Infiltration i staten - tre myndigheters arbete för att motverka illojalt beteende
Riksrevisionens granskningsrapport 2026:3
RiR 2026:3
Infiltration i staten
– tre myndigheters arbete för att motverka illojalt beteende
Riksrevisionen är en myndighet under riksdagen med uppgift att granska statliga myndigheter och verksamheter. Vi bedriver både årlig revision och effektivitetsrevision. Genom ett grundlagsskyddat oberoende har Riksrevisionen ett starkt mandat och är en viktig del av riksdagens kontrollmakt som bidrar till förbättringar och demokratisk insyn.
Denna rapport har tagits fram inom effektivitetsrevisionen, vars uppgift är att granska hur effektiv den statliga verksamheten är. Vi lämnar även rekommendationer för att förbättra den granskade verksamheten. Effektivitetsgranskningar lämnas direkt till riksdagen som bereder dem tillsammans med en svarsskrivelse från regeringen.
Riksrevisionen
RiR 2026:3
ISBN 978-91-7086-742-2
ISSN 1652-6597
Tryck: Riksdagstryckeriet, Stockholm 2026
Beslutad: 2026-01-30
Diarienummer: 2025/0135
RiR 2026:3
Till: Riksdagen
Härmed överlämnas enligt 9 § lagen (2002:1022) om revision av statlig verksamhet m.m. följande granskningsrapport:
Infiltration i staten
– tre myndigheters arbete för att motverka illojalt beteende
Riksrevisionen har granskat om Försvarets materielverk, Kammarkollegiet och Kriminalvården vidtar effektiva åtgärder för att motverka infiltration. Resultatet av granskningen redovisas i denna granskningsrapport. Den innehåller slutsatser och rekommendationer som avser dessa myndigheter.
Riksrevisorn Christina Gellerbrant Hagberg har beslutat i detta ärende. Revisionsdirektören Per Dackenberg har varit föredragande. Revisionsdirektören Fredrik Bonander och enhetschefen Jesper Antelius har medverkat i den slutliga handläggningen.
Christina Gellerbrant Hagberg
Per Dackenberg
För kännedom
Regeringskansliet; Finansdepartementet, Försvarsdepartementet och Justitiedepartementet
Försvarets materielverk, Kammarkollegiet och Kriminalvården
Innehåll
3.4Personalen informeras om risker, regler och möjliga åtgärder vid
4.3Uppföljande säkerhetsprövning genomförs återkommande och på ett
Sammanfattning
Under senare år har flera fall av infiltration uppmärksammats i offentlig verksamhet. Mörkertalet kan vara betydande och konsekvenserna bli allvarliga: röjda uppgifter som gynnar grov kriminalitet, förvanskad eller förstörd information, ekonomiska oegentligheter och störningar i samhällsviktig verksamhet med höga kostnader som följd. Mot denna bakgrund har Riksrevisionen granskat hur tre myndigheter med viktiga men olika uppdrag arbetar för att motverka infiltration: Försvarets materielverk (FMV), Kammarkollegiet och Kriminalvården. Myndigheterna delar en hög exponering för risker, från säkerhetsskyddsklassificerade uppgifter och omfattande upphandlingar till förvaltning av betydande medel och påverkan från organiserad brottslighet. Regeringen har inlett insatser på strategisk nivå, medan Riksrevisionens granskning är inriktad mot hur myndigheterna arbetar i praktiken med att skydda sig mot infiltration.
Säkerhetsarbetet är inte effektivt
Riksrevisionens samlade bedömning är att de granskade myndigheternas arbete för att motverka infiltration som helhet inte är effektivt. Det gäller såväl de processer som syftar till att förebygga och förhindra infiltration som till att upptäcka pågående infiltration. Det innebär att det finns omfattande säkerhetsbrister som i värsta fall kan leda till allvarliga konsekvenser. Det finns likväl delar av arbetet som fungerar väl, men det finns återkommande brister i styrning, uppföljning och genomslag
i verksamheten.
Säkerhetsarbetet varierar mellan myndigheterna
Riksrevisionen bedömer att skyddet mot infiltration är ojämnt utvecklat. FMV ligger längst fram med sammanhållna processer, spårbarhet och koppling mellan säkerhetsskyddsanalys och myndighetsövergripande riskhantering. Kriminalvården har tagit flera steg, men kvarstår med kritiska brister som försvagar både förebyggande arbete och upptäckt. Kammarkollegiet har störst utvecklingsbehov; säkerhetsarbetet är fragmenterat samt att loggning och incidenthantering är otydliga.
Det finns goda förutsättningar i personalen
Registerbaserade indikatorer pekar på en stabil personalbas med få träffar
i belastningsregistret och låg överskuldsättning, vilket ger goda förutsättningar för att kunna öka skyddet mot infiltration. Den stora svagheten är att oreglerade delar av verksamheten (verksamhetsskyddet) ofta nedprioriteras jämfört med säkerhetskänslig verksamhet där regelverken är fler och tydligare. Pågående utredningar om utökade bakgrundskontroller m.m. kan stärka stödet även i dessa delar.
4 Riksrevisionen
Säkerhetsarbetet kan utvecklas
Riskanalyserna bör kompletteras med ett nedifrån‑och-upp-perspektiv som fångar vardagsnära iakttagelser från medarbetare. Den uppföljande säkerhetsprövningen behöver inriktas mer mot känsliga men avgörande frågor såsom privatekonomi, social exponering, hållhakar, beroenderelationer, karriärbesvikelser, m.m. för att inte missa tidiga varningssignaler. Även externt upphandlad personal innebär ytterligare risker för infiltration.
Rekommendationer
Till Försvarets materielverk, Kammarkollegiet och Kriminalvården
•Integrera frågor om personalsäkerhet i ordinarie rutiner, så att de blir självklara beståndsdelar i ledarskapet.
•Säkerställ att uppföljande säkerhetsprövningssamtal för personal med säkerhetsklassad befattning sker systematiskt och omfattar alla relevanta områden.
•Se till att stödmaterial för säkerhetsprövningen utgår från Säkerhetspolisens respektive Försvarsmaktens vägledningar, men utveckla och anpassa så långt möjligt utifrån verksamhetens beskaffenhet och personalens arbetsuppgifter.
Riksrevisionen 5
1 Inledning
1.1Motiv till granskning
Varje myndighet har ett ansvar att se till att dess verksamhet bedrivs på ett säkert sätt. Däri ingår att analysera och hantera risker för att det bland personalen kan finnas individer som agerar illojalt på olika sätt och därmed tillfogar skada för myndigheten, staten eller samhället i stort. Det handlar om aktiviteter som en person på insidan av en verksamhet utför i syfte att röja känsliga uppgifter eller att förstöra eller förvanska uppgifter, tillskansa sig egen ekonomisk vinning, eller andra illojala beteenden.
Vi använder fortsättningsvis uttrycket infiltration för dessa aktiviteter. Se mer om detta i kapitel 2.
Under senare år har det uppdagats flera fall av infiltration inom såväl stat som kommun. Det finns dock en påtaglig risk att det finns ett mörkertal och att det saknas tillräcklig förmåga att förebygga, förhindra och upptäcka infiltration. De skadliga aktiviteterna som det är fråga om kan leda till allvarliga problem av olika slag. Till exempel kan röjda uppgifter inom rättsväsendet gynna kriminell verksamhet som orsakar ekonomisk skada och lidande för människor. Om säkerhetskänslig verksamhet drabbas kan det få allvarliga konsekvenser för samhället, och även leda till höga kostnader för att rätta till de skador som uppstår. Förekomst av infiltration utgör således problem med effektivitet, legalitet och objektivitet, och kan avse alltifrån hushållning med statens medel, om det till exempel gäller oegentligheter vid upphandling, till allvarliga störningar i samhällsviktig verksamhet. Problem med infiltration har varit känt länge, och är synnerligen allvarligt. Som exempel kan nämnas att Sveriges ställning faller i Transparency Internationals Corruption Perceptions Index.1
Av dessa skäl beslutade Riksrevisionen i februari 2025 att granska hur några myndigheter arbetar för att motverka infiltration. Tre myndigheter med viktig verksamhet och med sinsemellan förhållandevis olika uppdrag och beskaffenhet valdes ut för denna granskning: Försvarets materielverk (FMV), Kammarkollegiet och Kriminalvården. Vi bedömer att verksamheten i dessa myndigheter är känslig för att dra till sig infiltration och att konsekvenserna av de skador som kan uppstå blir allvarliga för både verksamheten i sig och samhället i övrigt. FMV hanterar mycket säkerhetsskyddsklassificerade uppgifter, genomför omfattande upphandlingar samt har personal som roterar anställning mellan Försvarsmakten, försvarsindustrin och FMV. Inom Kriminalvården kan infiltratörer gynna grov kriminalitet, och en omfattande och ökande upphandling förekommer eftersom många nya häktes- och anstaltsplatser ska byggas. Kammarkollegiet med sina många olikartade uppgifter kan förväntas ha en relativt lägre aktivitet i personalsäkerhetsarbetet, och där finns även risk för att kriminella aktörer vill komma åt medel och annan verksamhet med höga skyddsvärden.
1Från 88 till 80 procent mellan 2012 och 2024.
6 Riksrevisionen
Såväl regeringen som vissa myndigheter har börjat vidta åtgärder för att hantera infiltrationsproblematiken. Regeringen har till exempel tagit fram en ny handlingsplan mot korruption och otillåten påverkan. Statskontoret har också fått i uppdrag att utveckla stöd till myndigheter, kommuner och regioner och samordna myndigheter som på olika sätt arbetar mot korruption och otillåten påverkan.2 Det är aktiviteter som sker på en övergripande nivå. Denna granskning har däremot en djupare inriktning mot hur de utvalda myndigheterna går till väga för att skydda sig mot infiltration.
1.2Övergripande revisionsfråga och avgränsningar
Den övergripande revisionsfrågan är om FMV, Kammarkollegiet och Kriminalvården vidtar effektiva åtgärder för att motverka infiltration.
Den övergripande frågeställningen har delats upp i två delfrågor: Har de granskade myndigheterna effektiva processer för att
1.förebygga och förhindra infiltration
2.upptäcka infiltration?
Delfråga 1 avser om myndigheterna har analyserat sin verksamhet för att identifiera vad som är skyddsvärt och kan vara sårbart utifrån risk för infiltration. Frågan gäller också om myndigheterna har lämplighetsprövat och i förekommande fall säkerhetsprövat sin personal under anställningsprocessen.
Delfråga 2 handlar om hur myndigheterna över tid arbetar med att följa upp personalen på olika sätt och om det finns rutiner för att strukturerat kunna upptäcka infiltration, till exempel genom loggning av in- och utpassering, sökningar i register, etc.
Granskningen omfattar alltså hur de tre myndigheterna arbetar för att motverka infiltration avseende hela sin verksamhet, det vill säga såväl den säkerhetskänsliga verksamheten som omfattas av säkerhetsskydd som övrig verksamhet. Både anställd personal och externt upphandlad personal i form av till exempel vakter, lokalvårdare, konsulter omfattas av granskningen.
Granskningen omfattar inte myndigheternas arbete med fysiskt skydd eller informations- och cybersäkerhet i den mån inte någon av dessa kan sammankopplas med personalsäkerhetsarbetet.
2Regeringen, Handlingsplan mot korruption och otillåten påverkan 2024–2027, Uppdrag till Statskontoret att stödja arbetet mot korruption i offentlig förvaltning, 2024-07-04, Uppdrag till Statskontoret och Brottsförebyggande rådet att stödja arbetet mot otillåten påverkan i den offentliga förvaltningen,
2024-06-20 samt uppdrag i 2025 års regleringsbrev till Statskontoret att ska ta fram och tillhandahålla en webbaserad utbildning om otillåten påverkan i den offentliga förvaltningen.
Riksrevisionen 7
Det finns en distinktion mellan säkerhetsskydd och allt annat säkerhetsarbete som vanligen brukar benämnas verksamhetsskydd. Säkerhetsskydd avser endast åtgärder för att skydda Sveriges säkerhet, det vill säga skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra liknande brott. När det gäller säkerhetsskydd finns en omfattande författningsreglering3 om hur detta skydd ska uppnås medan verksamhetsskydd till stor del saknar sådan reglering. För verksamhetsskydd överlämnas det åt myndigheterna att avgöra hur verksamheten ska skyddas, till exempel genom att beakta regler om personlig integritet och liknande. Vår utgångspunkt är vad myndigheterna gör för att motverka infiltration som kan ha många olika syften, och därför omfattar granskningen såväl arbetet med säkerhetsskydd som verksamhetsskydd. I praktiken är det svårt att skilja de båda skydden åt, eftersom säkerhetsskydd också fungerar som ett verksamhetsskydd. Det är alltså svårt att helt hålla isär säkerhetsskydd och ordinarie verksamhetsskydd i denna granskningsrapport.
1.3Bedömningsgrunder
Utgångspunkter för granskningen är regeringsformens bestämmelser om saklighet och opartiskhet samt förvaltningslagens bestämmelser om legalitet, objektivitet och service.4 Även myndighetsförordningens föreskrifter om ledningens ansvar för att verksamheten bedrivs effektivt och rättsenligt äger relevans samt att ledningen ska säkerställa att det finns en fungerande och betryggande intern styrning och kontroll som inbegriper att förebygga korruption, otillbörlig påverkan, bedrägeri och andra oegentligheter.5
De tre myndigheterna ska tillämpa förordningen om intern styrning och kontroll som föreskriver att en riskanalys ska göras i syfte att identifiera omständigheter som utgör en väsentlig risk för att myndigheten inte ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla kraven i 3 § myndighetsförordningen samt att åtgärder ska vidtas med anledning av riskanalysen.6 Denna förordning bygger i sin tur på COSO-modellen som är ett ramverk för att upprätta och utvärdera intern kontroll i en verksamhet (se bilaga 1). Centralt i COSO är det som kallas kontrollmiljö. För att motverka infiltration och annat illojalt beteende behöver därför myndigheternas kontrollmiljö alltid omfatta en process eller utarbetade rutiner som kan användas för att motverka infiltration, och att det finns en utpekad funktion som är ansvarig. Personal från såväl stab som linje bör vara involverad i processen. Vidare bör ärenden eller andra arbetsuppgifter fördelas på sätt som säkerställer korrekt hantering, inte genom att personalen själv kan avgöra fördelningen. Det är också
3
4
5
6
Med säkerhetsskydd avses sådant skydd av säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter som regleras i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2021:955), Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2019:2 och 2020:3) samt Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).
1 kap. 9 § regeringsformen samt 5–6 §§ förvaltningslagen (2017:900).
3 § och 4 § 4 myndighetsförordningen (2007:515).
3 och 4 §§ förordningen (2007:603) om intern styrning och kontroll.
8 Riksrevisionen
avgörande att chefer och medarbetare deltar i relevant utbildning där det förs öppna diskussioner om infiltration, till exempel om olika dilemman, i syfte att öka medvetenheten om vilka risker som kan finnas i den interna kulturen och som underlättar för infiltration.
För den personal som deltar i säkerhetskänslig verksamhet och innehar säkerhetsklassade befattningar tillkommer de krav på säkerhetsprövning som ställs i säkerhetsskyddslagen (2018:585). Säkerhetskänslig verksamhet är sådan verksamhet som är av betydelse för Sveriges säkerhet. För sådan verksamhet krävs säkerhetsskydd.7 En bärande del av det är att avgöra vilka befattningar som ska vara säkerhetsklassade. Personal som arbetar i säkerhetskänslig verksamhet ska genomgå säkerhetsprövning innan deltagande i sådan verksamhet. Säkerhetsprövningen är en pågående process under hela anställningen, inom vilken löpande uppföljning ska ske under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår.8 En rimlig tolkning av lagens krav och vedertagen praxis inom personalsäkerhet är att prövningen inte är ett engångstillfälle utan en återkommande kontroll och dialog om lojalitet, pålitlighet och sårbarheter inklusive ekonomiska förhållanden, social exponering, hot och otillbörlig påverkan. Det innebär också att chefer och andra ansvariga måste ställa relevanta, ibland känsliga frågor och följa upp svaren med en frekvens i förhållande till riskerna i verksamheten. Av detta följer att återkommande uppföljningar bör ske minst årligen, och oftare om behov uppstår. Den beskrivna inriktningen ligger i linje med hur säkerhetsskyddet ska fungera och hur uppföljande säkerhetsprövning bör bedrivas i praktiken.
Nedan följer de övriga bedömningsgrunder som vi använder för att besvara granskningens båda delfrågor.
1.3.1 Delfråga 1
För att svara på frågan om de granskade myndigheterna har effektiva processer för att förebygga och förhindra infiltration använder vi följande bedömningsgrund.
En riskanalys behöver göras för att kunna förebygga och förhindra infiltration. Det innebär att identifiera interna och externa risker och att värdera dessa utifrån sannolikhet och konsekvens. Med det som grund ska man bestämma om riskerna ska elimineras, reduceras eller accepteras. En fungerande riskanalys bör vara spårbar bakåt i tiden för det fall att myndighetens ledning eller andra nyckelpersoner skulle lämna myndigheten.
Med riskanalysen som grund är det nödvändigt att riskerna blir hanterade enligt den upprättade planen genom att utifrån föreliggande omständigheter vidta åtgärder så att en risk blir undanröjd, reducerad eller accepterad. Det senare kan till exempel ske
7
8
Skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten (1 kap. 2 § första stycket säkerhetsskyddslagen (2018:585).
3 kap. 3 § säkerhetsskyddslagen (2018:585).
Riksrevisionen 9
om risken bedöms vara försumbar. När det gäller att motverka infiltration är en viktig kontrollåtgärd att myndigheten kontrollerar personer inför anställning eller annat deltagande i myndighetens verksamhet. Därför behöver det finnas rutiner om vilken kontroll som myndigheten ska genomföra.
Det är också nödvändigt att personalen informeras om riskerna, vilka regler som gäller samt vilka åtgärder som vidtas vid överträdelser. Dessutom är det viktigt att man följer upp att de åtgärder som aviserats i planen faktiskt genomförs, och att de får avsedd effekt.
1.3.2 Delfråga 2
För att svara på frågan om de granskade myndigheterna har effektiva processer för att upptäcka infiltration använder vi följande bedömningsgrund.
En väl fungerande hantering innebär att det ska finnas kontrollåtgärder. Det handlar om att chefer systematiskt beaktar beteenden som kan utgöra risk för infiltration, till exempel ovilja att tillämpa regler och liknade beteenden. Det handlar också om att kontrollera eventuella bisysslor och jäv när det finns anledning till det, att slagningar i system registreras (loggas) samt att det finns fungerande incidenthanteringssystem och visselblåsarfunktioner.
1.4Metod och genomförande
Granskningen har genomförts av en projektgrupp bestående av Per Dackenberg (projektledare) och Fredrik Bonander. Fanny Karlsson Edsholt (praktikant) har också bidragit i arbetet fram till och med 5 juni 2025. Två referenspersoner har lämnat synpunkter på granskningsupplägg och på ett utkast till granskningsrapport: Katja Mårtensson Björklund, senior rådgivare, KMB Advice samt Malen Wallén, strategisk rådgivare, Centrum för totalförsvar och samhällets säkerhet vid Försvarshögskolan. Företrädare för Regeringskansliet (Finans- Försvars- och Justitiedepartementen), FMV, Kammarkollegiet samt Kriminalvården har fått tillfälle att faktagranska och i övrigt lämna synpunkter på ett utkast till granskningsrapport.
1.4.1 Skriftliga frågor om bedömningsgrunderna
I syfte att få veta myndighetens egen uppfattning om varje bedömningsgrund har vi begärt in egenvärdering från varje myndighet om de tycker sig uppfylla var och en av bedömningsgrunderna. Vi har också begärt att varje myndighet redogör för om det finns problem för myndigheten att uppfylla bedömningsgrunden.
1.4.2 Intervjuer och dokumentgenomgång
Vi har intervjuat befattningshavare som på olika sätt är involverade i arbetet mot bland annat infiltration. Det gäller till exempel personal på HR- och säkerhetsfunktioner, men även andra befattningshavare beroende på hur arbetet är organiserat på de granskade myndigheterna.
10 Riksrevisionen
På sedvanligt sätt har vi även tagit del av relevanta styrdokument med bäring på personalsäkerhet.
1.4.3 Enkätundersökning
Vi har skickat en enkät till samtliga medarbetare på de granskade myndigheterna. Enkätundersökningen syftar till att ge en bild av hur arbetet med att förebygga, förhindra och upptäcka infiltration sker i praktiken. De granskade myndigheterna fick lämna synpunkter på frågorna innan vi skickade ut dem.
Antal svarande på Kammarkollegiet var 266, vilket ger en svarsfrekvens på
76,0 procent. På Kriminalvården svarade 8 700 på enkäten vilket ger en svarsfrekvens på 43,5 procent. Antal svarande på FMV var 1 390 vilket ger svarsfrekvensen
43,5 procent. Svarsfrekvensen är hög för Kammarkollegiet. Man bör dock vara medveten om att en svarsfrekvens under 50 procent innebär en risk för att svaren kan vara snedvridna på grund av att vissa grupper av myndighetens anställda svarat
i högre grad än deras andel motsvarar. Ett klassiskt sätt att analysera detta är genom att genomföra en bortfallsanalys med hjälp av olika bakgrundvariabler bland dem som svarat jämfört med alla anställda. Sammanställningen försvårades dock av att uppgifter om samtliga anställda vid FMV och Kriminalvården bedöms omfattas av försvarssekretess.9 Av det skälet har vi genomfört den fortsätta analysen av enkätsvaren med viss försiktighet.
Enkätfrågorna framgår i redovisningen av enkätsvaren i bilaga 2.
1.4.4 Registersamkörning
I syfte att få en indikation på omfattningen av risker och sårbarheter har vi låtit göra en samkörning av personalregistren vid de granskade myndigheterna med belastningsregistret10 samt myndigheternas egna uppgifter om utmätning av lön11. Samkörningen har skett anonymt och omfattar såväl den egna personalen som externt upphandlad personal såsom lokalvårdare, vakter, konsulter, m.m. som stadigvarande eller periodvis vistas i myndighetens lokaler, anläggningar eller har tillgång till myndigheternas uppgifter och system. Utfallet av samkörningen mot belastningsregistret har relaterats till hur utfallet ser ut för hela den svenska populationen i åldersgrupperna 20–69 år. Utfallet ger en indikativ bild över omfattningen av möjliga sårbarheter och risker som kan leda till infiltration, utan att peka ut enskilda individer.
Vår registersamkörning är alltså en indikator på omständigheter som kan påverka säkerheten, men inte ett faktiskt konstaterande av sakernas tillstånd. Det finns åtminstone tre saker som gör att samkörningen inte kan lämna ett komplett resultat
9Enligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400).
10Innehåller domar, beslut, strafförelägganden, utfärdade ordningsböter, godkända åtalsunderlåtelser, utfärdade kontaktförbud, m.m. Belastningsregistret förs av Polismyndigheten.
11Att arbetsgivaren efter beslut av Kronofogden drar av ett belopp på lönen för att täcka obetalda skulder.
Riksrevisionen 11
av tillståndet i verksamheten. För det första mäter förekomst i belastningsregistret endast brott där en person har blivit lagförd, inte oupptäckt brottslighet eller annan otillbörlig verksamhet. För det andra behöver en del brott inte innebära att säkerheten i en myndighets verksamhet äventyras. För det tredje behöver inte alla människor som inte klarar av att betala sina skulder ha bristande integritet, men sårbarheten kan vara högre.
12 Riksrevisionen
2Om infiltration och de granskade myndigheterna
2.1Begreppet infiltration
Med infiltration avser vi i denna granskning tre företeelser, alla med uppsåt att orsaka skada för verksamheten eller samhället i stort:
1.personer som söker anställning på uppdrag av illegala aktörer, som kan vara enskilda personer, organisationer eller personer som agerar ombud för stater
2.befintlig personal som rekryteras av illegala aktörer
3.personal som gör detta på eget bevåg.12
Infiltration är således ett tillvägagångssätt en individ kan använda för att utföra olika illojala eller brottsliga handlingar på sin arbetsplats och mot sin arbetsgivare eller kolleger. Det kan handla om att en person röjer eller förvanskar uppgifter för att gynna någon utomstående eller sig själv. Det kan också handla om att förstöra eller stjäla egendom som tillhör myndigheten eller att den anställde driver en egen agenda vid handläggning och beslut i olika ärenden.
En person kan också bli utsatt för otillåten eller otillbörlig påverkan för att utföra illojala eller brottsliga handlingar. Det innebär att en utomstående på ett olämpligt eller olagligt sätt försöker påverka hur personen ska agera.
2.2De granskade myndigheterna
Denna granskning omfattar hur tre utvalda myndigheter, Försvarets materielverk (FMV), Kammarkollegiet och Kriminalvården, arbetar för att motverka infiltration. Gemensamt för myndigheterna är att den verksamhet de bedriver är viktig för samhället. Deras verksamhet, organisering och storlek skiljer sig däremot åt i stor utsträckning.
2.2.1 Försvarets materielverk (FMV)13
FMV:s uppdrag är att anskaffa, vidmakthålla samt avveckla försvarsmateriel och förnödenheter åt Försvarsmakten. FMV ska även stödja Försvarsmakten när det gäller långsiktig materielförsörjningsplanering och materielsystemkunskap. Det innebär att FMV hanterar säkerhetsskyddsklassificerade uppgifter och ekonomiska värden i betydande omfattning. FMV är också en myndighet som är under stark tillväxt för att möta Försvarsmaktens ökade behov av försvarsmateriel.
12Denna definition omfattar även personer som stadigvarande har tillgång till myndigheternas lokaler eller anläggningar men som inte är anställda av myndigheterna, till exempel konsulter, vakter, lokalvårdare, etc.
13Se förordningen (2007:854) med instruktion för Försvarets materielverk.
Riksrevisionen 13
FMV lyder under Försvarsdepartementet. Myndigheten har nästan 3 000 anställda. Huvudkontoret finns i Stockholm, men man bedriver verksamhet på flera platser i Sverige, bland annat provplatser för försvarsmateriel.
2.2.2 Kammarkollegiet14
Kammarkollegiet har en mångsidig verksamhet med mer än 35 uppgifter enligt sin instruktion. Myndigheten fungerar som ramavtalsupphandlare och försäkringsgivare samt ansvarar för att avveckla dödsbon för Allmänna arvsfonden och vara kansli åt Arvsfondsdelegationen, som beslutar om tilldelning ur fonden. Myndigheten förvaltar Allmänna arvsfondens kapital och bedriver kapitalförvaltning för statliga och kyrkliga kunder med ett sammanlagt värde på över 200 miljarder kronor. Kammarkollegiet ansvarar även för Den offentliga omställningsorganisationen, som ger grundläggande omställnings- och kompetensstöd till personer som inte omfattas av kollektivavtal och ger ersättning till företag som finansierar registrerade omställningsorganisationer. Bland övriga uppgifter återfinns bland annat att tillhandahålla inkassoverksamhet för statliga myndigheter, hantera stiftelserätt, Sveriges indelning, registrera trossamfund, fastställa avgiftssatser inom begravningsområdet, fastställa resegarantier samt auktorisera tolkar och översättare. En ytterligare uppgift är att förvara och vårda riksregalierna. Det innebär bland annat att myndigheten hanterar stora ekonomiska värden.
Kammarkollegiet lyder under Finansdepartementet. Myndigheten har cirka 370 anställda. Huvudkontoret finns i Stockholm, och man har även ett kontor i Karlstad samt ett mindre kontor i Härnösand. Kammarkollegiet är också Sveriges första och äldsta myndighet.
2.2.3 Kriminalvården15
Kriminalvårdens uppgift är att verkställa straff och minska återfall i brott för klienterna. Det sker genom att bedriva verksamhet på häkten och kriminalvårdsanstalter samt genom övervakning av dömda personer, vilket sker genom frivården. Därutöver ansvarar myndigheten för att utföra personutredningar i brottmål samt för att transportera klienter mellan anstalter, häkten och domstolar.
Kriminalvården lyder under Justitiedepartementet. Myndigheten har över 20 000 anställda. Huvudkontoret finns i Norrköping. Verksamheten bedrivs i sex regioner. Sammanlagt finns det 46 kriminalvårdsanstalter, 42 häkten samt 33 frivårdskontor spridda över Sverige.
14Se förordningen (2007:824) med instruktion för Kammarkollegiet.
15Se förordningen (2007:1172) med instruktion för Kriminalvården.
14 Riksrevisionen
2.3Risk och sårbarhet för infiltration bland personalen
De tre myndigheterna som ingår i granskningen är som framgår ovan förhållandevis olika till sin karaktär sett till såväl storlek som arbetsuppgifternas beskaffenhet. Det gör att riskbilderna för infiltration delvis skiljer sig mellan myndigheterna. Det som trots allt förenar dem alla tre är att de har en förhöjd risk för oegentligheter till följd av skyddsvärden, mycket pengar eller andra värden samt möjliga intressekonflikter. En följd av detta är att verksamheten kan bli utsatt för infiltration.
En säker verksamhet bygger bland annat på att personalen, inklusive externt upphandlad personal, har god integritet. Det innebär framför allt att individen har förmåga att agera korrekt, lojalt och motståndskraftigt mot otillbörlig påverkan. Mot bakgrund av ökade säkerhetshot mot den offentliga förvaltningen, särskilt inom samhällsviktig verksamhet, finns ett behov av att kunna identifiera potentiella risker och sårbarheter för infiltration.
2.3.1 Få träffar i belastningsregistret
I syfte att få en indikativ bild över risk och sårbarhet för personalen har vi låtit samköra personalregistren för de granskade myndigheterna med belastningsregistret per 30 juni 2025. Undersökningen omfattar även externt upphandlad personal såsom vakter, lokalvårdare, konsulter, med flera kategorier som stadigvarande har tillträde till myndigheternas lokaler och anläggningar. Genom undersökningen har vi fått en sammanställning över hur många individer som förekommer i belastningsregistret. Vi redovisar dock inte träffar i registret som avser utfärdad ordningsbot då sådana träffar oftast avser trafikförseelser eller liknande. I redovisningen nedan ingår övriga uppgifter i belastningsregistret, det vill säga samtliga träffar avseende domar, strafförelägganden, åtalsunderlåtelser, kontaktförbud, m.m.16
Vi har valt att redovisa utfallet på två sätt: dels personer med endast en träff, dels personer som har två eller flera träffar. Skälet är att vi bedömer att personer med endast en träff utgör en mindre risk.
Resultatet av samkörningen framgår av diagrammet nedan.
16För en fullständig förteckning om vad som registreras hänvisas till 2 § förordningen (1999:1134) om belastningsregister. Uppgifterna i belastningsregistret gallras efter en tid. Vilken tidsfrist som gäller beror på vad anteckningen i belastningsregistret avser och ifall en ny anteckning görs avseende samma person innan tidigare uppgift har gallrats. Se 16–18 §§ lagen (1998:620) om belastningsregister.
Riksrevisionen 15
Diagram 1 Andel individer med en eller fler träffar i belastningsregistret exklusive ordningsbot, per 2025-06-30
| Procent | ||||||
| 7 | ||||||
| 6 | ||||||
| 5 | ||||||
| 4 | ||||||
| 3 | ||||||
| 2 | ||||||
| 1 | ||||||
| 0 | ||||||
| Totalt ålders- | Egen | Extern | Egen | Extern | Egen | Extern |
| grupperna | personal | personal | personal | personal | personal | personal |
| 20–69 år | ||||||
| Riket | Kammarkollegiet | Kriminalvården | Försvarets materielverk | |||
| En belastning | Två eller fler belastningar | |||||
| Källa: Polismyndigheten. | ||||||
Diagrammet visar ett gott utfall för de tre myndigheterna. Jämfört med riket som helhet17 har alla tre myndigheterna en väsentligt lägre andel av intern och extern personal med träffar i belastningsregistret. Andelen individer med två eller fler träffar som vi bedömer indikerar högre risk ligger väsentligt lägre än för riket som helhet. Det enda som sticker ut något är att extern personal vid Kriminalvården och FMV:s konsulter har andelar på 0,2 respektive 0,3 procent samt att Kriminalvårdens egen personal ligger på 0,1 procent. För Kriminalvårdens egen personal motsvarar dessa 0,1 procent omkring 20 personer. Det sticker ut att 6,5 procent av Kammarkollegiets externt upphandlade personal har en belastning. Det är dock endast en effekt av att det rör sig om ytterst få individer eftersom mycket små tal kan medföra kraftiga utslag vid andelsberäkning.
2.3.2 Få som är överskuldsatta
Vi har också tagit reda på hur många individer bland de tre myndigheternas egen personal som är överskuldsatta. Med överskuldsatt avser vi att en person inte klarar av att betala sina skulder, vilket kan leda till sårbarhet och även kunna påverka personens lojalitet. Vi har därför tillfrågat de tre myndigheterna om hur många anställda som någon gång under tiden 1 juli 2024–30 juni 2025 haft löneutmätning till Kronofogden.
Resultatet framgår av diagrammet nedan.
17 Åldersgrupperna 20–69 år.
16 Riksrevisionen
Diagram 2 Andel anställda som någon gång under perioden juli 2024–juni 2025 haft löneutmätning
Procent 5
4
3
2
1
0
| Riket | Kammarkollegiet | Kriminalvården | Försvarets materielverk |
Källa: Kammarkollegiet, Kriminalvården, Försvarets materielverk och Kronofogdemyndigheten.
Även detta diagram visar ett utfall som inte är anmärkningsvärt. Den minsta myndigheten Kammarkollegiet har ingen i personalen som är överskuldsatt.
I Kriminalvården och FMV som är betydligt större organisationer finns det personal som är överskuldsatt: 2,2 respektive 0,1 procent har varit det under den undersökta perioden. Det motsvarar omkring 400 personer i Kriminalvården som är väsentligt mycket större än FMV, där det var ytterst få som var överskuldsatta.
2.3.3 Personalens egen uppfattning om hur utbredd infiltrationen är
För att få en uppfattning om det förekommer någon form av infiltration eller annat illojalt beteende ställde vi följande fråga i enkätundersökningen till personalen vid de granskade myndigheterna: ”Vet du om det förekommer någon form av infiltration eller otillåtet eller annat illojalt beteende på din arbetsplats?” Andelen som svarade ”ja” eller ”jag tror det” framgår av diagrammet nedan.
Riksrevisionen 17
Diagram 3 Andel i personalen som svarar ”Ja” eller ”Jag tror det” på frågan om det förekommer infiltration eller annat illojalt beteende på myndigheten
| Procent | |||
| 30 | |||
| 19 | |||
| 25 | |||
| 20 | |||
| 15 | |||
| 10 | |||
| 10 | |||
| 5 | 7 | ||
| 2 | |||
| 0 | 1 | 1 | |
| Kammarkollegiet | Kriminalvården | Försvarets materielverk | |
| Ja | Jag tror det |
Källa: Riksrevisionens enkät i granskningen.
Utfallet skiljer sig markant. Att Kriminalvården har överlägset högst andel av de anställda som tycker sig veta eller tror att det förekommer någon form av infiltration eller otillåtet eller annat illojalt beteende bekräftar en mer utsatt miljö.
FMV:s nivå är dock tillräckligt hög för att vara en varningsklocka för myndigheten och motivera skärpt uppföljning på grund av att man arbetar i en säkerhetskänslig kontext. Om uppgifterna från enkäten speglar faktiska förhållanden kan det utgöra ett allvarligt problem för Sveriges säkerhet.
När det gäller Kammarkollegiet bör den låga nivån dock inte tolkas som en garanti för låg faktisk förekomst av infiltration. Den låga andelen kan spegla en relativt stabil riskmiljö. Den kan också tyda på att medarbetarna sällan ser eller tolkar händelser som tecken på illojalitet, till exempel att det finns en kultur där sådana tecken inte fångas upp.
18 Riksrevisionen
3 Förebygga och förhindra
Detta kapitel handlar om de granskade myndigheterna har effektiva processer för att förebygga och förhindra infiltration. Ett centralt verktyg för att förebygga och förhindra infiltration är risk- och sårbarhetsanalysen som avser hela verksamheten. Men även andra aspekter av det förebyggande arbetet, som dokumentation och uppföljning, tas upp här. Kapitlet bygger i hög grad på de skriftliga svar som myndigheterna skickat in till oss, och stärks i några fall av uppgifter från dokumentation och intervjuer.18
3.1Sammanfattande iakttagelser
De tre granskade myndigheterna har kommit olika långt i att bygga en sammanhållen och effektiv process för att förebygga och förhindra infiltration. Bristerna är ibland så omfattande att de riskerar att lämna kritiska säkerhetsluckor öppna.
•Försvarets materielverk (FMV) uppvisar över lag ett relativt väl utvecklat och systematiskt arbete, särskilt genom kombinationen av säkerhetsskyddsanalys och säkerhetsskyddsplan samt en myndighetsövergripande riskhantering19 med tydliga krav på planering, uppföljning och spårbarhet.
•Kammarkollegiet har påbörjat förbättringar, men har betydande brister i riskidentifiering, säkerhetsskydd och uppföljning. Kunskapsluckor om regler och påföljder förstärker bilden av en svag säkerhetskultur.
•Kriminalvården har ett omfattande riskarbete, men saknar centrala komponenter som skyddsvärdesanalys och har brister i uppföljning och genomslag i hela organisationen. Detta är särskilt problematiskt med tanke på myndighetens höga exponering mot organiserad brottslighet.
•En betydande andel medarbetare på alla tre myndigheter saknar kunskap om vilka åtgärder och påföljder som gäller vid regelöverträdelser kopplade till infiltration. Detta indikerar att styrningen inte omsätts i praktiken och att riskmedvetenheten bland personalen är otillräcklig.
•Återkommande och strukturerade uppföljande säkerhetsprövningssamtal fungerar bra på FMV medan säkerhetsprövningssamtalen har vissa brister på de andra myndigheterna, där många säkerhetsklassade medarbetare aldrig har
18Detta kapitel bygger på övergripande svar från Kammarkollegiet på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets arvsfondsavdelning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets förvaltningsrättsliga avdelning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets kapitalförvaltning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets offentliga omställningsorganisation på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets försäkringsavdelning på bedömningsgrundsmatris 2025-09-05; svar från Kriminalvården på bedömningsgrundsmatris 2025-08-28; uppföljande svar från Kriminalvården på bedömningsgrundsmatris 2025-10-20; svar från Försvarets materielverk på bedömningsgrundsmatrisen 2025-09-12; svar från Försvarets materielverk på bedömningsgrundsmatrisen 2025-09-30.
Dessutom bygger tabellen på de enkäter som samlats under granskningen och som redovisas i bilaga 2.
19Benämnd ERM.
Riksrevisionen 19
tillfrågats om centrala sårbarheter (privata bekantskaper, skuldsättning, exponering i sociala medier eller utsatthet för hot/tvång). Det är särskilt bekymmersamt i en verksamhet som Kriminalvården, som har hög exponering mot organiserad brottslighet.
3.2Riskanalysens omfattning och inriktning
3.2.1Riskanalysen omfattar hela verksamheten och all personal (inklusive upphandlad personal)
Kammarkollegiet anger att risker kan upptäckas genom utbildning, stöd och översyner. Det sker också vid rekrytering och bemanning. Myndigheten arbetar med utbildningar och stödinsatser och gör vissa översyner. Viss riskkontroll sker
i rekryteringsprocessen. Samtidigt ser myndigheten att mer utvecklingsarbete behövs. I dag omfattas emellertid inte all personal eller alla viktiga områden av utbildnings- och stödinsatser.
Kriminalvården tar med infiltration i sin strategiska riskanalys och bygger riskbilden från grunden så att all personal omfattas. Infiltration ingår i klustret korruption, infiltration och otillåten påverkan. Myndigheten bedömer att risken för dessa är hög och att följderna blir stora. Flera avdelningar har haft samma riskbedömning sedan 2024. Vi bedömer därför att arbetet för att minska riskerna inte har varit tillräckligt aktivt.
FMV fångar upp risker genom sin säkerhetsskyddsanalys och säkerhetsskyddsplan, både centralt och på enhetsnivå. Detta kompletteras med en instruktion för myndighetens riskhantering som även gäller upphandlad personal som ofta vistas i lokalerna. Åtgärderna följs upp med internkontroller. Täckningsgraden framstår som god och rollerna är tydliga.
3.2.2Riskanalysen beaktar skyddsvärden, sårbarheter och behovet av säkerhetsskydd
Kammarkollegiet planerar att genomföra en ny säkerhetsskyddsanalys och revidera säkerhetsskyddsplanen. I dag finns ingen aktuell plan. Det är främst Försäkringsavdelningen som har säkerhetsskyddsklassade befattningar där säkerhetsprövning utförs innan anställning.
Kriminalvården följer Säkerhetspolisens vägledningar. Myndigheten har en process för säkerhetsskyddsanalys och planerar att tydliggöra den i styrande dokument till våren 2026. Säkerhetsskyddsanalysen uppdateras vartannat år eller vid behov. Under våren 2025 gjordes en större revision av säkerhetsskyddsanalysen. Myndigheten ser just nu över hur de arbetar med risker. I nuläget gör Kriminalvården ingen skyddsvärdesanalys20 eller förmågebedömning, vilket ökar risken för infiltration.
20En systematisk bedömning av hur skyddsvärd en tillgång är utifrån konsekvenser om tillgången skadas, förloras eller röjs samt tillgångens betydelse för verksamheten, samhället eller rikets säkerhet.
20 Riksrevisionen
FMV:s säkerhetsskyddsanalys och säkerhetsskyddsplan gör att skyddsvärden och sårbarheter identifieras och prioriteras tydligt, både centralt och på enhetsnivå. Uppföljning sker två gånger per år i verksamhetsuppföljningen. Instruktionen för intern styrning och kontroll (ERM) anger hur risker ska värderas och hanteras. Vi bedömer att det ökar säkerheten.
3.2.3Riskanalysen beaktar omvärldsförändringar och interna förändringar
Kriminalvårdens riskanalyser tar upp interna och externa faktorer. Omvärldsutvecklingen kopplas till risker och åtgärder. Utbyggnaden av verksamheten har ökat riskerna vid upphandling, nybyggnation och rekrytering. Åtgärder har införts för kontroll och utbildning. Säkerhetsavdelningen gör utredningar och HR samarbetar när det gäller disciplinärenden. Myndigheten har vidtagit styrande och utbildande motåtgärder. Säkerhetsavdelningen följer effekterna i utredningar och justerar sitt arbetssätt därefter.
FMV:s säkerhetsavdelning genomför omvärldsanalyser. Samtidigt tas interna förändringar upp i instruktionen för styrning och kontroll och i riskhanteringen. Därför beaktas både yttre och inre faktorer. Myndigheten har också förstärkt säkerhetsplanen efter Rysslands anfallskrig mot Ukraina. Det visar att myndigheten kan reagera snabbt.
På Kammarkollegiet genomför säkerhetsgruppen omvärldsbevakning, och avdelningscheferna följer sina respektive områden. Riskanalys görs alltid vid förändringar. Varje år görs riskanalyser per avdelning som tar upp kända risker. Fördjupade analyser görs där risken bedöms som störst.
3.2.4 Alla identifierade risker analyseras och värderas
Kammarkollegiets uppger att man hanterar risker och osäkerheter på ett medvetet sätt. Målet är att undvika oönskade risker och att skydda verksamheten. Detta gäller både i det dagliga arbetet och vid större projekt, som nya IT-system eller förändringar i organisationen. För att bedöma risker används två olika metoder21 som bygger på beprövade analyser. Riskanalysen genomförs en gång årligen eller vid behov.
Kriminalvården genomför riskanalys två gånger per år eller vid behov. Flera andra analyser som även delvis relaterar till riskarbete genomförs regelbundet, till exempel av lägesbild samt omvärlden och det inre läget. Ändringar i riskbilden beslutas av generaldirektören. Myndigheten tar fram flera analyser med inriktning mot säkerhet.
FMV:s nya instruktion för riskhantering föreskriver att alla risker värderas och dokumenteras systematiskt. Alla risker ska beskrivas tydligt och skrivas in i ett register med orsak, konsekvens och ansvarig funktion. Riskerna bedöms sedan enligt
21Metoderna utgår från förordningen (2007:603) om intern styrning och kontroll respektive Myndigheten för samhällsskydd och beredskaps föreskrift (MSBFS 2020:6).
Riksrevisionen 21
en gemensam modell för sannolikhet och konsekvens, vilket ger en enhetlig bedömning. Myndigheten försöker också anpassa sig till förändrade hotbilder. Eftersom modellen är ny återstår dock att se hur den fungerar i praktiken.
3.2.5 Riskanalysen omfattar både olagliga och olämpliga förhållanden
Kammarkollegiet hänvisar till övergripande processer men specificerar inte uttryckligen hur olagliga respektive olämpliga förhållanden integreras i analys och uppföljning, och aviserar dessutom kommande översyn i säkerhetsgruppens regi. Vi bedömer därför att Kammarkollegiet behöver arbeta mer med sin riskanalys.
Kriminalvården uppger att riskanalys inte delas upp i olagligt och olämpligt. Säkerhetsavdelningen följer båda kategorierna. Olämpligt kan vara skadat förtroende, dålig arbetsmiljö och säkerhetsproblem. Olagliga förhållanden kan till exempel uppkomma vid upphandling eller ärenden med brottslighet eller när personal röjer sekretess.
FMV uppger att instruktionen täcker rättsliga risker och olämpliga förhållanden. Säkerhetsskyddsanalysen tar upp skyddsvärden, hot och svagheter. Den övergripande riskhanteringen kompletterar med verksamhetsrisker. Riskansvariga i linjen hanterar både centrala och lokala risker.
3.3 Riskhanteringens komponenter
3.3.1Plan för att eliminera, reducera, acceptera, med rimliga skäl för accepterade höga risker
Kammarkollegiet uppger att det finns processer och metoder för riskhantering på ett övergripande plan. Myndigheten har nyligen reviderat styrdokument gällande riskhantering. Processerna och metoderna för riskhantering kommer vidare ses över inom ramen för det arbete som för närvarande leds av myndighetens säkerhetsgrupp. Det finns endast begränsat underlag om hur hög riskacceptans motiveras och följs upp.
Kriminalvården hänvisar till att varje risk har kopplade åtaganden enligt styrande instruktion. Åtgärder finns på nationell, regional och lokal nivå med återkoppling via ordinarie uppföljning. Exempel på åtgärder:
•behörighetsportal i det klientadministrativa systemet KVR
•åtgärder och grundprinciper för behörighetsstyrning
•kontrollfunktion för större inköp
•utbildning för IT-personal med syfte att minska leverantörspåverkan.
FMV uppger att myndigheten har krav på att varje risk dokumenteras i en hanteringsplan. Höga risker får inte accepteras utan åtgärd och anses inte hanterade förrän effekt verifierats. Detta innebär att höga risker inte kan ”parkeras”, då dessa
22 Riksrevisionen
risker inte får accepteras utan åtgärd. Enligt FMV leder detta till konkreta åtgärder
i säkerhetsskyddsplanen.
3.3.2Överväganden och avgöranden dokumenteras för spårbarhet
Kriminalvården dokumenterar processen i ett system som loggar vem som skriver. Systemet har spårbarhet tillbaka till den tidpunkt då det sattes i drift.
FMV uppger att man dokumenterar risker, bedömningar och beslut i en så kallad riskmatris och riskregister. Detta säkrar kontinuitet vid personbyten. Särskild personal i linjen bidrar till att dokumentationen blir aktuell och heltäckande.
Kammarkollegiet hänvisar till processer och nyligen reviderade styrdokument. Men ger i övrigt inte lika tydliga svar som Kriminalvården och FMV om hur de arbetar för att etablera spårbarhet.
3.3.3Riskanalysen uppdateras regelbundet eller vid behov och söker aktivt nya risker
Kammarkollegiet hänvisar till att det pågår en översyn på myndighetsnivå som syftar till att riskanalyser genomförs frekvent och systematiserat. Eventuella nya risker bedöms och analyseras inom ramen för avdelningarnas riskkartläggning. Kammarkollegiet bedömer att denna inriktning är god, men att den ännu inte är fullt ut genomförd.
Kriminalvården uppger att myndigheten genomför uppdateringar halvårsvis och har en process för att fånga upp nya risker. En ny risk bedöms på nationell nivå, utifrån om den ska bli en strategisk risk för myndigheten. Riskanalysen integreras
i verksamhetsplaneringen på alla nivåer.
FMV hänvisar till att förnyad riskanalys sker både årligen och löpande vid behov. Den löpande riskanalysen sker på samtliga nivåer i organisationen. Den är till för att fånga upp både nya risker och sådana som tidigare analyser kan ha missat.
Ett exempel är Rysslands invasion av Ukraina, som föranledde en översyn av den centrala säkerhetsskyddsplanen.
3.3.4 Åtgärder följs upp och deras effekter utvärderas
Kammarkollegiet uppger att uppföljning sker var fjärde månad och då av säkerhetsgruppen, men myndigheten pekar själv på utvecklingspotential.
Kriminalvården har ett dokument för uppföljning som uppdateras varje halvår. Verksamhetsplanen med medföljande riskanalys för 2025–2027 följdes upp i maj 2025. Flera åtgärder mot infiltration har påbörjats, men ingen effekt syns ännu. Åtgärder har gjorts inom inköp, upphandling, rekrytering, prövning, trygghet och utbildning. Internrevisionen har också visat i en rapport att processer och uppföljning behöver utvecklas. Det indikerar att myndigheten har utvecklingsbehov på detta område.
Riksrevisionen 23
FMV hänvisar till att instruktionen kräver att åtgärder följs upp tills effekt verifierats. Uppföljning sker enligt ett beslutat årshjul. Särskild personal ansvarar för uppföljning av FMV:s riskhantering respektive säkerhetsskydd. Myndigheten kan också besluta om riktade internkontroller vid större förändringar. Vår bedömning är att arbetet tydligt är inriktat mot att följa upp effekter.
3.4Personalen informeras om risker, regler och möjliga åtgärder vid överträdelser samt att det sker dilemmadiskussioner
Kammarkollegiet har en riktlinje om arbetsrättsliga och disciplinära åtgärder som beskriver processen för vad som händer om en anställd åsidosätter sina skyldigheter. I enkäten svarar 39 procent ”nej” till att de känner till rutinerna, 14 procent ”ja, men att de är svåra eller otillräckliga” samt 47 procent ”ja, och att de fungerar”.
Trots riktlinjen visar enkäten stora kunskapsluckor om åtgärder och påföljder. Myndigheten uppger emellertid att det pågår ett arbete för att förstärka säkerheten.
Trots att information ges vid anställning, introduktion och löpande på Kriminalvården, är en stor andel ändå osäkra på vilka åtgärder och påföljder de kan utsättas för vid överträdelser. I enkäten är andelen som svarat ”nej” 17 procent, ”ja, men de är svåranvända och otillräckliga” 27 procent samt ”ja, de är väl fungerande” 56 procent. Det talar för att myndighetens arbete inte får genomslag i medarbetarnas kunskaper. Eventuellt behövs nya insatser för att alla medarbetare ska veta vad som gäller. Myndigheten har under 2024/25 hållit en kampanj för att ge medarbetare verktyg för att bekämpa ”hotet inifrån”. Bland annat har detta inneburit ett arbete med dilemmadiskussioner.
FMV uppger att medarbetare undertecknar en sekretessförbindelse vid anställning och får återkommande utbildningar. Internkontrollplanen omfattar även aspekter om kunskap och efterlevnad. På frågan om kännedom om rutiner, regelverk, eller liknande som kan användas för att motverka infiltration är det dock 20 procent som svarat ”nej”,
21 procent som svarat ”ja, men de är svåranvända eller otillräckliga” samt 60 procent som har svarat ”ja, och de är väl fungerande”. Enkäten visar alltså osäkerhet om vilka åtgärder och påföljder som kan bli följden vid överträdelser, vilket indikerar att myndighetens arbete inte får så stort genomslag i medarbetarnas kunskap. Eventuellt kan det behövas nya insatser för att alla medarbetare ska veta vad som gäller. Myndigheten menar att grundläggande verktyg för att öka medvetenheten hos personalen och motverka infiltration är de grundläggande säkerhetsskyddsutbildningarna samt andra fortbildningar och olika utbildningar specifikt för chefer. Myndigheten har även genomfört dilemmaövningar ner på enhetsnivå.
24 Riksrevisionen
Tabell 1 Känner du till om det finns rutiner, regelverk eller liknande i din myndighet som kan användas för att motverka infiltration och annat illojalt beteende?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Antal | Andel | Antal | Andel | Antal | Andel | |
| Ja, och de är väl fungerande | 126 | 47 % | 4 909 | 56 % | 832 | 60 % |
| Ja, men de är svåranvända/ | 37 | 14 % | 2 349 | 27 % | 285 | 21 % |
| otillräckliga | ||||||
| Nej | 103 | 39 % | 1 442 | 17 % | 273 | 20 % |
Källa: Riksrevisionens enkät i granskningen.
3.5 Rutiner för att gallra bort olämpliga sökande
Kammarkollegiet har mycket få befattningar placerade i säkerhetsklass. Myndighetens rekryteringsprocess består framför allt av CV-granskning, intervjuer, personlighetstest, identitetskontroll samt referenstagning. Provanställning används regelmässigt. Det innebär att myndigheten för merparten av rekryteringar har svårare att kunna identifiera säkerhetsrisker i rekryteringsskedet.
Kriminalvården har betydligt fler tjänster som är säkerhetsklassade än Kammarkollegiet. Myndigheten har liknande rutiner för bakgrundskontroll av samtliga sökande, oavsett om tjänsten är säkerhetsklassad eller inte. Om en person som tidigare har arbetat inom Kriminalvården söker sig tillbaka dit finns fastställda rutiner för hur kontroll ska ske om vederbörande har haft tidigare anställning och orsak till avgången.
Alla tjänster på FMV är säkerhetsklassade, vilket ger en säkrare anställningsprocess. FMV har en dokumenterad och enligt FMV konsekvent personalsäkerhetsprocess som ingår i rekryteringen. Den omfattar säkerhetsklassning, registerkontroll och personutredningar, vilket gör det lättare att förhindra att olämpliga kandidater blir anställda. FMV genomför årligen uppföljande säkerhetsprövningar av sin personal och fler vid behov. FMV uppger också att ett systematiskt förbättringsarbete pågår.
Vi kan alltså konstatera att FMV har en robust personalsäkerhetsprocess som ger bra möjligheter att upptäcka illojalitet redan vid rekrytering. Kriminalvården har rutiner för att upptäcka sökande som tidigare har varit anställda och vad som har föranlett avgången. Kammarkollegiet har en fungerande rekryteringsprocess men bedriver endast till en mindre del säkerhetskänslig verksamhet, vilket begränsar möjligheten att hitta säkerhetsrisker vid rekrytering.
Riksrevisionen 25
4Personal i säkerhetskänslig verksamhet ska vara pålitlig
Detta kapitel har bäring på den del av den granskade verksamheten som är säkerhetskänslig och därför omfattas av säkerhetsskydd. Detta område bör så långt möjligt avhandlas i ett sammanhang, varför kapitlet svarar på såväl delfrågan att förebygga och förhindra som delfrågan att upptäcka infiltration. Kapitlet bygger i hög grad på de skriftliga svar som myndigheterna skickat in till oss samt på enkätsvar, och stärks i några fall av uppgifter från dokumentation och intervjuer. 22
4.1Sammanfattande iakttagelser
•Förutsättningarna för att effektivt förebygga och förhindra infiltration och annat illojalt beteende i säkerhetskänslig verksamhet varierar avsevärt mellan de tre myndigheterna. Bristerna hos vissa aktörer är så allvarliga att de riskerar att skapa kritiska säkerhetsluckor.
•FMV har de mest utvecklade rutinerna för återkommande säkerhetsdialoger, men även här finns brister som kan försvaga förmågan att upptäcka sårbarheter i tid.
•Kriminalvården har betydande brister i säkerhetsdialogerna, särskilt inom områden som är direkt kopplade till verksamhetens höga riskprofil. Detta ökar risken för att kritiska varningssignaler förbises.
•Kammarkollegiet har den svagaste säkerhetskulturen i uppföljande prövning. Myndigheten har mycket få befattningar placerade i säkerhetsklass. En stor andel av säkerhetsprövade medarbetare får aldrig frågor om centrala sårbarheter, vilket innebär att risker kan förbli helt oupptäckta.
4.2Myndigheterna bedriver säkerhetskänslig verksamhet
De tre granskade myndigheterna bedriver alla säkerhetskänslig verksamhet, men
i varierande omfattning. På FMV är samtliga befattningar säkerhetsklassade eftersom all verksamhet är säkerhetskänslig. FMV är en stödmyndighet till Försvarsmakten23, och bedriver också till viss del försvarsunderrättelseverksamhet. Kriminalvården är en beredskapsmyndighet24, varför en betydande andel av befattningarna är
22Detta kapitel bygger på övergripande svar från Kammarkollegiet på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets arvsfondsavdelning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets förvaltningsrättsliga avdelning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets kapitalförvaltning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets offentliga omställningsorganisation på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets försäkringsavdelning på bedömningsgrundsmatris 2025-09-05; svar från Kriminalvården på bedömningsgrundsmatris 2025-08-28; uppföljande svar från Kriminalvården på bedömningsgrundsmatris 2025-10-20; svar från Försvarets materielverk på bedömningsgrundsmatrisen 2025-09-12; svar från Försvarets materielverk på bedömningsgrundsmatrisen 2025-09-30. Dessutom bygger diagrammen på de enkäter som samlats under granskningen och som redovisas i bilaga 2.
23Förordningen (2007:854) med instruktion för Försvarets materielverk.
24Enligt bilaga till förordningen (2022:524) om statliga myndigheters beredskap.
26 Riksrevisionen
säkerhetsklassade. Vid Kammarkollegiet är det endast en liten andel av personalen som innehar säkerhetsklassade befattningar.
Personal som arbetar i säkerhetskänslig verksamhet ska vara säkerhetsprövad.25 Säkerhetsprövningen ska ske innan deltagande i säkerhetskänslig verksamhet påbörjas och följas upp under den tid som deltagandet pågår. En viktig del
i säkerhetsprövningen är att personalansvarig chef kontinuerligt håller uppföljande säkerhetsprövningssamtal med de medarbetare som innehar en säkerhetsklassad befattning. Syftet med samtalen är att förebygga, förhindra och upptäcka infiltration genom att kunna fånga upp om en person är lojal, pålitlig eller om den har någon sårbarhet som skulle kunna leda till infiltration. Det kan gälla saker som missnöje med arbetssituationen eller kontaktförsök från främmande makt och liknande förhållanden som kan påverka en persons mottaglighet för utpressning eller andra omständigheter som tyder på att personen är i riskzonen för olika typer av missbruk. För att så långt möjligt skapa en säker verksamhet behöver samtalen handla om känsliga saker såsom medarbetarens ekonomiska förhållanden, sociala exponering samt om det finns hållhakar, hot och otillbörlig påverkan.
Externt upphandlad personal som arbetar med säkerhetskänslig verksamhet ska också vara säkerhetsprövad. Säkerhetsprövningen utförs av den egna arbetsgivaren, inte hos den myndighet den är upphandlad att arbeta för. Myndigheten gör dock den slutliga bedömningen och beslutar om deltagande i den säkerhetskänsliga verksamheten.
I dessa fall blir det svårare för en myndighet att lära känna den externa personalen.
4.3Uppföljande säkerhetsprövning genomförs återkommande och på ett relevant sätt, men inte i tillräcklig omfattning
I vår enkätundersökning som gick ut till personalen vid de tre granskade myndigheterna ställde vi några särskilda frågor riktade till de personer som har en säkerhetsklassad befattning. De fullständiga svaren framgår av bilaga 2.
Det råder osäkerhet om Kammarkollegiet gör uppföljande säkerhetsprövning.
Vår enkät visar att en stor andel säkerhetsklassade medarbetare aldrig fått frågor om centrala sårbarheter (bekantskaper, skuldsättning, sociala medier, hållhakar), vilket indikerar svagt genomslag för uppföljande säkerhetsprövning på myndigheten.
Kriminalvårdens årliga uppföljande säkerhetsprövningssamtal är obligatoriska och dokumenteras, men rapportering sker normalt inte till säkerhetsavdelningen om inte något oroande framkommer. Vår enkät visar samtidigt att en stor andel aldrig fått frågor på kritiska områden.
På FMV håller man uppföljande samtal minst årligen och vid behov. Interna kontroller har använts för att säkra efterlevnaden. Vår enkät visar väsentligt lägre andel som aldrig tillfrågats på nyckelområden jämfört med övriga myndigheter. Detta
253 kap. 1 § säkerhetsskyddslagen (2018:585).
Riksrevisionen 27
indikerar att uppföljande säkerhetsprövning genomförs i högre grad än på de andra två myndigheterna. Likväl ställs inte alla frågor som borde ställas vid de uppföljande samtalen på FMV.
Genomgående ser vi ett mönster där de minst känsliga frågorna (trivsel) ställs ofta, medan de mest säkerhetsrelevanta frågorna (ekonomi, hot/hållhakar, social exponering, privata relationer och karriärbesvikelser) ställs betydligt mer sällan. Detta är inte förenligt med en robust uppföljande säkerhetsprövning. I praktiken innebär det att flera av de indikatorer som vanligen föregår illojalt beteende inte fångas upp i tid.
4.3.1 Privata bekantskaper
Diagram 4 Brukar din chef eller någon annan befattningshavare fråga dig vilka privata bekantskaper du har? Andel som svarat: ”Har aldrig hänt”
rocent
4037
| 35 | ||
| 32 | ||
| 30 | ||
25
20
15
10
6
5
0
| ammarkollegiet | riminalvården | örsvarets materielverk |
Källa: Riksrevisionens enkät i granskningen.
Diagram 4 visar hur ofta chefer eller andra befattningshavare frågar personal med säkerhetsklassade befattningar om privata bekantskaper. Vid Kammarkollegiet och Kriminalvården uppger omkring en tredjedel av säkerhetsklassad personal att frågan aldrig har ställts, medan motsvarande andel vid FMV är cirka 1 av 20. Skillnaden är stor och indikerar att FMV har mer etablerade rutiner för uppföljande frågor om potentiella beroenden eller intressekonflikter. I miljöer där relationer kan utgöra sårbarheter för otillbörlig påverkan är detta en central kontrollpunkt; avsaknad av frågan försvagar myndighetens möjligheter att upptäcka risker i tid.
28 Riksrevisionen
4.3.2 Privatekonomisk situation
Diagram 5 Brukar din chef eller någon annan befattningshavare fråga dig om din privatekonomi, inklusive skuldsättning? Andel som svarat: ”Har aldrig hänt”
rocent
4542
| 40 | 38 | |
| 35 | ||
| 30 | ||
| 25 | ||
| 20 | ||
| 15 | ||
| 10 | 7 | |
| 5 | ||
| 0 | ||
| ammarkollegiet | riminalvården | örsvarets materielverk |
Källa: Riksrevisionens enkät i granskningen.
Diagram 5 gäller frågor om privatekonomi, inklusive skuldsättning. Mer än en tredjedel av säkerhetsklassade medarbetare vid Kammarkollegiet och Kriminalvården uppger att detta aldrig har efterfrågats, mot cirka 7 procent vid FMV. Skuldsättning är en välkänd sårbarhet eftersom ekonomiska påfrestningar kan utnyttjas för rekrytering eller utpressning. När chefer undviker att fråga om privatekonomi ökar risken att varningssignaler missas, särskilt i verksamhet med exponering mot kriminalitet. Svaren talar för att det kan finnas dolda sårbarheter och att det därför finns förbättringspotential på samtliga granskade myndigheter, men framför allt hos Kammarkollegiet och Kriminalvården.
Riksrevisionen 29
4.3.3 Uppträdande på sociala medier
Diagram 6 Brukar din chef eller någon annan befattningshavare fråga dig om eventuella beteenden på sociala medier (t.ex. Facebook och dejtingappar)? Andel som svarat: ”Har aldrig hänt”
| rocent | ||
| 60 | ||
| 53 | ||
| 50 | ||
| 40 | ||
| 33 | ||
| 30 | ||
| 20 | 15 | |
| 10 | ||
| 0 | ||
| ammarkollegiet | riminalvården | örsvarets materielverk |
Källa: Riksrevisionens enkät i granskningen.
Diagram 6 rör beteenden på sociala medier, inklusive dejtingappar. Ungefär hälften av de säkerhetsklassade vid Kammarkollegiet uppger att frågan aldrig ställts. Detsamma svarar en tredjedel i Kriminalvården och 15 procent vid FMV. Eftersom sociala medier är en vanlig arena för kartläggning, innästling och påverkan, är frånvaron av dialog om detta en tydlig svaghet. Risken förstärks i Kriminalvården där personal har återkommande kontakt med kriminella eller andra antagonistiska aktörer. Detta öppnar upp sårbarheter på alla tre myndigheter, men kanske särskilt på Kriminalvården eftersom kriminella kan kartlägga och påverka anställda genom sociala medier.
30 Riksrevisionen
4.3.4 Utsatthet och hot
Diagram 7 Brukar din chef eller någon annan befattningshavare fråga dig om du eventuellt skulle vara utsatt för hot, tvång, hållhakar eller liknande? Andel som svarat: ”Har aldrig hänt”
rocent
4542
| 40 | ||
| 35 | 33 | |
| 30 | ||
| 25 | ||
| 20 | 16 | |
| 15 | ||
| 10 | ||
| 5 | ||
| 0 | ||
| ammarkollegiet | riminalvården | örsvarets materielverk |
Källa: Riksrevisionens enkät i granskningen.
Diagram 7 avser om chefer frågar personal med säkerhetsklassade befattningar om att vara utsatt för hot, tvång, hållhakar eller liknande. Drygt 40 procent vid Kammarkollegiet och en tredjedel vid Kriminalvården svarar att det aldrig har hänt; vid FMV är andelen knappt 16 procent. Att inte rutinmässigt sondera denna typ av utsatthet försvårar tidig upptäckt av påverkan och sänker tröskeln för att sårbarheter kan utnyttjas innan organisationen reagerar. Särskilt besvärande är det för Kriminalvården, eftersom kriminella gäng med maffialiknande organisation och motsvarande våldskapital utan vidare skulle kunna tillämpa denna typ av påverkan för att infiltrera verksamheten.
Riksrevisionen 31
4.3.5 Trivsel på arbetet
Diagram 8 Brukar din chef eller någon annan befattningshavare fråga dig om din trivsel på arbetsplatsen? Andel som svarat: ”Mer än en gång om året” eller ”En gång om året”
| Procent | ||
| 100 | ||
| 90 | 33 | |
| 80 | 21 | 36 |
| 70 |
6068
| 61 | ||
| 50 | 52 | |
| 40 | ||
| 30 | ||
| 20 | ||
| 10 | ||
| 0 | ||
| Kammarkollegiet | Kriminalvården | Försvarets materielverk |
| En gång om året | Mer än en gång om året | |
Källa: Riksrevisionens enkät i granskningen.
Diagram 8 visar en kontrast: frågor om trivsel ställs regelbundet på samtliga tre myndigheter till personal med säkerhetsklassade befattningar. Omkring 90 procent eller mer uppger att chefer frågar om trivsel minst årligen. Detta är i sig positivt – välmående är relevant även ur ett säkerhetsperspektiv – men mönstret antyder samtidigt att icke-känsliga frågor prioriteras framför de mer integritetskänsliga som är direkt kopplade till personalsäkerhet.
32 Riksrevisionen
4.3.6 Besvikelser i arbetet
Diagram 9 Brukar din chef eller någon annan befattningshavare fråga dig om eventuella karriärmässiga besvikelser på arbetsgivaren? Andel som svarat: ”Har aldrig hänt”
| rocent | |
| 60 | |
| 53 | |
| 50 | |
| 40 | 37 |
| 30 | ||
| 22 | ||
| 20 | ||
| 10 | ||
| 0 | ||
| ammarkollegiet | riminalvården | örsvarets materielverk |
Källa: Riksrevisionens enkät i granskningen.
Diagram 9 rör frågor till personal med säkerhetsklassade befattningar om karriärmässiga besvikelser på arbetsgivaren. Här svarar hälften på Kammarkollegiet att frågan aldrig har ställts, 37 procent på Kriminalvården och 22 procent på FMV. Karriärbesvikelser är en ofta underskattad drivkraft bakom illojalt beteende; frånvaron av dialog om missnöje och upplevda orättvisor tar bort en ventilerande skyddsfunktion. Detta öppnar upp sårbarheter på alla tre myndigheter. Särskilt besvärande är det för FMV eftersom det finns flera fall i västerlandets historia där försvarsanställda motiverats till spionage av just denna anledning.
Riksrevisionen 33
4.3.7 Förhållningssätt till externa kontakter
Diagram 10 Brukar din chef eller någon annan befattningshavare fråga dig hur du förhåller dig till klienter, leverantörer eller andra externa personer? Andel som svarat: ”Har aldrig hänt”
rocent
4037
| 35 | ||
| 30 | ||
| 25 | ||
| 20 | ||
| 16 | ||
| 15 | 13 | |
| 10 | ||
| 5 | ||
| 0 | ||
| ammarkollegiet | riminalvården | örsvarets materielverk |
Källa: Riksrevisionens enkät i granskningen.
Diagram 10 gäller hur personal med säkerhetsklassade befattningar förhåller sig till klienter, leverantörer eller andra externa personer. Nästan 40 procent vid Kammarkollegiet, 16 procent vid Kriminalvården och 13 procent vid FMV uppger att frågan aldrig ställs. I verksamhet med leverantörskontakter och klientnära arbete är denna typ av frågor centrala för att fånga upp otillbörliga relationer, gåvor, beroenden eller andra liknande beteenden.
4.4Resonemang om variationerna mellan myndigheterna
4.4.1 Förutsättningarna skiljer sig åt
FMV framstår som relativt mer konsekvent i sina uppföljningar, sannolikt beroende på att hela verksamheten är säkerhetskänslig och att säkerhetsskyddet därmed genomsyrar chefernas agerande.
Kammarkollegiet som har en liten andel personal med säkerhetsklassade befattningar har en relativt svag säkerhetsprövning, vilket för den delen av personalen indikerar behov av både styrning och stöd för att professionalisera uppföljningarna. Enligt vår uppfattning borde den löpande arbetsmiljödialogen inkludera mer av säkerhetsfrågor och även vara riktad till samtliga medarbetare och lämpligen kunna ske i samband med medarbetarsamtal eller vid behov vid andra tillfällen. Ett sådant arbete skulle enligt vår mening bidra till en god säkerhetskultur.
34 Riksrevisionen
Kriminalvården ligger lågt i frågor som rör social exponering och utsatthet, vilket är problematiskt med tanke på verksamhetens riskprofil. Det vore tvärtom rimligt att en verksamhet som Kriminalvården uppvisade högre styrka inom detta område.
4.4.2 En särskild företeelse som berör Kriminalvården
I vår granskning har vi begärt ut ärenden från Kriminalvårdens personalansvarsnämnd som relaterar till infiltration. Dessa ärenden visar att relationer mellan anställda och intagna, särskilt av romantisk karaktär, utgör säkerhetsproblem för verksamheten.
En genomgång av Kriminalvårdens stödmaterial för säkerhetsprövningsintervjuerna visar att frågorna som används inte berör vilka egenskaper en individ blir attraherad av. Det finns forskning som visar att vissa egenskaper som är vanliga hos personer med kriminell bakgrund – exempelvis mod, framåtanda, riskbenägenhet, storslagenhet och lojalitet – kan attrahera vissa individer.26
Vidare visar genomgången av Kriminalvårdens stödmaterial för säkerhetsprövningsintervjuerna att frågorna inte berör om man är rädd för brott. Forskning visar att personer som är rädda för att utsättas för brott i högre grad kan påverkas att söka skydd.27 Kriminalvården är en miljö med förhöjd risk för att utsättas t.ex. för våld från intagna. Det finns därför risk för att kriminalvårdare söker skydd från och bland de intagna och som konsekvens av detta byter sida. Förarbetena till säkerhetsskyddslagen betonar vidare att säkerhetsprövning bör utformas som en helhetsbedömning baserat på ett allsidigt underlag vilket innebär att bedömningen tydligt relateras till verksamheten och anställningen.28 Detta innebär att informationen som inhämtas till säkerhetsprövningen bör utformas utifrån den egna verksamhetens särart och behov. Riksrevisionen bedömer att stödmaterial från Säkerhetspolisen är effektivt att använda som utgångspunkt, dock bör varje myndighet utveckla materialet utifrån den egna verksamhetens behov.
4.4.3 Resultaten av säkerhetsarbetet varierar
Resultaten pekar på skillnader i säkerhetskultur, styrning och chefernas stöd. FMV bedriver till stor del säkerhetskänslig verksamhet och har konsekventa rutiner för uppföljande prövning i vardagen. Kammarkollegiet, där en liten andel av personalen är säkerhetsklassad, tycks ha svagare institutionaliserade rutiner för återkommande, känsliga samtal. Kriminalvården har en stor andel säkerhetsklassade och verkar ligga mellan FMV och Kammarkollegiet, men med markanta brister inom vissa känsliga
26Till exempel Barker m.fl., ’In It From the Beginning’: How Do Young Men and Boys Explain Their Entry Into
Criminal Gangs?, 2025; Snyder m.fl., Trade-offs in a dangerous world: women’s fear of crime predicts preferences for aggressive and formidable mates, 2011; Fessler m.fl., Foundations of the Crazy Bastard Hypothesis, 2014; Rebellon och Manasse, Do “bad boys” really get the girls? Delinquency as a cause and consequence of dating behavior among adolescents, 2006.
27Barker m.fl., ’In It From the Beginning’: How Do Young Men and Boys Explain Their Entry Into Criminal
Gangs?, 2025; Snyder m.fl., Trade-offs in a dangerous world: women’s fear of crime predicts preferences for aggressive and formidable mates, 2011; Ryder m.fl., Women's fear of crime and preference for formidable mates: how specific are the underlying psychological mechanisms?, 2016.
28Prop. 2017/18:89, s. 79.
Riksrevisionen 35
frågeområden. En rimlig förklaring kan vara att både styrande riktlinjer och praktiskt chefstöd fokuserar mer på arbetsmiljö och trivsel än på systematiska sårbarhetsfrågor.
Bristerna i den uppföljande säkerhetsprövningen riskerar att försvaga myndigheternas förmåga att förebygga och förhindra infiltration och annat illojalt beteende. När ekonomiska sårbarheter, social exponering och eventuella hållhakar inte följs upp återkommande, minskar chansen att upptäcka förändringar
i livssituationen som kan föregå rekryteringsförsök eller otillbörlig påverkan.
För Kriminalvården, med hög exponering mot kriminalitet, är risken särskilt påtaglig om frågor om hot, tvång, sociala medier, m.m. inte ställs regelbundet.
För Kammarkollegiet, där känsliga frågor aldrig ställs, finns en strukturell sårbarhet. Låga volymer av säkerhetsklassade befattningar kan leda till lägre mognad
i processerna. Detta kan i sin tur öka risken för att enstaka nyckelpersoner kan infiltrera verksamheten utan upptäckt. Även FMV har förbättringsbehov, bland annat eftersom en del säkerhetsklassade medarbetare uppger att de aldrig har fått frågor om till exempel sociala medier eller karriärbesvikelser, vilket är en onödig risk i en säkerhetskänslig verksamhet.
I detta sammanhang kan det vara värt att nämna att man i den uppföljande säkerhetsprövningen och den fortlöpande personkännedomen inte får glömma det som i säkerhetshänseende kan se helt oproblematiskt ut. Det kan handla om lojala medarbetare som har jobbat länge och kan mycket om verksamheten och om rutiner, genvägar och svagheter. Om en sådan medarbetare börjar uppleva besvikelse gentemot arbetsgivaren, till följd av saker som sämre löneutveckling i förhållande till mer nyanställda kolleger eller bristande möjligheter till karriärmässigt avancemang har vederbörande också goda möjligheter att kunna orsaka skada. I ett förhöjt hotläge som nu råder i Sverige kan en sådan sårbarhet utnyttjas av antagonistiska aktörer.
36 Riksrevisionen
5 Att upptäcka infiltration
Detta kapitel redovisar Riksrevisionens bedömning av hur de tre myndigheterna – Försvarets materielverk (FMV), Kammarkollegiet och Kriminalvården arbetar med att upptäcka infiltration eller annat illojalt beteende. Syftet är att bedöma myndigheternas förmåga att kunna identifiera tecken på illojalt beteende. Kapitlet bygger i hög grad på de skriftliga svar som myndigheterna skickat in till oss, och stärks i några fall av uppgifter från enkätsvar, dokumentation och intervjuer. 29
5.1Sammanfattande iakttagelser
•FMV, Kammarkollegiet och Kriminalvården har varierande förmåga och förutsättningar att kunna upptäcka infiltration eller annat illojalt beteende. Bristerna är på sina håll så omfattande att de riskerar att allvarligt försvåra upptäckt av säkerhetshot.
•FMV har en utvecklad personalsäkerhetsprocess som tillämpas konsekvent under anställningsprocessen. Myndigheten har också tydliga rutiner för att hantera misstankar, utöva kontroll, logga slagningar och hantera incidenter.
Däremot finns förbättringspotential i uppföljningen av bisysslor och jävsfrågor.
•Kriminalvården har otillräckliga rutiner för kontroll och incidenthantering. Personalen uppger stor osäkerhet om det finns en visselblåsarfunktion. Samtidigt har myndigheten påbörjat ett förbättringsarbete inom personalsäkerhet.
•Kammarkollegiet har en fungerande rekryteringsprocess, men saknar på grund av verksamhetens beskaffenhet möjlighet till säkerhetsprövning för merparten av sin personal. Det interna personalsäkerhetsarbetet är fragmenterat, men ett utvecklingsarbete pågår.
5.2Myndigheterna behöver ha verktyg för att kunna upptäcka infiltration
För att kunna upptäcka infiltration behöver myndigheterna ha gjort en riskanalys och tagit fram en plan för att hantera riskerna. En risk kan accepteras om man bedömer att den inte är så stor och att det inte går att göra så mycket åt den. Helst bör risken elimineras eller reduceras. För att kunna göra det behöver myndigheterna se till att det finns rutiner, processer och andra verktyg som gör det möjligt att upptäcka och
29Detta kapitel bygger på övergripande svar från Kammarkollegiet på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets arvsfondsavdelning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets förvaltningsrättsliga avdelning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets kapitalförvaltning på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets offentliga omställningsorganisation på bedömningsgrundsmatris 2025-09-05; svar från Kammarkollegiets försäkringsavdelning på bedömningsgrundsmatris 2025-09-05; svar från Kriminalvården på bedömningsgrundsmatris 2025-08-28; uppföljande svar från Kriminalvården på bedömningsgrundsmatris 2025-10-20; svar från Försvarets materielverk på bedömningsgrundsmatrisen 2025-09-12; svar från Försvarets materielverk på bedömningsgrundsmatrisen 2025-09-30. Dessutom bygger diagrammen på de enkäter som samlats under granskningen och som redovisas i bilaga 2.
Riksrevisionen 37
eliminera förekomsten av infiltration. Det handlar om att inom myndigheterna kunna agera på misstankar, observera avvikande beteenden, upptäcka sådant som inte alltid är uppenbart i vardagen och annat som kan vara försök till infiltration.
5.2.1 Rutiner för att hantera misstankar om infiltration
FMV har etablerade rutiner för att hantera misstankar om bland annat infiltration. Rutinerna omfattar en visselblåsarfunktion, incidentrapportering samt uppföljande säkerhetsprövningssamtal som ska ske årligen så länge anställningen består.
Rutinerna är tydligt kommunicerade och har enligt vad FMV uppger visat sig fungera i praktiken.
Kriminalvården har interna instanser för att hantera ärenden kopplade till misstänkt infiltration, och det finns en tydlig väg in till säkerhetsavdelningen. Däremot hanteras ärenden av olika funktioner beroende på om misstankarna har uppstått inom den verksamhet som klassas som säkerhetskänslig eller i övriga delar av verksamheten. Detta följer av att hanteringen inom säkerhetsskyddsområdet är reglerad genom säkerhetsskyddslagstiftningen medan motsvarande hantering inom övrig verksamhet inte är lika tydligt reglerad.30
Kammarkollegiet saknar myndighetsövergripande rutiner. I stället hanteras misstankar på avdelningsnivå, vilket innebär att arbetssätten varierar och att det saknas en gemensam struktur. Det finns alltså ingen enhetlig struktur, vilket försvårar samordning, lärande och kvalitetssäkring.
Sammanfattningsvis kan vi konstatera att FMV har ett välfungerande system för att hantera misstankar om infiltration och annat illojalt beteende. Kriminalvården har en grundläggande struktur, men behöver utveckla dokumentation och uppföljning. Kammarkollegiets myndighetsövergripande strategi har varit otillräcklig, vilket innebär att hanteringen av misstankar är fragmenterad och beroende av enskilda avdelningars initiativ. Detta riskerar leda till att allvarliga signaler förbises eller hanteras inkonsekvent.
5.2.2 Chefers uppsikt över beteenden med koppling till infiltration
FMV uppger sig ha en strukturerad och dokumenterad process för att chefer ska kunna identifiera riskbeteenden hos personalen. Årliga säkerhetsprövningssamtal är en del av rutinen, och chefer får särskild utbildning i personalsäkerhet. Det finns även stöd att få från säkerhetsskyddsavdelningen. Alla chefer genomför årliga säkerhetsprövningssamtal, vid behov oftare. Dock lämnas ibland känsliga frågor utanför samtalen. Chefer får särskild utbildning i personalsäkerhet och hot. Brister som identifierats, exempelvis bristande dokumentation, har hanterats genom riktade insatser. Säkerhetsskyddsavdelningen har löpande samtal med medarbetare där olämpligheter har uppmärksammats. Registerkontroller inom ramen för den
30Kriminalvårdens svar på faktagranskning av utkast till granskningsrapporten, 2025-12-17.
38 Riksrevisionen
uppföljande säkerhetsprövningen används för att fånga upp exempelvis ekonomiska missförhållanden eller brottslighet.
Kriminalvården har utvecklat sin säkerhetsprövningsprocess och erbjuder utbildning till chefer. Uppföljande säkerhetsprövningsintervjuer för personal med säkerhetsklassade befattningar är obligatoriska, men trots det ställs inte alla relevanta frågor. Det saknas dock en systematisk rapportering till säkerhetsavdelningen vilket begränsar möjligheten att följa upp och förbättra arbetet. Kriminalvården har sedan 2022 utvecklat sin säkerhetsprövningsprocess. Chefer och rekryterare har fått utbildning, och uppföljande säkerhetsprövningsintervjuer är en del av utvecklingssamtalen. Chefer ska genomföra dessa årligen, men rapporterar endast till säkerhetsavdelningen om något oroande framkommer. Personal som inte innehar säkerhetsklassade befattningar omfattas dock inte av dessa rutiner.
Kammarkollegiet uppger att myndighetens chefer följer upp avvikande beteenden i dialog med medarbetare. Det saknas däremot myndighetsgemensamma rutiner, dokumentation och utbildningsinsatser. Arbetet framstår därför inte som systematiskt.
Sammanfattningsvis kan vi konstatera att FMV har ett välutvecklat system för att chefer ska kunna identifiera riskbeteenden. Kriminalvården har tagit viktiga steg mot ett mer systematiskt arbete, men behöver stärka uppföljningen och dokumentationen. Kammarkollegiet saknar strukturerade rutiner och stöd, vilket innebär att arbetet är beroende av enskilda chefers initiativ.
5.3 Rutiner för bisysslor och jäv
FMV kontrollerar bisysslor inom ramen för medarbetarsamtal och säkerhetsprövningssamtal. Det saknas dock underlag som visar att uppföljningen sker systematiskt. Rutinerna är inte helt tydliga, och det är oklart om kontrollen är konsekvent över hela myndigheten.
Kriminalvården har etablerade rutiner för att kontrollera bisysslor. Dessa kontroller sker i samband med utvecklingssamtal och styrs av tydliga riktlinjer. Medarbetare är skyldiga att anmäla bisyssla vid förfrågan från arbetsgivaren, vilket ger myndigheten god kontroll.
Kammarkollegiet har nyligen reviderat riktlinjer som förtydligar chefers ansvar för att kontrollera bisysslor vid nyanställning och i medarbetarsamtal. Arbetet med att systematisera kontrollen är påbörjat, men ännu inte fullt genomfört.
FMV hanterar jävsfrågor inom ramen för den säkerhetsprövningsprocess som sker inför anställning och vid introduktionen av nyanställda. Misstankar kan följas upp i uppföljande säkerhetsprövningssamtal, och konstaterade fall hanteras genom rutiner för omfördelning och dokumentation.
Riksrevisionen 39
Kriminalvården har en riktlinje om korruption och oegentligheter, inklusive beskrivningar av jävsformer.
Kammarkollegiet har styrdokument både på myndighets- och avdelningsnivå, men uppger att arbetet med att revidera och utveckla etiska riktlinjer som täcker rutiner för att hantera jäv, korruption och mutor pågår. Det saknas alltså tydliga rutiner för hur jäv ska hanteras i praktiken.
5.4 Loggning av slagningar i system och register
FMV informerar tydligt sina användare vid inloggning om att säkerhetsloggning sker och att loggarna kan analyseras vid misstanke om missbruk. Det innebär en strikt behörighetsstyrning. Trots det har en tredjedel av personalen som svarat i enkätundersökningen uppgett att de inte vet om slagningar loggas, vilket kan utgöra en riskfaktor.
Kriminalvården informerar konsekvent all personal vid anställning om att slagningar loggas, både för att förebygga otillåten påverkan och av hänsyn till arbetsmiljö och integritet. Kriminalvården tillämpar loggning utifrån informationsklassning och riskanalys, men hanteringen är fragmenterad. Loggar används främst för teknisk förvaltning och felsökning.
Kammarkollegiet saknar en samlad strategi och har omfattande brister i både loggning och kommunikation. Myndigheten har loggning i myndighetsövergripande system som kan följas upp. Däremot saknas behörighetsstyrning i systemen samt rutiner för att följa upp loggning och behörighetsstyrning i myndighetsövergripande system. Viss loggning sker på avdelningsnivå, men det finns ingen samlad struktur. Vissa avdelningar loggar och informerar personalen, medan andra inte gör det alls eller saknar rutiner för information. Osäkerheten bland personalen är hög; en tredjedel har svarat att de inte vet om slagningar loggas. Det pågår dock ett arbete för att kravställa loggning i ett nytt system.
För att få en uppfattning om personalen på de granskade myndigheterna känner till att registerslagningar registreras ställde vi följande fråga i enkätundersökningen: ”Vet du om personalens slagningar i myndighetens system (databaser, register och liknande) loggas, det vill säga att slagningarna registreras på något sätt?” Andelen som svarade ”vet ej” framgår av diagrammet nedan.
40 Riksrevisionen
Diagram 11 Andel i personalen som svarar ”Vet ej” om registerslagningar loggas
| rocent | ||
| 40 | ||
| 35 | 34 | |
| 30 | ||
| 30 | ||
| 25 | ||
| 20 | ||
| 15 | ||
| 10 | ||
| 5 | 4 | |
| 0 | ||
| ammarkollegiet | riminalvården | örsvarets materielverk |
Källa: Riksrevisionens enkät i granskningen.
Låg kännedom om spårbarhet och uppföljning kan i praktiken sänka den normstyrande effekt som loggning annars ger när personalen vet att varje slagning syns. Det kan i sin tur leda till högre nivåer av otillåtna slagningar än annars skulle vara fallet. FMV och Kammarkollegiet har därför ett tydligt förbättringsbehov att tydliggöra vad som loggas, hur avvikelser följs upp och vilka konsekvenser otillåten åtkomst får.
5.5 Incidenthanteringssystem och visselblåsarfunktion
5.5.1 Rutiner och system
FMV har ett fungerande incidenthanteringssystem där misstankar om otillbörlig påverkan eller infiltration kan rapporteras via flera kanaler, såsom säkerhetsprövningssamtal, incidentrapportering och visselblåsarfunktion via Sharepoint. Rutinerna är tydligt kommunicerade och har enligt FMV visat sig fungera i praktiken.
Kriminalvården har flera informationssystem, men enkätsvaren visar att personalen har stor osäkerhet om det finns någon visselblåsarfunktion.
Kammarkollegiet har ett digitalt incidentrapporteringsverktyg på myndighetsnivå för vissa frågor. Därutöver finns det särskilda incidenthanteringssystem på vissa avdelningar för incidenter av olika slag.
Riksrevisionen 41
5.5.2 Personalens kännedom om rutiner och system
För att få en uppfattning om personalen på de granskade myndigheterna känner till att det finns möjlighet att anonymt eller öppet anmäla missförhållanden på myndigheterna ställde vi följande fråga i enkätundersökningen: Vet du om det finns en visselblåsarfunktion på din arbetsplats? Andelen som svarade nekande framgår av diagrammet nedan.
Diagram 12 Andel i personalen som svarar ”Vet ej” om det finns möjlighet att anonymt eller öppet anmäla missförhållanden
| rocent | ||
| 35 | ||
| 30 | 30 | |
| 25 | ||
| 20 | ||
| 15 | 12 | |
| 10 | ||
| 5 | ||
| 2 | ||
| 0 | ||
| ammarkollegiet | riminalvården | örsvarets materielverk |
Källa: Riksrevisionens enkät i granskningen.
Rapporteringsvägarna synes vara en svag länk hos Kriminalvården och FMV.
Dessa myndigheter bedriver i stor utsträckning säkerhetskänslig verksamhet, ändå är kännedomen om visselblåsning betydligt lägre än hos Kammarkollegiet.
När det gäller Kriminalvården finns ett kritiskt gap mellan mycket hög osäkerhet om hur man visselblåser och högt upplevd förekomst av illojalt beteende (se avsnitt 2.3.3). Det talar för att signaler om missförhållanden riskerar att inte kanaliseras till formell hantering.
42 Riksrevisionen
6 Slutsatser och rekommendationer
Riksrevisionens samlade bedömning är att Kriminalvården, Kammarkollegiet och Försvarets materielverks arbete för att motverka infiltration som helhet inte är effektivt. Det gäller såväl för de processer som syftar till att förebygga och förhindra infiltration som för dem som syftar till att upptäcka pågående infiltration. Det innebär att det finns säkerhetsbrister som i värsta fall kan leda till allvarliga konsekvenser. Det finns likväl delar av arbetet som fungerar väl, men det finns återkommande brister i styrning, uppföljning och genomslag i verksamheten.
Myndigheterna har kommit olika långt i sitt arbete med personalsäkerhet. En sannolik förklaring är att en verksamhet som är säkerhetskänslig kräver säkerhetsskydd och att detta i sin tur genererar goda effekter även på verksamhetsskyddet. De granskade myndigheterna bedriver i varierande grad säkerhetskänslig verksamhet, från all verksamhet till en ringa del av verksamheten. Myndigheterna är också olika till storlek, inriktning och karaktär i övrigt. Granskningen visar att arbetet med att motverka infiltration befinner sig på olika utvecklingsstadier hos de tre myndigheterna. FMV har kommit längst och visar på tydliga processer och spårbarhet i både säkerhetsskydd och riskhantering. Kriminalvården har påbörjat flera förbättringar, men har kvarstående brister som hämmar både förebyggande arbete och upptäckt. Kammarkollegiet uppvisar störst utvecklingsbehov med fragmenterade arbetssätt och svagare förankring i verksamheten.
Granskningen indikerar att personalbasen i grunden är stark med låg förekomst av träffar i belastningsregistret i förhållande till befolkningen i riket som helhet i arbetsför ålder. Även personer som är överskuldsatta är mycket få. Detta kan indikera att risken för illojalt beteende och ekonomisk sårbarhet är låg i förhållande till arbetskraften i riket som helhet. Även om dessa indikatorer långt ifrån är ett absolut bevis för frånvaro av problem, talar de för att det finns positiva förutsättningar för att bygga en säkrare verksamhet.
6.1Arbetet med att förebygga och förhindra infiltration behöver förbättras
6.1.1 Säkerhetsarbetet varierar mellan myndigheterna
Förmåga att motverka infiltration kräver en god säkerhetskultur. Denna förutsätter ett ständigt pågående systematiskt, långsiktigt och riskbaserat arbete med säkerhet.
Myndigheterna har i olika grad etablerat processer för att identifiera, värdera och hantera risker. FMV uppvisar den mest heltäckande strukturen, där säkerhetsskyddsanalys och säkerhetsskyddsplan är kopplade till den myndighetsövergripande riskhanteringen med krav på dokumentation, spårbarhet och uppföljning. Kriminalvården integrerar infiltration i den strategiska riskbilden och bryter ned den i verksamheten, men uppföljningen av effekter är inte tillräckligt utvecklad och
Riksrevisionen 43
genomslaget i verksamheten är delvis svagt. Kammarkollegiets säkerhetsarbete bedrivs till stora delar decentraliserat på avdelningsnivå, vilket försvårar myndighetens ledning och styrning i dessa frågor. Skillnader kan förvisso vara motiverade ibland på grund av olika skyddsvärden, men behöver ändå kunna rymmas inom myndighetsgemensamma ramar och det ska kunna finnas en tydlig ”ton från toppen”. En alltför långtgående delegation ökar risken för individuella variationer i styrningen eftersom kunskapen om säkerhetsfrågor kan variera mellan olika avdelningschefer. Det riskerar även leda till att säkerhetschef/säkerhetsskyddschef inte får den kontroll den behöver ha för att kunna ta sitt ansvar.
De granskade myndigheternas riskanalyser är i hög grad organiserade uppifrån och ned, och skulle med fördel kunna kompletteras med ett nedifrån-och-upp-perspektiv. Riskanalyser genomförs ofta av säkerhetspersonal, men är likväl något som många medarbetare skulle kunna medverka i eftersom de som utförare av myndighetens uppdrag naturligen samlar på sig relevant information. De flesta myndigheter skulle ha något att vinna på att försöka fånga upp synpunkter från olika nivåer i organisationen. Hur mycket arbete som krävs för att information ska fångas upp så bra som möjligt är givetvis svårt att avgöra, och något som bör avgöras av varje myndighet för sig.
Det är stora skillnader mellan myndigheterna vad gäller både loggning av slagningar i register och hur väl informerad personalen är om detta. FMV och Kriminalvården har tydliga rutiner och informerar sina anställda. Likväl uppger cirka en tredjedel av personalen vid FMV och Kammarkollegiet att de inte vet att loggning sker. Kammarkollegiet har en splittrad praxis när det gäller loggning, vilket ökar risken för otillbörlig åtkomst eller missbruk.
6.1.2 Det finns ett gap mellan säkerhetsskydd och verksamhetsskydd
Myndigheternas verksamhet måste skyddas mot infiltration. Detta gäller både säkerhetskänslig verksamhet och annan verksamhet. Skyddet för den verksamhet som inte är säkerhetskänslig är väsentligt mindre reglerat, förutom regler om intern styrning, kontroll samt anställningsvillkor och arbetsmiljö.31 Säkerhetsskyddet, som ska skydda Sveriges säkerhet, har däremot en omfattande författningsreglering. Det är ett klassiskt problem att oreglerade områden sällan blir prioriterade och därför inte blir lika utvecklade som de områden som är reglerade. Om ett område däremot är reglerat får det ofta en helt annan tyngd, och granskningen visar tydligt att så är fallet på de granskade myndigheterna. Kammarkollegiets verksamhet är endast till liten del säkerhetskänslig. Såväl säkerhetsskydd som verksamhetsskydd uppvisar brister, vilket kan förklaras av att myndigheten hittills inte på ett effektivt sätt har prioriterat säkerhetsfrågorna. Detta skapar ett gap som gör skyddet svagare när verksamheten inte är säkerhetskänslig men ändå har betydande risker. Verksamhet som inte är
31Förordningen (2007:603) om intern styrning och kontroll, lagen (1994:260) om offentlig anställning samt arbetsmiljölagen (1977:1160).
44 Riksrevisionen
definierad som säkerhetskänslig kan alltså få lägre skyddsnivå trots att det finns höga risker i verksamheten. Riksrevisionen konstaterar i detta sammanhang att regeringen har tillsatt två utredningar som har relevans på detta område med följande uppdrag: dels analysera behovet av ökade bakgrundskontroller inför och under anställning i såväl offentlig som privat verksamhet som inte är säkerhetskänslig för att förebygga infiltration och annan otillbörlig påverkan, dels utreda behovet av vissa ändringar av säkerhetsskyddslagstiftningen och bland annat ta ställning till om ett klareringssystem bör införas.32
6.1.3 Säkerhetsprövningen behöver skärpas till
I de delar av verksamheten som är säkerhetskänsliga har den uppföljande säkerhetsprövningen inte fått tillräckligt genomslag överallt på de granskade myndigheterna. Viktiga frågor som är av känslig natur ställs alltför sällan i de uppföljande säkerhetsprövningssamtalen, särskilt inom Kriminalvården och Kammarkollegiet. Genom att årligen följa upp säkerhetsprövningen är det möjligt att förebygga och förhindra infiltration. De flesta som senare i karriären blir infiltratörer faller inte igenom från en dag till en annan. Det handlar i stället om att medarbetaren tagit många små steg i illojal riktning som till sist glider över i fullständig illojalitet. En myndighet är för sent ute om den börjar genomföra kompletterande säkerhetsprövningssamtal först när man har börjat misstänka personal för infiltration eller annan illojal verksamhet. I stället gäller det att få individer att korrigera sig själva långt innan de gjort sig skyldiga till infiltration. Intentionerna i säkerhetsskyddslagen behöver alltså följas bättre.
Att arbeta med uppföljande säkerhetsprövningssamtal är ofta utmanande, eftersom chefer måste ställa känsliga frågor som medarbetare ibland kan känna sig ifrågasatta av. Det gör både chefer och medarbetare obekväma. Det är då lätt att man släpper dessa frågor till förmån för andra. Konsekvensen blir att medarbetare inte blir påminda om infiltration som problem och inte heller kan utveckla förmåga att själva kunna upptäcka och agera på problem i verksamheten. Nya medarbetare kan i värsta fall hinna arbeta en längre tid innan denna typ av diskussion hålls med dem.
Om man jämför de uppföljande säkerhetsprövningssamtalen som chefer ska ha med sina medarbetare med den arbetsmiljödialog som chefer också är ålagda att hålla, är den förra inte lika väl utvecklad som den senare. Att varje personalansvarig chef har ett tydligt arbetsmiljöansvar är sedan länge någonting som är självklart i statsförvaltningen.
32Dir. 2025:83 samt dir. 105.
Riksrevisionen 45
6.1.4 Risker finns även med extern personal
En ytterligare risk för infiltration som gäller generellt är att många myndigheter har externt upphandlad personal som får tillträde till myndighetens lokaler eller anläggningar. Denna personal har en myndighet inte möjlighet att lära känna på samma sätt som man kan göra med den egna personalen genom medarbetarsamtal, arbetsplatsträffar och liknande. För vissa personalkategorier som vanligen brukar vara externt upphandlade såsom vakter och lokalvårdare gäller också att personalen på plats kan variera från tid till annan, vilket ytterligare försvårar möjligheterna att lära känna personerna. För de delar av verksamheten som är säkerhetskänsliga tillkommer dessutom att externt upphandlad personal genomgår grundutredningen i säkerhetsprövningen och uppföljande säkerhetsprövningssamtal i den egna arbetsgivarens regi, inte hos den myndighet den är upphandlad för att arbeta för. Myndigheten gör dock den slutliga bedömningen och beslutar om deltagande i den säkerhetskänsliga verksamheten.
6.2Fler fall av infiltration skulle kunna upptäckas
De granskade myndigheterna har rutiner för att upptäcka illojala beteenden, men kontrollkedjan brister på flera punkter.
Den uppföljande säkerhetsprövningen för personal med säkerhetsklassade befattningar är i varierande omfattning inriktad mot att upptäcka sårbarhet. Frågor om privatekonomi, social exponering, hot, hållhakar, beroenderelationer och karriärbesvikelser ställs i alltför ringa omfattning för att upptäcka eventuella sårbarheter. Det hänger sannolikt samman med att det är svåra frågor att ta upp med medarbetare som en chef vill ha goda relationer till, men som ändå är viktiga att ställa ur ett skyddsperspektiv. Inte desto mindre är det en väsentlig brist i den uppföljande säkerhetsprövningen att dessa frågor sällan blir ställda. Det medför att säkerhetsprövningen inte blir komplett, och ökar risken för såväl verksamheten i sig som Sveriges säkerhet. I Kriminalvården och Kammarkollegiet uppger stora andelar av de säkerhetsklassade medarbetarna att sådana frågor aldrig ställts. FMV följer upp denna typ av potentiella sårbarheter i högre grad, men har också utrymme för förbättring.
Det råder också hög osäkerhet om det finns möjlighet till visselblåsning och hur den kan användas i Kriminalvården och FMV. Det riskerar att signaler som fångas upp hos personalen inte kommer till myndigheternas kännedom.
För de flesta arbetsplatser är det inte ovanligt att personer som agerat illojalt eller misstänkts för det säger upp sig på egen begäran innan ärendet tas upp i myndighetens personalansvarsnämnd. Då avstannar också utredningen av vad som har hänt. En konsekvens av detta kan vara att lärdomar uteblir för både myndigheten i fråga och för statsförvaltningen som helhet. Liknande konsekvenser uppstår om en person inte blir godkänd i säkerhetsprövningen eftersom sådana uppgifter inte delas med andra myndigheter, inte ens med Säkerhetspolisen.
46 Riksrevisionen
6.3 Säkerhetsarbetet har inte varit tillräckligt prioriterat
Det finns mycket som kan förklara de brister som denna granskning visar.
För det första ska sägas att Sverige traditionellt har haft en statsförvaltning som i hög grad har varit präglad av tillit. Det är något som är positivt och som kan främja en effektiv verksamhet, men det är inte tillräckligt för att uppnå en tillförlitlig grad av säkerhet. På senare tid har omvärlden blivit osäkrare, och det har tagit tid att ställa om och anpassa sig till de nya förutsättningarna. Två av de granskade myndigheterna, FMV och Kriminalvården, är också föremål för en kraftig tillväxt vilket i kombination med omvärldsläget kan ha försvårat säkerhetsarbetet.
För det andra står det klart att myndigheterna hittills inte har lagt tillräckligt stor vikt vid säkerhetsarbetet. Det förklaras sannolikt med att säkerhetsarbete ofta betraktas som en sidoverksamhet när det egentligen är något som borde genomsyra all verksamhet. Det sammanhänger rimligen med att säkerhetsarbete uppfattas som lite jobbigt, och att det kräver att chefer tar upp saker som ofta betraktas som känsliga med sina medarbetare.
För det tredje finns det många krav på myndigheter att arbeta med säkerhet när det är fråga om säkerhetskänslig verksamhet. Sådan verksamhet har bäring på Sveriges säkerhet, vilket i klartext betyder att antagonistiska handlingar ska tillfoga skada på samhällsviktig verksamhet på den nationella nivån. Det innebär i sin tur att det endast är en mindre del av det som behöver vara säkert som omfattas av säkerhetsskyddet. Den större delen av verksamheten, som brukar kallas verksamhetsskydd och som kan vara väl så skyddsvärd, har inte lika genomgripande reglering. Detta får till följd att merparten av verksamheten som inte är just säkerhetskänslig men som ändå kräver säkerhet de facto inte får samma tyngd i utvecklingsarbetet.
Det är givetvis omöjligt att uppnå full säkerhet överallt. Det gäller för såväl människor som skalskydd för lokaler och anläggningar. Likväl behöver myndigheterna ha
en säkerhetsnivå som är väl anpassad för verksamheten eftersom följderna av en otillräcklig säkerhet kan orsaka stora skador för verksamheten och i förlängningen även skador på egendom samt lidande för människor. Säkerhetsbrister kan leda till att medarbetare gynnar sig själva eller andra på statens bekostnad, till exempel genom kriminell verksamhet. Det kan också handla om aktiviteter som gynnar en medarbetares egen agenda eller i värsta fall att terrorister eller fientliga statliga aktörer söker påverka säkerheten i en myndighet eller för Sverige som helhet.
Bristande säkerhet underlättar alltså infiltration som kan påverka alltifrån hushållning med statens medel till allvarliga störningar i samhällsviktig verksamhet. Att upprätthålla en hög säkerhet kostar, men skador till följd av infiltration kostar mångfalt mer att reparera. En noggrann avvägning mellan kontroll, tillit, integritet och kostnader är således något som är nödvändigt för alla myndigheter att göra för att åstadkomma en tillräcklig säkerhet.
Riksrevisionen 47
6.4Rekommendationer
Till Försvarets materielverk, Kammarkollegiet och Kriminalvården
•Integrera frågor om personalsäkerhet i ordinarie rutiner, så att de blir självklara beståndsdelar i ledarskapet.
•Säkerställ att uppföljande säkerhetsprövningssamtal för personal med säkerhetsklassad befattning sker systematiskt och omfattar alla relevanta områden.
•Se till att stödmaterial för säkerhetsprövningen utgår från Säkerhetspolisens respektive Försvarsmaktens vägledningar, men utveckla och anpassa så långt möjligt utifrån verksamhetens beskaffenhet och personalens arbetsuppgifter.
48 Riksrevisionen
Ordlista
| Bisyssla | Annat arbete eller uppdrag vid sidan av en persons huvudsakliga |
| anställning. | |
| Externt upphandlad | ersonal som inte är anställd av myndigheten utan anlitas från ett annat |
| personal | företag. |
| Förmågebedömning | Bedömning av hur väl en verksamhet kan utföra sina uppgifter. |
| Illojalt beteende | Handlingar som går emot arbetsgivarens intressen, t.ex. att föra vidare |
| känslig information. | |
| Incidenthanteringssystem | System för att ta emot, utreda och åtgärda avvikelser eller misstänkta |
| händelser. | |
| Jäv | När någon är partisk eller har intressekonflikt i handläggning eller |
| beslutsfattande i ett ärende. | |
| Kontrollmiljö | De regler, rutiner och värderingar som styr hur en organisation arbetar |
| med intern kontroll. | |
| Loggning | Registrering av information om vem som har sökt i ett datasystem. |
| Oegentlighet | Handling som är olaglig eller oärlig, t.ex. bedrägeri eller fusk. |
| Otillbörlig påverkan | Handlingar som strider mot god sed, etik och moral eller mot författning. |
| an vara icke-straffbara men olämpliga, eller straffbara när de utgör | |
| otillbörliga förmåner enligt mutlagstiftningen. | |
| Otillåten påverkan | Samlingsbegrepp för trakasserier, hot, våld, skadegörelse och |
| korruption som syftar till att påverka tjänste-eller uppdragsutövningen. | |
| an omfatta både brottsliga metoder och sådant som upplevs som | |
| obehagligt eller olämpligt även om det inte alltid är straffbart. | |
| Personalsäkerhet | Åtgärder inom ramen för säkerhetsskydd för att säkerställa att |
| personalen inte utgör en säkerhetsrisk. | |
| Riskanalys | Undersökning och bedömning av vilka risker som finns i en verksamhet. |
| Brukar oftast även omfatta momenten att värdera riskerna och planera | |
| för hur de ska hanteras (reduceras, elimineras eller accepteras). | |
| Sveriges säkerhet | Skydd för Sveriges oberoende, demokratiska statsskick och nationens |
| grundläggande funktionalitet. | |
| Säkerhetsklassad | Tjänst eller arbete där det krävs särskild kontroll av personalen på grund |
| befattning | av säkerhetsskyddsskäl. |
| Säkerhetsskydd | Skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, |
| terroristbrott och andra brott samt skydd av | |
| säkerhetsskyddsklassificerade uppgifter. | |
| Säkerhetskänslig | Verksamhet som till någon del är av betydelse för Sveriges säkerhet |
| verksamhet | eller omfattas av ett för Sverige förpliktande internationellt åtagande om |
| säkerhetsskydd. | |
| Sårbarhet | Något som gör en verksamhet eller person extra utsatt för risker eller |
| hot. | |
| Visselblåsarfunktion | Möjlighet för anställda att anonymt rapportera om missförhållanden på |
| arbetsplatsen. |
Riksrevisionen 49
Referenslista
Författningar
Förordning (2007:854) med instruktion för Försvarets materielverk.
Förordning (2007:824) med instruktion för Kammarkollegiet.
Förordning (2007:1172) med instruktion för Kriminalvården.
Förordning (1999:1134) om belastningsregister.
Förordning (2007:603) om intern styrning och kontroll.
Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2019:2).
Förvaltningslag (2017:900).
Lag (1998:620) om belastningsregister.
Myndigheten för samhällsskydd och beredskap föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
Myndighetsförordning (2007:515).
Offentlighets- och sekretesslag (2009:400).
Regeringsform (1974:152).
Säkerhetsskyddslag (2018:585).
Säkerhetsskyddsförordning (2021:955).
Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1).
Offentligt tryck
Kommittédirektiv 2025:83, Ett ändamålsenligt regelverk för bakgrundskontroller.
Kommittédirektiv 2025:105, En ny ordning för personalsäkerhet.
Kommittédirektiv 2024:49, Stärkt skydd mot utlänningar som utgör kvalificerade säkerhetshot eller som har koppling till kriminella nätverk.
Kommittédirektiv 2024:78, Tilläggsdirektiv till utredningen om stärkt skydd mot utlänningar som utgör kvalificerade säkerhetshot eller som har koppling till kriminella nätverk.
Kommittédirektiv 2023:23, Tilläggsdirektiv till Utredningen om förbättrade möjligheter att skydda Sveriges säkerhet.
Kommittédirektiv 2013:152, Förbättrade möjligheter att skydda Sveriges säkerhet.
Regeringskansliet, Handlingsplan mot korruption och otillåten påverkan 2024–2027.
50 Riksrevisionen
Artiklar
Barker, R., Bonell, C., & Melendez-Torres, G. J., "‘In It From the Beginning’: How Do Young Men and Boys Explain Their Entry Into Criminal Gangs?", Youth Justice, 2025, https://doi.org/10.1177/14732254251333697.
Snyder, J. K., Fessler, D. M. T., Tiokhin, L., Frederick, D. A., Lee, S. W., & Navarrete, C. D., "Trade-offs in a dangerous world: Women's fear of crime predicts preferences for aggressive and formidable mates", Evolution and Human Behavior, 2011, vol. 32, nr 2, s. 127–137, https://doi.org/10.1016/j.evolhumbehav.2010.08.007.
Fessler, D. M. T., Tiokhin, L. B., Holbrook, C., Gervais, M. M., & Snyder, J. K., "Foundations of the Crazy Bastard Hypothesis: Nonviolent physical risk-taking enhances conceptualized formidability", Evolution and Human Behavior, 2014, vol. 35, nr 1, s. 26–33, https://doi.org/10.1016/j.evolhumbehav.2013.09.003.
Rebellon, C. J., & Manasse, M., "Do ‘bad boys’ really get the girls? Delinquency as a cause and consequence of dating behavior among adolescents", Justice Quarterly, 2004, vol. 21, nr 2, s. 355–389, https://doi.org/10.1080/07418820400095841.
Ryder, H., Maltby, J., Rai, L., Jones, P., & Flowe, H. D., "Women's fear of crime and preference for formidable mates: How specific are the underlying psychological mechanisms?", Evolution and Human Behavior, 2016, vol. 37, nr 4, s. 293–302, https://doi.org/10.1016/j.evolhumbehav.2016.01.005.
Utredningar
SOU 2024:88, Säkerhetsprövningar – nya regler, betänkande av Utredningen om en förbättrad process för säkerhetsprövningar.
Ds 2024:24, Utökade registerkontroller vid anställning i kommun.
Riksdagstryck
Proposition 2017/18:89, Ett modernt och stärkt skydd för Sveriges säkerhet.
Regeringens skrivelse, Motståndskraft och handlingskraft – en nationell strategi mot organiserad brottslighet (skr. 2023/24:67), s. 30 f.
Webbsidor
Brottsförebyggande rådet, ”Crime proofing – regelverksanalys för att förebygga välfärdsbrott”, https://bra.se/kunskapsstod/metodstod-och-verktyg/crime-proofing, hämtad 2025-01-16.
Riksrevisionen 51
Bilaga 1. COSO-modellen
Förordningen (2007:603) om intern styrning och kontroll (FISK) bygger på den så kallade COSO-modellen.33 FISK gäller för de förvaltningsmyndigheter under regeringen som har skyldighet att följa internrevisionsförordningen (2006:1228). FMV, Kammarkollegiet och Kriminalvården är alla FISK-myndigheter. Det gör att COSO-modellen är fullt tillämpbar att använda för att skapa bedömningsgrunder för granskningen av infiltration i staten.
FISK föreskriver att det ska finnas en process för intern styrning och kontroll som syftar till att myndigheten med rimlig säkerhet fullgör sina uppgifter, uppnår verksamhetens mål och uppfyller de krav som framgår av 3 § myndighetsförordningen (2007:515). Dessa krav innebär framför allt att verksamheten bedrivs effektivt och enligt gällande rätt och att man hushållar väl med statens medel. Att en myndighet ska följa FISK betyder att den omfattas av formella krav på hur den interna kontrollen ska vara upplagd. Processen ska även förebygga att verksamheten utsätts för oegentligheter.
Det är varje myndighetschefs skyldighet att i samband med att årsredovisningen upprättas bedöma om den interna styrningen och kontrollen vid myndigheten har varit betryggande under den period som redovisningen avser. Bedömningsnivåerna är tre: betryggande, i allt väsentligt betryggande samt inte betryggande.
COSO-modellen innebär i korthet följande komponenter:
•upprätthålla god intern kontrollmiljö
•genomföra riskanalyser
•vidta kontrollåtgärder för att hantera identifierade risker
•informera och kommunicera
•övervaka och följa upp.
Kontrollmiljön består av ett internt regelverk som består av arbetsordning, policyer, riktlinjer, rutiner, etc. Kontrollmiljön avser även sådana saker som organisationskultur, värderingar, ledningens styrning (”tonen från toppen”), kompetens (hur och vem man anställer) samt sådant som brukar kunna förklaras med att något är strukturellt, alltså det som sitter i väggarna. Kontrollmiljön är viktigast: fungerar den inte, fungerar inte heller de andra komponenterna. Kontrollmiljön måste alltså vara robust.
Riskanalys innebär att identifiera interna och externa risker, och att värdera dessa utifrån sannolikhet och konsekvens. Utifrån det går man vidare med att prioritera hur
33COSO står för Committee of Sponsoring Organizations of the Treadway Commission.
52 Riksrevisionen
riskerna ska hanteras, det vill säga elimineras, reduceras eller accepteras genom olika slags kontrollåtgärder.
För att kontrollåtgärderna ska få genomslag fordras en fungerande kommunikation uppåt, nedåt och sidledes i organisationen. Övervakning, uppföljning och utvärdering av risker behöver ske gentemot de kontrollåtgärder som genomförs för att hitta luckor och identifiera behov av förändringar.
Det finns tre mål i COSO-modellen:
•rättvisande finansiell rapportering
•regelefterlevnad
•effektivitet i form av hushållning, resursutnyttjande och måluppfyllelse.
De tre målen ska vara uppfyllda enligt FISK. Målen ska kunna kopplas till olika processer, kärnprocesser såväl som underprocesser. För att intern styrning och kontroll ska fungera krävs att alla processer fungerar, för om någon av dem inte fungerar blir organisationen inte fullt effektiv.
Riksrevisionen 53
Bilaga 2. Resultat från enkätundersökningen
Enkätfrågor, antal och andel svar per myndighet
Bedriver din myndighet ett arbete för att motverka risken för infiltration och annat illojalt beteende?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja | 191 | 72 % | 7 496 | 86 % | 1 188 | 85 % |
| Nej | 5 | 2 % | 162 | 2 % | 10 | 1 % |
| Vet ej | 70 | 26 % | 1 042 | 12 % | 192 | 14 % |
Känner du till om det finns rutiner, regelverk, eller liknande, i din myndighet som kan användas för att motverka infiltration och annat illojalt beteende?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja, och de är väl fungerande | 126 | 47 % | 4 909 | 56 % | 832 | 60 % |
| Ja, men de är svåranvända eller | 37 | 14 % | 2 349 | 27 % | 285 | 21 % |
| otillräckliga | ||||||
| Nej | 103 | 39 % | 1 442 | 17 % | 273 | 20 % |
Brukar ni föra organiserade och öppna diskussioner om risk för infiltration och annat illojalt beteende på din arbetsplats (till exempel på arbetsplatsträffar, utbildningar eller medarbetarsamtal)?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Någon gång per år eller oftare | 94 | 35 % | 4 443 | 51 % | 693 | 50 % |
| Mer sällan än en gång per år | 120 | 45 % | 2 528 | 29 % | 431 | 31 % |
| Har aldrig hänt | 25 | 9 % | 862 | 10 % | 128 | 9 % |
| Vet ej | 27 | 10 % | 867 | 10 % | 138 | 10 % |
Vet du vad som skulle kunna klassas som en otillåten eller otillbörlig relation med en klient, leverantör eller annan person i din yrkesroll?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja | 191 | 72 % | 7 605 | 87 % | 893 | 64 % |
| Ja, till viss del | 73 | 27 % | 1 051 | 12 % | 482 | 35 % |
| Nej | 2 | 1 % | 44 | 1 % | 15 | 1 % |
Vet du vad som skulle kunna klassas som en förtroendeskadlig bisyssla för dig i din yrkesroll?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja, helt och hållet | 161 | 61 % | 4 595 | 53 % | 702 | 51 % |
| Ja, till viss del | 99 | 37 % | 3 829 | 44 % | 654 | 47 % |
| Nej | 6 | 2 % | 276 | 3 % | 34 | 2 % |
54 Riksrevisionen
Vet du i vilka yrkesrelaterade sammanhang du skulle kunna klassas som jävig?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja, helt och hållet | 190 | 71 % | 4 165 | 48 % | 690 | 50 % |
| Ja, till viss del | 73 | 27 % | 3 951 | 45 % | 669 | 48 % |
| Nej | 3 | 1 % | 584 | 7 % | 31 | 2 % |
Vet du vilka åtgärder, påföljder och liknande, som myndigheten kan vidta om du skulle begå en överträdelse mot de regler som är till för att skydda verksamheten mot infiltration och otillåten/ annat illojalt beteende?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja, helt och hållet | 60 | 23 % | 3 324 | 38 % | 304 | 22 % |
| Ja, till viss del | 150 | 56 % | 4 565 | 52 % | 878 | 63 % |
| Nej | 56 | 21 % | 811 | 9 % | 208 | 15 % |
Vet du om det finns en visselblåsarfunktion på din arbetsplats?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja, och jag vet hur jag ska gå till väga | 208 | 78 % | 2 356 | 27 % | 630 | 45 % |
| för att använda den | ||||||
| Ja, men jag är osäker på hur jag går till | 53 | 20 % | 3 743 | 43 % | 596 | 43 % |
| väga för att använda den | ||||||
| Nej | 5 | 2 % | 2 601 | 30 % | 164 | 12 % |
Vet du om din arbetsplats har uppgifter, i digital eller fysisk form, som innehåller säkerhetsskyddsklassificerad eller annan sekretessbelagd information?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja | 234 | 88 % | 7 997 | 92 % | 1 369 | 98 % |
| Nej | 32 | 12 % | 703 | 8 % | 21 | 2 % |
Vet du om personalens slagningar i myndighetens system (databaser, register och liknande) loggas, det vill säga att slagningarna registreras på något sätt?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja, definitivt | 68 | 26 % | 6 505 | 75 % | 285 | 21 % |
| Ja, jag tror det | 111 | 42 % | 1 788 | 21 % | 616 | 44 % |
| Nej, de loggas inte | 8 | 3 % | 20 | 0 % | 13 | 1 % |
| Vet ej | 79 | 30 % | 387 | 4 % | 476 | 34 % |
Riksrevisionen 55
Vet du om det förekommer någon form av infiltration eller otillåten eller annat illojalt beteende på din arbetsplats?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja | 2 | 1 % | 911 | 10 % | 19 | 1 % |
| Jag tror det | 5 | 2 % | 1 634 | 19 % | 103 | 7 % |
| Vet ej | 258 | 97 % | 6 100 | 70 % | 1 237 | 89 % |
| Vill ej svara | 1 | 0 % | 55 | 1 % | 31 | 2 % |
Har du en säkerhetsskyddad befattning?
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Ja | 19 | 7 % | 3 585 | 41 % | 903 | 65 % |
| Nej | 241 | 91 % | 2 791 | 32 % | 281 | 20 % |
| Vet ej | 6 | 2 % | 2 324 | 27 % | 206 | 15 % |
Enkätfrågor, antal och andel svar per myndighet för de medarbetare som svarat att de har en säkerhetsklassad befattning
Vilka privata bekantskaper du har
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Mer än en gång om året | 2 | 11 % | 145 | 4 % | 49 | 5 % |
| En gång om året | 2 | 11 % | 1 049 | 29 % | 666 | 74 % |
| Mindre än en gång om året | 8 | 42 % | 1 104 | 31 % | 106 | 12 % |
| Har aldrig hänt | 7 | 37 % | 1 145 | 32 % | 55 | 6 % |
| Vet ej | 0 | 0 % | 171 | 5 % | 26 | 3 % |
Din privatekonomi, inklusive skuldsättning
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Mer än en gång om året | 0 | 0 % | 79 | 2 % | 34 | 4 % |
| En gång om året | 2 | 11 % | 908 | 25 % | 660 | 73 % |
| Mindre än en gång om året | 9 | 47 % | 1 076 | 30 % | 120 | 13 % |
| Har aldrig hänt | 8 | 42 % | 1 369 | 38 % | 62 | 7 % |
| Vet ej | 0 | 0 % | 171 | 5 % | 25 | 3 % |
56 Riksrevisionen
Eventuella beteenden på sociala medier (tex Facebook och dejtingappar)
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Mer än en gång om året | 1 | 5 % | 184 | 5 % | 53 | 6 % |
| En gång om året | 2 | 11 % | 990 | 27 % | 541 | 60 % |
| Mindre än en gång om året | 6 | 32 % | 1 109 | 31 % | 129 | 14 % |
| Har aldrig hänt | 10 | 53 % | 1 188 | 33 % | 135 | 15 % |
| Vet ej | 0 | 0 % | 155 | 4 % | 39 | 4 % |
Om du eventuellt skulle vara utsatt för hot, tvång, hållhakar eller liknande
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Mer än en gång om året | 2 | 11 % | 319 | 9 % | 41 | 5 % |
| En gång om året | 4 | 21 % | 1 081 | 30 % | 577 | 64 % |
| Mindre än en gång om året | 5 | 26 % | 860 | 24 % | 105 | 12 % |
| Har aldrig hänt | 8 | 42 % | 1 187 | 33 % | 142 | 16 % |
| Vet ej | 0 | 0 % | 158 | 4 % | 36 | 4 % |
Din trivsel på arbetsplatsen
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Mer än en gång om året | 13 | 68 % | 1 883 | 52 % | 554 | 61 % |
| En gång om året | 4 | 21 % | 1 294 | 36 % | 295 | 33 % |
| Mindre än en gång om året | 0 | 0 % | 264 | 7 % | 24 | 3 % |
| Har aldrig hänt | 2 | 11 % | 100 | 3 % | 13 | 1 % |
| Vet ej | 0 | 0 % | 73 | 2 % | 15 | 2 % |
Eventuella karriärmässiga besvikelser på arbetsgivaren
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Mer än en gång om året | 2 | 11 % | 315 | 9 % | 123 | 14 % |
| En gång om året | 4 | 21 % | 1 026 | 29 % | 443 | 49 % |
| Mindre än en gång om året | 1 | 5 % | 549 | 15 % | 78 | 9 % |
| Har aldrig hänt | 10 | 53 % | 1 316 | 37 % | 194 | 22 % |
| Vet ej | 2 | 11 % | 390 | 11 % | 63 | 7 % |
Hur du förhåller dig till klienter, leverantörer eller andra externa personer
| Kammarkollegiet | Kriminalvården | Försvarets | ||||
| materielverk | ||||||
| Mer än en gång om året | 3 | 16 % | 1 006 | 28 % | 206 | 23 % |
| En gång om året | 4 | 21 % | 1 319 | 36 % | 376 | 42 % |
| Mindre än en gång om året | 5 | 26 % | 552 | 15 % | 142 | 16 % |
| Har aldrig hänt | 7 | 37 % | 563 | 16 % | 115 | 13 % |
| Vet ej | 0 | 0 % | 182 | 5 % | 61 | 7 % |
Riksrevisionen 57
EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN
Infiltration i staten –tre myndigheters arbete för att motverka illojalt beteende (RiR 2026:3)
Flera fall av infiltration i offentlig verksamhet har uppmärksammats de senaste åren. Mörkertalet kan vara stort och följderna allvarliga, till exempel röjda uppgifter som gynnar grov kriminalitet, manipulerad information samt störningar i samhällsviktig verksamhet. Mot den bakgrunden har Riksrevisionen granskat hur Försvarets materielverk, Kammarkollegiet och Kriminalvården arbetar för att förebygga, förhindra och upptäcka infiltration. Dessa myndigheter exponeras för risker eftersom de i varierande omfattning bedriver säkerhetskänslig verksamhet, genomför omfattande upphandlingar, hanterar mycket kapital samt kan utsättas för påverkan från organiserad brottslighet.
Riksrevisionens samlade bild är att skyddet mot infiltration behöver stärkas och i större utsträckning genomsyra myndigheternas vardagliga arbete. Granskningen visar återkommande brister både i det förebyggande arbetet och i förmågan att upptäcka pågående angrepp.
Riksrevisionen bedömer att det finns goda förutsättningar för att kunna förbättra säkerheten. Myndigheterna rekommenderas att inkludera personalsäkerhet i ordinarie styrning och uppföljning, att genomföra systematiska säkerhetsprövningssamtal
för säkerhetsklassad personal och täcka alla relevanta områden samt att anpassa stödmaterialet för prövningen till verksamhetens risker och arbetsuppgifternas beskaffenhet. Tillsammans kan dessa steg ge ett verkningsfullt skydd mot infiltration.
Riksrevisionen www.riksrevisionen.se S:t Eriksgatan 117
Box 6181, 102 33 Stockholm 08-5171 40 00