stänga AktDirekt.453 Den 13 april 2024 upprepade denna chef rekommendationen.454
I slutet av denna månad begärde säkerhetsskyddschefen också att en logg över vilka som tittat på eller hämtat ut vissa akter ur Arken skulle tas fram. Loggen visade att det förekommit att akter som identifierats innehålla säkerhetsskyddsklassificerade uppgifter hade hämtats ut av såväl externa som interna användare innan de låstes under 2022–2023.455
452Information från Lantmäteriet, november 2025.
453LM2023/016386. Se avsnitt 8.4 om tillsynen i övrigt.
454Enligt kompletterande information från Lantmäteriet, oktober 2025, gavs rekommendatio- nen via e-post från säkerhetsskyddschefen i april 2024.
455Information från Lantmäteriet juni 2025 samt utdrag ur stickprovslogg, diarienummer saknas.
201
Den särskilda händelsen | Ds 2026:2 |
13.2.5Frågan om stängning av digitala tjänster tas upp i det strategiska informationssäkerhetsforumet
Vi har haft svårt att i efterhand få grepp om vad som avhandlades vid det strategiska informationssäkerhetsforumet i april 2024, eftersom anteckningar saknas och de närmast berörda inte minns detaljerna. Enligt uppgift tog dock chefen för verksamhetsområde Geodata upp rekommendationen om stängning av AktDirekt och ArkivSök. Ge- neraldirektören, som närvarade på mötet, fick därmed denna infor- mation. Verksamhetsområdeschefen fick i uppdrag att göra en kon- sekvensanalys av att stänga de digitala tjänsterna som tillgängliggör information från Arken. En konsekvensanalys av en sådan stängning presenterades därefter vid forumets möte den 20 maj 2024, se mer om det längre fram.456
13.2.6Rapport avseende borttagande av digitala tjänster
I rapporten Risker i tillhandahållande av akter och konsekvenser vid borttagande av digitala tjänster, daterad den 6 maj 2024, redogör Lantmäteriet för att beslut fattats om att utlämnande av offentlig457 handling ska sekretessprövas men att inte någon sekretessprövning sker i tjänsterna AktDirekt och ArkivSök som tillhandahåller akter digitalt.
Lantmäteriet konstaterar att det finns risker i tillhandahållande av akter utifrån olika former av sekretess samt i fråga om personupp- giftshanteringen. Den låsning av akter som gjordes i samband med projektet Infosäk-GDL uppges inte vara heltäckande för att undvika att sekretesskyddad information tillhandahålls genom AktDirekt och ArkivSök.458 Det konstateras vidare dels att en stängning innebär att akter behöver begäras ut manuellt, dels att antalet akter som öpp- nats under en månad 2022 uppgick till 1,4 miljoner. Det anges också att den manuella hanteringen vid utlämnande av akter kommer att öka ledtiderna avsevärt i bland annat fastighetsbildningsverksamhe-
456Information från Lantmäteriet, maj 2025, och Lantmäteriets skrivelse Konsekvenser för att begränsa extern tillgång till Akt Direkt och ArkivSök,, den 19 april 2024, diarienummer saknas.
457I rapporten, som saknar diarienummer, anges offentlig handling men det som torde avses här är allmän handling.
458Lantmäteriet har i oktober 2025 förtydligat att projektet Infosäk-GDL gällde fastighetsregistret och inte akter, vilket kan vara skälet till att åtgärderna som infördes i samband med det i rapporten anges vara otillräckliga för de tjänster som kopplar till Arken.
202
Ds 2026:2 | Den särskilda händelsen |
ten, samhällsbyggnadsprocessen, försäljning och köp av fastigheter samt bank- och värderingsverksamhet. Andra myndigheters och samhällsviktiga aktörers arbete skulle också påverkas och fördröjas. En stängning av tjänster anges även medföra risker för skadestånd för Lantmäteriet i förhållande till användaravtal.
13.2.7Vad togs upp på ledningsgruppsmötet den 14–15 maj 2024?
Av anteckningar från ledningsgruppsmöte den 14–15 maj 2024 fram- går att mötet till viss del handlade om utlämnande av allmänna hand- lingar. I de kortfattade anteckningarna om detta anges att informa- tion och dialog förs om utlämnande av allmän handling och sekre- tessprövning, samt att säkerhetsskyddschefen lämnar en rekommen- dation till myndighetsledningen. Vad rekommendationen innebär anges dock inte. Det framgår vidare att ledningsgruppen tar del av rekommendationen, att ett informationsmöte med bland andra Regeringskansliet, Lantmäteriets styrelse och Säkerhetspolisen planeras och att en arbetsgrupp kommer att arbeta med att ta fram en konsekvensbeskrivning med åtgärder som skulle avrapporteras bland annat den 20 maj på det strategiska informationssäkerhets- forumet.459
Den dåvarande chefsjuristen har, tillsammans med dåvarande sä- kerhetsskyddschefen, i en tjänsteanteckning från den 15 maj 2025 redogjort för vad som enligt deras uppfattning förekom vid mötet. Några uppgifter i övrigt, utöver anteckningarna från ledningsmötet och denna tjänsteanteckning, om vad som behandlades på lednings- gruppsmötet har vi inte fått del av. Enligt tjänsteanteckningen fram- förde chefsjuristen att myndigheten inte har något val vad gäller säkerställande av sekretesskyddet i samband med utlämnande av all- männa handlingar och behöver resursförstärka och stötta de medar- betare som arbetar med dessa frågor. Generaldirektören ansåg vid mötet att myndigheten måste fortsätta arbetet med att klarlägga för- utsättningarna rörande eventuella konsekvenser av att stänga tjäns- ten AktDirekt innan något beslut fattades. Vid mötet diskuteras vi- dare stickprovskontroller och en sannolikhetsbedömning av hur många akter som omfattas av sekretess som kan ha lämnats ut.
459Mötesanteckningar Lantmäteriets ledningsgrupp, den 14–15 maj 2024.
203
Den särskilda händelsen | Ds 2026:2 |
Chefsjuristen påtalade att en riskbedömning kring förekomsten av sekretess och sekretessbrott genom stickprovskontroll riskerade att presentera en felaktig bild av situationen, eftersom förekomsten inte kunde bedömas. Även säkerhetsskyddschefen menade att en sanno- likhetsbedömning inte fick tillämpas vad gäller risken för röjande av säkerhetsskyddsklassificerade uppgifter, eftersom det inte kunde ga- ranteras att sådana uppgifter inte finns i handlingar som tillgänglig- görs i Lantmäteriets tjänster.
13.2.8Styrelsen rekommenderar stängning av digitala tjänster
Vid styrelsemöte den 22 maj 2024 rekommenderade säkerhets- skyddschefen att tjänsterna i AktDirekt skulle stängas. Styrelsens beslut, enligt en omedelbart justerad punkt i protokollet, var följan- de:
På grund av, för styrelsen tidigare okända, brister i rutinerna kring sek- retessprövning i samband med utlämnande av allmänna handlingar samt risk för förekomst av säkerhetsskyddsklassificerade uppgifter i bland annat Lantmäteriets databas för arkiverade handlingar (Arken), beslutar styrelsen att:
-Myndigheten ska stänga all extern tillgång till Arken med omedelbar verkan.
-Myndigheten behöver arbeta med att såväl på kort som lång sikt säkerställa en återgång till att under kontrollerade former kunna tillhandahålla information ur Arken externt.
-Myndigheten ska ta fram en konsekvensanalys för verksamheten samt en analys över konsekvenserna för externa aktörer och sam- hället.
-Myndigheten ska ta fram en plan för hur förlorade avgiftsintäkter och kostnadsökningar omhändertas.
-Myndigheten ska ta fram en plan för hur en återgång till ordinarie verksamhet ska ske.
-Myndigheten ska ta fram en väl genomarbetad kommunikationsplan med talepunkter och tydliga budskap.
-Myndigheten ska ta fram en plan för en snabb ”uppskalning” av det manuella arbetet rörande utlämnande av allmän handling och sek- retessprövning ska ske.
-Myndigheten ska löpande informera styrelsen mellan ordinarie sty- relsemöten.
204
Ds 2026:2 | Den särskilda händelsen |
Styrelsen är medveten om att beslutet kan innebära stor påverkan på såväl verksamheten som samhället.460
13.3Den särskilda händelsen med mera
13.3.1Den särskilda händelsen inleds
På morgonen den 23 maj 2024 beslutade generaldirektören att det förelåg en så kallad särskild händelse på Lantmäteriet och aktiverade beredskapsorganisationen.461 Hela den dagen och den 24 maj 2024 ägnade ledningsgruppen i huvudsak åt att utreda de tekniska förutsättningarna för en kommande stängning, konsekvenserna av en sådan samt hur detta skulle kommuniceras internt och externt.462 Den 24 maj 2024, kl. 11.50, beslutade generaldirektören att stänga tjänsterna i Arken för externa användare. Vid samma tidpunkt gick ett pressmeddelande ut där saken sammanfattningsvis beskrevs på följande sätt, samtidigt som det upplystes om att utlämnandet av information i stället görs via Kundcenter:
Lantmäteriet förändrar av säkerhetsskäl rutiner kring åtkomst av hand- lingar och information. Det medför att tillgången till viss information i ett antal av Lantmäteriets digitala tjänster stängs av eller begränsas. Åt- gärderna är ett sätt att säkerställa att sekretessbelagd information inte når fel händer. Bakgrunden är att Lantmäteriet har uppmärksammat brister i myndighetens hantering i utlämnandet av allmänna handlingar, som har medfört att även sekretessbelagd information har funnits till- gänglig i vissa av Lantmäteriets externa digitala tjänster.
Vid lunchtid samma dag etablerades också en kontakt med de kom- munala lantmäterimyndigheterna. Även Regeringskansliet, Säker- hetspolisen och Riksrevisionen informerades. Beredskapsorganisa- tionen avaktiverades därefter den 24 maj enligt Lantmäteriets logg för den särskilda händelsen, även om arbetet med den särskilda hän- delsen fortsatte.
460Styrelseprotokoll den 22 maj 2024. Vid efterföljande möte den 29 maj enades styrelsen om att formuleringen i protokollet den 22 maj fått en felaktig lydelse och omformulerade de två första punkterna, se styrelseprotokoll den 29 maj 2024, LM 2024/002260, vilket beskrivs längre fram.
461Beslut om särskild händelse på Lantmäteriet, den 23 maj 2024, LM2024/030526.
462Arbetet i samband med den särskilda händelsen finns beskrivet i Lantmäteriets logg för den särskilda händelsen, LM 2024/034148, som vi har tagit del av.
205
Den särskilda händelsen | Ds 2026:2 |
Den 24 maj gjordes även en anmälan till Integritetsskyddsmyn- digheten om eventuell obehörig åtkomst till känsliga personuppgif- ter.463
Den 27 maj 2024 skickade Lantmäteriet till ett antal fastighets- ägare ut en skrivelse med likartad information som i det tidigare pressmeddelandet. Enligt skrivelsen valde Lantmäteriet att infor- mera, eftersom det inte kunde uteslutas att det funnits säkerhets- känsliga uppgifter om mottagaren i Lantmäteriets externa e-tjäns- ter.464
Den 28 maj beslutade generaldirektören att de arkivakter som skapats av kommunala lantmäterimyndigheter fick lämnas ut till res- pektive myndighet. Av beslutet framgår i huvudsak följande.
De kommunala lantmäterimyndigheterna har med stöd av 6 kap. 5 § OSL begärt att Lantmäteriet ska lämna ut kopior av deras akter, som Lantmäteriet lagrar för deras räkning. Akterna omfattas av sek- retess men intresset för att uppgifterna lämnas ut har företräde fram- för de intressen som ska skyddas, särskilt med hänsyn till de kommunala lantmäterimyndigheternas behov av uppgifterna för sin verksamhet, samt att uppgifterna skyddas av sekretess även hos mottagaren. Med hänsyn till behovet av skydd för personuppgifter och säkerhetsskyddsklassificerade uppgifter beslutades att utlämnandet skulle ske i särskild ordning och i vissa fall enligt anvisningar från myndighetens dåvarande säkerhetsskyddschef.465
För att kunna lämna ut de kommunala lantmäterimyndigheternas akter till respektive myndighet ställde Lantmäteriet krav på att för- sändelserna skulle mottas av medarbetare med godkänd säkerhets- prövning.466 Några dagar senare, i slutet av maj, hade i stort sett samtliga kommunala lantmäterimyndigheter fått ut sina handlingar med enstaka undantag där bristande säkerhetsklass hos mottagande personal saknades.467
463LM 2024/031052.
464Ett exempel är skrivelsen LM2024/031305.
465Beslut LM2024/031834
466Styrelseprotokoll den 29 maj 2024, LM 2024/002260, punkt 7.
467Lantmäteriets logg för den särskilda händelsen, LM 2024/034148.
206
Ds 2026:2 | Den särskilda händelsen |
13.3.2Styrelsens tidigare beslut formuleras om
Vid styrelsemötet den 29 maj 2024 korrigerades vissa formuleringar i det beslut som fattats den 22 maj på så sätt att de två första punkterna i tidigare beslut ersattes med följande formuleringar:
-Myndigheten omedelbart måste säkerställa att information (ur Arken) som omfattas av sekretess inte kan komma obehöriga till- handa.
-Myndigheten snarast ska ta fram en plan för hur information (ur Arken) som inte omfattas av sekretess kan lämnas ut på ett kont- rollerat sätt, internt och externt, så snart som detta är möjligt.
Någon motivering till varför dessa punkter formulerades om har vi inte fått fram.
I protokollet från detta möte noteras i övrigt bland annat föl- jande.468
Nedstängningen av Arken har medfört såväl en mycket stor samhälls- påverkan som en stor intern belastning. Åtgärder vidtas för att stärka upp myndighetens kundcenter för granskning och utlämnande av all- männa handlingar. Förstärkningen av kundcenterverksamheten får på- verkan på myndighetens ärendehandläggning och myndigheten utreder därför parallellt möjligheterna att helt eller delvis efter vissa åtgärder kunna öppna upp olika e-tjänster på nytt. De kommunala lantmäteri- myndigheternas egna akter som arkiveras i Arken har redan bedömts kunna lämnas ut till respektive myndighet och nästa steg som arbetas med är att kunna förse varje kommunal lantmäterimyndighet med samt- liga arkivakter inom respektive kommun. Belastningen på medarbetarna är hög och myndigheten ser därför över möjligheterna att tilläggsrekry- tera eller låna in personal för att förstärka kundcenterverksamheten.
Enligt protokollet konstateras vidare att det inte går att fastställa vil- ka skyddsvärden som kan ha röjts utan en omfattande manuell ge- nomgång. Eftersom Arken funnits sedan 1990-talet, vore det också trots en sådan genomgång svårt att avgöra vilken information som eventuellt har lämnats ut.
Chefsjuristen uppgav på styrelsemötet att möjligheterna till di- rektåtkomst ur Arken, med hänsyn till förekomsten av sekretessreg- lerade uppgifter i akterna, sannolikt skulle vara begränsade i fram- tiden. Hon menade också att det var oklart om myndigheten någon-
468Styrelseprotokoll den 29 maj 2024, LM 2024/002260.
207
Den särskilda händelsen | Ds 2026:2 |
sin skulle kunna ha ett tillhandahållande igen som motsvarar det hit- tillsvarande.
Styrelsen förklarade sig stå bakom myndighetens hittillsvarande hantering till följd av det styrelsebeslut som meddelades den 22 maj 2024.
13.3.3Även den interna åtkomsten till akter i Arken begränsas
Den interna tillgången till tjänster hölls inledningsvis öppen bland annat utifrån att det är myndigheten som äger den interna riskhan- teringen, att samtliga medarbetare skrivit på sekretessavtal och att säkerhetsprövade medarbetare följs upp årligen.469 Den 30–31 maj stängdes dock även den interna åtkomsten till akterna i Arken via olika system för de medarbetare som inte hade en godkänd säkerhetsprövning. Därefter har behörigheter tillförts efter hand som medarbetare genomgått godkända säkerhetsprövningar.470
13.4Arbetet med den särskilda händelsen under återstoden av 2024
13.4.1Uppsägning av avtal med mera
Under sommaren beslutade Lantmäteriet, med motiveringen att be- gränsa skadan, att säga upp ett stort antal avtal som gav tillgång till tjänsterna AktDirekt och ArkivSök eller till information i Arken. Det uppgavs bero på att sekretesskyddad information funnits till- gänglig i vissa av de externa e-tjänsterna.471
Den 25 juni respektive den 5 juli informerades Regeringskansliet och Säkerhetspolisen om den särskilda händelsen och det pågående arbetet med denna.472
Ett omfattande arbete pågick också internt på myndigheten med att bland annat planera för rekrytering av ytterligare medarbetare. Förflyttning av resurser mellan verksamhetsområden för att
469Jämför styrelseprotokoll den 29 maj 2024, LM 2024/002260.
470Detta framgår av Lantmäteriets logg för den särskilda händelsen, LM 2024/034148.
471Beslut om uppsägning av vidareförädlares licensavtal avseende nyttjanderätt till Arken- tjänsterna, den 6 juni 2024, LM2024/034146.
472Tjänsteanteckning särskild händelse – infomöte med RK, den 29 juni 2024, LM2024/000003 samt Tjänsteanteckning särskild händelse – infomöte med Säkerhetspolisen, den 5 maj 2024, LM2024/040803.
208
Ds 2026:2 | Den särskilda händelsen |
sekretesspröva akter för utlämnande skulle göras. Dessutom skulle säkerhetsprövning av medarbetare genomföras. Parallellt med detta arbetades också med olika rättsutredningar om tillhandahållande- möjligheter till olika aktörer, framför allt överföring av akter till de kommunala lantmäterimyndigheterna och andra myndigheter, sam- tidigt som antalet förfrågningar om att få ut handlingar ökade markant. Härtill fördes dialoger med ett antal olika kommunala lant- mäterimyndigheter och andra myndigheter om deras behov och hur de stängda tjänsterna påverkade dem. När det gäller privata aktörer diskuterades hur de stängda tjänsterna påverkade Lantmäteriets avtal med dem.473
Under sommaren arbetade 150 medarbetare på Fastighetsbild- ning deltid med sekretessprövning och utlämnande.474
13.4.2Ytterligare åtgärder vidtas
I augusti fattade generaldirektören med stöd av 6 kap. 5 § OSL två tidsbegränsade beslut att elektroniskt lämna ut uppgifter som inte är sekretesskyddade i arkivakter i Arken samt SFÄR till andra myndig- heter. De uppgifter som kunde lämnas ut på detta sätt var sådana som den mottagande myndigheten hade behov av i sin ordinarie för- fattningsreglerade verksamhet.475
I augusti hölls även ett ledningsgruppsmöte vid vilket lednings- gruppen enades om att tillsätta en operativ arbetsgrupp för det fort- satta arbetet kopplat till den särskilda händelsen.476
Den 17 september 2024 tydliggjordes i en säkerhetsskyddsklassi- ficeringspromemoria avseende verksamhetsområde Fastighetsbild- ning att det bedömdes förekomma säkerhetsskyddsklassificerade uppgifter i informationsmängderna i Arken. Det noterades att en arkivakt visar förhållandena som de såg ut vid en förrättnings avslut
473Detta framgår av Lantmäteriets logg för den särskilda händelsen för perioden juni–juli 2025, LM2024/034148.
474Uppgift från bildspel till styrelsemöte om den särskilda händelsen, oktober 2024.
475Beslut den 2 augusti 2024, LM2024/043740, respektive den 23 augusti 2024, LM2024/047230. Ett likartat beslut men med giltighet tills vidare fattades i mars 2025 avseen- de Arken.
476Mötesanteckningar Lantmäteriets ledningsgrupp, den 12 augusti 2024.
209
Den särskilda händelsen | Ds 2026:2 |
och att en sådan akt inte får ändras oavsett vad som händer med fas- tigheten eller ägandet och användningen av den.477
Inom Lantmäteriet diskuterades och utreddes olika alternativ för att skyndsamt kunna öppna de digitala tjänsterna igen. Efter en rätts- utredning i september 2024, på uppdrag av Lantmäteriets lednings- grupp, gjordes bedömningen att arkivhandlingar i Arken enligt den så kallade generalklausulen i 10 kap. 27 § OSL kan tillhandahållas andra myndigheter via direktåtkomst utan att sekretess röjs. Det ansågs gälla särskilt när mottagande myndighet har behov av arkiv- handlingarna i myndighetsutövning, för åtgärder inom förvaltning eller inom rättsskipning samt har verksamhet inom ramen för sam- hällsbyggnadsprocessen, i vid bemärkelse. Den bedömningen gjor- des i huvudsak utifrån att de aktuella sekretessbestämmelserna inte gäller bara hos vissa uppräknade myndigheter utan för alla myndig- heter och att uppgifterna därför har sekretesskydd oavsett vilken myndighet som har dem. Det uppgavs dock att Lantmäteriet skulle göra en djupare analys av till vilka myndigheter det är lämpligt att ge åtkomst. Det uttrycktes också att det inom juristgruppen fanns en osäkerhet om tillämpningen av 21 kap. 3 a § OSL vid tillhandahål- lande (det vill säga sekretess för personer med skyddad folkbokfö- ring), vilket följdes upp med en ny utredning i januari 2025.478
13.4.3Granskningsgrupp Arken och de särskilda kriterierna
De så kallade ”kriterierna”, som syftar till att identifiera vilka akter som kan innehålla säkerhetsskyddklassificerade uppgifter, besluta- des av generaldirektören den 5 september 2024.479
Den 1 oktober 2024 fattade Lantmäteriet beslut om att inrätta en grupp som skulle ha till uppgift att sekretesspröva arkivakter från Arken i samband med internt och externt tillhandahållande (Granskningsgrupp Arken). Beslutet motiverades i huvudsak enligt följande.
477I promemorian justerades tidigare bedömning att ”det inte går att utesluta” att säkerhets- skyddsklassificerade uppgifter finns till att ”det förekommer” sådana uppgifter, promemoria LM2024/051840 s. 1.
478Se avsnitt 11.7.2 samt promemorian Nationellt Digitalt lantmäteriarkiv, den 16 september 2024, LM2024/052370.
479Beslut om kriterier för informationssäkerhetsåtgärder avseende Arken, den 5 september 2024, LM2024/049935.
210
Ds 2026:2 | Den särskilda händelsen |
Med anledning av stängningen av den externa åtkomsten till Arken har Lantmäteriet sett en väsentligt ökad mängd begäranden om utlämnande av allmänna handlingar och uppgift ur allmän handling samt utlämnande av uppgifter till myndighet. Inflödet bedöms förbli högt under en lång tid framöver. För att säkerställa kapaciteten att tillgodose behovet av arkivakter ur Arken är det nödvändigt att inrätta en centraliserad sekretessgranskningsgrupp med expertkompetens rörande de informa- tionsmängder som lagras i Arken och ett tillämpligt regelverk avseende sekretess och informationssäkerhet. Avsikten är att gruppen ska tillgodose ett tillfälligt behov fram tills en ny ordinarie arbetsfunktion har kapacitet och kompetens att hantera uppgifterna. Gruppen delas in i tre arbetsgrupper med olika uppgifter i förhållande till olika interna och externa utlämnanden.480
Dagen efter, den 2 oktober, uppgavs i en skrivelse, som vi förstår riktats till styrelsen även om detta inte anges, att verksamhetsom- råde Säkerhet avråder från öppnande av digitala arkivtjänster innan Lantmäteriet har delgetts beslut i pågående tillsynsärende och detta har analyserats.481
Den 17 oktober beslutade generaldirektören om informations- säkerhetsåtgärder avseende Arken i enlighet med ett förslag som led- ningsgruppen godkänt i september, kopplat till den särskilda händel- sen. Beslutet innebar i korthet att sådana arkivakter i Arken som träffas av vissa givna kriterier, som framgår av ett separat beslut av generaldirektören, inte får göras tillgängliga i myndighetens interna eller externa tillhandahållandetjänster utan att först ha varit föremål för en individuell sekretessprövning. Vid en sådan måste konstateras att arkivakten inte innehåller säkerhetsskyddsklassificerade upp- gifter. En arkivakt som arkiveras i Arken får inte heller göras tillgänglig förrän det kontrollerats om den träffas av kriterierna och den i så fall varit föremål för en individuell sekretessbedömning. En arkivakt som inte omfattas av kriterierna kan enligt beslutet göras omedelbart tillgänglig. Dessa beslut avser arkivakter i Arken för vilka verksamhetsområde Fastighetsbildning, Geodata respektive Fastighetsinskrivning är informationsägare.482
480Beslut om inrättande av Granskningsgrupp Arken den 1 oktober 2024, LM2024/056971.
481Avrådan från att fatta beslut om öppnande av digitala arkivtjänster, den 2 oktober 2024, LM2024/059017.
482Tre olika beslut om informationssäkerhetsåtgärder avseende Arken (ett för respektive verk- samhetsområde), den 17 oktober 2024, LM2024/060089. Jämför även Lantmäteriets logg för den särskilda händelsen den 17 oktober2024, LM 2024/034148.
211
Den särskilda händelsen | Ds 2026:2 |
Enligt uppgift från Lantmäteriet utgör kriterierna en spegelbild av informationssäkerhetsåtgärderna som infördes i fastighetsregist- ret i januari 2024 men är mycket mer omfattande.483
Det fortsatta arbetet hos Lantmäteriet att kartlägga vilka akter som omfattas av sekretess och inte – vilket i sin tur har bäring på vilka som kan komma att göras tillgängliga igen vid ett framtida öppnande av tjänster – bygger fortfarande på de beslutade kriterierna och att validera, bland annat genom dialoger med utvalda aktörer, att dessa träffar rätt information och akter.484
13.4.4Ett stort antal arkivakter låses
I november 2024 låstes närmare en miljon arkivakter (av omkring 3,8 miljoner akter) i Arken utifrån de angivna kriterierna. Det inne- bar att de var åtkomliga endast för ett fåtal medarbetare för sekre- tessprövning.
Dessa informationssäkerhetsåtgärder medförde att en betydande del av arkivakterna i Arken gjordes otillgängliga även i interna till- handahållandetjänster och efter detta är tillgängliga enbart för sär- skilda granskningsgrupper inom myndigheten. Säkerhetsprövning hade därtill genomförts av intern personal med åtkomst till Arken.485
Enligt Lantmäteriet handlade det om försiktighetsåtgärder på så sätt att en mängd potentiellt känsliga akter låstes utifrån att de, sett till kriterierna, kunde omfattas av sekretess även om de kanske inte gjorde det. Härefter kvarstår enligt Lantmäteriet ett stort arbete med att sekretesspröva de låsta akterna och bedöma vilka som kan öppnas. Det arbetet pågår.486
Vid styrelsemöte samma månad förde styrelsen en diskussion om vilka kanaler som användes för att rapportering av avvikelser och brister skulle nå myndighetens ledning. Styrelsen noterade att rap- portering om brister inte föreföll ske via organisationens ordinarie rapporteringsvägar. Mot bakgrund av observationen diskuterade
483Information från Lantmäteriet, november 2025. Jämför den tidigare beskrivningen av detta i avsnitt 13.2.1.
484Jämför Lantmäteriets logg för den särskilda händelsen under hösten 2024 samt början av 2025, LM 2024/034148.
485Information från Lantmäteriet, kompletterat med skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken som lämnades till utredningen den 29 september 2025.
486Information från Lantmäteriet den 25 maj 2025, jämför även Lantmäteriets logg för den särskilda händelsen, under hösten 2024 samt början av 2025, LM 2024/034148.
212
Ds 2026:2 | Den särskilda händelsen |
styrelsen också om det fanns ett kulturellt problem eller ett led- ningsproblem i myndigheten.487
Den 6 december beslutade regeringen, efter samråd med general- direktören, att hon skulle lämna sitt uppdrag.
I mitten av december fattade verksamhetsområdeschefen för fastighetsbildning ett internt beslut att interimistiskt pausa all kom- munikation av säkerhetsskyddsklassificerade uppgifter med sak- ägare vid handläggning av fastighetsbildningsärenden. Bedömningen gjordes med motiveringen att rutinerna behövde ses över med anled- ning av att det uppstått osäkerhet i hur hanteringskraven enligt sä- kerhetsskyddslagen skulle säkerställas i förhållande till sakägare samtidigt som rättssäkerheten upprätthålls. I beslutet anges bland annat att säkerhetsskyddsklassificerade uppgifter som är av materiell betydelse i ärendet enligt lag ska kommuniceras till sakägarna.488
487Styrelseprotokoll den 20 november 2024, LM2024/002260.
488Beslut den 13 december 2024, LM2024/074283.
213
14Det fortsatta arbetet med den särskilda händelsen och utlämnande av allmänna handlingar under 2025
14.1Kapitlets innehåll
I detta kapitel finns en översiktlig beskrivning av delar av det fort- satta arbetet under 2025 med den särskilda händelsen och utläm- nandet av allmänna handlingar, inklusive inriktningen mot att igen försöka öppna digitala tjänster.
14.2Uppdrag inom ramen för den särskilda händelsen
I januari beslutade Lantmäteriet om fyra uppdragsplaner för hante- ring av den särskilda händelsen.489 Planerna var:
1.Behov av regelutveckling för en säker hantering av information
2.Enhetligt utlämnande av allmän handling
3.Säkerställa förvaltningen och utvecklingen av kriterierna
4.Skapa åtkomst till aktinformation från Arken
Innebörden av uppdragen kan i korthet beskrivas enligt följande.
489Beslut den 23 januari 2025, LM2025/007288.
215
Det fortsatta arbetet med den särskilda händelsen | Ds 2026:2 |
Uppdraget Behov av regelutveckling för en säker hantering av infor- mation pågick till slutet av februari 2025 och gick ut på att samman- ställa de regelutvecklingsbehov som identifierats och som utgjorde ett hinder för en säker och effektiv hantering och utlämnande av handlingar (både digitalt och manuellt). De regelutvecklingsbehov som avsågs hänför sig dels till Lantmäteriets hantering av uppgifter och handlingar, inklusive informationssäkerheten i stort, dels till att externt öppna tjänsterna för myndigheter. Även den hantering som följer av utlämnandet av allmänna handlingar omfattades.490 I detta deluppdrag föreslås att Arkenförordningen upphävs, alternativt en omfattande revidering av förordningen. Det beskrivs som ett problem att det finns känsliga personuppgifter i arkivakter, vilket man i förordningen har utgått från att det inte gör. Lantmäteriet bedömer att förordningen inte är tillämplig på den befintliga tek- niska lösningen (en arkivdatabas) hos Lantmäteriet.491 Myndigheten ansåg även att de rättsliga förutsättningarna för tillhandahållande av känsliga personuppgifter i akter bland annat till andra mottagare än myndigheter behövde utredas.
I uppdraget Enhetligt utlämnande av allmän handling på Lant- mäteriet ingick ett antal olika delfrågor, bland annat att ta fram en handbok om utlämnande av allmän handling, att skapa en gemensam sida på intranätet där all väsentlig information finns samlad om ut- lämnande av allmän handling och att slutföra arbetet med en grund- läggande behovsanpassad utbildning inom sekretessprövning och försvarssekretess. Handboken färdigställdes och togs i bruk under våren 2025 och information om utlämnande finns numera samlad på intranätet. Det har vidare bedrivits kompetenshöjande insatser inom området.
Uppdraget Säkerställa förvaltningen och utvecklingen av krite- rierna avslutades den 31 mars 2025 och innefattade bland annat att dokumentera, förvalta och utveckla arbetet med kriterier.
Uppdraget Skapa åtkomst till aktinformation från Arken avses pågå tills tjänster på nytt kan tas i drift och går i stort ut på att åstad-
490Rapporten Behov av regelutveckling för en säker hantering av information, den 13 mars 2025, LM2025/159810, s. 3. Utöver de förslag som redogörs för här efterfrågar Lantmäteriet bland annat ytterligare utredningar om sekretessbestämmelser för förföljda personer med mera i vissa av myndighetens ärenden och register samt sekretessbrytande bestämmelser om utlämnande till ny fastighetsägare.
491Rapporten Behov av regelutveckling, LM2025/159810, s. 4, se även kapitel 11.
216
Ds 2026:2 | Det fortsatta arbetet med den särskilda händelsen |
komma ett säkert och kontrollerat tillhandahållande av aktinforma- tion samt en ökad kapacitet av utlämnande av allmän handling.492
14.3Arbetet mot ett återöppnande av de digitala tjänsterna
14.3.1Vilka tjänster ska öppnas och hur?
Enligt uppgift från Lantmäteriet finns det en förväntan även från regeringen att myndigheten i någon grad ska öppna digitala tjänster igen. Lantmäteriet gör den tolkningen utifrån hur myndigheten har budgetsatts för 2026.493
I ett bildspel, avsett för styrelsen, daterat den 5 februari 2025 finns en sektion som benämns Plan för återöppnande. Där framgår i huvudsak följande.
Avseende den krets som kan få tillgång till tjänsterna anges i bild- spelet att villkoren är att aktörerna omfattas av de sekretessbestäm- melser som gäller för uppgifterna i Lantmäteriets tjänster, att de behöver informationen för att utföra sina myndighetsuppgifter samt att det görs en individuell prövning av varje sökande organisation. Mottagande organisation får tydlig information om att akterna kan innehålla sekretessreglerade uppgifter och känsliga personuppgifter och ska säkerställa att deras individuella användare har kunskap om hur tjänsterna och informationen däri får användas.
Vidare nämns i bildspelet att det kommer att införas en loggning av individuell användning, innebärande bland annat att Lantmäteriet delar ut individuella behörigheter. Lantmäteriet uppges kunna stänga av åtkomst eller ta bort behörigheter. Lantmäteriets bedöm- ning i bildspelet är att de tjänster som kan öppnas enbart är sådana där det kan garanteras en maskinläsbar individuell loggning av an- vändning, vilket för externa aktörer gäller ArkivSök och FR-Webb.
I ett beslut den 13 augusti 2025 har Lantmäteriet fastställt förut- sättningarna för ett externt tjänstebaserat elektroniskt tillhanda-
492Information från Lantmäteriet, december 2025.
493Lantmäteriets logg för den särskilda händelsen, LM 2024/034148. Vi har noterat att Lantmäteriets anslag i budgetpropositionen (prop. 2025/26:1 UO 18, s. 35) ökas med 20 miljoner kronor för 2026 för att möta det ökade behovet av manuell sekretessprövning för att hantera Lantmäteriets ärenden om utlämnande av allmänna handlingar och för viss teknisk utredning och utveckling.
217
Det fortsatta arbetet med den särskilda händelsen | Ds 2026:2 |
hållande av akter ur Arken. Av beslutet framgår bland annat föl- jande.494
Lantmäteriet förbereder tillhandahållande av tjänster som avser att ge vissa aktörer åtkomst till vissa handlingar i Arken. Det tjänstebaserade elektroniska tillhandahållandet kan i normalfallet medges en myndighet, under förutsättning att
1.minst en sekretessbrytande bestämmelse är tillämplig på tillhan- dahållandet för det avsedda ändamålet,
2.det finns rättsligt stöd för att behandla känsliga personuppgifter i tillhandahållandet för det avsedda ändamålet, och
3.ändamålet för åtkomst är förenligt med finalitetsprincipen, det vill säga att ändamålet överensstämmer med det ursprungliga ändamålet för vilket personuppgifterna samlades in.
Myndigheter som beviljas åtkomst till information ur Arken ska enligt beslutet få information om att de får tillgång till sekretessreg- lerade uppgifter, känsliga personuppgifter och extra skyddsvärda personuppgifter i form av exempelvis personnummer.
Vidare anges i beslutet att Lantmäteriet agerar utifrån att Arken- förordningen inte är tillämplig på Arken och därmed inte ger rätts- ligt stöd för extern åtkomst till Arken. Trots det bedömer Lantmä- teriet att det finns grundläggande rättsliga förutsättningar att medge vissa externa aktörer åtkomst till Arken. Så kan dock ske enbart för en begränsad krets aktörer som använder innehållet i Arken för av- gränsade ändamål.495
De identifierade ändamålen uppges i beslutet vara samhällsut- veckling med mera, lantmäteriverksamhet, överprövning, prövning av överklagande samt rättskipning och förberedande åtgärder enligt fastighetstaxeringslagen.
Härtill uppges i beslutet att ett tjänstebaserat elektroniskt tillhan- dahållande förutsätter att de tekniska lösningarna innehåller lämp- liga skyddsåtgärder.
494Beslut LM2024/106363.
495Som underlag för bedömningen refereras till bland annat promemorian Nationellt digitalt lantmäteriarkiv, LM2024/0523 70. Vidare hänvisas till dataskyddslagen i fråga om möjligheten att behandla känsliga personuppgifter och personnummer.
218
Ds 2026:2 | Det fortsatta arbetet med den särskilda händelsen |
14.3.2Dialoger med externa aktörer med mera
En viktig åtgärd inför ett återöppnande har enligt Lantmäteriet varit att genomföra dialoger med berörda aktörer (fastighetsägare) för att kvalitetssäkra att de kriterier som tagits fram fångar akter som om- fattas av sekretess. Under arbetet med den särskilda händelsen har aktörer identifierats och en process konkretiserats.496 Detta arbete pågår.
14.3.3Kontakter med olika myndigheter
En annan viktig del av Lantmäteriets arbete efter stängningen av digitala tjänster har varit att föra dialog med andra myndigheter, exempelvis länsstyrelser, Sveriges Kommuner och Regioner (SKR) och domstolar, i syfte att bedöma behovet av tillgång till aktinfor- mationen i Lantmäteriets system. Lantmäteriet har initierat sådan samverkan med berörda myndigheter.
14.3.4Att söka akter och att dela upp dem
Lantmäteriet arbetar med inriktningen att skilja på akter med res- pektive utan säkerhetsskyddsklassificerade uppgifter. Akter utan så- dana uppgifter öppnas för tillhandahållande internt genom att göras tillgängliga för behöriga medarbetare.497 Och sådana akter avser Lantmäteriet framöver tillhandahålla till myndigheter digitalt, efter- som man gjort bedömningen att uppgifterna hos mottagande myn- dighet omfattas av samma sekretessregler som hos Lantmäteriet eller omfattas av överföring av sekretess. Akter som kan innehålla säker- hetsskyddsklassificerade uppgifter anse man däremot ska förbli låsta.498
Enligt uppgift har Lantmäteriet från den del av akterna som be- dömts som öppna sökt ut all försvarssekretess på ett generellt sätt utifrån kriterier, eftersom Arken innehåller fotograferade akter och det inte bedöms görligt att söka igenom samtliga akter. Enligt Lant- mäteriet kan det dock förekomma annan sekretess i akterna. Med nuvarande lagstiftning anser Lantmäteriet att det inte kommer att
496Lantmäteriets logg för den särskilda händelsen, LM2024/034148.
497Jämför beslutet LM2024/070889 den 15 januari 2025.
498Information från Lantmäteriet, december 2025.
219
Det fortsatta arbetet med den särskilda händelsen | Ds 2026:2 |
vara möjligt att öppna denna informationsmängd mot andra aktörer än myndigheter.
Lantmäteriet utredde, inför stängningen av den externa tillgången till AktDirekt och ArkivSök, vilka konsekvenser det skulle medföra. Då angavs bland annat som konsekvens en kraftigt ökad arbetsbelastning på Lantmäteriets granskare av akterna, en ökad kostnad för manuell hantering, en risk för felaktig hantering på grund av fler moment, ökad tid att få ut akten, högre arbets- belastning hos kommunerna för att ge service till privatpersoner om deras fastigheter samt ökade handläggningstider i samhällsbygg- nadsprocessen.499
14.3.5Tidsperspektiv för återöppnande
Den initiala planen var att öppna tjänsterna redan i oktober 2024 men detta avråddes Lantmäteriet från att göra av verksamhetsom- råde Säkerhet utifrån den då pågående tillsynen av säkerhets- skyddet.500
Styrelsen var inte heller redo att häva sitt beslut om nedstängning av tjänsterna. Av styrelseprotokoll från den 11 oktober 2024 framgår visserligen att styrelsen konstaterar att myndigheten vidtagit i hu- vudsak samtliga åtgärder som efterfrågades av styrelsen i samband med att beslutet om stängning fattades. Det uppges dock att styrel- sen innan man kan överväga att fatta ett nytt beslut bland annat ska ha tagit del av Säkerhetspolisens ställningstagande i tillsynsärendet och en värdering av samtliga risker som identifierats under arbetet. Myndigheten skulle därtill ha gjort en särskild säkerhetsskyddsbe- dömning enligt 3 kap. 1 § säkerhetsskyddsförordningen som styrel- sen skulle ta del av.501
Härefter blev målsättningen att arbeta för ett öppnande i början av december 2024. Tidsplanen har ändrats ett flertal gånger, enligt
499Lantmäteriets skrivelse Konsekvenser för att begränsa extern tillgång till Akt Direkt och ArkivSök, den 19 april 2024, diarienummer saknas.
500Avrådan från att fatta beslut om öppnande av digitala tjänster, den 2 oktober 2024, LM2024/05917.
501Styrelseprotokoll den 11 oktober 2024, punkt 2.
220
Ds 2026:2 | Det fortsatta arbetet med den särskilda händelsen |
uppgift bland annat utifrån att dialogerna med externa aktörer inte slutförts.502
Vid ett styrelsemöte i februari 2025 fastställdes att ett beslut om öppnande av digitala tjänster skulle tas av styrelsen, inte generaldi- rektören. Ny planering för öppnande blev mars 2025.503 Enligt mö- tesprotokollet förväntade sig styrelsen att Lantmäteriets dialog med civilförsvarssektorn då slutförts och redovisats för styrelsen.504
Härefter har Lantmäteriet i mars 2025, när det gäller att öppna digitala tjänster för offentliga aktörer, kommunicerat att det behövt skjutas fram ytterligare.505 Arbetet med inriktning mot att på nytt öppna digitala tjänster för aktinformation pågår fortfarande.
14.3.6Bedömning av skyddad folkbokföring
I den tidigare nämnda promemorian Nationellt digitalt lantmäteri- arkiv utreddes de rättsliga förutsättningarna för att öppna ett digitalt tillhandahållande av arkivhandlingar i Arken till aktörer inom offentlig verksamhet med myndighetsuppgift och där ett behov av informationen finns. I promemorian framkom viss osäkerhet om uppgifter som finns i arkiverade handlingar kan omfattas av sekretess enligt 21 kap. 3 a § OSL (det vill säga sekretess för personer med skyddad folkbokföring) och om Lantmäteriet kan tillhandahålla sådana uppgifter till andra myndigheter.506 Som tidigare nämnts gäller enligt den bestämmelsen en presumtion för att uppgifterna omfattas av sekretess.
I slutet av 2024 gjorde jurister inom Lantmäteriet bedömningen att det inte kan uteslutas att det kan finnas uppgifter som omfattas av sekretess enligt 21 kap 3 a § OSL i arkivhandlingar även om det bedömdes osannolikt att en person som efter arkiveringen har fått skydd fortsätter att vistas på samma fastighet. Vidare bedömdes att sådana uppgifter inte kan lämnas ut med stöd av generalklausulen
502Detta framgår av Lantmäteriets logg för den särskilda händelsen, LM 2024/034148. Av sty- relseprotokollet från den 4 december 2024 framgår endast kortfattat att en avrapportering görs där det informeras om tidplan och aktiviteter kopplat till myndighetens arbete med den sär- skilda händelsen. Enligt uppgift från Lantmäteriets nuvarande generaldirektör är det dialoger- na med olika aktörer som gjort att öppnandet dragit ut på tiden.
503Detta framgår av Lantmäteriets logg för den särskilda händelsen, LM 2024/034148. I mötes- protokollet i sig är det inte beskrivet i dessa ordalag.
504Styrelseprotokoll den 18 februari 2025, punkt 20.
505Se https://www.lantmateriet.se/sv/om-lantmateriet/press/nyheter/lantmateriet- fokuserar-pa-skyndsam-atkomst-av-arkivakter/, hämtat den 24 november 2025.
506Promemorian Nationellt Digitalt lantmäteriarkiv, den 16 september 2024, LM2024/052370.
221
Det fortsatta arbetet med den särskilda händelsen | Ds 2026:2 |
10 kap. 27 § OSL, eftersom det inte kan anses vara uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda.507 Man menade att det inte heller på för- hand kan avgöras om uppgifterna kommer att ingå i ett ärende hos den mottagande myndigheten och därigenom skyddas genom 21 kap. 3 a § OSL.508
I januari 2025 gjorde Lantmäteriet en annan bedömning, genom den dåvarande vikarierande generaldirektören, av möjligheterna att ge elektronisk tillgång till myndigheter (genom direktåtkomst) i för- hållande till 21 kap. 3 a § OSL. Bedömningen gjordes att eventuella sekretesskyddade uppgifter omfattades av sekretess hos de motta- gande myndigheterna och med hänvisning till 11 kap. 4 § OSL509 i fråga om så kallad överskottsinformation. Uppgifterna bedömdes vidare kunna lämnas ut med stöd av 10 kap. 27 § OSL. Det ansågs uppenbart att intresset av att uppgifterna lämnas har företräde framför det intresse som sekretessen ska skydda. 510
14.4Nuläge avseende organisation, antal förfrågningar och bemanning
I oktober 2025 tog Lantmäteriet fram ett underlag för beslut om skyndsam sekretessprövning och utlämnande av arkivakter. I rap- porten beskrivs den nuvarande organisationen enligt följande.511
För nuvarande hanteras låsta akter i Gävle och av inlånad personal på kontoret i Stockholm. De öppna Fastighetsbildningsakterna sekretessprövas av personal från Fastighetsbildningen runt om i landet. Inskrivningsakterna, som inte är låsta på sätt som fastighets- bildningsakter i Arken, granskas av inskrivningens personal. Akter
507I 10 kap. 27 § OSL anges att en sekretessbelagd uppgift får lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekre- tessen ska skydda.
508Utredningarna 10 kap. 27 § OSL, den 18 november 2024, diarienummer saknas, samt
21kap. 3 a § OSL avseende arkivakter, den 10 december 2024, diarienummer saknas.
509Enligt den bestämmelsen gäller att om en myndighet hos en annan myndighet har elektro- nisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptag- ning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Den här bestämmelsen gäller enligt 11 kap. 8 § OSL bara om det inte finns en annan primär sekretessbestämmelse än 21 kap. 1, 3, 3 a, 5 och 7 §§ till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten.
510Utredningen Förutsättningar för att lämna ut uppgifter som omfattas av 21 kap. 3 a § OSL med stöd av 10 kap. 27 § OSL, den 22 januari 2025, diarienummer saknas.
511Rapporten Organisation för en skyndsam sekretessprövning och utlämnande av akter, den
2oktober 2025, LM2025/128417, s. 16.
222
Ds 2026:2 | Det fortsatta arbetet med den särskilda händelsen |
som innehåller personsekretess granskas av en specifik sekretess- grupp. Vissa ytterligare inskrivningsakter hanteras av en särskild granskningsgrupp av jurister och specialisthandläggare.
Det sammanlagda inflödet per arbetsdag av externa förfrågningar och interna beställningar av olika typer av akter är i genomsnitt drygt
800.I nuläget är behovet cirka 56 årsarbetskrafter för att klara ett skyndsamt utlämnande.512
14.5Lantmäteriets nuvarande målbild
14.5.1Återöppnandet av tjänster
Lantmäteriet arbetar fortfarande med inriktningen att göra det möj- ligt att ge externa användare åtkomst till ett urval av innehållet i Arken genom tillhandahållandetjänsterna ArkivSök och FR Webb. Tjänsterna kommer inte att ge åtkomst till säkerhetsskyddsklassifi- cerade uppgifter. Däremot kan det finnas uppgifter som omfattas av sekretess på annan grund. Åtkomst kommer därmed enligt nuva- rande planering enbart att medges myndigheter, som har att tillämpa lagen om offentlighet och sekretess.513 Det kommer vidare att ställas krav på att personuppgifter hanteras i enlighet med gällande lagstift- ning. Myndigheter som enligt Lantmäteriet har ett tydligt behov av aktinformation och som uppfyller förutsättningarna enligt lagen om offentlighet och sekretess är kommunala lantmäterimyndigheter, Domstolsverket och Skatteverket. Privata aktörer behöver däremot fortsatt begära ut akter som allmän handling.514
512Rapporten Organisation för en skyndsam sekretessprövning och utlämnande av akter, den
2oktober 2025, LM2025/128417, s. 7 och 17–18, samt information från Lantmäteriet, december 2025.
513Information från Lantmäteriet, kompletterat med skrivelsen Information om Lantmäteriets tillhandahållandetjänster rörande Arken, som lämnades till utredningen den 29 september 2025.
514Se https://www.lantmateriet.se/sv/om-lantmateriet/press/nyheter/lantmateriets-digitala- tjanster-for-aktinformation-begransas-till-vissa-myndigheter-vid-ett-oppnande/ samt https://www.lantmateriet.se/sv/om-lantmateriet/press/nyheter/oppnandet-av-lantmateriets- digitala-tjanster-for-aktinformation-skjuts-fram/, hämtat den 24 november 2025.
223
Det fortsatta arbetet med den särskilda händelsen | Ds 2026:2 |
14.5.2Lantmäteriets förslag för en skyndsam sekretessprövning och utlämnande av akter
I den nämnda rapporten om hur skyndsam sekretessprövning och utlämnande av arkivakter kan ske lämnas ett förslag som avser tre år, 2026–2028, som kan sammanfattas enligt följande.515
Färdplan 2026–2028
För 2026–2028 görs ett antal antaganden om digitalt tillhandahål- lande av akter av olika slag och om effekterna av olika åtgärder, bland annat maskinellt stöd. Utifrån antagandena bedöms för 2026 inflö- det per arbetsdag av externa förfrågningar och interna beställningar uppgå till 737 akter och det bedöms krävas knappt 52 årsarbets- krafter per dag för att klara inflödet.516 För 2027 bedöms inflödet per arbetsdag uppgå till 635 akter och det bedöms att det behövs drygt 35 årsarbetskrafter per dag för att klara inflödet.517 Bedömningen för 2028 är ett inflöde per arbetsdag på 618 akter och det bedöms krävas cirka 33 årsarbetskrafter per dag för att klara inflödet.518
Förslag på framtida organisering
Lantmäteriets förslag på framtida organisering och bemanning tar sikte på en centraliserad granskningsenhet som specialiserar sig på granskning av alla arkivakter som är arkiverade i Arken och SFÄR och att granskningsenheten placeras i Gävle.519 Fördelarna med att kunna granska alla typer av handlingar och att sitta samlade fram- hålls. Närheten till Kundcenter betonas, eftersom Kundcenter kom- mer att vara en del i flödet för utlämnande av handlingar. Gransk- ningsenheten kommer organisatoriskt att ligga under enhet Inskriv- ning och granskning. I vissa fall kommer enheten att behöva stöd från verksamhetsområde Juridik och verksamhetsområde Säkerhet.520
515Rapporten Organisation för en skyndsam sekretessprövning och utlämnande av akter, den
2oktober 2025, LM2025/128417.
516Rapporten, s. 12.
517Rapporten, s. 13.
518Rapporten, s. 14–15.
519Rapporten, s. 17–18.
520Rapporten, s. 19.
224
15Lantmäteriets behandling av personuppgifter
15.1Kapitlets innehåll
I det här kapitlet beskrivs Lantmäteriets personuppgiftsansvar, myn- dighetens arbete med dataskydd och den nuvarande organisationen för detta. Vidare tas myndighetens riktlinjer för hantering av per- sonuppgifter och skyddade personuppgifter upp. Slutligen beskrivs några delar av Lantmäteriets behandling av personuppgifter med fo- kus på arkivakter.
15.2Allmänt om Lantmäteriets personuppgiftsansvar
Lantmäteriet är som huvudregel personuppgiftsansvarig för behand- ling av personuppgifter i sin verksamhet. I ansvaret ingår bland annat att visa på vilket sätt de grundläggande principerna i dataskyddsför- ordningen efterlevs. Det gör myndigheten bland annat genom att in- formera de registrerade om personuppgiftsbehandlingar, föra regis- ter över personuppgiftsbehandlingar, upprätta interna riktlinjer för dataskydd och utbilda personalen, säkerställa att integritetsvänliga lösningar byggs in i Lantmäteriets system (så kallat inbyggt data- skydd) och utföra konsekvensbedömningar av personuppgiftsbe- handlingar som kan leda till hög risk för registrerades fri- och rättig- heter.521
521Lantmäteriets riktlinje för hantering av personuppgifter, LM2025/121999.
225
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
15.3Något om Lantmäteriets arbete med dataskydd
15.3.1Åtgärder med anledning av otillräcklig styrning inom området
Lantmäteriet har tidigare ansett att styrningen inom området data- skydd varit otillräcklig.522 Frågan var uppe i olika sammanhang 2020 och 2021.523 Det ledde fram till att generaldirektören i maj 2022 fattade beslut om ett samordnat dataskydds- och informationssäker- hetsarbete där det bland annat angavs att respektive verksamhetsom- råde skulle utse koordinatorer. Dessa koordinatorer skulle vara verk- samheternas representanter i dataskydds- och informationssäker- hetsrelaterade frågor. Vidare skulle dataskyddssamordnare sam- ordna och driva dataskyddsfrågorna inom myndigheten.524
I september 2022 avrapporterades det nya arbetssättet med data- skydds- och informationssäkerhetsorganisationen samt utmanin- garna i arbetet på ett ledningsgruppsmöte.525 Enligt uppgifter från den avrapporteringen upplevde dataskyddssamordnarna och enhets- chefen för dåvarande Informationsstyrning utmaningar i att det nya sättet att arbeta samordnat inte förankrats i hela Lantmäteriet. De mötte ifrågasättanden och motstånd som tolkades som en reaktion på hur man prioriterade och en brist på resurser för detta arbete. I sak efterfrågades ett ställningstagande avseende att åtminstone int- roduktionsutbildningen skulle vara obligatorisk och genomföras år- ligen av samtliga medarbetare.526
Ledningsgruppen gav stöd åt att en obligatorisk 15 minuters introduktionsutbildning i dataskydd skulle ges för samtliga medar- betare.527
522Se exempelvis Lantmäteriets verksamhetsplan 2022–2024 från 2021, LM2021/021308, s. 14.
523Se mötesanteckningar Lantmäteriets ledningsgrupp den 28–29 januari 2020, punkt 16, den
27–28 januari 2021, punkt 5, den 28 juni 2021, punkt 8, och den 7 oktober 2021, punkt 7.
524Samordnat dataskydds- och informationssäkerhetsarbete den 4 maj 2022. LM2022/016745.
525Mötesanteckningar Lantmäteriets ledningsgrupp den 21 september 2022, punkt 12.
526Bildspelet Informationssäkerhets- och dataskyddsarbete, rapportering LMLG den
22september 2022.
527Se mötesanteckningarna, punkt 12.
226
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
15.3.2Internrevisionens granskning av efterlevnaden av dataskyddsförordningen, GDPR
I juni 2023 genomförde internrevisionen en granskning av person- uppgiftshanteringen på Lantmäteriet i syfte att bedöma om Lantmä- teriet bedrev ett ändamålsenligt arbete enligt dataskyddsförord- ningen.528 Internrevisionen ansåg att det fanns brister inom dokumentation, implementation, uppföljning samt efterlevnad av styrande dokument och riktlinjer. Myndighetens dåvarande ansvars- fördelning föranledde enligt internrevisionen ett ökat behov av upp- följning, eftersom ett stort ansvar låg hos chefer och informations- ägare på verksamhetsnivå. Internrevisionen noterade att utbild- ningsplanen avseende dataskyddsförordningen kunde förbättras för att säkerställa medvetenhet och kännedom inom samtliga delar av verksamheten. Vidare borde flertalet dokumenterade rutiner upprät- tas och implementeras för att säkerställa ett strukturerat och ända- målsenligt dataskyddsarbete. Internrevisionens bedömning var att Lantmäteriet bedrev ett dataskyddsarbete som inte ansågs vara till- fredsställande. I rapporten lämnade internrevisionen ett antal re- kommendationer.
I Lantmäteriets svar på granskningen delade myndigheten ett flertal av internrevisionens bedömningar om utvecklingsområden. Myndigheten hade dock avvikande åsikter om vissa av de rekom- menderade åtgärderna.529
15.3.3Den särskilda händelsens påverkan på det systematiska dataskyddsarbetet 2024–2025
I en uppföljning av det systematiska dataskyddsarbetet inom Lant- mäteriet för 2024 angavs bland annat att den särskilda händelsen hade medfört stora förseningar i åtgärdsarbetet.530 Av dataskydds- samordnarnas arbetsplan för 2025 framgår att aktiviteter skulle ha genomförts under 2024 men blev kraftigt försenade eller fick ett nytt
528Internrevisionens revisionsrapport den 15 juni 2023, LM2023/030425.
529Myndighetens svar avseende internrevisionsrapport Granskning av efterlevnad av datas- kyddsförordningen, GDPR, LM2023/036506, fastställt av styrelsen, se protokoll den 25 okto- ber 2023.
530Årsrapport – Uppföljning av systematiskt dataskyddsarbete den 17 mars 2025, LM2025/030754, s. 3.
227
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
slutdatum på grund av att de nedprioriterades av verksamheten.531 De flesta av aktiviteterna var åtgärder efter Internrevisionens granskning av Lantmäteriets efterlevnad av dataskyddsförord- ningen.
15.3.4Styrande och stödjande dokument
Utöver det beslut om ett samordnat dataskydds- och informations- säkerhetsarbete som redogjorts för i avsnitt 15.3.1 finns, som sty- rande och stödjande dokument inom området, ett beslut avseende Lantmäteriets register över personuppgiftsbehandlingar (så kallat artikel 30-register),532 riktlinjer för hantering av personuppgifter,533 dataskyddssamordnarnas årliga arbetsplan och ett avsnitt i myndig- hetens informationshanteringsplan.534 Vi återkommer till några av dokumenten.
15.3.5Utbildningar inom området
Numera finns en obligatorisk utbildning om 15 minuter med intro- duktion till dataskyddsförordningen som riktar sig till samtliga med- arbetare och en grundutbildning inom dataskydd om 60 minuter som riktar sig till koordinatorer och övriga intresserade. Vidare finns visst presentationsmaterial om dataskydd som kompletterar den obligatoriska utbildningen. Syftet med presentationsmaterialet är att ytterligare förstärka medarbetarnas kompetens i dataskydd. Det finns även myndighetsövergripande information och stödmaterial på intranätet och Wiki om hur man ska hantera personuppgifter.535
531 Arbetsplan 2025 för Lantmäteriets dataskyddssamordnare den 28 mars 2025, LM2025/030794, s. 3–4.
532LM2023/057811.
533LM2025/121999 och LM2023/019011, den sistnämnda avser skyddade personuppgifter.
534Lantmäteriets informationshanteringsplan 4.6.6 Arbeta med dataskydd den 16 januari 2024.
535Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022–2025, den 16 septem- ber 2025, LM2025/120208, s. 5 och 9 samt kompletterande information från Lantmäteriet, november–december 2025.
228
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
15.3.6Uppföljning av dataskyddsarbetet
Uppföljningen av det systematiska dataskyddsarbetet inom Lantmä- teriet innebär bland annat att en årsrapport om arbetet upprättas. Vidare görs en rapportering till Lantmäteriets ledningsgrupp två gånger per år där områdena personuppgiftsincidenter, konsekvens- bedömningar, utbildningsstatistik och koordinatorernas arbete hit- tills varit återkommande punkter. Dialogmöten med verksamhets- områden på ledningsgruppsnivå sker två gånger per år och syftar till att informera om status på det systematiska dataskyddsarbetet inom det specifika verksamhetsområdet. Arbets- och samrådsmöten med dataskyddsombudet och funktionen Informationssäkerhet, samt av- stämningsmöten med verksamhetsområde Juridik hålls regelbundet. Månadsrapporter om personuppgiftsincidenter skickas automatiskt från rapporteringssystemet till dataskyddssamordnare och rappor- terna publiceras på Wiki för att nå alla medarbetare. Slutligen har dataskyddssamordnarna kontakt med andra myndigheter för att ut- byta erfarenheter.536
15.4Lantmäteriets nuvarande organisering av dataskyddsarbetet
15.4.1Dataskyddsombud
Lantmäteriets dataskyddsombud är placerad inom verksamhets- område Säkerhet. Dataskyddsombudet rapporterar i de frågor som omfattas av uppdraget som dataskyddsombud löpande till general- direktören och redovisar planeringen och utfallet av sitt övervakande och granskande arbete två gånger per år till styrelsen.537 Dataskydds- ombudet arbetar i denna roll på heltid.
15.4.2Dataskyddssamordnare
Dataskyddssamordnarna och deras arbete beskrivs på följande sätt av Lantmäteriet.538
536Rapporten om genomförda aktiviteter 2025, LM2025/120208, s. 8–9.
537Se avsnitt 3.3.2 arbetsordningen.
538Rapporten om genomförda aktiviteter 2025, LM2025/120208, s. 2–3 samt 8–9.
229
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
Före 2022 fanns inte något utpekat samordningsansvar för data- skyddsfrågor i myndigheten. Numera finns två dataskyddssamord- nare som arbetar heltid med dataskyddsfrågor (sedan februari 2022).
Sedan den 1 september 2025 är rollen dataskyddssamordnare i praktiken överförd till verksamhetsområde Säkerhet från dåvarande Informationsstyrningsenheten.539 Den formella förändringen började gälla den 1 januari 2026. Syftet med den organisatoriska förändringen är att införliva dataskydd i arbetet med informations- säkerhet.
I dataskyddssamordnarnas uppdrag ingår att samordna och driva dataskyddsarbetet inom Lantmäteriet. Det gör de genom att bland annat ge råd och stöd i generella myndighetsgemensamma frågor inom ramen för dataskyddsarbetet, ta fram gemensamma styrande och stödjande dokument och samordna arbetet med en mängd olika frågor. De stödjer också verksamheterna i arbetet med konsekvens- bedömningar och koordinatorerna i deras arbete med dataskydd.
Lantmäteriets dataskyddssamordnare startade 2023 ett nätverk för erfarenhets- och kompetensutbyte inom praktiskt dataskydds- arbete. I nätverket ingår representanter från ett tjugotal andra myn- digheter. Dataskyddssamordnarna är sammankallande till träffarna som sker 3–4 gånger per år.
15.4.3Koordinatorer
Det finns för närvarande 26 koordinatorer inom myndigheten. Dataskyddssamordnarna kallar koordinatorerna till verksamhets- specifika avstämningsmöten var tredje vecka. Nätverksträffar med samtliga utsedda koordinatorer sker 2–4 gånger per år.
I koordinatorernas uppdrag ingår att aktivt arbeta inom sina verksamheter för att alla medarbetare ska känna ansvar för och del- aktighet i myndighetens dataskydds- och informationssäkerhetsar- bete. Det sker bland annat genom utbildningar och möten inom dataskydd och informationssäkerhet samt genom att informera och ge råd inom verksamheten.540
539 Enligt uppgift från intervjuer. Titeln uppges numera vara informationssäkerhets- handläggare tillika dataskyddssamordnare.
540Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022–2025, den 16 september 2025, LM2025/120208, s. 3.
230
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
15.5Samordningen av dataskyddsarbetet
Arbetet med Lantmäteriets dataskyddsfrågor samordnades tidigare av dåvarande Informationsstyrningsenheten inom Verksamhetsom- råde Tre I. Från och med den 1 januari 2026 är verksamhetsområde Juridik ansvarigt för samordningen.541
Enligt information från Lantmäteriet har det vidtagits ett antal åtgärder inom det löpande samordningsarbetet. Nämnas kan exempelvis att en process och rutin som tydliggör roller och ansvar vid dataskyddsombudets granskningar har tagits fram. Dataskydds- samordnarna har också besökt ett flertal arbetsplatsträffar och en- hetsmöten och informerat om dataskyddsförordningen och Lant- mäteriets systematiska dataskyddsarbete. Det finns även myndig- hetsövergripande information, riktad information och stödmaterial på intranätet och Wiki till medarbetarna om hur de ska hantera per- sonuppgifter och arbeta med dataskyddsfrågor.542
15.6Närmare om Lantmäteriets riktlinjer för hantering av personuppgifter
15.6.1Hantering av personuppgifter
I riktlinjen om hantering av personuppgifter framtagen 2025 anges att dess syfte är att utgöra en grund för Lantmäteriets systematiska arbete med dataskydd och behandling av personuppgifter.543 Vidare anges att dataskydd ska vara en integrerad del av Lantmäteriets verk- samhet och att alla medarbetare ska veta hur de ska hantera person- uppgifter på ett lagligt, korrekt och säkert sätt.
Annat som tas upp i riktlinjen är bland annat registret över personuppgiftsbehandlingar (artikel 30-registret), hanteringen av personuppgiftsincidenter och konsekvensbedömning avseende data- skydd. En del av de områden som tas upp har utvecklats något sedan den tidigare riktlinjen från oktober 2024. Det gäller bland annat vad som sägs om inbyggt dataskydd och dataskydd som standard. Där
541Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018.
542Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022–2025, den 16 september 2025, LM2025/120208, s. 9–10.
543Beslutad den 16 december 2025, LM2025/121999. Enligt uppgift från Lantmäteriet togs en första version fram 2014. Den har därefter uppdaterats vid ett flertal tillfällen. Den nu gällande riktlinjen ersätter en riktlinje som beslutades så sent som i oktober 2024, LM2024/058670.
231
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
anges i nu gällande riktlinje att lämpliga tekniska och organisatoriska åtgärder ska införas och nödvändiga skyddsåtgärder integreras i per- sonuppgiftsbehandlingen för att uppfylla kraven i dataskyddsför- ordningen. Åtgärderna ska utformas så att de grundläggande princi- perna för dataskydd kan genomföras på ett effektivt sätt i person- uppgiftsbehandlingen. Lantmäteriet ska också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att person- uppgifter inte behandlas i onödan. Det gäller bland annat mängden insamlade personuppgifter, behandlingens omfattning, lagringstid och tillgänglighet. Dataskyddet ska alltså vara inbyggt i den behand- ling som utförs som standard.
15.6.2Hantering av skyddade personuppgifter
I riktlinjen om hantering av skyddade personuppgifter anges i hu- vudsak följande.544
Skyddade personuppgifter545 ska hanteras med mycket stor för- siktighet. Alla regler som gäller för behandling av personuppgifter gäller även skyddade personuppgifter. Ytterligare krav gäller emel- lertid vid behandling av skyddade personuppgifter. Den operativa informationsägaren ansvarar för att beskriva de eventuella krav som finns utöver denna riktlinje. Sekretessmarkering eller skyddad folk- bokföring innebär inte någon absolut sekretess för skyddade upp- gifter. Vid en begäran om utlämnande av allmän handling ska en sek- retessbedömning göras. Bedömningen kan resultera i att handlingen där skyddade personuppgifter framgår ska lämnas ut.
Alla som arbetar med skyddade personuppgifter är ansvariga för att kraven i riktlinjen uppfylls. Alla medarbetare som kommer i kontakt med skyddade personuppgifter behöver ha kännedom om rutiner för behandlingen av sådana uppgifter. Det är närmaste chefs ansvar att säkerställa att medarbetarna har tillräcklig kompetens. Det är den enskilde medarbetarens ansvar att begära utbildning om kom- petens saknas eller är bristfällig. Varje medarbetare inom Lantmäte- riet bär ansvar för att anmäla upptäckta informationssäkerhetsinci- denter och personuppgiftsincidenter, företrädelsevis via Lantmäte- riets Service Desk. Utanför arbetstid görs anmälan till Lantmäteriets
544Beslutad den 19 april 2023, LM2023/019011.
545Se definition i avsnitt 1.6.
232
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
Tjänsteman i beredskap. Det framgår även att anmälan kan göras via Lantmäteriets intranät.
Om en process eller ett IT-system innefattar behandling av skyd- dade personuppgifter ska de risker som uppgiftsbehandlingen med- för vägas in vid en informationsklassning. Bedömningen i denna del ska omfatta vilka konsekvenser ett obehörigt röjande av eller obehö- rig åtkomst till de skyddade personuppgifterna skulle få. Det ska också genomföras en riskanalys beträffande behandlingen så att nöd- vändiga säkerhetsåtgärder för en accepterad skyddsnivå kan vidtas.
15.7Lantmäteriets behandling av personuppgifter i urval
15.7.1Allmänt om personuppgiftsbehandlingen
Lantmäteriet behandlar ett stort antal personuppgifter. Som inom alla myndigheter kan det handla om uppgifter som är personalrela- terade eller på annat sätt interna och som kan finnas i exempelvis mötesanteckningar, utbildningar och e-post. Uppgifter relaterade till myndighetens utåtriktade verksamhet, såsom uppgifter i ärende- handläggning och liknande, kan också innehålla personuppgifter.
På Lantmäteriets externa webbplats finns en närmare beskrivning av myndighetens behandling av personuppgifter, där det bland annat anges när och varför personuppgifter samlas in.546 Den rättsliga grunden för ärendehanteringen uppges oftast vara en rättslig förpliktelse eller uppgift av allmänt intresse eller ett led i myndighetsutövning, men även avtal förekommer.547
Anledningen till att personuppgifter samlas in kan vara olika för olika ärendetyper men några exempel som är vanligt förekommande och gemensamma för flera ärendetyper är att handlägga och besluta i ärenden av visst slag, arkivändamål av allmänt intresse (allmänna handlingar) samt att uppdatera och tillhandahålla fastighetsinforma- tion genom till exempel fastighetsregistret.
De kategorier av personuppgifter som uppges behandlas är bland annat namn, personnummer eller samordningsnummer, adress, fas-
546Se https://www.lantmateriet.se/sv/om-lantmateriet/Rattsinformation/behandling-av- personuppgifter-pa-lantmateriet/, hämtat den 4 november 2025.
5476.1 c och 6.1 e dataskyddsförordningen.
233
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
tighetsbeteckning, civilstånd, kontaktuppgifter, IP-adress samt an- vändardata.
Personuppgifterna samlas oftast in från en sökande själv eller från andra myndigheter och parter i ärenden. Till de som kan ta del av uppgifterna hör bland annat anställda, parter i ärenden samt kunder och allmänheten genom publicering eller enligt offentlighetsprinci- pen.
Vi har som tidigare nämnts valt att avgränsa oss till behandlingen av personuppgifter i myndighetens arkivakter. Av den anledningen följer en redogörelse för behandlingen i Arken och i handläggnings- systemet Trossen. För en redovisning av behandlingen av person- uppgifter i fastighetsregistret hänvisar vi till betänkandet Ett säkrare och mer tillgängligt fastighetsregister (SOU 2024:7).
15.7.2Arken
Arken i artikel 30-registret
I Lantmäteriets artikel 30-register nämns Arken i drygt 20 person- uppgiftsbehandlingar, varav ett antal avser åtgärder av internt admi- nistrativt slag, såsom att dokumentera och bevara processer i arbetet med Arken, inventeringar, Arken-avtal och beslut gällande Arken.
Vid 14 behandlingar anges Arken som ett av systemen eller det enda system där personuppgifterna behandlas. Dessa 14 behand- lingar avser bland annat behandlingar för att handlägga olika typer av ärenden, till exempel lantmäteriförrättningar, och information till parter om beslut, att sekretessgranska arkivakter vid begäran om utlämnande av allmän handling samt att efter avslutad förrättning arkivera handlingar.
Akt Direkt anges specifikt som en av behandlingarna med kopp- ling enbart till Arken. Behandlingen uppges ske på grund av rättslig förpliktelse, för det kortfattat angivna ändamålet att tillgängliggöra akter.548 Det framgår inte något ytterligare om ändamålet i fråga om vilken omfattning som tillhandahållandet haft före stängningen. I
548Den rättsliga förpliktelsen är inte preciserad i artikel 30-registret. Med rättslig förpliktelse avses enligt Integritetsskyddsmyndigheten något som man är ålagd att uppfylla, det vill säga en skyldighet, se https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/rattslig- grund/rattslig-forpliktelse/ hämtat den 19 januari 2026. Se mer om den rättsliga grunden i våra överväganden i avsnitt 17.12.
234
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
kolumnen för kategorier av personuppgifter anges att uppgifterna kan vara adress, aktbeteckning, civilstånd, e-postadress, fastighets- beteckning, inteckning, kundnummer, namn, personnummer eller samordningsnummer samt uppgifter om sociala förhållanden.
Arken är ett system där även kommunala lantmäterimyndigheter arkiverar akter. Det finns oklarheter i fråga om personuppgiftsan- svaret för andra myndigheters akter i Arken, vilket vi återkommer till i avsnitt 17.12.
Risk för röjande av skyddade personuppgifter konstateras 2021
Lantmäteriet konstaterade i januari 2021 i en rättsutredning om skyddade personuppgifter enligt offentlighets- och sekretesslagen i AktDirekt/Arken att det fanns risk för att röja sekretessbelagda uppgifter genom direktåtkomst. Orsaken angavs vara att uppgifter inte uppdaterades och kunde sakna aktuell sekretessmarkering. Re- kommendationen till informationsägarna var att omedelbart och skyndsamt påbörja en utvecklingsåtgärd innefattande en teknisk lös- ning för att säkerställa att uppgifter som omfattas av sekretess inte röjdes, alternativt att överväga att stänga tjänsten tillfälligt.549
I rättsutredningen konstaterades att skyddade personuppgifter kunde förekomma i exempelvis testamenten, bouppteckningar, gåvobrev och liknande och avse personer som inte direkt berördes av förrättningen.
Hanteringen av skyddade personuppgifter i arkivakten speglar endast hur förhållandena var när ett ärende slutförs. Det görs inte någon automatiserad kontroll av om någon senare får skyddade personuppgifter. En sekretessbedömning ansågs därför behöva göras vid eventuella utlämnanden. Vid tidpunkten för rättsutred- ningen uppgavs att det inte skedde någon enskild skadebedömning alls vid tillhandahållande.550
Riskerna att röja uppgifter om en person med skyddade person- uppgifter har tidigare av verksamhetsområde Fastighetsbildning be-
549 Rättsutredning Skyddade personuppgifter i AktDirekt/Arken den 19 januari 2021, LM2025/093989, s. 1, med korskoppling till personuppgiftsincidenten LM2021/007870. Utredningen togs enligt Lantmäteriet fram i syfte att utgöra underlag till utredningen av personuppgiftsincidenten och avser därmed endast vid incidenten uppmärksammade direktåtkomsttjänster (AktDirekt) samt sekretess kopplad till skyddad folkbokföring enligt 21 kapitlet offentlighets- och sekretesslagen.
550Rättsutredningen Skyddade personuppgifter, LM2025/093989, s. 3 och 6.
235
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
dömts vara liten för akter som inte har en skyddad personanmärk- ning beträffande fastigheten. Därför granskades inte sådana akter.551
Känsliga personuppgifter i Arken
Enligt Lantmäteriets egen bedömning kan arkivhandlingar innehålla känsliga personuppgifter552 enligt dataskyddsförordningen, avseende
–hälsa (till exempel läkarintyg, journalutdrag eller partsinlaga),
–etnicitet (kan förstås utifrån namn och behov av tolk eller vid frågor om minoritetsgrupper),
–politiska åsikter eller medlemskap i fackförening (e-postsignatur eller domännamn och samrådshandlingar), och
–sexualliv eller sexuell läggning (kan utläsas ur exempelvis makes medgivande, gåvobrev eller testamente).553
Känsliga personuppgifter uppges i vissa fall vara av materiell betydelse för förrättningsresultatet och således nödvändiga för Lantmäteriets och andra myndigheters myndighetsutövning.554
Särskilt skyddsvärda personuppgifter i Arken
Arken innehåller stora mängder personnummer och samordnings- nummer. Sådana uppgifter är särskilt skyddsvärda och får enligt dataskyddslagen endast behandlas utan samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen får meddela ytterligare föreskrifter om i vilka fall behandling av personnummer och samordningsnummer är tillåten.555
551Lantmäteriets (verksamhetsområde Fastighetsbildnings) bildspel Granskning av Arkivakt innan utlämning – odaterat men stämmer överens med information från Lantmäteriet i oktober 2025 om ett bildspel som togs fram 2022. Innebörden av detta bildspel är enligt Lantmäteriet att arkivakter ska granskas vid utlämning, notera dock beskrivningen avseende skyddade personer.
552Se definition i avsnitt 1.6.
553Promemorian Nationellt Digitalt lantmäteriarkiv den 16 september 2024, LM2024/052370, s. 27. Denna promemoria redogörs för mer i detalj i kapitel 11.
554Promemorian s. 27.
5553 kap 10 och 11§ § dataskyddslagen samt artikel 87 dataskyddsförordningen.
236
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
Det är enligt Arkenförordningen tillåtet att tillhandahålla person- nummer för de ändamål som där anges. Ett särskilt skydd har dock kommit till uttryck i förordningen genom att personnummer enligt 9 § inte får användas som sökbegrepp. Som beskrivits tidigare är akterna i Arken inte sökbara på ett enkelt sätt (se kapitel 11).
15.7.3Trossen
Personuppgifter i Trossen
Trossen är ett handläggningsstöd som används av såväl Lantmäteriet som samtliga kommunala lantmäterimyndigheter. Personuppgifts- behandlingen i Trossen är i stora drag densamma som i Arken och fastighetsregistret.
Enligt uppgift från Lantmäteriet kan Trossens samspel med Arken och fastighetsregistret beskrivas på följande sätt. Vid ärendehandläggning hämtar Trossen uppgifter från fastighets- registret som är relaterade till de fastigheter som ingår i ärendet, till exempel uppgifter om storlek, servitut, ägare med mera. Fastighets- registret uppdateras sedan med hjälp av Trossen med de förändringar som ärendet ger upphov till. I Trossen skapas den arkivakt som läggs i Arken när ärendet är klart. Många uppgifter som finns i Trossen finns därför också i Arken och fastighetsregistret. I den mån skyd- dade personuppgifter inte finns i fastighetsregistret finns de inte heller i den information som hämtas till Trossen. Skyddade person- uppgifter kan dock komma till myndigheten i inkommande handlingar och kan då finnas i Trossen i den dokumenthanterings- modul där dokument som skapas eller tas emot under handlägg- ningstiden samlas. Lantmäteriets hantering av skyddade personupp- gifter i Trossen, när sådana kommer till myndighetens kännedom, sker enligt särskilda rutiner för att säkerställa att de hanteras korrekt. Uppgifterna behövs för att kunna handlägga ärenden.556
De kommunala lantmäterimyndigheterna synes enligt informa- tion i protokoll från Lantmäteriets tillsyn typiskt sett inte heller hantera skyddade personuppgifter i Trossen när sådana kommer till myndigheternas kännedom, utan sådana uppgifter hanteras på annat sätt.557
556Information från Lantmäteriet, november–december 2025.
557Se exempelvis Huddinge, Jönköping och Stockholm 2021.
237
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
Trossen som system är inte byggt på ett sådant sätt att det finns möjlighet att tekniskt begränsa åtkomsten till ett ärende till enskilda individer. Det innebär att all information som framgår av Trossen i ett enskilt ärende kan läsas av samtliga personer som har åtkomst till den aktuella lantmäterimyndighetens ärenden. Vissa administrativa begränsningar finns.558
Trossen i artikel 30-registret
I artikel 30-registret finns Trossen omnämnd i drygt 20 personupp- giftsbehandlingar, varav många är kopplade till samma behandlingar som sker i Arken och fastighetsregistret. Som exempel kan nämnas handläggning och beslut i lantmäteriförrättningar utifrån exempelvis rättslig förpliktelse, allmänt intresse eller som ett led i myndighets- utövning.
15.8Konsekvensbedömningar
En konsekvensbedömning ska enligt artikel 35 i dataskyddsförord- ningen genomföras om en personuppgiftsbehandling medför hög risk för de registrerades fri- och rättigheter. Bland annat ska en be- dömning göras av behovet av behandlingen och proportionaliteten hos behandlingen i förhållande till syftena.
Lantmäteriet har lämnat följande information om hur arbetet med konsekvensbedömningar har utvecklats de senaste åren.559
Före 2022 upplevdes den framtagna mallen för konsekvensbe- dömningar560 som svårarbetad även om det fanns en vägledning och en utbildning. Det fanns inte någon myndighetsövergripande funk- tion inom Lantmäteriet som verksamheten kunde vända sig till för hjälp i detta arbete. Fram till 2022 hade Lantmäteriet genomfört tre konsekvensbedömningar.
558Information från Lantmäteriet, november–december 2025.
559Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022–2025, den 16 septem- ber 2025, LM2025/120208, s. 4–5 samt kompletterande information från Lantmäteriet, no- vember–december 2025.
560Lantmäteriet föreskrev vid den tiden att man skulle använda sig av den konsekvensbedöm- ningsmetod som har utvecklats av den franska tillsynsmyndigheten Commission Nationale de l'Informatique et des Libertés (CNIL).
238
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
Lantmäteriets nuvarande mall för konsekvensbedömningar är framtagen av dataskyddssamordnare och jurister i samarbete med dataskyddsombudet. Övergripande information om arbetet med konsekvensbedömningar finns publicerad på intranätet. Arbetsstöd för de som ska genomföra konsekvensbedömning- och riskanalysar- bete finns publicerat på Wiki-sidan ”Dataskydd”. Lantmäteriet har i nuläget 31 pågående eller genomförda konsekvensbedömningar. Stöd under konsekvensbedömningsarbetet erbjuds av dataskydds- samordnare.
15.9Hantering av de registrerades rättigheter och personuppgiftsincidenter
Enligt artikel 12–20 i dataskyddsförordningen har de registrerade ett antal rättigheter. Av artikel 33–34 framgår hur personuppgiftsinci- denter ska hanteras. Lantmäteriet har lämnat följande information om hur hanteringen av de registrerades rättigheter samt personupp- giftsincidenter har utvecklats de senaste åren.561
Fram till oktober 2022 hade registratorsfunktionen i uppgift att samordna begäran om registerutdrag. För övriga rättigheter fanns inte några myndighetsgemensamma mallar eller arbetsstöd. Kort- fattad information om personuppgiftsbehandlingar fanns publicerad på den externa webbplatsen. Ett formulär för att anmäla personupp- giftsincidenter fanns på intranätet och incidenter utreddes huvud- sakligen av den informationssäkerhetsansvarige.
Numera har det tagits fram arbetsstöd och beslutsmallar som stöd till verksamheten för hantering av samtliga av de registrerades rättigheter. Dataskyddssamordnare samordnar begäran om register- utdrag och skickar svar samt detaljerad information om aktuella be- handlingar till den registrerade. Informationen om de registrerades rättigheter på Lantmäteriets externa webbplats har uppdaterats. Per- sonuppgiftsincidenter utreds numera av dataskyddssamordnarna om de inträffar inom myndighetsgemensamma verksamheter. Övriga personuppgiftsincidenter utreds av utredare vid respektive verksam- hetsområde (Fastighetsbildning, Fastighetsinskrivning och Geo- data). Arbetsstöd och utredningsmall finns som hjälp till utredarna.
561 Rapporten Genomförda aktiviteter inom dataskyddsområdet år 2022–2025, den 16 september 2025, LM2025/120208, s. 6–8 samt kompletterande information från Lantmäte- riet, november–december 2025.
239
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
Ett uppdaterat formulär för att anmäla personuppgiftsincidenter finns på intranätet och det finns en gemensam lagringsyta där inci- dentutredningar dokumenteras. En rutin för att återkoppla till be- rörd chef/verksamhet har skapats och det har tagits fram en rutin för att anmäla en personuppgiftsincident vidare till Integritetsskydds- myndigheten.
15.10 Personuppgiftsincidenter
15.10.1 Information från Integritetsskyddsmyndigheten
Av information från Integritetsskyddsmyndigheten framgår i hu- vudsak följande.562
Av de ärenden som kommit in till Integritetsskyddsmyndigheten avseende Lantmäteriet har inte något föranlett någon åtgärd. Integritetsskyddsmyndigheten vidtar dock inte alltid åtgärder i ären- den även om incidenten i sig skulle anses som allvarlig.
Lantmäteriet har 57 ärenden registrerade hos Integritetsskydds- myndigheten under perioden 2018–2025, varav 15 under åren 2018– 2020 som inte finns i digital form och inte har tagits fram för gransk- ning av myndigheten.
Vid genomgång av de ärenden som finns digitalt har Integritets- skyddsmyndigheten ansett att det primärt rör sig om ”mindre inci- denter”:
–Det har vid några tillfällen varit anställda på Lantmäteriet som fått ta del av för mycket information om interna ärenden.
–Det finns några ärenden där Lantmäteriet skickat ut för mycket information om berörda parter i ett ärende till de andra parterna i ärendet.
–Några ärenden är kopplade till e-post, där man exempelvis skickat personuppgifter till fel personer eller inte använt dold kopia vilket medfört att alla mottagare kunnat se övriga mottagare.
–Ett ärende från 2024 som gäller Lantmäteriets kundcenter som lämnat ut arkivakter utan att sekretessgranska innehållet.
562E-postmeddelande till utredningen den 3 september 2025.
240
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
15.10.2Något ytterligare om vissa av personuppgiftsincidenterna
Några av de personuppgiftsincidenter som anmälts till Integritets- skyddsmyndigheten har bäring på uppgifternas tillgänglighet i olika system hos Lantmäteriet.
I september 2019 gjordes en anmälan till Dataskyddsinspektio- nen, som då var tillsynsmyndighet. Den gällde sårbarheter i ett hand- läggningsstöd som hade funnits under många år. Detta är den så kal- lade Trossenincidenten (se avsnitt 8.3.6).563
Dataskyddsinspektionen beslutade i januari 2020 att avsluta ärendet med noteringen att myndigheten kunde komma att inleda tillsyn. Detta skedde dock inte.
I december 2020 gjorde Lantmäteriet en anmälan till Integritets- skyddsmyndigheten. I anmälan beskrevs att en kontroll av behovet av sekretessmarkeringar för personer med skyddad identitet görs när ett ärende slutförs och handlingar läggs i databasen för arkiverade handlingar. Däremot uppdateras inte sekretessmarkeringar över tid, vilket utgör en risk för obehörigt röjande vid utlämnande. Vidare uppgavs i anmälan att personuppgifter inte var sökbara och att en teknisk funktion för att uppdatera sekretessmarkeringar saknades.564
Integritetsskyddsmyndigheten beslutade i januari 2021 att av- sluta ärendet med kommentaren att myndigheten oberoende av det- ta kunde komma att inleda tillsyn. Det skedde emellertid inte.
Den 6 april 2024 gjordes en anmälan till Integritetsskyddsmyn- digheten som gällde att arkivakter, som inte hade en sekretessmar- kering, lämnades ut av Kundcenter utan sekretessprövning. Enligt anmälan innebar det att det inte kunde uteslutas att akterna kan ha innehållit personuppgifter som det gäller sekretess för enligt offent- lighets- och sekretesslagen. I anmälan angavs att incidenten bekräf- tats redan den 21 mars 2024, anmälts internt den 2 april och därefter behövt utredas internt.565
563LM2019/015704. Det kan här noteras att Integritetsskyddsmyndighetens redogörelse av
”mindre incidenter” ovan endast gäller digitala ärenden. Trossenincidenten hör till de ärenden som inte finns i digital form och inte har tagits fram för granskning av myndigheten vid vår förfrågan. Benämningen ”mindre incident” omfattar därmed inte det ärendet och vi har inte specifikt begärt att myndigheten att uttala sig om det eller något annat ärende i efterhand.
564LM2021/007870, ett ärende som föranledde att ett underlag togs fram i form av den rätts- utredning som tidigare har beskrivits avseende skyddade personuppgifter i AktDirekt/Arken i januari 2021.
565LM2024/019207.
241
Lantmäteriets behandling av personuppgifter | Ds 2026:2 |
Integritetsskyddsmyndigheten beslutade i maj 2024 att avsluta ärendet med kommentaren att några åtgärder inte vidtas för närva- rande men att anmälan kan komma att beaktas vid ett eventuellt framtida klagomåls- eller tillsynsärende. Något sådant ärende har inte initierats av myndigheten.
Den 5 juli 2024 lämnades en anmälan till Integritetsskyddsmyn- digheten med anledning av den särskilda händelsen. Anmälan avsåg att inskrivningsakter som innehöll personuppgifter hade funnits till- gängliga via system för externa användare/intressenter. Tillgänglig- heten hade inneburit att användare/intressenter haft tillgång till per- sonuppgifter som de inte skulle ha haft åtkomst till.566
Integritetsskyddsmyndigheten beslutade i augusti 2024 att av- sluta ärendet med kommentaren att inga åtgärder vidtas för närva- rande men att anmälan kan komma att beaktas vid ett eventuellt framtida klagomåls- eller tillsynsärende. Något sådant ärende har inte inletts.
15.11 Pågående arbete hösten 2025
Vid avrapporteringen till ledningsgruppen i juni 2025 framgick att sex åtgärder av de som internrevisionen föreslagit i sin granskning 2023 fortfarande kvarstod att åtgärda under andra halvan av 2025, däribland inbyggt dataskydd, och ändamålsbegränsningar.567
Av stödanteckningar till avrapporteringen framgår bland annat föl- jande.
Inbyggt dataskydd innebär att Lantmäteriet som personuppgiftsansvarig tar hänsyn till integritetsskyddsreglerna i samband med att IT-system och rutiner utformas. Lantmäteriet behöver se över i vilken grad data- skyddet är inbyggt i befintliga system och identifiera samt, i förekom- mande fall, planera för verkställandet av de åtgärder som behöver vidtas för att uppnå en fullgod nivå. Befintliga system kan behöva anpassas eller utvecklas genom lämpliga tekniska och organisatoriska åtgärder för att på ett effektivt sätt uppfylla principerna för dataskydd. Exempel på
566LM2024/040734. Av kompletterande information från Lantmäteriet (Delleverans till IMY 2018–2025) framgår att det ska röra sig om akter från tidsperioden 2008–2011 (det vill säga den period som sådana akter har lagrats i Arken). Dessa akter ska enligt uppgift sakna lagstöd för att vara tillgängliga på det sätt de nu tillhandahållits. De ska ha varit tillgängliga under lång tid. Detta torde enligt Lantmäteriets beskrivning i det dokumentet innebära "obehörigt röjande av eller obehörig åtkomst till personuppgifter".
567Se bildspelet Rapportering dataskyddsarbete LMLG, den 10 juni 2025.
242
Ds 2026:2 | Lantmäteriets behandling av personuppgifter |
en teknisk och en organisatorisk åtgärd är kryptering respektive grund- läggande utbildning av personalen. Den första delen har varit att kart- lägga nuläget för att kunna ta fram riktlinjer, instruktioner och arbeta för implementering av principerna om inbyggt dataskydd i Lantmäte- riets projektmodell, inköpsprocess och vid övriga utvecklingsprojekt.
När det gäller ändamålsbegränsningar finns ett behov av att sätta en rutin för att följa upp att Lantmäteriet behandlar personuppgifter enligt de ändamål som har bestämts. Det kan resultera i att inkludera kontroll- moment i arbetet med informationsklassningar och i rutiner för att hålla Lantmäteriets register över personuppgiftsbehandlingar aktuell.568
243
16Några utgångspunkter beträffande Lantmäteriets arbete med informationssäkerhet
16.1Kapitlets innehåll
Detta kapitel innehåller vissa allmänna utgångspunkter för våra be- dömningar och slutsatser när det gäller Lantmäteriets arbete med in- formationssäkerhet.
Att i en organisation – på ett regelkonformt och samtidigt effek- tivt sätt – ansvara för informationssäkerheten innefattar ett antal ut- maningar. Det gäller särskilt när ansvaret kopplas till Sveriges säker- het. Och så är det för Lantmäteriet.
Utgångspunkterna och utmaningarna för Lantmäteriet spänner över stora områden, Nämnas kan myndighetens roll och funktion som just myndighet. Andra delar rör frågor om myndighetsstyrning, chefs- och ledarskap samt regel- och direktivstyrning och omvärlds- påverkan. Flera av dessa förutsättningar berörs i detta kapitel och vi återkommer sedan till dem i våra överväganden.
En utmaning för Lantmäteriet som vi inte här tar upp särskilt men som ändå måste beaktas är att Covid-19-pandemin pågick under åren 2020–2023.569 Vi återkommer kort till detta i avsnitt 17.2.
16.2Statsförvaltning i förändring
Den svenska statsförvaltningen har varit under ett starkt föränd- ringstryck sedan 1990-talet. Ambitionerna att skapa effektivare, mer demokratiskt förankrade och transparenta myndigheter går emeller- tid längre tillbaka än så. Ett flertal faktorer har bidragit till den ut-
569www.who.int/europe/emergencies/situations/covid-19, hämtat den 2 januari 2026.
245
Några utgångspunkter | Ds 2026:2 |
vecklingen. Det handlar om generella effektiviseringskrav som ställs på den offentliga sektorn, om nya krav med hänsyn till ökad inter- nationalisering och om teknisk utveckling som både möjliggör nya sätt att arbeta för förvaltningen och samtidigt skapar nya utma- ningar. Digitalisering och framväxten av så kallad e-förvaltning med målet att myndigheter ska kunna nås av medborgarna på tider och sätt som är smidiga, effektiva och billiga är en del av den utveck- lingen. Man talar ibland om 24-timmarsmyndigheten som ett mål i sig. Det ställer höga krav på myndigheterna när det gäller teknisk utveckling och kompetens, tillgänglighet och säkerhet.570
16.3Den statliga värdegrunden och en god förvaltningskultur
16.3.1Den statliga värdegrunden571
Regeringsformen innehåller grundläggande krav på myndigheterna. I den anges att den offentliga makten utövas under lagarna och att domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter i sin verksamhet ska beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet.572 Vidare anges att den svenska folkstyrelsen bygger på fri åsiktsbildning och att den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet.573
Den statliga värdegrunden är ett pedagogiskt verktyg som sammanfattar och synliggör de viktigaste kraven som gäller för de som arbetar inom staten. De utgår till stor del från regeringsformen och består av de sex principerna demokrati, legalitet, objektivitet, fri åsiktsbildning, respekt samt effektivitet och service. Principerna bottnar också i andra författningar.
Legalitetsprincipen innebär att myndigheternas verksamhet mås- te ha stöd i rättsregler, till exempel lagar och förordningar. Det gäller inte bara den del av verksamheten som handlar om att fatta beslut som påverkar enskilda, utan all verksamhet som en myndighet be- driver. Myndigheterna måste i varje konkret fall tydligt kunna visa
570Departementspromemorian Granskning av Transportstyrelsens it-drift, Ds 2018:6, s. 24.
571www.statskontoret.se, Den statliga värdegrunden, hämtat den 3 december 2025.
5721 kap. 1 § tredje stycket och 1 kap. 9 § regeringsformen.
5731 kap. 1 § andra stycket och 1 kap. 2 § första stycket regeringsformen.
246
Ds 2026:2 | Några utgångspunkter |
vilken regel som använts. Det är viktigt för att enskilda som påverkas av myndigheternas beslut ska kunna förutse och förstå vad som beslutats. Effektivitet handlar om att hushålla med det allmännas resurser. Myndigheternas strävan efter att vara effektiva måste emellertid alltid vägas mot skyldigheten att samtidigt uppfylla andra krav i den statliga värdegrunden. Det ska gå snabbt, men det måste bli rätt. Det är viktigt att myndigheterna inte ser skyldigheten att ge service som något sekundärt. Resursbrist är aldrig ett giltigt skäl för att helt avstå från att hjälpa en enskild.
Internt ska myndigheterna se till att alla medarbetare känner till och förstår principerna i den statliga värdegrunden. Det är först när alla som är statsanställda känner till och agerar efter dessa principer som förvaltningen har förutsättningar att bli riktigt effektiv och rättssäker. Det kräver ett aktivt arbete som också omfattar att förklara hur principerna förhåller sig till olika normer och kulturer som finns i verksamheterna och bland medarbetarna. Det aktiva arbetet inom myndigheterna med den statliga värdegrunden är det som skapar grunden för en god förvaltningskultur, det vill säga en kultur som utgår från den statliga värdegrundens principer där beteenden och förhållningssätt står i överensstämmelse med princi- perna. Det krävs engagemang från både ledning och medarbetare och ett medvetet löpande arbete som omfattar all personal för att utveckla och upprätthålla en god förvaltningskultur. Det arbetet och den kulturen skapar förutsättningar för en god förvaltning med myndigheter som bättre klarar sina uppdrag på ett demokratiskt, effektivt och rättssäkert sätt. Det kan också bidra till att upprätthålla ett högt förtroende hos alla invånare i Sverige. Samtidigt är den statliga värdegrunden formulerad på en övergripande nivå. Därför behöver myndigheterna konkretisera den i den dagliga verk- samheten samt diskutera de frågor och dilemman som är specifika just för dem. Det gäller särskilt i fall där olika principer, exempelvis effektivitet, service och lagenlighet, kan hamna i konflikt med varandra.574
574Sista stycket hämtat från Statskontorets rapport Den statliga värdegrunden – gemensamma principer för en god förvaltning, s. 39.
247
Några utgångspunkter | Ds 2026:2 |
16.3.2En god förvaltningskultur575
En god förvaltningskultur är de beteenden och förhållningssätt som vilar på den statliga värdegrunden. Om alla anställda efterlever den statliga värdegrunden ger det förutsättningar för en effektiv, rätts- säker och fungerande förvaltning. Den statliga värdegrunden och andra rättsliga principer ligger till grund för hur myndigheter ska tolka och bryta ner sitt uppdrag från regeringen i konkreta arbets- uppgifter i verksamheten.
För att åstadkomma och upprätthålla en god förvaltningskultur behöver en myndighet arbeta med både strukturen (författningar, regler och intern styrning) och kulturen, det vill säga de värderingar och den praktik som råder i en verksamhet.
Att arbeta med strukturen innebär att omsätta lagar, förord- ningar och andra regleringar samt mål i den egna myndighetens organisation. Det görs bland annat genom interna bestämmelser och styrdokument, så som arbetsordningen och verksamhetsplanen. Den formella organisationen blir också en del av strukturen. Där framgår ofta någon form av hierarki och ansvarsfördelning, exem- pelvis mellan avdelningar och enheter samt mellan olika funktioner och chefer.
De organisatoriska värderingarna ska inte förväxlas med indivi- dens privata egna. Det handlar i stället om hur organisationen och medarbetarna kollektivt värderar olika centrala frågor. Det kan exempelvis handla om hur myndigheten värderar effektivitet, transparens, autonomi, legitimitet, opartiskhet, kvalitet, följsamhet, pålitlighet och lojalitet när de ställs mot varandra i olika situationer. Det kan också handla om den sociala samvaron, det vill säga hur medarbetare i organisationen förväntas uppföra sig mot varandra.
De organisatoriska värderingarna utgör inte ensamt kulturen, utan kompletteras av det medarbetarna faktiskt gör, själva praktiken. Det handlar om medvetna beteenden, men även om invanda handlingsmönster, samt normer som styr hur medarbetare agerar i specifika situationer. Praktiken kan till exempel handla om hur medarbetare och chefer i en verksamhet faktiskt tillämpar interna styrdokument.
575www.statskontoret.se, Vad är god förvaltningskultur?, hämtat den 3 december 2025.
248
Ds 2026:2 | Några utgångspunkter |
16.4En digitaliserad och öppen förvaltning
16.4.1Lantmäteriet har haft en aktiv roll i digitaliseringen av förvaltningen
Ett högt prioriterat område för flera regeringar har varit att stimulera digitalisering för att effektivisera förvaltningen och för att skapa tjänster som underlättar för allmänhet och företag.576 Lantmäteriet har haft en mycket aktiv roll i det arbetet genom att vara företrätt i e-delegationen och sedan 2016 i regeringens råd för utveckling av det offentliga Sverige.
Lantmäteriets uppgift är numera inte begränsad till att tillhanda- hålla geodata och geodatatjänster. Som utvecklingsansvarig myndig- het ingår bland annat att samordna processer och skapa samverkan mellan myndigheter och andra aktörer genom smarta IT-lösningar. Lantmäteriets uppgift är att koordinera e-förvaltningsprojekt och hitta samverkan mellan stat, kommun, näringsliv och medborgare när det gäller geografisk information och fastighetsinformation. Det handlar också om att förenkla processer som knyter an till varandra. En person som söker lagfart eller vill göra en inteckning har ofta samtidigt intresse av att låna pengar i bank, söka bygglov hos kommunen eller stycka av en tomt. Avsikten är att knyta samman olika ”delprocesser” så att det blir så enkelt som möjligt för företaget eller den enskilde och att då, så långt möjligt, automatisera överföringen av information mellan alla berörda aktörer. Den affärsmodell som utvecklades inom ramen för geodataprojektet och som bland annat innebär förenklad informationssamverkan har blivit mycket uppmärksammad.577
16.4.2Regeringsuppdrag till Lantmäteriet om digitalisering
Lantmäteriet har under senare år fått ett antal uppdrag från rege- ringen som avser digitalisering. Här redogörs inte närmare för dessa men de viktigaste uppdragen har enligt Lantmäteriet varit följande.578
576Se exempelvis prop. 2009/10:175, prop. 2009/10:193 och prop. 2016/17:1, utgiftsområde 22, avsnitt 4.4.2.
577Lantmäteriet – En modern myndighet med anor, 2017, Ulf Sandgren, s. 109.
578Information från Lantmäteriet i oktober 2025.
249
Några utgångspunkter | Ds 2026:2 |
•En kompetenssatsning om digitaliseringens möjligheter i plan- och byggprocessen,579
•Verka för en smartare samhällsbyggnadsprocess,580
•Säker och effektiv tillgång till grunddata,581
•Säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn,582
•Etablera en förvaltningsgemensam digital infrastruktur för infor- mationsutbyte,583
•Etablera ett nationellt ramverk för grunddata inom den offentliga förvaltningen,584
•Etablera en digital infrastruktur för tillgängliggörande av standar- diserade dataset i samhällsbyggnadsprocessen,585 och
•Ta fram förslag till färdplan för att fortsätta digitalisera samhälls- byggnadsprocessen.586
Till detta kan läggas regeringsuppdraget att driva en kompetenssats- ning om digitaliseringens möjligheter i fastighetsbildningsproces- sen.587
16.4.3E-delegationen
E-delegationen tillsattes av regeringen 2009. I delegationens direktiv angavs bland annat att målet för e-förvaltningsarbetet är att det ska vara så enkelt som möjligt för så många som möjligt att utöva sina rättigheter och fullgöra sina skyldigheter samt ta del av förvalt- ningens service. För att förverkliga den förbättringspotential som en utvecklad e-förvaltning rymmer, krävdes ett strategiskt synsätt på e- förvaltning som omfattar staten som helhet. Därför behövdes ett
579LM 404–2017/6510.
580LM 519–2018/2889.
581LM 519–2018/4635.
582LM 101–2018/4636.
583LM2019/020727 och LM2022/002016.
584LM2019/020730.
585LM2020/002393.
586LM2023/060342.
587LM2020/018223.
250
Ds 2026:2 | Några utgångspunkter |
myndighetsövergripande arbete i delegationsform som koordinera- de enskilda myndigheters insatser. Som utgångspunkter angavs bland annat att e-förvaltningen ska bidra till att förenkla kontakten mellan förvaltning och medborgare och ska präglas av tillgänglighet och användbarhet. Vidare anfördes att den offentliga förvaltningens e-tjänster i så stor utsträckning som möjligt ska bygga på öppna standarder samt använda sig av standarder som bygger på öppen käll- kod och lösningar som stegvis frigör förvaltningen från beroende av enskilda plattformar och lösningar. Delegationen bör beakta beho- vet av att tillgängliggöra offentlig information, bland annat för vida- reutnyttjande. En mer tillgänglig information kan bidra till utveck- lingen av ekonomin, men också underlätta vardagen för medborgare och företag.588
E-delegationen lämnade ett antal betänkanden mellan 2009 och 2015. I sitt första betänkande föreslog delegationen att regeringen skulle ge bland annat Lantmäteriet i uppdrag att inom befintliga eko- nomiska ramar vara utvecklingsansvarig myndighet inom området för geografisk information och fastighetsinformation fram till och med 2014.589 Ett sådant uppdrag beslutades av regeringen i mars 2011. I uppdraget angavs bland annat att för att uppnå förtroende hos användare av e-förvaltningstjänster med mera krävdes att infor- mationssäkerhetsaspekter vägdes in. Det uppdrag som framför allt dåvarande MSB hade på området, samhällets informationssäkerhet, borde därför beaktas.590
16.4.4Ena – Sveriges digitala infrastruktur
Myndigheten för digital förvaltning (Digg) har tillsammans med flera myndigheter, bland andra Lantmäteriet, fått regeringsupp- draget att fortsätta etableringen av en förvaltningsgemensam digital infrastruktur för informationsutbyte. Infrastrukturen har getts namnet Ena – Sveriges digitala infrastruktur. Uppdraget har redovi- sats i en rapport från Digg.591 Inom Ena bedrivs ett systematiskt risk- hanteringsarbete baserat på ISO-standarder inom riskhantering och
588Dir 2009:19.
589SOU 2009:86, s. 44.
590Regeringsbeslut den 3 mars 2011, N2011/1368/ITP.
591Uppdrag att fortsatt etablera en förvaltningsgemensam digital infrastruktur för informa- tionsutbyte, I2022/00102).
251
Några utgångspunkter | Ds 2026:2 |
informationssäkerhet. Det förvaltningsgemensamma systematiska och riskbaserade informationssäkerhetsarbetet bygger på de del- tagande myndigheternas eget informationssäkerhetsarbete. Risk- arbetet är i en uppbyggnadsfas. Ett riskforum har etablerats för att hantera alla typer av risker inom Ena. Behovet av att utbyta säkerhetskänslig information för att samordna riskhantering kom- mer att öka inom Ena. Information om informationssäkerhetsrisker inom Ena är normalt sett sekretessbelagda vilket enligt Digg innebär särskilda utmaningar från säkerhetssynpunkt. Samtidigt anses det viktigt att kunna betrakta riskerna ur ett helhetsperspektiv. För att få ett helhetsperspektiv kan säkra kanaler behövas i syfte att kunna säkerställa att sekretessbelagda risker inte röjs. Det kan heller inte uteslutas att det kommer att kräva rättsutveckling för att säkerställa att det inte finns några rättsliga hinder för att utbyta sådan informa- tion.592
Inom Ena finns så kallade grunddatadomäner, som är specifice- rade områden där samordnad och överenskommen hantering av na- tionella grunddata sker. Lantmäteriet är ansvarigt för grunddata- domänen Fastighets- och geografisk information.593
16.4.5Digitalt först
Regeringens satsning Digitalt först beslutades 2016 för att öka digi- taliseringen inom ett antal prioriterade utvecklingsområden, däri- bland samhällsbyggnadsprocessen.594
Digitalt först innebär att digitala tjänster, när det är möjligt och relevant, ska vara förstahandsval i den offentliga sektorns kontakter med privatpersoner och organisationer. Bland annat möjliggör digi- tala kontaktytor för privatpersoner och företag att ta del av den of- fentliga servicen där och när det passar dem, vilket anses vara en vik- tig fråga för demokratiutvecklingen.595
592Diggs rapport, s. 4–5.
593www.digg.se/styrning-och-samordning/ena---sveriges-digitala-infrastruktur/nationella- grunddata, hämtat den 3 december 2025.
594Prop. 2016/17:1, utgiftsområde 18, avsnitt 3.5.7 och utgiftsområde 22, avsnitt 4.4.2.
595https://www.digg.se/kunskap-och-stod/svenskt-ramverk-for-digital- samverkan/rekommendationer-for-offentliga-organisationer/det-digitala-motet, hämtat den
23januari 2026.
252
Ds 2026:2 | Några utgångspunkter |
16.4.6Öppna datalagen
Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (den så kallade öppna datalagen) syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data, under förutsättning att krav på infor- mationssäkerhet och skydd av personuppgifter kan upprätthållas och att det inte innebär risker för Sveriges säkerhet.596 Lagen imple- menterar ett EU-direktiv.597
Det övergripande syftet är att främja användningen av öppna data och stimulera innovation inom produkter och tjänster genom vidareutnyttjande av information som tillgängliggörs av den offent- liga sektorn. Direktivet har anpassats till de senaste framstegen inom digital teknik och ska ytterligare främja digital innovation, särskilt beträffande artificiell intelligens. Direktivets reglering strävar mot att hantera kvarstående och nya hinder som motverkar ett brett vidareutnyttjande av information. Med öppna data avses i allmänhet data i öppna format som får utnyttjas, vidareutnyttjas och delas fritt av vem som helst för valfritt ändamål.598
När det gäller säkerhets- och integritetsintressen ska dessa beaktas innan data tillgängliggörs. Hinder mot att ge tillgång till data, till exempel i form av sekretess, har alltså företräde framför lagen. Tillgängliggörande av data bör inte ske om det innebär risker för Sveriges säkerhet. Vilka verksamheter som är av betydelse för Sveriges säkerhet, så kallade säkerhetskänsliga verksamheter, måste bedömas i ljuset av samhällsutvecklingen. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan därför i viss utsträckning förändras över tid. Sammanfattningsvis bör en myndighet eller ett offentligt företag som avser att tillgängliggöra data för vidareutnyttjande göra en allsidig riskbedömning innan ett tillgängliggörande sker. I en sådan bedömning bör riskerna med att tillgängliggöra data identifieras, analyseras och värderas. Om en myndighet eller ett offentligt företag bedömer att krav på informationssäkerhet och skydd av personuppgifter inte kan upprätthållas om vissa data tillgängliggörs för vidareutnyttjande, bör
5961 kap. 1 öppna datalagen.
597EU:s direktiv 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn.
598Prop. 2021/22:225, s. 15 och 21.
253
Några utgångspunkter | Ds 2026:2 |
dessa inte få göras tillgängliga. Detsamma gäller om ett tillgänglig- görande kan innebära risker för Sveriges säkerhet.599
När det gällde lagens konsekvenser för säkerheten och skyddet av personuppgifter anförde regeringen att det i lagen fanns ett antal skyddsmekanismer som syftar till att förhindra att data görs tillgäng- liga för vidareutnyttjande om det innebär risker för Sveriges säker- het, informationssäkerheten eller skyddet av personuppgifter. Det underströks dock att myndigheter och offentliga företag bör iaktta särskild omsorg i sitt systematiska informationssäkerhetsarbete och i sina bedömningar av om data kan göras tillgängliga för vi- dareutnyttjande. Vid behov borde, utöver några närmare angivna åt- gärder, ytterligare åtgärder övervägas, exempelvis i form av vägled- ning i säkerhetsfrågor och riskbedömningar.600
I sammanhanget kan nämnas att Försvarsmakten i remissvar601 avstyrkte förslaget till lag om öppna data, bland annat eftersom det riskerade att ge upphov till försämrad informationssäkerhet. I denna del anförde Försvarsmakten bland annat följande. Att bedöma om en viss informationsmängd riskerar att bidra till att en aggregerad informationsmängd blir säkerhetskänslig är komplicerat. Säkerhets- skyddsarbetet ska utgå från den egna verksamheten. Detta perspek- tiv är inte tillräckligt när oöverskådligt stora mängder information offentliggörs. En risk som ett brett utlämnande av data kan leda till är ökad möjlighet att genomföra framgångsrik underrättelseinhämt- ning genom öppna källor gentemot Sverige. Tillgängliggörandet av information som innehas av en myndighet men härrör från en annan myndighet bör enligt Försvarsmakten inte ske utan samråd med den myndighet som informationen kommer ifrån. Samrådsansvaret kan lämpligen knytas till tillsynsansvaret enligt säkerhetsskyddslagstift- ningen. Även vad gäller tillgängliggörande av information som här- rör från den egna myndigheten kan det vara lämpligt att den myn- dighet som har tillsynsansvaret enligt säkerhetsskyddslagen rådfrå- gas.
599Prop. 2021/22:225, s. 36–37. Se även prop. 2017/18:89, s. 133.
600Prop. 2021/22:225, s. 69.
601Försvarsmaktens remissvar den 21 december 2020 angående huvudbetänkande från Öppna data-utredningen: Innovation genom information (SOU 2020:55), FM2020-20794:2.
254
Ds 2026:2 | Några utgångspunkter |
16.4.7Potentiella hot och risker som orsakas eller underlättas av öppna data
Lantmäteriet ansåg, mot bakgrund av att både öppna datalagen och direktivet uppmanar aktörerna att beakta säkerhetsmässiga risker innan data tillgängliggörs, att det var oklart hur sådana riskbedöm- ningar och identifiering av skyddsvärda data skulle göras. Lantmäte- riet gav därför Totalförsvarets forskningsinstitut (FOI) i uppdrag att i en förstudie identifiera potentiella hot och risker som orsakas eller underlättas av en öppen tillgång till offentliga aktörers, med be- toning på Lantmäteriets, geodata.
I sin rapport anförde FOI sammanfattningsvis att den stora och lättillgängliga mängden öppna data underlättar för olika hotaktörer att uppnå sina mål, vilket kan äventyra allmän och nationell säkerhet. Vidare anfördes att offentliga aktörers öppna geodata tillåter avancerade rumsliga analyser som skulle ha varit mer komplicerade, eller till och med omöjliga, att utföra i frånvaron av dessa geodata, samt att öppna geodata kan aggregeras med andra öppna eller icke- öppna data samt data som inhämtas av hotaktörerna själva.602
Aggregeringen av olika datamängder ansågs i rapporten vara ett särskilt allvarligt problem då det kan medföra att data som var för sig inte betraktas som skyddsvärda blir en säkerhetsrisk när de kombineras. Vidare anfördes i huvudsak följande. Den geografiska positionen för personal, anläggningar och aktiviteter är nyckelupp- gifter vid militära operationer och underrättelseinhämtning och mo- dern krigföring. Den stora mängd detaljerade data som förväntas bli öppna kommer i och med genomförandet av öppna data-direktivet att tillåta en antagonist att med stor noggrannhet kartlägga platser, anläggningar och transportvägar, vilket underlättar militärt anfall, terroristdåd, sabotage eller andra brott. Redan i dag finns öppna svenska geodata som med hög precision anger position för exem- pelvis kommun- och myndighetskontor, avloppsreningsverk, vat- tenkraftdammar (inklusive information om säkerhetsklass) samt det nationella stamnätets ledningar och stationer för elförsörjning. Ett av flera scenarion som beskrivs i rapporten kallas ”Den förlorade hemmaplansfördelen” och innebär att en angripare av Sverige med en stor mängd detaljerade geodata har lyckats förbereda sig så
602Möjliga hot och risker rörande öppna geodata – Redovisning av arbete i en förstudie den
20november 2023, FOI Memo 8296.
255
Några utgångspunkter | Ds 2026:2 |
mycket att Försvarsmakten har förlorat det övertag som dess unika lokalkännedom annars medför.603
En typ av aggregering som tas upp i rapporten är då en antagonist genom att kombinera olika typer av data kan härleda säkerhetskäns- lig information som inte framgår av de enskilda datamängderna. I de fall det finns tidsserier med data, vilket är fallet med exempelvis Lantmäteriets ortofoton, kan en antagonist exempelvis härleda int- ressanta områden utifrån automatiserade skillnadsanalyser genom vilka förändringar i landskapet kan identifieras och därmed peka ut områden av intresse.604 Det anförs också i rapporten att det är troligt att geodata som offentliga aktörer producerar är eftersträvansvärd information, även för en resursstark antagonist, eftersom den skulle kunna utgöra ett viktigt komplement till andra underrättelser såsom personuppgifter och geolokalisering inhämtade via egen insamling av data, diverse öppna källor eller sociala medier.605
16.4.8Värdefulla datamängder
En värdefull datamängd (High Value Data, HDV) är data som är förknippad med stora fördelar för samhället, miljön och ekonomin i och med att den finns tillgänglig för många. Det är data som är sär- skilt lämplig att använda för att skapa digitala tjänster och applika- tioner. Värdefulla datamängder omfattas av en särskild reglering i öppna data-direktivet och i öppna datalagen. EU-kommissionen fastställer i en genomförandeakt vilka datamängder som är värdefulla datamängder och hur de ska göras tillgängliga på ett enhetligt sätt med stöd av öppna data-direktivet.606 Genomförandeakten började gälla den 9 juni 2024.
603Redovisningen, s. 13 och 15–16.
604Redovisningen, s. 17.
605Redovisningen, s. 18.
606https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/vagledning-om- vardefulla-datamangder, hämtat den 23 januari 2026, och EU-kommissionens genomförandeförordning, (EU) 2023/138.
256
Ds 2026:2 | Några utgångspunkter |
16.4.9Riksrevisionens granskning av statens arbete med strategiska digitaliseringsprojekt
Riksrevisionen har i en rapport granskat statens arbete med strate- giska digitaliseringsprojekt, eftersom effektiviteten i det arbetet är avgörande för att nå regeringens mål för digitaliseringen av den of- fentliga förvaltningen och det övergripande målet för digitaliserings- politik i Sverige och EU. En övergripande slutsats i rapporten är att det finns flera effektivitetsbrister i statens arbete med strategiska di- gitaliseringsprojekt. Myndigheterna har återkommande problem med att leverera resultat inom utsatt tid och budget, ofta på grund av brist på IT-kompetens och bristande kravställning. Många projekt har inte utvärderats, vilket försvårar en samlad bedömning av mål- uppfyllelsen i de strategiska digitaliseringsprojekt som omfattas av granskningen. Vissa stora och kostsamma projekt har avbrutits i för- tid, vilket resulterat i stora ekonomiska förluster för staten. Rege- ringens styrning brister också när det gäller uppföljning och tvärsek- toriell samordning. Det har lett till att regeringen saknar en helhets- bild av hur myndigheternas arbete med strategiska digitaliserings- projekt bidrar till att uppnå de övergripande digitaliseringsmålen. Detta medför en risk för att nödvändiga åtgärder uteblir och att stödmyndigheternas insatser inte bidrar till att lösa problem inom de strategiska digitaliseringsprojekten. Avbrutna projekt har samman- lagt kostat 1,6 miljarder kronor. Merparten är stora och dyra projekt från myndigheter med samhällsviktig funktion, såsom Trafikverket, Riksrevisionen Boverket, Lantmäteriet och Svenska kraftnät. Riks- revisionen bedömer att detta kan minska allmänhetens förtroende för den statliga förvaltningen.607
Regeringen har i en skrivelse redovisat sin bedömning av Riksre- visionens iakttagelser och rekommendationer. I likhet med Riksre- visionen anser regeringen att myndigheternas ledningar har ett särskilt ansvar för att följa upp genomförandet av strategiska digita- liseringsprojekt med anledning av sitt ansvar för verksamheten inför regeringen samt att myndigheterna, liksom för allt annat arbete inom sina respektive verksamhetsområden, ansvarar för att bedriva strategiska digitaliseringsprojekt på ett effektivt sätt för att fortlö- pande utveckla verksamheten.608
607Riksrevisionens granskningsrapport Statliga strategiska digitaliseringsprojekt – stora gemensamma utmaningar den 10 april 2025, RiR 2025:8, s. 5–6.
608Regeringens skrivelse 2025/26:33, s. 6.
257
Några utgångspunkter | Ds 2026:2 |
16.5Förändring av det säkerhetspolitiska läget
Islutet av 1990-talet ansågs Sveriges säkerhetspolitiska läge vara gott. Även om osäkerheten om utvecklingen i Ryssland då bestod, ansåg regeringen att det fanns anledning att utnyttja läget till att sänka kostnaderna för Sveriges försvar och genomföra en omstruk- turering av försvaret.609 Regeringen ansåg mot den bakgrunden att Sverige behövde en försvarsmakt som var betydligt mindre till sin volym än tidigare, men som har hög kvalitet och som är allsidigt an- vändbar till en mängd olika typer av insatser. I stället för ett inva- sionsförsvar behövdes ett insatsförsvar där möjligheten till framtida anpassning var en viktig planeringsförutsättning. För att insatsorga- nisationen skulle få den föreslagna inriktningen föreslogs bland annat att ett stort antal krigsförband skulle läggas ned.610 Den 1 juli 2010 avskaffades den allmänna värnplikten i fredstid. Från det datumet utgjorde frivillighet i stället grunden för bemanningen av insatsorganisationen.611
Bara några år senare hade det säkerhetspolitiska läget i Europa försämrats, bland annat mot bakgrund av Rysslands annektering av Krim 2014. Mot den bakgrunden fanns det en bred politisk överens- kommelse om försvarets framtida inriktning. Den svenska försvars- förmågan skulle stärkas och den operativa förmågan i krigsförban- den öka under åren 2016–2020. Ytterst skulle försvaret kunna möta ett väpnat angrepp. Vidare skulle planeringen för totalförsvaret åter- upptas.612
Den 2 mars 2017 beslutade regeringen att totalförsvarspliktiga skulle vara skyldiga att genomgå mönstring och fullgöra grundut- bildning med värnplikt.613
Nyligen har regeringen konstaterat att det säkerhetspolitiska läget i Europa i grunden försämrats sedan Rysslands invasion av Ukraina den 24 februari 2022. Som en följd har svensk säkerhets- politik genomgått den största förändringen i modern tid. Sverige är sedan den 7 mars 2024 medlem i Nato. Bedömningen av det säker- hetspolitiska läget är behäftad med ett antal osäkerhetsfaktorer, bland annat i fråga om den fortsatta utvecklingen av Rysslands krig
609Prop. 1998/99:74, s. 43.
610Prop. 1999/00:30, s. 10 f.
611Prop. 2008/09:140, s. 11.
612Prop. 2014/15:109, s. 1 och 7.
613Regeringsbeslut den 2 mars 2017, Fö2016/01252/MFI (delvis).
258
Ds 2026:2 | Några utgångspunkter |
i Ukraina och Rysslands hållning till EU, Nato och dess medlems- stater. Osäkerhetsfaktorerna innebär enligt regeringen en förhöjd risk för att det säkerhetspolitiska läget snabbt kan försämras ytterli- gare med allvarliga konsekvenser för Europas och Sveriges säker- het.614
Säkerhetspolisen anser att hotet från främmande makt har breddats och blivit mer komplext. Ett flertal länder bedriver i dag olovlig underrättelseverksamhet och annan säkerhetshotande verk- samhet i Sverige. Samtidigt har det säkerhetspolitiska läget i Sveriges närområde allvarligt försämrats. Underrättelsehotet omfattar såväl olagliga som lagliga metoder. Vid sidan om den mer traditionella underrättelseverksamheten, där andra länder värvar agenter, genom- förs olika former av säkerhetshotande verksamhet såsom cyberat- tacker och påverkansoperationer. Främmande makt har behov av in- formation, kunskap och teknik och därmed kan behovet av under- rättelseinhämtning öka. Sverige är ett attraktivt land för länder som olovligen vill komma över både kunskap och teknik för militära och civila ändamål. Exempel på främmande makts metoder för underrät- telseinhämtning är öppna källor, signalspaning, cyberspionage mot skyddsvärda verksamheter i syfte att stjäla information eller att för- bereda sabotage, flyg- och satellitspaning samt traditionell person- baserad inhämtning.615
Ipropositionen Totalförsvar 2021–2025 betonas bland annat att Sveriges cyberförsvarsförmåga och det systematiska arbetet med informations- och cybersäkerhet bör stärkas ytterligare. Det sist- nämnda avser alla aktörer inom totalförsvaret. När det gäller hot- bilden inom cyberområdet anför regeringen att många av de system som är kritiska för att upprätthålla samhällets funktionalitet är sår- bara för störningar redan i fredstid och att det pågår ständiga in- trångsförsök mot internetanslutna system. Myndigheter och orga- nisationer med ansvar inom totalförsvaret behöver, i enlighet med vad regeringen angett i budgetpropositionen för 2021, ha tillgång till säkra och robusta kommunikationstjänster samt nätlösningar med höga säkerhetskrav som är ändamålsenliga för hantering och kom- munikation av säkerhetsskyddsklassificerad information.616
614Prop. 2024/25:22, s. 4–6.
615https://sakerhetspolisen.se/hoten-mot-sverige/hotet-fran-frammande-makt, hämtat den
23januari 2026.
616Prop. 2020/21:30, s. 151 f.
259
Några utgångspunkter | Ds 2026:2 |
Hösten 2025 anförde regeringen att det säkerhetspolitiska läget är det allvarligaste på flera decennier och att Ryssland utgör det dimensionerande hotet mot Sverige. Därför genomför regeringen historiska satsningar på försvaret. Tillsammans med tidigare budge- terade ökningar ökar anslagen med 26,6 miljarder i budgetproposi- tionen för 2026, vilket motsvarar en ökning med 18 procent jämfört med 2025.617
16.6Ökad motståndskraft i samhällsviktig verksamhet
16.6.1Ny cybersäkerhetslagstiftning
Det så kallade NIS-direktivet618 upphörde att gälla den 18 oktober 2024 och har ersatts av NIS2-direktivet.619 Syftet med direktivet är att förbättra den inre marknadens funktion genom att fastställa åt- gärder för att uppnå en hög gemensam cybersäkerhetsnivå inom unionen.620 Direktivet innebär skärpta krav på berörda aktörer jäm- fört med NIS-direktivet och omfattar betydligt fler aktörer.621
Genom NIS2-direktivet har kraven skärpts på vilka åtgärder berörda aktörer ska vidta för att bland annat hantera risker och för- hindra incidenter kopplade till nätverks- och informationssystem som de använder.622 Dessutom har mer precisa rapporteringsskyldig- heter införts, bland annat avseende skyldigheten att på visst sätt rap- portera alla betydande incidenter till en utpekad myndighet.623 I syfte att harmonisera sanktionssystemen i medlemsstaterna inne-
617Regeringens pressmeddelande den 15 september 2025.
618Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhets i nätverks- och informationssystem i hela unionen. NIS står för The directive on security of network and information systems, https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/krav-och- regler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/nis/om-nis-direktivet, hämtat den 23 januari 2026.
619Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet).
620Artikel 1, NIS2-direktivet.
621Se bland annat prop. 2025/26:28, s. 34.
622Artikel 21.
623Artikel 23.
260
Ds 2026:2 | Några utgångspunkter |
håller NIS2-direktivet även bestämmelser om tillsyns- och efterlev- nadskontrollåtgärder samt sanktioner.624
NIS2-direktivet infördes i svensk lagstiftning genom cyber- säkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507), som båda trädde i kraft den 15 januari 2026. Syftet är att uppnå en hög nivå av cybersäkerhet i samhället.625
Lagen innebär bland annat att verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisa- toriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåt- gärder). Säkerhetsåtgärderna ska utgå från ett allriskperspektiv och säkerställa en nivå på säkerheten i nätverks- och informationssyste- men som är lämplig i förhållande till risken.626 Ett annat krav enligt lagen är att de personer som ingår i ledningen för en verksamhetsut- övare ska genomgå utbildning om säkerhetsåtgärder.627 Uttrycket ledning omfattar bland annat ledning som den definieras i myndig- hetsförordningen. Utbildningen bör bland annat syfta till att led- ningen ska ha tillräcklig kompetens för att kunna identifiera risker och kunna bedöma vilka säkerhetsåtgärder som bör vidtas av verk- samhetsutövaren.628
16.6.2CER-direktivet
CER-direktivet629 ställer krav på åtgärder för att stärka motstånds- kraften i viss samhällsviktig verksamhet. Med samhällsviktig verk- samhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhäl- lets grundläggande behov, värden eller säkerhet. Direktivet innebär bland annat att varje medlemsstat ska ta fram en nationell strategi för att öka motståndskraften i samhällsviktig verksamhet och göra en nationell riskbedömning och redovisa vilka typer av risker som har identifierats och resultatet av riskbedömningarna per sektor och
624Prop. 2025/26:28, s. 35.
6251 kap. 1 § cybersäkerhetslagen.
6262 kap. 3 § cybersäkerhetslagen. Se även prop. 2025/26:28, s. 85.
6272 kap. 4 § cybersäkerhetslagen.
628Prop. 2025/26:28, s. 96–100.
629Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motstånds- kraft och om upphävande av rådets direktiv 2008/114/EG.
261
Några utgångspunkter | Ds 2026:2 |
undersektor.630 Utredningen om genomförande av NIS2- och CER- direktiven har i sitt slutbetänkande behandlat frågor om samord- ningen mellan kraven i direktiven.631 Utredningens förslag, med visst undantag som ingår i propositionen om ny cybersäkerhetslag, bereds inom Regeringskansliet.632
16.6.3Samordnad och säker statlig IT-drift
Förordningen (2024:1005) om samordnad och säker statlig IT-drift innehåller bestämmelser om ett samordnat statligt tjänsteutbud för IT-drift. Förordningen bygger på ett förslag från IT-driftsutred- ningen. Ett centralt syfte med en samordnad statlig IT-drift är att bidra till ökad informationssäkerhet i den statliga förvaltningen.633 Försäkringskassan är samordnande myndighet enligt förord- ningen.634
Genom en ändring i förordningen, som trädde i kraft den 1 januari 2026, är Lantmäteriet en av angivna leverantörsmyndig- heter. Det innebär att Lantmäteriet tillsammans med den samord- nande myndigheten ska bestämma vilka IT-driftstjänster som ska erbjudas inom det samordnade statliga tjänsteutbudet och hur tjänstebeskrivningarna för tjänsterna ska utformas. En leverantörs- myndighet ska tillhandahålla det samordnade statliga tjänsteutbudet och stödja myndigheterna vid valet av IT-driftslösning.635
De myndigheter som har uppdraget att tillhandahålla tjänster inom ramen för ett samordnat statligt tjänsteutbud ansvarar för att bedöma vilket behov som finns av säkerhetsskydd för den egna verksamheten. För att minimera riskerna med aggregerade informa- tionsmängder ska tjänster inom ett samordnat statligt tjänsteutbud levereras av flera myndigheter. IT-driftsutredningen bedömde dock att säkerhetsskyddsklassificerade uppgifter inte skulle hanteras inom det samordnade statliga tjänsteutbudet, eftersom sådan hante- ring ställer särskilda krav på säkerhet.636
630https://www.mcf.se/sv/om-oss/internationella-samarbeten/eu-samarbete/eu-och-skydd- av-samhallsviktig-verksamhet, hämtat den 23 januari 2026.
631SOU 2024:64.
632Prop. 2025/26:28, s. 32.
633SOU 2021:97, s. 21.
6341 och 4 §§ i förordningen.
6355 § i förordningen.
636SOU 2021:97, s. 27.
262
Ds 2026:2 | Några utgångspunkter |
För kostnader för att etablera en samordnad och säker statlig IT- drift beräknas anslaget för 2026 bli 12 250 000 kronor.637
16.7Styrelsemyndigheter
16.7.1Ledningsformen styrelsemyndighet638
I en styrelsemyndighet leds myndigheten av en styrelse som är kol- lektivt ansvarig för verksamheten inför regeringen. Myndighetens chef ingår som ledamot i styrelsen, men är inte dess ordförande. Myndighetschefen ansvarar för den löpande verksamheten i enlighet med styrelsens direktiv. Regeringen utser ordförande och övriga ledamöter i styrelsen. I vissa fall utser regeringen även vice ordföran- de. Myndighetschefen utses av regeringen, ofta efter samråd med ordföranden.
Ledningsformen innebär att regeringen väljer att styra en myn- dighet genom en styrelse som med sin samlade kompetens får ansvar att leda myndighetens verksamhet. Formen anses i första hand lämp- lig för myndigheter som har ett omfattande finansiellt ansvar i form av budgetomslutning eller tillgångar, en stor påverkan på andra sam- hällssektorer, en tvärsektoriell och komplex verksamhet som rör fle- ra samhällsområden, en forskningsintensiv och kunskapsproduce- rande verksamhet (högre utbildning), en affärsliknande verksamhet eller ett tydligt behov av bredd i form av olika kompetenser för att leda verksamheten. En styrelse stärker förutsättningarna för strate- gisk styrning och verksamhetsutveckling av myndigheten och kan vara en pådrivande kraft och utgöra ett viktigt stöd för myndighets- chefen i det löpande arbetet med att säkerställa att verksamheten be- drivs effektivt. Styrelsen, som ytterst ansvarig för verksamheten, har också en viktig roll i kvalitetssäkringen. Eftersom styrelsen är ytterst ansvarig inför regeringen, har den genom styrelseordföranden en viktig roll i regeringens uppföljning av myndighetens verksamhet och i bedömningen av myndighetens resultat.
637Prop. 2024/25:1, Utgiftsområde 18, s. 37.
638Texten i detta avsnitt och avsnitt 16.7.2-16.7.7 är hämtad från Regeringskansliets vägledning för statliga myndighetsstyrelser, oktober 2016.
263
Några utgångspunkter | Ds 2026:2 |
16.7.2Styrelsens ansvar
Styrelsen är högsta ledningsorgan i styrelsemyndigheter, med det yt- tersta ansvaret för alla beslut som rör verksamheten. Myndighetens ledning har såväl ett verksamhetsansvar som ett juridiskt ansvar. Ledningen ska enligt myndighetsförordningen se till att verksamhe- ten bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i EU. Den ska också se till att verk- samheten redovisas på ett tillförlitligt och rättvisande sätt och att myndigheten hushållar väl med statens medel.639
En viktig förutsättning för att styrelsen ska kunna utgöra ett led- ningsorgan och kunna styra är att både det formella och det verkliga ansvaret för verksamheten vilar hos den. Regeringen är uppdragsgi- vare och ledamöterna uppdragstagare med ansvar inför regeringen. Det är viktigt att ledamöterna i sitt styrelsearbete står obundna av olika partsintressen och uteslutande företräder myndigheten.
För att styrelsen ska kunna vara ett effektivt ledningsorgan måste en del beslut delegeras. Vissa frågor är dock av sådan karaktär att de inte kan delegeras till myndighetschefen, exempelvis beslut om ar- betsordning för myndigheten.640 Styrelsen bör noga överväga vilka frågor som ska delegeras till myndighetschefen. För att bland annat arbetsfördelningen mellan ordföranden och myndighetschefen ska löpa smidigt, och för att undvika dubbelarbete, är det viktigt att upp- giftsfördelningen mellan styrelsen och myndighetschefen regleras tydligt. Det görs i arbetsordningen. Det är ytterst styrelsen som mot bakgrund av myndighetsförordningens krav bedömer vilka uppgif- ter som bör delegeras. Styrelsen delegerar till myndighetschefen, som i sin tur bör få rätt av styrelsen att delegera vidare inom organi- sationen. Styrelsen bör hållas underrättad om myndighetschefens vi- daredelegering.
16.7.3Myndighetschefens roll i en styrelsemyndighet
Det är myndighetschefens uppgift att sköta den löpande verksam- heten enligt styrelsens direktiv och riktlinjer. Myndighetschefen har således en verkställande funktion. I styrelsen har myndighetschefen en viktig uppgift som föredragande, förslagsställare och rapportör.
6393 § myndighetsförordningen.
6404 och 5 §§ myndighetsförordningen.
264
Ds 2026:2 | Några utgångspunkter |
I de myndighetsdialoger som respektive departementsledning genomför ska både ordföranden och myndighetschefen delta. Den löpande kontakten med ansvarigt departement sker normalt genom ordföranden eller myndighetschefen, beroende på frågornas karak- tär. Myndighetschefen ska bland annat hålla styrelsen informerad om verksamheten, förse styrelsen med underlag för beslut och verkställa styrelsens beslut.641
16.7.4Den interna styrningen och kontrollen
En god intern styrning och kontroll ger myndighetens ledning för- utsättningar att driva verksamheten på ett effektivt sätt och uppnå önskat resultat. Med en god intern styrning och kontroll kan fel begränsas och oegentligheter och andra former av bedrägligt beteende undvikas.
Internrevisionen
Genom att inrätta en internrevision på utpekade myndigheter kan regeringen med rimlig säkerhet förvissa sig om att regelverken imp- lementeras ändamålsenligt och följs. I internrevisionens uppgifter ingår att granska och lämna förslag till förbättringar av myndig- hetens process för intern styrning och kontroll.
Utifrån en riskanalys ska internrevisionen självständigt granska om den interna styrningen och kontrollen leder till en effektiv verksamhet där lagar och förordningar följs och där redovisning och rapportering av verksamheten är tillförlitlig. I förordningen om in- tern styrning och kontroll ges närmare riktlinjer för de myndigheter som ska följa internrevisionsförordningen. Internrevisionen är en resurs för ledningen att ta sitt ansvar för verksamheten. Även om funktionen finns i organisationen och tilldelas resurser i den interna budgetprocessen, är det till ledningen som funktionen rapporterar iakttagelser och rekommendationer. När det är fråga om en styrel- semyndighet rapporterar internrevisionen till styrelsen. Styrelsen ska besluta om riktlinjer och revisionsplan för internrevisionen, bland annat granskningens inriktning, former och tidplan för rap- portering. Sådan rapportering till styrelsen bör ske minst en gång per
64113 § myndighetsförordningen.
265
Några utgångspunkter | Ds 2026:2 |
år. Styrelsen ska även besluta om åtgärder med anledning av intern- revisionens iakttagelser och rekommendationer. Styrelsen kan inte delegera ansvaret för internrevisionen till myndighetens chef eller annan befattningshavare. Däremot kan styrelsen delegera arbetsupp- gifter till myndighetschefen. Det som kan delegeras är till exempel uppgiften att i detalj utforma åtgärder till följd av styrelsebeslut med anledning av rekommendation från internrevisionen eller smärre förändringar i revisionsplanen. Myndighetschefen måste dock åter- rapportera till styrelsen vilka åtgärder eller ändringar som vidtagits.
16.7.5Styrelsemedlemmarnas uppgifter
I styrelsemyndigheter utser regeringen ordförande och övriga sty- relseledamöter. Ordföranden planerar och leder styrelsens arbete. Ordföranden bör göra klart vilka förväntningarna är på styrelseleda- möterna i styrelsearbetet. Ordföranden är styrelsens talesperson och gör uttalanden på styrelsens vägnar. Myndighetschefen svarar för (alternativt biträder ordföranden med) formalia och praktiska frågor kring styrelsen och dess arbete. Introduktionen av nya ledamöter bör om möjligt ske i god tid före deras första styrelsesammanträde. Ordföranden bör sätta in dem i styrelsearbetet medan myndighets- chefen bör ordna så att de får en fyllig och allsidig information om myndigheten och dess verksamhet.
En ledamot i en myndighetsstyrelse har sitt mandat från rege- ringen och ska stå obunden av partsintressen. Ledamotens främsta uppgift är att med utgångspunkt i regeringens uppdrag se till att verksamheten bedrivs effektivt och enligt gällande rätt och de för- pliktelser som följer av Sveriges medlemskap i EU, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushål- lar väl med statens medel.
I uppdraget att vara styrelseledamot ligger en skyldighet att fort- löpande hålla sig väl informerad om myndighetens verksamhet lik- som om vilka krav och förväntningar som ställs på myndigheten av riksdagen och regeringen. Eftersom informationsflödet normalt är omfattande, ska styrelseledamöterna löpande få den information de behöver för att kunna sköta sitt uppdrag. Det är myndighetschefen som svarar för att ledamöterna får den informationen. Utöver skilda slag av ekonomiska redovisningar kan det till exempel röra sig om
266
Ds 2026:2 | Några utgångspunkter |
sammanfattningar av rapporter, viktigare remissyttranden, press- meddelanden och information som rör personalen. Om enskilda le- damöter önskar särskild information om någon del av verksamheten, svarar myndighetschefen för att den ges.
16.7.6Beslutsfattande i styrelsen
För en myndighetsstyrelse gäller att beslut fattas kollektivt, det vill säga av styrelsens ledamöter gemensamt. Beslutsrätten i ett ärende kan alltså inte delegeras till styrelseordföranden eller till övriga leda- möter. Däremot kan beslutsrätten i vissa frågor delegeras till myn- dighetschefen.
16.7.7Etiskt förhållningssätt i styrelserna
Styrelsens ledamöter bör vara väl förtrogna med de tidigare nämnda sex grundläggande rättsliga principer som definierar den gemensam- ma statliga värdegrunden för alla statsanställda, nämligen – demok- rati, legalitet, objektivitet, fri åsiktsbildning, respekt för lika värde, frihet och värdighet samt effektivitet och service.
Den gemensamma statliga värdegrunden är central i myndighe- ternas arbete med en god förvaltningskultur. Den behöver återkom- mande uppmärksammas av styrelsen. Och styrelsen bör givetvis även resonera kring principernas betydelse för styrelsens arbete. Ett av delmålen för de statliga arbetsgivarna är att de statsanställda ska ha kunskap om och förståelse för grundläggande värden i statsför- valtningen och rollen som statstjänsteman. Styrelsen bör särskilt in- formera sig om hur myndigheten hanterar detta.
16.7.8Förhållandet mellan styrelsen, myndighetschefen och internrevisionen i fråga om verksamhetsansvar
En fråga av betydelse i sammanhanget när det gäller styrelseformen styrelsemyndighet är vilket ansvar styrelsen egentligen har och kan ta för myndighetens verksamhet. Både Statskontoret och Riksrevi- sionen har konstaterat att styrelsens ansvar är otydligt. Det beror bland annat på att regeringen för en löpande dialog med myndighets-
267
Några utgångspunkter | Ds 2026:2 |
chefen snarare än med styrelsen. Det är också av myndighetschefen som regeringen har utkrävt ansvar när något i verksamheten har brustit. Detta har ansetts skapa otydlighet kring styrelsens egentliga roll och ansvar i myndigheten. Den vanliga jämförelsen mellan myndighets- och bolagsstyrelser kan skapa orealistiska förvänt- ningar på en myndighetsstyrelses möjligheter att ta ansvar. En myn- dighetsstyrelse kan till exempel inte avsätta en myndighetschef som inte ställer sig bakom styrelsens önskade inriktning av verksam- heten. Det skiljer sig från bolagsstyrelsen som kan avsätta bolagets verkställande direktör.642
Styrelsens ansvar diskuterades efter händelserna i Statens fastig- hetsverk, där det pågick en polisutredning om misstanke om korrup- tion i myndigheten, och i Transportstyrelsen, där ledningen gjorde avsteg från säkerhetsskyddslagstiftningen när myndigheten upp- handlade sin IT-drift. Händelserna i båda myndigheterna hade riktat ljuset mot styrelsens roll och vilken möjlighet den i praktiken har att kunna ta ansvar för verksamheten.643
Ordföranden har en central roll för styrelsens arbete. Rollen in- nefattar bland annat att tillsammans med myndighetschefen besluta vilka frågor som styrelsen ska diskutera. Samarbetet mellan ord- föranden och myndighetschefen påverkar därför hur styrelsearbetet fungerar. Internrevisionen är samtidigt en viktig informationskanal för styrelsen. Internrevisionen är den funktion i myndigheten som styrelsen kan begära särskild information från. Myndighetschefen är central för att styrelsen ska få information om myndighetens verk- samhet. Myndighetschefen är också den som ofta informerar sty- relsen om vad den politiska ledningen anser och vill säga till myn- digheten. Det är ovanligt att hela styrelsen träffar departementsled- ningen. Styrelseordföranden deltar visserligen i myndighetsdialo- gen, men det är oftast myndighetschefen som sköter de informella kontakterna. Om myndighetschefen får medskick av både departe- mentsledningen och styrelsen finns det risk för dubbelstyrning av myndigheten. Och styrelsen kan ta ett reellt ansvar bara för det som man har information om. Det finns en risk för att en styrelse inte får den information som behövs både från myndigheten och från reger-
642Statskontorets rapport Myndighetsstyrelser i praktiken, 2018, s. 55 f och Riksrevisionens rapport Styrelser med fullt ansvar, RiR 2007:25, s. 41. Se även SOU 2004:23, s. 111.
643Myndighetsstyrelser i praktiken, s. 11.
268
Ds 2026:2 | Några utgångspunkter |
ingen. Det kan påverka styrelsens möjlighet att ta reellt ansvar, även om de formellt sett har det fulla ansvaret.644
I departementspromemorian Granskning av Transportstyrelsens upphandling av it-drift anförs bland annat följande.
Ansvarsfördelningen mellan styrelsen och generaldirektören har i prak- tiken varit ganska oklar och det är inte något som är unikt för Trans- portstyrelsen. Tvärtom ligger det en inbyggd spänning i en lednings- form där såväl styrelse som generaldirektör utses av regeringen men där den förra ska utöva någon form av kontroll över den senare trots att formella befogenheter för en sådan kontroll saknas. Samtidigt sker rege- ringens styrning av myndigheten i hög grad via generaldirektören me- dan det är styrelsen som formellt sett är ansvarig för hela myndighetens verksamhet. Slutsatsen är att det behövs tämligen ingående diskussioner mellan styrelsen och generaldirektören om hur ansvarsfördelningen ska se ut såväl principiellt som i praktiken. Alla generella utgångspunkter måste så klart anpassas till skiftande förhållanden, men utan en grund- läggande och explicit hållning kan styrelsen inte ta det ansvar som myn- dighetsförordningen förutsätter.645
Mot bakgrund av de oklarheter som ledningsformen hade medfört i granskningsärendet, och som den utredningen inte trodde var iso- lerat till Transportstyrelsen, förordades att den renodlades efter en så kallad bolagsmodell. En sådan definierades som att styrelsen ses som det organ som rent faktiskt utövar inflytande över myndig- heten. Med en sådan modell ställs helt andra krav på ledamöterna än om styrelsen endast ska ses som ett organ som ska representera allmänna intressen och ge viss grundläggande insyn i myndighetens verksamhet (en så kallad intressemodell). I en bolagsmodell skulle styrelsen inte bara ha det formella utan också det reella ansvaret för myndigheten, något som myndighetsförordningen utgår från. En sådan ordning skulle sannolikt ställa delvis nya krav på hur styrelseledamöter utses. Utredningen anförde också i samman- hanget att rollen som myndighetschef ställer höga krav på förmågan att göra korrekta bedömningar om när regeringen ska konsulteras eller inte. Det ansågs enligt utredningen inte uteslutet att regeringen skulle kunna stödja myndighetscheferna tydligare än i dag i dessa avseenden.646
644Myndighetsstyrelser i praktiken, s. 5–7.
645Ds 2018:6, s. 240.
646Ds 2018:6, s. 241–242.
269
Några utgångspunkter | Ds 2026:2 |
Statskontoret har anfört bland annat följande när det gäller an- svarsutkrävande i en styrelsemyndighet.647
I slutändan är det regeringen som alltid har det yttersta ansvaret för sina myndigheter. I det avseendet haltar den ofta förekommande jäm- förelsen mellan myndighetsstyrelser och bolagsstyrelser. Myndig- hetsstyrelser har inte alls samma ansvar som en bolagsstyrelse. En myndighetsstyrelse ansvarar inte för att utnämna och avsätta myn- dighetschefen. Det är inte styrelsen som beslutar vad myndigheten ska ägna sig åt och i vilken omfattning man ska göra det. Inte heller har styrelsen full kontroll över de ekonomiska förutsättningarna för myndighetens verksamhet. I samtliga dessa fall är det riksdagen eller regeringen som beslutar. Om en liknelse ska göras med bolagsvärlden ligger det närmare till hands att beskriva regeringen som myndighetens styrelse. Ansvarsutkrävandet får således en annan funktion i en myndighet jämfört med ett bolag. I praktiken har regeringen inte så många instrument till sitt förfogande för att utkräva ansvar av en styrelse som inte har fullgjort sitt uppdrag på det sätt som har förutsatts. Det enda som i praktiken står till buds är att entlediga styrelsen eller att inte förlänga ledamöternas förordnanden. Något annat instrument finns inte, om inte styrelsen har begått rent kriminella handlingar. Styrelsens möjlighet att ta ansvar för verksamheten är i mångt och mycket beroende av myndighetschefens agerande. Det är myndighetschefen som ansvarar för myndighetens löpande verksamhet. Det är också myn- dighetschefen som i detta arbete har kontakterna med Regerings- kansliet. Styrelsen finns inte, som myndighetschefen, ständigt på plats. En myndighetsstyrelse blir därmed utlämnad till myndighetschefen för att få information om verksamheten.
Internrevisionens uppdragsgivare är myndighetens ledning, det vill säga bland annat styrelsen i styrelsemyndigheter. Internrevisionen är inte självständig gentemot myndighetsledningen men ska vara självständig (oberoende) i förhållande till den verksamhet som ska granskas. För att internrevisionens oberoende i förhållande till den granskade verksamheten ska begränsas så lite som möjligt ska internrevisionen vara organisatoriskt inplacerad direkt under myn- dighetens ledning. Som internrevisionens uppdragsgivare har myn- dighetsledningen ett intresse av att vara engagerad i rekryteringen av internrevisionschef.648
647 Statskontorets rapport Myndigheternas ledningsformer – en kartläggning och analys, 2014:4, s. 104–107.
648https://forum.statskontoret.se/styrning/internrevision/den-statliga- internrevisionen/relationen-till-myndighetsledningen, hämtat den 23 januari 2026.
270
Ds 2026:2 | Några utgångspunkter |
Rekryteringen av internrevisionschef är viktig för myndighetens ledning, det vill säga styrelsen i en styrelsemyndighet. Ledningen är internrevisionschefens uppdragsgivare och det är nödvändigt att det finns ett förtroende mellan uppdragsgivare och internrevision. In- ternrevisionschefen ska kunna ge råd och stöd till myndighetens ledning och den som myndigheten rekryterar måste ha rätt kvalifika- tioner, både personliga och yrkesmässiga, för att kunna utföra upp- draget enligt god internrevisors- och internrevisionssed. Det är emellertid inte myndighetens ledning, utan Statens ansvarsnämnd, som beslutar i frågor om disciplinansvar, åtalsanmälan och avskedan- de när det gäller internrevisionschefen. Detsamma gäller för andra chefer inom myndigheten.649
Myndighetens ledning kan inte delegera sin beslutanderätt över internrevisionen till någon annan. Däremot kan arbetsuppgifter som rör åtgärder med anledning av internrevisionens rekommendationer delegeras. Exempelvis kan myndighetens styrelse delegera arbets- uppgifter till myndighetschefen för att utforma åtgärder som styrel- sen har beslutat med anledning av rekommendationer i internrevi- sionens rapporter. Styrelsen kan även delegera smärre förändringar i revisionsplanen till myndighetschefen. Myndighetschefen bör dock återrapportera till styrelsen vilka åtgärder eller ändringar som har genomförts. I andra frågor än granskning och rådgivning omfattas internrevisionen i likhet med myndigheten i övrigt av de beslut som fattas av myndighetschefen, eller någon annan med delegerad beslutanderätt. För att internrevisionsarbetet ska fungera väl är det önskvärt att myndighetens ledning och internrevisionschefen har regelbundna avstämningsmöten. En väl fungerande och öppen kom- munikation ger myndighetsledningen bättre möjligheter att använda sig av internrevisionens iakttagelser och rekommendationer i sitt ar- bete med att förbättra den interna styrningen och kontrollen. När myndigheten leds av en myndighetschef kan de löpande kontakterna ofta vara enklare att organisera. När myndighetens ledning är en sty- relse är det lämpligt att styrelsens ordförande (eller någon annan ut- sedd person i styrelsen) och internrevisionschefen har löpande kon- takt.650
649https://forum.statskontoret.se/styrning/internrevision/styra-och-planera- internrevision/rekrytera-internrevisor, hämtat den 23 januari 2026.
650https://forum.statskontoret.se/styrning/internrevision/den-statliga- internrevisionen/relationen-till-myndighetsledningen, hämtat den 23 januari 2026.
271
Några utgångspunkter | Ds 2026:2 |
Styrelsen ska, i den utsträckning det inte möter hinder på grund av sekretess, se till att internrevisionen får tillgång till de uppgifter och upplysningar som den behöver för att fullgöra sitt uppdrag.651
Riksrevisionen har i en granskningsrapport ansett att det är vik- tigt att myndighetsledningen förstår och kommunicerar internrevi- sionens roll och uppgifter till verksamheten.652 I rapporten anges vi- dare att enligt Ekonomistyrningsverket är förtroende mellan intern- revisionen och myndighetsledningen en förutsättning för att intern- revisionens arbete ska kunna fungera väl. Vidare anförs att ett fun- gerande arbete baseras på en ömsesidig respekt för den professionel- la integriteten. Professionell integritet handlar om att kunna stå för sin åsikt men också om att kunna diskutera och omvärdera denna. Några av de fallstudier som Riksrevisionen gjort, som avsåg flera myndigheter, visade att samspelet mellan internrevisionen, upp- dragsgivare och övrig verksamhet inte fungerade. Exempelvis fanns i vissa fall problem i relationen mellan internrevisionschef och myn- dighetsledning och övrig organisation. Fallstudierna visade också att det i styrelsemyndigheterna uppfattades som naturligare för intern- revisionschefen att diskutera problem med generaldirektören i stäl- let för med styrelseordföranden. Generaldirektören var också den person som styrelseordföranden uppgav att denne skulle diskutera eventuella problem i internrevisionen med. För att säkerställa det organisatoriska oberoendet ska, enligt god sed, uppdragsgivaren godkänna internrevisionschefens lön. Av praktiska skäl kan det dock enligt Riksrevisionen ändå vara rimligt för styrelsemyndigheter att generaldirektören är involverad i lönesättningen, under förutsätt- ning att internrevisionschefen har åtkomst till sin uppdragsgivare. Fallstudierna visade att det vanligaste i styrelsemyndigheter var att generaldirektören hade lönesamtal med internrevisionschefen. Att internrevisionschefen i en styrelsemyndighet inte har åtkomst till sin uppdragsgivare utan i stället har kontakt med generaldirektören angavs ha inskränkt internrevisionens oberoende.
65111 § internrevisionsförordningen.
652Riksrevisionens granskningsrapport Internrevisionen vid myndigheterna – En funktion som behöver stärkas, RiR 2017:5, s. 20–23.
272
Ds 2026:2 | Några utgångspunkter |
16.8Handläggningstiderna inom fastighetsbildning
I regleringsbreven för Lantmäteriet har frågan om handläggningsti- der och kundnöjdhet ofta kommit till uttryck.
Redan i 2004–2008 års regleringsbrev uttrycktes att förrättnings- verksamheten skulle kännetecknas av bland annat god service och information samt snabb och korrekt handläggning. Målet uppgavs i flera av regleringsbreven innebära bland annat att Lantmäteriverket skulle se till att handläggningstiderna för lantmäteriförrättningar inklusive registrering skulle sänkas och anpassas till ärendets art och kundens önskemål. I regleringsbrevet för 2005 tillkom därtill att kundnöjdheten vad avser bemötande, handläggningstider och för- rättningskostnader skulle öka. I 2006 års regleringsbrev uttrycktes detta ännu tydligare med att målet innebar bland annat att verka för att effektivisera handläggningen i syfte att minska kostnaden för sakägaren samt att kundnöjdheten skulle bibehållas vad avser bemö- tande och öka vad gäller handläggningstider och förrättningskostna- der. I 2007 års regleringsbrev angavs som ett av målen för fastighets- bildning att förkorta handläggningstiderna och minska kostnaderna för sakägarna genom fortsatta rationaliseringar och effektiviseringar och en del av redovisningen vid återrapporteringen skulle avse utfal- let av de mätningar avseende kundnöjdhet som gjorts samt vilka åt- gärder som vidtagits med anledning av resultaten.
Under ytterligare flera års tid därefter (2009–2016) har det om både förrättningsverksamheten och inskrivningsverksamheten upp- getts som mål att de ska kännetecknas av bland annat snabb, korrekt och kostnadseffektiv handläggning. Genom regleringsbrevet för 2018 har införts att Lantmäteriet årligen i årsredovisningen (efter en första delredovisning i april 2019) ska redovisa, analysera och utvär- dera nyckeltal i syfte att minska, mäta och följa upp handläggnings- tiderna inom fastighetsbildningsverksamheten.
Riksrevisionen angav i en granskningsrapport 2022 avseende handläggningstider sammanfattningsvis följande.
Riksrevisionens granskning visar att handläggningstiderna under en lång tid blivit allt längre och att liggtiderna i ärendena är mycket omfattande. Riksrevisionens slutsats är att handläggningen inom Lantmäteriets fastighetsbildning inte är tillräckligt effektiv. Inom verksamheten beror det främst på att Lantmäteriet har haft svårt att rekrytera tillräckligt många lantmätare och att det därför finns en
273
Några utgångspunkter | Ds 2026:2 |
obalans mellan resurser och insatser som ska utföras. Riksrevi- sionens bedömning är att det saknas möjligheter att på sikt lösa den- na kompetensbrist. Regelverket för fastighetsbildningen är föråldrat och hindrar en enklare och effektivare ärendehandläggning. Riksre- visionens bedömning är därför att den viktigaste åtgärden för att minska handläggningstiderna är att modernisera regelverket. Riksre- visionen rekommenderade därför regeringen att bland annat genomföra en översyn av hela regelverket för fastighetsbildningen.653
Regeringen instämde i Riksrevisionens bedömning att den största orsaken till de långa handläggningstiderna inom fastighetsbild- ningen beror på att Lantmäteriet har haft svårt att rekrytera tillräck- ligt många lantmätare. Regeringen ansåg dock att det inte var möjligt att komma till rätta med denna problematik enbart genom regeländ- ringar.654 Riksdagen ansåg i ärendet inte att det fanns skäl att göra något tillkännagivande till regeringen utan lade regeringens skrivelse till handlingarna.655
Problemet med långa handläggningstider inom fastighetsbild- ningen har även varit föremål för ärenden hos Justitiekanslern och Justitieombudsmannen.656
Regeringen gav i september 2022 Lantmäteriet i uppdrag att ta fram en handlingsplan för att uppnå kortare och mer transparenta handläggningstider. Uppdraget omfattar för Lantmäteriets del fas- tighetsbildningsverksamheten. Myndigheten ska redovisa uppdraget till Tillväxtverket årligen senast den 15 februari 2023–2029.657
Av Lantmäteriets redovisning 2025 framgår bland annat att myndighetens genomsnittliga handläggningstid för fastighetsbild- ningsärenden under åren 2022–2024 varit 50, 57 respektive 53 veckor inom området kommersiell och offentlig mark- och fastighets- utveckling, 56, 52 och 38 veckor inom området jord- och skogsbruk, samt 110, 105 och 104 veckor inom området infrastruktur.658
653Riksrevisionens granskningsrapport Fastighetsbildningen i Sverige – handläggningstider, avgifter och reformbehov, RiR 2022:3, s. 6.
654Regeringens skrivelse till riksdagen, Skr. 2021/22:265, s. 5–6.
655Civilutskottets betänkande 2022/23:CU4 och riksdagens protokoll 2022/23:26, § 8.
656Justitiekanslerns beslut den 24 juli 2017, dnr 6617-16-21, och Justitieombudsmannens ärende 1965–2016.
657Regeringsbeslut den 1 september 2022, N2022/01751 med flera.
658Bilaga till Uppdrag att följa upp mål om handläggningstider samt om bemötande och service hos vissa myndigheter -Delrapport 2025, Tillväxtverkets dnr Ä 2022–4494, s. 40.
274
Ds 2026:2 | Några utgångspunkter |
16.9Lantmäteriets roll som beredskapsmyndighet
Det finns 67 statliga myndigheter (varav 21 länsstyrelser) som är beredskapsmyndigheter, det vill säga myndigheter med särskild be- tydelse för samhällets civila beredskap. Myndigheterna ska ha god förmåga att motstå hot och risker, förebygga sårbarheter, hantera fredstida krissituationer och genomföra sina uppgifter vid höjd be- redskap. Rollen som beredskapsmyndighet innebär att ytterligare krav, utöver de som ställs på alla myndigheter, läggs på en sådan myndighet.
16.10 En blandning av äldre och nya IT-system659
Lantmäteriets informationshantering är till största delen digital och hanteras i en mängd olika IT-system. Den digitala informationshan- teringen har byggts upp under flera decennier och nya system har utvecklats och implementerats efter hand. Vissa system har sedan uppdaterats för att följa verksamhetens behov medan andra endast har underhållits för att upprätthålla en minsta säkerhetsnivå.
Det betyder att Lantmäteriet har en IT-miljö som består av en blandning av äldre och nya system där både säkerhetskrav och till- gängliga möjligheter att uppnå en säkerhetsnivå skiljer sig åt. Lant- mäteriet arbetar dock kontinuerligt med att upprätthålla en generell nivå på säkerhet. Det innebär att man har system som kan säkerhets- uppdateras eller underhållas säkerhetsmässigt på operativsystems- nivå. Detta i sin tur gör att de mellanmjukvaror som myndigheten använder måste hållas uppdaterade och så även applikationer.
Applikationer som tagits fram för mellan 10–30 år sedan har utvecklats med den tidens syn på värdet av information och den tidens utmaningar kring säkerhet.
Eftersom kostnaderna är höga och resursåtgången omfattande för att ta fram nya IT-stöd, kommer en del av IT-systemen alltid att vara i slutet av sin livslängd.
Trossen har varit i behov av utveckling och modernisering under en längre tid och sårbarheterna har enligt Lantmäteriet varit kända. Enligt uppgifter från Lantmäteriet är planen att Trossen under 2027 kommer att ersättas med ett nytt handläggningssystem.
659Texten bygger på information från Lantmäteriet i oktober och december 2025.
275
Några utgångspunkter | Ds 2026:2 |
Infrastruktur hålls uppdaterad kontinuerligt med säkerhetsupp- dateringar och livscykelhantering. Applikationer som är inköpta un- derhålls med hjälp av leverantörens tillhandahållna uppdateringar. Egenutvecklade applikationer underhålls och hålls uppdaterade ge- nom att nya versioner ”byggs” när sårbarheter i ingående kompo- nenter identifieras.
276
17Överväganden beträffande Lantmäteriets arbete med informationssäkerhet, med mera
17.1Kapitlets innehåll
Detta kapitel innehåller våra överväganden när det gäller Lantmäte- riets arbete med informationssäkerhet, med mera. Myndighetens hantering av utlämnande av allmänna handlingar och sekretesspröv- ning tas upp i ett särskilt avsnitt. Detsamma gäller behandlingen av personuppgifter.
17.2Krav och därmed utmaningar för Lantmäteriet
Utredningens bedömning: Flera och ökade krav som inneburit utmaningar för Lantmäteriet har haft betydelse för myndighetens prioriteringar. Sådana krav har varit öppna data, tillgänglighet, di- gitalisering, en ekonomi i balans och kortare handläggningstider inom främst fastighetsbildning. Fokus inom myndigheten har le- gat på att möta dessa krav och inte på säkerhetsskydd och infor- mationssäkerhet. Det har varit en bidragande orsak till brister inom dessa områden.
Skälen för utredningens bedömning
Lantmäteriet har en central och mycket viktig roll i samhällsbygg- nadsprocessen. Myndigheten bidrar med insatser som ett samhälle inte kan fungera utan. Här avses i första hand information om Sveriges fastigheter och geografi, som bland annat behövs för att lag-
277
Överväganden | Ds 2026:2 |
fart ska kunna beviljas vid köp av en fastighet eller att mark ska kunna avstyckas.
Som andra myndigheter har Lantmäteriet sedan 1990-talet varit utsatt för ett starkt förändringstryck. Det har i huvudsak handlat om de generella effektiviseringskrav som redovisats i avsnitt 16.2. Efter- som Lantmäteriet ansvarar för tillhandahållande av grundläggande geografisk information och fastighetsinformation, har digitalise- ringen stått i fokus för myndigheten, vilket bland annat ett antal regeringsuppdrag genom åren inom det området visar. Till det kommer kraven på myndigheten från regering och riksdag att minska handläggningstiderna bland annat för fastighetsbildnings- ärenden samt att Lantmäteriet blev beredskapsmyndighet 2022 och att myndighetens IT-system består av både nya och äldre system.
Både det stora behovet av den information som Lantmäteriet ansvarar för och inriktningen mot att effektivt tillhandahålla infor- mation har medfört att myndigheten under lång tid präglats av öppenhet och tillgänglighet. Det är något som betonats under flera av våra intervjuer. Samtidigt har den ökade användningen av infor- mationsteknik i statsförvaltningen gjort att frågor om informations- säkerhet blivit viktigare än någonsin. Att brister i sådan säkerhet kan få dramatiska konsekvenser är känt. Trots det har det under förhål- landevis lång tid stått klart att statsförvaltningen har haft svårt att leva upp till de ökade kraven på informationssäkerhet. Riksrevi- sionen har i flera rapporter pekat på brister i hur statsförvaltningen hanterar informationssäkerheten och i hur regeringen styr myndig- heterna i dessa avseenden.660
Regering och riksdag har strävat efter en öppen, tillgänglig och digitaliserad förvaltning och styrt myndigheterna med den inrikt- ningen. Flera av de intervjuade har tagit upp att ett tydligt fokus inom Lantmäteriet åren före den särskilda händelsen, men också tidigare, har legat på att förkorta de långa handläggningstiderna inom fastighetsbildningen. Den frågan har varit prioriterad.
Lantmäteriet har även haft kundnöjdhet i fokus. Det framgår exempelvis av myndighetens årsredovisningar, där det bland annat anges att Lantmäteriets information om geografi och fastigheter är öppen, tillgänglig och användbar.661 Vidare har det vid internrevisio-
660Se departementspromemorian Granskning av Transportstyrelsens upphandling av it-drift, Ds 2018:6, s. 24–25.
661Se till exempel Lantmäteriets årsredovisningar 2020, s. 7, och 2022, s. 8.
278
Ds 2026:2 | Överväganden |
nens granskning kommit fram liknande uppfattningar hos medarbe- tare.
Det förändrade säkerhetsläget har ställt helt andra krav än tidigare på Lantmäteriet och fört med sig mer arbete när det gäller säkerhetsorganisation och arbetet med säkerhetsskyddsanalys med mera. De många och ibland svårförenliga krav som ställts på Lant- mäteriet har inneburit stora utmaningar för myndigheten. Det kan man ha förståelse för. Samtidigt har förändringen av säkerhetsläget pågått under lång tid. Trots det har viljan att vara öppen och tillgänglig fått dominera och för lite fokus har kommit att ligga på säkerhetsskydd och informationssäkerhet. Denna synpunkt har också kommit fram vid intervjuer. En ytterligare utmaning för Lant- mäteriet som tagits upp i vårt arbete är att det pågick en pandemi under några av de år som vi har granskat. Denna omständighet har inte haft någon avgörande betydelse för våra bedömningar men pandemin innebar bland annat att det var svårare att träffas per- sonligen och ta upp säkerhetsfrågor i avlyssningsskyddade rum. Vi återkommer i det följande till Lantmäteriets informationssäkerhets- arbete. Det finns dock anledning att först ta upp några allmänna frå- gor som vi menar har betydelse vid bedömningen av det arbetet.
17.3Lantmäteriet som förvaltningsmyndighet
Utredningens bedömning: Lantmäteriet har haft svårt att hålla fast vid och komma till rätta med sin roll som förvaltningsmyn- dighet och den statliga värdegrunden. Vikten av en god förvalt- ningskultur har inte lyfts fram i tillräcklig utsträckning. Den om- ständigheten har varit en bidragande orsak till de brister i infor- mationssäkerhetsarbetet som kan konstateras. Lantmäteriets roll och funktion som förvaltningsmyndighet behöver framhållas inom myndigheten.
279
Överväganden | Ds 2026:2 |
Skälen för utredningens bedömning
En god förvaltningskultur har inte prioriterats
Den bild som vi fått av Lantmäteriet är att det är en myndighet med många kompetenta och engagerade medarbetare. Sakkunskapen är hög inom den verksamhet som myndigheten bedriver.
En myndighet behöver arbeta med både strukturen (författ- ningar, regler och intern styrning) och kulturen, det vill säga de värderingar och den praktik som råder i en verksamhet för att åstadkomma och upprätthålla en god förvaltningskultur. Varje myndighet behöver också se till att alla medarbetare känner till och förstår principerna i den statliga värdegrunden.662 Inom Lantmäteriet har förvaltningskulturen inte varit ett prioriterat område.
I Lantmäteriet har det, i vart fall tidigare, funnits bristande kuns- kap i det man kan kalla allmän förvaltningsjuridik. Det har visat sig bland annat genom bristande dokumentation av beslut, bristfällig diarieföring, bristande kunskaper i offentlighet och sekretess, sär- skilt när det gäller hanteringen av en begäran att få ut allmänna hand- lingar från myndigheten. Internrevisionen har i rapporten Säkerstäl- lande av regelefterlevnad redogjort närmare för dessa brister.663
Flera likartade synpunkter har kommit fram vid våra intervjuer. Följande exempel kan nämnas.
Statstjänstemannarollen och den statliga värdegrunden har inte funnits med i utbildningspaket för nyanställda.
Det finns inom myndigheten inte en känsla av att det är fråga om statsförvaltning.
Lantmäteriets ledningsgrupp har inte varit tillräckligt grundad i statstjänstemannarollen och den statliga värdegrunden.
På Lantmäteriet får alla göra lite som de vill. Kontroll har man inte velat jobba med, man vill inte kontrollera sina medarbetare. Men om man inte styr tydligt och inte följer upp eller kontrollerar kan det bli lite valfritt vad man vill göra.
Det finns inte någon kultur när det gäller diarieföring. Det handlar om bristande kunskaper hos ledningen, man förstår inte detta. Även beredningen brister. Det enda officiella beredningsforumet är ledningsgruppen – det är bara de som anses kunna allt. Det finns ingen GD-stab med kompetenta medarbetare.
662Se avsnitt 16.3.1.
663Internrevisionens revisionsrapport Säkerställande av regelefterlevnad den 20 december 2021, LM2021/050144.
280
Ds 2026:2 | Överväganden |
Avsaknad av dokumentation är slående för myndigheten. Protokoll är bristfälliga. Det är svårt att utläsa vad som är ett beslut eller inte och det gäller även på styrelsenivå. Föredragnings-PM existerar inte, vilket är förvånande. Det används mycket Powerpointpresentationer i stället.
Det finns en kultur som innebär att allt beslutas i Powerpointformat. Men promemorior som innehåller analyser av ett problem har myndigheten inte använt sig av.
Enligt generaldirektören har Lantmäteriet pratat om den statliga värdegrunden och gjort ett värdegrundsarbete men inte lyft tjänste- mannarollen så mycket. Myndigheten hade tidigare tagit fram egna värdeord i stället för att följa den statliga värdegrunden. Detta tog generaldirektören upp med verksamhetsområdet HR för att markera att värdegrunderna inte enbart handlade om service, öppenhet och tillgänglighet. Enligt generaldirektören verkade myndighetsrollen lite ha tappats bort.
Internrevisionens bedömning
Lantmäteriets internrevision har ansett det funnits ett utbildnings- behov inom myndigheten när det gäller förvaltningslagen, data- skydd, offentlighetsprincipen med fokus på utlämnande av allmän handling, myndighetsstyrning, intern styrning och kontroll, stats- tjänstemannarollen och den statliga värdegrunden.664 Enligt intern- revisionens bedömning är utbildning och kulturfrågor samman- kopplade och regelefterlevnadskulturen anses vara en följd av att er- forderlig utbildning och fortbildning om regelverk och regelefter- levnadsfrågor inte genomförts. Regelefterlevnadskulturen, i kom- bination med bristerna inom utbildning, bedömer internrevisionen utgör en betydande risk för bristande regelefterlevnad samt även risk för bristande rättssäkerhet.665
I kommentarer från medarbetare har lyfts synpunkter om att alla gör som de vill och att det beror på att det inte följs upp vad man gör. Det sägs också bero på kunskapsbrist och då indirekt brist på utbildning. Det anses inte vara självklart för alla vad som är myndig- hetens uppdrag. Vidare förs fram att man behöver prata om att man är en myndighet och att det finns juridiska förhållningssätt man måste följa. Man menar att man måste få in det i vardagen. På samma
664Revisionsrapporten Säkerställande av regelefterlevnad, s. 17.
665Revisionsrapporten Säkerställande av regelefterlevnad, s. 19.
281
Överväganden | Ds 2026:2 |
tema har angetts att man i allmänhet inte prioriterar regelefterlevnad så högt, man prioriterar mer kundnöjdhet och effektivitet. Det ges tydligt avkall på regelefterlevnad till förmån för service och innova- tion som ger en kundnöjdhet eller publicitet. Regelefterlevnad sägs inte ha så hög status jämfört med affärsmässighet och produktion. Man har tappat bort sig i att man är en myndighet och har regelverk att följa. Det nämns att det inte finns ett ord om regelefterlevnad i myndighetens egen värdegrund.666
Lantmäteriet behöver hitta tillbaka till grunderna i rollen som förvaltningsmyndighet
Det skriftliga underlag som vi har tagit del av och även uppgifter från flera tidigare och nuvarande anställda på Lantmäteriet som vi har pratat med leder till slutsatsen att man i stora delar av verksamheten behöver hitta tillbaka till grunderna i rollen som förvaltningsmyn- dighet. Man har på olika sätt i verksamheten tappat sin identitet som myndighet. I det sammanhanget behöver man formulera sitt upp- drag och återkomma till grunderna i det. Noteras kan bland annat myndighetens årsredovisningar och det som där anges om kunder och öppen och tillgänglig information. Den hållningen har över tid, och sedan lång tid, kommit att genomsyra organisationen och varit en del i myndighetens felaktiga prioriteringar. Och den kan ha bidragit till felaktiga analyser av gällande rätt i frågor om offentlighet och sekretess. I alla delar av verksamheten och utifrån Lantmäteriets uppdrag behöver avstamp tas i regeringsformen, myndighetsför- ordningen och förvaltningslagen. Ett avstamp behöver alltså tas i den offentliga rätten där grunden för verksamheten finns, inte i det som närmast kan beskrivas som privaträttsliga och affärsrättsliga utgångspunkter med en tydlig marknadsrättslig profil, något som i vart fall tidigare präglat delar av verksamheten.
Vår bedömning är att uppdraget som förvaltningsmyndighet och den offentliga rättens olika delar tydligt behöver befästas i hela orga- nisationen, det vill säga hos såväl chefer som medarbetare. Det gäller på ett övergripande plan beträffande synen på hur myndighetens uppdrag ska utövas och samtidigt i den konkreta hanteringen av olika delfrågor där myndighetsförordningens och förvaltningslagens
666Revisionsrapporten Säkerställande av regelefterlevnad, s. 18.
282
Ds 2026:2 | Överväganden |
regelverk ska följas. De förvaltningsrättsliga rutinerna behöver stärkas. Att bristerna i regelefterlevnad har gjort sig gällande särskilt i fråga om säkerhetsskyddslagstiftningen och de uppgifter som för Lantmäteriets räkning följer av den är uppenbart.
Verksamheten har präglats av öppenhet, tillgänglighet och effektivitet
Inriktningen mot öppenhet, tillgänglighet och effektivitet i förhål- lande till olika externa aktörer har präglat verksamheten under lång tid och kommit att prägla även hur man förhållit sig till förvaltnings- rätten och den offentliga rätten i övrigt. Att den inriktningen varit en viktig del i Lantmäteriets verksamhetsmål följer inte bara av den serviceskyldighet som ligger på förvaltningsmyndigheterna utan av de olika uppdrag som regering och riksdag lagt på myndigheten. Det finns därför förklaringar till varför det som kan beskrivas som Lantmäteriets roll i samhällsbyggnadsprocessen kommit att styra var myndigheten haft sitt fokus. I kombination med att det säkerhets- politiska läget i omvärlden under lång tid bedömts som mindre allvarligt finns flera faktorer som sammantaget sannolikt varit en del i att man på olika nivåer inom Lantmäteriet fokuserat mindre på förvaltningsrättsliga rutiner och säkerhetsskydd än på exempelvis tillgänglighet och handläggningstider.
Hela systemuppbyggnaden i verksamheten har på olika sätt skett utan att man tillräckligt vägt in alla utgångspunkter som Lantmäte- riet haft att beakta. Man kan säga att säkerhetsskyddet har fått stå tillbaka till förmån för andra intressen. Lantmäteriet har på detta sätt byggt sig fast i IT-system som inte uppfyllt säkerhetsskyddslagstift- ningens krav. Eftersom ett alltmer överskuggande fokus har varit ett kund- och marknadsperspektiv, har man inte, trots lång tid och olika externa och interna påpekanden, tagit sig ur denna ensidiga och felaktiga prioritering.
I olika delar framstår vägvalen som en kombination av ett med- vetet risktagande och nedvärdering av de faktiska riskerna. Det får också anses handla om okunskap om konsekvenserna för Sveriges säkerhet av att IT-system och rutiner inte hindrat det som kan kallas obehörig åtkomst till information. I detta finns också riskerna för individer med skyddade personuppgifter. När riskerna för att röja hemliga uppgifter diskuterats ska oron ha lugnats med uttalandet att
283
Överväganden | Ds 2026:2 |
det nog inte är så farligt. Med marknadens behov i fokus har det också talats om att myndigheten ”måste kunna ha riskaptit” annars lever inte myndigheten upp till sin roll i samhällsbyggnadsprocessen. Det finns alltså tydliga exempel på brister i den allmänna kulturen när det gäller förståelsen för myndighetsrollen och därmed kravet på regelefterlevnad.
Ett påbörjat arbete i rätt riktning
Lantmäteriet driver numera ett arbete som syftar till att stärka myndighetens interna styrning och kontroll genom att utveckla en gemensam förståelse för vad god förvaltningskultur innebär i prak- tiken. Som framgår av avsnitt 6.7.2 har numera en preliminär bedöm- ning gjorts att kompletterande information till medarbetarna lämpar sig för en informationssida på myndighetens intranät. En sådan skulle enligt Lantmäteriet kunna användas vid kunskapshöjande in- satser och länkas till olika ämnen som gynnar en god förvaltnings- kultur. Mot bakgrund av hur stort och långvarigt problemen med myndighetens förvaltningskultur varit kan det ifrågasättas om detta är en tillräcklig åtgärd.
Under 2025 har myndigheten arbetat särskilt med att stärka för- utsättningarna för att säkerställa regelefterlevnad inom myndighe- tens olika verksamheter. En översyn av behovet av styrande och stödjande dokument inom juridisk rådgivning gjordes under våren 2025 av en arbetsgrupp med jurister från de olika verksamhetsområ- dena. Arbetsgruppen genomförde en del revideringar och tog fram stödjande dokument. Som exempel kan nämnas att informationen på Lantmäteriets intranät som är riktad till beställare av rättsutred- ningar uppdaterats och att en mall för sådana utredningar inom verk- samhetsområde Juridik fastställts.667
En översyn av introduktionsutbildningen har också genomförts för att stärka medarbetares kunskap om det övergripande regelverk som styr Lantmäteriet. I det ingår bland annat den statliga värde- grunden och Lantmäteriets uppdrag. Utifrån översynen och de ut- vecklingsbehov som identifierades tog den nämnda arbetsgruppen fram en grundläggande digital utbildning om beslutsfattande och regelefterlevnad. Utbildningen ingår i introduktionsutbildnings-
667Information från Lantmäteriet i december 2025.
284
Ds 2026:2 | Överväganden |
paketet för alla chefer och har även publicerats på intranätet som en nyhet där samtliga beslutsfattare uppmuntras gå utbildningen. Ett ”uppsamlingsheat” kommer att hållas årligen för fördjupande dis- kussioner och reflektioner mellan beslutsfattare som gått utbild- ningen.668
Även en utbildning om allmänna handlingar har inkluderats i myndighetens obligatoriska utbildningspaket. Det har publicerats och gått ut via chefsleden att alla medarbetare ska gå utbildningen, som är obligatorisk. Det finns även fördjupande utbildningar för medarbetare som kan behöva lämna ut allmänna handlingar mer frekvent i sitt arbete.669 Utvecklingen av en myndighetsövergripande process pågår som syftar till att bidra till en enhetlig implementering och uppföljning av författningsändringar som berör myndigheten.
När det gäller Lantmäteriets säkerhetskultur har myndigheten ansett att den behöver utvecklas och stärkas. Exempelvis har det visats inslag av bristande tillit till verksamhetsområde Säkerhet från högsta ledningen. Samtidigt har andra verksamhetsområden ibland upplevt kommunikationen från verksamhetsområdet som bristfällig, framför allt kopplat till att förklara varför vissa uppgifter behöver utföras.670
Under utredningsarbetets gång har vi kunnat konstatera att många inom Lantmäteriet är väl medvetna om den tidigare avsakna- den av en god förvaltningskultur och att flera åtgärder vidtagits eller kommer att vidtas inom det området. Åtgärder är enligt vår mening nödvändiga. Vi bedömer också att arbetet med säkerhetsskydd och informationssäkerhet inom Lantmäteriet måste få en mer central roll i den löpande verksamheten. Vi återkommer i avsnitt 17.10 och 17.15 med förslag om hur det kan ske.
I detta sammanhang kan också det självklara nämnas. Det be- höver inte finnas något motsatsförhållande mellan rättsliga utgångs- punkter och god tillgänglighet och service i den verksamhet som Lantmäteriet bedriver. Att följa det regelverk som gäller för myn- digheter är en grundbult med sin bas i regeringsformen. Det är inte valbart och kan inte heller nedprioriteras. Med välfungerade intern styrning och kontroll, med löpande kvalitetssäkring, riskanalyser och riskhantering och med löpande implementering av nya regelverk
668Information från Lantmäteriet i december 2025.
669Information från Lantmäteriet i december 2025.
670Se avsnitt 4.5.
285
Överväganden | Ds 2026:2 |
ska varje verksamhet vara både rättssäker och effektiv. Det ingår i Lantmäteriets uppdrag, och det ingår i varje annan myndighets upp- drag att hantera.
17.4Kulturen i övrigt inom myndigheten
Utredningens bedömning: Beslutsprocesserna i Lantmäteriet har präglats av en konsensuskultur, där det har varit viktigt att vara överens hellre än att ensam fatta beslut. Kulturen har också präglats av missnöje med myndighetens tidigare ledning. Det har i huvudsak kommit fram genom visselblåsarärenden, att man inte litat på varandra och att det funnits en rädsla för att göra fel. Kulturen inom Lantmäteriet kan ha varit en bidragande orsak till brister i informationssäkerheten och även till att andra frågor tagit lång tid att avgöra.
Skälen för utredningens bedömning
Flera av de som vi har intervjuat har talat om att Lantmäteriet präglas av en konsensuskultur, där det viktigaste är att alla är överens innan beslut fattas. Det framgår också i viss mån av det övriga underlag som vi har tagit del av. I Lantmäteriets logg för den särskilda händelsen anges exempelvis, i samband med kriteriearbetet under juni 2024, att det är viktigt att det av beslutsunderlaget framgår att alla i ledningsgruppen har varit med i den slutliga föredragningen och har tagit del av och står bakom beslutet.671 Detta förhållningssätt kan ha bidragit till att det tagit lång tid att fatta ett avgörande beslut i frågan om förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken.672
Det missnöje med ledningen som funnits tidigare har, som det ser ut, främst kommit fram genom flera visselblåsarärenden.673 Att välja att föra fram sitt missnöje den vägen i stället för i dialog mellan berörda, det vill säga i samtal mellan medarbetare och chef eller via fackliga företrädare eller skyddsombud, säger något om kulturen
671Lantmäteriets logg för den särskilda händelsen, LM 2024/034148.
672Se mer om det i avsnitt 17.8.
673Se avsnitt 10.5.
286
Ds 2026:2 | Överväganden |
inom Lantmäteriet. Förekomsten av interna visselblåsarärenden talar för att de gängse kanalerna att lyfta person- och verksamhetsfrågor inte upplevts som tillgängliga. Att beskriva förhållandena i termer av en tystnadskultur stämmer emellertid inte enligt flera av de som utredningen intervjuat. Däremot är det tydligt att den interna kommunikationen inte har fungerat, vilket sannolikt på skilda sätt inverkat på myndighetens beslutsprocesser.
Vi har tagit del av ett antal olika tjänsteanteckningar som chefer och medarbetare inom myndigheten har upprättat. En tjänstean- teckning används i normalfallet när till exempel ny information till- förs ett ärende hos myndigheten genom ett samtal eller personligt möte med en part i ärendet. Tjänsteanteckningen ska diarieföras och blir en del av ärendet.
De nu nämnda tjänsteanteckningarna handlar i stället om interna förhållanden. Ett exempel är att det funnits olika uppfattningar mel- lan Kundcenter och chefsjuristen om sekretessprövning ska göras vid begäran om utlämnande av allmän handling. Bara den omstän- digheten att tjänsteanteckningar används på detta sätt visar att de personer som skrivit dem funnit anledning att hålla sin rygg fri i interna frågor. Detta har också påpekats vid några av våra intervjuer. Dessutom har anteckningar, som det verkar, skrivits i ett tidigare skede, men inte kommit fram och diarieförts förrän den särskilda händelsen uppmärksammades i media.674 Andra synpunkter som kommit fram i intervjuer är att Lantmäteriet har kommit att bli en organisation där man varit rädd för att göra fel. Man har inte litat helt på varandra. Samtidigt har man dragit sig för att säga att någon annan har fel, det har på det sättet varit en slags snäll och naiv kultur.
Generaldirektören har uppgett följande.
Konsensus, med undantag inom några områden, har alltid varit något som eftersträvats på Lantmäteriet och som verkar finnas i myndighetens kultur. Att man velat ha konsensus har, som hon har förstått, varit ett sätt att säkerställa framdrift och undvika konflikter som skulle kunna stoppa utveckling. Lantmäteriet har varit en stark konsensusorganisa- tion som i många fall tjänat myndigheten väl men som i det här fallet, gällande informationssäkerhetsfrågorna, lett till stora förseningar som påverkat framdriften och i slutändan lett till stängningen av tjänsterna.
674Vissa av tjänsteanteckningarna diariefördes exempelvis den 29 november 2024, LM2024/070657.
287
Överväganden | Ds 2026:2 |
Det var också en spretig kultur med olika synsätt, både på grund av verksamhetens olika bakgrunder och att myndigheten var utspridd i hela landet. Det fanns ingen riktig vilja att faktiskt arbeta ihop och få till liknande arbetssätt.
17.5Tre myndigheter i en
Utredningens bedömning: De tre verksamhetsområdena Fastig- hetsbildning, Fastighetsinskrivning och Geodata har i stor ut- sträckning arbetat i ”stuprör”, det vill säga mer på varsitt håll än myndighetsövergripande och gemensamt. Bristande samsyn inom myndigheten bedöms ha bidragit till de brister inom flera områden som kunnat konstateras.
Skälen för utredningens bedömning
I intervjuer har lyfts olikheterna mellan de tre verksamhetsområdena Fastighetsbildning, Fastighetsinskrivning och Geodata. Det har talats om ”tre myndigheter i en” och att verksamhetsområdena arbetat i ”stuprör”. Som exempel kan nämnas att de tre verksamhets- områdena tidigare arbetade mer inom respektive eget område med att ta fram Lantmäteriets säkerhetsskyddsanalys medan den senaste analysen har arbetats fram i områdesgränsöverskridande grupper. Verksamhetsområdena har också tillämpat olika styrmodeller.675 Några åsikter som förts fram under intervjuerna är följande.
Att det är som tre olika myndigheter är tydligt. Det finns två starka verksamhetsområden i Geodata och Fastighetsbildning. Geodata är mest utmärkande som en egen del. Marknadsavdelningen där är tung. Där har man inte velat ha styrning, inte riktigt accepterat över tid att man ska ha likartade roller, projektmodeller med mera. Det har mer varit en säljinriktning där. Geodata är fortfarande känsliga för central styrning, ett arv från tidigare ledning.
En utmaning i sig har varit att kulturen inte är enhetlig. Myndighetens ursprung är tre olika myndigheter med olika bakgrund, historia, tradi- tioner och synsätt/kultur.
De tre verksamhetsområdena Fastighetsbildning, Inskrivning och Geodata har svårt att enas ibland.
675Genomlysning av Lantmäteriets interna styrning och kontroll den 17 december 2024, LM2024/072534, s. 6.
288
Ds 2026:2 | Överväganden |
Inskrivningen kom från en domstolsbakgrund och har mer juridisk bakgrund. Fastighetsbildningen har varit decentraliserad och tillsam- mans med en del av kartverksamheten går historien tillbaka till 1600- talet. Fastighetsbildningen liknar domstol på det sätt att den verksam- heten är som att döma av hur mark ska fördelas. Geodata var en egen myndighet tidigare och har mer informationsperspektivet.
Kultur och synsätt har spretat även på grund av att myndigheten är utspridd i hela landet. Det fanns ingen riktig vilja att faktiskt arbeta ihop och få liknande arbetssätt. Det gällde inte minst inom Fastighetsbild- ningens verksamhet där de olika kontoren varit mer självständiga tidi- gare och med olika aktörer som kommuner, länsstyrelser med flera in- blandade.
Enligt vår bedömning har avsaknaden av en myndighetsövergripande funktion och den omständigheten att de tre verksamhetsområdena arbetat i ”stuprör” och haft flera olikheter bidragit till de brister i säkerhetsskyddet och informationssäkerheten som kan konstateras. Under utredningsarbetet har bristerna i samsyn visat sig även i sam- band med att vi har fått synpunkter från Lantmäteriet på redovis- ningar som vi hämtat in från myndigheten. Ett stort antal medarbe- tare har varit inblandade och dessa har varit till mycket god hjälp i vårt arbete. Men det har varit tydligt att de synpunkter som lämnats kommit från olika verksamhetsområden, där det ena området inte alltid verkar veta vad det andra området gör eller har gjort exempelvis i fråga om bedömningar relaterade till säkerhetsskydd eller utläm- nanden.
Det arv som Lantmäteriet bär med sig av att verksamheter från olika håll lagts samman bör som vi ser det adresseras. Den ömsesi- diga förståelsen och respekten för varandras lika viktiga ansvarsom- råden behöver öka. Man behöver veta mer om varandras verksam- heter, arbetsprocesser och rutiner och hur de samspelar. Med stor sannolikhet kan man därigenom lära av varandra. Bland annat genom ökad förståelse för varandras roller och funktioner kan man få till bättre samsyn och öka effektiviteten inom respektive verksamhets- gren. Och av det följer att effektiviteten i hela organisationen ökar.
289
Överväganden | Ds 2026:2 |
17.6Lantmäteriets åtgärder avseende brister i den interna styrningen och kontrollen
Utredningens bedömning: För att en myndighet ska kunna bedriva ett systematiskt informationssäkerhetsarbete krävs en välfungerande intern styrning och kontroll. När det gäller de brister i den interna styrningen och kontrollen som funnits inom Lantmäteriet och vilka åtgärder som myndigheten behöver vidta med anledning av dem gör vi samma bedömning som den externa utredaren gjorde i sin genomlysning 2024. De brister som funnits har haft mycket stor betydelse för arbetet med informationssä- kerhet inom myndigheten.
De åtgärder som numera genomförts och planeras av Lantmä- teriet inom området intern styrning och kontroll är ett steg i rätt riktning men mycket arbete återstår.
Skälen för utredningens bedömning
Bristerna inom den interna styrningen och kontrollen
För att en myndighet ska ha ett godtagbart systematiskt informa- tionssäkerhetsarbete krävs att den har välfungerande och därmed tydliga processer för styrning och ledning av detta arbete. Som redo- gjorts för i avsnitt 3.3.2 anger MCF när det gäller ledning och styrning av informationssäkerhetsarbete att ledningens agerande, inte minst att fatta beslut, sätta frågorna på agendan och själv vara en förebild, legitimerar frågorna och har mycket stor betydelse för hur informationssäkerhetsarbetet kommer att utvecklas i en organisa- tion. Därför är det problematiskt att bedriva ett godtagbart informa- tionssäkerhetsarbete om den interna styrningen och kontrollen inom en myndighet har stora brister. Samtidigt kan noteras att Lant- mäteriet, trots bristerna, 2021 uppnådde nivå 2 i den så kallade Cybersäkerhetskollen. Nivå 2 innebär att myndigheten har grunderna på plats i sitt informationssäkerhetsarbete, åtminstone i begränsad utsträckning. Numera ligger Lantmäteriet emellertid på nivå 1.676
676Se avsnitt 9.5.
290
Ds 2026:2 | Överväganden |
Som redogjorts för i kapitel 6 har det under större delen av de år som vi i huvudsak granskat funnits ett antal väsentliga brister i den interna styrningen och kontrollen inom Lantmäteriet. Bristerna har visat sig inom ett antal olika områden. Det har handlat om brister i regelefterlevnad, brister vad gäller styrande dokument, ärendebered- ning, dokumentation och diarieföring, avsaknad av en övergripande strukturerad och enhetlig process för effektuerande och uppföljning av interna beslut samt brister i olika avseenden när det gäller ansvars- fördelning. Internrevisionen har i en granskningsrapport menat att mognadsgraden och förståelsen för intern styrning och kontroll varierar inom myndigheten, men att den generellt sett är låg.677
Bristerna kan, utifrån den genomlysning som gjordes och Lant- mäteriets genomförandeplan med anledning av denna, sammanfattas enligt följande.678 Lantmäteriets styrning har i hög grad varit decent- raliserad. Olika styrmodeller har tillämpats inom verksamheten. Organiseringen på central nivå av hur arbetet med intern styrning och kontroll ska drivas behöver renodlas. Arbetet som bedrivs enligt förordningen om intern styrning och kontroll behöver breddas från enbart övergripande riskanalys kopplat till målen i verksamhets- planen till att även innefatta risker kopplade till fel i processer. Det behöver klargöras hur intern styrning och kontroll kopplad till regelefterlevnad ska gå till. Årsrapporten Intern styrning och kontroll till styrelsen behöver innehålla en redogörelse för resultatet av vidtagna åtgärder under året inklusive en bedömning.
I Lantmäteriets riktlinje för intern styrning och kontroll finns, som redovisats i avsnitt 6.2, ett avsnitt om rapporteringsstruktur som innebär att en sammanfattande årsrapport ska lämnas till styrel- sen en gång om året. I årsrapporten för 2023 finns en beskrivande skildring av de aktiviteter som verksamhetsområde Säkerhet genom- fört under året. I genomlysningen anges att det saknas bedömningar av hur den interna styrningen och kontrollen inom det området fun- gerat under året. Exempelvis konstateras att ”myndighetsintern till- syn inom området säkerhet, säkerhetsskydd, informationssäkerhet och beredskap har genomförts under året”, men utan några kom- mentarer om vad som kommit fram vid tillsynerna.679
677Internrevisionens uppföljning av Lantmäteriets åtgärdsarbete utifrån internrevisionens rekommendationer, Tertial 1 2024, den 31 maj 2024, LM2024/029575, s. 2.
678Se avsnitt 6.5 och 6.7.3.
679Genomlysning av Lantmäteriets interna styrning och kontroll den 17 december 2024, LM2024/072534, s. 9.
291
Överväganden | Ds 2026:2 |
I årsrapporten för 2024 anges bland annat att Lantmäteriet under året haft väsentliga brister i den interna styrningen och kontrollen.680 Årsrapporten tar upp frågor om säkerhetsskydd och informations- säkerhet, men innehåller inte någon närmare beskrivning av hur den interna styrningen och kontrollen fungerat under året inom dessa områden. Inom Lantmäteriet är man dock numera väl medveten om den problematik som funnits inom området, vilket framgår av vår redovisning i kapitel 6.
Vid våra intervjuer har bland annat följande synpunkter förts fram.
Det behövs mer resurser för myndighetsövergripande frågor och gene- raldirektören hade behövt en stab med en myndighetsövergripande roll.681
En organisation ska kunna fungera oavsett vem som styr. En annan viktig fråga är hur myndigheten ska vara om fem eller tio år? När man vet det behöver detta brytas ner i någon form av plan och verksamheten behöver drivas i den riktningen. Om man vet det har man sedan en grund för att prioritera. Det här har inte varit tydligt ut mot organisa- tionen. Man jobbar med allt och inget samtidigt, vilket påverkar fram- driften.
Generaldirektören har uppgett följande. Hon skulle ha styrt mot snabbare åtgärder avseende internrevisionens granskningar. Men man måste också ge tid för åtgärder. Det kom flera rapporter om samma sak med olika teman innan man hunnit åtgärda tidigare rap- porter. Flera av rekommendationerna handlade om att implementera kulturförändringar, vilket alltid tar tid.
I en utredning inom Lantmäteriet om att organisera det myndig- hetsgemensamma arbetet angavs att en förändring vad gäller verk- samhetsstyrningen skulle behöva genomföras. Det konstaterades att det saknas förutsättningar att få ett helhetsgrepp, bedriva ett över- gripande arbete med verksamhetsplanering och uppföljning, intern styrning och kontroll samt strategisk planering och styrning.682
Även när det gäller organiseringen av myndighetens juriststöd har det kommit fram brister som haft betydelse för den interna styr- ningen och kontrollen.683 Sammanfattningsvis kan vi konstatera att man på många håll inom Lantmäteriet förefaller vara väl medveten
680Årsrapport intern styrning och kontroll den 6 december 2024, LM2024/063589, s. 7.
681En GD-stab fanns tidigare inom Lantmäteriet men togs bort av generaldirektören, vår an- märkning.
682Se avsnitt 4.5.
683Se avsnitt 4.5.
292
Ds 2026:2 | Överväganden |
om de brister som funnits inom den interna styrningen och kontrol- len och behovet av att åtgärda dessa.
Pågående åtgärder för att förbättra den interna styrningen och kontrollen
Insatser inriktade på att förbättra den interna styrningen och kontrollen pågår numera inom Lantmäteriet.684 Ett starkare centralt ledningsstöd i organisationen är en del i det pågående arbetet. En utvecklad struktur och löpande dialoger ytterligare en del. Med ut- gångspunkt i det underlag som vi tagit del av under vår granskning framstår det nu pågående arbetet inte bara som steg i rätt riktning, utan som nödvändiga steg, samtidigt som mycket arbete återstår. Vi återkommer i det följande till Lantmäteriets informationssäkerhets- arbete och styrningen av det.
17.7Organiseringen av myndighetens juridiska stöd har bidragit till bristerna inom säkerhetsskydd och informationssäkerhet
Utredningens bedömning: Det har funnits ett behov inom Lant- mäteriet av ett tydligare myndighetsövergripande juridiskt stöd för att bidra till regelefterlevnad och intern styrning och kontroll. Avsaknaden av ett tydligt utformat, myndighetsövergripande juridiskt stöd har bidragit till bristerna när det gäller säkerhets- skydd och informationssäkerhet. Den nya organiseringen av det juridiska stödet kommer sannolikt att bättre tillgodose behovet, men förändringen har tagit för lång tid.
Skälen för utredningens bedömning
Frågan hur det juridiska stödet ska vara organiserat inom Lant- mäteriet har diskuterats och utretts i olika sammanhang under flera års tid. Utifrån den dokumentation som finns kan konstateras att
684Se avsnitt 6.7.3.
293
Överväganden | Ds 2026:2 |
frågan varit uppe så tidigt som 2021.685 De undersökningar som genomförts visar ett behov av förändringar i organisationen av det juridiska stödet inom myndigheten. Rapporter visar också på ett be- hov av tydligare juridisk styrning för ökad regelefterlevnad och in- tern styrning och kontroll. Vidare har arbetsmiljöundersökningar visat på en delvis bristande arbetsmiljö för juristerna i nuvarande or- ganisation.686
När det gäller juridiska frågor har myndigheten haft en jurist- enhet där chefsjuristen varit chef med personalansvar för endast några få jurister. I övrigt har jurister varit placerade inom bland annat de tre stora verksamhetsområdena Fastighetsbildning, Geodata och Fastighetsinskrivning. Det har medfört, vilket även internrevisionen påpekat,687 att det i viss mån varit möjligt att försöka hitta en jurist som stödjer den ståndpunkt man vill driva igenom (forumshop- ping). Internrevisionen har tagit upp också att jurister utsätts för på- tryckningar för att juridiska utredningar ska anpassas till verksam- hetens behov i stället för att se till lagstiftningen.688 Vid intervjuer har bland annat följande sagts.
Juristerna på chefsjuristenheten var de enda jurister som såg till hela myndighetens behov, medan juristerna inom respektive verksamhets- område arbetade som ”advokater” för sitt verksamhetsområde.
Det kunde bli konfliktfyllt med motstående intressen, exempelvis i flera situationer under årens lopp gällande informationssäkerhet.
Styrningen mellan chefsjuristen och juristerna inom verksamhetsom- rådena var oklar.
Det var förvånande att chefsjuristen knappt ens hade ett vägledande mandat.
På uppdrag av styrelsen gjordes en enkätundersökning om arbets- miljön i juristgruppen under perioden december 2022 – januari 2023. Undersökningen och efterföljande intervjuer visade att det fanns en upplevd otydlighet kring vad det innebär att vara jurist i Lantmät- eriet och vilka förväntningar som finns på juristen. Det framkom också att otydligheten kring roller och förväntningar skapade stress och osäkerhet.689
685Revisionsrapporten Säkerställande av regelefterlevnad, LM2021/050144
och rapporten Översyn av juridiskt stöd inom Lantmäteriet den 1 oktober 2021.
686Rapporten Förslag till organisering av det juridiska stödet inom Lantmäteriet den 21 maj 2025, LM2025/062420.
687Revisionsrapporten Säkerställande av regelefterlevnad, s. 10.
688Revisionsrapporten Säkerställande av regelefterlevnad, s. 2.
689Förslag till organisering av det juridiska stödet inom Lantmäteriet, s. 5.
294
Ds 2026:2 | Överväganden |
Lantmäteriet har sedan den 1 januari 2026 en ny jurist- organisation för att komma till rätta med de angivna problemen.690 Enligt myndigheten kan de tidigare problemen mycket förenklat sammanfattas som att det fanns risk för oenhetlig rättstillämpning, bristande effektivitet, sårbarhet i form av brist på vissa kompetenser samt otydlig styrning och brist på oberoende.691
De anförda iakttagelserna och bedömningarna stämmer väl över- ens med våra slutsatser när det gäller juristorganisationen. Proble- met har också blivit tydligt för oss när det gäller de olika uppfatt- ningar som funnits om förekomsten av säkerhetsskyddsklassifice- rade uppgifter i Arken. Den uppfattning som tidigare funnits inom verksamhetsområde Fastighetsbildning har understötts från jurist- håll inom verksamhetsområdet, medan chefsjuristen och säkerhets- skyddschefen haft en annan uppfattning. Visserligen har chefsjuris- ten haft mandat att göra rättsliga ställningstaganden. Chefsjuristen har dock inte haft personalansvar för jurister inom andra verksam- hetsområden och har därför haft svårt att, bland annat av denna anledning, styra upp frågan. Redan vid myndighetens översyn av det juridiska stödet inom Lantmäteriet konstaterades att det inte tydligt framgår om någon – och i sådant fall vem som – avgör rättsliga tolk- ningsfrågor. Inte heller var det klart vilken dignitet ett eventuellt ställningstagande hade. Mandaten när det gäller rättslig styrning och rättsligt stöd ansågs därför otydliga. Vidare anfördes att det saknades en struktur och organisation för att på ett effektivt sätt arbeta fram beslutsunderlag inför gemensamma ställningstaganden. I frågor som berör hela Lantmäteriet bedömdes det därför svårt att göra gemen- samma ställningstaganden och prioriteringar. Följden av detta an- sågs dels vara en otydlighet om vem som har rätt att ”sätta ned foten” juridiskt och vad följden av ett ställningstagande blir, dels att olika juridiska tolkningar kan göras av olika jurister i samma juridiska frå- gor och att den rättsliga styrningen därigenom blir motsägelsefull.692 Enligt vår mening har denna otydlighet bidragit till att de olika upp- fattningarna om förekomsten av säkerhetsskyddsklassificerade upp- gifter i Arken har fått finnas alldeles för länge utan att frågan avgjorts slutligt.
690Se avsnitt 4.5.
691Förslag till organisering av det juridiska stödet inom Lantmäteriet, s. 5.
692Översyn av juridiskt stöd inom Lantmäteriet, s. 11.
295
Överväganden | Ds 2026:2 |
Vår slutsats när det gäller den nya organiseringen av juristerna är att den ser ut att vara en lämplig lösning och att den bör kunna lösa många av de problem som tidigare konstaterats. Lantmäteriet har också angett att man kommer att följa upp hur juristorganisationen fungerar.693 Förändringen har dock tagit för lång tid och avsaknaden av ett tydligt utformat, myndighetsövergripande juridiskt stöd har bidragit till bristerna inom säkerhetsskydd och informations- säkerhet.
17.8Förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken
Utredningens bedömning: Det finns säkerhetsskyddsklassifice- rade uppgifter i Arken. Uppgifterna har funnits tillgängliga genom direktåtkomst för allmänheten före stängningen av de digitala tjänsterna. En sådan förekomst är allvarlig och Lantmäte- riet borde långt tidigare och skyndsamt ha vidtagit åtgärder för att komma till rätta med detta.
Skälen för utredningens bedömning
De frågor som behöver bedömas
Förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken be- höver bedömas i flera steg. Det handlar inledningsvis om frågan om sådana uppgifter har funnits öppet tillgängliga i Arken. Härtill kom- mer frågor om hur den bedömningen har gjorts i Lantmäteriet och hur den borde ha gjorts. Vidare uppkommer frågan om det har fun- nits utrymme att för att bedöma förekomsten av säkerhetsskydds- klassificerade uppgifter i Arken som mindre allvarlig, vilket är en uppfattning som förts fram av medarbetare inom Lantmäteriet. Slut- ligen behöver Lantmäteriets agerande i fråga om att vidta åtgärder bedömas.
693Förslag till organisering av det juridiska stödet inom Lantmäteriet, s. 15–16.
296
Ds 2026:2 | Överväganden |
Tillgängligheten och öppenheten i sig
Som beskrivits i kapitel 7 om Lantmäteriets digitala system och avsnitt 11.6 om direktåtkomst till digitala tjänster har olika externa användare genom avtal haft full tillgång till fastighetsbildningsakter i Arken i den mån de inte redan vid arkiveringen, eller efter hand vid upptäckt, har bedömts omfattas av sekretess och därmed låsts från att tillhandahållas.
Utgångspunkten är därmed att de uppgifter som funnits i Arken före stängningen av systemen också har varit öppna och tillgängliga för olika aktörer att ta del av.
Arken är ett informationssystem som tagits i drift före den 1 april 2019. Arken omfattas därför i och för sig inte av vissa bestämmelser i 3 kapitlet säkerhetsskyddsförordningen.694 Däremot är 3 kap. 1 § Säkerhetspolisens föreskrifter om säkerhetsskydd tillämpliga på Arken.695 Denna bestämmelse anger att säkerhetsskyddsklassifice- rade uppgifter i en viss säkerhetsskyddsklass får behandlas endast i informationssystem eller på lagringsmedium som verksamhets- utövaren godkänt för lägst den säkerhetsskyddsklass som upp- gifterna har.
Bedömningen ska göras med beaktande av det säkerhetspolitiska läget
Lantmäteriet hanterar både säkerhetsskyddsklassificerade uppgifter och bedriver annan säkerhetskänslig verksamhet, som närmare be- skrivs i myndighetens säkerhetsskyddsanalys. En given utgångs- punkt är att våra bedömningar av Lantmäteriets säkerhetsskydd och informationssäkerhet ska göras mot bakgrund av den förändring av det säkerhetspolitiska läget i Sverige och den hotbild som beskrivits i kapitel 16. Mot den bakgrunden får det bedömas som mycket allvarligt om säkerhetsskyddsklassificerade uppgifter funnits öppet tillgängliga i Arken.
694Se avsnitt 3.2.8.
695PMFS 2022:1.
297
Överväganden | Ds 2026:2 |
De olika uppfattningarna inom Lantmäteriet
Både av den dokumentation som vi har tagit del av och i flera intervjuer har det kommit fram att det över tid har funnits olika upp- fattningar inom Lantmäteriet om Arken innehåller säkerhetsskydds- klassificerade uppgifter eller inte. De olika uppfattningarna förefal- ler i viss mån finnas inom myndigheten även i dag. Olika uppfatt- ningar påverkade också arbetet med informationssäkerhetsprojek- tet, Infosäk-GDL, som har beskrivits i avsnitt 8.5.3. Ett för oss tyd- ligt exempel på de olika uppfattningarna är den myndighetsinterna tillsynsrapporten 2023, verksamhetsområde Fastighetsbildnings svar på denna och de konkreta sekretessbedömningar av några akter som verksamhetsområdet gjort med anledning av tillsynen.696 Gene- raldirektören har i huvudsak anfört följande om de olika uppfatt- ningarna.
Det är en mycket komplex fråga att bedöma vad som omfattas av sek- retess och inte. Det har varit en tvist under åren mellan säkerhets- skyddschefen och verksamhetsområde Fastighetsbildning om det finns något som är känsligt i Arken eller inte. Det fanns olika uppfattningar men det var svårt att veta vem som hade rätt och att ta ställning. Säker- hetspolisen kunde inte bistå med hjälp i frågan när man försökte få vägledning hos dem. De olika uppfattningarna uppdagades senare under arbetet med informationssäkerhetsprojekten. De stora avvikelserna kom inte till ledningens kännedom förrän långt senare, under slutet av pandemitiden och då var det svårt att diskutera på plats så ofta som hade behövts. Det kom fram att det fanns personer med oerhört rigid syn på saken och personer med alltför öppen syn som stod långt ifrån varandra i synsätten. Myndigheten har jobbat med att ta fram olika typer av kriterier i många år, redan under pandemin, så detta är inte ett nytt ar- bete enbart utifrån den särskilda händelsen. Men det tog alldeles för lång tid. Snabbhet har inte varit signifikant för myndighetens arbete. Infor- mationen har funnits spridd och det har varit svårt att hitta i akter samt har funnits olika åsikter om och förståelse för vad som är känsligt och inte.
Säkerhetsskyddschefens bedömning 2023
Som redogjorts för i avsnitt 8.4.1 gjordes ett urval av arkivakter vid den myndighetsinterna tillsynen 2022–2023. De klassificerades ur ett säkerhetsskyddsperspektiv. Bedömningen stämdes därefter av med Försvarsmakten. Den bedömning som gjordes vid tillsynen var
696Se avsnitt 8.4.1 och 8.4.2.
298
Ds 2026:2 | Överväganden |
att den beskrivna informationen var av sådan art att om den röjts för en eller flera antagonister riskerade Sveriges säkerhet att skadas. Bristerna behövde därför skyndsamt åtgärdas. I tillsynsrapporten angavs några rekommendationer, bland annat att se till att sekretess- bedömningar görs av alla akter vid utlämnande, inklusive de som lämnas ut från Kundcenter och efter enskilda kontakter.
Säkerhetsskyddschefens bedömning borde varit avgörande
Säkerhetsskyddschefen i en myndighet ska leda och samordna säker- hetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lag och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar kan inte delegeras. Säkerhetsskyddschefen ska vara di- rekt underställd chefen för verksamhetsutövarens verksamhet.697 I förarbetena till den bestämmelse i säkerhetsskyddslagen där detta anges, som infördes för att stärka säkerhetsskyddschefens roll, an- förde regeringen bland annat följande. Om säkerhetsorganisationen fungerar som en isolerad del av verksamheten riskerar säkerhets- skyddsfrågorna att komma in för sent i processerna, vilket kan leda till brister i säkerhetsskyddet och i förlängningen äventyra Sveriges säkerhet. Det anförda visade enligt regeringen på vikten av att säker- hetsskyddschefen organisatoriskt finns nära verksamhetsutövarens ledning och chef.698 Behovet av att förtydliga och utvidga säkerhets- skyddschefens roll i arbetet med att ta fram och bibehålla ett väl an- passat säkerhetsskydd hade bland annat kommit fram genom flera uppmärksammade händelser de senaste åren där det visat sig att cent- rala verksamhetsutövare haft ett eftersatt säkerhetsskydd. Ett exem- pel som regeringen nämner är Transportstyrelsens upphandling av IT-drift och den granskning som gjordes av denna. Den utredaren konstaterade bland annat att säkerhetsfunktionerna på myndigheten var utspridda och saknade tillräcklig samordning.699
I den delegationsordning som gällde vid den tidpunkt som verk- samhetsområde Fastighetsbildnings svar på den myndighetsinterna tillsynen är daterat, anges att i frågor som är av betydelse för Lant- mäteriets säkerhet, säkerhetsskydd och informationssäkerhet ska samråd ske med verksamhetsområde Säkerhet. Vidare anges att den
6972 kap. 7 § säkerhetsskyddslagen.
698Prop. 2020/21:194, s. 23.
699Prop. 2020/21:194, s. 25 och Ds 2018:6 s. 98 och 220.
299
Överväganden | Ds 2026:2 |
uppfattning som verksamhetsområde Säkerhet inom ramen för ett sådant samråd ger uttryck för ska vara vägledande för hur frågan därefter hanteras.700 I huvudsak samma skrivning finns i Lantmäteriets nu gällande delegationsordning.701
Det står alltså klart enligt både gällande rätt och Lantmäteriets delegationsordning att säkerhetsskyddschefens uppfattning, dels i den myndighetsinterna tillsynsrapporten, dels även tidigare, skulle haft företräde i den tvist i frågan som fanns inom Lantmäteriet. Därmed inte sagt att bedömningar och skilda uppfattningar inom en myndighet inte skulle kunna förekomma. Enligt vår mening framstår det dock som anmärkningsvärt att verksamhetsområde Fastighets- bildning valde att i ett skriftligt svar ifrågasätta den bedömning som säkerhetsskyddschefen gjort i den myndighetsinterna tillsynsrapp- orten när det gäller förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken. Även om det rörde sig om ett fåtal utvalda akter hade säkerhetsskyddschefens bedömning stämts av med Försvars- makten. Det är mot den bakgrunden uppenbart att det var säkerhets- skyddschefens bedömning som borde varit avgörande. Dessutom baserades verksamhetsområde Fastighetsbildnings uppfattning på juridiska bedömningar som kan ifrågasättas. Vi återkommer till det.
Hade tydligare vägledning från säkerhetsskyddschefen behövts?
Redan i samband med 2020 års säkerhetsskyddsanalys ändrade sä- kerhetsskyddschefen den bedömning i frågan om förekomsten av säkerhetsklassificerade uppgifter i Arken som verksamhetsområde Fastighetsbildning hade gjort. Verksamhetsområdet framhärdade dock i sin uppfattning i sitt svar på den myndighetsinterna tillsyns- rapporten. Argumentationen i svaret går bland annat ut på att Fas- tighetsbildning inte ansåg att verksamhetsområdet fick vägledning av verksamhetsområde Säkerhet och själva saknade förmåga att göra sekretessbedömningar som motsvarade de som det verksamhets- området hade gjort. Vi kan konstatera att Fastighetsbildning trots detta uttalande gjort egna bedömningar och i dem gått emot de bedömningar som verksamhetsområde Säkerhet gjort. Vid en av intervjuerna har kommit fram uppgifter om att dåvarande säker-
7001 kap. 13 a § Lantmäteriets delegationsordning den 29 juni 2023, LM2023/019415.
7011 kap. 13 a § Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018.
300
Ds 2026:2 | Överväganden |
hetsskyddschefen vid ett tillfälle inte ville svara på vilka säkerhets- känsliga uppgifter som förekom i Arken och att denne inte heller ville visa konkreta bevis för detta. Den dåvarande säkerhetsskydds- chefen har på fråga från oss uppgett att den uppgiften delvis kan stämma men att arbetet med akterna inte avslutades vid det tillfället. Han har vidare menat att verksamhetsområde Fastighetsbildning fick all behövlig information.
Det har också förts fram att dåvarande chefen för verksamhets- område Fastighetsbildning hade alla möjligheter att ställa frågor och att det inte hade varit några problem att ta fram konkreta bevis om någon ville se dem. En annan synpunkt är att dåvarande säkerhet- skyddschefen inte var tydlig när det gäller ”allvarlighetsnivån”. En annan åsikt som förts fram är att säkerhetsskyddschefen hade be- hövt vara mer bestämd eller tydligare och säga ”Nu är det detta som gäller”. Problemen har enligt en synpunkt nog inte beskrivits tillräckligt tydligt för att man skulle förstå varandra. I sammanhanget bör beaktas även den översyn av verksamhetsom- rådet som gjordes i juni 2025 och som bland annat tog upp bristande tillit från högsta ledningen.702 Det är dock svårt för oss att bedöma om detta kan ha spelat in just i den här frågan. Generaldirektören har för sin del uppgett följande.
Verksamhetsområde Fastighetsbildnings uppgift om att säkerhets- skyddschefen inte ville säga vilka känsliga uppgifter man hittat stämmer med hennes bild av hur det var. Och att det gjordes på det sättet beror enligt henne inte på sekretessen, eftersom alla var säkerhetsprövade och de kunde ha pratat fritt om frågan. Man måste ju enligt henne tala om vilka uppgifter det handlar om för att kunna åtgärda saken. Men de påstått känsliga uppgifterna visades inte för de som behövde känna till dem. Hon uppfattade det som att man inte ville visa uppgifterna för någon. När dåvarande chefen för verksamhetsområde Fastighets- bildning inte kunde få se efterfrågade bevis gav hon verksamhets- områdeschefen stöd i att fatta sitt beslut utifrån sin kunskap. Hon har funderat mycket i efterhand på om hon hade behövt vara tydligare gentemot säkerhetsskyddschefen för att få klarhet i frågan. Hon blev mycket förvånad över det som hände vid styrelsemötet den 22 maj 2024 då de så kallade bevisen till slut visades upp. En lista presenterades för bland andra henne 10–15 minuter innan mötet och hon hann inte verifiera informationen. Det var bara att hålla med om allvarligheten vid sittande bord. Men när hon tittade på det i efterhand var det inte säkert att bevisen visade det som påstods. Det kanske inte var säkerhetskänslig information då när den hämtades ut enligt loggarna. Hon har efteråt
702Se avsnitt 4.5.
301
Överväganden | Ds 2026:2 |
funderat mycket på varför det gjordes på det sättet, där och då. Detta hade man ju pratat om i många år redan.
Det var ett viktigt arbete som gjordes med den första säkerhets- skyddsanalysen 2020. Hade man gjort den nu, med samma kunskap och kompetens som byggdes upp senare, hade den blivit annorlunda. Det stämmer med hennes minnesbild att verksamhetsområde Fastighets- bildning ville skriva på ett annat sätt om sin information än vad säker- hetsorganisationen tyckte. Det stämmer vidare att det är beskrivet redan då, 2020, att de brister som nu blivit kända fanns. Beskrivningen var utifrån de bedömningar som säkerhetsorganisationen gjorde. Därav ar- betades redan innan detta med kriterierna. Efter säkerhetsskyddsanaly- sen tillsattes arbetsgrupper och det pågående arbetet med kriterier med mera fick en skjuts. Det fanns vid den här tiden fortfarande olika åsikter om man skulle stänga åtkomsten eller inte. Hennes bedömning var då att det inte fanns skäl för stängning (men de pratade egentligen inte om stängning då, som hon minns det, utan mer om att begränsa tillgång till uppgifter).703 Säkerhetsskyddsanalysen 2020 var bara uppe i delar i ledningsgruppen, för alla skulle inte känna till allt även om samtliga var säkerhetsprövade sedan 2019. Men de pratade om slutsatserna och säkerhetsskyddsanalysen lästes av hela ledningsgruppen. De var mest bekymrade, konstaterade att arbetet måste accelereras och saken lösas (utan att man pratade om stängning).
I efterhand kan man tänka att en extern resurs kanske kunde ha tagits in för att reda ut hur detta skulle bedömas. Säkerhetspolisen ville ju inte ge råd och det var svårt för henne att kunna prata med andra om saken. Innan den första incidenten 2017 hade Lantmäteriet inte ens någon egen ingång till eller kontakt med Säkerhetspolisen.
Det är enligt vår mening svårt att få fullständig klarhet i vem som sagt vad och på vilket sätt, det vill säga hur tydligt olika uppfatt- ningar förts fram. En fråga som lyfts är om säkerhetsskyddschefen tydligare borde ha väglett verksamhetsområde Fastighetsbildning. Generellt kan sägas att sådan vägledning naturligtvis är viktig. Dåva- rande säkerhetsskyddschefen har sagt att han, om han får vara efter- klok, borde ha drivit frågan betydligt hårdare redan 2020. Han tror att konflikten ändå hade funnits men att den hade kunnat lösas tidigare. Även verksamhetsområde Fastighetsbildning har dock en- ligt honom ett ansvar för situationen med de mycket stora informa- tionsmängder som verksamhetsområdet ansvarade för. Konstateras kan att det inom verksamhetsområde Fastighetsbildning – på ett mycket tydligt sätt – hävdades en uppfattning om hur sekretessbe- dömningar skulle göras som inte stämmer med gällande rätt. Vi kan
703Vid intervju med dåvarande säkerhetsskyddschefen har även denne uppgett att det inte pratades om stängning redan då. Vår anmärkning.
302
Ds 2026:2 | Överväganden |
också konstatera att de olika uppfattningarna när det gäller förekomsten av säkerhetsklassificerade uppgifter i Arken, och hur sådana uppgifter skulle bedömas utifrån lagen om offentlighet och sekretess, inte hanterades. Säkerhetsskyddschefen var direkt under- ställd generaldirektören. Detsamma gällde verksamhetsområdesche- fen för Fastighetsbildning. Därmed låg det på generaldirektören att slutligt ta ställning i frågan, och att om den bedömdes komplicerad skaffa sig nödvändigt underlag för sitt beslut.
Några av verksamhetsområde Fastighetsbildnings sekretessbedömningar
Under vår granskning har vi tagit del av skriftliga sekretessbedöm- ningar som gjorts av verksamhetsområde Fastighetsbildning beträf- fande tre av de arkivakter som nämns i den myndighetsinterna tillsynsrapporten. Bedömningarna är gjorda i maj 2022, det vill säga innan rapporten upprättades i april 2023.704 Vi är medvetna om att det är svårt att dra några slutsatser utifrån endast ett fåtal bedömningar. Vi anser dock att bedömningarna, utifrån verksamhetsområdets skriftliga svar på den myndighetsinterna tillsynsrapporten, och det som i övrigt kommit fram under granskningen, ger en tydlig bild av hur verksamhetsområdet har resonerat.
I en av dessa bedömningar anser verksamhetsområdet att akten innehåller vissa uppgifter som omfattas av försvarssekretess.705 När det gäller de två andra akterna bedömer verksamhetsområde Fastig- hetsbildning att de inte omfattas av försvarssekretess. Sekretessbe- dömningen i den ena akten baseras bland annat på att utbredning och lokalisering av ett objekt framgår av till exempel eniro.se, att uppgifterna om rättighetens ändamål med mera är nödvändiga uppgifter för att rättigheten ska kunna skapas och hävdas och därför offentliga, samt att uppgifterna inte bedöms ge information om styrkeuppbyggnad, effektivitet eller arbetsformer på så sätt att de omfattas av sekretess.706 Sekretessbedömningen är gjord efter dialog med fastighetsägaren.
704Se avsnitt 8.4.1.
705Aktnummer 0380–2006/151.
706Här hänvisas till prop. 1979/80:2 del A, s. 80, NJA 1988 s. 118, Kammarrätten i Jönköpings dom den 21 oktober 2016 i mål nr 2063–16, samt Försvarsmaktens handbok i sekretess, del A.
303
Överväganden | Ds 2026:2 |
Här kan inledningsvis anmärkas att fastighetsägaren är en så kallad känslig fastighetsägare. Att en omständighet är allmänt känd eller till exempel har uppmärksammats i media utesluter inte att skada eller men kan uppstå om uppgifter rörande denna lämnas ut i handlingar i andra sammanhang.707 Det förhållandet att utbredning och lokalisering av objektet framgick av eniro.se är enligt vår mening därmed inte ett godtagbart argument för att anse att akten inte omfattades av försvarssekretess. I bedömningen av den andra akten anges bland annat att koordinater för objektet ska vara offentliga, eftersom de har betydelse för allmänheten på närmare angivet sätt, att ett visst mått framgår av Wikipedia och att en ellednings exakta läge inte framgår.708 Sekretessbedömningen är gjord efter dialog med berörd nyttjanderättshavare. Av samma anledning som nämnts är det enligt vår mening felaktigt att basera bedömningen på att uppgiften kunde hittas på Wikipedia. Till dessa sekretess- bedömningar kommer att verksamhetsområde Fastighetsbildning i sitt svar på den myndighetsinterna tillsynsrapporten angett att det i lagen om offentlighet och sekretess inte finns några bestämmelser om sekretess genom ackumulering eller aggregering av uppgifter, och att om den enskilda uppgiften bedöms vara offentlig, då är den offentlig såväl enskilt som i förening med andra uppgifter. I denna del noterar vi att en begäran om utlämnande av en allmän handling kan prövas med beaktande av så kallad pusselläggning. Att ett stort antal uppgifter om likartade förhållanden sammantaget kan medföra skada även om uppgifterna var för sig är harmlösa, framgår av rättspraxis och är grundläggande.709
Är den bedömning som ska göras komplicerad?
En uppgift som förts fram under vår granskning är att alla verkade vara ”med på noterna” hur man skulle se på informationen vid säker- hetsskyddsanalysen 2020, men att verksamhetsområde Fastighets- bildning svängde i sin uppfattning när man insåg de problem som det skulle medföra. Flera inom Lantmäteriet som vi har intervjuat har också lyft att sekretessbedömningen är komplex. Förhållanden på en
707Se bland annat RÅ 1992 ref 15 och Kammarrätten i Stockholms domar den 31 juli 2024, mål nr 2549–24 och den 4 oktober 2021, mål nr 6415–21 respektive 6550–21.
708Aktnummer 2460–10/11.
709Se till exempel RÅ 1989 ref 111.
304
Ds 2026:2 | Överväganden |
fastighet som tidigare inte varit känsliga kan bli det över tid, till exempel på grund av att fastigheten byter ägare. Flera har påpekat att Lantmäteriet per automatik inte får information om en sådan ändring på en fastighet. En av de intervjuade har sagt att man kan ha förståelse för att det är komplext att sekretess eller skyddade person- uppgifter kan ändras avseende uppgifter i Arken men att det ändå finns en skyldighet för informationsägaren att ha kontroll över det. En annan åsikt som förts fram är att det inte handlar om att gå ige- nom flera miljoner akter för att leta efter säkerhetsskyddsklassifice- rade uppgifter. Det är ganska enkelt att få ner antalet om man utgår från vilka som är känsliga fastighetsägare. Det grundläggande prob- lemet är i stället att det inte funnits någon vilja att hantera frågan.
En arkivakt visar förhållandena som de såg ut vid en förrättnings avslut. Det innebär att informationsmängderna i arkivakten – exem- pelvis uppgifter om ägarförhållanden, ändamål och användning, fas- tighetsbeteckning, fastighetsbildningsåtgärd och förmånshavare – inte uppdateras i arkivakten oavsett om ägande eller verksamhet för- ändras. Arkivakter får enligt arkivlagen inte ändras.710 Den omstän- digheten innebär också att bedömningen av uppgifterna i Arken måste ske löpande, eftersom situationen på fastigheten kan föränd- ras på kort tid. Ett annat problem vid bedömningen är aggregerad information.711 Ytterligare en svårighet som tagits upp under inter- vjuerna är att en uppgift som bedöms som känslig hos Lantmäteriet kan vara offentlig, till exempel vid en sökning på Google. Som redan konstaterats är detta emellertid i sig inte ett hållbart argument vid en sekretessbedömning. En ytterligare faktor som måste beaktas är de kommunala lantmäterimyndigheternas akter i Arken och att Lant- mäteriet inte har någon överblick över dessa.712
Även det förändrade säkerhetsläget har bidragit till att man i dag bedömer sekretessen på annat sätt än tidigare. En uppgift som kom- mit fram vid intervjuer är att så kallade känsliga fastighetsägare be- kräftat att det finns känsliga uppgifter i handlingarna och att man när det gäller säkerhetsskydd inte kan chansa – det är konsekvensen som är avgörande och inte hur stor risken är. En uppfattning som anförts mot detta är att det är orimligt att enbart bedöma konsek- vensen och att man även måste ta ställning till hur stor sannolikheten
710Säkerhetsskyddsklassificeringspromemoria daterad den 17 september 2024, LM2024/051840, s. 2.
711Se avsnitt 16.4.7.
712Se kapitel 18.
305
Överväganden | Ds 2026:2 |
för risken är, om den är relevant. Det skulle i så fall vara en brist att en myndighet när det gäller säkerhetsskydd inte ska bedöma sanno- likheten för att något kan inträffa. I det sammanhanget kan följande anföras. En säkerhetsskyddsanalys enligt säkerhetsskyddslagen tar inte hänsyn till bland annat den bedömda sannolikheten för att olika händelser ska inträffa, vilket riskanalyser vanligtvis behöver förhålla sig till.713 Utgångspunkten i en säkerhetsskyddsanalys är i stället de konsekvenser som måste undvikas.714 I det betänkande som låg till grund för säkerhetsskyddslagen anfördes att det är viktigt att tona ned sannolikhetsfrågan, eftersom det i det närmaste är omöjligt att med tillförlitlighet göra en sannolikhetsbedömning, det vill säga bedöma risken för att ett hot ska realiseras. Hotbeskrivningen bör därför, liksom när det gäller värderingen av skyddsvärda intressen, vara konsekvensdriven.715 FoI har i en rapport pekat på en rad svårig- heter med att göra en riskbedömning avseende Sveriges säkerhet inför tillgängliggörande av geodata.716 Bland annat tar FoI upp att uppskatta sannolikhet inte är relevant vid bedömningen av risker för Sveriges säkerhet. I den metod för riskbedömning av geodata vid till- gängliggörande som öppna data, som FoI föreslår i sin rapport, förs även begreppet relevans in. Motiveringen till det är att det inte anses tillräckligt att kunna identifiera situationer, händelser och skeenden som leder till skada för Sveriges säkerhet, utan analysobjektet måste dessutom på ett avgörande sätt orsaka eller underlätta att de negativa konsekvenserna uppstår. Vi menar att frågan visserligen är intressant men att vi i våra bedömningar endast kan utgå från gällande säkerhetsskyddslagstiftning. Enligt denna är sannolikhet inte relevant vid bedömning av risker för Sveriges säkerhet.
En intervjuad har uppgett att generaldirektören inte fick alla fakta på bordet för att kunna döma av den tvistiga frågan. Flera har samtidigt anfört att den här typen av frågor av förklarliga skäl behöver hållas inom en mindre krets. Man kan ha förståelse för det resonemanget. Men det är det övergripande perspektivet som behö- ver vara vägledande, i det här fallet Sveriges säkerhet. Att en fråga anses vara komplicerad eller komplex innebär inte att den inte ska hanteras. Det ligger på varje chef att ta det verksamhetsansvar som
713Säkerhetspolisens Vägledning i säkerhetsskydd – Säkerhetsskyddsanalys, s. 7.
714Säkerhetspolisens Vägledning i säkerhetsskydd – Introduktion, s. 13.
715SOU 2015:25 En ny säkerhetsskyddslag, s. 308.
716Försvarets forskningsinstituts rapport Riskbedömning av geodata vid tillgängliggörande som öppna data, maj 2025, FOI-R--5745--SE, s. 28.
306
Ds 2026:2 | Överväganden |
delegerats till honom eller henne. Och när en fråga inte får sin lösning på delegerad nivå ligger det i ansvaret att lyfta den till närmaste chef, som har att avgöra frågan slutligt. Vår bedömning är sammanfattningsvis att frågan om det funnits säkerhetsskyddsklas- sificerade uppgifter i Arken inte har varit så komplicerad som gjorts gällande.
Lantmäteriets nu gällande bedömning
Arken innehåller ca 3,8 miljoner fastighetsbildningsakter och en akt kan bestå av flera tusen sidor. I säkerhetsskyddsklassificeringspro- memorior som upprättats inom verksamhetsområde Fastighetsbild- ning 2024 och 2025 anförs att verksamhetsområdet i en tidigare pro- memoria skrivit att ”det inte går att utesluta” att säkerhetsskydds- klassificerade uppgifter förekommer i informationsmängderna. I och med att det inte kan uteslutas har bedömningen tydliggjorts till att ”det förekommer” sådana uppgifter i informationsmängderna i Arken. .717 I Lantmäteriets senaste säkerhetsskyddsanalys anges ut- tryckligen att det finns arkivakter med säkerhetsskyddsklassifice- rade uppgifter i Arken.718 I myndighetens delvisa uppdatering 2022 av säkerhetsskyddsanalysen anges att det har konstaterats att det fortfarande finns sådana akter där.719
Lantmäteriet har sedan länge en rutin för att hantera ärenden där man från början vet att en fastighet omfattas av försvarssekretess. Rutinen innebär kortfattat att en sådan akt inte arkiveras i Arken. Enligt Lantmäteriet kan man mot denna bakgrund med ganska stor säkerhet säga att nya ärenden som omfattas av försvarssekretess inte hamnar där. Hos de kommunala lantmäterimyndigheterna hanteras sådana ärenden på motsvarande sätt enligt uppgift från tillsynspro- tokoll och de kommunala lantmäterimyndigheter som vi under granskningen talat med.720
Som redovisats i det föregående är verksamhetsområde Fastig- hetsbildning numera av uppfattningen att det förekommer säker-
717Säkerhetsskyddsklassificeringspromemorior från verksamhetsområde Fastighetsbildning den 17 september 2024, LM2024/051849 och den 11 september 2025, LM2025/117048.
718Lantmäteriets säkerhetsskyddsanalys, fastställd den 27 juni 2025, LM2025/088391, s. 40.
719Lantmäteriets säkerhetsskyddsanalys, fastställd den 16 juni 2022, diarienummer saknas, s. 42.
720Lantmäteriet saknar dock i dag möjlighet att kontrollera och säkerställa att de kommunala lantmäterimyndigheterna inte för in säkerhetsskyddsklassificerade uppgifter i Arken, säkerhetsskyddsanalysen 2025, s. 40.
307
Överväganden | Ds 2026:2 |
hetsskyddsklassificerade uppgifter i Arken. Det anges också i bland annat den senaste säkerhetsskyddsanalysen. Vidare har Lantmäte- riets styrelse i sitt beslut om stängning av de digitala tjänsterna mo- tiverat beslutet bland annat med risken för sådan förekomst.721 Som redan framgått grundar vi våra överväganden på denna slutsats. En annan fråga är i vilken omfattning det förekommer sådana uppgifter och om det finns utrymme för att bedöma dem som mindre allvarliga.
Finns det utrymme för att bedöma förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken som mindre allvarlig?
En uppfattning som kommit fram vid några intervjuer är att förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken är mindre allvarlig. De som menar detta har vid vår granskning påpekat att ärenden som kommer in och omfattas av försvarssekretess hanteras enligt andra rutiner och över huvud taget inte hamnar i Arken (se ovan). Dessutom har anförts att Lantmäteriet inte funnit många akter som omfattas av sådan sekretess vid sina granskningar.722 Mot den bakgrunden förefaller resonemanget att det sannolikt är få akter i den öppna delen av Arken som omfattas av försvarssekretess som riktigt. De kriterier som Lantmäteriet numera tillämpar för att fånga upp akter som kan vara känsliga verkar i huvudsak fungera som det är tänkt. I det arbetet är dialogen med så kallade känsliga fastighetsägare väsentlig. Vi återkommer till beho- vet av ett råd med fokus på informations- och cybersäkerhet, med representation från offentlig- och privaträttsliga subjekt som driver säkerhetskänslig verksamhet som är av betydelse för Sveriges säkerhet. Att det, som nämnts, troligen är fråga om få säkerhets- skyddsklassificerade uppgifter innebär dock enligt vår mening inte att förekomsten är mindre allvarlig. Det enda utrymme som finns i säkerhetsskyddslagstiftningen för att bedöma säkerhetsskyddsklas- sificerade uppgifter som mindre allvarliga är vid säkerhetsskydds- klassificeringen. Säkerhetsskyddsklassen begränsat hemlig ska användas när ett röjande av en uppgift kan medföra endast ringa skada för Sveriges säkerhet. Det är dock fortfarande fråga om en
721Styrelsens protokoll den 22 maj 2024, p. 9, och den 29 maj 2024, p. 5.
722Uppgift från Lantmäteriet den 24 oktober 2025.
308
Ds 2026:2 | Överväganden |
säkerhetsskyddsklassificerad uppgift och ska då hanteras som en sådan.
Skyndsamma åtgärder borde ha vidtagits långt tidigare
Av intervjuerna och den dokumentation som vi har tagit del av fram- går att frågan om det kan finnas säkerhetsskyddsklassificerade upp- gifter i Arken inte varit ny inom Lantmäteriet. En av de intervjuade har uppgett att det redan 2013 fanns ett förslag till systemarkitektur som bland annat innehöll kopplingarna mellan systemen, insamling samt hur lagring och tillhandahållande skulle hanteras. Förslaget innebar att Lantmäteriet borde skapa en ny teknisk miljö och det behövde göras i viss ordning.723 Förslaget fullföljdes emellertid inte. Hade förslaget blivit verklighet hade, enligt den intervjuade, möjligen de problem som uppstod senare, bland annat den särskilda händelsen, kunnat undvikas. Vi har även tagit del av dokument som visar att medarbetare reagerat på brister i säkerhetskulturen 2014– 2015 och brister i informationssäkerheten i maj 2017.724
Redan i samband med den säkerhetsskyddsklassificering som gjordes av det informationssäkerhetsprojekt som startade i decem- ber 2017 uppmärksammades i en tjänsteanteckning från 2018 att det fanns ”hemliga uppgifter i fastighetsbildningsakter” och att åtgärder borde vidtas skyndsamt.725 Som redogjorts för i avsnitt 8.3.7 konstaterades även i den första säkerhetsskyddsanalysen 2020 att känsliga handlingar redan då fanns i Arken. Vi har inte kunnat få fram någon dokumentation från Lantmäteriet som tydligt visar att uppgifterna i tjänsteanteckningen 2018 och senare säkerhetsskydds- analysen 2020 hanterats av myndigheten på ett konkret sätt. Flera som vi har intervjuat har också uttryckt att man borde ha ”satt ner foten” långt tidigare och exempelvis stängt tjänsterna tidigare och gått igenom informationsmängderna. Någon har ansett att man borde ha stängt tjänsterna och gått igenom Arken efter den myndighetsinterna tillsynsrapporten 2023.726 En annan synpunkt som kommit fram är att det varit otydligt mandatmässigt vem det var som skulle sätta ned foten. Generaldirektören har för egen del
723Förslaget till systemarkitektur har inte kunnat återfinnas.
724Odaterad logg med dnr 101-2017/4750.
725Se avsnitt 8.3.3.
726Se avsnitt 8.4.
309
Överväganden | Ds 2026:2 |
uppgett att hon skulle ha varit mer påstridig i att åtgärder som togs fram verkligen genomfördes snabbare. Hon anser att hon borde ha tryckt på mer. Hon vet inte varför hon inte gjorde det, men det var en komplex verksamhet med väldigt många frågor. Det gick enligt henne inte att lägga ner all kraft och energi på en sak när regering och riksdag tryckte på i andra frågor med, enligt dem, högre prioritet. Det är enligt henne svårt att säga om tjänsterna skulle ha stängts tidigare, man visste ju inte det man nu vet. Hon fick inte några bevis på att känslig information verkligen fanns. Det som anges i tjänsteanteckningen från 2018 utgjorde enligt henne en viktig del i grunden för det fortsatta arbetet bland annat i informations- säkerhetsprojekten. Det utförda arbetet och slutsatserna togs upp i ledningsgruppen, även om själva tjänsteanteckningen kanske inte visades upp.
Enligt vår mening är det svårt att förstå varför frågan om säker- hetsskyddskänsliga uppgifter i Arken inte hanterats tidigare, om inte förr så i vart fall 2018 eller åtminstone i samband med säkerhets- skyddsanalysen 2020. Flera av varandra oberoende signaler om prob- lemen och riskerna med innehållet i Arken har lyfts inom Lantmäte- riet. Generaldirektören, berörda informationsägare till vilka ansvaret delegerats, ledningsgruppen och styrelsen har alla i sina olika roller haft anledning att agera i frågan. Att signalerna om känsliga uppgif- ter i Arken och därmed frågan om Lantmäteriets informationssäker- het inte skyndsamt processades fram till beslut är enligt vår bedöm- ning anmärkningsvärt. Någon godtagbar förklaring till att så inte skett har vi inte kunnat se. Och att man inom Lantmäteriet låtit frå- gan bero är enligt vår uppfattning en bidragande orsak till den sär- skilda händelsen 2024.
17.9Hanteringen av den särskilda händelsen och Lantmäteriets framtida planering avseende digitala tjänster
Utredningens bedömning: Stängningen av Lantmäteriets digi- tala tjänster var nödvändig utifrån de uppgifter som fanns i syste- men.
Lantmäteriets uppdrag i fråga om att ansvara för andra myn- digheters akter bör förtydligas, såväl när det gäller tillgång till
310
Ds 2026:2 | Överväganden |
andra myndigheters akter som tillhandahållandet av sådana akter. Vidare bör Lantmäteriets ansvar för informationssäkerhet fram- hållas i myndighetens instruktion.
Det behöver också förtydligas vad som gäller i fråga om sek- retess och behandling av personuppgifter, även känsliga eller skyddade sådana, när Lantmäteriet får tillgång till andra myndig- heters akter och därefter tillhandahåller dem. Detta kräver ytter- ligare utredning.
Arbetet inriktat på att öppna de digitala tjänsterna har varit högt prioriterat inom Lantmäteriet. Myndigheten skulle vinna på grundligare utredningar av de rättsliga förutsättningarna för ett återöppnande. Slutsatserna ska beslutas av myndighetens ledning och behöver förankras i hela organisationen.
Regeringen bör ge Lantmäteriet tydlig styrning och resurser, antingen är fokus ett snabbt återöppnande av digitala tjänster eller ett fortsatt manuellt utlämnande.
Annat har inte kommit fram än att det är en fördel att arkiv- akter även fortsatt lagras i en gemensam databas och att lagringen kopplas samman med ett tillhandahållande. Lantmäteriet bör även fortsättningsvis ha ansvaret för ett sådant IT-system.
Lantmäteriets digitala system är delvis omoderna och har inte byggts utifrån de behov som finns i dag. För att kunna hålla akter tillgängliga i digitala system behöver arkiveringsdatabasen i sig ses över. Det bör också utredas i vilken form ett informa- tionsutbyte lämpligast ska ske.
Skälen för utredningens bedömning
Stängningen har fått stora konsekvenser men var nödvändig
Den särskilda händelsen och beslutet att stänga direktåtkomsten till Lantmäteriets digitala system och fick stora konsekvenser för fastig- hetsbildningen i Sverige. Hos de kommunala lantmäterimyndigheter som inte hade direkt tillgång till sina egna akter stannade fastighets- bildningen av. Även andra myndigheter såsom Trafikverket, Skatte- verket och landets mark-och miljödomstolar påverkades snabbt av stängningen.727
727Lantmäteriets logg för den särskilda händelsen, LM 2024/034148, se bland annat datumen
11juni 2024, 10 juli 2024, 15 januari 2025 och 19 februari 2025.
311
Överväganden | Ds 2026:2 |
Lantmäteriet har därefter hanterat allt som sedvanliga utlämnan- den av allmänna handlingar. Det har tagit stora resurser i anspråk. Kostnaden för utlämnandeverksamheten uppgick till drygt 40 mil- joner kronor under 2025. I budgeten för 2026 ligger direkta kostna- der om 28,5 miljoner kronor för hanteringen av utlämnanden. De 20 miljoner kronor som tilldelats Lantmäteriet för 2026 bedöms av myndigheten redan nu som otillräckliga.728
Förutom ett stort behov av utökade resurser för utlämnanden har myndigheten ett intäktsbortfall, eftersom tidigare avtal med kommersiella aktörer varit en inkomstkälla. Lantmäteriet har behövt kreditera kunder inom Geodatasamverkan för den information som de anslutna aktörerna inte längre ges tillgång till. Krediteringen upp- gick till 5,4 miljoner kronor 2025 och 3,1 miljoner kronor 2024.729
Någon annan slutsats kan inte dras än att det var nödvändigt för Lantmäteriet att stänga den externa åtkomsten till myndighetens digitala tjänster givet den information som myndigheten hade konstaterat fanns i akterna och som lämnades ut genom direktåt- komst. Den slutsatsen kan dras redan av det faktum att det har rått stor osäkerhet om vilken information som finns i akterna. Det gäller inte bara den potentiella förekomsten av säkerhetsskyddsklassifice- rade uppgifter utan även andra former av sekretess, bland annat för skyddade personuppgifter. Härtill innebar de öppna tjänsterna ett utlämnande av personuppgifter i sig, bland annat känsliga sådana, oavsett om de varit sekretesskyddade eller inte (se avsnitt 17.12).
När stängningen beslutats kan konstateras att Lantmäteriet visat förmåga att såväl fatta övriga nödvändiga beslut relaterade till den särskilda händelsen som att under tidspress arbeta fram nya rutiner. Lantmäteriets medarbetare har visat handlingskraft, lojalitet och flexibilitet i fråga om både arbetstider och arbetsuppgifter när myn- digheten hamnade i ett kritiskt läge. Sammantaget får myndigheten därför anses ha visat stor förmåga att agera när saken väl ställdes på sin spets. Samtidigt, som redan konstaterats, dröjde det alltför lång tid för Lantmäteriet att komma till beslut sett till risker och kon- sekvenser i den egna informationshanteringen.
728Information från Lantmäteriet, december 2025. Se mer om detta i kapitel 19.
729Information från Lantmäteriet, december 2025.
312
Ds 2026:2 | Överväganden |
Arbetet med den särskilda händelsen
Sedan den särskilda händelsen, men även i vart fall i viss mån dess- förinnan, har informationsmängderna i Arken sorterats så att säker- hetsskyddsklassificerad informationsmängd har skiljts från övrig in- formation. Den sorteringen har gjorts med hjälp av så kallade krite- rier (se avsnitt 13.4.3).
Kriterierna, och dialoger med ett antal så kallade känsliga fastighetsägare för att få stöd i att identifiera akter, har lett till att ett relativt stort antal akter låsts för att inte längre vara tillgängliga i de digitala tjänsterna. De identifierade akterna har sedan kontrollerats på olika sätt. Att söka och eliminera annan typ av sekretess uppges dock i nuläget inte vara möjligt.730
Avsikten är att den information som inte träffas av de framtagna kriterierna ska kunna tillhandahållas digitalt till myndigheter utan sekretessgranskning när de digitala tjänsterna åter öppnas. Ytterliga- re säkerhetsåtgärder i förhållande till hur arkivering görs av säker- hetsskyddsklassificerade uppgifter planeras.731
Enligt uppgift från Lantmäteriet började myndigheten i januari 2025 föra statistik över antal utlämnade akter. Under januari–juli 2025 har ca 90 000 akter granskats för utlämnande.
Statistik avseende akter där sekretess har identifierats har förts sedan stängningen i maj 2024.
Av granskade akter har enligt en sammanställning gjord för Lant- mäteriets ledningsgrupp i januari 2025 uppmärksammats ett antal akter som har bedömts innehålla uppgifter som omfattas av sekre- tess. Samtliga akter har lokaliserats bland de som Lantmäteriet redan bedömt skulle vara låsta. Detta bekräftas i en anteckning från april 2025 där det anges att man inte har hittat något som inte varit låst.732
Under perioden maj 2024 – december 2025 visar Lantmäteriets statistik att man har identifierat vissa akter som innehåller känsliga personuppgifter eller skyddade personuppgifter. Majoriteten av des- sa uppgifter har funnits i de akter som inte ska öppnas, men sådana uppgifter har uppmärksammats även i de akter som bedömts vara öppningsbara. Vidare har man hittat akter som innehåller uppgifter
730Se Lantmäteriets Sammanfattning över åtgärder för att säkerställa korrekt hantering av akt- information från Arken, samt konsekvenser och risker för dessa åtgärder, 5 februari, diarienummer saknas.
731Jämför Lantmäteriets säkerhetsskyddsanalys den 27 juni 2025, LM2025/088391, s. 42.
732Lantmäteriets logg för den särskilda händelsen, LM 2024/034148.
313
Överväganden | Ds 2026:2 |
som aktualiserar tillämpning av bestämmelserna i 15 kap. 2 § OSL (försvarssekretess) och akter som innehåller uppgifter som aktuali- serar regleringen i 18 kap. 8 OSL (sekretess rörande säkerhets- eller bevakningsåtgärd). Härutöver har Lantmäteriet genom dialoger med aktörer identifierat ytterligare akter som innehåller uppgifter som omfattas av försvarssekretess. På samma sätt som gäller känsliga eller skyddade personuppgifter har majoriteten av uppgifterna funnits i den del av akterna som inte avses öppnas, men har identifierats också i den del som bedömts vara öppningsbar. Lantmäteriet har inte fört någon statistik vare sig historiskt eller i nutid över i vilken ut- sträckning sekretessprövningen vid utlämnande inneburit att upp- gifter maskas eller om bedömningen har förändrats efter den sär- skilda händelsen.733
Det kan nämnas att motsvarande arbete gjorts även inom flera kommunala lantmäterimyndigheter som återfått sina akter av Lant- mäteriet och att man i det arbetet har identifierat säkerhetskänslig information i vissa akter.
Vår bedömning av Lantmäteriets arbete utifrån den särskilda hän- delsen är att myndigheten tagit sig an utmaningarna på ett målmed- vetet och strukturerat sätt. Det görs också i säkra former, eftersom de digitala tjänsterna fortsatt hålls stängda.
Behöver Lantmäteriets uppdrag förtydligas?
I sina olika utredningar har Lantmäteriet dragit slutsatsen att myn- dighetens uppdrag i fråga om att ta emot andra myndigheters arkiv- akter är otydligt. Lantmäteriet anser också att uppdraget är otydligt när det gäller att tillhandahålla arkivakter till andra myndigheter.734
Ett tydligt myndighetsuppdrag är ett viktigt avstamp för att kun- na motivera såväl utbyte av information, särskilt sekretesskyddad så- dan, som tillhandahållande av personuppgifter till andra myndighe- ter.
I Lantmäteriets instruktion anges bland annat följande när det gäller förutsättningarna för myndigheten att tillhandahålla informa-
733Information från Lantmäteriet, december 2025.
734Se främst Lantmäteriets promemoria Nationellt Digitalt lantmäteriarkiv, den 16 september 2024, LM2024/052370, som redogörs för i kapitel 11, och rapport Behov av regelutveckling för en säker hantering av information, den 13 mars 2025, LM2025/159810, som redogörs för i kapitel 14.
314
Ds 2026:2 | Överväganden |
tion.735 Lantmäteriet är förvaltningsmyndighet för frågor om bland annat fastighetsindelning och om grundläggande geografisk infor- mation och fastighetsinformation. Lantmäteriet ska verka för en väl fungerande försörjning med grundläggande geografisk information och fastighetsinformation av sådan omfattning, kvalitet och aktuali- tet att samhällets behov tillgodoses. Myndigheten ska vidare ansvara för uppbyggnad, drift, uppdatering och tillhandahållande av grund- läggande geografisk information och fastighetsinformation.
I Lantmäteriets instruktion finns således punkter som innefattar tillhandahållande av fastighetsinformation. Vi kan inte se att Lant- mäteriets uppdrag i den delen har ifrågasatts. Därmed är uppdraget att tillhandahålla fastighetsinformation i och för sig inte otydligt. Vi kan emellertid instämma i Lantmäteriets uppfattning att det inte är helt klarlagt hur brett instruktionen kan tolkas i fråga om att även ta in andra myndigheters akter och tillhandahålla dessa.
I sitt slutbetänkande har Utredningen om förbättrade möjlighe- ter till informationsutbyte mellan myndigheter föreslagit en ny bestämmelse om att en myndighet även utan begäran ska få lämna en uppgift som inte är sekretessbelagd till en annan myndighet. Det gäller bland annat om uppgiften kan antas vara av betydelse för att den mottagande myndigheten ska kunna fullgöra sin författnings- reglerade verksamhet.736 En sådan bestämmelse skulle vara till nytta även för Lantmäteriets möjligheter till informationsutbyte, samti- digt som ett tydligt uppdrag för Lantmäteriet i fråga om informa- tionsförsörjning är minst lika viktigt för det systematiska och om- fattande tillhandahållande som det nu är fråga om.
Formuleringarna i instruktionen bör, som vi ser det, kunna göras tydligare för att bättre motivera det tillhandahållande av även andra myndigheters uppgifter som myndigheten utfört och planerar att ut- föra. Det får därför bedömas lämpligt att i vart fall förtydliga upp- draget om arkivhållning och tillhandahållande i Lantmäteriets inst- ruktion.
I samband med ett tydliggörande av Lantmäteriets uppdrag i myndighetens instruktion bör även Lantmäteriets ansvar för infor- mationssäkerhet framhållas. Alla myndigheter har naturligtvis ett ansvar att följa gällande lagstiftning. Lantmäteriets informations- mängder är emellertid så omfattande och uppdraget i fråga om att
7352, 3 och 5 §§.
736Se SOU 2025:45. Förslaget innebär en ny bestämmelse; 6 kap. 5 a § OSL.
315
Överväganden | Ds 2026:2 |
förse samhället med information så viktigt och varierat att ansvaret för informationssäkerheten förtjänar att betonas i regleringen av myndighetens uppdrag.737
Lantmäteriet har vidare efterfrågat ett tydliggjort rättsligt stöd för att hålla ett nationellt digitalt lantmäteriarkiv, innebärande att myndigheten ska ansvara för uppbyggnad, drift, uppdatering och tillhandahållande samt arkivering för andra myndigheter. Dessutom har Lantmäteriet uttryckt ett behov av att regeringen tydliggör vilka aktörer som ska få tillgång till arkivakterna, exempelvis genom en sekretessbrytande uppgiftsskyldighet för Lantmäteriet avseende arkivhandlingar i Arken till aktörer inom samhällsbyggnadsproces- sen som behöver tillgång till arkivhandlingar i sin verksamhet. Lant- mäteriet efterfrågar också en utredning av behovet av en registerför- fattning när det gäller behandling av personuppgifter och en utred- ning om behovet av uppgiftsskyldighet för kommunala lantmäteri- myndigheter gentemot Lantmäteriet beträffande arkivakter från fastighetsbildning.738
Lantmäteriets förslag skulle kunna ligga till grund för fortsatt beredning.
Sekretessfrågor behöver utredas vidare
Nästan alla former av sekretess som gäller för uppgifter hos Lant- mäteriet, exempelvis försvarssekretess, gäller hos samtliga myndig- heter där sådana uppgifter förekommer, oberoende av verksamhet. Merparten av uppgifterna gäller med ett rakt skaderekvisit, det vill säga med en presumtion för offentlighet.739 Uppgifterna kommer därför i och för sig i stort sett att ha samma sekretesskydd om de skulle lämnas över till andra myndigheter.740 Emellertid gäller en hu- vudregel om sekretess även mellan myndigheter, se 8 kap. 1 § OSL. För att den sekretessen ska kunna brytas krävs i regel ett undantag i form av en sekretessbrytande bestämmelse i lagen om offentlighet
737Jämför RiR 2014:23 och RiR 2016:8.
738Se promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 1 och rapporten Behov av regelutveckling för en säker hantering av information, den 13 mars 2025, LM2025/159810, s. 2 och 6.
739Undantaget är 21 kap. 3 a § OSL som avser sekretess för personer med skyddad folkbokföring. Den bestämmelsen innebär tvärt om en presumtion för sekretess och är också i viss mån begränsad på så sätt att den gäller i ett ärende vid en myndighet.
740Se dock resonemanget om 21 kap. 3 a § OSL jämfört med 11 kap. 4 § som beskrivs i avsnitt
316
Ds 2026:2 | Överväganden |
och sekretess eller en uppgiftsskyldighet i annan lag eller förord- ning.741
Lantmäteriet har, i fråga om möjligheten att lämna över sekretes- skyddade uppgifter till andra myndigheter, i egna rättsutredningar konstaterat att någon särskild sekretessbrytande bestämmelse eller uppgiftsskyldighet inte finns för Lantmäteriets uppgifter. Vi instäm- mer i den slutsatsen. Lantmäteriet har kommit fram till att myndighetens enda möjlighet att bryta viss typ av sekretess för upp- gifter i arkivakterna är att tillämpa den så kallade generalklausulen i 10 kap. 27 § OSL. Den innebär att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda.742
Mot bakgrund av de resonemang som förs i äldre förarbeten är det i och för sig inte uteslutet att göra bedömningen att ett uppgifts- lämnande enligt generalklausulen vore möjligt i förhållande till andra myndigheter som har ett författningsreglerat och viktigt intresse av att få del av uppgifterna.743 Uppgiftslämnande mellan myndigheter enligt den bestämmelsen har förekommit i olika sammanhang innan specialregleringar införts.744 Härtill tyder nuvarande uppgifter på att det är ett begränsat antal arkivakter av en mycket stor mängd som faktiskt omfattas av sekretess.
Noteras kan att det i flera senare förarbeten om olika uppgiftsut- byten framhållits att det ofta inte är lämpligt att omfattande utläm- nande av sekretesskyddade uppgifter sker enbart med stöd av den sekretessbrytande generalklausulen.745
741Jämför 10 kap. 28 § OSL. Det finns dock förarbetsuttalanden och praxis avseende i vart fall viss sekretess om att det inte behövs någon särskild sekretessbrytande bestämmelse myndigheter emellan om sekretessen kommer att gälla även hos en mottagande myndighet, eftersom det då inte kan antas att skyddsintresset för det allmänna motverkas om uppgiften lämnas till den mottagande myndigheten, se prop. 2003/04:93 s. 82 f. och prop. 2004/05:5 s.
262ff. samt HFD 2021 not. 58 avseende 18 kap. 8 och 13 §§ OSL. Det bör dock utredas närmare vilka typer av sekretess som omfattas och om det gäller även vid direktåtkomst.
742Avseende 18 kap. 8 och 13 §§ OSL har Lantmäteriet emellertid angett Högsta förvaltningsdomstolens dom HFD 2021 not. 58 som stöd för utlämnande till andra myndigheter. I det avgörandet kom Högsta förvaltningsdomstolen fram till att det fanns en skyldighet att på begäran lämna ut uppgifter till en myndighet trots att uppgifterna omfattades av sekretess enligt angivna paragrafer, eftersom sekretessbestämmelserna kommer att vara tillämpliga på uppgifterna även hos den mottagande myndigheten.
743Se prop. 1979/80:2 Del A s, 80–81 och 327.
744Jämför till exempel tidigare uppgiftsutbyte mellan Migrationsverket och Polismyndigheten med flera, se prop. 2015/16:65, s. 94.
745Se bland annat prop. 2015/16:65, s. 94, om utlänningsdatalagen.
317
Överväganden | Ds 2026:2 |
Syftet med generalklausulen är att medge utlämnande av uppgif- ter för att inte oförutsedda hinder ska uppkomma i myndigheternas verksamhet.746 Den delning av arkivakter som det nu är fråga om har pågått under många år och det har funnits en styrning från rege- ringen att Lantmäteriet ska tillgängliggöra fastighetsrelaterad infor- mation för olika samhällsaktörer.747 Det kan därför inte anses vara fråga om oförutsedda behov att utbyta information, utan en före- teelse som bör utredas och regleras för att säkerställa att hänsyn tas till såväl alla relevanta sekretess- och säkerhetsskyddsaspekter som behandlingen av personuppgifter i akterna i samband med att de de- las. Det gör sig särskilt gällande om avsikten är att öppna en digital tjänst där akter görs tillgängliga på ett sätt som kan innebära att ett stort antal myndigheter får del av överskottsinformation som inte har efterfrågats.
Med hänsyn till Lantmäteriets mycket stora informationsmäng- der och viktiga samhällsuppdrag, där ett stort antal aktörer är be- roende av fastighetsinformation, är det enligt vår mening rimligt att prioritera att författningsreglera Lantmäteriets hantering av infor- mationsmängder.748
Mer om arbetet mot ett återöppnande av digitala tjänster
Av löpande anteckningar förda av Lantmäteriet om arbetet med den särskilda händelsen framgår att ett intensivt arbete startade direkt i maj 2024 och pågick hela sommaren och hösten. Det har fortsatt under hela 2025. Arbetet har i huvudsak avsett att dels öka förmågan att lämna ut handlingar som begärs, dels en inriktning mot att öppna de digitala tjänsterna igen – i vart fall för andra myndigheter – efter att man identifierat vilka akter som inte kan delas på det sättet.
746Prop. 1979/80:2 del A, s. 91.
747Jämför Lantmäteriets instruktion, samt det tillåtna tillhandahållandet av personuppgifter enligt 4 § Arkenförordningen som bland annat gäller när informationen behövs för omsättning i yrkesmässig verksamhet av sådan egendom som registreras i fastighetsregistret, samt kredit- givning, försäkringsgivning eller annan allmän eller enskild verksamhet där informationen i databasen utgör underlag för prövning eller beslut. Se även utformningen av regleringsbrev som beskrivs i kapitel 11.
748Det kan noteras att utredningens förslag i SOU 2024:63 innehöll en punkt i den nya
10kap. 15 a § OSL med innebörden att sekretessgenombrott ska kunna ske även när uppgifts- lämnandet behövs för att handlägga ärenden i författningsreglerad verksamhet, men detta an- såg regeringen vara mindre lämpligt utifrån bland annat att det är svårt att överblicka alla de situationer där bestämmelsen skulle kunna tillämpas, se prop. 2024/25:180, s. 39–40.
318
Ds 2026:2 | Överväganden |
Som beskrivits i det föregående har tidplanen för att på nytt öppna tjänsterna fått ändras ett antal gånger, från att först ha inriktats på oktober 2024, till nuvarande uppgifter att det är osäkert när de digitala tjänsterna kan öppnas.
Myndigheten har av allt att döma prioriterat öppnandet av tjänsterna i det arbete med den särskilda händelsen som fortfarande pågår. Prioriteringen förklaras i hög grad av det tryck som myndig- heten upplever från olika samhällsaktörer. Det finns emellertid skäl att ifrågasätta om det numera brådskar med att öppna de digitala tjänsterna. Ett sådant beslut får inte tas grundat på kortfattade och i viss mån provisoriska rättliga bedömningar som tagits fram i ett akut läge. Noteras i sammanhanget bör att Lantmäteriet samtidigt som man har prioriterat öppnandet, påtagligt har ökat förmågan att ma- nuellt hantera utlämnandet av handlingar. Utlämnandetiden ligger nu på i genomsnitt 48 timmar.
Bör Lantmäteriet även fortsatt ansvara för en digital lösning där flera myndigheters akter bevaras och tillhandahålls?
Även om samhällsbyggnadsprocessen fortfarande anses påverkad av nedstängningen av digitala tjänster skulle Lantmäteriet enligt vår be- dömning vinna på att göra en betydligt grundligare genomlysning av de rättsliga förutsättningarna för ett fortsatt digitalt tillhandahållan- de än vad som hittills har gjorts. Det inkluderar ställningstaganden kring de system som används i dagsläget och vilken typ av elektro- niskt utlämnande som är lämpligast.
Vi har från olika håll förstått att den fråga som är av störst intresse är om Lantmäteriet även fortsatt ska ansvara för en digital lösning där flera myndigheters akter bevaras och tillhandahålls.
Konsekvenserna av nedstängningen av den digitala åtkomsten till Arken blev för de kommunala lantmäterimyndigheterna, liksom för övriga samhällsbyggnadsaktörer att handläggningen av ärenden för- svårades och fördröjdes avsevärt, eftersom handlingar som tidigare kunde öppnas digitalt nu behövde begäras ut från Lantmäteriet.749
Annat har inte kommit fram än att det är en fördel att arkivakter även fortsatt lagras på en gemensam plats och att lagringen kopplas till ett tillhandahållande. Såväl Lantmäteriet som flera kommunala
749Information till utredningen från samtal med Sveriges Kommuner och Regioner samt flera kommunala lantmäterimyndigheter i september och oktober 2025.
319
Överväganden | Ds 2026:2 |
lantmäterimyndigheter har samstämmigt uppgett ett gemensamt intresse i detta. Behovet av information mellan myndigheterna är stort och mycket viktigt för en väl fungerande samhällsbyggnads- process. Även om Lantmäteriet nu har förkortat sina utlämnande- tider till 48 timmar uppges väntetiden för att få ut handlingar som myndigheter behöver vara för lång.
Utifrån Lantmäteriets uppdrag och förutsättningar får, enligt vår mening, Lantmäteriet anses som den myndighet som är bäst lämpad att fortsatt ha ansvaret för ett sådant system. En gemensam lagrings- och tillhandahållandeyta är emellertid, som redan nämnts, kopplad till ett antal rättsliga frågor som behöver utredas och förtydligas.
Det bör betonas att den nuvarande manuella utlämnandehante- ringen är mycket resurskrävande. Extra medel har tillskjutits Lant- mäteriet för det ändamålet. Mot bakgrund av budgetpåverkan är det naturligt att myndigheten samråder med regeringen om kommande prioriteringar. Det ligger emellertid primärt på Lantmäteriet att ut- reda och komma fram till de rättsliga förutsättningarna för ett digi- talt utlämnande av fastighetsinformation med beaktande av frågor om säkerhetsskydd i allmänhet och informationssäkerhet i synner- het. Tydlig styrning från regeringen kan behövas som vägledning för Lantmäteriets prioriteringar. Antingen är fokus ett snabbt återöpp- nande av digitala tjänster eller ett fortsatt manuellt utlämnande. Vi återkommer till frågan om de resurser som Lantmäteriet fått för in- formationssäkerhetsarbetet varit tillräckliga.
Vissa av Lantmäteriets digitala system är omoderna
Det pågår ett omfattande arbete på Lantmäteriet med att utveckla och i viss utsträckning ersätta myndighetens system med inrikt- ningen att alla typer av uppgifter kan hanteras i dem. Det är exem- pelvis redan beslutat att Trossen inom kort kommer att tas ur bruk och ersättas.
När det gäller Arken pågår, som nämnts, arbetet mot att öppna de digitala tjänster som kopplar till det systemet. Arken består av avfotograferade fysiska akter, framför allt fastighetsbildningsakter. Att Arken digitaliserats på detta sätt innebär att det inte på ett enkelt sätt går söka igenom akter för att exempelvis se om det i dem finns säkerhetsskyddsklassificerade uppgifter. Inte heller annan typ av
320
Ds 2026:2 | Överväganden |
sekretess eller personuppgifter är sökbara. Enligt Lantmäteriet skulle det vara ett närmast ogörligt arbete att i efterhand granska samtligt arkivmaterial för att på så sätt undersöka förekomsten av sekretesskyddade uppgifter. Lantmäteriets IT-system stöder inte en sådan digital granskning.
Med ett modernare system för digital förvaring av akter, och en möjlighet att avgränsa tillhandahållandet, hade den särskilda händel- sen kunnat hanteras på ett helt annat sätt. Med sökbara akter hade Lantmäteriet kunnat få ett grepp om det stora antalet akter och deras innehåll. Om akterna därtill hade varit delbara hade det varit möjligt att skapa ett tillhandahållande som inte omfattat hela akterna. Exem- pelvis hade enbart genomsökta beslut kunnat tillhandahållas.
Enligt vår bedömning är det svårt att se det som lämpligt att ens mellan myndigheter öppna ett helt arkiv på ett sätt som inte är tek- niskt möjligt att begränsa. Den bedömningen grundas på de mycket stora och närmast oöverblickbara informationsmängder det handlar om.
I arbetet inriktat mot öppna digitala tjänster bör det därför utre- das vilka möjligheter som finns att göra akterna sökbara och delbara, samt vilka andra möjliga begränsningar som kan vara lämpliga att göra avseende tillgängligheten. Tidigare har aktörer som köpt tjäns- ter kunnat se mer än de haft behov av. Exempelvis har kommunala lantmäterimyndigheter haft åtkomst till akter för hela landet, alltså inte bara de som avsett den egna kommunen. Man bör ställa sig frå- gan om alla myndigheter för sina myndighetsuppgifter har ett behov av tillgång till hela landets fastighetsbildningsakter och vad som är försvarbart utifrån offentlighets- och sekretesslagen samt data- skyddsförordningen. Det bör noteras att motsvarande närmast full- ständiga öppenhet som har gällt för Arken gällt också för andra sys- tem hos Lantmäteriet, till exempel karttjänster. Dessa frågor kräver rättsliga överväganden och ställningstaganden.
Frågan om informationsutbyte och att tillhandahålla information innefattar flera aspekter. En avgörande fråga är i vilken form uppgif- ter bör lämnas ut. Att på sätt som tidigare ha öppna tjänster kan inte ses som en lämplig ordning. Vid bedömningen av hur en digital tjänst för tillhandahållande inte bara rättsligt utan även tekniskt ska ut- formas bör självfallet övervägas vilka krav som behöver ställas på be- fintliga eller framtida system i förhållande till säkerhetsskyddslag-
321
Överväganden | Ds 2026:2 |
stiftningen.750 Innan digitala tjänster för informationshantering och tillhandahållande av uppgifter till externa brukare öppnas behöver det vara säkerställt att alla tekniska system som berörs uppfyller de krav som gäller för de handlingar och de uppgifter som finns i dem.
17.10Lantmäteriets arbete i övrigt med informationssäkerhet och säkerhetsskydd
Utredningens bedömning: Bristen på en övergripande struktur i Lantmäteriets arbete med informationssäkerhet har varit påtag- lig. Med utgångspunkt i MCF:s föreskrifter om informations- säkerhet för statliga myndigheter (MSBFS 2020:6) har Lantmä- teriet grunderna i sitt informationssäkerhetsarbete på plats, åtminstone delvis. Det systematiska informationssäkerhetsarbe- tet har dock stannat av och behöver komma i gång igen. I första hand bör informationsklassningen av samtliga informations- mängder färdigställas.
En plan för hur uppföljning av informationssäkerhetsarbetet ska ske behöver tas fram. Lantmäteriet bör också se över styrande dokument och om informationsägarskapet kan förtydligas. Dess- utom behöver myndighetens ledningssystem för informations- säkerhet (LIS) uppdateras. Så kallade facilitatorer eller koordina- torer för informationssäkerhetsarbetet bör om möjligt utses inom samtliga verksamhetsområden. På så sätt kan den centrala funktionen fokusera på det myndighetsövergripande informa- tionssäkerhetsarbetet.
Det bör beslutas och vara reglerat vem som ska ha det myn- dighetsövergripande ansvaret för att informationsägare utses för nya informationsmängder och för de informationsmängder där det är otydligt vem som har ansvaret. I det sammanhanget kan övervägas om befintligt informationsägarforum ska ha den rollen eller om ett nytt forum bör skapas.
750Säkerhetsskyddslagen, säkerhetsskyddsförordningen och Säkerhetspolisens föreskrifter, se kapitel 2.
322
Ds 2026:2 | Överväganden |
Skälen för utredningens bedömning
Har Lantmäteriet utformat sitt informationssäkerhetsarbete på det sätt som krävs enligt MCF:s föreskrifter?
Av MCF:s föreskrifter följer att en myndighet ska utforma sitt in- formationssäkerhetsarbete på närmare angivet sätt och bedriva det systematiskt och riskbaserat.
Utifrån det som anges i föreskrifterna751 konstaterar vi inled- ningsvis följande beträffande utformningen av Lantmäteriets infor- mationssäkerhetsarbete.
Lantmäteriet har sedan 2022 en informationssäkerhetspolicy. Av den framgår ledningens målsättning med och inriktning för infor- mationssäkerhetsarbetet. Den senaste informationssäkerhetspoli- cyn beslutades i juni 2025. Innehållet i denna är i huvudsak identiskt med det som anges i den tidigare policyn. I policyn har myndigheten angett bland annat att generaldirektören är ytterst ansvarig för in- formationssäkerheten inom Lantmäteriet och att verksamhetsansva- rig chef ansvarar för att upprätthålla sådan säkerhet inom sin verk- samhet, att framtagna policys, riktlinjer och instruktioner följs och att säkerhetsåtgärder genomförs. Det framgår av policyn att verk- samhetsområde Säkerhet har ansvar för att samordna övergripande frågor om säkerhet, säkerhetsskydd, beredskap och informationssä- kerhet inom samtliga verksamhetsområden. Det framgår av policyn att verksamhetsområde Säkerhet har ansvar för att samordna över- gripande frågor om säkerhet, säkerhetsskydd, beredskap och infor- mationssäkerhet inom samtliga verksamhetsområden. En liknande formulering finns i myndighetens delegationsordning.752 Möjligen hade det kunnat framgå tydligare i styrande dokument vilka som utsetts för att leda och samordna informationssäkerhetsarbetet och vilka befogenheter som följer av dessa befattningar. Det har i övrigt inte blivit tydligt för oss att Lantmäteriet tagit fram de interna regler, arbetssätt och stöd som behövs och att de utvärderats samt anpassats efter behov. Vi återkommer till frågan om de resurser för informa- tionssäkerhetsarbetet som finns inom Lantmäteriet.
Som beskrivits i kapitel 9 har Lantmäteriet beslutat om ett sådant ledningssystem för informationssäkerhet (LIS) som avses i MCF:s
7515 § MSBFS 2020:6 och allmänna råd till denna bestämmelse.
752Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018, 2 kap. 7 g §.
323
Överväganden | Ds 2026:2 |
föreskrifter.753 Ledningssystemet ska konkretisera myndighetens in- formationssäkerhetspolicy och skapa förutsättningar för ett syste- matiskt informationssäkerhetsarbete. Vid intervjuer har angetts att LIS inte är helt komplett och att Lantmäteriet inte har förvaltat och uppdaterat ledningssystemet. Konstateras kan att det senaste LIS som finns är från 2022. Någon fullständig uppdatering av LIS har inte gjorts, men det finns några LIS som beslutats 2023. Det som angetts vid intervjuer är att LIS är tunt när det gäller anskaffning, utveckling och underhåll och att det inte bara gäller IT utan själva processen. Det finns en riktlinje men inte så mycket metodstöd.
Vår sammanfattande bedömning av Lantmäteriets utformning av informationssäkerhetsarbetet är att det finns en struktur på plats som i stort följer de anvisningar som ges i MCF:s föreskrifter. Sam- tidigt har bristen på en övergripande struktur i Lantmäteriets arbete med informationssäkerhet varit påtaglig. Med det menar vi att det inte tagits något tydligt, samlat grepp om informationssäkerhets- frågorna inom myndigheten. En orsak till det har varit bristerna inom den interna styrningen och kontrollen. I sammanhanget noterar vi att Lantmäteriets informationssäkerhetsmognad enligt MCF:s Cybersäkerhetskollen numera sjunkit från nivå 2 till nivå 1.754 Cybersäkerhetskollen har nyligen lagts till som en indikator i Lantmäteriets verksamhetsplan 2026 till 2028. Ett målvärde på mog- nadsnivå 3 år 2027 har satts vilket innebär att myndigheten visar ett kvalificerat innehåll i informationssäkerhetsarbetet och dessutom är bättre på grunderna i detta arbete.755
Som vi har varit inne på kan vissa delar av den struktur för arbetet som nu finns på plats behöva ses över, exempelvis när det gäller kompletteringar av LIS. Styrningen och samordningen av arbetet är en viktig del för att få hela verksamheten att arbeta enhetligt med informationssäkerhet, särskilt mot bakgrund av de ”stuprör” i verksamheten som konstaterats. I tidigare arbetsordningar756 för Lantmäteriet, och även den senaste,757 finns säkerhetsskyddschefens och dennes verksamhetsområdes ansvar angivna. I övrigt finns inte något om informationssäkerhet i dessa. I myndighetens delegations-
753MSBFS 2020:6, 4 § och avsnitt 9.2.
754Se avsnitt 9.5.
755Se avsnitt 3.3.3.
756Se till exempel arbetsordningar för Lantmäteriet den 17 december 2020, LM2020/028310 och den 14 april 2021, LM2021/009167.
757Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340.
324
Ds 2026:2 | Överväganden |
ordningar anges funktionen informationssäkerhetsansvarig,758 och det finns vissa skrivningar om informationssäkerhet bland annat i det kapitel som handlar om informationsägarskapet (se nedan). Möj- ligen är det inte avgörande hur funktionen benämns men vi anser att det hade varit bra om det funnits en tydlig befattningsbeskrivning för funktionen, som nu betecknas informationssäkerhetschef. En sådan beskrivning finns inte men kommer enligt Lantmäteriet att tas fram inom verksamhetsområde Säkerhet. Den beskrivning av denna chefs arbetsuppgifter som utredningen fått del av finns i den annons som användes vid rekryteringen av nuvarande chef. Av beskriv- ningen framgår att informationssäkerhetschefen har ett övergripan- de ansvar för att leda och samordna arbetet med informationssäker- het, inklusive säkerhetsskyddsdimensionen. Att ansvaret inbegriper säkerhetsskyddsdimensionen innebär enligt Lantmäteriet att infor- mationssäkerhetschefen ansvarar för att säkerhetsskyddsaspekterna, där det är relevant, inkorporeras i den styrning och det metodstöd som tas fram inom ramarna för det strukturerade informations- säkerhetsarbetet. Ett exempel är att processen för informations- klassning inkluderar att informationsmängder som bedöms inne- hålla säkerhetsskyddsklassificerade uppgifter går vidare till en be- dömning där man slår fast om så är fallet och även vilken säkerhets- skyddsklass som gäller.759
Enligt Lantmäteriet har personalresurserna inom informations- säkerhetsfunktionen under de senaste åren varit bristfällig. Under perioden oktober 2024 – augusti 2025 har den bestått av endast en informationssäkerhetshandläggare. Dessförinnan var man enligt uppgift två medarbetare under åren 2022–2024. Hösten 2025 har in- formationssäkerhetsfunktionen successivt kommit att bestå av
•en informationssäkerhetschef, och
•fyra informationssäkerhetshandläggare varav två är tillika datas- kyddssamordnare.
De båda dataskyddssamordnarna har tidigare varit organiserade under ett annat verksamhetsområde och kom till informationssäker- hetsteamet som resultat av en organisationsförändring som genom-
758Se till exempel delegationsordningar för Lantmäteriet den 29 juni 2023, LM2023/019415, och den 16 december 2025, LM2025/161018.
759Information från Lantmäteriet i november 2025.
325
Överväganden | Ds 2026:2 |
förts under hösten 2025. Deras arbetsuppgifter är för närvarande i stort sett desamma som innan organisationsförändringen.760
Enligt vår bedömning finns mot denna bakgrund numera en or- ganisation på plats inom Lantmäteriet som kan arbeta myndighets- övergripande med informationssäkerhet inom myndigheten. För att funktionen ska kunna arbeta på det sättet har vid intervjuer uppgetts att det vore lämpligt om det fanns så kallade facilitatorer inom varje verksamhetsområde, som kan stötta och bistå verksamheten inom informationssäkerhetsområdet. I dagsläget finns det sådana utsedda inom verksamhetsområdena Fastighetsinskrivning och UIT. Dess- utom kommer det att finnas en facilitator inom Geodata (Marknad). Facilitatorernas arbete har i huvudsak bestått i hjälp med informa- tionsklassning. Som vi ser det bör Lantmäteriet gå vidare med denna inriktning med konkret stöttning ute i verksamheten, samtidigt som den centrala funktionen kan fokusera på det myndighetsöver- gripande arbetet. Ledning och styrning av facilitatorernas arbete ska självfallet ligga på den centrala informationssäkerhetsfunktionen.
Finns det otydligheter i informationsägarskapet?
Informationsägare är enligt Lantmäteriets delegationsordning den som äger och ansvarar för att informationen är riktig och tillförlitlig samt för det sätt genom vilket informationen lagras och sprids. In- formationsägaren har ett strategiskt eller operativt ansvar för en de- finierad del av Lantmäteriets information. Informationsägaren har det yttersta ansvaret för att informationen är anpassad för sitt syfte och användningsområde.761
Generaldirektören har ett övergripande ansvar för Lantmäteriets information. En strategisk informationsägare ansvarar för den del- mängd av information som omfattas av delegation rörande informa- tionsägarskap. Den operativa informationsägaren ansvarar för det operativa arbetet och det operativa beslutsfattandet för en tydligt av- gränsad delmängd av informationen.762
När det gäller informationsägarskapet har följande synpunkter förts fram vid våra intervjuer.
760Lantmäteriets PM till utredningen den 21 november 2025, LM2025/051647.
761Lantmäteriets delegationsordning den 16 december 2025, LM2025/161018, 6 kap. 1 §.
762Delegationsordning den 16 december 2025, 6 kap. 2–3 §§.
326
Ds 2026:2 | Överväganden |
Informationsägarskapet enligt delegationsordningen fungerar inte. Man följer inte det som står där. Man har exempelvis kanske tio infor- mationsmängder (delmängder, på enhetschefsnivå som är operativ) – då ska det finnas tio informationsklassningar. De ska också revideras eller göras om vart tredje år. Redan där ser man att det brister. Om den ope- rativa informationsägaren brister är det den strategiska informations- ägarens ansvar att styra upp det. Men det utkrävs inget ansvar när det inte sker.
Informationsägarrollen är nästan omöjlig att utföra. För att kunna det måste man kunna styra över budgeten och sin del av ansvaret. Det är viktigt att man bottnar i den rollen.
Informationsägarskapet inom Lantmäteriet är enligt delegationsord- ningen vertikalt medan informationsmängderna är cirkulära och flyttar sig mellan verksamhetsområden. Det finns olika informationsägare be- roende på var i processen man befinner sig. Det är till exempel tydligt mellan verksamhetsområde Geodata och Fastighetsbildning. Geodata är informationsägare för fastighetsregistret men Fastighetsbildning häm- tar och för in data i registret.
Informationsägarskap handlar om att peka ut vem som är ansvarig för vad. Alla informationsmängder ska vara fördelade och någon ska ha koll. Det kan vara mycket svårt att fördela om flera har samma information, men den brukar fördelas på någon utpekad i gränsfall. På Lantmäteriet är allt i stort sett fördelat ut på verksamhetsområden. Men det är längre ned som klassningar inte har genomförts.
Det finns också de som anser att informationsägarskapet är ganska tydligt i delegationsordningen men att problemet uppstår när det är fråga om system som innehåller information som har många informationsägare. Det har också förts fram att det inte finns någon process för vem som ska ta ansvar för en ny informationsmängd, eller en sådan mängd som är otydligt beskriven. Här behövs en ordning där man gemensamt kommer fram till vem som ska ansvara för sådana informationsmängder. Någon har lyft att det skulle kunna lösas genom att inrätta ett organ inom myndigheten (till exempel informationsråd) som skulle kunna ta ansvar för helheten.
Som vi har beskrivit tidigare och i avsnitt 5.3.2 finns det i Lantmäteriets delegationsordning förhållandevis utförliga beskriv- ningar av vad som avses med begreppet informationsägare, vad en strategisk respektive en operativ informationsägare ansvarar för och vilka uppgifter som ingår i rollen. Regleringen i delegationsord- ningen får enligt vår bedömning anses godtagbar och rimligt tydlig. Men utifrån de synpunkter som lyfts under utredningen bör Lant- mäteriet på nytt överväga formuleringarna om informationsägarskap och hur det ska tillämpas i praktiken. Genom delegationerna blir
327
Överväganden | Ds 2026:2 |
många olika ansvariga för informationen, låt vara inom respektive ansvarsområden. Det är naturligtvis en bra struktur, eftersom det blir ett mindre område för var och en att ansvara för. Med flera in- blandade och ett spritt ansvar blir det emellertid utmanande att hålla samman hur informationsansvaret ska tas om hand och utföras.
I 6 kap. 2 § delegationsordningen anges att på begäran och inom den tid som anges av informationssäkerhetsansvarig ska en säker- hetsskyddsklassificeringspromemoria upprättas enligt den mall som tillhandahålls av den informationssäkerhetsansvarige. Promemorian ska diarieföras och den informationssäkerhetsansvarige informeras när promemorian har slutförts och diarieförts enligt de instruktioner som tillhandahålls av denne. Denna bestämmelse förefaller inte ha tillämpats utan på fråga har Lantmäteriet uppgett att avseende säkerhetskänslig information är sårbarheter och nödvändiga åtgärder dokumenterade i myndighetens säkerhetsskyddsanalys och säker- hetsskyddsplan. Möjligen bör Lantmäteriet av den anledningen överväga vilket syfte som bestämmelsen har och om den kan utgå.
Samordnande forum eller råd
För att kunna bedriva och samordna arbetet med informations- säkerhet bör det enligt MCF finnas grupperingar som träffas regel- bundet. Behovet av sådana är särskilt stort i större organisationer, eftersom det är många personer som arbetar med säkerhetsfrågorna. Dessutom kan såväl de organisatoriska som de geografiska avstån- den skapa problem. Råd och forum är en bra resurs för CISO763, som i dessa kan få och ge regelbunden rådgivning, och dessutom utbyta erfarenheter och synpunkter från andra viktiga roller i organisa- tionen. I regel bör CISO-rollen vara ordförande och sammankal- lande i dessa råd. En annan fördel är att ett formellt inrättat råd eller forum kan ge informationssäkerhetsfrågorna en ökad tyngd och le- gitimitet, exempelvis vid uttalanden, interna remisser och rådgivning till ledningen. Frågor om informationssäkerhet kan även ingå i råd och forum inom andra områden, som till exempel generell säkerhet, risk eller kvalitet. Rådets eller forumets syfte, deltaganderoller, mötesfrekvens och så vidare bör regleras i ett styrdokument.
763Den person som är ansvarig för samordningen av informationssäkerheten, Chief infor- mation security officer, se avsnitt 3.3.2 .
328
Ds 2026:2 | Överväganden |
Som vi ser det kan ett sådant råd eller forum som MCF beskriver vara en modell för Lantmäteriet. Ett alternativ kan vara att lägga ans- varet för den samordning som krävs på informationssäkerhetsche- fen. Huvudsaken är att det regleras vem som ska ha det myndighets- övergripande ansvaret för att en informationsägare utses för nya in- formationsmängder eller för sådana mängder där det är otydligt vem som har ansvaret. Den lösning som väljs måste naturligtvis regleras i delegationsordningen.
Att notera i sammanhanget är att Lantmäteriet i nuläget har de strategiska och operativa informationsägarforumen. Genom inter- vjuerna har kommit fram att det är i dessa som en stor del av infor- mationssäkerhetsarbetet har diskuterats. Forumen är inte reglerade i något styrande dokument, även om det finns ett odaterat doku- ment med en kort beskrivning av det strategiska informationsägar- forumet och vilka som deltar i det. Lantmäteriet bör överväga om något av dessa forum möjligen kan ha en sådan samordnande funk- tion som nyss nämnts och i så fall beskriva detta i ett styrande do- kument, lämpligen arbetsordningen kompletterat av delegationsord- ningen.
I det här sammanhanget bör även de kommunala lantmäterimyn- digheternas informationsmängder nämnas. Enligt Lantmäteriet är respektive kommunal lantmäterimyndighet informationsägare för sina arkivakter som lagras i Arken.764 Detta finns dock inte beskrivet i avtalen mellan Lantmäteriet och de aktuella kommunerna och det kan ifrågasättas om de kommunala lantmäterimyndigheterna känner till vad ett informationsägarskap på Lantmäteriet innebär. Frågan har bäring på vems ansvar det är att säkerställa att uppgifterna hanteras rätt ur bland annat ett säkerhetsskydds- och informationssäkerhets- perspektiv. Vi återkommer till det i kapitel 18 där vi tar upp att Lantmäteriet bör initiera en översyn av avtalen för att tydliggöra avsikten med dem och skapa samsyn med de kommunala lantmäte- rimyndigheterna om avtalsinnehållet. I det ingår också att klargöra ansvaret för innehållet i arkivakterna.
764Jämför Lantmäteriets Säkerhetsskyddsanalys, LM2025/088391, s. 27. Vi beskriver detta närmare i kapitel 18.
329
Överväganden | Ds 2026:2 |
Har Lantmäteriet säkerställt att informationssäkerhetsarbetet är systematiskt och riskbaserat?
Det som kommit fram vid våra intervjuer är att det systematiska arbetet med informationssäkerhet inom Lantmäteriet har stannat av. Troligen har det samband med att den särskilda händelsen medförde att annat arbete fick prioriteras och krävde ytterligare resurser.
En central del i det systematiska arbetet med informationssäker- het är att Lantmäteriet ska klassa sin information avseende konfi- dentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få (informationsklassning). Enligt uppgift från Lantmäteriet pågår informationsklassningen, bland annat i form av workshops. När det gäller kärnverksamheten, det vill säga verksamhetsområdena Fastighetsbildning, Fastighetsin- skrivning och Geodata, har uppgetts att ungefär 80 procent av infor- mationsmängderna är informationsklassade.765 Konstateras kan att det arbetet behöver slutföras. Vidare behöver det systematiska arbe- tet med informationssäkerhet i övrigt komma i gång igen. I detta ingår att ta fram en plan för uppföljning av arbetet. Enligt uppgift har det funnits en sådan, men den kom aldrig att användas.
Lantmäteriets resurser för informationssäkerhetsarbetet
Utifrån det som redovisats i avsnitt 9.7 kan vi konstatera att Lantmäteriet tilldelats mindre än det myndigheten begärt för aktuella år. Inte någon tilldelning har angetts specifikt avse informationssäkerhet och säkerhetsskydd. Samtidigt finns det de som menar att projektet Infosäk-GDL blev mycket dyrt utan att leda till någonting och att man tidigare har felprioriterat i budgeten genom att det som myndigheten begärt och fått använts på fel sätt.
17.11Utlämnande av allmänna handlingar efter begäran
Utredningens bedömning: Handlingar som har funnits i Arken har efter begäran – utan sekretessprövning – lämnats ut av
765Uppgift från Lantmäteriet i november 2025.
330
Ds 2026:2 | Överväganden |
Lantmäteriet. Hanteringen har varit kopplad till det faktum att handlingarna har bedömts som säkra att lämna ut genom att de har legat öppet tillgängliga i Arken. En överhängande risk har funnits för att såväl säkerhetsskyddsklassificerade som andra uppgifter som borde ha skyddats av sekretess har lämnats ut. Att Lantmäteriet rutinmässigt lämnat ut akter som kunnat innehålla sekretesskyddade uppgifter utan en föregående sekretesspröv- ning av innehållet bygger på att myndigheten felaktigt bedömt och tillämpat gällande rätt i fråga om offentlighet och sekretess. Det är samtidigt kopplat till bristerna i fråga om intern styrning och kontroll.
Flera myndighetsinterna påpekanden om brister i och risker med den manuella utlämnandehanteringen har gjorts genom åren. Beslut att upphöra med detta utlämnande fattades först våren 2024. Det beslutet borde ha tagits långt tidigare.
Lantmäteriet har haft en alltför långsam takt när det gäller att komma till rätta med uppmärksammade brister i fråga om ma- nuellt utlämnande av allmänna handlingar. Numera vidtagna åt- gärder framstår som relevanta, men behöver kvalitetssäkras.
Kundcenters medarbetare har följt givna direktiv, och kan inte lastas för hur frågan har hanterats.
Skälen för utredningens bedömning
Allmänna handlingar har efter begäran lämnats ut utan sekretessprövning
Som redogjorts för i det föregående har säkerhetsskyddsklassifice- rade uppgifter och andra sekretessbelagda uppgifter lämnats ut eller riskerat att lämnas ut genom att tillhandahållas genom direktåt- komst i öppna digitala system för de aktörer som har haft tillgång till sådana tjänster. I detta avsnitt bedömer vi Lantmäteriets hantering av utlämnande av allmänna handlingar efter begäran, det vill säga efter att någon hör av sig till myndigheten och vill få ut en specifik handling.766
Att i en myndighet ha kunskap om vad som gäller när någon begär ut en handling från myndigheten är grundläggande och kan
766I enlighet med den definition vi gjort i avsnitt 12.1.
331
Överväganden | Ds 2026:2 |
sägas ingå både i den statliga värdegrunden och en god förvalt- ningskultur. Det står klart för oss, vilket vi konstaterat i avsnitt 17.3, att det funnits stora brister hos Lantmäteriet vad gäller offentlighet och sekretess. Dessa brister har fått till följd att allmänna handlingar, bland annat i form av fastighetsbildningsakter, lämnats ut från Kundcenter utan sekretessprövning. Det har därmed funnits en överhängande risk för att såväl säkerhetsskyddsklassificerade som andra uppgifter som borde ha skyddats av sekretess har lämnats ut.
Trots olika utredningar och myndighetsinterna påpekanden under ett antal år har det dröjt alldeles för länge innan problematiken inom utlämnandefunktionen klarnade för myndigheten. Som vi förstått det har en stor del av denna berott på att man, bland annat inom Kundcenter, hade uppfattningen att de handlingar som fanns i Arken kunde lämnas ut, eftersom de ingick i de digitala tjänster som fanns öppet tillgängliga. En förklaring till detta är att myndigheten felaktigt bedömt och tillämpat gällande rätt i fråga om offentlighet och sekretess.
Som vi beskrivit i avsnitt 17.8 har det funnits olika uppfattningar inom Lantmäteriet i frågan om Arken innehåller säkerhetsskydds- klassificerade uppgifter och så har förhållandena fått vara under lång tid. Även när det gäller denna fråga har flera av Lantmäteriets medarbetare, även på verksamhetsområdeschefsnivå, uttryckt till oss att någon borde ha dömt av den frågan. Och man anser att myndigheten borde ha gått igenom informationsmängderna tidigare. Det har förts fram att man antingen inte har förstått, inte har velat förstå, eller har förstått men valt att inte göra något. Det uppges även ha förekommit kommentarer som att ”man inte kan följa alla regler”, att ”vi har så många regler att följa” och att man ju då måste ha ”jättemånga som granskar”. Det sistnämnda kan vi konstatera nu har blivit fallet; myndigheten har byggt upp en stor gransknings- funktion, och det synes fungera relativt väl även om den kräver stora resurser.
Enligt uppgift från Lantmäteriet fick generaldirektören infor- mation om de frågor som dåvarande säkerhetsskyddschefen ställde till chefen för Kundcenter i december 2021, det vill säga om det stämde att akter från fastighetsbildningen lämnades ut utan föregående sekretessprövning. Även om generaldirektören sedan inte tog del av svaret från Kundcenters chef är det anmärkningsvärt
332
Ds 2026:2 | Överväganden |
att kännedomen om frågeställningen i sig inte medförde att saken följdes upp.
Det står klart att även Lantmäteriet har uppfattningen att hand- lingar ur Arken under många år har lämnats ut på begäran utan någon sekretessprövning. Här bortser vi från att en begäran att få ut hand- lingar som haft en sekretessmarkering i fastighetsregistret hanterats på ett annat sätt. En rutin för sekretessprövning av i vart fall vissa akter har inte varit på plats förrän omkring 2020, samtidigt som utbildningen om de olika varningssignaler som funnits i system kopplade till Arken har varit bristfällig.767
Manuella utlämnanden av allmänna handlingar efter begäran har skötts av myndighetens Kundcenter som är en funktion som i januari 2023 flyttades från verksamhetsområde Kommunikation till verksamhetsområde Fastighetsinskrivning. Det innebar en föränd- ring av chefskapet på verksamhetsområdesnivå för medarbetarna på Kundcenter. Hanteringen av utlämnanden synes dock inte ha för- ändrats nämnvärt med anledning av omorganisationen. Sekretess- prövningar vid utlämnanden gjordes varken före eller direkt efter den tidpunkten. Kundcenters chef under den här perioden har upp- gett att han lyft problematiken med utlämnanden i Lantmäteriets ledningsgrupp samt styrelsen under åren 2021 och 2023 och att han har velat få tillsatt en arbetsgrupp med representanter från verksam- hetsområdena. Den dåvarande chefsjuristen har gett en annan bild av dröjsmålet med att börja sekretesspröva handlingar. Vi kan kons- tatera att det dröjde till våren 2024 innan det fattades ett uttryckligt beslut av chefen på Kundcenter att alla handlingar i samtliga arkiv- akter skulle sekretessgranskas före utlämnande.768 Mot bakgrund av att problematiken varit känd under lång tid på myndigheten borde ett sådant beslut naturligtvis ha fattats av ledningen betydligt tidi- gare. Att den kända hanteringen vid utlämnande av allmänna hand- lingar efter begäran inte lett till insikten att åtgärder behövde vidtas är anmärkningsvärt. Vi återkommer i avsnitt 17.13 till ledningspers- pektivet när det gäller bland annat denna brist.
Hanteringen av utlämnanden av allmänna handlingar och att den fått fortgå visar inte annat än att Lantmäteriets interna styrning och kontroll inte har fungerat tillfredsställande. Ett systematiskt bedri-
767Se avsnittet om anmälan om säkerhetshotande händelse i mars 2024 i 13.2.2.
768Jämför Tjänsteanteckningar från dåvarande chefsjurist under 2021–2023 i kapitel 12 samt beskrivningen i kapitel 13 av hur utlämnanden utan granskning stoppades i mars 2024.
333
Överväganden | Ds 2026:2 |
vet kvalitetsarbete borde självfallet långt tidigare ha fångat fråge- ställningarna och lett till både analys och åtgärder. Inte minst gäller det i ljuset av att utmaningarna och de olika uppfattningarna varit väl kända inom stora delar av organisationen.
Som vi redan konstaterat i avsnitt 17.3 har många medarbetare lyft att öppenhet och kundnöjdhet varit något som präglat myndig- hetskulturen i allmänhet. Även inom området utlämnanden uppges god kundservice ha varit i fokus. Sannolikt har det påverkat att öp- penhet även i fråga om utlämnanden har gått före säkerhet och sek- retess.
Medarbetarna på Kundcenter kan inte lastas för de angivna bris- terna. De har följt de direktiv som de har fått. Enligt uppgift har de tidigare inte heller fått någon riktig introduktion om vad som kan lämnas ut och inte.
Lantmäteriets numera vidtagna åtgärder
Att alla akter hade behövt sekretessprövas före utlämnande är grundläggande. Informationen i dem är dessutom ostrukturerad och innehåller stora delar fritext som inte har kunnat sekretessmarkeras utifrån sökningar på den faktiska informationen i akterna.
Lantmäteriets avsikt även långt före den särskilda händelsen har varit att akter som kan omfattas av försvarssekretess inte ska finnas i Arken utan hanteras på annat sätt. Den insikt som myndigheten numera kommit till, med innebörden att sådana akter av olika skäl ändå kan finnas i Arken, har inneburit ett stort arbete med att sortera ut sådana akter inför ett framtida digitalt tillhandahållande. Det har också införts processer för att säkerställa att nya sådana akter inte förs in i Arken. Vissa akter har sökts fram utifrån vem som är fastighetsägare. Det har vidare införts såväl maskinella som manuella rutiner för säkerställt skydd, bland annat i form av användning av olika kriterier för att fånga upp viss typ av sekretess och låsa akter.769 Oavsett om akterna är låsta eller inte, görs i nuläget en sekretess- prövning av samtliga arkivakter före utlämnande. Vi kan därför inte se annat än att godtagbara rutiner för utlämnande av allmänna handlingar efter begäran numera är på plats i Lantmäteriet.
769En närmare beskrivning av detta arbete finns i kapitel 14 samt i tidigare avsnitt i detta kapitel.
334
Ds 2026:2 | Överväganden |
Den nuvarande organisationen för utlämnanden och vilka resurser som finns för det har beskrivits närmare i kapitel 12. Det är positivt att det har skett en betydande kapacitetsökning för hanteringen av utlämnande av akter, både genom intern omfördel- ning av personal och nyrekrytering. Den nuvarande tiden om högst 48 timmar från begäran till utlämnande är enligt vår bedömning fullt godtagbar.
Av Lantmäteriets egen dokumentation i anslutning till att hante- ringen av utlämnandefrågan utretts framgår att avsaknaden av en handbok för utlämnanden nämnts som ett problem. Det har vidare uppgetts som problematiskt att information om utlämnande av all- män handling varit utspridd på olika håll inom myndigheten och att verksamheterna har haft sina egna styrande och stödjande doku- ment. Enligt uppgift har det också efterfrågats utbildning och fort- bildning inom området.770
Som beskrivits i avsnitt 12.2.6 inleddes projektet UTAH redan 2022. I det ingick att arbeta fram en handbok om utlämnande av allmän handling. Handboken färdigställdes och trädde i kraft först den 1 april 2025.
All väsentlig information om utlämnande av allmän handling finns nu samlad på ett ställe på myndighetens intranät. Vidare har det tagits fram ett utbildningspaket med en struktur bland annat när det gäller vilka medarbetare som ska gå vilka delar.
Problemet med att en handbok eller motsvarande saknats, att in- formation inte hållits samlad och att utbildning saknats har härmed numera åtgärdats. Det har också genomförts utbildningar för handläggare av nya ärenden samt arkivering för att undvika framtida låsningar av akter.
Handläggarna på Lantmäteriet har härtill fått digitalt stöd i form av åtkomst till information om tidigare utlämnanden i form av åter- användning av tidigare granskade akter. Enligt vår mening bör dock en sådan återanvändning tillämpas med, eftersom förhållandena på en fastighet kan ha ändrats.
Engagemanget och ambitionen att göra rätt i fråga om sekretess- hanteringen är något som numera är märkbart inom Lantmäteriet. Samtidigt bör poängteras att effekterna av ökad medvetenhet och
770Se avsnittet om internrevisionsrapporten Utlämnande av allmän handling 2021 i kapitel 12 samt anmälan om säkerhetshotande händelse i mars 2024 i kapitel 13.
335
Överväganden | Ds 2026:2 |
kunskap om utlämnande av allmänna handlingar och att implemen- tering i verksamheten skett behöver följas upp framåt.
Åtgärderna med manuellt utlämnande av akter framstår enligt vår mening som relevanta. Frågan är om de är tillräckliga.
Från medarbetare inom Lantmäteriet har vi fått uppfattningen att det efter den uppmärksamhet som riktats mot myndighetens hante- ring av informationssäkerheten råder en ängslighet för att göra fel vid exempelvis utlämnande av allmänna handlingar. I fråga om Lantmäteriets kompetens, med de senaste utbildningsinsatserna på plats, är det svårt att ännu dra några slutsatser om myndigheten har en tillräckligt god förmåga att även på sikt hantera dessa frågor. Allt tyder dock på att myndigheten är på rätt väg. Nämnas bör att rekrytering av en rättschef pågår. Det har saknats en roll på rätt nivå för att döma av tvistiga juridiska frågor, exempelvis den om före- komsten av känsliga handlingar i arkivakter. En sådan rekrytering får ses som ytterligare ett steg för att säkerställa juridisk kompetens och mandat att avgöra den typen av frågor.
Genom utbildningar har kunskap i nu nämnda hänseenden för- medlats till många medarbetare. Men vilken kompetenshöjning som utbildningen lett till har ännu inte undersökts. Effekterna av utbild- ningsinsatserna behöver kvalitetssäkras. Endast därigenom kan man försäkra sig om att utlämnandefrågan processas i den ordning som följer av tryckfrihetsförordningen, lagen om offentlighet och sekre- tess samt de interna rutiner som tagits fram, exempelvis den hand- bok som utarbetats. Det gäller för Lantmäteriet att så långt som möj- ligt pröva och bedöma om man ”ligger rätt” i sekretessprövningarna. I ljuset av den uppmärksamhet som bristerna i informationssäkerhet inneburit är det naturligt att det finns en risk att sekretesspröv- ningen får slagsida så att mer bedöms omfattas av sekretess än vad som är motiverat av syftet med sekretessbestämmelserna. Lantmäte- riet har enligt uppgift emellertid inte haft några överklaganden av nekade utlämnanden efter den särskilda händelsen. Myndigheten har endast vid två tillfällen fått en begäran om skriftligt beslut som båda, efter förnyad bedömning, lett till utlämnanden av begärda uppgif- ter.771 Att hitta rätt balans vid hanteringen av utlämnanden är dock ett fortgående arbete. Och kvaliteten i det arbetet behöver löpande prövas.
771Information från Lantmäteriet, december 2025.
336
Ds 2026:2 | Överväganden |
Det är prioriterat och avgörande att Lantmäteriet säkerställer att utlämnandefunktionen nu fungerar enligt gällande regelverk samt att utbildning och resurser till den verksamheten förblir prioriterade områden, det vill säga som det kommit att bli efter den särskilda händelsen.
17.12 Lantmäteriets behandling av personuppgifter
Utredningens bedömning: Såväl känsliga som skyddade person- uppgifter kan förekomma i fastighetsbildningsakterna. Vi ifråga- sätter om det har varit nödvändigt för Lantmäteriet att tillhanda- hålla personuppgifter i den omfattning som har gjorts genom att samtliga arkivakter funnits öppet tillgängliga trots känsligt inne- håll. I likhet med den bedömning vi gjort beträffande säkerhets- skyddsklassificerade uppgifter i Arken borde Lantmäteriet långt tidigare och skyndsamt ha vidtagit åtgärder för att komma till rät- ta med problemen.
Lantmäteriet har rättslig grund för att behandla personuppgif- ter i form av arkivering i och tillhandahållande från Arken.
Arkenförordningen är tillämplig på Lantmäteriets tillhanda- hållande av personuppgifter och det är därför inte möjligt att välja bort den för att i stället tillämpa dataskyddslagen. Enligt förord- ningen är inte behandling av känsliga personuppgifter tillåten, vilket Lantmäteriet har att förhålla sig till. Det finns anledning att se över förordningen.
Det kan ifrågasättas om Lantmäteriet har säkerställt att samtliga principer för dataskydd följts, eftersom man avstått från att tillämpa gällande förordning, när det gäller att tillhandahålla personuppgifter till andra aktörer. Det gäller vid såväl direktåt- komst som manuellt utlämnande av akter.
Frågan om vad som ska ingå i en akt vid arkivering behöver Lantmäteriet analysera närmare. Vägledning och utbildning om aktbildning behövs också. Dessutom behövs en löpande kvali- tetssäkring av att personuppgifter inte arkiveras utöver det som är nödvändigt i verksamheten och som följer av arkivregleringen.
Lantmäteriet behöver säkerställa att myndighetens inriktning mot öppna digitala tjänster i förhållande till andra myndigheter har stöd i dataskyddslagstiftningen. I det ingår att genomföra
337
Överväganden | Ds 2026:2 |
lämpliga tekniska och organisatoriska åtgärder så att endast per- sonuppgifter som är nödvändiga för varje specifikt ändamål be- handlas.
Lantmäteriet behöver utveckla sina rutiner för uppföljning och kvalitetssäkring av myndighetens utbildningar och medarbe- tarnas utbildningsnivå inom området för dataskydd.
Arbetet med att göra konsekvensbedömningar enligt data- skyddslagstiftningen måste vara en av flera prioriterade åtgärder.
Lantmäteriet behöver i samråd med de kommunala lantmäte- rimyndigheterna förtydliga personuppgiftsansvaret för dessa myndigheters arkivakter i Arken.
Skälen för utredningens bedömning
Några av dataskyddsförordningens grundläggande principer
Myndigheters laglighet i att behandla personuppgifter är typiskt sett relaterad till att behandlingen ska vara nödvändig för att fullgöra en rättslig förpliktelse eller att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.772 Vidare får personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (det sistnämnda brukar benämnas finalitetsprincipen).773 Ändamålsbegränsningen innebär att en myndighet måste ha klart för sig redan vid insamlandet av personuppgifter varför de behövs, vilket i förlängningen också får betydelse för om de får behandlas på andra sätt (utlämnande av allmänna handlingar är dock tillåtet). En annan viktig princip är uppgiftsminimering. Den innebär att personuppgif- terna inte får vara för omfattande i förhållande till de ändamål för vilka de behandlas. Slutligen gäller även principerna om integritet och konfidentialitet. Dessa inbegriper skydd mot obehörig eller otillåten behandling.774
Bland annat ändamålet med behandlingen ska anges i artikel 30-registret. Enligt information från Integritetsskyddsmyndigheten måste ändamålen vara specifika och konkreta, inte otydliga. Det är
772Artikel 6.1 c respektive e i dataskyddsförordningen.
773Artikel 5.1 i dataskyddsförordningen.
774Artikel 5.1 i dataskyddsförordningen.
338
Ds 2026:2 | Överväganden |
till exempel inte tillräckligt att ange "kontroller" som ändamål för loggning och övervakning, också syftet med kontrollen ska anges.775
Vilken är den rättsliga grunden för behandlingen av personuppgifter i Arken?
Behandlingen av personuppgifter i Arken avser två situationer. Den ena är själva förekomsten av personuppgifter i arkivet. Den andra avser Lantmäteriets tillhandahållande av information från arkivet. Båda situationerna måste enligt dataskyddsförordningen ha rättslig grund.
Myndigheters behandling av personuppgifter styrs av den regle- ring som gäller för myndigheten och dess uppdrag. Det finns alltså en nära koppling mellan denna rättsliga grund och de personupp- gifter som en myndighet får behandla. Annorlunda uttryckt får en myndighet enligt dataskyddsförordningen inte behandla fler eller andra personuppgifter än vad som behövs för att myndigheten ska kunna utföra sin författningsreglerade verksamhet.776
Vad gäller den första situationen finns det enligt vår bedömning rättslig grund för förekomsten av personuppgifter i Arken. Det följer såväl av den reglering som gäller för fastighetsbildning som av bestämmelser om diarieföring och arkivering av allmänna hand- lingar. Även skyddade, känsliga och extra skyddsvärda personupp- gifter kan behöva tas in i ett fastighetsbildningsärende.
Utifrån kravet på att bevara allmänna handlingar och de begräns- ningar som kan finnas i fråga om gallring kan det vara ofrånkomligt att personuppgifter, även känsliga sådana, finns och behöver finnas i arkivakter. Akterna och utlämnanden ur dessa behöver därför vara anpassade till att där förekommer olika slags personuppgifter.
Anledningen till den omfattande förekomsten av personuppgif- ter i arkivakterna kan möjligen i viss mån bero på överskottsinfor- mation som skulle kunna ha gallrats före arkivering, exempelvis be- hörighetshandlingar. Att så skulle kunna vara fallet har nämnts vid våra intervjuer. Frågan om aktbildningen inför arkivläggning är en fråga som man inom Lantmäteriet kan behöva analysera närmare. I det bör ingå utbildning och vägledning inom myndigheten avseende
775Se https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/grundlaggande- principer/, hämtat den 2 december 2025.
776Jämför SOU 2024:63, s. 47–48.
339
Överväganden | Ds 2026:2 |
aktbildning och en löpande kvalitetssäkring av att inte uppgifter arkiveras utöver det som är nödvändigt i verksamheten och som följer av arkivregleringen. På samma sätt som vi har noterat i andra delar av verksamheten förutsätter detta välgrundade rättsliga ut- gångspunkter samt en välfungerande intern styrning och kontroll.
Den andra situationen vi tagit upp ovan avser tillhandahållandet av personuppgifter från Arken, som bland annat skett externt genom att de digitala tjänsterna legat öppna. I Arkenförordningen beskrivs vad som gäller för Lantmäteriets behandling av personuppgifter i Lantmäteriets databas för tillhandahållande av uppgifter i arkiverade handlingar. I 4 § i förordningen anges uttryckligen att personupp- gifter får behandlas i databasen när det är nödvändigt för att tillhandahålla information som behövs för vissa närmare angivna situationer. Det är alltså tydligt för oss att förordningen ger en rättslig grund för tillhandahållandet, vilket naturligtvis också varit regeringens avsikt.777 Det kan härvid noteras att det är tillåtet att tillhandahålla personnummer enligt Arkenförordningen för de ändamål som där anges, varför vi inte har fördjupat oss närmare i den behandlingen.778 Det är däremot, enligt förordningen, inte tillåtet att behandla känsliga personuppgifter, vilket vi återkommer till.
Under vårt arbete har det kommit fram att det finns en uppfattning inom Lantmäteriet om att förordningen inte är tillämplig på Arken, eftersom arkivet inte är en databas för tillhanda- hållande.779 Arken är i stället att se som ett arkiv. Den bedömningen bygger på att Arken som system, med det därtill kopplade tillhanda- hållandet, inte har kommit att byggas på ett sådant sätt som möjligen var avsikten från början och som förutsattes vid förordningens till- komst.780 Som vi förstår det innebär resonemanget att själva arkivet och tillhandahållandet ur arkivet borde varit separerade från var-
777Arkenförordningen ställer dock inte upp något sådant krav på tillhandahållande som bör medföra en rättlig förpliktelse för Lantmäteriet, jämför vad som anges om Arken i Lantmäteriets artikel 30-register som beskrivits i avsnitt 15.7.2. Den rättsliga grunden är därför snarare att se som en uppgift av allmänt intresse som har stöd i Arkenförordningen.
778Se 6 § Arkenförordningen.
779Enligt 1 § förordningen gäller förordningen Lantmäteriets databas för tillhandahållande av uppgifter i arkiverade handlingar (databasen).
780Jämför beskrivningen i avsnitt 11.5 om Arkenförordningens tillkomst där det bland annat beskrivs att såväl förslaget till förordning från 2003 som Justitiedepartementets promemoria från 2010 innehöll förslag med innebörden att personuppgifter i databasen skulle få behandlas automatiserat för två huvudändamål; dels för att bevara arkivhandlingar, dels för att tillhandahålla arkivhandlingar. Den gällande förordningens tillämpningsområde kom emellertid att begränsas till enbart tillhandahållandet av uppgifter, se 1 och 4 §§ i förordningen.
340
Ds 2026:2 | Överväganden |
andra. Förordningen hade då varit tillämplig enbart på den del som avser tillhandahållandet.
Som vi redan varit inne på står det klart, oavsett detta resone- mang, att regeringens avsikt med Arkenförordningen har varit att reglera Lantmäteriets tillhandahållande av personuppgifter i arkive- rade handlingar från Arken. Enligt vår mening är därför Arkenför- ordningen tillämplig på tillhandahållande av uppgifter i arkiverade handlingar från Arken. Det kan dock finnas anledning att förtydliga förordningen utifrån de synpunkter som Lantmäteriet har på ut- formningen av den. Lantmäteriet har också nyligen i ett remissvar pekat på behovet av en större översyn av förordningen.781
Är det omfattande tillhandahållandet av personuppgifter nödvändigt?
I internrevisionens granskningsrapport från 2023 om efterlevnad av dataskyddsförordningen rekommenderas myndigheten bland annat att upprätta en rutin för att säkerställa att personuppgifter används endast för de ändamål för vilka de samlats in. Det ska också upprättas en rutin för att säkerställa att gallringsrutiner och tidsfrister utefter informationshanteringsplanen efterlevs i praktiken så att person- uppgifter inte bevaras längre än vad som bedöms ändamålsenligt.782 Som tidigare beskrivits har det också kommit fram uppgifter från myndighetens anställda om att man inom myndigheten inte har skött gallring av uppgifter i den utsträckning som skulle vara möjligt och att man därmed alltså inte har uppgiftsminimerat.
Sett till det krav på nödvändighet som finns inbyggt i bedöm- ningen av lagligheten,783 samt de andra nyss beskrivna principerna, finns skäl att ifrågasätta om det har varit nödvändigt för Lant- mäteriet att dela med sig av personuppgifter i den omfattning som har gjorts. Det gäller oavsett om det varit fråga om känsliga person- uppgifter eller inte. Myndigheten har hållit samtliga arkivakter öppna för de som har haft tillgång till tjänsterna, utan någon be-
781 Yttrande över slutbetänkande Ökat informationsutbyte mellan myndigheter – några anslutande frågor (SOU 2025:45) den 15 december 2025, LM2025/153520. I nämnda betänkande föreslås en ny bestämmelse i Arkenförordningen som anger att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt. Det kan här noteras att Lantmäteriet inte i remissvaret uppger att Arkenförordningen inte är tillämplig.
782 Internrevisionsrapporten Granskning efterlevnad av dataskyddsförordningen (GDPR), den 15 juni 2023, LM2023/030425. Denna rapport finns beskriven i kapitel 15.
783Jämför artikel 6.1 c respektive e i dataskyddsförordningen.
341
Överväganden | Ds 2026:2 |
gränsning till vilka akter som egentligen har efterfrågats eller be- hövts.
Som tidigare nämnts har Lantmäteriet i sitt artikel 30-register i fråga om tillhandahållandet i AktDirekt som ändamål uppgett att det handlar om att tillgängliggöra akter. Skälen för detta eller omfatt- ningen av tillhandahållandet preciseras dock inte. Vid kontroll hos några kommunala lantmäterimyndigheter har det visat sig att inte heller de i sina artikel 30-register har preciserat utbytet av person- uppgifter. Sammanfattningsvis behöver Lantmäteriet säkerställa att det omfattande tillhandahållandet av personuppgifter i Arken har stöd i dataskyddslagstiftningen. I detta ingår att genomföra lämpliga tekniska och organisatoriska åtgärder så att endast personuppgifter som är nödvändiga för varje specifikt ändamål behandlas.784
Förekomsten av skyddade och känsliga personuppgifter i Arken
Problematiken i denna del är i grunden densamma som när det gäller frågan om säkerhetsskyddsklassificerade uppgifter funnits öppet tillgängliga i Arken. Arkivakterna kan innehålla såväl känsliga som skyddade personuppgifter. Skyddsvärdet av personuppgifterna kan, på samma sätt som gäller säkerhetskänsliga uppgifter, förändras över tid. Det är allvarligt att sådana uppgifter har kunnat spridas genom Lantmäteriets tillhandahållande. Vi konstaterar också att frågan om det kan finnas känsliga personuppgifter i Arken inte är ny för Lantmäteriet. Som exempel kan nämnas att en diskussion om detta fördes redan i en promemoria från 2003. I denna ansåg myndigheten att lantmäterihandlingar inte torde innehålla känsliga person- uppgifter och att personnummer endast fanns i begränsad omfattning.785 Först 2010 konstaterades att det inte kunde uteslutas att vissa handlingar från enskilda personer innehöll känsliga per- sonuppgifter.786 Trots det fortsatte tillhandahållandet av arkivakter genom digitala tjänster.
784Se artikel 25 i dataskyddsförordningen och internrevisionsrapporten om efterlevnad av dataskyddsförordningen.
785Promemorian Författningsreglering rörande tillhandahållande m.m. av fastighets- information ur digitala arkiv, Lantmäteriet och Domstolsverket den 7 oktober 2003, 500-2003/472, se mer om den i kapitel 11.
786Jämför promemorian Personuppgifter i Lantmäteriets databas för arkiverade handlingar, Justitiedepartementet den 31 maj 2010, s. 6–7.
342
Ds 2026:2 | Överväganden |
Det står numera klart för Lantmäteriet att det, som vi redan konstaterat, är relativt vanligt förekommande med behandling av känsliga personuppgifter och personnummer i Arken, samt att det i viss utsträckning där även finns skyddade personuppgifter enligt offentlighets- och sekretesslagen.
Det är, som Lantmäteriet har konstaterat, svårt att tillämpa Arkenförordningen på myndighetens tillhandahållande. Förord- ningen tillåter inte behandling av känsliga personuppgifter. Sådana personuppgifter finns emellertid i databasen. De har tidigare till- handahållits från databasen och enligt uppgift är Lantmäteriets avsikt att fortsätta att på samma sätt tillhandahålla akter oavsett innehåll.
Vår bedömning är att det inte är möjligt att bortse från den gällande förordningen och i stället tillämpa dataskyddslagen. Bedömningen får betydelse för Lantmäteriets fortsatta arbete mot att öppna de digitala tjänsterna. De kommunala lantmäterimyn- digheterna behöver vara delaktiga i arbetet med hur ett eventuellt framtida gemensamt arkiv och en tillhandahållandetjänst kan utformas utifrån vilka personuppgifter som får finnas i de akter som ska tillhandahållas. I den här frågan är det viktigt med samsyn myndigheterna emellan.
För känsliga personuppgifter behöver det ställas mycket höga krav på skyddet för den personliga integriteten. Risken för de enskilda ökar och därmed har den utlämnande myndigheten ett än större ansvar för att säkerställa att åtkomsten begränsas. De krav som ställs i dataskyddsförordningen måste alltid vara uppfyllda vid behandling av känsliga personuppgifter.787 En åtkomst till samtliga akter för samtliga myndigheter av ett visst slag får i det här samman- hanget betraktas som allt för omfattande. Det kan exempelvis behövas en begränsning av vilka som får behörighet till vilka personuppgifter. Det blir problematiskt när det inte är möjligt ens för Lantmäteriet att söka fram personuppgifterna i akterna. En tek- nisk utveckling framstår som nödvändig, varvid det kan övervägas att ta AI-verktyg till hjälp för att söka information.
787Se artikel 9, jämför även 3 kap. 3 § dataskyddslagen.
343
Överväganden | Ds 2026:2 |
Personuppgiftsansvaret för innehållet i Arken
Lantmäteriets inställning till personuppgiftsansvaret för innehållet i arkivakter i Arken är splittrad. Att Lantmäteriet har personuppgifts- ansvar för myndighetens akter är inte ifrågasatt. Det i sig utgör skäl för myndigheten att ha en god uppfattning om förekomsten av per- sonuppgifter i akterna och den rättsliga grunden för att dela dessa. Däremot uppges det från Lantmäteriet vara oklart om myndigheten har personuppgiftsansvar även för andra akter i Arken än de egna.788
Av Arkenförordningen framgår att Lantmäteriet är personupp- giftsansvarig för den behandling av personuppgifter som sker i data- basen. Lantmäteriet har emellertid uppgett att det saknas författ- ningsstöd för myndigheten att ta över personuppgiftsansvaret för personuppgifter i kommunala lantmäterimyndigheters arkivhand- lingar. Den slutsatsen drogs i samband med att myndigheten kom fram till att Arkenförordningen inte skulle vara tillämplig på Arken.789 Samtidigt har myndigheten en mängd så kallade Arken- avtal med kommunala lantmäterimyndigheter, som man i övrigt age- rat efter. I avtalen anges att Lantmäteriet är personuppgiftsansvarig för personuppgifterna i databasen Arken. I avtalen hänvisas i övrigt till Arkenförordningen och avsikten kan således ha varit att person- uppgiftsansvaret ska ta sikte på det som avses med förordningen, det vill säga tillhandahållandet.
Att Lantmäteriet är personuppgiftsansvarig för tillhandahållan- det från Arken har beskrivits i myndighetens artikel 30-register (av- seende AktDirekt). Även i den delen har Lantmäteriet uppgett att ansvaret bara avser de egna akterna. Vi har uppfattat att Lantmäteriet ser ett behov av ett klargörande av hur långt personuppgiftsanvaret sträcker sig och hur de kommunala lantmäterimyndigheterna ser på saken.790
Den här frågan behöver processas av Lantmäteriet i samråd med de kommunala lantmäterimyndigheterna. Det gäller inte minst efter- som myndigheten i avtalen med de kommunala lantmäterimyndig- heterna, som uppges avse både arkivering och tillhandahållande av
788Vi har emellertid inte fått en motsvarande bild av de kommunala lantmäterimyndigheterna
– att det skulle råda oklarheter gällande det faktum att Lantmäteriet har personuppgiftsansvar för akterna.
789Promemorian Nationellt Digitalt lantmäteriarkiv, den 16 september 2024, LM2024/052370, s. 23–29, se mer om den i kapitel 11 samt se mer om personuppgiftsanvaret i förhållande till kommunala lantmäterimyndigheter i kapitel 18.
790Information från Lantmäteriet, november 2025.
344
Ds 2026:2 | Överväganden |
förrättningsakter, har uppgett sig vara personuppgiftsansvarig för Arken. Om det är fråga om en personuppgiftsbiträdessituation behöver det klargöras och personuppgiftsbiträdesavtal upprättas.
Lantmäteriet behöver få grepp om vilka personuppgifter som förekommer inom myndigheten
Som tidigare redovisats är informationsklassning i enlighet med gäl- lande föreskrifter ett viktigt verktyg för att säkerställa att informa- tionssäkerhetsarbetet är systematiskt och riskbaserat. Som nämnts pågår arbetet med informationsklassning hos Lantmäteriet. Efter att informationen klassats ska man identifiera, analysera och värdera ris- kerna med den i en riskbedömning.791 Detta gäller även, eller kanske särskilt, inom området personuppgiftsbehandling och dataskydd. En hög risk för de registrerade medför att det ytterligare steget att göra en konsekvensbedömning enligt dataskyddsförordningen behöver tas.
Att samtliga informationsklassningar ännu inte genomförts får ses som en brist även ur perspektivet personuppgiftsbehandlingar.
Lantmäteriets konsekvensbedömningar enligt dataskyddsförordningen
En konsekvensbedömning gällande dataskydd ska göras om en typ av behandling, särskilt med användning av ny teknik och med be- aktande av behandlingens art, omfattning, sammanhang och ända- mål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter (se artikel 35 dataskyddsförordningen).
En konsekvensbedömning är enligt Integritetsskyddsmyndighe- ten en pågående och dokumenterad process som hjälper personupp- giftsansvariga att följa dataskyddsförordningen. Processen ger ett stöd i att bedöma risker med en planerad behandling och att avgöra om riskerna är proportionerliga i förhållande till syftet med behand- lingen.792 Personuppgiftsbehandlingar med en sådan hög risk som avses i artikel 35 dataskyddsförordningen kan identifieras redan i
791Se mer om Lantmäteriets informationsklassning i avsnitt 9.4.
792Se Integritetsskyddsmyndighetens webbplats, https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt- gdpr/konsekvensbedomning/, hämtat den 7 november 2025. Se även artikel 37.7 i data- skyddsförordningen.
345
Överväganden | Ds 2026:2 |
samband med informationsklassningens riskbedömning när det gäller integritet.793 Syftet med att därefter göra en konsekvensbe- dömning är att skydda de registrerades fri- och rättigheter.
Enligt uppgifter från Lantmäteriet är det ett problem att konse- kvensutredningar inom myndigheten görs sent och ofta när system redan är i drift. Risker har också vid flera tillfällen undervärderats.
I en lägesrapport i juni 2025 uppgav dataskyddssamordnarna att det fortfarande finns utmaningar i arbetet. Exempelvis görs olika integritetsriskbedömningar. Arbetet med konsekvensbedömningar uppges vara tidskrävande med många inblandade, vilket kräver tid, resurser och engagemang från verksamheten.794 Mot bakgrund av det underlag som vi har tagit del av är bedömningen att arbetet med att göra konsekvensbedömningar enligt dataskyddslagstiftningen måste fortgå. Lantmäteriet behöver planera för att kunna hantera det som en av flera prioriterade åtgärder.
I det här sammanhanget kan också nämnas det krav som finns i artikel 36 dataskyddsförordningen på förhandssamråd med Integri- tetsskyddsmyndigheten. Ett sådant ska ske om en konsekvensbe- dömning enligt artikel 35 visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken. På det sättet kan Integritetsskyddsmyndigheten in- volveras i processen och bidra med synpunkter inför ett eventuellt återöppnande av direktåtkomst genom digitala tjänster.
Utbildningsnivån inom dataskydd har ökat
Lantmäteriets utbildningar inom området har beskrivits i avsnitt
15.3.5.Enligt en lägesrapport i juni 2025 har 77 procent av medarbe- tarna godkänts när det gäller den obligatoriska GDPR-utbildningen om 15 minuter. Endast 20 procent var godkända 2022. Dataskydds- samordnarna anser emellertid att samtliga medarbetare ska vara god- kända. Ytterst uppges det vara cheferna för verksamhetsområdena
793Enligt Lantmäteriets Riktlinje för hantering av personuppgifter från den 16 december 2025, LM2025/121999, behöver den aktuella behandlingens risker analyseras för att kunna avgöra om en konsekvensbedömning ska utföras. Riskbedömningen inför en konsekvensbedömning kallas på Lantmäteriet för integritetsriskbedömning och den görs normalt i samband med infor- mationsklassningar. Om bedömningen blir att behandlingen sannolikt inte leder till "en hög risk" ska en motivering av varför konsekvensbedömning inte utförs dokumenteras i informa- tionsklassningen.
794Bildspelet Rapportering dataskyddsarbete LMLG, den 10 juni 2025 med stödanteckningar.
346
Ds 2026:2 | Överväganden |
som ansvarar för att medarbetarna utbildas, vilket kan följas upp genom Lärplattformen.795
Konstateras kan att Lantmäteriet under senare år synes ha upp- nått en betydligt högre utbildningsnivå i fråga om dataskydd. Detta goda arbete behöver fortsätta. Ett naturligt och önskvärt mål är att alla medarbetare ska ha gått en obligatorisk utbildning. Ansvaret för att det blir så ligger på respektive chef. Varje chef ansvarar också för att medarbetarna på individnivå inte bara har genomfört utbild- ningen. Medarbetarna ska också ha tagit till sig den kompetens som utbildningen syftar till. Det kräver uppföljning. Och det är bara efter kvalitetssäkring av rätt kompetens som ett eget ansvar inom exempelvis området för dataskydd kan delegeras till en medarbetare. Rutiner för uppföljning och kvalitetssäkring är något som Lantmä- teriet behöver utveckla.
Övrigt om Lantmäteriets arbete med dataskydd
Som framgått av avsnitt 15.3.1 fanns det före 2022 inte någon över- gripande styrning av dataskyddsprocessen, inga dedikerade verk- samhetsresurser i informationssäkerhetsarbetet och inget myndig- hetsövergripande och systematiskt samarbete inom dataskydds- och informationssäkerhetsområdet. Det är positivt att dessa delar nu- mera finns på plats.
Lantmäteriets dataskyddsombud arbetar i enlighet med det som anges i dataskyddsförordningen med information, rådgivning och granskning samt kontakter med Integritetsskyddsmyndigheten.796 I delegationsordningen finns en samrådsplikt med dataskyddsombu- det. Denne uppdaterar också myndighetens medarbetare om data- skyddsfrågor genom en egen blogg.
Dataskyddsombudet svarar för specifik kunskap inom området men har under de tidiga åren sedan dataskyddsförordningens till- komst varit för ensam om detta arbete i en så stor organisation som Lantmäteriet. Dataskyddsombudet har härtill per definition en fri- stående roll som inte får påverkas.797 Av dessa anledningar, och uti- från den typ av interna granskningar som ett dataskyddsombud gör, kan konstateras att medarbetarna inte vänt sig till dataskyddsombu-
795Bildspelet Rapportering dataskyddsarbete LMLG, den 10 juni 2025.
796Se artikel 39 i dataskyddsförordningen.
797Se artikel 38 i dataskyddsförordningen.
347
Överväganden | Ds 2026:2 |
det i tillräcklig utsträckning. Det framstår därför som ett väl genom- tänkt och nödvändigt tillskott att verksamheten har utökats med dataskyddssamordnare och koordinatorer.
Myndigheten har gjort ett gediget arbete med en utökad data- skyddsorganisation sedan 2022 som synes fungera väl i förhållande till de resurser som tillförts. Dataskyddssamordnarna har utfört ett grundligt och till synes systematiskt arbete under åren. Arbetet har varit stödjande och lösningsorienterat. Engagemanget för data- skyddsfrågor verkar vara på uppåtgående, vilket myndigheten för- modligen kan tacka samordnarna och koordinatorerna ute på verk- samhetsområdena för.
Konstateras kan samtidigt att det fortfarande, under 2025, vilket kommit fram genom olika underlag och samtal, verkar finnas ett visst stuprörstänk mellan såväl verksamhetsområden som enheter även i fråga om hur man ska arbeta med dataskydd. Det finns enligt uppgift fortfarande många som har svårt att lyfta blicken och se mer än sin egen verksamhet.
Som vi ser det återstår det en hel del arbete inom området för dataskydd. Den organisation som myndigheten nu har på plats kan möjligtvis vara tillräcklig för framtida dataskyddsarbete. Men givet de frågor som ännu finns att utreda, exempelvis i fråga om tillhanda- hållande av personuppgifter, kan det behövas ytterligare punktinsat- ser utöver det löpande och dagliga arbetet.
Det har också kommit fram att dataskyddssamordnarna upp- märksammar eller får till sig en mängd andra frågor utöver data- skydd. Att en verksamhet på det sättet kommer i kontakt med andra frågor utanför sitt expertområde torde inte vara ovanligt. Lantmäte- riet bör verka för att ge dataskyddssamordnarna och andra medar- betare enkla vägar för att adressera dessa frågor så att de tas om hand på ett adekvat sätt och vid behov slussas vidare.
Konsekvensbedömning vid direktåtkomst till arkivakter
Vid en eventuell kommande direktåtkomst (det vill säga ett återöpp- nande av digitala tjänster) av arkivakter i Arken för kommunala lant- mäterimyndigheter, mark- och miljödomstolar samt andra myndig- heter som har behov av det i förvaltning och rättskipning kommer det, som tidigare, att vara fråga om personuppgiftsbehandling.
348
Ds 2026:2 | Överväganden |
Som beskrivits i det föregående är den rättsliga grunden för till- handahållandet ifrågasatt av Lantmäteriet. Det är också en fråga i sig om det finns rättsligt stöd enligt lagen om offentlighet och sekretess för att lämna ut också sekretesskyddade personuppgifter till andra myndigheter och vad som gäller i fråga om risken att överföra säker- hetsskyddsklassificerad information. Även med beaktande av de frå- gorna är det enligt vår bedömning nödvändigt med en förnyad kon- sekvensbedömning av den typen av behandling, det vill säga att dela personuppgifter, eventuellt även skyddade sådana, mellan myndig- heter.
Vi har i samband med vår granskning tagit del av ett utkast till konsekvensbedömning av ett kommande öppnande av Arken i för- hållande till nyss nämnda aktörer, för ändamål som närmare precise- ras i bedömningen.798
Personuppgifter uppges i utkastet förekomma i stor omfattning och även känsliga sådana. Personuppgiftsansvarig för tillhandahål- landet uppges vara Lantmäteriet enbart, något gemensamt person- uppgiftsansvar anges inte finnas.
Den tillämpliga rättsliga grunden för personuppgiftsbehand- lingen – det vill säga att tillhandahålla uppgifter till andra myndighe- ter för vissa ändamål – anges i utkastet vara 3, 4 och 5 §§ i Lantmä- teriets instruktion (dessa bestämmelser har redogjorts för tidigare och de handlar i huvudsak om Lantmäteriets ansvar för tillhandahål- lande av fastighetsinformation) och regleringsbreven för myndighe- ten.
I fråga om nödvändigheten av behandlingen har beaktats de alter- nativ som finns till direktåtkomst.
Det konstateras att en fråga/svarstjänst vore ett bra alternativ ur de registrerades perspektiv, eftersom respektive myndighet då inte skulle få tillgång till någon överskottsinformation.799 Det skulle emellertid inte vara möjligt att skilja ut efterfrågad information,
798Utkast till konsekvensbedömning avseende dataskydd, Personuppgifter i arkivhandlingar i Arken (odaterat, men med uppdateringar från januari 2025), pågående ärende LM2024/042838.
799En fråga/svarstjänst är ett automatiserat system hos den utlämnande myndigheten som den myndigheten själv förfogar över och till vilket en myndighet kan skicka en begäran elektro- niskt. Det ska på förhand vara bestämt vilka typer av frågor som ska kunna ställas till tjänsten och vilka uppgifter som kan komma att lämnas ut till följd av en sådan begäran.
Uppgifterna ska dessutom ha avgränsats så att det går att genomföra en automatiserad prövning. Se Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form, eSam (eSamverkansprogrammet) den 7 juli 2025.
349
Överväganden | Ds 2026:2 |
eftersom den är ostrukturerad och det saknas teknisk möjlighet att använda sig av personliga behörigheter.
Manuell hantering bedöms möjlig och som ett bra alternativ för de registrerade men på sikt mycket ineffektiv och kostsam utifrån de stora volymerna och den fördröjning som skulle uppstå.
En geografisk behörighetsstyrning, exempelvis per kommunal lantmäterimyndighet, anges också som ett bra alternativ för de re- gistrerade. En sådan lösning skulle dock vara mycket kostsam, efter- som den tekniska möjligheten inte finns i dag.
Vid en sammanvägd bedömning bedöms myndigheternas behov av att behandla uppgifterna genom direktåtkomst som stort och be- handlingen nödvändig med hänsyn till det viktiga allmänintresset.
I en bilaga till konsekvensbedömningen har Lantmäteriet gjort en särskild bedömning av behandlingen av känsliga personuppgifter när det gäller att tillhandahålla arkivakter till andra myndigheter. I be- dömningen redogörs för behovet av arkivakterna hos kommuner och domstolar. Slutsatsen dras att ett digitalt tillhandahållande av innehållet i arkivakterna sammantaget bör anses utgöra ett starkt och viktigt allmänt intresse.800
Avseende kriteriet nödvändighet801 av Lantmäteriets behandling görs samma bedömning som i konsekvensanalysen, det vill säga att direktåtkomst är det bästa alternativet.
Det konstateras vidare att det finns känsliga uppgifter i arkivakterna men att de i de flesta fall svårligen kan anses vara ”mycket integritetskänsliga”. Det anges att uppgifterna finns i all- männa handlingar hos Lantmäteriet och att den spridning de kan få är att de kommer att ingå i allmänna handlingar hos ytterligare ett antal mottagande myndigheter. Dataskyddsombudet har i sina syn- punkter på förslaget till konsekvensbedömning802 av personupp- giftsbehandlingar i Arken lämnat synpunkter och rekommenda- tioner. Bland dessa kan nämnas att dataskyddsombudet anser att Arkenförordningen är tillämplig och att den rättsliga grunden behö- ver förtydligas. Det gäller även den rättsliga grunden för direktåt- komst. Enligt dataskyddsombudet saknas vidare i nödvändighetsbe- dömningen fördelar och nackdelar med huvudalternativet direktåt- komst. Som exempel anges att vid en fråga/svartjänst skulle inte hela
800 Bilaga 1 till konsekvensbedömning, Känsliga personuppgifter, den 29 augusti 2024, pågående ärende LM2024/042838.
801Jämför artikel 9.2 g i dataskyddsförordningen.
802Avsåg en version som tillhandahölls dataskyddsombudet den 2 september 2024.
350
Ds 2026:2 | Överväganden |
Arken bli tillgänglig för allmänheten, utan bara de handlingar som myndigheten själv valt att hämta ut. Det har enligt dataskyddsom- budet rimligtvis en väsentlig inverkan på de registrerades friheter och rättigheter.803
Konstateras kan att bedömningen i bilagan, det vill säga att ett digitalt tillhandahållande av innehållet i arkivakterna sammantaget bör anses utgöra ett starkt och viktigt allmänt intresse, utgår från dataskyddslagens bestämmelser om behandling av känsliga person- uppgifter. Dataskyddslagen är dock tillämplig endast om det inte finns avvikande bestämmelser i särskilda registerförfattningar.804 Som vi redan kommit fram till är Arkenförordningen tillämplig på tillhandahållandet. Det innebär att man inte kan bortse från den för- ordningens förbud mot behandling av känsliga personuppgifter.
Noteras i sammanhanget kan slutligen uttalandet i utkastet till konsekvensbedömning om att känsliga uppgifter i arkivakterna svår- ligen kan anses som mycket integritetskänsliga. Någon sådan dis- tinktion finns inte i dataskyddslagstiftningen, det vill säga man vär- derar inte känsliga personuppgifter på det sättet. Det har Lantmäte- riet att förhålla sig till.
17.13Ledningen – roller och ansvar av betydelse för säkerhetsskydd och informationssäkerhet
17.13.1 Inledning
Lantmäteriets ledningsstruktur utgår från styrelseformen där styrel- sen har det yttersta ansvaret för myndighetens ledning och styrning. I det innefattas ansvaret för myndighetens säkerhetsskydd, inklusive informationssäkerheten. Inom ramen för den interna styrningen och kontrollen lägger styrelsen fast den övergripande inriktningen för verksamheten, i regel i samspel med generaldirektören som verksam- hetsansvarig myndighetschef. I sammanhanget bör – för Lantmäte- riets del – nämnas även internrevisionen som styrelsens organ.
Inom Lantmäteriet har generaldirektören organiserat myndighe- tens ledning i en ledningsgrupp där bland andra myndighetens verk- samhetsområdeschefer ingått.
803Dataskyddsombudets synpunkter på förslag till konsekvensbedömning, den 3 september 2024 i pågående ärende LM2024/042838.
804Jämför 1 kap. 6 § dataskyddslagen.
351
Överväganden | Ds 2026:2 |
I en välfungerande organisation och verksamhet är samspel ett nyckelord. Och det bygger på väl genomarbetade strukturer på sys- temnivå med tydlig fördelning av det organisatoriska ansvaret i verk- samheten. Det bygger också på tydlighet när det gäller ansvar och beslutsbefogenheter samt beslutsförmåga. Som redovisats i tidigare avsnitt har det inom Lantmäteriet funnits stora utmaningar i att få till det som innefattas i en organisations interna styrning och kont- roll. Problemen, som har varit generella, har fått mycket allvarliga återverkningar på informationssäkerheten. I det följande berörs de olika ledningsorganen eller det man kan kalla chefsleden. Dessutom berörs internrevisionen och därefter chefs- och ledarskapet inom Lantmäteriet.
17.13.2 Styrelsen
Utredningens bedömning: Säkerhetsskydds- och informations- säkerhetsfrågor borde ha tagits upp mer ingående vid styrelsens sammanträden. När det gäller förekomsten av säkerhetsskydds- klassificerade uppgifter i Arken och bristerna i rutinerna i sam- band med utlämnande av allmänna handlingar borde styrelsen, som haft stöd av internrevisionen, ha agerat tidigare, även om generaldirektören också på ett tydligare sätt borde ha informerat styrelsen.
Styrelsearbetet behöver utvecklas för att styrelsen ska kunna ta ansvar för Lantmäteriets styrning och kontroll. I det innefattas att utveckla hur styrelsen följer upp de beslut som fattats.
Säkerhetsprövning av samtliga styrelseledamöter borde ha gjorts tidigare, men Lantmäteriet kan inte lastas för att så inte skett.
Skälen för utredningens bedömning
Uppgiftsfördelningen mellan styrelsen och generaldirektören
Som redogjorts för i avsnitt 16.7.2 är det viktigt att uppgiftsfördel- ningen mellan styrelsen och myndighetschefen regleras tydligt. Det gäller bland annat för att arbetsfördelningen mellan ordföranden och myndighetschefen ska löpa smidigt, och för att undvika dubbelarbe-
352
Ds 2026:2 | Överväganden |
te. Regleringen tas i väsentliga delar in i myndighetens arbetsord- ning. Utöver i myndighetsförordningen angivna uppgifter som lig- ger på styrelsen, ska styrelsen enligt Lantmäteriets arbetsordning an- svara för och besluta om bland annat:
–förhållanden av större strategisk eller ekonomisk betydelse; vid beslut om större investeringar eller strategiskt viktiga avtal
–sådant som generaldirektören hänskjuter till styrelsen för beslut805
Myndighetschefen i en styrelsemyndighet ansvarar enligt 13 § myn- dighetsförordningen inför styrelsen och ska sköta den löpande verk- samheten enligt de direktiv och riktlinjer som styrelsen beslutar. Myndighetschefen ska hålla styrelsen informerad om verksamheten, förse styrelsen med underlag för beslut och verkställa styrelsens be- slut. I Lantmäteriets arbetsordning har myndigheten angett att gene- raldirektören ska samråda med styrelsen innan beslut fattas om bland annat vissa angivna organisatoriska förändringar och lön för internrevisionen.806
Internrevisionen har i samband med vårt granskningsarbete upp- gett807 att ansvarsfördelningen mellan styrelsen och generaldirektö- ren har varit en öppen fråga sedan den granskning av styrande doku- ment och interna beslut som gjordes 2018–2019. Styrelsen har till viss del beslutat om förändringar i arbetsordningen, men har en öp- pen fråga kopplad till exempelvis beloppsgränser för beslut av sty- relsen avseende utvecklingsprojekt, vilket uppmärksammades av in- ternrevisionen i granskningarna Ärendeberedning och beslutsunder- lag och Prioritering av utvecklingsportföljen.808 Någon granskning eller rekommendation hänförlig till frågan om ansvarsfördelningen mellan styrelsen och generaldirektören avseende säkerhetsskydd inklusive informationssäkerhet har inte genomförts av internrevisio- nen.
I sammanhanget finns anledning att beröra samspelet mellan sty- relsen och verksamheten. Som redan nämnts har det förekommit att det som styrelsen fattat beslut om ändrats av verksamheten, till exempel när det gäller prioritering och tidplan, utan att styrelsen
8052.1.2 Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340.
8062.2.3 arbetsordningen.
807E-postmeddelande till utredningen den 5 juni 2025 med svar på frågor, punkt A5.
808Se avsnitt 6.3.
353
Överväganden | Ds 2026:2 |
känt till det. Även om man skulle kunna förutsätta att styrelsens be- slut följs kan konstateras att den modell för uppföljning som styrel- sen tillämpat har varit otillräcklig. Detta är ett utvecklingsområde och i den delen kan internrevisionen användas på ett mer utvecklat sätt, inte minst med tanke på att det förekommer att styrelsens beslut grundas på underlag som internrevisionen tagit fram.
Styrelsens fokus har inte legat på informationssäkerhet
Av de protokoll från styrelsens sammanträden som vi har tagit del av – från och med 2017 fram till den särskilda händelsen – framgår att frågor om säkerhetsskydd och informationssäkerhet varit på agendan vid styrelsemöten några gånger varje år. Av noteringarna i mötesprotokollen framgår emellertid inte närmare vad som vid varje tillfälle avhandlats.
Styrelseledamöterna har vid intervjuer gett uttryck för att frågor om säkerhetsskydd knappast berörts över huvud taget. Exempelvis har en ledamot uppgett att upplevelsen när det gäller arbetet med informationssäkerhet var att detta inte var en aktuell fråga alls under de första åren, utan kom först mer på slutet i samband med föränd- ringar i bland annat världsläget. Fokus i styrelsen uppges i stället i huvudsak ha legat på handläggningstiderna inom fastighetsbild- ningen, ekonomi samt intern styrning och kontroll. En ledamot har uttryckt det som att extremt mycket i styrelsen har handlat om eko- nomi i balans, främst den anslagsfinansierade delen, och struktur i fastighetsbildningens organisation. Även med beaktande av att alla diskussioner av olika skäl inte redovisas i styrelsens protokoll och att det funnits andra viktiga frågor att hantera, får det ses som en stor brist att säkerhetsskyddet och informationssäkerheten i Lant- mäteriets verksamhet inte mer ingående behandlats av styrelsen.
Vilka informationssäkerhetsfrågor har tagits upp i styrelsen före den särskilda händelsen?
Vid ett möte i augusti 2017 konstaterade styrelsen, under punkten ”Lantmäteriets IT-system och outsourcing” att myndigheten har ”höga krav på säkerhet och kontinuitet av informationen med en uppbyggd organisation för IT-system och säkerhetsfrågor”. Styrel-
354
Ds 2026:2 | Överväganden |
sen angav vidare att man kommer att fortsätta att följa säkerhetsfrå- gorna.809
Annat som tagits upp i styrelsen före den särskilda händelsen är exempelvis den nya säkerhetsorganisationen kopplat till den då nya säkerhetsskyddslagen, världsläget, uppdraget och ansvaret,810 säker- hetsprövning av styrelseledamöter som vid tillfället inte var klar,811 myndighetens svar på internrevisionens rapport om säkerhetsskyd- dad upphandling,812 säkerhetsskyddschefens lägesbild av pågående arbete inom säkerhets- och säkerhetsskyddsområdet och pågående arbete med säkerhetsskyddsanalyser och säkerhetsskydds- plan,813samt myndighetens arbete med säkerhetsrelaterade frågor.814
Borde styrelsen agerat tidigare beträffande det som ledde fram till den särskilda händelsen?
Som vi har konstaterat har frågan om förekomsten av säkerhets- skyddsklassificerade uppgifter i Arken varit uppe inom Lantmäteriet i olika sammanhang under en längre tid, i vart fall sedan 2018. Mot den bakgrunden borde skyndsamma åtgärder ha vidtagits tidigare. Frågan är också om styrelsen borde ha agerat tidigare i frågan. Vi återkommer i det följande till generaldirektörens ansvar att infor- mera styrelsen.
I protokollet från styrelsemötet den 22 maj 2024, då styrelsen fattade beslut om stängning av all extern tillgång till Arken, med omedelbar verkan, anges att uppgifterna om bristerna i rutinerna kring sekretessprövning i samband med utlämnande av allmänna handlingar och risken för förekomsten av säkerhetsskyddsklassifice- rade uppgifter i Arken var okända för styrelsen.815 Samma uppgift har förts fram vid våra intervjuer med olika styrelseledamöter. En ledamot är mycket kritisk till att de inte fick information om det som föranledde den särskilda händelsen och menar att det är att ställa
809Protokoll den 15 augusti 2017, punkt 9.
810Protokoll den 19 februari 2019, punkt 14.
811Protokoll den 2 oktober 2019, punkt 10.
812Protokoll den 15 april 2020, punkt 14.
813Protokoll den 27 oktober 2020, punkt 20. Här kan noteras att det var fråga om ett möte via Skype, vilket innebär att några närmare detaljer om arbetet troligen inte kan ha lämnats, vår anmärkning.
814Protokoll den 14 juni 2022, punkt 12, den 8 september 2022, punkt 18, den 14 december 2022, punkt 14 och, den 25 oktober 2023, punkt 11.
815Styrelsens beslut formulerades senare om vid styrelsemöte den 29 maj 2024 men inte i den nu angivna delen. Protokoll den 29 maj 2024, punkt 5.
355
Överväganden | Ds 2026:2 |
orimligt höga krav att kräva att styrelsen skulle ställa frågor om just det här, som skulle kunna ha lett dem på rätt väg. Samma ledamot har uppgett att de fick information om att Säkerhetspolisens tillsyn pågick men inte vad den handlade om. Det är enligt ledamoten inte något anmärkningsvärt i sig att Säkerhetspolisen utför tillsyn. Dis- kussionen om att det fanns olika starka åsikter mellan verksamhets- områden har enligt en annan ledamot varit uppe i styrelsen, men då som en kulturfråga som inte specifikt handlade om den information som fanns i IT-systemen. Uppgiften om att det fanns en risk att information låg öppen kom enligt ledamoten till styrelsen först 2–3 dagar före stängningen i maj 2024. Enligt en annan ledamot efterfrå- gade styrelsen information om säkerhetsskyddsanalys, säkerhets- skyddsplan och risk- och sårbarhetsbedömningar men sådant kom att presenteras först i slutet av den dåvarande säkerhetsskyddsche- fens tjänstgöring. De började fråga om det cirka två år dessförinnan, omkring 2022. Ledamoten kan inte säga att styrelsen var välinforme- rad om säkerhetsarbetet.
Dåvarande säkerhetsskyddschefen har uppgett att säkerhets- skyddsanalysen 2020 inte delgetts styrelsen. I vart fall har han inte haft någon föredragning om den i styrelsen. Vid en annan av våra intervjuer har sagts att en avgörande brist varit passivitet i styrelsen, att de förlitat sig på att myndigheten försett dem med information. Upplevelsen var att styrelsen inte funderade närmare över vad man hade behövt veta och man har inte heller krävt att få veta. En av de intervjuade har ansett att styrelsen borde ha varit mer drivande, om man efterhand funderar på hur det var. En åsikt som förts fram är att säkerhetsskyddsanalyser borde ha föredragits för styrelsen, i vart fall som ett informationsärende. Upplevelsen var att det som presenterades i styrelsen inte hade sådan kvalité att man kunde se de problem som senare visade sig. Den stora bristen anses handla om att beredningsunderlaget borde ha varit betydligt vassare.
Vi har noterat att internrevisionen redogjorde för sin gransk- ningsrapport om utlämnande av allmän handling vid ett styrelsemöte den 17 februari 2022.816 I rapporten identifierade internrevisionen brister som exempelvis avsaknad av en övergripande process, rutiner, utbildning och tillgänglig information om utlämnande av allmän handling på myndighetens intranät. Vidare anges i rapporten att bristerna i Lantmäteriets rutiner om sekretessprövning kan innebära
816Protokoll nr 1 2022, punkt 20, se även avsnitt 12.2.2
356
Ds 2026:2 | Överväganden |
att säkerhetskänslig information eller skyddade personuppgifter lämnas ut felaktigt. Internrevisionen skriver bland annat i rapporten att fastighetsinformation kan vara känslig eller sekretessbelagd och personuppgifter kan vara skyddade, samt att det kan lämnas ut uppgifter om känsliga fastigheter om medarbetaren inte är uppmärksam.817 Vid våra intervjuer har kommit fram uppgifter om att styrelsen behövde få del av säkerhetsskyddsanalysen efter upp- dateringen 2022, eftersom den kunde ha påverkan på budget med mera. Den trycktes därför upp i flera exemplar som fanns för påseende i Gävle i samband med ett styrelsemöte. Inte någon styrelseledamot har dock kunnat erinra sig detta.
Vi har tagit del av den PowerPoint-presentation som den ställ- företrädande säkerhetsskyddschefen höll för styrelsen vid mötet i september 2022, vilket vi bedömer som det tillfälle som åsyftas.818 I en av bilderna med rubriken Säkerhetsskydd nämns kort att en uppdaterad säkerhetsskyddsanalys beslutades den 16 juni 2022. I denna, liksom i säkerhetsskyddsanalysen från 2020, tas upp att det fortfarande finns arkivakter med säkerhetsskyddsklassificerade uppgifter i Arken och att de sekretessbedömningar som gjorts vid handläggning behöver ses över på grund av det försämrade säkerhetsläget.819 Varken av presentationsunderlaget eller styrelse- protokollet framgår att just denna centrala uppgift från säkerhets- skyddsanalysen nämndes vid styrelsemötet, vilket om så varit fallet framstår som anmärkningsvärt. Även om den inte nämnts har i vart fall säkerhetsskyddsanalysen behandlats på ett styrelsemöte och det har funnits möjlighet för ledamöterna att ställa frågor kring denna. En ledamot uppger sig inte minnas att styrelsen fick se säkerhets- skyddsanalysen från 2020 men att de däremot kring 2023 fick se en sådan analys.
Generaldirektören har uppgett att det inte stämmer att styrelsen inte haft en aning om att säkerhetskänslig information funnits i systemen. Enligt generaldirektören har styrelsen flera gånger från omkring 2019 och framåt fått se ett bildspel som innehåller en specifik bild om säkerhetskänslig information. Bilden i fråga ska enligt generaldirektören ha visats både för ledningsgruppen och styrelsen och är en summering av det som sägs i tjänsteanteckningen
817Internrevisionens revisionsrapport Utlämnande av allmän handling, s. 11. Se avsnitt 12.2.2
818Protokoll den 8 september 2022, punkt 18.
819Lantmäteriets säkerhetsskyddsanalys den 16 juni 2022, s. 42.
357
Överväganden | Ds 2026:2 |
från 2018.820 Trots efterforskningar har vi under vår granskning inte kunnat få klarhet kring vad som sagts om den specifika bild som skulle vara klargörande.
En styrelseledamot har nämnt internrevisionens granskning, som handlade om Kundcenter, och att man i styrelsen då inte var medve- ten om vad som fanns i systemen. Ledamoten har sagt att diskus- sionen i styrelsen var att det typiskt sett är mänskligt att det kan bli felaktiga prövningar, men att säkerhetsriskerna då inte lyftes. En annan ledamot har sagt att den tidigaste tidpunkt som styrelsen kanske borde ha ställt frågor på ett annat sätt var kring 2023. En ytterligare uppfattning som angetts är att man hade ett hum om att skyddsvärda uppgifter fanns i systemen men inte att de lämnades ut eller låg öppna.
I övrigt säger sig de ledamöter som intervjuats inte minnas om exempelvis det som nämns i säkerhetsskyddsanalysen om säkerhets- skyddskänsliga uppgifter i Arken tagits upp på något styrelsemöte. Det som nämns i årsredovisningarna, som styrelsen får del av, om att det finns en risk för att Lantmäteriet inte uppfyller kraven i sä- kerhetsskyddslagstiftningen menar flera ledamöter inte handlat om att känslig information lämnades ut eller låg åtkomlig. Även den ti- digare ställföreträdande säkerhetsskyddschefen har samma uppfattning. Generaldirektören har uppgett att det som avsågs med skrivningarna var att de har information i system som inte ska ligga öppen. Men skrivningarna handlade också om lokaler och tillträde till dem med mera ute i landet. Generaldirektören har i denna del vidare uppgett följande.
Det fanns en frustration från henne när hon ibland i styrelsen inte fick gensvar om vilka punkter de borde diskutera och ha med på dagord- ningen. Hon kände ofta att säkerhetsfrågorna inte fick gehör. Minst två gånger togs punkten säkerhet bort från agendan och bordlades. Hon sade till vid flera tillfällen att de måste lyssna på detta. Senare kom det dock in personer i styrelsen med bättre förståelse för säkerhetsfrågor.
Hon insåg att frågan om innehållet i Arken måste upp till styrelsen, eftersom det skulle bli stora konsekvenser för hela Lantmäteriet och alla aktörer i samhällsbyggnadsprocessen utifrån att alla aktörer är beroende av informationen.
Hon kommer ihåg att de pratade om att tillgängliggöra säkerhets- skyddsanalysen 2020 för styrelsen men minns inte om det faktiskt gjor- des. Däremot minns hon att den uppdaterade säkerhetsskyddsanalysen 2022 gjordes tillgänglig för styrelsen som ville läsa den i samband med
820Se avsnitt 8.3.3 och 17.8.
358
Ds 2026:2 | Överväganden |
ett möte i Gävle. Men den skickades inte ut och hon kommer inte ihåg vilka som faktiskt läste den. Styrelsen hade inte så stort intresse för säkerhetsfrågorna men området kom mer och mer i fokus när nya sty- relseledamöter kom in. I introduktionen för nya styrelsemedlemmar ingick säkerhetsskydd och dåvarande säkerhetsskyddschefen höll en särskild presentation om bland annat vilken information som hanterades hos Lantmäteriet. Styrelsen har vetat om detta, annat vore rent felaktigt att säga. Internrevisionen har ju också lyft detta.
Det finns i och för sig inte anledning att ifrågasätta styrelseledamö- ternas upplevelser av hur säkerhetsskyddsfrågor behandlats i styrel- sen. Det finns inte heller skäl att tvivla på deras minnesbilder av att de inte fått fullständig eller ingående information om bristerna i ru- tinerna kring sekretessprövning i samband med utlämnande av all- männa handlingar och risken för förekomsten av säkerhetsskydds- klassificerade uppgifter i Arken.
Frågan är dock om de inte ändå över tid fått sådan information som borde föranlett dem att vidta åtgärder. Vi har för vår del svårt att förstå varför i vart fall inte internrevisionens nyss nämnda rapport om utlämnande av allmän handling821 väckt fler frågor hos styrelsen, exempelvis om vilken typ av information som fanns i systemen. Frågan om utlämnande av allmän handling utan sekretess- prövning och frågan om det funnits säkerhetsskyddsklassificerade uppgifter i Arken är för övrigt inte så väsensskilda. Noteras i sammanhanget kan påståendet att man i styrelsen inte visste vilken information som fanns i Lantmäteriets system. Den uppgiften i sig är anmärkningsvärd.
Det som sammantaget har kommit fram visar enligt vår mening att det kan ifrågasättas om uppgifterna om brister när det gäller sek- retessprövning i samband med utlämnande av allmänna handlingar och förekomsten av säkerhetsskyddsklassificerade uppgifter i Arken varit okända för de styrelseledamöter som deltog på de nämnda mötena 2022. I vart fall har styrelsen varit alltför passiv i frågan. Att ledamöterna mot bakgrund av signalerna om problemen med informationssäkerheten och hanteringen av allmänna handlingar inte ställt följdfrågor och inte heller agerat är en del i att problemen kunnat fortgå under lång tid.
Vi har vidare noterat att styrelsens planering i oktober 2023 var att en tidigare chef för den militära underrättelsetjänsten skulle bju-
821Se avsnitt 12.2.2.
359
Överväganden | Ds 2026:2 |
das in till ett möte för att prata om ”hur styrelsen säkerställer sitt ansvar för säkerhetsfrågor”.822 En sådan föreläsning ägde också rum vid ett styrelsemöte i december 2023 med noteringen i protokollet att den handlade om regelverk som påverkar styrelsen med särskilt fokus på cybersäkerhet.823 Av därefter följande styrelseprotokoll eller vad som i övrigt nämnts om det som avhandlats inom styrelsen före den särskilda händelsen framgår inte att föreläsningen lett till att säkerhetsskydd och därmed sammanhängande frågor fått ökat fokus i styrelsens arbete.
Av det underlag som vi har tagit del av kan inte dras annan slutsats än att styrelsearbetet på flera sätt behöver utvecklas för att styrelsen ska kunna ta det yttersta ansvar för Lantmäteriet och myndighetens styrning och kontroll som följer av myndighetsförordningen. Det personliga ansvar som ligger i detta bör göras tydligt och inskärpas, låt vara att det skiljer sig från det ansvar som styrelseledamöter har enligt bolagsrätten. Även samspelet mellan styrelsen och general- direktören behöver klarläggas. Bland annat behöver det tydliggöras vilken information och vilket beslutsunderlag som styrelsen för- väntar sig. Tydlighet och uppföljning av fattade beslut är ytterligare ett förbättringsområde för styrelsen att ta sig an i samverkan med generaldirektören och med stöd av internrevisionen som styrelsens organ.
Säkerhetsprövningen av styrelseledamöter
En styrelseledamot som började sin tjänstgöring 2017 har uppgett att ledamöterna inte var säkerhetsprövade under de första åren som ledamoten deltog och att man därför inte fick information om känsliga frågor. Dåvarande styrelseordföranden har anfört att han blev säkerhetsprövad när han tillträdde uppdraget 2017. Han har bekräftat att det då var få i styrelsen som var säkerhetsprövade men att det sedan skedde successivt. Hela styrelsen var säkerhetsprövad 2020 och numera blir alla ledamöter säkerhetsprövade innan de tillträder.824
Mot bakgrund av de stora informationsmängder som Lantmäte- riet hanterar och att myndigheten har tillgång även till säkerhets-
822Protokoll den 25 oktober 2023, punkt 21.
823Protokoll den 13 december 2023, punkt 7.
824Information från Landsbygds- och infrastrukturdepartementet i november 2025.
360
Ds 2026:2 | Överväganden |
skyddsklassificerade uppgifter framstår det som en uppenbar brist att inte hela styrelsen var säkerhetsprövad före 2020. Samtidigt kan
viinte se att den bristen har haft avgörande betydelse för bedömningen att styrelsen borde ha vidtagit åtgärder tidigare. Det är inte avsaknaden av säkerhetsprövning i sig som gjort att styrelsen inte fått tillräcklig information. En synpunkt som förts fram vid intervjuerna är att också att frågan om säkerhetsprövning av styrelsen inte var ett problem eller hinder, i stället fick man sålla informationen så att det som föredrogs ändå blev begripligt, men utan att säkerhetskänsliga detaljer röjdes.
Vilken grundläggande utbildning och introduktion i informations- säkerhetsfrågor har ledamöterna i styrelsen fått?
När det gäller vilken utbildning och introduktion som ledamöterna i Lantmäteriets styrelse fått innan de tillträdde825 har de intervjuade i huvudsak uppgett att de fått en introduktion via Regeringskansliet samtidigt som att Lantmäteriet informerade om verksamheten vid ett heldagsbesök där.
Regeringskansliet har gett ut Vägledning för statliga myndighets- styrelser (se avsnitt 16.7.1). Den innehåller emellertid inte något om informationssäkerhet. Vi har tagit del av ett program för en utbild- ningsdag för Lantmäteriets nya styrelseledamöter från 2019. I pro- grammet finns ett kortare pass (20 minuter) om Lantmäteriets säkerhetsarbete, men inte något i övrigt om myndighetens infor- mationsmängder och informationssäkerhet. Vid intervjuer med sty- relseledamöterna har frågan om utbildning inom bland annat infor- mationssäkerhet och säkerhetsskydd diskuterats och om man fått någon introduktion till vilka informationsmängder som hanteras inom Lantmäteriet och eventuella säkerhetsaspekter kring dessa. Någon har svarat att generaldirektören var rätt tydlig med just detta. En annan ledamot har uppgett att digitaliseringen var en stor fråga under flera år och det fanns mycket som var relaterat till det. I början fick de inte se och veta allt, men de fick ändå en bild av att olika slags känslig information fanns i myndigheten. Andra har inte något min- ne av att sådant tagits upp.
825Här bortses från att vissa av ledamöterna redan haft kunskaper inom området innan de tillträdde.
361
Överväganden | Ds 2026:2 |
Den samlade bilden av styrelseledamöternas kunskap om Lant- mäteriets olika verksamheter och IT-system, informationssäkerhet och hantering av utlämnande av allmänna handlingar med mera visar inte annat än att ledamöterna behöver ytterligare information, även på grundläggande nivå. De behöver få bättre kunskap inte bara om Lantmäteriets verksamhet utan också om de rättsregler som styr myndigheten, allt för att de ska kunna ta det ansvar som följer av styrelseuppdraget.
Vi återkommer i det följande till frågan om utbildning i informa- tionssäkerhet för bland andra ledamöter i myndighetsstyrelser.
17.13.3 Generaldirektören
Utredningens bedömning: Generaldirektören borde skyndsamt och långt tidigare ha vidtagit åtgärder med anledning av före- komsten av säkerhetsskyddsklassificerade uppgifter i Arken. Detsamma gäller beträffande bristerna i hanteringen av utläm- nande av allmänna handlingar och vid behandlingen av person- uppgifter.
Styrelsen borde ingående ha informerats om Lantmäteriets brister i fråga såväl informationssäkerheten som vid utlämnande av allmänna handlingar och behandlingen av personuppgifter.
Skälen för utredningens bedömning
I vårt granskningsuppdrag ingår inte att utkräva ansvar för de brister i informationssäkerheten, utlämnandet av allmänna handlingar och sekretessbedömningar samt personuppgiftsbehandlingen som iden- tifierats. Däremot är det av intresse för granskningen att diskutera agerande och ansvar utifrån ett roll- och funktionsperspektiv och därmed risker och konsekvenser av identifierade brister i bland annat Lantmäteriets informationssäkerhet.
Som konstaterats har det förhållandet att det förekommit säker- hetsskyddsklassificerade uppgifter i Arken berörts i flera olika sam- manhang och varit väl känt inom många funktioner och av många i chefsledet, även om vissa har haft en annan uppfattning eller syn på risker och konsekvenser av detta. I chefsuppdraget på varje nivå har
362
Ds 2026:2 | Överväganden |
det genom det delegerade informationsägarskapet ingått att ha grepp om de informationsmängder som delegationen omfattat och före- komsten av säkerhetskänslig information i dessa.
Som också konstaterats borde åtgärder skyndsamt och långt tidi- gare än 2024 ha satts in med anledning av bristerna i Lantmäteriets informationssäkerhet. Vidare står det klart att säkerhetsskyddsche- fens uppfattning borde varit avgörande i den tvist som fanns mellan verksamhetsområden i frågan.
Som vi har påpekat har andra brister inom Lantmäteriet när det bland annat gäller förvaltningskulturen och den interna styrningen och kontrollen, bidragit till bristerna i informationssäkerhetsarbetet och den särskilda händelsen. Även om vi anser att styrelsen borde ha agerat tidigare står det också klart att den borde ha informerats mer i detalj om de brister i informationssäkerheten som fanns och som var väl kända i organisationen. Generaldirektören borde ha sett till att så skett. Vid våra intervjuer har man från flera håll betonat detta. Synpunkter som lyfts kan sammanfattas med att generaldirektören visade en ovilja att lyfta frågor till styrelsen, att det borde legat på henne att ”sätta ned foten” när olika enheter hade skilda upp- fattningar, att hon hade kunnat arbeta mer med hela gruppen och mindre i ”stuprör”, samt att det är centralt att en generaldirektör har stöd från chefsjuristen och chefen för internrevisionen men att hon inte fullt ut kom överens med dessa. En annan synpunkt som förts fram är att generaldirektören själv borde ha varit den som tog beslu- tet om stängning av tjänsterna och därefter informerat styrelsen. Mot dessa synpunkter ska ställas att generaldirektören upplevdes som effektiv och driven, tog på sig mycket och ville att allt skulle bli rätt, skapade ordning och reda, samt att det fanns ett starkt tryck från verksamhetsområdena och att hon kunde ha behövt ytterligare stöd i frågorna. Flera intervjuade har vidare tagit upp att generaldi- rektören inte ville leda genom en stab och att ledningsgruppen skulle tagit ett större ansvar, att hon ville ha en liten krets för informations- säkerhetsfrågorna samt att man år efter år försökte få pengar för att modernisera systemen men inte fick det. Generaldirektören har upp- gett följande.
Det fanns när hon tillträdde i januari 2018 inte så många inom Lantmä- teriet som hon kunde prata säkerhetsfrågor med. Få var säkerhetsprö- vade och det fanns inte heller lämpliga lokaler. I styrelsen var inte någon säkerhetsprövad utom möjligen ordföranden. Direkt när hon började fick hon information om en incident. Hon fick också information om
363
Överväganden | Ds 2026:2 |
att det fanns information i vissa system som skulle kunna vara känslig från ett säkerhetsperspektiv och att åtgärder hade vidtagits för att åt- gärda det. Det sades inte något särskilt om säkerhetsskydd och infor- mationssäkerhet vid överlämningen från hennes företrädare. Hon informerade ansvarigt departement om den aktuella incidenten. Under första halvåret 2018 förekom flera möten med statssekreterare, enhets- chefen på departementet och vid vissa tillfällen expeditionschefen. Då- varande styrelseordföranden var med vid åtminstone ett tillfälle. För- svarsdepartementet blev också informerat, eftersom Lantmäteriet hade behov av hjälp att lösa ut problemet. Kontakter med Säkerhetspolisen behövdes också och även här fick Lantmäteriet hjälp för att få till kon- takterna. Det framgick vid dessa kontakter att även Säkerhetspolisen hade svårt att förstå att Lantmäteriet hade information som var av viss karaktär. Efter den angivna incidenten fick man till slut till en lösning men det tog lång tid.
Lantmäteriet har haft en dialog med Regeringskansliet om bland annat informationssäkerhet varje gång Lantmäteriet har fått byta ansvarigt departement eller byte skett av statssekreterare och minister. Hon själv, säkerhetsskyddschefen och dåvarande chefen för verksam- hetsområde Geodata brukade vara med vid dessa dialoger. Hon har funderat på om hon varit tillräckligt tydlig när hon pratat om informa- tionssäkerhetsfrågor vid dessa dialoger. Det varierade hur statssekrete- rarna tog till sig informationen. En synpunkt är att Regeringskansliet kunde ha gett mer av den budget som efterfrågades.
Informationssäkerhetsarbetet har gått från noll när hon kom till vad det är i dag. Det som hänt har definitivt inte varit ett problem bara inom Lantmäteriet. Inte någon myndighet jobbade på rätt sätt med informa- tionssäkerheten.
Enligt myndighetsförordningen ska myndighetens ledning avgöra ärenden som har principiell karaktär eller större betydelse.826 Myn- dighetschefen ska hålla styrelsen informerad om verksamheten, för- se styrelsen med underlag för beslut och verkställa styrelsens be- slut.827 Generaldirektören har enligt Lantmäteriets delegationsord- ning ett övergripande ansvar för Lantmäteriets information.828
Att löpande och i det dagliga arbetet ha grepp om säkerhetsskyd- det och därmed informationssäkerheten, det vill säga nivån i verk- samheten inom dessa områden har legat på generaldirektören. Det har också varit en uppgift för generaldirektören att skyndsamt och långt tidigare se till att det vidtogs åtgärder med anledning av före- komsten av säkerhetsskyddsklassificerade uppgifter i Arken. Med tanke på de synnerligen allvarliga konsekvenserna av bristerna i in-
8264 § 5 myndighetsförordningen.
82713 § myndighetsförordningen.
8286 kap. 2 § delegationsordningen den 16 december 2025, LM2025/161018.
364
Ds 2026:2 | Överväganden |
formationssäkerheten borde generaldirektören vidare ingående ha presenterat hela problembilden för styrelsen. Det som nu nämnts gäller också de mycket allvarliga problemen i hanteringen av utläm- nande av allmänna handlingar och vid behandlingen av personupp- gifter.
Riskerna med den bristande informationssäkerheten och konsek- venserna av dessa är omfattande och långtgående. Och de berör så stora delar av samhällets många olika funktioner, det vill säga långt utöver enbart Lantmäteriets verksamhet, att omständigheterna och allvaret i dessa borde ha tagits upp med Regeringskansliet. Även om generaldirektören nämnt ett antal kontakter med Regeringskansliet har vi inte kunnat se att detta gjorts tillräckligt tydligt och inte heller långt tidigare än vad som blev fallet. Det är svårt att se varför tvisten inom Lantmäteriet i frågan om det fanns säkerhetsskyddsklassifice- rade uppgifter i Arken kunnat pågå under så lång tid, särskilt mot bakgrund av att säkerhetsskyddschefens bedömning i frågan borde varit avgörande. Det är också svårt att förstå att myndighetens bris- tande sekretessprövning vid utlämnande av allmänna handlingar kunde fortgå under lång tid. Detsamma gäller bristerna i behand- lingen av personuppgifter. Att informationssäkerheten, sekretess- prövningen och behandlingen av personuppgifter inte skötts enligt gällande rätt kan inte hänföras till annat än att myndighetens ledning brustit i fråga om styrning och kontroll.
17.13.4 Ledningsgruppen
Utredningens bedömning: Lantmäteriets ledningsgrupp har i stort fungerat som ett beredningsorgan. Cheferna i lednings- gruppen har haft ett ansvar för att åtgärder inte skyndsamt vidtagits med anledning av förekomsten av säkerhetsskydds- klassificerade uppgifter i Arken. Det gäller också bristerna i rutinerna i samband med utlämnande av allmänna handlingar och vid behandlingen av personuppgifter
365
Överväganden | Ds 2026:2 |
Skälen för utredningens bedömning
Ledningsgruppens funktion och sammansättning
Ledningsgruppen inom Lantmäteriet har inte någon egen besluts- befogenhet som organ utan är ett stöd för generaldirektörens beslutsfattande. I ledningsgruppen sitter i dag generaldirektören, ställföreträdande generaldirektören, verksamhetsområdescheferna för Fastighetsbildning, Geodata och Fastighetsinskrivning och che- ferna för de myndighetsgemensamma verksamhetsområdena samt en sekreterare.829
Som redogjorts för i kapitel 5 är det en uppgift för Lantmäteriets ledningsgrupp arbeta aktivt med informationssäkerhet genom att sä- kerställa att
•mål för informationssäkerhet uppfylls,
•informationssäkerhetsarbetet bedrivs på ett systematiskt och kontinuerligt sätt, och att
•informationssäkerhet är en del i det årliga arbetet med verksam- hetsplanering.
Ledningsgruppen ska minst en gång per år fördjupat gå igenom in- formationssäkerhetsläget.
Vilken funktion har ledningsgruppen haft i praktiken?
Några av de synpunkter som kommit fram vid intervjuerna är att ledningsgruppen absolut inte upplevdes som en ledningsgrupp utan mer som ett informationsforum och att gruppen varit ett bered- ningsorgan utan den spetskompetens som krävs för att bereda frågor. Det handlade inte om hur man skulle samarbeta för myn- dighetens hela leverans och verksamhet. Man pratade till exempel om ekonomi utifrån sina egna respektive delar. Någon har uppgett att den strategiska ledningen, i vilken ledningsgruppen torde ingå, varit inne och detaljstyrt för mycket. Man har inte lyft blicken, utan haft ett kontrollbehov och inte lyssnat på experterna i verksamheten. Det har också talats om svagt ledarskap. Annat som förts fram vid
829Information på Lantmäteriets webbplats, www.lantmateriet.se, hämtat den 26 januari 2026.
366
Ds 2026:2 | Överväganden |
intervjuerna är att man uppvisade en brist på direkt beslutsförmåga samtidigt som allt skulle tas i ledningsgruppen även om det bråds- kade och att ledningsgruppen inte haft tillräcklig integritet och för- ståelse för statstjänstemannarollen. Vidare har sagts att motsätt- ningar på individnivå i ledningsgruppen inte har bidragit till ett väl- fungerande sammanhang.
Att ingå i en myndighets ledningsgrupp innebär ett ansvar inte bara för sitt eget verksamhetsområde. Ledningsgruppsuppdraget är större än det egna ansvarsområdet. I den rollen är man engagerad i och bidrar till helheten och man hjälper varandra över verksam- hetsområdesgränserna. Som nämnts tidigare har Lantmäteriets verk- samhet som helhet präglats av brist på helhetssyn. De olika verk- samhetsgrenarna har arbetat i stuprör. Detta synes också ha satt sin prägel på ledningsgruppens funktion. Strävan mot konsensus i varje fråga är omvittnad, i stället för diskussioner där åsikter bryts mot varandra med inriktningen att åstadkomma bästa möjliga lösning för verksamheten som helhet. Ansvaret för att få till en ledningsgrupp med tillit och ett gemensamt ansvarstagande för helheten ligger inte bara på myndighetschefen, det vill säga för Lantmäteriets del gene- raldirektören. Det ligger på varje ledamot i gruppen och innefattas i både mandat och uppdrag. Och utgångspunkten är organisationens uppdrag, något som tydligt framgått hade behövt klargöras och för- ankras inte bara i ledningsgruppen. Tilläggas kan att det av naturliga skäl i grunden är upp till myndighetschefen att använda en lednings- grupp på det sätt som bedöms lämpligast. Det är också ytterst myn- dighetschefen som avgör ledningsgruppens sammansättning.
Enligt vår bedömning förefaller ledningsgruppen inte ha använts på ett effektivt sätt, bland annat på grund av inriktningen mot kon- sensus. Den utgångspunkten har hämmat ett konstruktivt menings- utbyte i ledningsgruppen. Det är inte heller lämpligt att en sådan grupp utgör ett beredningsorgan, särskilt när expertkunskaperna finns i organisationen och inte i gruppen. Ledningsgruppen bör så långt som möjligt och utan förutfattade meningar kunna diskutera de frågor som behandlas i gruppen, man bör tillsammans kunna lyfta blicken och se längre än till en enskild frågeställning. Detta är inte sällan problematiskt om man varit närmare involverad i en frågas be- redning. Det är naturligtvis också viktigt att ledamöterna i en led- ningsgrupp står för en god förvaltningskultur och har tagit till sig den statliga värdegrunden och statstjänstemannarollen.
367
Överväganden | Ds 2026:2 |
Har ledningsgruppen och dess funktion haft någon inverkan på de brister i informationssäkerheten som funnits?
Som tagits upp i det föregående har frågor som berör informations- säkerhet hållits inom en liten krets i Lantmäteriet. Det innebär bland annat att frågorna behandlats i de informationsägarforum som nämnts tidigare. Enligt intervjuuppgifter har det exempelvis innebu- rit att halva ledningsgruppen inte kände till projektet Infosäk- GDL.830 Däremot har uppgetts att alla i ledningsgruppen ska ha känt till att det fanns information i systemen som inte borde finnas där. En annan synpunkt är att ledningsgruppen inte prioriterade infor- mationssäkerhet tillräckligt och att sådana punkter på agendan flera gånger ströks eller flyttades. Någon har ansett att kompetensen i ledningsgruppen varit låg inom områden man måste ha grepp om när man sitter i ledningen, såsom hantering av regelförändringar och dataskydd. Detsamma gäller frågor om säkerhetsskydd. Lednings- gruppen var bromsande, trots att det var vissa saker som måste ge- nomföras enligt lag. Gruppen prioriterade annat. Tidigare säkerhets- skyddschefen har uppgett att han innan han kom att ingå i led- ningsgruppen bara deltog och föredrog vissa ärenden. När ärendet därefter skulle diskuteras fick han lämna rummet. Han kunde inte följa frågorna vidare och tappade greppet.
Det kan naturligtvis vara lämpligt att vissa frågor som rör infor- mationssäkerhet hålls inom en mindre krets. Någon rimlig anledning till att inte hela ledningsgruppen hållits informerad om sådana frågor är emellertid svår att se. De som ingår i ledningsgruppen är enligt uppgift säkerhetsprövade. Vid vår genomgång av ledningsgruppens anteckningar för perioden 2018–2024 kan man inte se att informa- tionssäkerhet varit en prioriterad fråga före den särskilda händelsen. Cheferna i ledningsgruppen har, som ledamöter i detta forum, genom sina respektive funktioner i verksamheten i övrigt och genom ett delegerat informationsägarskap, haft ett informationssäkerhets- ansvar. Det som har kommit fram talar inte för annat än att ledningsgruppen haft kännedom om att det förekom säkerhets- skyddsklassificerade uppgifter i Arken. Detsamma gäller beträffande bristerna i sekretessprövning av allmänna handlingar och behand- lingen av personuppgifter. I vart fall borde ledningsgruppen ha haft sådan kännedom.
830Se avsnitt 8.3.4 angående detta projekt.
368
Ds 2026:2 | Överväganden |
17.13.5 Internrevisionen
Utredningens bedömning: Internrevisionen har genomfört ett antal angelägna och väl utförda granskningar. Uppföljningen av internrevisionens rekommendationer har inte fungerat tillfreds- ställande. Relationen mellan generaldirektören och internrevisio- nen har med tiden blivit sämre, vilket påverkat arbetsklimatet och med det internrevisionens arbete. De åtgärder som Lantmäteriet numera vidtagit för att förbättra myndighetens hantering av internrevisionens granskningar framstår som lämpliga men en särskild uppföljning av dessa är motiverad.
Skälen för utredningens bedömning
Vi har i avsnitt 16.7.4 redogjort för syftet med en internrevision inom en myndighet. Internrevisionen rapporterar till styrelsen och för att kunna fullgöra sitt uppdrag måste den ha en självständig ställ- ning gentemot generaldirektören, myndighetsledningen i övrigt och i förhållande till organisationen i stort. Det är dock i regel inte prak- tiskt genomförbart att internrevisionen agerar helt utan koppling till generaldirektören och ledningen, eftersom internrevisionen finns och verkar inom myndigheten. Noteras kan också exempelvis att det är generaldirektören som beslutar om anställning och lön för chefen för internrevisionen, dock efter samråd med styrelsen.831
Internrevisionens samarbete med styrelsen har enligt vad som kommit fram vid intervjuer fungerat väl. Också samarbetet med generaldirektören synes inledningsvis ha varit bra, men kom efter hand att bli mer ansträngt, särskilt efter internrevisionsrapporten om säkerställande av regelefterlevnad 2021. Det finns uppgifter om att det påverkade arbetsklimatet.
Enligt generaldirektören är samspelet med styrelsen om lämpliga granskningsområden för internrevisionen något som skulle ha gjorts annorlunda. Internrevisionen kom med sina förslag till styrelsen di- rekt, medan hon hade velat ha upp allt i ledningsgruppen först för att komma med inspel. Hon själv hade flera förslag till internrevi- sionschefen men de fick enligt henne inte gehör. Hon anser att det
8312.2.3 Lantmäteriets arbetsordning den 17 juni 2025, LM2025/066340.
369
Överväganden | Ds 2026:2 |
blev litet väl mycket att frågor togs direkt mellan styrelseordföran- den och internrevisorn.
Vi kan konstatera att det i sig inte är ovanligt att det finns en löpande dialog mellan styrelsen och internrevisionen. Internrevi- sionen är styrelsens organ. Men det är samtidigt viktigt att internre- visionen har regelbundna avstämningar med generaldirektören. I den delen har det funnits brister.
Det är vidare otillfredsställande att internrevisionens rekommen- dationer inte har följts på ett tillräckligt bra sätt inom Lantmäteriet. Det framgår av internrevisionens uppföljning av myndighetens åt- gärdsarbete.832 Internrevisionen har konstaterat att verksamhetens ambitionsnivå varit låg och att en åtgärdsplan tagits fram snarare för att hantera internrevisionens iakttagelser och rekommendationer än att faktiskt åtgärda de brister som adresseras. För att förbättra myn- dighetens hantering av internrevisionsgranskningar samt den interna styrningen och kontrollen utsåg myndigheten i februari 2024 en sär- skild resurs till rollen som samordnare/controller för internrevi- sionsfrågor. Under våren 2024 har dessutom en översyn av internre- visionsprocessen gjorts och en ny process tagits fram. Dessa åtgärder framstår som lämpliga. Förhoppningsvis kommer de att medföra att internrevisionens rekommendationer följs på ett bättre sätt. I denna del är en särskild uppföljning motiverad.
När det gäller de granskningar som internrevisionen genomfört under senare år är vår bedömning att de har varit angelägna och väl utförda och att de har pekat på brister inom en rad viktiga områden. Det gäller särskilt de tidigare nämnda bristerna i den interna styrningen och kontrollen och vid utlämnande av allmän handling. Flera granskningar har haft koppling till informationssäkerhet, så- som granskningarna av behörigheter och behörighetsadministration, cybersäkerhet, applikationslivscykelhantering och säkerhetsskyd- dad upphandling.833 Internrevisionen har även haft förslag på gransk- ningar inom området som ännu inte lett till någon granskning.834
Styrelsen ska, i den utsträckning det inte möter hinder på grund av bestämmelser om sekretess, se till att internrevisionen får tillgång
832Se avsnitt 6.4.
833Se avsnitt 6.3 och 10.4.
834Exempelvis granskning av kontinuitetsplanering, kopplat till Disaster Recovery, se revisionsplan för 2018, diarienummer 203–2017/6259, revisionsplan för 2023, LM2022/056621 och revisionsplan 2025, LM2025/070181.
370
Ds 2026:2 | Överväganden |
till de uppgifter den behöver.835 Internrevisionen har till oss uppgett att detta generellt sett inte har varit ett problem och att man har fått ta del av den information som efterfrågats. Man har haft bra dialoger med verksamheten. Utmaningen har enligt internrevisionen snarare varit att hitta rätt personer i verksamheten som vet vilken information som är möjlig att ta del av, om det område som är föremål för granskning är reglerat och om det finns dokumentation. I flertalet granskningar har dokumenterad styrning eller dokumen- tation över etablerade arbetssätt saknats. Något styrelsen också gjort är att ge internrevisionschefen möjlighet att fram till augusti 2025 sitta med under styrelsemötena för att ta del av den rapportering som lämnas från verksamheten till styrelsen, samt ta del av styrelsens resonemang. Premissen för närvaro var då att endast lyssna, yttranderätt förekom endast vid direkta frågor samt de punkter där internrevisionschefen var föredragande. Sedan tillträdet av en ny styrelseordförande har styrelsen reviderat riktlinjerna för internrevi- sion. Möjligheten för revisionschefen att delta under styrelsemöten har tagits bort. Internrevisionschefen deltar numera endast i de delar som rör internrevisionens frågor.836
En särskild fråga som vi har tagit upp med internrevisionen är hur man har hanterat att tidplaner och åtgärder som styrelsen beslutat ändrats utan att styrelsen informerats. Internrevisionen har svarat följande.837
Internrevisionen har i dialog med verksamheten, kopplat till tertialuppföljningen, påtalat att man inte själva kan ändra åtgärder eller tidplaner utan styrelsens kännedom eller beslut. Företeelsen med sådana ändringar har lyfts även till styrelsen, dels muntligt, dels skriftligt exempelvis i internrevisionens uppföljningsrapport T1 2024.838 Frågan har efter att en internrevisions-controller tillsatts hanterats i en nyutvecklad process för hantering av internrevisionens rekommendationer. Internrevisionens uppfattning är att det med en controller har fungerat bra och att även tertialrapportering, framdrift och uppföljning har fungerat bättre. Noteras kan även att styrelsen på senare tid har fattat beslut om flertalet förändrade åtgärdsplaner med anledning av exempelvis ändrade tidplaner.
83511 § internrevisionsförordningen.
836Information från Lantmäteriet i december 2025.
837Svar från Internrevisionen i december 2025.
838LM 2024/029575.
371
Överväganden | Ds 2026:2 |
Att ha tillgång till en internrevision är typiskt sett en styrka i varje organisation. Med en internrevision har man hjälp av gransknings- expertis som är väl insatt i den löpande verksamheten. Och externa granskare behöver inte anlitas, i vart fall inte i samma utsträckning även om utifrånperspektivet ibland är viktigt.
I styrelsemyndigheter, som Lantmäteriet, finns internrevisionen som ett stöd både för styrelsen och för verksamheten i stort, givet att styrelsen använder revisionsresurserna på rätt sätt. Som styrel- sens organ ökar förutsättningarna för styrelsen påtagligt att få insyn i och därmed grepp om den verksamhet som man som styrelse har det yttersta ansvaret för. Naturligtvis ökar också ansvaret, och man kan ställa högre krav, på en styrelse som löpande har denna resurs tillgänglig.
Som vi har konstaterat har flera av internrevisionens granskningar berört informationssäkerhetsområdet. I ljuset av de allvarliga brister när det gäller säkerhetsskyddet och informationssäkerheten som i flera delar och under lång tid varit väl kända inom Lantmäteriet kan det dock ifrågasättas om inte internrevisionen tidigare och med stör- re skärpa borde ha närmat sig dessa frågor.
Vi har i avsnitt 17.13.2 kommit fram till att styrelsen, med stöd av internrevisionen borde ha agerat tidigare. I linje med den bedömningen har det även legat på internrevisionen att på eget initiativ ta upp frågan. Möjligtvis hade då skadeverkningarna av sä- kerhetsbristerna kunnat begränsas. Ett ytterligare utvecklingsom- råde som uppmärksammats rör uppföljningen av internrevisionens påpekanden. Ett ansvar i den delen ligger naturligt på styrelsen som beslutar om vilka åtgärder som vidtas utifrån gjorda revisionsin- satser. Det är också styrelsen som ansvarar för uppföljningen. Samtidigt är det naturligt att internrevisionen följer hur verksam- heten tar hand om det som lyfts fram i revisionsrapporter och tydligt signalerar till styrelsen när verksamheten avviker från det som styrelsen beslutat.
17.13.6 Chefs- och ledarskapet
Utredningens bedömning: Med genomarbetade strukturer i verksamheten ökar förutsättningarna för ett välfungerande chefs- och ledarskap på såväl system- som individnivå. Att utveckla
372
Ds 2026:2 | Överväganden |
chefs- och ledarskapet är en viktig del i att få den interna styr- ningen och kontrollen på plats och därmed öka kvalitén i bland annat informationssäkerhetsarbetet.
Den organisatoriskt spridda verksamheten ställer stora krav på ett väl utvecklat chefs- och ledarskap. Detsamma gäller utifrån Lantmäteriets komplexa verksamhet med kontinuerligt nya upp- drag att hantera.
Förståelsen för Lantmäteriets myndighetsroll och uppdrag behöver befästas. Samtidigt behöver samsynen om att alla verk- samhetsområden ska bidra till det övergripande målet med verk- samheten öka. Här ska cheferna vara förebilder. Utrymmet för att tycka olika och att i ledningsgruppen föra fram olika uppfatt- ningar bör öka.
Alla chefer bör ges möjlighet att utveckla sitt personliga ledar- skap och sin chefsroll. Lantmäteriet bör i chefsledet satsa på kom- petensutveckling om grundläggande rättsregler av betydelse för myndighetsstyrning och regelefterlevnad. Att frågor om säker- hetsskydd och informationssäkerhet samt offentlighet och sekre- tess och personuppgiftsbehandling kräver särskilda utbildnings- insatser är givet.
Skälen för utredningens bedömning
I vårt uppdrag ingår att uttala oss om hur Lantmäteriets arbete med informationssäkerhetsfrågor kan stärkas. Med den utgångspunkten bör noteras att informationssäkerheten inte är en verksamhet eller verksamhetsgren som är isolerad från organisation och verksamhet i övrigt. Den är integrerad i stora delar av Lantmäteriets verksamhet. Och det har visat sig att de utmaningar som påverkat informations- säkerheten i stor utsträckning samtidigt har gjort sig gällande i orga- nisationen som helhet.
Bristerna i fråga om att identifiera och tydliggöra utmaningarna och att agera är uppenbara. Ett arbete inriktat mot att få till samsyn som ett led i att åstadkomma en sammanhållen organisation och verksamhet, låt vara med olika verksamhetsgrenar, har lyst med sin frånvaro. Först på senare tid har man inlett en förflyttning mot en utvecklad ledningsfunktion och en effektivare ledning och styrning. Och för att komma dit har det inte räckt med de interna insikterna.
373
Överväganden | Ds 2026:2 |
Man har behövt extern input. Med tanke på de mycket tydliga prob- lemområdena och den interna kännedomen är det förvånande att arbetet dröjt och får tillskrivas bristande beslutsförmåga på lednings- nivå.
Alla delar av verksamheten har påverkats av att grepp inte tagits på ledningsstrukturen och rutiner för den. Det har självfallet drabbat även myndighetens säkerhetsskydd och därmed informationssäker- heten, hanteringen av frågor om offentlighet och sekretess och be- handlingen av personuppgifter. Exemplen är många och utomor- dentligt allvarliga både i sig och sett till konsekvenserna av dem.
Som diskuterats i det föregående (kapitel 16) finns flera yttre om- ständigheter som var för sig och sammantaget inverkat på hur man inom Lantmäteriet hanterat informationssäkerheten, utlämnandet av allmänna handlingar och behandlingen av personuppgifter. Man kan uttrycka det som att yttre omständigheter tillåtits påverka dessa delar i verksamheten.
Ett givet påpekande i sammanhanget är att det är problematiskt att driva ett godtagbart informationssäkerhetsarbete om den interna styrningen och kontrollen har stora brister. Olika interna beslut och vägval, som byggt på felaktiga prioriteringar och okunskap om gällande rätt, har kommit att låsa och få stor betydelse för inrikt- ningen av verksamheten. Exempelvis finns grundläggande problem sedan långt tillbaka i tiden när ett system som Arken och till detta kopplade tillhandahållandetjänster kunnat konstrueras och driftsät- tas grundat på delvis felaktiga analyser och beslut.
I tidigare avsnitt har Lantmäteriets interna styrning och kontroll behandlats. Bristerna i den har visat sig inom ett antal olika områden och på olika nivåer, till exempel i fråga om regelefterlevnad, styrande dokument, beredning, dokumentation och diarieföring, avsaknad av en övergripande strukturerad och enhetlig process för genomfö- rande och uppföljning av interna beslut samt brister i olika avseen- den när det gäller ansvarsfördelning. Att de exemplifierade bristerna har funnits och tillåtits beror inte på organisatoriska eller verksam- hetsmässiga förhållanden. Orsakerna kan i stället härledas till myn- dighetens chefs- och ledarskap. Utan ett välfungerande chefs- och ledarskap saknas förutsättningar att organisera verksamheten på ett effektivt och samtidigt rättssäkert sätt. Det saknas också förutsätt- ningar att hantera de nya utmaningar och förändringar som löpande
374
Ds 2026:2 | Överväganden |
dyker upp i varje verksamhet. Det går helt enkelt inte att få till en välfungerande intern styrning och kontroll.
Chefs- och ledarskap innebär ofta utmaningar i de flesta organi- sationer. För Lantmäteriet tillkommer specifika förutsättningar med en komplex verksamhet med kontinuerligt nya uppdrag att hantera och en verksamhet som organisatoriskt är spridd över hela landet. Det gör myndighetens uppdrag än mer utmanande. Och det innebär att det ställs ännu högre krav än annars på ledarskapet såväl på system- som individnivå. Lantmäteriet behöver alltså satsa mer än många andra verksamheter på att få till ett välfungerande chefs- och ledarskap.
Ledningens agerande är av naturliga skäl centralt i varje verksam- het och för Lantmäteriets del självfallet när det gäller informations- säkerhetsarbetet. I chefsledet handlar det inte minst om att fatta be- slut, sätta frågorna på agendan och själv vara förebilder. Ledningens förhållningssätt legitimerar frågorna och har mycket stor betydelse för hur informationssäkerhetsarbetet kommer att utvecklas i orga- nisationen.
På systemnivå krävs strukturer som skapar goda förutsättningar för ansvar och beslutsfattande. Hur verksamheten organiseras är en del i det. Ett exempel som under mycket lång tid präglat verksamhe- ten är avsaknaden av ett myndighetsgemensamt juridiskt stöd för att säkerställa regelefterlevnad i hela organisationen, något som bidragit till bristerna i säkerhetsskyddet. Det behöver också finnas en förut- bestämd beslutsgång som gör att de frågor som behöver avgöras tas till beslut på ett effektivt sätt.
Och ledningsmodellen ska ge stöd för samverkan mellan verk- samhetsområden. Denna samverkan ska genomgående ha myndig- hetens samlade bästa som mål. Att föra fram olika åsikter behöver uppmuntras. Bara då kan det som i grunden är bäst för verksamheten som helhet bli resultatet när beslut ska tas i olika frågor. En ibland använd teknik är att en eller flera i en ledningsgrupp ges uppdraget att vara kritiskt ifrågasättande när ett förslag till förändring diskute- ras. Olika tekniker finns men för Lantmäteriets del är det angeläget att lämna konsensusmodellen som i förlängningen får chefer att tystna i ledningsrummet och synpunkterna att i stället ventileras i korridorerna.
På individnivå är chefs- och ledarskap en kompetensfråga. Det är också en värderingsfråga. Ledarskapet förutsätter samtidigt att kom-
375
Överväganden | Ds 2026:2 |
munikation och relationer fungerar väl. Och det gäller även i led- ningsgruppen. Förståelsen för Lantmäteriets roll som myndighet har varit eftersatt liksom insikterna i det tjänstemannaansvar och ansvar i övrigt som följer ledningsuppdraget. Detsamma gäller de rätts- regler som är styrande exempelvis när det gäller informationssäker- heten. Att utveckla såväl chefskap som ledarskap framstår som prio- riterade frågor för Lantmäteriet där också strukturella frågor på sys- temnivå behöver ses över. Samtidigt behöver varje chef på varje nivå ges förutsättningar att utveckla sitt personliga ledarskap och sina kompetenser, utöver den ledarutveckling som ett stort antal chefer redan erbjudits. Utgångspunkten för denna utveckling är, som redan påpekats, Lantmäteriets uppdrag, och att det finns en fullständig för- ståelse för det och en samsyn om vad det innebär.
17.14Något om tillsynen över att säkerhetsskyddslagstiftningen följs
Utredningens bedömning: Enligt säkerhetsskyddslagstift- ningen har olika tillsynsmyndigheter tillsynsansvar över Lantmä- teriet respektive de kommunala lantmäterimyndigheterna och därmed över i allt väsentligt samma informationsmängder och system (Arken och Trossen). Samordning mellan tillsynsmyn- digheterna är viktigt. Det är också viktigt att tillsynsmyndighe- terna ger vägledning och därmed stöd till en myndighet som han- terar säkerhetskänsliga uppgifter.
Skälen för utredningens bedömning
Flera tillsynsmyndigheter enligt säkerhetsskyddslagstiftningen
Tillsynsmyndigheten utövar tillsyn över att verksamhetsutövare följer säkerhetsskyddslagstiftningen.839 Som beskrivits i avsnitt 2.3 är Säkerhetspolisen tillsynsmyndighet för Lantmäteriet och fyra
8396 kap. 1 § säkerhetsskyddslagen.
376
Ds 2026:2Överväganden
angivna länsstyrelser är tillsynsmyndigheter för de kommunala lantmäterimyndigheterna.840
Visserligen är det skyddsvärdet enligt säkerhetsskyddslagstift- ningen hos en myndighet som omfattas av tillsynsmyndighetens ansvar.841 Mot den bakgrunden omfattas de kommunala lantmäteri- myndigheternas akter som förvaras hos Lantmäteriet i Arken av Säkerhetspolisens tillsynsansvar. Samtidigt har angivna länsstyrelser tillsynsansvaret för de kommunala lantmäterimyndigheterna. Man skulle därmed kunna se det som att Lantmäteriet och de kommunala lantmäterimyndigheterna delvis träffas av flera myndigheters till- synsansvar.842 Om två olika myndigheter har tillsyn över infor- mationssäkerheten beträffande i stort sett likartade informations- mängder och hur dessa hanteras, det vill säga i allt väsentligt i samma IT-system är det problematiskt. Enklare och renare skulle vara om endast en tillsynsmyndighet hade det tillsynsansvar som avser myn- digheter som hanterar den information som både Lantmäteriet och de kommunala lantmäterimyndigheterna ansvarar för. Den frågan får emellertid övervägas i annat sammanhang. Med nuvarande ord- ning är det självfallet nödvändigt att Säkerhetspolisen och berörda länsstyrelser samråder och samordnar sina respektive tillsynsinsat- ser. En gemensam plan för hur tillsynsarbetet ska bedrivas behövs och skulle öka effektiviteten i tillsynsarbetet, nyttan i detta och sä- kerhetsskyddet i berörda verksamheter.
Säkerhetspolisens tillsyn
Enligt Lantmäteriet finns i verksamheten inte de IT-system som Säkerhetspolisens föreskrifter anger att man ska ha, men ett arbete med den inriktningen pågår. Nya system behöver byggas, bland annat för att lyfta ut information till säkra system. En annan del är hur uppgifter hanteras inom system och hur olika system kommu- nicerar med varandra. Säkerhetspolisens föreskrifter anger vissa sys-
840Med anledning av den särskilda händelsen vid Lantmäteriet 2024 har Länsstyrelsen i Västra Götalands län, som är tillsynsmyndighet enligt säkerhetsskyddslagen över kommuner som hör till bland annat Hallands och Västra Götalands län, inlett tillsyn av några kommunala lantmäterimyndigheter.
841Information från Säkerhetspolisen, december 2025.
842Säkerhetspolisen har ansett att frågan om hur verksamhetsutövare som träffas av flera tillsynsmyndigheters tillsynsområden ska hanteras behöver förtydligas, se Säkerhetspolisens återrapport till regeringen Tillsyn på säkerhetsskyddsområdet den 27 september 2024, dnr 2024-8614-4, s. 6, 15 och 18.
377
Överväganden | Ds 2026:2 |
temkrav. Och utgångspunkten är att de system som följer av före- skrifterna ska finnas. Som nämnts i det föregående har general- direktören uppgett att det fanns olika uppfattningar om förekoms- ten av säkerhetsskyddsklassificerade uppgifter i Arken men att det var svårt att veta vem som hade rätt och att ta ställning. Som också nämnts kunde enligt generaldirektören Säkerhetspolisen inte bistå med hjälp i frågan när man försökte få vägledning hos dem. Säkerhetspolisen har hänvisat till att man hade ett möte den 1 juli 2024 vid vilket generaldirektören deltog. Vi konstaterar dock att det mötet skett när den särskilda händelsen väl hade inträffat. Däremot har det naturligtvis förekommit ett antal kontakter mellan Säker- hetspolisen och Lantmäteriet, bland annat i tillsynsärenden. Vid kontakter med Säkerhetspolisen har förmedlats att det inte ingår i myndighetens tillsynsuppdrag att besvara en myndighets fråga om vilken väg som ska väljas i en situation som den aktuella.
I förarbetena till den senaste översynen av säkerhetsskyddslagen ansåg regeringen att det är både nödvändigt och ofrånkomligt att tillsynsmyndigheterna även framöver ger verksamhetsutövare stöd i säkerhetsskyddsarbetet. Sådant stöd borde dock som en utgångs- punkt inte besvara frågor om vad som ska göras i ett specifikt fall utan snarare innefatta upplysningar om innebörden av den relevanta regleringen och hur den ska tolkas samt metoder för hur den kan uppfyllas.843 Riksrevisionen har dock ansett att förarbetena ger ett visst utrymme för att lämna mer konkret stöd i frågor om säkerhets- skydd. Med beaktande av de konsekvenser ett bristande säkerhets- skydd kan få för Sveriges säkerhet anser Riksrevisionen att Säker- hetspolisen i större utsträckning bör använda det utrymme som finns för att lämna mer stöd i enskilda fall än vad som sker i dag.844 Även Fastighetsregisterutredningen har tagit upp frågan och ansett att det inte finns hinder för en tillsynsmyndighet att, till skillnad från rådgivning, ge vägledning. Vägledning är mer allmänt inriktad och svarar på frågan på vilket sätt en viss fråga kan hanteras och inte vad som ska göras i det specifika fallet.845 Vi instämmer i den bedömningen och återkommer något till den i avsnitt 17.15.2.
843Prop. 2020/21:194, s. 78.
844Riksrevisionens rapport Säkerhetspolisens verksamhet, RiR 2024:24, s. 17.
845SOU 2024:7, s. 621.
378
Ds 2026:2 | Överväganden |
17.15Hur kan Lantmäteriets arbete med informationssäkerhet stärkas i övrigt?
17.15.1Informationssäkerhetsfrågor måste allmänt sett få ett större fokus
Utredningens bedömning: Informationssäkerhetsfrågor måste få ett större fokus i myndigheternas arbete. Riksdag och regering har ett ansvar för att så blir fallet, vilket är en fråga som får över- vägas i annat sammanhang.
Regelbunden utbildning i informationssäkerhet är ett givet sätt att få informationssäkerheten i fokus. Även myndighetens ledning bör inkluderas i utbildningsinsatserna. När det gäller ny- tillträdda styrelseledamöter bör informationssäkerhet utgöra en större del i den utbildning som Regeringskansliet i dag svarar för. Detsamma bör allmänt gälla för nytillträdda generaldirektörer.
Skälen för utredningens bedömning
Bristande informationssäkerhet är inte något unikt för Lantmäteriet
Redan 2018 anförde den utredning som granskade Transportstyrel- sens upphandling av it-drift följande.846
Bristande informationssäkerhet är som framgått ovan inget nytt problem för svensk statsförvaltning. Myndigheterna tycks, trots att man rimligen är väl medvetna om såväl gällande regelverk som de skyddsvärda intressen som dessa ska garantera, inte vara förmögna
att leva upp till de höga krav som ställs på en modern och teknik- beroende förvaltning. Vid bedömningen av vilka åtgärder som krävs är det svårt att ge förtroendekostnaderna vid brister i informationshante- ringen ett eget värde och dessa frågor hamnar lätt i skymundan. I detta ligger en fara för tilltron till myndigheterna som kanske är allvarligare än de enskilda brister som kan förekomma.
I ljuset av hur vanliga och vitala olika typer av e-tjänster blivit för både medborgare och myndigheter kan nämligen ett bristfälligt hanterande av känslig information – inte minst sådan som rör personuppgifter – göra att medborgarna förlorar en del av sitt förtroende för förvalt- ningen. Medborgarna skulle till exempel kunna känna tvekan inför att utnyttja myndigheternas service och tjänster och myndigheterna skulle ha svårigheter att få in information av betydelse för deras uppdrag.
846Granskning av Transportstyrelsens upphandling av it-drift, Ds 2018:6, s. 238–239.
379
Överväganden | Ds 2026:2 |
Det ligger inte i vårt uppdrag att föreslå lösningar på sådana allmänna förvaltningspolitiska problem som det här diskuterade. Vi noterar dock att Riksrevisionen 2016 föreslog ett starkare operativt stöd till myndig- heterna för att de ska kunna leva upp till kraven på detta område. Det är svårt att inte instämma i rekommendationen.
Mot bakgrund av bland annat resultatet från MCF:s Cybersäker- hetskollen är det i sig inte förvånande att en granskning av en myn- dighet på grund av brister i informationssäkerhetsarbetet återigen blivit aktuell. Det finns dessutom likheter mellan bristerna i infor- mationssäkerhetsarbetet inom Lantmäteriet och de brister som granskningen av Transportstyrelsen visade. Inte heller i Lantmäte- riet har informationssäkerhet varit i fokus, vilket bland annat visat sig genom att styrelsen har prioriterat andra områden som i och för sig också varit viktiga. Liksom i fallet med Transportstyrelsen har ledningen haft ett ansvar för hur Lantmäteriet varit organiserat, hur man prioriterat sina resurser och agerat i praktiken.847
Det är uppenbart att informationssäkerhetsarbetet måste få ta större plats inom en myndighet och inte endast vara en fråga som man tar upp vid exempelvis styrelsemöten om den hinns med. Det ligger också i sakens natur att även riksdag och regering har ett ansvar för att informationssäkerhetsfrågorna inte fått ett större fokus. En synpunkt som kommit fram vid intervjuer är att man efterlyst hårdare styrning genom speciallagstiftning och tydlighet i fråga om vilken information som Lantmäteriet ska tillhandahålla och hur det ska ske. Dessa frågor ligger dock utanför vårt uppdrag och får övervägas i annat sammanhang.
Vi vill dock peka på vikten av att utbildning sker regelbundet inom informationssäkerhetsområdet.
Utbildningsnivån bör också höjas i fråga om myndighetens obli- gatoriska utbildning inom området dataskydd.
Behovet av utbildning i informationssäkerhet
Generaldirektören har bland annat uppgett följande.
Man behöver tillsätta resurser för att höja och säkerställa kompetens, ha en öppen dialog, och tydlighet om vem som bestämmer och inte bara söka konsensus. Det gäller inte bara kompetens i sak utan också kompetens om att kommunicera det man kan. Man behöver ha en
847Se till exempel sammanfattningen i Ds 2018:6, s. 4.
380
Ds 2026:2 | Överväganden |
gemensam syn, det vill säga sätta en standard för att göra samma tolk- ningar, men också ha kompetens att kunna förändra dessa om säker- hetsläget förändras. Fastighetsbildning är en stor och splittrad verksamhet som behöver en stark ledning. Det finns nu förutsättningar för detta, med ett korrekt tänk gällande säkerhetsfrågor. Man får utföra ett standardiserat kriteriearbete för alla områden, inte bara fastighets- bildning, och reda ut vad som faller under säkerhetsskyddslagstift- ningen (och annan lagstiftning) och inte. Och man får jobba med säkerhetsskydd- och informationssäkerhet ute på landets kontor. Den statliga värdegrunden och statstjänstemannarollen behöver man också arbeta med. Man får reda ut vad som är viktigast att få processer kring av allt det som internrevisionen har lyft, som också skulle vara kultur- förändrande.
När det gäller utbildning i informationssäkerhet för medarbetarna finns i dag interna utbildningar inom Lantmäteriet. De handlar bland annat om grundläggande säkerhetsutbildning och operativ informa- tionssäkerhet.848
Nya styrelseledamöter får enligt uppgift en utbildning om drygt en halv dag via Regeringskansliet. Den handlar emellertid endast i liten utsträckning om allmänna handlingar, lagen om offentlighet och sekretess och säkerhetsskydd. Däremot innehåller utbildningen en hel del om intern styrning och kontroll och information om internrevision. Härtill finns en vägledning från Regeringskansliet om att vara ledamot i en myndighets styrelse.849 Som vi ser det bör Regeringskansliets introduktion innehålla även en introduktion om informationssäkerhet och säkerhetsskydd. Och i den angivna vägledningen bör tas in ett avsnitt om dessa frågor.
Regeringskansliet anordnar även ett introduktionsseminarium för nya myndighetschefer. Vi har tagit del av ett program för ett sådant seminarium från 2024 där det finns ett pass om 30 minuter som handlar om säkerhetsskydd. Inom chefsprogrammet hålls också digitala seminarier på olika teman. År 2022 var temat informations- säkerhet och säkerhetsskydd. Det finns även chefsgrupper, där che- ferna själva väljer innehåll, och möjlighet till individuella insatser ut- formade efter var och ens önskemål.850 Även här anser vi att större fokus bör ligga på informationssäkerhet och säkerhetsskydd.
I sammanhanget kan nämnas att Svenska institutet för standarder anordnar utbildningar inom informationssäkerhet och cybersä-
848Enligt uppgift från Lantmäteriet i november 2025.
849Information från Regeringskansliet i september 2025. Se även avsnitt 16.7.
850Information från Regeringskansliet i november 2025.
381
Överväganden | Ds 2026:2 |
kerhet. Exempelvis finns en utbildning inom systematiskt cyber- och informationssäkerhetsarbete för styrelse- och ledningsmedlem- mar. Utbildningen riktar sig till bland annat styrelser, verkställande direktörer och generaldirektörer samt andra ledningsroller i olika verksamheter. Syftet med utbildningen är att ge den högsta led- ningen i offentliga eller privata verksamheter verktyg för att styra cyber- och informationssäkerhetsarbetet och att säkerställa att led- ningssystemet för informationssäkerhet omfattar efterlevnad av de lagar och andra externa krav som gäller för verksamheten. Utbild- ningen förtydligar hur lagkrav såsom dataskyddsförordningen och säkerhetsskyddslagen hänger ihop med informationssäkerhets- arbetet. Den ger vägledning omkring hur roller och ansvar kan för- delas för att få i gång det riskbaserade säkerhetsarbetet. Frågor som tas upp är exempelvis hur man säkerställer rapportering till led- ningen om informationssäkerhet och cybersäkerhet, hur man kan integrera informationssäkerhet med andra styrområden i verk- samheten samt hur man ska arbeta med informationsklassning och vem som bör vara informationsägare.851 Vi anser att denna utbildning är ett bra exempel på vilka frågor som är viktiga att ha kunskap om som chef eller medlem i en statlig styrelse.
Ytterligare ett exempel som kan nämnas är att Lantmäteriet tagit fasta på EU:s informationssäkerhetsmånad i syfte att öka medveten- heten om informations- och cybersäkerhetsfrågor.852 Lantmäteriet har i oktober 2025 genomfört informationssäkerhetsmånaden med följande aktiviteter.853
–Ny skärmsläckare varje vecka med tips/påminnelser på hur man som användare bidrar till att öka informationssäkerheten.
–Artiklar om informationssäkerhet på Insikten (Lantmäteriets intranät), en per vecka. Varje artikel innehöll länk till med- vetandehöjande filmmaterial från MCF, en film per artikel.
–Frågesport där man behövde visa att man varit inne och läst om informationssäkerhet på Insikten.
851Information på https://www.sis.se/Utbildning/utbildningar/styrning-och-riskkontroll- av-information-och-cybersakerhet, hämtat den 26 januari 2026.
382
Ds 2026:2 | Överväganden |
17.15.2Uppgiftsskyldighet för fastighetsägare och ett råd för informations- och cybersäkerhet vid Lantmäteriet
Utredningens förslag: Samtliga fastighetsägare och andra aktö- rer som hanterar fastigheter eller samhällsviktiga anläggningar eller verksamheter av betydelse för Sveriges säkerhet bör vara skyldiga att löpande lämna uppgifter till Lantmäteriet om sådana fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Uppgifts- skyldigheten bör vara författningsreglerad.
Ett råd med fokus på informations- och cybersäkerhet, med representation från offentlig- och privaträttsliga subjekt som driver säkerhetskänslig verksamhet av betydelse för Sveriges sä- kerhet, bör inrättas vid Lantmäteriet. Rådet ska vara en del i att Lantmäteriet ska kunna ta ansvar för informationssäkerheten inom sitt verksamhetsområde. Rådet ska bidra till ökad kunskap och kompetens hos de aktörer som hanterar säkerhetskyddsklas- sificerad information eller i övrigt uppgifter av betydelse för Sveriges säkerhet.
Frågan om uppgiftsskyldighet för berörda subjekt och den närmare utformningen av ett råd för informations- och cyber- säkerhet bör beredas vidare inom Regeringskansliet. I det inne- fattas nödvändig författningsreglering.
Skälen för utredningens förslag
När det gäller informationssäkerhet är tre perspektiv i fokus – konfidentialitet, riktighet och tillgänglighet. Det handlar alltså inte bara om att information inte ska komma i orätta händer. Att infor- mation är korrekt och inte förvanskas är också prioriterat. Och det- samma gäller att information är tillgänglig i rätt sammanhang och i rätt tid. De tre perspektiven behöver balanseras i den meningen att exempelvis konfidentialitet inte ska leda till problem i fråga om till- gänglighet som leder till begränsningar i, som för Lantmäteriets del samhällsbyggnadsprocessen, som går längre än det syfte som konfi- dentialiteten tjänar. En tydlig avgränsning och definition av det som är skyddsvärt är en central del i att nå den balans som sammantaget leder till en ändamålsenlig informationssäkerhet. Avgränsningar och
383
Överväganden | Ds 2026:2 |
definitioner är ett fortgående arbete som styrs av de förändringar som en föränderlig verklighet, till exempel omvärld, både nationellt och internationellt, motiverar. Det finns – i vart fall generellt – inte ett givet synsätt på och förhållningssätt till informationssäkerheten som står sig över tid. Ändamålsenliga processer i vilka man konti- nuerligt strävar efter att ”ligga rätt” när det gäller gränserna för in- formationssäkerheten är nödvändiga i detta.
I Lantmäteriets uppdrag att ansvara för och hantera grundläggan- de geografisk information och fastighetsinformation innefattas in- formationsmängder om hela Sveriges fastighetsbestånd. Uppgifter- na finns i allt väsentligt i Lantmäteriets olika IT-system. I de mycket stora informationsmängder som Lantmäteriet ansvarar för ingår i viss utsträckning känsliga uppgifter som på skilda sätt har betydelse för Sveriges säkerhet. De omfattas därför på olika grunder av sekre- tess. Eftersom uppgifterna finns hos Lantmäteriet, är det myndig- hetens ansvar att de skyddas, det vill säga att ansvara för konfiden- tialiteten. En förutsättning för att Lantmäteriet ska kunna ta det an- svaret är att myndigheten vet vilka uppgifter som är skyddsvärda och varför. Det är bara då som Lantmäteriet har möjlighet att göra en korrekt sekretessprövning vid en begäran om utlämnande. I vissa fall, exempelvis beroende på aktuell fastighetsägare eller verksamhet, står det utan någon närmare utredning klart att fastighetsinforma- tion är känslig och bör omfattas av sekretess. I andra fall finns emel- lertid inte ett sådant underlag att Lantmäteriet har möjlighet att be- döma om och i så fall i vilken utsträckning som uppgifter är skydds- värda, till exempel säkerhetsskyddsklassificerade uppgifter.
För att Lantmäteriet på ett säkert sätt ska kunna ansvara även för känslig fastighetsinformation behöver myndigheten i många fall få information om att vissa uppgifter är skyddsvärda. Det är informa- tion som primärt finns hos berörda fastighetsägare som driver verk- samhet av betydelse för Sveriges säkerhet. Frågan är hur Lantmäte- riet ska få det underlag som behövs för att kunna göra adekvata be- dömningar av skyddsvärdet hos den fastighetsinformation som myndigheten löpande förses med i sin verksamhet och som tas in i och hanteras i bland annat fastighetsregistret och Arken.
Enligt vår mening framstår det som naturligt att fastighetsägare och verksamhetsutövare, som primära informationsägare med kun- skap om informationsmängderna i verksamheten, bör ansvara för att förse Lantmäteriet med det underlag som behövs för att myndighe-
384
Ds 2026:2 | Överväganden |
ten ska kunna klassificera uppgifterna utifrån ett informationssäker- hetsperspektiv. Det är också vår bedömning att ansvaret för att på detta sätt bidra till Sveriges säkerhet inte bör vara valbart. Det talar som vi ser det för att uppgiftsskyldigheten bör författningsregleras.
Vilka samhällsviktiga aktörer som berörs bör definieras utifrån ett totalförsvarsperspektiv, det vill säga även det civila försvaret. Alla berörda samhällsviktiga och därmed på olika sätt skyddsvärda aktö- rer och funktioner bör omfattas. Dessa bör – med stöd i författning
–ha ett ansvar för att löpande lämna uppgifter till Lantmäteriet om fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Hur en sådan uppgiftsskyldighet närmare bör utformas ligger dock utanför vårt uppdrag och får övervägas i annat sammanhang.
Som ett led i att utveckla förmågan att på ett säkert sätt ta ansvar för skyddsvärda fastighetsuppgifter driver Lantmäteriet i dag bland annat ett arbete med dialoger med ett antal samhällsviktiga aktörer. Syftet är att identifiera känsliga uppgifter utifrån olika samhällsvik- tiga perspektiv.854 Som ett led i det arbetet tas fram och används kriterier som fångar säkerhetskänslig information som Lantmäteriet kan använda för att komma fram till vilka uppgifter som bör omfattas av sekretess.
Fastighetsregisterlagsutredningen har nyligen föreslagit bland annat att ett nytt samverkansorgan, med representation från relevanta myndigheter och företag, bör inrättas vid Lantmäteriet för övergripande diskussioner och avstämningar av olika säkerhets- anknutna frågor kopplade till främst myndighetens fastighetsregis- ter- och tillhandahållandeverksamhet.855 Utredningen hade haft kon- takter med olika intressenter inom främst telekom och elproduktion och eldistribution men också med flera myndigheter och bland annat diskuterat behovet av en uppgiftsskyldighet gentemot myndigheter med ansvar inom informationssäkerhetsområdet. Det som efterfrå- gades vid dessa kontakter var samverkan och samarbete snarare än lagregler för att höja den samlade förmågan att skydda känslig fas- tighetsinformation från olika typer av angrepp. Aktörerna menade bland annat att det i olika organisationer görs olika bedömningar vad gäller till exempel behovet av att skydda vissa uppgifter. Utred-
854Se avsnitt 14.3.2.
855SOU 2024:7, s. 613 f.
385
Överväganden | Ds 2026:2 |
ningen föreslog att samverkansorganet skulle utgöra ett råd och be- nämnas informations- och cybersäkerhetsråd.
I remissvar över betänkandet tillstyrkte Lantmäteriet förslaget om ett nytt samverkansorgan, men såg bland annat ett behov av att det i myndighetens instruktion i vart fall delvis skulle föreskrivas vil- ka myndigheter som ska delta i rådet.856
Genom dialoger med berörda aktörer skapas förutsättningar för en fortgående utveckling av synen på och även samsyn när det gäller verksamhetsutövares olika skyddsvärden. Möjligheterna ökar för ett mer konsekvent skydd av uppgifter som var för sig eller i samman- ställd form skulle kunna skada Sveriges säkerhet. De sammanställ- ningar som i dag kan genereras med hjälp av artificiell intelligens ut- gör särskilda risker med konsekvenser som är svårare att överblicka än tidigare. Det perspektivet kan lämpligen också diskuteras i sam- verkan mellan Lantmäteriet och berörda aktörer.
Fastighetsregisterutredningen konstaterade att en verksamhets- utövares yrkanden i samband med en ansökan om fastighetsbildning kunde leda till beslut som på ett onödigt detaljerat sätt ger en bild av verksamhetens art som i sin tur skulle kunna skada Sveriges säkerhet.
Sannolikt kan dialoger som ger ökad kunskap och högre kompe- tens i fråga om vilka uppgifter som behöver registreras och arkiveras respektive inte ska sparas utifrån ett informationssäkerhetsperspek- tiv leda till högre kvalitet i tillämpningen av säkerhetsskyddslagen och övriga berörda författningar. Samtidigt kan Lantmäteriets för- utsättningar att sovra bland de uppgifter som i dag läggs in i registren öka.
I regeringens beslut i december 2020 om ett nationellt cybersä- kerhetscenter857 uttalas att det övergripande målet med centret är att stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot. Samverkan med privata och offentliga aktörer ska enligt regeringen utgöra en central del av uppdraget. Samma synsätt kan appliceras på Lantmäteriets verksamhet och förutsättningar att skydda säkerhetskänslig information och att begränsa information i register och arkiv till det som är nödvändigt i myndighetens verksamhet.
856 Lantmäteriets remissvar den 20 september 2024, LM2024/019026. Enligt uppgift från Justitiedepartementet i januari 2026 finns det ännu inte någon exakt tidplan för när de delar av betänkandet som rör fastighetsregistret ska tas om hand.
857Fö2019/01330.
386
Ds 2026:2 | Överväganden |
Fastighetsregisterutredningen exemplifierar vilka aktörer som naturligt skulle komma att ingå i ett samverkansorgan, till exempel aktörer inom elproduktion, eldistribution och telekom. Andra aktö- rer som nämns är bland andra Försvarsmakten, Försvarets radio- anstalt, Säkerhetspolisen samt Polismyndigheten och MCF. Utred- ningen diskuterar i det sammanhanget tillsynsmyndigheten roll. Som nämnts tidigare instämmer vi i den delen i utredningens syn på skillnaden mellan rådgivning och vägledning. Som vi ser det får det anses naturligt att Säkerhetspolisen i ett sammanhang av det här slaget bidrar med vägledning, exempelvis utifrån de föreskrifter om informationssäkerhet som myndigheten beslutat och som berörda aktörer har att tillämpa. I det hänseendet finns inte något motsatsförhållande mellan tillsynsrollen och att vara en del i den kompetensutveckling som bidrar till Sveriges säkerhet.
Enligt vår bedömning finns det anledning att ta fasta på Fastig- hetsregisterutredningens förslag om ett samverkansorgan – ett råd.858 Det ligger som framgått i det föregående helt i linje med Lant- mäteriets redan pågående dialoger och arbete med kriterier. Den in- riktningen på arbetet med informationssäkerhet anser vi bör fortsätta genom att Lantmäteriet på årsbasis för dialoger med samtliga berörda fastighetsägare och även med de som på fastighet driver samhällsviktig verksamhet som har betydelse för Sveriges säkerhet.
Dialogerna för att identifiera säkerhetsskyddsklassificerade upp- gifter, som behöver hållas löpande eftersom förhållandena kan för- ändras, skulle kunna hanteras inom ramen för ett sådant råd. Att in- rätta ett råd hade också fört med sig ökade möjligheter att generellt få ett större fokus på informationssäkerhetsfrågor. Och det gäller inte bara inom Lantmäteriet, det gäller också övriga berörda aktörer. Utifrån ett övergripande perspektiv skulle, med en sådan ordning, Sveriges säkerhet gynnas på flera plan.
Fastighetsregisterutredningen har inte lämnat något förslag om författningsreglering kopplad till det informations- och cybersäker- hetsråd som utredningen föreslår annat än att det i instruktionen för Lantmäteriet tas in bestämmelser om rådet som en uppgift för myn- digheten att hantera. Hur det gemensamma arbetet i rådet ska kom- ma till stånd diskuteras inte närmare annat än att det ges exempel på några samhällsviktiga aktörer. Någon fullständig genomgång av be-
858Jämför prop. 2020/21:30, s. 151 f.
387
Överväganden | Ds 2026:2 |
rörda verksamhetsutövare görs inte. Som vi ser det behöver frågan om utformningen av ett råd övervägas ytterligare. Bland annat behö- ver berörda samhällsviktiga aktörer identifieras. Författningsstöd bör ges som lämpligen kan kopplas till en författningsreglerad upp- giftsskyldighet för den vars fastighetsuppgifter ska finnas i Lantmä- teriets register och arkiv. Den nyssnämnda uppgiftsskyldigheten och delaktigheten i ett råd har samma utgångspunkter – att utifrån en samhällsviktig funktion vara en del i Sveriges säkerhet.
För detta ändamål bör, som Fastighetsregisterutredningen har föreslagit, ett råd inrättas. Arbetet i rådet bör riktas in på att definie- ra skyddsvärda objekt och funktioner och därmed skyddsvärda uppgifter. En annan del är ökad kunskap och kompetensutveckling när det gäller informationssäkerhet till skydd för Sveriges säkerhet. Genom att många samhällsviktiga aktörer berörs, inom i stort sett alla samhällssektorer, finns mycket goda förutsättningar för ökad kvalitet när det gäller hur säkerhetskänslig information hanteras. Och det gäller inte bara hos Lantmäteriet och i myndighetens register och arkiv utan samtidigt i verksamheten hos respektive samhällsviktig aktör.
Nämnas i sammanhanget bör de kommunala lantmäterimyndig- heterna som i sin fastighetsbildningsverksamhet använder uppgifter som finns i Lantmäteriets register och arkiv och även Lantmäteriets handläggningssystem. De kommunala lantmäterimyndigheterna hämtar uppgifter från Lantmäteriets IT-system och returnerar ny in- formation in i systemen utan att Lantmäteriet i den processen tar ställning till vare sig uppgifternas känslighet utifrån ett informa- tionssäkerhetsperspektiv eller om uppgifterna är nödvändiga att ar- kivera. De kommunala lantmäterimyndigheterna bör vara represen- terade i ett information- och cybersäkerhetsråd.
Tilläggas kan att ledamöterna i rådet, i denna funktion, av natur- liga skäl, ska vara säkerhetsprövade och att Lantmäteriet bör ansvara för den prövningen. Frågan om författningsreglering i berörda hän- seenden och den närmare utformningen av ett informations- och cy- bersäkerhetsråd bör beredas vidare inom Regeringskansliet.
388
18Arkivansvaret för de kommunala lantmäterimyndigheternas akter
18.1Kapitlets innehåll
I detta kapitel beskrivs vårt uppdrag och våra överväganden i fråga om arkivansvaret för de kommunala Lantmäterimyndigheternas akter.
Kapitlet innehåller en kort bakgrundsbeskrivning av de kommu- nala lantmäterimyndigheternas arkivering i Arken, en beskrivning av regleringen av nuvarande arkivansvar, en beskrivning av tillsyn relaterad till arkivfrågor samt synpunkter från några aktörer. Vidare tas frågor upp som hänger samman med personuppgiftsansvaret för akter i Arken och utlämnande av de kommunala lantmäterimyn- digheternas akter från Arken.
18.2Utgångspunkter för vårt uppdrag
Vårt uppdrag i den här delen är formulerat på så sätt att vi ska
utreda om Lantmäteriet bör ha fortsatt arkivansvar och ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheter- nas akter samt, om så inte är fallet, lämna förslag på vilken eller vilka aktörer som i stället framstår som lämpliga för att ta över ansvaret för dessa uppgifter.
Lantmäteriet har i dagsläget inte något att göra med de kommunala lantmäterimyndigheternas fysiska akter, som i viss mån fortfarande förekommer eller finns kvar hos kommunerna sedan tidigare. Upp- draget tar därför sikte endast på de digitala fastighetsbildningsakter som Lantmäteriet enligt avtal förvarar i Arken åt dessa myndigheter.
Formuleringen i vårt uppdrag om att vi ska utreda om Lantmäte- riet bör ha fortsatt arkivansvar för de kommunala lantmäterimyn-
389
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
digheternas akter kan uppfattas på olika sätt. En sak är att de kom- munala lantmäterimyndigheternas akter förvaras digitalt hos Lant- mäteriet med det ansvar för aktmaterialet som ligger i det. En annan sak är arkivansvaret i formell mening.
I vår granskning har vi noterat att flertalet aktörer utgått från att det är de kommunala lantmäterimyndigheterna som i rättslig mening har arkivansvaret för sina akter, inte Lantmäteriet. Vi har emellertid inte fått några indikationer som tyder på att frågan om arkivansvaret är rättsligt klarlagd.
18.3Allmänt om de kommunala lantmäterimyndigheterna
Det finns ett relativt nytt betänkande, från oktober 2025, En bättre organisering av fastighetsbildningsverksamheten (SOU 2025:98), som rör de kommunala lantmäterimyndigheterna. I betänkandet redogörs ingående för bland annat historiken, de rättsliga förutsätt- ningarna samt myndigheternas organisation, storlek och ärendesta- tistik. Vi hänvisar till det betänkandet för mer information om de kommunala lantmäterimyndigheterna.
I dag finns kommunala lantmäterimyndigheter i 40 av landets kommuner. Storleken på kommunerna varierar och följaktligen ock- så antalet förrättningar och komplexitet i de ärenden som respektive kommunal lantmäterimyndighet handlägger. Alla tre storstadskom- muner har egna kommunala lantmäterimyndigheter och de i Göte- borg och Stockholm hör till landets största. Sett till folkmängd per kommun bor cirka 50 procent av landets befolkning i de 250 kommuner där Lantmäteriet svarar för fastighetsbildningsverksam- heten. Återstående cirka 50 procent av landets befolkning bor i de 40 kommuner där en kommunal lantmäterimyndighet svarar för fastighetsbildningsverksamheten.859
Förutsättningarna för att inrätta kommunala lantmäterimyndig- heter och befogenheterna för dessa framgår av lagen (1995:1393) om kommunal lantmäterimyndighet, som trädde i kraft den 1 januari 1996. En kommunal lantmäterimyndighet handlägger bland annat ärenden om fastighetsbildning, fastighetsbestämning, särskild gräns- utmärkning och fastighetsregistrering inom kommunen. En kom-
859SOU 2025:98 bilaga 3, s. 542.
390
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
munal lantmäterimyndighet ska dock överlämna vissa ärenden till Lantmäteriet. Det gäller förrättningar i vissa fall där sakägaren begär det, förrättningar som avser flera lantmäterimyndigheters verksam- hetsområden, stora jord- och skogsbruksförrättningar som inte om- fattar ny bebyggelse och andra särskilda förrättningar som av kom- petens- eller resursskäl inte bör handläggas hos myndigheten. Lant- mäteriet bedriver tillsyn av de kommunala lantmäterimyndighe- terna.860
Vi har tagit del av Lantmäteriets tillsynsrapporter och tillsynskri- velser för åren 2021–2024. Referenser till Lantmäteriets tillsyn görs i det följande enbart genom hänvisning till kommun och tillsynsår.
18.4Kommunala lantmäterimyndigheters arkivering av handlingar hos Lantmäteriet
Flera kommuners förrättningsarkiv har helt digitaliserats. Även plandokument som finns registrerade i fastighetsregistret kan vara digitaliserade. Lantmäteriet lagrar kommunala lantmäterimyndighe- ters digitala arkivakter från förrättningar i Arken. I den följande beskrivningen bortses från ärenden där kända säkerhetsskydds- klassificerade uppgifter förekommer.861
När ett ärende får laga kraft registreras förrättningen i fastighets- registret av den kommunala lantmäterimyndigheten genom Trossen. Den digitala registerkartan, som är en del av fastighetsregistret, upp- dateras från kartprogrammet.862 Arkiveringen sker digitalt genom att en arkivakt skapas i Trossen och sparas i Arken.
Det kan även förekomma att fysiska handlingar i original, exempelvis vid skyddade personuppgifter, läggs i ett arkiv hos kommunen och att analog arkivering i viss mån sker av andra skäl. Analoga akter kan efter inskanning till Arken även fortsätta förvaras i ett eget arkiv hos kommunen, alternativt kommun- eller stadsarkiv, där även äldre förrättningsakter finns arkiverade.863
860Se 5 och 6 §§ lagen om kommunal lantmäterimyndighet. Uppräkningen i 5 § är dock inte uttömmande. Kommunala lantmäterimyndigheter handlägger även ärenden enligt andra lagstiftningar.
861Lantmäteriets Säkerhetsskyddsanalys, LM2025/088391, s. 27 och 30.
862GeoSecma för de kommunala lantmäterimyndigheter som använder det systemet, i annat fall används systemet Bryggan.
863Information från tillsynsprotokoll, exempelvis Huddinge och Jönköping 2021, samt samtal med olika kommunala lantmäterimyndigheter i september och oktober 2025.
391
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
18.4.1Rättsliga förutsättningar för arkivet
Arkivlagen
Arkivlagen gäller för arkiv hos alla typer av myndigheter, såväl statliga som kommunala. En myndighets arkiv bildas bland annat av de allmänna handlingarna från myndighetens verksamhet. I arkivlagen beskrivs bland annat hur arkivet ska organiseras och vårdas samt vad som gäller för upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter.864
En kommunal myndighet får, förutom vid gallring eller särskilda varianter av övertaganden och överlämnanden, avhända sig allmänna handlingar endast genom sådant återlämnande eller överlämnande som sker med stöd av lag, eller särskilt beslut av kommunfullmäktige eller regionfullmäktige.865
I förarbetena till arkivlagen anges att överlämnande till annan myndighet ska kunna ske exempelvis när det gäller kvalificerat hemliga handlingar som helt eller till vissa delar har upprättats hos en myndighet men som av sekretesskäl bör finnas samlade hos en annan, överordnad myndighet.866
Arkivförordningen
I arkivförordningen (1991:446) finns ytterligare bestämmelser om arkiv och arkivmyndigheter.
Sedan ett ärende hos en myndighet slutbehandlats ska de allmän- na handlingarna i ärendet arkiveras. I samband med det ska myndig- heten pröva i vilken omfattning exempelvis minnesanteckningar, ut- kast och koncept ska tas om hand för arkivering. Allmänna hand- lingar som inte hör till ett ärende ska arkiveras så snart de har juste- rats av myndigheten eller färdigställts på annat sätt.867
Det är Riksarkivet som är statlig arkivmyndighet. Riksarkivet får meddela föreskrifter om statliga myndigheters (inte kommunala) arkiv, bland annat i fråga om överlämnande av hela arkivet eller delar därav till en annan myndighet eller till en arkivmyndighet.868 För
864Se kapitel 2 för en utförligare beskrivning av lagen.
86515 § arkivlagen.
866Prop. 1989/90 :72 s. 78.
8673 §.
8688 och 11 §§.
392
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
kommunernas del är det kommunstyrelsen eller annan nämnd som är kommunal arkivmyndighet. Den kommunala förvaltning som har hand om detta brukar kallas kommunarkiv eller stadsarkiv. I vissa fall av samverkan, exempelvis i Göteborg, finns ett regionarkiv som bevarar och tillgängliggör arkiven från både stad och region.
Lantmäteriets instruktion och Arkenförordningen
I kapitel 11 har redogjorts närmare för Lantmäteriets uppgifter i in- struktionen i fråga om Arken och tillhandahållandetjänsterna. Där, samt i kapitel 4, har också beskrivits vad som förekommit i myndig- hetens regleringsbrev.
Även den så kallade Arkenförordningen har beskrivits i kapitel
11.Där har Lantmäteriets uppfattning om förordningen beskrivits, vilket är att den över huvud taget inte är tillämplig på Arken utifrån att man menar att flertalet rättsliga bedömningar som låg till grund för förordningen var oriktiga. Lantmäteriet bedömer att den databas som förordningen avser aldrig har existerat och att enskilda bestämmelser i förordningen strider mot lag om de skulle tillämpas på arkivhandlingarna i Lantmäteriets digitala arkiv Arken.869
Avtal mellan Lantmäteriet och kommuner
Lantmäteriet lagrar och tillhandahåller de kommunala lantmäteri- myndigheternas arkivakter med stöd av avtal. Enligt Lantmäteriet är det en möjlighet som kan utläsas i Lantmäteriets instruktion samt regleringsbrev, om än en tydligare reglering enligt myndigheten hade varit önskvärd.870
Vi har tagit del av avtal om arkivering mellan Lantmäteriet och ett antal kommuner.871 Det kan noteras att de avtal vi har tagit del av är från åren 2016–2018. De hänvisar till personuppgiftslagen och har inte uppdaterats sedan dataskyddsförordningen trätt i kraft.
869Promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 23–29.
870Information från Lantmäteriet, november 2025.
871I avtalen används genomgående uttrycket arkivering, bortsett från i avtalsrubriken, men Lantmäteriet har i november 2025 uppgett att uttrycket lagring genomgående i stället hade varit mer korrekt.
393
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
Enligt uppgifter från såväl Lantmäteriet som de kommunala lant- mäterimyndigheterna är samtliga avtal, rubricerade Avtal om lagring i Lantmäteriets digitala arkiv, Arken, så kallade Arkenavtal, i det när- maste likalydande och utgår från samma mall. Av avtalen framgår bland annat följande om bakgrunden och vad avtalen avser.872
Kommunen har för sin kommunala lantmäterimyndighets behov ett intresse av ett fortsatt samarbete med Lantmäteriet för att vid- makthålla ett aktuellt och nationellt digitalt arkiv för förrättningsak- ter. Avtalet avser därför arkivering, mot en avgift, av digitala förrätt- ningsakter i original, genom inskanning av digitaliserade analoga för- rättningsakter samt planer. Kommunen är arkivmyndighet och arki- verar sina förrättningsakter i Arken, som Lantmäteriet förvaltar.
Avtalet omfattar även sådana planer och bestämmelser som är in- skannade från analoga original eller utgör kopior av digitala original och som kommunen valt att förvara digitalt i Arken.
Av avtalen framgår vidare att Lantmäteriet åtar sig att till kom- munen leverera en fysisk kopia av kommunens databas en gång i halvåret, och att på anmälan från kommunen utföra mindre komp- letteringar eller rättelser i metadata. Större kompletterings- och rät- telsearbeten kan utföras endast efter särskild överenskommelse mel- lan Lantmäteriet och kommunen.
Gällande kraven på arkiveringen anges att Lantmäteriet ansvarar för att Arken uppfyller de generella krav på funktionalitet som fram- går av följande definition av e-arkiv:
•e-arkiv är ett system för bevarande av allmänna handlingar över tid
•i e-arkivet är de allmänna handlingarna frikopplade från de system i vilka de skapats
•e-arkivet innehåller funktioner för inleverans, arkivering, lagring, gallring, administration, återsökning och utlämnande
•e-arkivet säkerställer upprätthållande av autenticitet, tillförlit- lighet, integritet och användbarhet hos de allmänna handlingarna
872Enligt information från Lantmäteriet, november 2025, avser avtalen Lantmäteriets ansvar för digitala kopior. Det har dock enligt vår bedömning inte kommit till uttryck i avtalen och synes inte heller vara samtliga kommunala lantmäterimyndigheters uppfattning, utan en del anser tvärtom att deras digitala akter från senare år finns i original i Arken och i vissa fall enbart i Arken. Frågan om vilken typ av handling som kan utgöra ett digitalt original kan, som fram- går av våra överväganden, behöva utredas.
394
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
•e-arkivets funktioner säkrar handlingarna från informations- förluster genom validering samt kontinuerliga kontroller och tester
Vidare anges om kraven på arkiveringen bland annat att Lantmäteriet ska ansvara för att Arken uppfyller angivna av Riksarkivets aktuella föreskrifter och allmänna råd samt andra relevanta författningar av betydelse för ändamålsenlig arkivering.
Beträffande kommunens åtaganden anges att kommunen ska spara en egen kopia av det aktmaterial som arkiveras i databasen, att kommunen bekostar och genomför digitaliseringen av sina för- rättningsakter samt förberedelserna för detta och att kommunen ska följa Lantmäteriets eventuella anvisningar som behövs för att arki- vering kan genomföras på ett kostnadseffektivt sätt enligt gällande regler.
När det gäller kommunernas nyttjanderätt till informationen i Arken uppges i avtalen att den inte regleras där utan i andra avtal. Vidare uppges att Lantmäteriet äger rätt att nyttja informationen i Arken i sin myndighetsutövning. Lantmäteriets rätt att sälja information873 eller kopior av handlingar som arkiverats i Arken uppges regleras i särskilda avtal, till exempel avtal om Arkivsök eller avtal om Geodatasamverkan (se mer om innehållet i sådana avtal i kapitel 11 om extern direktåtkomst till olika digitala tjänster).
Lantmäteriet uppges i avtalen vara personuppgiftsansvarig myn- dighet för Arken.874 Enligt avtalen ska Lantmäteriet vidare beakta bestämmelserna i bland annat offentlighets- och sekretesslagen och andra författningar där frågor om sekretess, säkerhet och informa- tionsansvar regleras.
De kommunala lantmäterimyndigheterna har härtill tillgång till andra system, såsom handläggningsstödet Trossen samt AktDirekt, ArkivSök och FRWebb som är tjänster som kopplar till Arken. De kommunala lantmäterimyndigheterna lägger upp sina egna behörig- heter.875
873Lantmäteriet uppger i november 2025 att det är tveksamt om de hänvisade avtalen verkligen reglerar rätten att sälja information, vilket vi också anser vara tveksamt.
874Denna skrivning är enligt uppgift från Lantmäteriet i december 2025 sannolikt endast en upplysning om vad som gäller enligt Arkenförordningen. Däremot borde det enligt Lantmä- teriet möjligen ha uttryckts som att Lantmäteriets ansvar avser tillhandahållandet i enlighet med Arkenförordningen.
875Rapporten Risker i tillhandahållande av akter och konsekvenser vid borttagande av digitala tjänster, den 6 maj 2024.
395
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
18.5Tillsyn av arkivrelaterade frågor
18.5.1Allmänt om tillsynen
Som tidigare beskrivits bedrivs tillsyn av arkiv av arkivmyndighe- terna. Riksarkivet är den statliga arkivmyndigheten medan kom- munstyrelsen i regel är arkivmyndighet i kommunen.
Vi har inte utrett i vilken utsträckning kommunstyrelserna i res- pektive kommun har utövat tillsyn över sina kommunala lantmäte- rimyndigheters arkiv. Det är däremot klarlagt att Riksarkivet inte har utfört någon sådan tillsyn, eftersom det rör sig om kommunal verksamhet. I fråga om säkerhetsskyddslagen är det också klarlagt att länsstyrelser efter den särskilda händelsen i viss skala inlett till- syn.
Vid Lantmäteriets ordinarie tillsyn av de kommunala lantmäteri- myndigheterna har frågor om arkiv och allmänna handlingar berörts i vissa fall.
18.5.2Lantmäteriets tillsyn
Av Lantmäteriets instruktioner inför ett planerat tillsynsbesök framgår att den kommunala lantmäterimyndigheten uppmanas redovisa bland annat uppgifter om myndighetens registrering och registervård samt förvaltningsrättslig regelefterlevnad. Specifika de- taljer inom dessa områden är bland annat arkivering, system och rutiner för diarieföring, förvaring av handlingar samt rutiner för per- sonuppgiftshantering och skyddade personuppgifter.876 Tillsynen har inte i något fall handlat om arkivansvaret för de kommunala lant- mäterimyndigheternas akter i Arken.
18.6Allmänna handlingar och personuppgifter
18.6.1Utlämnande av allmänna handlingar ur Arken
När det ska lämnas ut handlingar från de kommunala lantmäteri- myndigheternas akter i Arken har såväl Lantmäteriet som de kom- munala lantmäterimyndigheterna ansett sig ha tillgång till hand-
876Skrivelsen Lantmäteriets ansvar för tillsyn över de kommunala lantmäterimyndigheterna enligt gällande rätt den 28 maj 2025, LM2025/051647.
396
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
lingarna som allmänna hos dem. Den myndighet som fått en begäran om att få ut en allmän handling – Lantmäteriet eller aktuell kommu- nal lantmäterimyndighet – har därmed kunnat lämna ut handlingar, i vilket ingår att bedöma om handlingarna kan lämnas ut eller om de innehåller uppgifter som omfattas av sekretess.
18.6.2Personuppgiftsansvaret i Arken
Arken och Arkenförordningen beskrivs närmare i kapitel 11 och i kapitel 15 redovisas Lantmäteriets personuppgiftsbehandling i Arken. I det följande redogörs för några ytterligare frågor relaterade till de kommunala lantmäterimyndigheterna.
Lantmäteriet har, i fråga om personuppgiftsansvaret enligt 3 § Arkenförordningen, framfört uppfattningen att myndigheten lagrar och tillhandahåller de kommunala lantmäterimyndigheternas arkivakter med stöd av avtal samt att Lantmäteriet inte har tagit över ansvaret för de kommunala lantmäterimyndigheternas arkiv- handlingar. Det saknas enligt Lantmäteriet författningsstöd för myndigheten att ta över personuppgiftsansvaret för personuppgifter i kommunala lantmäterimyndigheters arkivhandlingar.877
Vi har tagit del av artikel 30-register från några kommunala lantmäterimyndigheter. I dessa tas inte behandlingen i form av arkivering eller hantering i Arken upp, och inte heller själva överlämnandet av uppgifter till Arken. I Lantmäteriets artikel 30-register anges emellertid på ett flertal ställen Lantmäteriet som personuppgiftsansvarig för Arken och för AktDirekt. I fråga om AktDirekt anges ändamålet med behandlingen vara att tillgänglig- göra akter utifrån en rättslig förpliktelse. Lantmäteriet har uppgett att innebörden av det som anges i fråga om Arken i artikel 30- registret är att Lantmäteriet är personuppgiftsansvarig för sina egna arkivakter och inte för de kommunala lantmäterimyndigheternas akter. Några personuppgiftsbiträdesavtal, så kallade PUB-avtal, avseende Arken finns inte. Enligt uppgift från Lantmäteriet beror det på att det har saknats ett helhetsgrepp om frågan och arbete med
877Promemorian Nationellt Digitalt lantmäteriarkiv, Lantmäteriet den 16 september 2024, LM2024/052370, s. 23–29. Lantmäteriet hänvisar till att utgångspunkten i författnings- förslaget från 2003 var att arkivansvaret skulle ligga kvar på respektive arkivbildare. Samtidigt angavs i förslaget att respektive myndighet skulle vara personuppgiftsansvarig för den behandling som den myndigheten utförde.
397
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
den har pågått under lång tid. Dataskyddsombudet har dock enligt egen uppgift inte involverats i något sådant arbete.878
18.7Inhämtade synpunkter om arkivansvaret
18.7.1Sveriges kommuner och Regioner (SKR)
SKR har vid kontakter under vår granskning uppgett i huvudsak följande om arkivfrågan. Lagringen i Arken regleras genom avtal. Utan avtalen hade de kommunala lantmäterimyndigheterna inte behövt lämna över handlingar till Lantmäteriet, utan man var överens om att göra på detta sätt. Det ansågs vara en förenkling att använda samma arkiv men det är svårt att se att arkivansvaret kan flyttas över för att man är överens om ett lagringssätt genom avtal, eftersom avtal kan sägas upp. Det är en fråga i sig om upplägget verkligen ska regleras på avtalsbasis eller på annat sätt. Lantmäteriet kan antagligen inte anses ha arkivansvaret, eftersom avtalen bara reglerar den digitala delen, det vill säga systemet Arken som hand- lingar läggs in i. Originalhandlingar finns också kvar på kommunerna i fysisk form. Arken kopplar till andra system och om man inte för- varar akterna i Arken har man inte tillgång till uppgifterna i de sys- temen.879 De uppgifter som arkiveras i Arken är en nödvändig förut- sättning för att kommunerna och de kommunala lantmäterimyndig- heterna ska kunna bedriva den verksamhet de enligt lag ska utföra. Lösningen med ett gemensamt digitalt arkiv kom till för att kunna få en effektiv åtkomst till uppgifterna. Utan en sådan åtkomst finns inte förutsättningar för ett gemensamt arkiv. Det gör att arkivfrågan och tillgången till uppgifterna inte kan separeras utan måste behand- las i ett sammanhang.880
18.7.2Några kommunala lantmäterimyndigheter
Vi har haft kontakt med fem kommunala lantmäterimyndigheter, tillhörande kommunerna Göteborg, Halmstad, Sandviken, Stock- holm och Trollhättan. Den bild som vi har fått vid kontakterna är relativt samstämmig. Det som förmedlas är att ett nationellt och
878Information från Lantmäteriet, november och december 2025.
879Möte mellan utredningen och representanter från SKR den 22 september 2025.
880E-post till utredningen från SKR, den 2 oktober 2025.
398
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
öppet tillgängligt arkiv har varit bra utifrån att många aktörer har behov av arkivuppgifterna samt att samarbetet mellan kommunerna och Lantmäteriet historiskt sett har fungerat väl. Även Lantmäteriet har framfört en liknande uppfattning, men även att uppdelningen med en statlig myndighet och kommunala lantmäterimyndigheter är otydlig och rättsligt svårhanterad. Tydlig reglering och tydliga uppdrag krävs.881
Den kommunala lantmäterimyndigheten i Sandviken anser att Lantmäteriet inte kan anses ha ett arkivansvar i dag. Varje kommunal lantmäterimyndighet har ett arkivansvar som aldrig har lämnats över till Lantmäteriet. Myndigheterna köper enbart tjänsten att använda Lantmäteriets tekniska system. Frågan är snarare om arkivansvaret ska bli Lantmäteriets.
Den kommunala lantmäterimyndigheten i Trollhättan har fört fram att innebörden av avtalen med Lantmäteriet när det gäller arkiv- ansvaret kan diskuteras. Man har inte uppfattat det som möjligt att lämna över sitt arkivansvar utan har sett det som att man lånat arkiv- plats hos Lantmäteriet.
Den kommunala lantmäterimyndigheten i Stockholm anser inte heller att Lantmäteriet har något arkivansvar för deras akter utan att akterna bara lagras där.
Även den kommunala lantmäterimyndigheten i Göteborg anser att Arken endast är en lagringsyta. Den kommunala lantmäterimyn- digheten i Göteborg har kvar de fysiska originalen av allt som skan- nats in, vilket gör det möjligt att hämta fysiska akter vid behov. Som den kommunala lantmäterimyndigheten i Göteborg ser det är tre frågor angelägna; det handlar om arkivansvaret, lagringen och tillhandahållandet. Den kommunala lantmäterimyndigheten i Göte- borg anser att arkivansvaret bör förbli som det är, det vill säga ligga på respektive myndighet, men att det behöver möjliggöras ett utbyte av information till och från lagringsytan. Det bör ske dels i form av en möjlighet för en kommunal lantmäterimyndighet att fortsätta att leverera information, dels för Lantmäteriet att leverera ut informa- tion tillbaka till den kommunala lantmäterimyndigheten även om in- formationen skulle omfattas av sekretess.
Den kommunala lantmäterimyndigheten i Halmstad har samma uppfattning som de övriga i fråga om arkivansvaret och framhåller behovet av ett informationsflöde oavsett vem som förvaltar akterna.
881Information från Lantmäteriet, november 2025.
399
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
18.8Överväganden i fråga om arkivansvar och utlämnande av akter
Utredningens bedömning: Arkivansvaret bör ligga på den myn- dighet som skapar arkivmaterialet. De kommunala lantmäteri- myndigheterna förvarar digitala arkivakter i Arken och har arkiv- ansvaret för dessa. Lantmäteriet har inte något arkivansvar för akterna. Det finns inte skäl att ändra denna ordning. Dock bör övervägas att i författning tydliggöra att respektive myndighet har ansvar för att arkivera sin information. Det bör förtydligas även vad som gäller om ansvaret för arkiveringssystemet som sådant.
Även om Lantmäteriet inte har arkivansvar för de kommunala lantmäterimyndigheternas akter har Lantmäteriet ansvar för att lämna ut sådana akter från Arken som myndigheten har tillgång till.
Skälen för utredningens bedömning
Inledning till frågeställningen om arkivansvaret
Frågan om vilken myndighet som har arkivansvar för en kommunal lantmäterimyndighets akt som förvaras i Arken har uppkommit en- bart av den anledningen att det handlar om ett delat informations- system. Det är – av naturliga skäl – inte någon som ifrågasätter att det är de kommunala lantmäterimyndigheterna som har arkivansva- ret för sina akter som de inte förvarar i Arken.
Lantmäteriet har beskrivit det som att det är respektive kom- munal lantmäterimyndighet som är arkivbildare för sina arkivakter. De kommunala lantmäterimyndigheterna är informationsägare av- seende dessa, medan Lantmäteriet utför och ansvarar för lagringen av de digitala arkivakterna enligt ingångna avtal. Eftersom arkiv- akterna är inkomna till Lantmäteriet som har tillgång till dem, är de dock allmänna handlingar också hos Lantmäteriet.882
I samband med den särskilda händelsen, när alla externa tjänster stängdes, distribuerade Lantmäteriet också relativt omgående ut de kommunala lantmäterimyndigheternas akter till dem i särskild
882Lantmäteriets Säkerhetsskyddsanalys, LM2025/088391, s. 27 och 30.
400
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
ordning. Det har beskrivits närmare i kapitlet om den särskilda händelsen. Av Lantmäteriets logg från den här perioden framgår att den dåvarande chefsjuristen, vid en intern avstämning i lednings- gruppen, uppgett att Lantmäteriet inte delat med sig av sin informa- tion utan att de kommunala lantmäterimyndigheterna enbart har fått tillbaka sin egen information.
Även de kommunala lantmäterimyndigheterna har beskrivit en liknande uppfattning, som också får stöd i såväl avtalen om lagring i Arken som i arkivlagstiftningen. Även om det inte framgår av Arkenförordningen, som avser tillhandahållande från arkivet, kan det också konstateras att avsikten med regleringen enligt den promemoria som föregick förordningen var att Lantmäteriet skulle bära arkivansvaret för det statliga lantmäterimaterialet. Avsikten var vidare att respektive kommunal myndighet skulle bära ansvaret för det kommunala lantmäterimaterialet.883
Det finns inte någon särskild bestämmelse i arkivlagen som kan tillämpas för att lämna över arkivmaterial till Lantmäteriet, eftersom den inte är en utpekad arkivmyndighet. Det har inte heller kommit fram att det skulle vara kommunfullmäktige i respektive kommun som beslutat att lämna över allmänna handlingar till Lantmäteriet. Det vore den sista tänkbara möjligheten för en kommunal myndig- het att avhända sig allmänna handlingar.884
Därmed återstår att bedöma hur man ska se på ansvaret för arki- vet utifrån att det är fråga om ett delat system.
Arkivbildning i delade system
Ett möjligt skäl att se Lantmäteriet som arkivansvarig är bestäm- melsen om att upptagningar för automatisk databehandling som är tillgängliga för flera myndigheter, så att de där utgör allmänna handlingar, bara ska bilda arkiv hos den myndighet som svarar för huvuddelen av upptagningen.885
Av en kommentar till den bestämmelsen framgår bland annat följande. Undantaget är nödvändigt eftersom en upptagning för
883 Promemorian Författningsreglering rörande tillhandahållande m.m. av fastighets- information ur digitala arkiv, Lantmäteriet och Domstolsverket den 7 oktober 2003, 500-2003/472, s. 7 och 13.
884Jämför 9 och 15 §§ arkivlagen.
8853 § arkivlagen.
401
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
automatiserad behandling som är tillgänglig för flera myndigheter på så sätt att de exempelvis kan läsa innehållet, anses förvarad hos och inkommen till samtliga myndigheter som kan läsa den (se 2 kap. 6 och 9 §§ tryckfrihetsförordningen). Upptagningen är därmed allmän handling hos samtliga myndigheter som kan ta del av den. Ur arkivsynpunkt är det onödigt att arkivera upptagningen på flera ställen. Av förarbetena framgår att avsikten är att beslut om hos vilken myndighet upptagningen ska arkiveras i enskilda fall ska fattas av den arkivmyndighet som har ansvar för den aktuella verksamhe- ten. I praktiken bör det innebära att om en myndighet svarar för hu- vuddelen av en upptagning för automatiserad behandling, ingår det i myndighetens skyldighet att avgränsa arkivet att ange hos vilken myndighet (den egna eller någon annan) som handlingen ska utgöra arkiv. Med att en myndighet svarar för huvuddelen av upptagningen avses sannolikt att myndigheten förfogar över upptagningen på fler sätt än att endast kunna ta del av information från den, exempelvis genom att kunna tillföra eller ta bort information. Möjligheten att på så sätt förfoga över informationen bör omfatta en större del av informationsmängden i upptagningen.886
Av Riksarkivets information om arkivbildning i delade system framgår bland annat följande.887
När två eller flera myndigheter delar användningen av ett gemensamt system ska det stå helt klart vilken av dessa myndigheter som utgör arkivbildare eller om de var för sig är egna arkivbildare i systemet.
I fråga om vad som är huvuddelen av en upptagning så behöver det inte enbart omfatta själva informationsmängden, utan kan också om- fatta på vilket sätt myndigheten förfogar över den. Enligt Riksarkivets uppfattning bör det även kunna omfatta om myndigheten hanterar lagring, drift- och förvaltning av upptagningen, det vill säga har system- administrativt ansvar för databasen. Vissa myndigheter har särskilda lagar eller förordningar som säger att de ska hålla särskilda register för vissa specifika ändamål. Då är det också den registerhållande myndig- heten enligt lagen eller förordningen som utgör arkivbildare.
Ett beslut om att avgränsa sitt arkiv så att uppgifter i ett delat informationssystem endast bildar arkiv hos en av myndigheterna kan inte fattas om det inte är motiverat. Att ingå i ett gemensamt system genom att man överlåter uppgifter inom arkivvården till den som äger och förvaltar systemet är ofta en tillräcklig lösning.
886Se Geijer och Lövblad, Arkivlagen (18 juni 2025, JUNO), kommentaren till 3 §.
887Se https://riksarkivet.se/resurser/arkivbildning-i-delade-system#heading-15545-4, hämtat den 5 december 2025.
402
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
Lantmäteriet har inte arkivansvar för de kommunala lantmäterimyn- digheternas akter i Arken
Av arkivlagen framgår att den myndighet i vars verksamhet arkivet skapas i första hand ska ta hand om arkiveringen av sina handlingar, det vill säga varje arkivbildare är ansvarig för sitt arkiv. Redan härav följer att det enligt huvudregeln inte är Lantmäteriet som har arkiv- ansvaret för en kommunal lantmäterimyndighets akt i Arken.
Arkenförordningen syftar endast till att reglera tillhandahållandet ur arkivet och inte arkivansvaret i sig. Den kan därför inte anses vara en sådan särskild förordning som gör Lantmäteriet till arkivbildare i enlighet med Riksarkivets beskrivning.
Det behöver vara motiverat varför ett arkiv ska avgränsas till att utgöra endast en myndighets ansvar. Parternas intentioner synes vara att behålla sitt respektive arkivansvar och någon annan överens- kommelse om vem handlingarna bildar arkiv hos finns inte. Även dessa omständigheter talar för att arkivansvaret ligger kvar på res- pektive myndighet.
Arkivansvaret för respektive kommunal lantmäterimyndighets förrättningsakter ligger alltså fortfarande kvar hos kommunerna med allt vad det innebär i form av ansvar för arkivvård. Lantmäteriet har därmed inte ett arkivansvar i dagsläget.
Den oklarhet som har visat sig finnas i den här frågan skulle enligt vår bedömning behöva tydliggöras i författning, det vill säga att arkivansvaret ligger hos respektive aktör och att en viss uppgift i fråga om lagring eller arkivvård inte innebär ett övertagande av arkivansvaret som sådant. Detta skulle förslagsvis kunna göras i Lantmäteriets instruktion.
Innebörden av det nuvarande förhållandet mellan Lantmäteriet och de kommunala lantmäterimyndigheterna och ansvaret för arkiveringssystemet som sådant bör också förtydligas.
Bör arkivansvaret förändras?
Det har enligt vår mening inte kommit fram några avgörande skäl till att arkivansvaret bör förändras. Som beskrivits ovan bygger arkiv- ansvaret på en lagstiftning som tar avstamp i regelverket om allmän- na handlingar och syftar till ett vårdande och bevarande av sådana.
403
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
De kommunala lantmäterimyndigheterna står för sin egen, klart avgränsade del av tillförseln av akter till det gemensamma arkive- ringssystemet. Förrättningsakterna innehåller allmänna handlingar som har kommit in till de kommunala lantmäterimyndigheterna, alternativt upprättats eller expedierats av dem. Det är därmed de kommunala lantmäterimyndigheterna som redan vid ett ärendes start har bäst förutsättningar att avgöra vad som är allmän handling och ta vederbörlig hänsyn till det i fråga om arkivvården. Det är också viktigt att informationen finns tillgänglig hos dem som behö- ver den, vilket typiskt sett bäst säkerställs av den som har skapat in- formationen. De uppgifter som vi har fått från såväl Lantmäteriet som de kommunala lantmäterimyndigheterna är att inte någon av dem har haft intentionen eller viljan att flytta arkivansvaret. Som vi ser det vore det en onödig komplikation att förändra arkivansvaret för digitala handlingar så att det uppstår olika arkiveringsansvar för samma typ av handlingar enbart utifrån deras form.
Bör Lantmäteriet ha ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheternas akter?
Vårt uppdrag handlar också om att bedöma om Lantmäteriet fortsatt ska ha ansvar för att lämna ut och sekretessgranska de kommunala lantmäterimyndigheternas akter. En begäran att få ta del av en allmän handling kan göras hos den myndighet som förvarar handlingen.888 Lantmäteriet har mycket riktigt gjort bedömningen att myndig- hetens tillgång till de kommunala lantmäterimyndigheternas akter gör att Lantmäteriet har att lämna ut sådana på begäran. Den om- ständigheten att vi har bedömt att Lantmäteriet inte har arkivansvar för de kommunala lantmäterimyndigheternas akter förändrar inte den saken.
De kommunala lantmäterimyndigheternas registrering och arkivering av sina uppgifter i Lantmäteriets system gör att vardera parten är mycket beroende av en korrekt hantering från respektive håll för att säkerställa att säkerhetsskyddsklassificerade uppgifter inte exponeras. Detsamma gäller att uppgifter som av annan anled- ning är sekretesskyddade inte röjs. Detta kräver ett antal bedöm- ningar inför ett eventuellt återöppnande av ett gemensamt system.
8882 kap. 6, 7 och 17 §§ tryckfrihetsförordningen.
404
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
Till det kommer frågan om vem som egentligen är informationsägare över huvud taget för akterna, vilket har bäring på vems ansvar det är att säkerställa att uppgifterna hanteras rätt och också om det är en statlig eller kommunal angelägenhet att utöva tillsyn av saken, se mer om detta i avsnitt 17.10.
Slutligen finns det en del frågor att reda ut gällande systemets tekniska förutsättningar i fråga om säkerhetsskydd, dataskydd och tillhandahållandelösningar, vilket också har beskrivits närmare i kapitel 17.
18.9Överväganden i övrigt
Utredningens bedömning: Det saknas ett fullständigt och tyd- ligt rättsligt stöd för Lantmäteriet att förvara och tillhandahålla även andra myndigheters arkivakter. Ansvaret för säkerhets- skydd, informationssäkerhet och personuppgifter när det gäller de kommunala lantmäterimyndigheternas akter i Arken behöver förtydligas (jämför kapitel 17).
Avtalen mellan Lantmäteriet och de kommunala lantmäteri- myndigheterna är delvis oklara, bland annat när det gäller de be- grepp som används. Avtalsparterna har inte, i alla delar, samma uppfattning om avtalens innebörd. Lantmäteriet bör därför ini- tiera en översyn av avtalen för att skapa samsyn om avtalsinnehål- let.
Skälen för utredningens bedömning
Hur ser det rättsliga stödet för lagring och tillhandahållande av akter ut?
Lantmäteriet har uppfattningen att det saknas ett tydligt författ- ningsstöd för myndigheten att hålla ett nationellt digitalt lantmäte- riarkiv som innehåller flera olika myndigheters arkivhandlingar och för att tillhandahålla arkivet. Lantmäteriet anser sig dock ändå ha ett grundläggande stöd efter en sammanvägning av i första hand myn- dighetens instruktion och regleringsbrev. Detta beskrivs närmare i kapitel 11 om Arken och Arkenförordningen. Den sistnämnda utgör enligt Lantmäteriet inte i sig ett stöd för Lantmäteriet att hålla ett
405
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
arkiv med andra myndigheters arkivhandlingar eller att tillhandahålla arkivakter, utan avser bara personuppgiftsbehandlingen i myndig- hetens databas för tillhandahållande ur arkiverade handlingar.
Vi instämmer i att det saknas ett uttryckligt författningsstöd för Lantmäteriet att tillhandahålla andra myndigheters information, det vill säga i detta fall de kommunala lantmäterimyndigheternas.
Som har beskrivits i kapitel 17 anser vi att formuleringarna i Lantmäteriets instruktion bör kunna göras tydligare och mer heltäckande i fråga om myndighetens uppdrag att hålla ett myndig- hetsgemensamt system för arkivering och att tillhandahålla akter ur detta. Det bör innefatta överväganden om såväl de rättsliga förut- sättningarna för som behovet av ett gemensamt arkiv. I det ligger också att det behöver klargöras vad som är original och vad som är kopior av det som läggs i arkivet. Vidare behöver det vara tydligt för de som har tillgång till systemet vad som gäller i fråga om registre- ring av inkomna handlingar och om flera myndigheter genom den gemensamma konstruktionen kan få arkivansvar för samma mate- rial.889
Vår bedömning av Arkenförordningen är däremot att den är tillämplig, som också beskrivits närmare i kapitel 17. Därmed bör arbetet i fråga om att på nytt öppna de digitala tillhandahållande- tjänsterna utgå från det i avvaktan på en eventuell utredning om regleringen av Lantmäteriets uppdrag i den här delen. Som vi har tagit upp i kapitel 17 finns det emellertid anledning att se över förordningen även utifrån den problematik som nämnts.
Vad gäller för personuppgiftsansvaret för de kommunala lantmäteri- myndigheternas akter i Arken?
Även personuppgiftsansvaret för de kommunala lantmäterimyndig- heternas akter i Arken har varit otydligt för Lantmäteriet. Som har beskrivits i kapitel 17 anser Lantmäteriet att det är oklart om myn- digheten har personuppgiftsansvar även för andra akter i Arken än de egna och det har uttryckts ett behov av att få det klargjort.890
889Allmänna handlingar som har inkommit till en myndighet ska enligt 5 kap. 1 § OSL i regel registreras med där angivna undantag. Som tidigare nämnts betraktar Lantmäteriet de kom- munala lantmäteriernas akter som inkomna till myndigheten, vilket vi bedömer som korrekt. Det kan då uppstå fråga om dessa handlingar behöver arkiveras även hos Lantmäteriet, oaktat att de kommunala lantmäterimyndigheterna också har arkivansvar för sina egna handlingar.
890Information från Lantmäteriet, november 2025.
406
Ds 2026:2 | Arkivansvaret för de kommunala lantmäterimyndigheternas akter |
De upplevda otydligheterna i den här delen bygger, liksom flera andra frågor, dels på bedömningen att Arkenförordningen inte är tillämplig på Arken, dels på otydliga och möjligen felaktiga formu- leringar i de så kallade Arkenavtalen mellan Lantmäteriet och de kommunala lantmäterimyndigheterna.
Enligt dataskyddsförordningen ligger personuppgiftsansvaret som huvudregel på den som bestämmer ändamålen och medlen för behandlingen, men ett gemensamt personuppgiftsansvar kan också fastställas och arrangeras. Det sistnämnda har inte gjorts.
Det skulle behöva utredas närmare vilken av myndigheterna som faktiskt bestämmer ändamålen och medlen för behandlingen att arkivera en akt. I vart fall en del kommunala lantmäterimyndigheter synes ha tolkat det som att det är Lantmäteriet, vilket stämmer med vad som anges i avtalen. Vi har inte utrett den här frågan närmare men anser att det är viktigt med ett klarläggande, antingen i författ- ning eller i avtalen, så att parterna kommer till samsyn om person- uppgiftsansvaret för arkivet som sådant.
När det däremot gäller tillhandahållandet ur Arken finns saken reglerad i Arkenförordningen som vi, till skillnad från Lantmäteriet, har bedömt vara tillämplig på Lantmäteriets tillhandahållande ur Arken. I förordningen uppges Lantmäteriet vara personuppgiftsans- varig. Av Lantmäteriets artikel 30-register framgår också att myn- digheten är personuppgiftsansvarig för tillhandahållandetjänsten AktDirekt. Lantmäteriet har dock för oss uttryckt att det inte är säkert att det som anges om personuppgiftsansvarig i artikel 30- registret har varit avsett att täcka all hantering i Arken, även de kom- munala lantmäterimyndigheternas akter.891
Även i fråga om tillhandahållandet har personuppgiftsansvaret för akterna i Arken alltså varit otydligt för Lantmäteriet. I den här delen anser vi dock att ansvaret får betraktas som klarlagt genom Arkenförordningen trots Lantmäteriets syn på den och önskan att få den upphävd eller ändrad.
I kapitel 17 redogörs för våra övriga överväganden avseende Lantmäteriets personuppgiftsbehandling i förhållande till Arkenför- ordningens tillämplighet, handlingarnas innehåll samt ändamålet med och nödvändigheten av tillhandahållandet.
891Information från Lantmäteriet, november 2025.
407
Arkivansvaret för de kommunala lantmäterimyndigheternas akter | Ds 2026:2 |
Avtalen om arkivering och tillhandahållande är otydliga och behöver ses över
Som har beskrivits i kapitel 11 om Arken och Arkenförordningen har Lantmäteriet avtal om lagring med de kommunala lantmäteri- myndigheterna. Många viktiga frågor regleras således genom frivil- ligt ingångna avtal.
De nu gällande avtalen är delvis oklara, bland annat när det gäller de begrepp som används. Det talas omväxlande om lagring och om arkivering och avtalsparterna verkar inte i alla delar ha samma upp- fattning om avtalens innebörd. Det har under den här utredningen visat sig att det råder delade meningar om det är fråga om arkivering, i vissa fall av digitala original, i Arken eller bara lagring av kopior. Alla kommunala lantmäterimyndigheter har inte kvar några egna kopior av de arkiverade handlingarna utan betraktar Arken som det enda arkivet. Det har också uttryckts oklarheter om ansvaret för innehållet i handlingar som läggs in i Arken, såväl i fråga om säker- hetsskydd som personuppgifter, samtidigt som det är Lantmäteriet som har stått för att tillhandahålla akter externt med de brister som har beskrivits i fråga om sekretess med mera.
Lantmäteriet bör därför initiera en översyn av avtalen för att tydliggöra avsikten med dem och skapa samsyn med de kommunala lantmäterimyndigheterna om avtalsinnehållet. I det sammanhanget bör övervägas även hur sekretesskydd och en korrekt behandling av personuppgifter kan garanteras om informationen hanteras i ett system där den överlåts till skilda externa aktörer.
408
19Konsekvenser av utredningens förslag
19.1Kapitlets innehåll
Särskilda utredare ska redovisa en konsekvensutredning när förslag lämnas till regeringen eller Regeringskansliet om att regeringen ska föreslå nya eller ändrade lagar eller besluta om förordningar. Även för andra förslag ska särskilda utredare redovisa en konsekvensut- redning.892 I vårt uppdrag har inte ingått att lämna författnings- förslag.
I detta kapitel redovisas vilka konsekvenser som våra övervägan- den och förslag kan få. Redovisningen är uppställd utifrån de krav som anges i förordningen om konsekvensutredningar. I vissa frågor är vår bedömning att ytterligare utredning och överväganden be- hövs. Konsekvenserna i dessa delar blir en senare fråga att analysera.
19.2Det aktuella problemet och den förändring som eftersträvas
Bakgrunden till vårt uppdrag är att det kommit fram uppgifter om brister i Lantmäteriets arbete med informationssäkerhet och myn- dighetens hantering av uppgifter som omfattas av sekretess och per- sonuppgifter. I uppdraget har även ingått att utreda om Lantmäteriet bör ha fortsatt arkivansvar och ansvar för att lämna ut och sekretess- granska de kommunala lantmäterimyndigheternas akter.
Det som eftersträvas med vår granskning och våra bedömningar och förslag är att Lantmäteriets arbete med informationssäkerhet ska stärkas och samtidigt ge myndigheten förutsättningar att på ett
8922 § förordningen (2024:183) om konsekvensutredningar.
409
Konsekvenser av utredningens förslag | Ds 2026:2 |
effektivt sätt fullgöra sina uppgifter enligt förordningen (2009:946) med instruktion för Lantmäteriet.
19.3Vilka konsekvenser bedöms uppstå om inga åtgärder vidtas?
Inom Lantmäteriet finns det numera en stor medvetenhet om hu- vuddelen av bristerna inom de områden som vi har granskat och tagit upp i våra överväganden. Myndigheten har också vidtagit, och pla- nerar att vidta, åtgärder för att stärka sitt arbete med informations- säkerheten. Även om inte något av det som vi för fram i våra över- väganden genomförs är det troligt att många av de förändringar som eftersträvas, och som vi menar är nödvändiga, ändå kommer att vid- tas av Lantmäteriet och leda till förbättringar. Att Lantmäteriet har ett antal frågor att arbeta med framför sig står enligt vår mening klart liksom att det finns en stor utvecklingspotential inom myndigheten.
19.4Finns det alternativ för att uppnå förändringen och vilket är i så fall lämpligast?
I grunden är det Lantmäteriets ansvar att stärka arbetet med sin in- formationssäkerhet. Att exempelvis lägga det ansvaret på någon annan part är inte aktuellt. Vi har därför inte utrett några andra alter- nativ och anser därmed att våra bedömningar är den lämpligaste lösningen. En annan sak är att en utvecklad samverkan med andra myndigheter och även andra aktörer kan vara ett sätt att utveckla arbetet med informationssäkerhet inom Lantmäteriet och samtidigt kan vara en del i att stärka Sveriges säkerhet. Övervägandena kring detta redovisas i kap. 17.
19.5Förslagens kostnader och intäkter för staten med flera
19.5.1Kostnader och intäkter för staten
Det vi lyfter om förbättringar i arbetet med informationssäkerheten är egentligen inte något nytt. Allt ingår i det uppdrag som Lantmä-
410
Ds 2026:2 | Konsekvenser av utredningens förslag |
teriet som myndighet redan har och är därmed anslagsfinansierat. Som vi har konstaterat är ett antal åtgärder i stora delar redan igång- satta, bland annat när det gäller att utveckla den interna styrningen och kontrollen, och får med det anses ha beaktats i budgetdialogen.
Lantmäteriet har behövt rekrytera medarbetare till två gransk- ningsfunktioner för att klara granskningen vid utlämnande av all- männa handlingar. Härutöver har medarbetare i övriga kärnverksam- heten fått förstärka i detta arbete. Enligt Lantmäteriet uppgick kost- naden insatserna till drygt 40 mnkr under 2025. I budgeten för 2026 ligger i denna del direkta kostnader om 28,5 mnkr. Lantmäteriet har redan nu bedömt att de 20 mnkr som tilldelats myndigheten i budgetpropositionen 2026 inte kommer att räcka. Myndigheten har uppgett att man kommer att aktualisera den frågan med Regerings- kansliet inför arbetet med vårändringsbudgeten.
Lantmäteriet har hittills anställt 37 medarbetare och två funk- tionschefer för granskningen vid utlämnande. Man bereder nu ett förslag om att nästa år införa ytterligare en funktion med knappt 20 medarbetare som ska arbeta med granskningar inför utlämnande. Enligt Lantmäteriet saknas dock för närvarande finansiering för den åtgärden.
Några ytterligare rekryteringar har inte gjorts utan intern personal från olika verksamhetsområden har omfördelats internt (lånats in) för att klara av ett utlämnade inom 48 timmar. Om myn- digheten inför ytterligare en sådan funktion som nämnts är planen att merparten av inlånad personal kommer att återgå till ordinarie arbetsuppgifter.
Mycket av det senaste årets fokus inom Lantmäteriet har legat på frågan om det finns möjlighet att öppna de olika digitala tjänsterna igen, i vart fall i förhållande till vissa aktörer. En rimlig bedömning är emellertid att det fortsättningsvis och för lång tid framåt kommer att finnas ett behov av manuell hantering vid utlämnande. Det fram- står också som sannolikt att myndighetens utlämnandefunktion kommer att vara betydligt mer omfattande än tidigare. Att det utan mycket stora investeringar i nya tekniska system skulle vara möjligt att genom digitala tjänster tillhandahålla fastighetsinformation till samma krets externa brukare som tidigare får ses som osannolikt. Tekniska förutsättningar att skapa databaser med tillhandahållande- funktioner finns i dag. Att formatera innehållet i Arken till en digi- talt hanterbar informationsmängd är också möjligt. Det är vidare
411
Konsekvenser av utredningens förslag | Ds 2026:2 |
möjligt att bygga IT-lösningar som klarar kraven på informationssä- kerhet och som gör att man digitalt kan hantera frågor om sekretes- skydd. Att bygga system med den inriktningen är önskvärt med tanke på behovet av effektiv informationsförsörjning i samhälls- byggnadsprocessen. Att nå dit är emellertid en långsiktig fråga som förutsätter ett omtag där bland annat investeringsbehovet kräver sär- skilda överväganden.
När det gäller dagens manuella granskning vid utlämnande av all- männa handlingar är resursbehovet enligt vår bedömning beroende av om och i vilken utsträckning som Lantmäteriet hittar godtagbara former för att öppna digitala tjänster igen och vad som i så fall kom- mer att vara tillgängligt via direktåtkomst. Enligt vår mening är det inte möjligt att bedöma hur omfattande den digitala utlämnande- möjligheten kan komma att bli, i vart fall inte i närtid. Hur lång tid det kan ta tills ett digitalt utlämnande är tillgängligt samtidigt som säkerhetsskyddsregleringen och lagen om offentlighet och sekretess följs är inte heller möjligt att nu bedöma. Men vikten av att Lantmäteriet ges tillräckliga resurser och styrning i dessa frågor bör framhållas. Av allt att döma kan kapaciteten i form av personal- resurser fortsatt komma att behöva utökas beroende på om, när och
ivilken utsträckning som digitala tjänster och utvecklade IT-system kan tas i bruk.
Noteras kan att Lantmäteriet enligt uppgift har behövt kreditera kunder inom Geodatasamverkan för den information som de an- slutna aktörerna inte längre får tillgång till. Krediteringen uppgick till 5,4 mnkr 2025 och till 3,1 mnkr 2024.
Vi har i övervägandena angett att regeringen bör ge Lantmäteriet tydlig styrning och budget, där prioriterad inriktning bör anges – återöppnande av digitala tjänster alternativt ett fortsatt manuellt ut- lämnande eller en kombinerad hantering. Givetvis är tidsperspekti- vet viktigt i Lantmäteriets planering både när det gäller verksamhet och ekonomi. Vidare är Lantmäteriets digitala system delvis omo- derna. De har inte byggts utifrån de behov som finns i dag. För att kunna hålla akter tillgängliga i digitala system på ett liknande sätt som tidigare har vi också bedömt att Arken i sig behöver ses över. Dessutom anser vi att Lantmäteriets instruktion bör förtydligas, att Arkenförordningen behöver ses över och att det bör utredas yt- terligare i vilken form ett informationsutbyte lämpligast ska ske. Samtliga dessa överväganden kan innebära ökade kostnader för Lant-
412
Ds 2026:2 | Konsekvenser av utredningens förslag |
mäteriet och staten i övrigt. Det finns i dag inte tillräckligt underlag för att kunna bedöma exempelvis, som nyss nämnts, investeringsbe- hovet för nya IT-lösningar och det finns ett antal vägval som först behöver göras bland annat om vilken form av tillhandahållande som bör finnas och vilka frågor som först behöver utredas närmare; det finns redan i vissa delar förslag från Lantmäteriet att arbeta vidare med.
Vår bedömning är att informationssäkerhet bör utgöra en större del i den utbildning som Regeringskansliet i dag håller för tillträdan- de styrelseledamöter och generaldirektörer och kan möjligen med- föra något, men marginellt, ökade kostnader för Regeringskansliet. Med tanke på riskerna i bristande kunskap och kompetens om sä- kerhetsskydd och informationssäkerhet får utbildning i dessa frågor ses som en investering som långsiktigt sparar resurser, möjligtvis be- tydande, för det allmänna.
När det gäller vårt förslag att inrätta ett informationssäkerhets- och cybersäkerhetsråd inom Lantmäteriet kan det medföra att myn- digheten behöver tillföras ytterligare resurser. Men det kan samti- digt noteras att myndigheten redan driver ett liknande arbete med samråd med olika intressenter. Och för Lantmäteriet bör den tänkta ordningen kunna bidra i det säkerhetsarbete som redan är en del av myndighetens uppdrag. När väl formerna för ett samverkansorgan etablerats bör det för Lantmäteriet inte vara fråga om en nämnvärd merkostnad. Vilka ökade kostnader som initialt kan uppkomma får Lantmäteriet ta upp med Regeringskansliet i sedvanliga budgetöver- läggningar. I sammanhanget bör ett samhällsekonomiskt perspektiv vägas in. Ökad samverkan mellan de som ansvarar för säkerhets- känsliga resurser ökar effektiviteten i det arbete med säkerhetsskydd som ska bedrivas. Den kan förväntas leda till stora besparingar för samhället som helhet och samtidigt få positiva effekter för Sveriges säkerhet.
När det gäller den arkivering av de kommunala lantmäterimyn- digheternas akter som i dag ligger på Lantmäteriet föreslås inte nå- gon ändring. Däremot finns ett behov av att se över de avtal som reglerar förhållandet mellan myndigheterna. De resurser som en översyn kan förväntas ta i anspråk får emellertid bedömas som be- gränsade.
413
Konsekvenser av utredningens förslag | Ds 2026:2 |
19.5.2Kostnader och intäkter för kommuner, regioner, företag och andra enskilda
Vi har föreslagit att samtliga fastighetsägare och andra aktörer som hanterar fastigheter eller samhällsviktiga anläggningar eller verksam- heter av betydelse för Sveriges säkerhet bör vara skyldiga att löpande hålla Lantmäteriet informerat om sådana fastigheter, anläggningar eller verksamheter i de hänseenden som uppgifter om dessa ska finnas i Lantmäteriets register. Enligt vår bedömning bör en sådan skyldighet vara författningsreglerad. Den närmare utformningen av en sådan reglering får utredas i annat sammanhang då även kon- sekvenserna får bedömas. Nämnas kan dock att Fastighetsregister- utredningen i sitt betänkande konstaterade att det är en högst be- gränsad del av landets 3,4 miljoner fastigheter som på något sätt kan antas vara känsliga utifrån ett säkerhetsskyddsperspektiv.893 Mot den bakgrunden är bedömningen att få fastighetsägare och andra aktörer kommer att bli uppgiftsskyldiga. Dessutom kan vi inte se att en sådan skyldighet kommer att innebära några ökade kostnader för berörda, eftersom de uppgifter som utifrån ett säkerhetsskyddspers- pektiv avses redan finns hos respektive aktör. Det handlar i denna del bara om att uppgifterna ska förmedlas till Lantmäteriet som där- efter ansvarar för informationssäkerheten såvitt avser uppgifter som påverkar den information som finns i myndighetens system. För be- rörda aktörer handlar det också om att delta i ett sammanhang där säkerhetsskyddet behandlas. Den samverkan som detta innebär bör sammantaget leda till ökad effektivitet i berörda aktörers verksamhet och i hur säkerhetsskyddet hanteras och ger på så sätt ett mervärde för dem. Den effektivitetsvinst som ligger i detta får anses leda till besparingar för alla berörda inte minst genom de synergieffekter som samverkan kommer att föra med sig.
Till detta kommer den ökade effektivitet utifrån ett nationellt perspektiv som samverkan kan förväntas föra med sig för Sveriges säkerhet. Från ett samhällsekonomiskt perspektiv kan ökad samver- kan på både kort och lång sikt förväntas leda till stora besparingar för samhället som helhet.
Som nyss berörts finns ett behov av att se över de avtal som reg- lerar förhållandet mellan Lantmäteriet och de kommunala lantmä- terimyndigheterna om arkivering av de kommunala lantmäterimyn-
893SOU 2024:7, s. 652.
414
Ds 2026:2 | Konsekvenser av utredningens förslag |
digheternas akter. De resurser som den översynen kan förväntas ta i anspråk får emellertid bedömas som begränsade. För de kommunala lantmäterimyndigheterna bör översynen lämpligen samordnas, förs- lagsvis av SKR.
19.6Övriga konsekvenser av förslagen
Våra bedömningar och förslag inverkar inte på den kommunala själv- styrelsen. De innebär inte heller några förändringar av kommunala befogenheter eller skyldigheter, respektive grunderna för kommu- nernas eller regionernas organisation eller verksamhetsformer. Vida- re har förslagen inte någon koppling till de skyldigheter som följer av Sveriges anslutning till Europeiska unionen och för inte heller i övrigt med sig några konsekvenser att beakta.
415
20 Avslutande reflektioner
20.1Allmänt om våra iakttagelser
I tidigare kapitel har en genomgång gjorts av utmaningarna i Lant- mäteriets verksamhet i fråga om informationssäkerhet, hanteringen av allmänna handlingar och sekretess samt behandlingen av person- uppgifter. Även arkivansvaret för de kommunala lantmäterimyndig- heternas akter har tagits upp. I detta avslutande kapitel berörs vissa av våra iakttagelser. Dessutom berörs kortfattat konsekvenserna av identifierade brister med inriktning framför allt på informations- säkerheten i Lantmäteriets verksamhet.
Vi har, som nämnts inledningsvis, på olika sätt avgränsat vår granskning. Det gäller bland annat den period som granskats. Sam- tidigt bör poängteras att de brister som nu uppmärksammats har sin grund i vägval som gjorts långt tillbaka i tiden. De många år som sedan dess gått innebär enligt vår bedömning att en granskning av tidigare skeden i myndighetens verksamhet inte är meningsfull. Centralt är vidare att kunna dra slutsatser som har betydelse för framtiden.
Vi har också fokuserat vår granskning på Lantmäteriets digitala förrättningsarkiv Arken. Och det är primärt beträffande den som det har kommit fram brister i Lantmäteriets arbete med informationssä- kerhet och i hanteringen av uppgifter som omfattas av sekretess och även av personuppgifter. Samtidigt har vi noterat att det kan finnas likartade utmaningar i andra system hos Lantmäteriet.
Inom Lantmäteriet behöver regelkonformiteten övervägas i vart och ett av de olika system där säkerhetskänsliga uppgifter eller per- sonuppgifter förekommer. Den givna utgångspunkten för Lantmä- teriet är att få grepp om allt innehåll trots de mycket stora informa- tionsmängder som det sammantaget handlar om. Och det rör sig om
417
Avslutande reflektioner | Ds 2026:2 |
innehållet i ett antal system, antingen separata eller sammanlänkade. Typfallen i fråga om vilka uppgifter som förekommer är emellertid något som Lantmäteriet har en uppfattning om. Det ger goda förut- sättningar för myndigheten att ta sig an en genomgång av systemen och informationsinnehållet i dem och informationshanteringen. Detta är givna och prioriterade uppgifter för Lantmäteriet att arbeta vidare med.
Att vi inte heller har analyserat det som kan kallas den IT-tek- niska säkerheten för informationshantering i de många olika IT- system som Lantmäteriet använder bör framhållas. Också detta är något som Lantmäteriet behöver ta sig an. Flera av myndighetens system är föråldrade. Lantmäteriet har en IT-miljö som består av en blandning av äldre och nya system där både säkerhetskrav och till- gängliga möjligheter att uppnå en säkerhetsnivå skiljer sig åt. Systemens förenlighet med kraven i nu gällande säkerhetsreglering behöver övervägas.
Nämnas bör att vi inte haft i uppdrag att ta ställning till om och i så fall hur ansvar ska utkrävas för olika brister som kan identifieras. En annan sak är emellertid ansvarsfrågorna utifrån Lantmäteriets organisation och verksamhet som nära hänger samman med myndig- hetens interna styrning och kontroll.
20.2Lantmäteriets verksamhetsfokus
Lantmäteriet har under lång tid haft ett verksamhetsfokus på till- gänglighet och att effektivt tillhandahålla fastighetsinformation till stöd för byggande och samhällsutveckling. Att Lantmäteriets roll i samhällsbyggnadsprocessen varit central grundas på regeringens uppdrag till myndigheten. Lantmäteriet ska verka för en väl funge- rande försörjning med grundläggande geografisk information och fastighetsinformation av sådan omfattning, kvalitet och aktualitet att samhällets behov tillgodoses. I lantmäteriets instruktion är det också dessa perspektiv som lyfts fram.
Med detta fokus har Lantmäteriet i den delen kommit långt. Man har kontinuerligt strävat efter ytterligare effektivisering och mot att förkorta handläggningstiderna i ärendehandläggningen. I detta har direktåtkomst till fastighetsinformation för externa aktörer varit en del.
418
Ds 2026:2 | Avslutande reflektioner |
Den påtagligt dominerande prioriteringen av informationsför- sörjningen förklaras av flera olika och samverkande faktorer. Om- världssituationen med ett under många år förhållandevis stabilt säkerhetsläge, i vart fall i vårt närområde och ett fokus mer på ned- rustning än upprustning har varit en sådan faktor. En annan aspekt har varit de nya tekniska möjligheterna att effektivt förmedla information och de tydliga effektivitetsvinsterna i detta. Ambi- tionen att ligga i framkant med att digitalisera det offentliga Sverige har märkts inte minst för Lantmäteriet. Det har funnits ett tryck på Lantmäteriet att effektivisera och som en del i det förkorta hand- läggningstiderna. Digital åtkomst till fastighetsinformation har i detta varit ett naturligt vägval och även kostnadseffektivt för såväl externa användare som Lantmäteriet.
Med gjorda vägval har uppbyggnaden av kompetenser i organisa- tionen kommit att få samma fokus. IT-uppbyggnaden och ett effek- tivt tillhandahållande har varit det allt överskuggande. Satsningar på säkerhetsorganisation och säkerhetsresurser har i olika delar fått stå tillbaka i förhållande till vad som varit motiverat med tanke på infor- mationsmängder och informationsinnehåll och därmed behovet av säkerhetsskydd. Det gäller i fråga om såväl informationssäkerhet som fysisk säkerhet och personalsäkerhet.
Säkerhetsskyddslagen, både tidigare och nuvarande, och vad den innebär har i flera hänseenden förbisetts jämfört med frågor om till- handahållande av information och digitaliseringens möjligheter för effektiv samhällsservice som tydliga uppdrag inom det offentliga Sverige. Detta tydligt uttalade fokus är en del i förklaringen till en tidigare underdimensionerad säkerhetsorganisation. Det förklarar också att man i flera delar av verksamheten helt enkelt inte tillräck- ligt har haft med informationssäkerheten i verksamhetsplaneringen. Och man har inte heller utvecklat sina kompetenser om den regle- ring som man haft att följa i fråga om offentlighet och sekretess och vid behandlingen av personuppgifter.
20.3Lantmäteriets ledningsarbete internt
Lantmäteriet har löpande arbetat med att utveckla verksamheten ge- nom olika åtgärder och projekt. Insatserna framstår var för sig som behövliga. Helheten och vad de olika påbörjade eller successivt avs-
419
Avslutande reflektioner | Ds 2026:2 |
lutade insatserna sammantaget syftar till har emellertid varit svårt att få grepp om. Och det har inte heller funnits något sammanhang där det gått att få en överblick över eller samlad bild av inriktningen framåt. I vart fall har bilden inte blivit konkret.
I stället är intrycket efter våra många samtal med nuvarande och tidigare anställda med olika funktioner i verksamheten, och efter att ha tagit del av ett omfattande skriftligt underlag, att en tydlig struk- tur har saknats.
Till det kommer att felaktiga bedömningar och tolkningar av rättsläget har kommit att få fortgå. Och i den interna styrningen och kontrollen har utmaningarna med informationssäkerheten förbi- setts. I vart fall har man inte lyckats få till en analys av de faktiska förhållandena som inneburit att man insett riskerna i verksamheten och de potentiella konsekvenserna av dessa risker.
Även om enskilda åtgärder framstår som inriktade på att utveckla bland annat informationssäkerheten är svårigheten att få överblick tydlig. Att i verksamheten som helhet få ihop säkerhetsskyddet i allmänhet och informationssäkerheten i synnerhet och att beskriva det är, med tanke på Lantmäteriets viktiga och känsliga verksamhet, givna delar i myndighetens uppdrag. Att så inte skett får ses som ett uttryck för att ett så kallat samlat grepp om säkerhetsskyddsfrågor inte tagits inom verksamheten, inte i styrelsen, av generaldirektören eller av någon annan funktion inom myndigheten.
Avsaknaden av ett grepp om helheten är en ledningsfråga. Det finns skäl att tro att den bristande tydligheten i detta hänseende har bidragit till problemen inom Lantmäteriet när det gäller att hålla samman verksamhetens olika delar och prioriteringar. Att det får återverkningar på bland annat informationssäkerheten är närmast givet. Samarbete och samsyn och tydliga beslutsprocesser där frågor avgörs med tydlig dokumentation är utvecklingsområden. Och som en bas ökad kunskap om, förståelse för och samsyn om myndighe- tens uppdrag. Det är där man måste börja.
Att driva ett systematiskt informationssäkerhetsarbete är ett ledningsuppdrag. Det handlar om att fatta beslut, sätta frågorna på agendan och själva vara förebilder. Detta är viktigt för att legitimera frågorna och har mycket stor betydelse för hur informationssäker- hetsarbetet kommer att utvecklas i organisationen. Uppföljning och kvalitetssäkring är också ett ledningsansvar som behöver få ta större
420
Ds 2026:2 | Avslutande reflektioner |
plats. Om man inte följer upp beslut vet man helt enkelt inte om man har gjort det man ska.
Funktionellt i verksamheten ansvarar respektive verksamhetsom- rådeschef för en effektiv styrning och kontroll inom sitt område. I det ingår att säkerställa att information behandlas i enlighet med gäl- lande rätt samt att identifiera och hantera risker, inklusive regelbun- den uppföljning och kontroll. Inom Lantmäteriet är verksamhets- områdescheferna det man kallar första ansvarslinjen. De har häri- genom ett både stort och primärt ansvar. Om inte den första ans- varslinjen fungerar, blir det i regel inte bättre längre ut i organisa- tionen.
20.4Ledningens roll och uppgifter
I Lantmäteriet som styrelsemyndighet är det styrelsen som har det övergripande ansvaret för intern styrning och kontroll medan gene- raldirektören ansvarar för den löpande verksamheten enligt styrel- sens direktiv. Generaldirektören ska också hålla styrelsen informe- rad om verksamheten. Detta är en förutsättning för att styrelsen ska kunna ta sitt yttersta och övergripande ansvar.
Som påpekats tidigare är det ett förbättringsområde att utveckla styrelsearbetet och förhållandet till verksamheten genom generaldi- rektören. I det sammanhanget bör styrelsen överväga hur man på effektivast möjliga sätt använder den resurs som man har i internre- visionen.
Internrevisionen får i sina granskningar anses ha uttryckt sig nyanserat men ändå tydligt. I ljuset av de många och i flera fall mycket allvarliga brister som internrevisionen noterat hade skarpare kritik kunnat formuleras. Och som internrevisionen konstaterat tjänar de styrande dokumenten inget syfte om de inte är kända, tillämpas och efterlevs.
Internrevisionen har flera gånger noterat att det saknats det som förenklat kan kallas ordning och reda i verksamheten. Och det har saknats på flera plan. Att internrevisionens olika påpekanden inte lett till bättre strukturer är anmärkningsvärt. Det har inte förklarats på annat sätt än att det i verksamheten har funnits synpunkter på revisionens arbete och en upplevelse av att granskningarna gått in för mycket på detaljer.
421
Avslutande reflektioner | Ds 2026:2 |
Att verksamhetens ambitionsnivå varit låg och att åtgärdsplaner snarare tagits fram för att hantera internrevisionens iakttagelser och rekommendationer än att faktiskt åtgärda de brister som adresseras är naturligtvis problematiskt. Att man dessutom i verksamheten angett att åtgärdsarbete slutförts trots att det vid uppföljningen inte visat sig stämma är ytterligare ett exempel på bristerna på lednings- nivå.
En större tydlighet från internrevisionens sida, ökad och närmare kommunikation med verksamhetens olika delar i kombination med en skarpare uppföljning skulle förbättra nyttan av den resurs som man har genom internrevisionen. Kompetenserna inom revisionen skulle på flera sätt kunna nyttjas bättre, exempelvis genom att proaktivt ge stöd och hjälp i att utveckla regelefterlevnaden. Själv- fallet får internrevisionens agerande balanseras mot den självstän- dighet och integritet som ligger i revisionsrollen.
Ett särskilt ansvar när det gäller den interna styrningen och kontrollen ligger på chefsledet med planering, genomförande och uppföljning, det vill säga ett ständigt pågående kvalitetsarbete. Att Lantmäteriet inte haft bättre grepp om styrningen och kontrollen i verksamheten, trots upprepade påpekanden och en på många håll tydlig intern medvetenhet om brister, är allvarligt. Ansvaret ligger naturligt på myndighetens ledning med generaldirektör, lednings- grupp och verksamhetsområdeschefer.
Som styrelsemyndighet finns samtidigt styrelsen som ytterst ansvarigt organ som för Lantmäteriets del till sin hjälp har en intern- revision med full insyn i alla delar av myndighetens verksamhet. Att styrelsen inte haft bättre kontroll på exempelvis säkerhetsskyddet inom Lantmäteriet är också allvarligt. Bristerna på ledningsnivå kan inte hänföras till historiska beteenden och förhållningssätt. De kan endast tillskrivas bristande vilja eller förmåga hos varje berörd chef och styrelseledamot att med utgångspunkt i gällande rätt ta det ansvar som man i sina respektive roller varit satt att hantera.
Ledningsansvaret på varje nivå och i varje roll relateras i varje del- fråga till de rättsregler som är styrande. Det relateras också till det tjänstemannaansvar och ansvar i övrigt som följer av varje fråga som ingår i ledningsuppdraget. Innebörden av att ett långtgående ansvar för exempelvis Sveriges säkerhet varit en del i det dagliga lednings- ansvaret verkar ha förbigått flera med ett ledningsansvar. Att vissa på ledningsnivå varit beredda att väga Sveriges säkerhet mot mark-
422
Ds 2026:2 | Avslutande reflektioner |
nadens förväntningar på ett effektivt tillhandahållande av informa- tion säger en hel del om hur man tolkat och värderat sina uppdrag, och med det Lantmäteriets uppdrag. Att man på ledningsnivå inte sett till att få ett bättre beslutsunderlag i frågor om informationssä- kerhet pekar också på bristande vilja eller förmåga att förstå sitt och myndighetens uppdrag.
20.5Risker och konsekvenser
Som konstaterats i det föregående har säkerhets- och integritets- känsliga uppgifter varit öppet tillgängliga i Lantmäteriets IT-system och till dessa kopplade tillhandahållandetjänster. Det är i sig utom- ordentligt allvarligt. Att så har varit fallet under mycket lång tid gör detta förhållande än mer problematiskt.
När det gäller riskerna med bristande informationssäkerhet kan, som nämnts tidigare, en antagonist orsaka skada för Sveriges säkerhet exempelvis genom att komma över säkerhetsskyddsklassi- ficerade uppgifter.
I vårt uppdrag har ingått att kartlägga och granska Lantmäteriets arbete med informationssäkerhet och förekommande brister och ris- ker i det arbetet. Riskerna med identifierade brister kan vara av olika slag. Och de kan vara mer eller mindre allvarliga beroende på vilket område de hänför sig till. Vissa brister kan röra enskilda frågor och vara lätta att komma till rätta med. Andra kan vara mer komplexa och kräva större insatser för att lösa. Allvaret i de brister som identi- fieras får typiskt sett bedömas utifrån vilka konsekvenser som de kan anses ha fört med sig, eller kan antas få.
För Lantmäteriets del är bristerna i fråga om bland annat infor- mationssäkerheten tydliga. Riskerna med identifierade brister är också tydliga. Däremot är det svårare att med säkerhet uttala sig om konsekvenserna. De reella skadorna för i första hand Sveriges säker- het av det sätt som Lantmäteriet hanterat all den information som myndigheten disponerar över är svåra att bedöma. En rimlig ut- gångspunkt är att alla uppgifter i Arken som har legat åtkomliga för externa brukare, och därmed varit tillgängliga för främmande makt eller antagonister av skilda slag, är röjda. Endast sådana uppgifter som hanterats i separata system kan bedömas vara fortsatt skyddade.
423
Avslutande reflektioner | Ds 2026:2 |
De uppgifter som kan anses röjda avser inte bara exempelvis vissa försvarsanläggningar. Det gäller också alla i övrigt öppet tillgängliga uppgifter om totalförsvaret, det vill säga även civila anläggningar och verksamheter, till exempel el- och vattenförsörjningen, tele- och IT- kommunikation, och så vidare. Listan kan göras lång. Problematiskt är, som nyss nämnts, att uppgifter om sådana anläggningar och verksamheter har legat öppna under lång tid. Och under lika lång tid har den som önskat det haft möjlighet att hämta information och kartlägga fastigheter, anläggningar, ledningsdragningar med mera. Det bör tilläggas att det inte bara handlar om enskilda uppgifter. Det har funnits god tid att kartlägga och sammanställa och att komp- lettera uppgiftsinsamlandet.894
Sett till potentiella konsekvenser av hos Lantmäteriet identifie- rade brister är ytterligare en rimlig utgångspunkt att det för samtliga aktörer med känsliga anläggningar krävs ett omtag. Varje berörd myndighet eller annan aktör, som inte redan gjort det, behöver göra en risk- och konsekvensanalys utifrån att alla känsliga uppgifter som funnits i Lantmäteriets öppna system har röjts. Därefter får det övervägas vilka åtgärder som kan vidtas för fastigheter, anläggningar och verksamheter med inriktningen att öka skydd och säkerhet. Perspektivet här är alltså långt större än enbart Lantmäteriets verksamhet. Eftersom överblick och samordning behövs, ligger frågan nu hos regeringen som får ta grepp på helheten. Det handlar alltså inte bara om Lantmäteriet – det handlar om hela Sveriges säkerhet.
Att reparera den skada som åsamkats Sveriges säkerhet är knap- past möjligt fullt ut. Men det som går att göra bör göras, även om det kommer att ta tid. Den samordning som krävs för att inleda och därefter driva detta arbete bör inledas snarast.
Vårt granskningsuppdrag har avsett Lantmäteriet. Liknande ut- maningar finns hos ett antal andra myndigheter inom såväl stat som kommun. Och i den privata sektorn som i många hänseenden driver samhällskritisk verksamhet.
Att överväga hur kontinuiteten kan upprätthållas behöver göras utifrån scenariot att kunna hantera att de känsliga uppgifter som får antas röjda utnyttjas av en antagonist. Och det behöver inte göras bara i varje verksamhet för sig. Det behöver sättas in i ett samman-
894Jämför Möjliga hot och risker rörande öppna geodata – Redovisning av arbete i en förstudie den 20 november 2023, FOI Memo 8296.
424
Ds 2026:2 | Avslutande reflektioner |
hang som garanterar största möjliga förutsättningar för att samhäl- lets alla viktiga funktioner fungerar ihop. Att åstadkomma det förutsätter proaktiva insatser och samordning.
20.6Lantmäteriet framåt – förflyttning i rätt riktning
Det har från flera håll sagts att det med tanke på de mycket stora informationsmängder som Lantmäteriet hanterar är ogörligt för myndigheten att i detalj ha kontroll över informationen. Inrikt- ningen inom verksamheten har därför varit att försöka skaffa sig en överblick och att göra sannolikhetsbedömningar av var exempelvis säkerhetskänslig information kan finnas. Den inställningen bygger på uppfattningen att man får acceptera vissa risker i den omfattande informationshanteringen. Detta är emellertid inte ett godtagbart eller hållbart synsätt, eftersom sannolikhetsbedömningen görs av en informationsmängd som man inte vet vad den innehåller i alla delar. Man kan därmed inte heller bedöma vare sig riskerna i eller konsek- venserna av att förekommande känsliga uppgifter lämnas ut. En spe- cifik utmaning ligger i att vissa bedömningar av skyddsvärde och sekretess som gjorts långt tillbaka i tiden i samband med arkivering, mot bakgrund av bland annat det förändrade säkerhetsläget numera kan vara inaktuella.
Förhållningssättet inom Lantmäteriet har, som nämnts, utgått från att myndighetens informationsmängder ska vara allmänt till- gängliga (bortsett från viss manuellt hanterad information). Att fastighetsregistret syftar till offentlighet för vissa uppgifter verkar rakt av ha översatts till att också hela arkivakter bör och ska vara offentliga. Därefter – men först efter mycket lång tid – har man på ett systematiskt sätt försökt ta ställning till om vissa uppgifter i informationsmängderna skulle kunna omfattas av sekretess.
För Lantmäteriet liksom för andra myndigheter gäller tryckfri- hetsförordningens principer om rätten att ta del av allmänna hand- lingar liksom förutsättningarna att begränsa den rätten, bland annat av hänsyn till Sveriges säkerhet. För att ta det författningsreglerade ansvar som följer inte bara av tryckfrihetsförordningen utan också av lagen om offentlighet och sekretess ligger på myndigheten att pröva sekretesskyddet i all informationshantering. Det innebär helt enkelt en sedvanlig sekretessprövning vid varje begäran om utläm-
425
Avslutande reflektioner | Ds 2026:2 |
nande av allmän handling. Lantmäteriet bör i varje del av sin infor- mationshantering se till att nödvändiga skyddsåtgärder integreras i varje system och varje rutin. Ett proaktivt förhållningssätt bör tillämpas i stället för de mycket resurskrävande insatser som behövs för att i efterhand, eller reaktivt, försöka klara informationssäkerhe- ten, sekretessfrågor och behandlingen av personuppgifter i överens- stämmelse med gällande rätt. Utgångspunkt för Lantmäteriet bör vara att riskminimera och nolltolerans när det gäller riskerna för Sveriges säkerhet. Det gäller inte minst med tanke på de skadeverk- ningar som den tidigare hanteringen av informationssäkerheten får bedömas ha inneburit. Ytterligare eller fortsatta brister är inte god- tagbart. Samma utgångspunkt ska för övrigt gälla i fråga om hante- ringen av skyddade personuppgifter men också av personuppgifter i övrigt.
Med sådana utgångspunkter bör Lantmäteriet i sitt viktiga upp- drag hitta nya sätt att effektivt förse samhället med den information som i många olika sammanhang behövs. Ett omtag är nödvändigt. Sannolikt bör ett nytt system, ett jämfört med Arken fullt ut digitalt system, tas fram. Det framstår som den enda långsiktigt rimliga lösningen för de mycket stora informationsmängder det handlar som. Ny teknik bör användas och ett nytt IT-system för fastighets- information tas fram trots de stora kostnader som det för med sig. Men det är en långsiktig investering med lång avskrivningstid. Alter- nativet att kompromissa med manuella funktioner framstår vid en jämförelse inte som en ekonomiskt realistisk lösning.
Övergångsvis är emellertid en rimlig bedömning att det för lång tid framåt kommer att finnas ett behov av manuell granskning och hantering vid utlämnande av fastighetsinformation. Det framstår också som sannolikt att myndighetens utlämnandefunktion kom- mer att vara betydligt mer omfattande än tidigare. Att i närtid genom digitala tjänster tillhandahålla fastighetsinformation till samma krets externa brukare som tidigare får ses som osannolikt.
I det fortsatta arbetet med att stärka informationssäkerheten är den dialogmodell som redan används i förhållande till aktörer med säkerhetskänsliga fastigheter, anläggningar eller verksamheter ett verktyg att ta fasta på. Modellen kan utvecklas och effektiviseras. Ett råd för informations- och cybersäkerhet bör lämpligen inrättas. I kombination med en uppgiftsskyldighet för berörda aktörer, som vi
426
Ds 2026:2 | Avslutande reflektioner |
har diskuterat tidigare, ökar förutsättningarna för hög informations- säkerhet inte bara hos Lantmäteriet utan i samhället i övrigt.895
Under senare tid har mycket gjorts inom Lantmäteriet. Och det har gjorts under kort tid. Utredningar har genomförts, flera åtgärder vidtagits och olika processer startats. Inriktningen mot en mer ut- vecklad intern styrning och kontroll är tydlig.
De tre delar som vår granskning haft fokus på, informationssä- kerheten i stort, sekretesshanteringen och behandlingen av person- uppgifter är alla beroende av en väl fungerade styrning och kontroll.
Enligt Lantmäteriet har arbetet med intern styrning och kontroll under 2025 fortsatt att stärka myndighetens struktur. Samtidigt kvarstår variationer i tillämpning, ansvarsfördelning och arbetssätt. Och myndigheten anser att det finns ett fortsatt behov av en mer enhetlig och förutsägbar styrning. Roller, mandat och ansvar behö- ver vara tydliga, samordnade och tillämpas likvärdigt i hela myndig- heten. Enligt Lantmäteriet varierar mognadsnivån i organisationen och det behövs ytterligare utveckling av processer, uppföljning och samverkan. Inom säkerhetsområdet, inklusive säkerhetsskydd, in- formationssäkerhet och beredskap, har enligt Lantmäteriet bety- dande steg tagits. Men det betonas att fortsatt utveckling krävs för att uppnå en helt enhetlig och långsiktigt hållbar förmåga. Trots ett antal utmaningar bedömer Lantmäteriet att den interna styrningen och kontrollen i huvudsak fungerar och att myndigheten står bättre rustad för att hantera risker och säkerställa god intern styrning och kontroll framåt.
Enligt vår bedömning är det tydligt att Lantmäteriet har påbörjat en förflyttning i rätt riktning. Under senare tid har myndigheten vid- tagit flera åtgärder inriktade på att utveckla den interna styrningen. Och fler åtgärder är på gång. Att exempelvis få ett centralt lednings- och verksamhetsstöd på plats är en viktig del.
Det finns inte skäl att tro annat än att Lantmäteriets nuvarande inriktning kommer att leda till väsentliga förbättringar av avgörande betydelse framåt. Som Lantmäteriet konstaterar i bland annat års- rapporten intern styrning och kontroll 2025 återstår emellertid en hel del arbete. Regelefterlevnad, kompetensutveckling och kvalitets- säkring är centrala delar i det som Lantmäteriet har framför sig. Under det fortsatta arbetet med att få fler bitar på plats är det för Lantmäteriet en given utgångspunkt och nödvändigt att verksamhe-
895Se avsnitt 17.15.2.
427
Avslutande reflektioner | Ds 2026:2 |
ten på alla nivåer leds och bedrivs utan att man ytterligare riskerar Sveriges och inte heller enskildas integritet eller säkerhet.
428
Bilaga
Uppdrag att granska Lantmäteriets arbete med informationssäkerhet
Regeringens beslut
Regeringen beslutar att en utredare ska granska Lantmäteriets arbete med informationssäkerhet i sin manuella hantering och i sina digitala system. Utredaren ska göra följande:
•Kartlägga dels Lantmäteriets arbete med informationssäkerhet, dels myndighetens behandling av personuppgifter. I detta ingår att identifiera eventuella brister och risker i hanteringen och behandlingen.
•Beskriva hur ansvaret för informationssäkerhetsfrågor är fördelat i Lantmäteriet, bl.a. mellan styrelsen och generaldirektören, och utvärdera om ansvarsfördelningen innebär att det finns förutsätt- ningar för myndigheten att leva upp till högt ställda krav på arbe- tet med sådana frågor.
•Utreda om Lantmäteriet bör ha fortsatt arkivansvar och ansvar för att lämna ut och sekretessgranska de kommunala lantmäteri- myndigheternas akter samt, om så inte är fallet, lämna förslag på vilken eller vilka aktörer som i stället framstår som lämpliga för att ta över ansvaret för dessa uppgifter.
•Särskilt redovisa vilka åtgärder som myndigheten har vidtagit de senaste åren med avseende på att säkerställa en hög informations- säkerhet och att uppgifter som omfattas av sekretess och person- uppgifter inte felaktigt lämnas ut eller röjs på något annat sätt. I detta ingår att analysera de åtgärder som myndigheten har vid- tagit med anledning av de senaste årens myndighetsinterna påpe- kandena om bristande skydd av sådana uppgifter.
429
Bilaga | Ds 2026:2 |
•Kartlägga befintliga roller och kompetenser samt vilka roller och kompetenser som behövs framgent för att upprätthålla hög in- formationssäkerhet.
•Vid behov föreslå åtgärder som stärker Lantmäteriets arbete med informationssäkerhetsfrågor och samtidigt ger förutsättningar för Lantmäteriet att fullgöra sina uppgifter enligt förordningen (2009:946) med instruktion för Lantmäteriet på ett effektivt sätt.
Lantmäteriet ska bistå utredaren med de uppgifter som utredaren bedömer att denne behöver för genomförandet av uppdraget.
Utredaren ska samråda med Säkerhetspolisen och Integritets- skyddsmyndigheten.
Uppdraget ska redovisas till Regeringskansliet (Landsbygds- och infrastrukturdepartementet) senast den 15 december 2025.
Regeringen bemyndigar det statsråd som har till uppgift att föredra ärenden om Lantmäteriet att utse utredare och besluta om annat bi- träde åt utredaren.
Kostnaderna för uppdraget ska belasta det under utgiftsområde 1 Rikets styrelse uppförda anslaget 4:1 Regeringskansliet m.m., an- slagsposten 1 Till Regeringskansliets disposition, budgetram 12 Landsbygds- och infrastrukturdepartementet.
Skälen för regeringens beslut
Enligt 2 § förordningen med instruktion för Lantmäteriet är Lant- mäteriet den statliga lantmäterimyndigheten som är förvaltnings- myndighet för frågor om fastighetsindelning, om grundläggande geografisk information och fastighetsinformation, om inskrivning enligt jordabalken och om geodetiska referenssystem.
I sin verksamhet hanterar Lantmäteriet en stor mängd uppgifter, däribland uppgifter som omfattas av olika typer av sekretess, sådana säkerhetsskyddsklassificerade uppgifter som avses i säkerhets- skyddslagen (2018:585), samt personuppgifter som omfattas av be- stämmelserna i den s.k. dataskyddsförordningen (GDPR).
430
Ds 2026:2 | Bilaga |
I verksamheter som hanterar denna typ av uppgifter, liknande verk- samheten hos Lantmäteriet, är det särskilt viktigt med ett systema- tiskt informationssäkerhetsarbete. Begreppet informationssäkerhet används i olika sammanhang och innebär huvudsakligen att för- hindra att information läcker ut, förvanskas eller förstörs. Det hand- lar också om att rätt information ska finnas tillgänglig för rätt per- soner, och i rätt tid.
Särskilda krav på informationssäkerhet finns för säkerhetskänsliga verksamheter. Enligt säkerhetsskyddslagen är den som bedriver så- dan verksamhet, såvitt nu är aktuellt Lantmäteriet, skyldig att vidta åtgärder för att förebygga att säkerhetsskyddsklassificerade uppgif- ter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Verk- samhetsutövaren ska även vidta åtgärder för att förebygga annan skadlig inverkan på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Verksamhetsutövare som omfattas av säkerhetsskyddslagen står under tillsyn av vissa utpekade tillsyns- myndigheter. I Lantmäteriets fall är det Säkerhetspolisen som är till- synsmyndighet. Tillsynsmyndigheten ska kontrollera att verksam- hetsutövarna följer säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Tillsynsmyndigheten får före- lägga en verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen. Vissa brister i säkerhets- skyddsarbetet kan även leda till sanktionsavgifter.
Det har framkommit uppgifter som tyder på att det finns brister i Lantmäteriets arbete med informationssäkerhet och myndighetens hantering av uppgifter som omfattas av sekretess och av personupp- gifter. Det finns därför starka skäl att granska Lantmäteriets upp- giftshantering och analysera framför allt om och hur myndighetens arbete i dessa hänseenden kan utvecklas.
Konsekvensanalys
Utredaren ska redovisa en sådan konsekvensutredning som särskilda utredare ska redovisa enligt förordningen (2024:183) om kon- sekvensutredningar.
431
Departementsserien 2026
Kronologisk förteckning
1.Nya möjligheter att bekämpa onlinerekrytering. Ju.
2.Granskning av Lantmäteriets informationssäkerhet. LI.
Departementsserien 2026
Systematisk förteckning
Justitiedepartementet
Nya möjligheter att bekämpa onlinerekrytering. [1]
Landsbygds- och infrastrukturdepartementet
Granskning av Lantmäteriets informationssäkerhet. [2]