Valnämndens förberedelser för valet 2026 och årsredovisning.

Det innevarande verksamhetsåret 2025 är ett s.k. mellanvalsår, då inga ordinarie val genomförts. Valnämndens arbete har i huvudsak varit inriktat mot de allmänna valen den 13 september 2026. Under verksamhetsåret har nämnden fattat beslut om valkrets- och valdistriktsindelningen för det kommande valet. Under hösten fattade valnämnden ett beslut om inriktning och prioriterar inför det kommande valet. Likaså har nämnden fattat beslut om ordningen i valsedelställen och hanteringen av valsedlar på röstmottagningsställena. Kansliet har också under våren arbetat med att ta fram rutiner och annat kvalitetsarbete som är svårt att hinna under valperioderna, Valnämndens kansli har mellanvalsperioden fram till augusti arbetat visstid åt stadsledningskontoret. Kansliet har även slutfört två upphandlingar som behövs för att genomföra valet, en gällande transporter och sortering av förtidsröster och en rörande tillfälliga lokaler under förtidsröstningen.I slutet av augusti utökades kansliet med tre handläggare. Arbetet med att förbereda de allmänna valen är i full gång. Nämnden redovisar ett underskott på 0,1 mkr för verksamhetsåret. [Verksamhetsberättelse valnämnden 2025.pdf] Valnämnden Tjänsteutlåtande Dnr: VN 2026/1 2026-01-26 Handläggare Till Eva Debels Valnämnden Telefon: 08-508 29 062 Verksamhetsberättelse VB 2025 för Valnämnden Förslag till beslut Valnämnden godkänner förslag till verksamhetsberättelse för 2025 och överlämnar den till kommunstyrelsen Valnämnden Hantverkargatan 3D 08-508 29 062 08-508 29 000 valnamnden@stockholm.se start.stockholm Innehållsförteckning Sammanfattande analys ........................................................................................................... 4 Uppföljning av Kommunfullmäktiges inriktningsmål .......................................................... 4 KF:s inriktningsmål: 1. Ett Stockholm som håller samman med en stark och jämlik välfärd i hela staden ..........................................................................................................................................4 KF:s inriktningsmål: 2. Ett grönt och fossilfritt Stockholm som leder en rättvis klimatomställning ...............................................................................................................................5 KF:s mål för verksamhetsområdet: 2.3 Stockholm ska vara en stad där framkomligheten ökar och utsläppen minskar ...........................................................................................................5 KF:s inriktningsmål: 3. Ett Stockholm med en stabil och hållbar ekonomi med utbildning, jobb och bostäder för alla ...................................................................................................................6 KF:s mål för verksamhetsområdet: 3.1 Stockholms ekonomi är stark, hållbar och lägger grunden för en jämlik välfärd ........................................................................................................6 KF:s mål för verksamhetsområdet: 3.2 I Stockholm ska alla ges möjlighet till ett eget jobb ................................................................................................................................................7 KF:s mål för verksamhetsområdet: 3.4 Medarbetare i Stockholm ska ges goda förutsättningar att göra ett bra jobb ...............................................................................................7 KF:s mål för verksamhetsområdet: 3.5 Hög beredskap och stark rådighet ska råda i alla verksamhetsområden .....................................................................................................................8 KF:s mål för verksamhetsområdet: 3.6 Tryggheten ska öka genom förebyggande insatser .........9 KF:s mål för verksamhetsområdet: 3.7 Stockholm ska vara en öppen, jämställd och demokratisk stad som samarbetar internationellt ..........................................................................9 Uppföljning av ekonomi ......................................................................................................... 10 Analys av resultaträkning - uppföljning av driftbudget....................................................................10 Resultatenheter .................................................................................................................................11 Investeringar .....................................................................................................................................11 Försäljningar av anläggningstillgångar ............................................................................................11 Verksamhetsprojekt (driftprojekt) ....................................................................................................11 Ombudgeteringar ..............................................................................................................................11 Medel för lokaländamål....................................................................................................................11 Analys av balansräkning ..................................................................................................................11 Övrigt ...............................................................................................................................................11 Särskilda redovisningar ......................................................................................................... 12 Valnämnden, Verksamhetsberättelse 2(13) Bedömning av nämndens interna kontroll ........................................................................... 12 Systematiskt kvalitetsarbete .................................................................................................. 12 Systematiskt arbetsmiljöarbete ............................................................................................. 12 Checklista för årlig uppföljning .......................................................................................................12 Övrigt ....................................................................................................................................... 13 Bilagor Bilaga 1: 108 UH018 Bokslut 2025 Bilaga 2: Resultatrapport - Central uppföljning Drift 300 - Budgetavräkning 2026-01-21 115306 Bilaga 3: Resultatrapport - Central uppföljning Invest. 2026-01-21 130515 Bilaga 4: Uppföljning av Internkontrollplan 2025 Bilaga 5: GDPR Årsrapport År 2025 Valnämnden, Verksamhetsberättelse 3(13) Sammanfattande analys Det innevarande verksamhetsåret 2025 är ett s.k. mellanvalsår, då inga ordinarie val genomförts. Valnämndens arbete har i huvudsak varit inriktat mot de allmänna valen den 13 september 2026. Under verksamhetsåret har nämnden fattat beslut om valkrets- och valdistriktsindelningen för det kommande valet. Under hösten fattade valnämnden ett beslut om inriktning och prioriterar inför det kommande valet. Likaså har nämnden fattat beslut om ordningen i valsedelställen och hanteringen av valsedlar på röstmottagningsställena. Kansliet har också under våren arbetat med att ta fram rutiner och annat kvalitetsarbete som är svårt att hinna under valperioderna, Valnämndens kansli har mellanvalsperioden fram till augusti arbetat visstid åt stadsledningskontoret. Kansliet har även slutfört två upphandlingar som behövs för att genomföra valet, en gällande transporter och sortering av förtidsröster och en rörande tillfälliga lokaler under förtidsröstningen.I slutet av augusti utökades kansliet med tre handläggare. Arbetet med att förbereda de allmänna valen är i full gång. Nämnden redovisar ett underskott på 0,1 mkr för verksamhetsåret. Uppföljning av Kommunfullmäktiges inriktningsmål KF:s inriktningsmål: 1. Ett Stockholm som håller samman med en stark och jämlik välfärd i hela staden Uppfylls helt Analys Valnämnden ska planera för att valet kan organiseras och genomföras på ett sådant sätt att alla röstberättigade ges goda förutsättningar att rösta. I detta avseende ska nämnden särskilt beakta förutsättningarna att rösta i områden med historiskt lågt valdeltagande. Det ska finnas en väl tilltagen tillgänglighet till förtidsröstningslokaler med generösa öppettider. Röstmottagarna ska vara välutbildade och ha ett gott bemötande. Nämnden beslutade under hösten 2025 i ett inriktningsärende hur nämnden arbetar för ett val med hög trovärdighet och jämlik möjlighet att rösta. Under hösten har kansliet inventerat och besökt lokaler för röstning på valdagen och för förtidsröstning. Avseende möjligheten att förtidsrösta kommer den att öka genom ökade öppettider vid stadens bibliotek samt ett ökat antal tillfälliga lokaler. Inom Valmyndigheten pågår ett arbete med att digitalisera förtidsröstningen vilket kommer få konsekvenser av ett ändrat arbetssätt i förtidsröstningen. Kansliet har under hösten säkerställt att datorer med tillbehör kommer att finnas. Förändringen innebär också att PostNord AB genom avtal med Valmyndigheten får ett helhetsansvar för maskinell sortering av förtidsrösterna. Förändringen har inneburit en fördröjning med att kunna sluta ett avtal med PostNord AB. Kansliet har även deltagit i flera tester avseende den moderniserade Valnämnden, Verksamhetsberättelse 4(13) förtidsröstningen. Nämnden har lämnat förslag på stadens valkretsindelning och förslag på valdistriktsindelning. Fullmäktige har under hösten fatat beslut i dessa två ärenden. Länsstyrelsen har fastställt kommunfullmäktiges beslut. Under hösten har också bemanningen av stadens valdistrikt påbörjats. Många röstmottagare återkommer och det finns ett stort intresse bland stadens medborgare att arbeta som röstmottagare. Kansliet har under hösten förstärkts med en kommunikatör från SLK som under hösten arbetat 10 % åt valnämnden. Ett uppdrag som under våren kommer att utökas till halvtid. KF:s inriktningsmål: 2. Ett grönt och fossilfritt Stockholm som leder en rättvis klimatomställning Uppfylls helt Analys Genomförande av val genererar enorma mängder pappersavfall, särskilt valsedlar med tillhörande kuvert. Nämnden har i flera remissvar påtalat behovet av en översyn av nuvarande valsedelssystem bland annat på grund av miljöhänsyn. Kansliet sopsorterar sitt avfall och betalar för alla extra kostnader som sopsorteringen genererar vid vallokaler och förtidsröstning. Vid inköp och lagerhållning planeras så att det ska vara lätt att återanvända materialet vid nästa val. Vid möbelinköp används i första hand Stocket återbruk innan något nytt inhandlas. Kansliet har också fått 25 valurnor och 10 valsedelsräknare från andra kommuner. Personalen stänger av datorn när de lämnar kontoret för att minimera elförbrukningen. KF:s mål för verksamhetsområdet: 2.3 Stockholm ska vara en stad där framkomligheten ökar och utsläppen minskar Uppfylls helt Analys Genomförandet av val innebär att nämndens transporter vid genomförandet av valet ökar väsentligt. Vid varje val hyr kansliet ett antal last- och personbilar. När det är möjligt kommer hyra av elbilar prioriteras framför fossildrivna bilar. Likaså kommer transport med elbil prioriteras när det är möjligt. Kansliet har genomfört två upphandlingar. I alla upphandlingar ställs krav på transporter enligt den miljöpolicy som gäller för staden. Kansliets personal reser kollektivt eller per cykel när det är möjligt. I förberedelsen inför valet Valnämnden, Verksamhetsberättelse 5(13) besöker kansliet alla lokaler och inventerar platser över hela staden. Många av dessa resor sker med bil. För att minimera utsläppen har kansliet anslutit personalen till en bilpool med elbilar. KF:s inriktningsmål: 3. Ett Stockholm med en stabil och hållbar ekonomi med utbildning, jobb och bostäder för alla Uppfylls helt Analys Inom ramen för valnämndens uppdrag, som följer av vallagen, strävar nämnden efter att använda skattemedlen så effektivt som möjligt. En valnämnds uppgift är genomföra valen rättssäkert, effektivt och korrekt. Det ska vara lätt att rösta för alla röstberättigade. I vallagen finns även skrivningar om att ett röstmottagningsställe ska vara tillgängligt och värdeneutralt. Vidare regleras även graden av bemanning och utbildning av röstmottagare. KF:s mål för verksamhetsområdet: 3.1 Stockholms ekonomi är stark, hållbar och lägger grunden för en jämlik välfärd Uppfylls helt Analys Nämndens resultat är att budgeten överskridits med 100 tkr. Detta beror på ökade kostnader för lager av valmaterial. Utfall Periodens Utfall män/ Utfall VB KF:s Indikator kvinnor/ Årsmål Period utfall pojkar 2024 årsmål flickor Nämndens 101,3 % 99,8 % 100 % 100 % VB 2025 budgetföljs amhet efter resultatöver föringar Nämndens 101,3 % 99,8 % 100 % 100 % VB 2025 budgetföljs amhet före resultatöver föringar Nämndens -2 % 0 % +/-1 % +/- 1 % 2025 prognossäk erhet T2 Nämnden har överskridit budgeten med 100 tkr på grund av kostnader för lager. Nämndmål: 3.1.1 Alla ska ha goda möjligheter att rösta Uppfylls helt Valnämnden, Verksamhetsberättelse 6(13) Förväntat resultat Valen ska genomföras så att alla som vill rösta ska kunna rösta Analys Under verksamhetsåret påbörjas planeringen av allmänna valet 2026. Nämnden har under hösten beslutat om inriktningen inför valet och vilka särskilda prioriteringar som ska göras. I de kommande ändringarna i vallagen förstärks bestämmelsen om tillgänglighet. Förstärkningen ska ses om en målsättningsbestämmelse och att tillgängligheten omfattar lokaler, röstningsförfarandet, informationen m.m. Nämnden har sedan länge arbetat med tillgänglighet med ett bredare perspektiv, men ändringen innebär en förstärkning av Valmyndighetens arbete och kan innebära ökade krav på information om röstmottagningsställenas tillgänglighet. Under hösten arbete med att besöka och boka röstmottagningsställen har denna förstärkning i vallagen beaktats. Samråd med stadens äldre- och funktionshindersombudsmän har skett under hösten. KF:s mål för verksamhetsområdet: 3.2 I Stockholm ska alla ges möjlighet till ett eget jobb Uppfylls helt Analys Under de år som val genomförs tar kansliet emot sommarjobbare. Inför varje val samarbetar kansliet också med arbetsmarknadsförvaltningens jobbtorg om rekrytering av röstmottagare till förtidsröstningen. KF:s mål för verksamhetsområdet: 3.4 Medarbetare i Stockholm ska ges goda förutsättningar att göra ett bra jobb Uppfylls helt Analys Valnämnden bidrar till att uppfylla verksamhets- och inriktningsmål genom ett aktivt arbetsmiljöarbete, friskvårdsinsatser och möjlighet till kompetensutveckling. Medarbetar- och lönesamtal genomförs årligen. Valnämnden följer stadsledningskontorets arbetsmiljöpolicy där det framgår att kansliet ska genomsyras av jämställdhet, jämlikhet och vara fritt från diskriminering. Ingen form av kränkande särbehandling och trakasserier accepteras. Kansliet har varje vecka kanslimöten där arbetsmiljöfrågor hanteras om så krävs. En särskild fråga för nämnden är arbetsmiljön för valarbetare runt valen. I de enkäter som görs efter varje val ställs frågor om arbetsmiljön som följs upp till nästkommande val. Alla medarbetare har erbjudits att närvara på de utbildningar och konferenser som är relevanta. Valnämnden, Verksamhetsberättelse 7(13) Sjukfrånvaron är låg men får stor påverkan vid enskilda individers frånvaro. Kansliet har för få anställda för att kunna rapportera nyckeltal. I de fall rehabilitering blir aktuell följer valnämnden den gemensamma rehabiliteringsprocess som tagits fram av staden. Implementeringen av riktlinje av chefsstruktur behöver inte redovisas av nämnden. Nämndmål: 3.4.1 En inkluderande och attraktiv arbetsplats Uppfylls helt Analys Valnämndens kansli är en arbetsplats som mellan valen består av fyra fast anställda för att inför val växa och under valdagen vara som störst med ca 6000 - 6500 valarbetare beroende på vilken typ av val. Kansliet har under verksamhetsåret rekryterat tre handläggare som visstidsanställts för att genomföra de allmänna valen. Flera tidigare medarbetare har sökt sig tillbaka då det är attraktivt, roligt och känns meningsfullt att arbeta med val. Vid rekryteringen av röstmottagare ska kansliet sträva efter att det ska spegla Stockholms befolkning i stort. Det innebär att det ska vara en spridd ålders- och könsfördelning och olika etnisk bakgrund. Språklig kompetens i de vanligaste språken bland stockholmare är särskilt önskvärda kompetenser. KF:s mål för verksamhetsområdet: 3.5 Hög beredskap och stark rådighet ska råda i alla verksamhetsområden Uppfylls helt Analys Valnämnden ska om så krävs kunna genomföra ett om- eller extraval inom 3 månader. Detta innebär att nämnden organiserat sin verksamhet på ett sådant sätt att den alltid på kort varsel kan bygga upp organisationen och genomföra ett val. Genom ett gott samarbete med flera andra förvaltningar och bolag inom staden har valnämnden också stärkt sin beredskap och rådighet för genomförandet av allmänna val. Inför de kommande valen 2026 och i god tid innan valets genomförande kommer en risk- och sårbarhetsanalys genomföras i samarbete med säkerhetsavdelningen och kommunikationsenheten på stadsledningskontoret. Planeringen för denna har påbörjats och kommer att genomföras i januari. En övning kommer också att genomföras. Den föreslagna propositionen innebär att en nationell incidenthantering införs till valet 2026. Hur den kommer att vara utformad och vem som ska rapportera är oklart. Systemet kommer att arbetas fram av Valmyndigheten och vart efter får nämnden ta fram instruktioner. Den lokala anvisningen för informationssäkerhetsarbetet kompletterar stadens centrala riktlinje och tillämpningsanvisning för informationssäkerhet och dokumenterar hur valnämnden lokalt och praktiskt tillämpar och arbetar med informationssäkerheten. Anvisningarna har till viss del anpassats för en förvaltning av kansliets storlek. Valnämnden, Verksamhetsberättelse 8(13) Utfall Periodens Utfall män/ Utfall VB KF:s Indikator kvinnor/ Årsmål Period utfall pojkar 2024 årsmål flickor Andel 71,97 % 17,22 % 70 % 70 % 2025 elektronisk a inköp KF:s mål för verksamhetsområdet: 3.6 Tryggheten ska öka genom förebyggande insatser Inga data Analys - KF:s mål för verksamhetsområdet: 3.7 Stockholm ska vara en öppen, jämställd och demokratisk stad som samarbetar internationellt Uppfylls helt Analys De allmänna valen ska genomföras den 13 september 2026. En av nämndens största utmaningar är att hitta lokaler som är tillräckligt stora och lämpliga som röstmottagningsställen. För att kunna genomföra förtidsröstningen med en god tillgänglighet i fråga om lokaler som kan erbjuda generösa öppettider samt finnas där väljarna bor och arbetar, kompletterar nämnden fasta lokaler med tillfälliga lokaler. Upphandlingen av tillfälliga lokaler avslutades i våras och planeringen var dessa ska placeras har påbörjats. Dessa lokaler har vid tidigare val visat sig vara "röstmagneter" och kan vara en av flera orsaker till att Stockholms stads valdeltagande vid EU-valet inte sänktes. För att genomföra valen krävs också stora mängder personal som röstmottagare och andra stödfunktioner. Rekryteringen av kvalificerad personal kräver en stor arbetsinsats. Valnämnden är i behov av ett stort antal valarbetare som också har ambitionen att tjänstgöra under flera val. Intresset för att arbeta som röstmottagare är stort bland staden medborgare och anställda i staden. Arbetet med att besöka och planera lokaler samt rekrytera personal har påbörjas under hösten 2025. Riksdagens kommande beslut om ändringar i vallagen kommer att ställa högra krav på att väljarens valhemlighet ska skyddas och motverka eventuell gruppröstning. Nämnden måste ta höjd för denna ändring som innebär vissa ändrade arbetssätt samt ökad bemanning på röstmottagningsställena. Vid de allmänna valen 2022 sjönk valdeltagandet för första gången sedan kommunen tog över förtidsröstningen 2006. Kansliet har medverkat vid ett antal möten med Järva stadsdelsförvaltning för att informera om vad valnämnden kan bidra till stads med i deras Valnämnden, Verksamhetsberättelse 9(13) arbete med ökat valdeltagande inom stadsdelen. Under hösten deltog även kansliet i en så kallad medborgardialog arrangerad av Järva stadsdelsförvaltning. Dialogens tema var valdeltagande och lokal demokrati. Flera stadsdelsförvaltningar har under hösten varit i kontakt med kansliet för att informera om att de kommer inför valet anställa så kallade valambassadörer. Kansliet medverkar med att utbilda dessa och kan även låna ut material. Uppföljning av ekonomi Analys av resultaträkning - uppföljning av driftbudget Av de tilldelade medlen har 8,1 mkr förbrukats. Det motsvarar 101 av KF beslutad budget. På grund av ökade lagerkostnader gör nämnden ett underskott om 100 tkr. Det ekonomiska utfallet ser ut på följande sätt: Delprogram Budget Utfall Utfall % 10 Nämnd 98 110 112 20 Kansli 6 526 6 184 95 30 Valmaterial 878 1 316 150 40 Vallokaler 323 292 90 60 Förtidsröstning 175 201 115 Summa 8 000 8 103 101 En närmare analys, kommentarer av det bokföringsmässiga resultatet, visar följande: 10. Nämnd 98 tkr - Utfall 110 tkr 112 % Kostnaderna avser den politiska ledningen av valarbetet, främst i form av arvoden till nämndens ledamöter och ersättare. 20. Kansli 6 526 tkr - Utfall 6 184 tkr 95 % Här redovisas personal- och kontorskostnader för kansliets personal, kostnader för IT, samtliga avgifter/kostnader till serviceförvaltningen samt indirekta kostnader för de övriga verksamhetsområdena. 30. Valmaterial 878 tkr - Utfall 1 316 tkr 150 % Delområdet omfattar nämndens kostnader för lagerhållning av valmaterial såsom valbås, valurnor m.m. samt inköp av valmaterial. Inom området ligger även kostnaderna för packning och utkörning av valmaterial. 40. Vallokaler 323 tkr - Utfall 292 tkr 90 % Kostnaderna för vallokalerna utgörs av arvode som betalas till våra kontaktpersoner i de enskilda byggnaderna för att de ska hålla en beredskap för eventuellt extraval. Valnämnden, Verksamhetsberättelse 10(13) 60. Förtidsröstning 175 tkr - Utfall 201 tkr 115 % Delområdet omfattar en ersättning till kulturnämnden (biblioteken) för att de ska hålla en beredskap för eventuellt extraval. Här ingår även kostnader för upphandling av tillfälliga lokaler. Resultatenheter - Investeringar - Försäljningar av anläggningstillgångar - Verksamhetsprojekt (driftprojekt) - Ombudgeteringar - Medel för lokaländamål - Analys av balansräkning Balansräkningen beskriver förvaltningens tillgångar och skulder. Balansräkningen visar 2025-12-31 på tillgångar som uppgår till 406 719,66 kr. Skuldsidan består av kortfristiga skulder om 551 380,03 kr. Av dessa är 483 277,03 kr leverantörsskulder och 68 103,00 kr upplupna kostnader. Övrigt - Valnämnden, Verksamhetsberättelse 11(13) Särskilda redovisningar Bedömning av nämndens interna kontroll Analys Valnämnden bedömer att den interna kontrollen under år 2025 varit tillräcklig. Den interna kontrollen har varit tillräcklig. Verksamheten har genomförts rättssäkert och med gott resultat. De system och den verksamhet som nämnden ansvarar för har fungerat väl och inga avvikelser har skett. Serviceförvaltningen gör som extern part stickprovskontroller på fakturor och fakturaflöde. Serviceförvaltningen har inte identifierat några större avvikelser. I föregående års revisionsrapport noterar revisionskontoret att nämnden i inte skilt delar av nämndens kontroller får de systematiska kontrollera. Ett arbete med att tydligare formulera kontrollaktiviteterna har genomförts under året. Systematiskt kvalitetsarbete För att utveckla den interna kunskapen och förbättra internkontrollen har samtliga fast anställda medarbetare inför varje månadsrapport och tertialmöte medverkat för att analysera resultatet och följa upp den interna kontrollen. Efter ett genomfört val genomför kansliet en mängd utvärderingar. Dels i form av digitala enkäter till alla grupper som på något sätt arbetar i valet. Dels i form av fysiska träffar för att utvärdera och komma fram till förbättringar som kan göras till nästkommande val. De synpunkter och klagomål som kommer fram från väljare genom enkäter m.m. hanteras i utvärderingarna som underlag för nästkommande val. Vad gäller de klagomål och synpunkter som kommer direkt till kansliet under valperioden från medborgare får givetvis ett svar, diarieförs och finns som underlag för kommande val. Systematiskt arbetsmiljöarbete Checklista för årlig uppföljning Valnämndens kansli följer stadsledningskontoret plan för ett systematisk arbetsmiljöarbete. Kansliet har varje vecka kanslimöten där det finns möjlighet att diskutera arbetsmiljöfrågor. Inför varje val gör nämnden en risk- och sårbarhetsanalys och arbetsmiljöfrågorna blir en del i den analysen eftersom en god arbetsmiljö är en förutsättning för genomförande av ett val med hög trovärdighet. Arbetsplatsen behöver bättre koppla ihop med systematiska arbetsmiljöarbetet med det ständiga arbete som pågår att genomföra ett säkert val. Avseende kansliets egen personal behöver kännedomen om det systematiska arbetsmiljöarbetet förbättras. Inför varje val då ny personal anställs ska planen gås igenom Valnämnden, Verksamhetsberättelse 12(13) och information om gällande rutiner. Minst en gång i månaden ska punkten arbetsmiljö tas upp på kanslimötet. En utvärdering av arbetsmiljön görs efter varje val. Alla valarbetare får en enkät där frågor ställs om arbetsmiljön. Svaren sammanställs och ligger till grund för förbättringar till nästkommande val. Kansliet har under verksamhetsåret fått ett skyddsombud. Övrigt - Valnämnden, Verksamhetsberättelse 13(13) --- [Bilaga 1. 108 UH018 Bokslut 2025.pdf] Balansräkning Period: 202500-202513 Förvaltning: 108 Kr Förändring UB 202513 IB 202500 202501-202513 Externt Stadens bolag Internt Totalt Anläggningstillgångar 0,00 0,00 0,00 0,00 0,00 0,00 Omsättningstillgångar 172 666,32 234 053,34 39 000,00 0,00 367 719,66 406 719,66 15 Kundfordringar 0,00 48 699,00 39 000,00 0,00 9 699,00 48 699,00 16 Diverse kortfristiga fordringar 0,00 0,00 0,00 0,00 0,00 0,00 17 Förutbetalda kostnader och upplupna intäkter 172 666,32 185 354,34 0,00 0,00 358 020,66 358 020,66 Summa Tillgångar 172 666,32 234 053,34 39 000,00 0,00 367 719,66 406 719,66 Eget kapital 46 717,57 97 942,80 144 660,37 0,00 0,00 144 660,37 20 Eget kapital 46 717,57 97 942,80 144 660,37 0,00 0,00 144 660,37 Avsättningar 0,00 0,00 0,00 0,00 0,00 0,00 Långfristiga skulder 0,00 0,00 0,00 0,00 0,00 0,00 Kortfristiga skulder -219 383,89 -331 996,14 -143 236,03 0,00 -408 144,00 -551 380,03 24 Kortfristiga skulder till kreditinstitut och kunder -11 974,64 11 974,64 0,00 0,00 0,00 0,00 25 Leverantörsskulder -143 897,50 -339 379,53 -104 236,03 0,00 -379 041,00 -483 277,03 29 Upplupna kostnader och förutbetalda intäkter -63 511,75 -4 591,25 -39 000,00 0,00 -29 103,00 -68 103,00 Summa Skulder & Eget kapital -172 666,32 -234 053,34 1 424,34 0,00 -408 144,00 -406 719,66 Ekonomichefens underskrift den ……………………. Handläggarens underskrift den …………………… 108 UH018 Bokslut 2025.xlsx 1 (10) Utskrift: 2026-01-21 12:42 Resultaträkning Period: 202501-202513 Förvaltning: 108 Kr Externt Stadens bolag Internt Totalt Verksamhetens intäkter (-) -8 894,99 0,00 -6 242,60 -15 137,59 30 Försäljning av varor, material 0,00 0,00 -6 242,60 -6 242,60 36 Försäljning av verksamheter och entreprenader -8 894,64 0,00 0,00 -8 894,64 37 Försäljning av exploateringsfastigheter -0,35 0,00 0,00 -0,35 Verksamhetens kostnader (+) 5 711 940,83 0,00 2 406 399,86 8 118 340,69 49 Kostnader att fördela 0,00 0,00 0,00 0,00 50 Löner och arvoden 3 265 229,95 0,00 0,00 3 265 229,95 51 Löner ej arbetad tid 50 061,20 0,00 0,00 50 061,20 54 Kostnader för naturaförmåner -427,00 0,00 0,00 -427,00 55 Kostnadsersättningar 6 262,09 0,00 0,00 6 262,09 56 Sociala och andra avgifter enligt lag och avtal 0,00 0,00 1 245 147,00 1 245 147,00 57 Pensionskostnader 76 326,00 0,00 0,00 76 326,00 60 Lokal- och markhyror 1 364 445,07 0,00 664 225,75 2 028 670,82 61 Fastighetskostnader och fastighetsentreprenader 5 936,24 0,00 0,00 5 936,24 63 Hyra/leasing av anläggningstillgångar 52 459,21 0,00 0,00 52 459,21 64 Förbrukningsinventarier och förbrukningsmaterial 13 432,33 0,00 268,00 13 700,33 65 Kontorsmateriel och trycksaker 1 535,52 0,00 0,00 1 535,52 68 Tele- och IT-kommunikation samt postbefordran 179 713,59 0,00 40 080,50 219 794,09 69 Kostnader för transportmedel 2 435,94 0,00 0,00 2 435,94 70 Kostnader för transporter, frakt och resor 222 102,67 0,00 0,00 222 102,67 71 Representation 12 086,22 0,00 0,00 12 086,22 73 Försäkringar och riskkostnader 0,00 0,00 16 075,75 16 075,75 74 Övriga främmande tjänster 377 746,50 0,00 440 182,86 817 929,36 76 Diverse kostnader 82 595,30 0,00 420,00 83 015,30 Verksamhetens nettokostnader 5 703 045,84 0,00 2 400 157,26 8 103 203,10 Avskrivningar (+) 0,00 0,00 0,00 0,00 Skatteintäkter (-) 0,00 0,00 0,00 0,00 108 UH018 Bokslut 2025.xlsx 2 (10) Utskrift: 2026-01-21 12:42 Resultaträkning Period: 202501-202513 Förvaltning: 108 Kr Externt Stadens bolag Internt Totalt Generella stadsbidrag och utjämning (-) 0,00 0,00 0,00 0,00 Verksamhetens resultat 5 703 045,84 0,00 2 400 157,26 8 103 203,10 Finansiella intäkter (-) 0,00 0,00 0,00 0,00 Finansiella kostnader (+) 0,00 0,00 0,00 0,00 Resultat efter finansiella poster 5 703 045,84 0,00 2 400 157,26 8 103 203,10 Extraordinära poster 0,00 0,00 0,00 0,00 Årets resultat 5 703 045,84 0,00 2 400 157,26 8 103 203,10 Ekonomichefens underskrift den ……………………. Handläggarens underskrift den …………………… 108 UH018 Bokslut 2025.xlsx 3 (10) Utskrift: 2026-01-21 12:42 Anläggningsinformation 10 11 12 13 2381-2389 Immateriella Mark, byggnader och Maskiner och inventarier Finansiella Inv.skuld anläggningstillgångar tekniska anläggningar anläggningstillgångar Upplösningar exkl. 117x Förvaltning: 108 Kr Information från Huvudboken IB Anskaffningsvärden 0,00 0,00 0,00 0,00 0,00 Periodens förändring (anskaffning) 0,00 0,00 0,00 0,00 0,00 UB Anskaffningar 0,00 0,00 0,00 0,00 0,00 IB Avskrivningar 0,00 0,00 0,00 0,00 0,00 Periodens förändring (avskrivning) 0,00 0,00 0,00 0,00 0,00 UB Avskrivningar 0,00 0,00 0,00 0,00 0,00 Summa bokfört värde 0,00 0,00 0,00 0,00 0,00 Summa förändring i Huvudbok 0,00 0,00 0,00 0,00 0,00 Information från Anläggningsreskontran Aktivering 0,00 0,00 0,00 0,00 0,00 Tillägg 0,00 0,00 0,00 0,00 0,00 Summa anskaffningar 0,00 0,00 0,00 0,00 0,00 Historiska anläggningar (värdeöverföring) 0,00 0,00 0,00 0,00 0,00 Automatisk avskrivning 0,00 0,00 0,00 0,00 0,00 Nedskrivning 0,00 0,00 0,00 0,00 0,00 Återföring (uppskrivning) 0,00 0,00 0,00 0,00 0,00 Försäljning 0,00 0,00 0,00 0,00 0,00 Utrangering 0,00 0,00 0,00 0,00 0,00 Ändra dimension från 0,00 0,00 0,00 0,00 0,00 Ändra dimension till 0,00 0,00 0,00 0,00 0,00 Omgruppering från 0,00 0,00 0,00 0,00 0,00 Omgruppering till 0,00 0,00 0,00 0,00 0,00 Överförs till, aktiveringstransaktion 0,00 0,00 0,00 0,00 0,00 Överförs från 0,00 0,00 0,00 0,00 0,00 Överförs till 0,00 0,00 0,00 0,00 0,00 Omvärdering 0,00 0,00 0,00 0,00 0,00 Kalkylmässig ränta 0,00 0,00 0,00 0,00 0,00 Manuell avskrivning 0,00 0,00 0,00 0,00 0,00 Reversering 0,00 0,00 0,00 0,00 0,00 BFV-avrundning 0,00 0,00 0,00 0,00 0,00 Summa förändringar i Anläggningsreskontran 0,00 0,00 0,00 0,00 0,00 Diff HB (föränding bokfört värde) och ANL (förändringar) 0,00 0,00 0,00 0,00 0,00 Specifikation nedskrivna anläggningar Summa nedskrivningar 0,00 0,00 0,00 0,00 0,00 Anläggnings- och rörelsekapital Kr, Period: 202501-202513 Förvaltning: 108 Ingående balans anläggnings- och rörelsekapital -46 717,57 Drift Intäkter -15 137,59 Kostnader 8 118 340,69 Summa 8 103 203,10 Investering Inkomster 0,00 Utgifter 0,00 Summa 0,00 Totalt 8 103 203,10 Stadskassans konto Externa inbetalningar 163 526,00 Interna inbetalningar 0,00 Externa utbetalningar -4 088 205,15 Interna utbetalningar -4 080 581,15 Summa -8 005 260,30 Fordran/skuld stadskassan 97 942,80 Årets förändring av resultatfond 0,00 Årets förändring av anläggnings- och rörelsekapital 97 942,80 (motsvarar årets förändring av eget kapital - bokförs konto 8901 & 2021) Utgående balans nämndens anläggnings- och rörelsekapital -144 660,37 Kontokontroller Tips Kr, Period: 202501-202513 Förvaltning: 108 Felsökning Stadkonto Belopp Kontroll konto 49xx 4901 Preliminärt kostnadsförda fakturor 0,00 4904 Preliminärt kostnadsförda differenser 0,00 Drift - SUMMA Konto 49xx 0,00 Investering - SUMMA Konto 49xx 0,00 Kontroll Motpart 9* (förvaltningsinterna motparter) . SUMMA Motpart 9* i BR (1-2) 0,00 SUMMA Motpart 9* i RR (drift) 0,00 SUMMA Motpart 9* i RR (inv) 0,00 Kontroll Motpart 1990 SUMMA Motpart 1990 0,00 Kontroll VT HC & UU SUMMA BR 0,00 SUMMA RR 0,00 Kontroll konto 90xx-98xx 9044 Moms 568 667,10 9052 PO -1 245 147,00 9055 LISA-löner -3 404 101,25 SUMMA Konto 904x och 905x -4 080 581,15 SUMMA Konto 90xx (ej 905x) 0,00 9131 Personalförsäkring 0,00 9181 Ej identifierade inbetalningar 0,00 SUMMA Konto 91xx 0,00 SUMMA Konto 93xx-95xx 0,00 9899 Genomgångskonto kundreskontra 0,00 SUMMA Konto 96xx-98xx 0,00 SUMMA Konto 99xx 0,00 Kontroll konto kontra stadkonto 3-9999 Summa stadkonto 3 924 679,15 Summa konto 3 924 679,15 SUMMA 0,00 Kontroll mot resultatrapport Summa drift 8 103 203,10 Summa drift enligt resultatrapport 8 103 203,10 SUMMA 0,00 Kontroll aktivering & investering Summa investeringsinkomster/utgifter 0,00 Summa aktiverat (789x) 0,00 SUMMA 0,00 Summa investeringar på 8-konto (får ej finnas) 0,00 Kontroll RR, BR och Anl.- & rör.kap Årets resultat enligt resultaträkningen 8 103 203,10 Summa drift enligt anl. & rör.kap 8 103 203,10 SUMMA 0,00 Årets förändring av anläggnings- och rörelsekapital 97 942,80 Summa bokfört på stadkonto 2021, 2023 (motp 2000-8999) 97 942,80 SUMMA 0,00 Tillgångar 406 719,66 Skulder & Eget kapital -406 719,66 SUMMA 0,00 Kontroll blanka koddelar Bokfört utan motpart 0,00 Bokfört utan projekt 0,00 Bokfört utan verksamhet 0,00 Kontroll UB kontra IB Stadkonto UB 202400-202414 IB 202500 15 Kundfordringar 0,00 0,00 16 Diverse kortfristiga fordringar 0,00 0,00 17 Förutbetalda kostnader och upplupna intäkter 172 666,32 172 666,32 SUMMA Tillgångar 172 666,32 172 666,32 201 Eget kapital, ingående värde 458 682,80 46 717,57 202 Årets resultet -411 965,23 0,00 SUMMA Eget kapital 46 717,57 46 717,57 24 Kortfristiga skulder till kreditinstitut och kunder -11 974,64 -11 974,64 25 Leverantörsskulder -143 897,50 -143 897,50 26 Moms och särskilda punktskatter 0,00 0,00 29 Upplupna kostnader och förutbetalda intäkter -63 511,75 -63 511,75 SUMMA Skulder -219 383,89 -219 383,89 --- [Bilaga 2. Resultatrapport - Central uppföljning Drift 300 - Budgetavräkning 2026-01-21 115306.pdf] Översikt År: 2025 | Period: December | Organisation: 108 - Valnämnden | Projekttyp: Drift | Budgetnummer: Exklusive ombudgeteringar | Motpart: 8 - FörvaltningsExtern | Resultatfonder: Exklusive resultatfonder | Enhet: Mnkr Avvikelse VB ack - Utfall Utfall VB ack Jan - Dec Jan - Dec Konto 2025 2025 2025 Intäkter -0.0 0.0 Intäkter -0.0 0.0 Drift & underhåll 8.0 8.1 -0.1 Kostnader 8.0 8.1 -0.1 Netto 8.0 8.1 -0.1 Totalt 8.0 8.1 -0.1 Ursprunglig rapport Resultatrapport - Central uppföljning Drift [300 - Budgetavräkning] - AD73458, 2026-01-21 11:53 1 --- [Bilaga 3. Resultatrapport - Central uppföljning Invest. 2026-01-21 130515.pdf] Översikt År: 2025 | Organisation: 108 - Valnämnden | Konto: Projektkonto | Projekttyp: Investering | Budgetnummer: Exklusive ombudgeteringar | Motpart: 8 - FörvaltningsExtern | Enhet: Mnkr Ingen data att visa Ursprunglig rapport Resultatrapport - Central uppföljning Invest. - AD73458, 2026-01-21 13:05 1 --- [Bilaga 4. Uppföljning av Internkontrollplan 2025.pdf] IInntteerrnnkkoonnttrroollllppllaann -- VVBB 22002255 ((VVaallnnäämmnnddeenn)) PPrroocceessss AArrbbeettssssäätttt SSyysstteemmaattiisskk KKoonnttrroollllaakkttiivviitteett Analys ÅÅttggäärrdd kkoonnttrroollll IIKKPP Oegentligheter Fakturakontroll görs Månadsrapport Fakturakontroll av godkännare och Beskrivning och resultat av Status attestant. Hur dokumenteras kontrollaktivitet: Enligt överenskommelse Mindre Överenskommelse kontrollen? * med Serviceförvaltningen utför de extra avvikelse Ansvarig chef* med I samband med fakturakontroller genom stickprov i Eva Debels serviceförvaltningen månadsrapport Slutdatum nämndens fakturaflöde. Inga allvarliga om 2025-12-31 avvikelser har upptäckts. Ett fåtal stickprovskontroller När utförs kontrollen?* felkontering- och periodiseringsfelaktighet av fakturor. Antalet Månatligen Startdatum har upptäckts och genast rättats till. fakturor som 2025-01-01 kontrolleras eskaleras i samband med val. Systematiskt Säkra meddelanden Utredning om "Säkra Kontroll av e-post informationssäkerhetsarbete meddelanden" ska Beskrivning och resultat av Status användas i kontrollaktivitet: I slutet av 2025 har säkra Ingen förvaltningen meddelanden börjat att användas med avvikelse Beskrivning positivt resultat. Kommer att användas Ansvarig chef* Hur dokumenteras Kvartalsvis under valåret 2026 i större utsträckning. Eva Debels kontrollen? * uppföljning Instruktion till anställda Slutdatum 2025-12-31 När utförs kontrollen?* Verksamhetsberättelse Startdatum 2025-01-01 Vilken funktion kontrollerar?* Chef sida 1 av 1 (2026-01-07) --- [Bilaga 5. GDPR Årsrapport År 2025.pdf] Bilaga 9 GDPR årsrapport År 2025 Valnämnden GDPR årsrapport Januari 2025 Dnr: YYYY Utgivningsdatum: 202X-MM-DD Kontaktperson: Namn Namn Sammanfattning GDPR, eller dataskyddsförordningen, syftar till att skydda individers grundläggande rättigheter och friheter, med särskilt fokus på rätten till skydd av personuppgifter. I Stockholms stad är varje nämnd och styrelse ansvarig för personuppgiftsbehandlingar som sker i den egna verksamheten. Ett dataskyddsombud har i uppdrag att oberoende granska verksamhetens efterlevnad av dataskyddsförordningen. I denna rapport redovisar dataskyddsombudet årets granskning av Valnämndens dataskyddsarbete samt lämnar rekommendationer på åtgärder för att ytterligare stärka dataskyddet. Under tillsynsåret har Valnämndens verksamhet varit på en förhållandevis nedskalad nivå, med anledning av den karaktär på uppgifter som åligger nämnden mellan valår. DSO konstaterar att verksamhetens dataskyddsarbete håller en hög nivå och att majoriteten av förra tillsynsårets föreslagna åtgärder har åtgärdats på ett lämpligt sätt. DSO har granskat de sex obligatoriska granskningsområdena, samt utfört en granskning utöver de obligatoriska. Inledningsvis konstaterar DSO att verksamheten i stor utsträckning uppfyller de krav som ställs enligt dataskyddsförordningen och Stockholms stads interna målsättningar. Nedan sammanfattas ändå de områden där vissa brister förekommer. De tre största riskerna enligt dataskyddsombudets bedömning Fråga/kontroll Risk Rekommenderad åtgärd/åtgärder Finns det ändamålsenliga Det saknas dokumenterade rutiner för detta. rutiner för att vid nya/förändrade personuppgiftsbehandlingar genomföra tröskelanalys? Har personuppgiftsansvarig Verksamhetens bedömning skiljer sig från vad som identifierat de framgår av det underlag som DSO tagit del av. tredjelandsöverföringar som Kartläggningen behöver givet detta ses över. utförs? Finns det ändamålsenliga DSO har inte tagit del av mallar eller rutiner för mallar samt rutiner för detta. besvarande av begäran från den registrerade? Innehållsförteckning Sammanfattning .......................................................................................1 Inledning ....................................................................................................4 Dataskyddsombudets uppgift .....................................................................4 Granskning av dataskyddsarbetet ..........................................................5 Kontroll av obligatoriska områden ..............................................................5 Resultatsammanställning och centrala iakttagelser inom dataskyddsarbetet 6 Säkerhet i samband med behandlingen .....................................................8 Konsekvensbedömning avseende dataskydd ..........................................10 Den registrerades rättigheter ....................................................................12 Personuppgiftsincidenter ..........................................................................13 Överföring till tredje land ...........................................................................14 Bilagor .....................................................................................................15 Bilaga 1 - Detaljerad redovisning av dataskyddsombudets granskning ...16 Bilaga 2 – Andra genomförda granskningar och omvärldsbevakning ......28 Inledning GDPR, eller dataskyddsförordningen, syftar till att skydda individers grundläggande rättigheter och friheter, med särskilt fokus på rätten till skydd av personuppgifter. Dataskyddsreglerna (kallas fortsättningsvis GDPR) sätter tydliga ramar för hur personuppgifter får behandlas för att minimera risken för skada och säkerställa att hanteringen sker ansvarsfullt och rättvist. GDPR har sin grund i de mänskliga rättigheterna, där varje individ har rätt till respekt för sitt privat- och familjeliv samt skydd av sina personuppgifter. I Stockholms stad är varje nämnd och styrelse ansvarig för personuppgiftsbehandlingar som sker i den egna verksamheten. Dataskyddsombudets uppgift Varje personuppgiftsansvarig (nämnd eller styrelse) ska utse ett dataskyddsombud. Dataskyddsombudets uppgifter framgår direkt av lagstiftningen. Ombudets roll är att kontrollera att GDPR och kompletterande regelverk följs inom organisationen. Det innebär bland annat att ge råd, rekommendationer och informera om frågor som rör behandlingar av personuppgifter. Dataskyddsombudet har även i uppdrag att oberoende granska verksamheternas arbete med dataskyddsfrågor för att säkerställa att dataskyddslagstiftningen efterlevs. DSO ska rapportera direkt till högsta förvaltnings-/bolagsnivå. I Stockholms stad innebär det att dataskyddsombudet rapporterar till nämnder och styrelser. Dataskyddsombudet lämnar årligen en rapport om verksamhetens dataskyddsarbete till varje nämnd och styrelse. Genom rapporten kan nämnd och styrelse ta emot de råd och rekommendationer som dataskyddsombudet lämnar. Årsrapporten syftar till att nämnd/styrelse ska kunna fatta beslut om prioriteringar, resurser och initiativ framåt. Årsrapporten är ett medel för nämnds/styrelsens uppföljning och styrning av verksamhetens systematiska integritets- och dataskyddsarbete. Granskning av dataskyddsarbetet Kontroll av obligatoriska områden Dataskyddsombudet har granskat verksamhetens dataskyddsarbete utifrån sex obligatoriska områden. De sex områdena har identifierats genom en analys av kraven i GDPR om hur verksamheter bör arbeta systematiskt med dataskydd. Varje område innehåller ett antal kontrollfrågor som ger en bild av verksamhetens dataskyddsarbete. Dessa områden överensstämmer med de delar som enligt Integritetsskyddsmyndigheten (IMY) utgör grunden för en verksamhets systematiska och rättssäkra hantering av personuppgifter. I rapporten används en riskmodell med fyra nivåer av risk. Modellen hjälper dataskyddsombudet att visa vilken bedömning hen gör av verksamhetens dataskyddsrisker utifrån de iakttagelser som gjorts i granskningen. Risknivå Beskrivning Hög risk Iakttagelsen avser en brist som kan leda till betydande risker för de registrerades rättigheter och friheter. Bristen kräver omgående åtgärd och korrigering. Medelhög risk Iakttagelsen avser en brist som kan leda till risker för de registrerades rättigheter och friheter. Bristen bör åtgärdas skyndsamt, men kräver inte omedelbar korrigering. Låg risk Iakttagelsen avser en brist som kan leda till mindre risker för de registrerades rättigheter och friheter. Bristen bör åtgärdas, men kräver inte omedelbar korrigering. Inget att anmärka Dataskyddsombudet har inga brister att rapportera avseende denna del. Notera att risken för att tilldelas en sanktion vid tillsyn är större desto högre risken är. Resultatsammanställning och centrala iakttagelser inom dataskyddsarbetet I detta avsnitt presenteras en sammanställning av den bedömda risknivån för verksamhetens dataskyddsarbete, grundat på kontrollfrågorna inom de sex obligatoriska områdena. Vidare redovisas dataskyddsombudets centrala iakttagelser, inklusive områden där verksamheten uppvisar goda resultat och bör upprätthålla sitt arbete, samt identifierade brister som kan utgöra dataskyddsrisker. Avsnittet innehåller även dataskyddsombudets rekommenderade åtgärder för att hantera dessa risker och stärka dataskyddsarbetet. En fullständig redovisning av dataskyddsombudets underlag och resultat från granskningen av de sex obligatoriska områdena finns att läsa i bilaga 1. Bilagan innehåller även en beskrivning av syftet och bakgrunden för varje område. Register över personuppgiftsbehandlingar Sammanfattning DSO konstaterar att registerförteckningen är mer behandlingsorienterad än systemorienterad och att det talar för en god fullständighet. DSO konstaterar att verksamhetens samtliga personuppgiftsbehandlingar så vitt vi kunnat bedöma ingår i registerförteckningen. Det finns definitivt en sådan ambition i verksamheten. Registerförteckningen har tagits fram i samråd med DSO. DSO konstaterade vid tillsynen 2021 att verksamheten saknade nedtecknade rutiner för arbetet med registerförteckningen. På grund av Valnämndens periodiska arbetssätt bedömer DSO att en utförlig nedtecknad rutin inte är nödvändig med beaktande av verksamhetens omfång, utan att det är tillräckligt att nämnden arbetar med registerförteckningen utifrån det systematiska kvalitetsarbetets årshjul samt att en översyn görs två gånger per år. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Antal behandlingar som är 36 stycken. registrerade? Har verksamheten Ja. ändamålsenliga rutiner för att Nämnden arbetar utifrån ett årshjul och registrera nya/förändrade kontrollerar behovet av registreringar och behandlingar? uppdateringar två gånger per år. Registreras/uppdateras Ja. behandlingar i den omfattning Med hänsyn till verksamhetens storlek som krävs för att registret ska bedömer DSO det som sannolikt att innehålla de behandlingar som samtliga behandlingar fångas upp med de personuppgiftsansvarig utför? nuvarande rutinerna för registrering och uppdatering. Har de uppgifter som är Ja. obligatoriska enligt artikel 30 Behandlingarna i registerförteckningen besvarats kopplat till de innehåller de uppgifter som är obligatoriska registrerade behandlingarna? enligt artikel 30 GDPR. Säkerhet i samband med behandlingen Sammanfattning DSO konstaterar att med beaktande av Valnämndens periodiska arbetssätt så är behovet av unik upprättad styrande dokumentation förhållandevis lågt, inte minst mellan valåren. Valnämnden tar dock del av och följer de av stadsledningskontorets skapade dokumenten och rutinerna inom dataskyddsområdet. I viss utsträckning anpassas dessa utifrån nämndens verksamhet. Valnämnden har under tillsynsåret antagit en rutin för användningen av tjänsten Säkra meddelanden. DSO bedömer att de skriftliga styrande dokumenten och rutinerna är tillräckligt implementerade och väl kända inom organisationen. De anställda uppger att de har god kännedom om styrdokumenten samt att dessa efterlevs i praktiken. Samtliga nyanställda får information om styrdokumenten och var dessa kan hittas. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Efter ett antal stickprov på Ja. genomförda Valnämnden har endast genomfört en informationsklassningar, informationsklassning, vilken avser systemet bedömer DSO att resultatet i Kaskelot. I Kaskelot behandlas inga känsliga genomförda personuppgifter, däremot behandlas informationsklassningar i integritetskänsliga uppgifter. Givet detta tillräcklig utsträckning tar hänsyn bedömer DSO att tillräcklig hänsyn tagits till till olika kategorier av de olika kategorierna av personuppgifter. personuppgifter? Avseende de styrande dokument Ja. och rutiner om dataskydd (som Valnämnden tar del och följer de av finns skriftligt), bedömer DSO att Stadsledningskontorets skapade dokument det finns tillräckligt mycket och rutiner inom dataskyddsområdet. I viss reglerat och tillräckligt stöd? utsträckning anpassas dessa utifrån nämndens verksamhet. Avseende de skriftligt styrande Ja. dokument och rutiner som finns, DSO bedömer att de skriftliga styrande bedömer DSO att de är dokumenten och rutinerna är tillräckligt tillräckligt implementerade och implementerade och väl kända inom kända? organisationen. DSO har fått information om att de anställda har god kännedom om styrdokumenten samt att dessa efterlevs i praktiken. Samtliga nyanställda får information om styrdokumenten och var dessa finns. Konsekvensbedömning avseende dataskydd Sammanfattning Verksamheten har kunskap om vad en konsekvensbedömning är och när den ska göras. Verksamheten har gjort en kartläggning över aktuella personuppgiftsbehandlingar och vid inventering har inga behandlingar hittills bedömts som högriskbehandlingar. Verksamheten genomför tröskelanalyser men dokumenterar inte dessa. DSO rekommenderar att verksamheten dokumenterar sina tröskelanalyser för att säkerställa att principen om ansvarsskyldighet uppfylls. Enligt principen är det inte tillräckligt att följa GDPR, man behöver även kunna visa att man följer GDPR, ofta genom dokumentation. Det saknas rutiner för att vid nya eller förändrade personuppgiftsbehandlingar genomföra tröskelanalyser, det finns dock ett inarbetat arbetssätt för att hantera detta. Med hänsyn till verksamhetens storlek bedömer DSO att det är osannolikt att det uppstår högriskbehandlingar som inte fångas upp av de som är ansvariga för arbetet med konsekvensbedömningar. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Finns det ändamålsenliga rutiner Det saknas dokumenterade rutiner för detta. för att vid nya/förändrade personuppgiftsbehandlingar genomföra tröskelanalys? Genomförs tröskelanalyser vid Ja, dessa dokumenteras dock inte. nya/förändrade personuppgiftsbehandlingar? Finns det en ändamålsenlig mall Ja, det finns utpekade ansvariga för samt rutiner för genomförande genomförandet av konsekvensbedömningar av konsekvensbedömning och verksamheten har tillgång till stadens avseende dataskydd? mallar och metodstöd för genomförande av konsekvensbedömning. Genomförs Inte aktuellt i nuläget. konsekvensbedömning avseende dataskydd i de fall det krävs? Har personuppgiftsansvarig Ja, hittills har Valnämnden inte identifierat identifierat samtliga några högriskbehandlingar i sin verksamhet. personuppgiftsbehandlingar som kräver att en konsekvensbedömning avseende dataskydd görs samt genomfört detta? Den registrerades rättigheter Sammanfattning Under 2025 har nämnden tagit emot fyra stycken begäranden om utövande av registrerades rättigheter. Samtliga begäranden avsåg registerutdrag och samtliga registrerade fick svar inom föreskriven tidsfrist. DSO bedömer därmed att verksamheten har goda förutsättningar för att hantera registrerades rättigheter inom föreskriven tid. DSO har inte fått information om att det finns dokumenterade mallar eller rutiner för besvarande av begäran från den registrerade. DSO rekommenderar att verksamheten undersöker behovet av att utarbeta rutiner för detta, alternativt att verksamheten undersöker möjligheten att använda befintliga rutiner från staden. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Finns det ändamålsenliga mallar DSO har inte fått information om att det samt rutiner för besvarande av finns dokumenterade mallar eller rutiner begäran från den registrerade? för detta. Hur många begäranden (om Fyra stycken, samtliga avsåg begäranden registerutdrag, begränsning, om registerutdrag. radering etc.) har under året inkommit från de registrerade? Hur många av de inkomna Samtliga. begärandena har besvarats av verksamheten inom en månad? Baserat på ett antal stickprov Ja, DSO har dock bara granskat svar till de genomförda av registrerade för fall där de registrerades dataskyddsombudet, uppfyller uppgifter inte förekom hos nämnden. svaren till de registrerade Notera att det finns formkrav för vad ett lagkraven? registerutdrag ska innehålla när det förekommer uppgifter om den registrerade hos nämnden. Personuppgiftsincidenter Sammanfattning Under tillsynsåret har endast en personuppgiftsincident inträffat, vilken inom 72 h anmäldes till tillsynsmyndigheten. Verksamheten uppger att det finns kunskap om när en incident ska anmälas till IMY samt när de registrerade ska informeras om en incident. Detta säkerställs bland annat genom utbildningar, särskilt till nyanställda. DSO har granskat rutinen för hantering av informationssäkerhetsincidenter, som även behandlar personuppgiftsincidenter. DSO rekommenderar att verksamheten kompletterar rutinen med information om när de registrerade ska informeras om en personuppgiftsincident. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Hur säkerställs det att samtliga Detta säkerställs genom utbildning, medarbetare har den kunskap dokumenterade rutiner och kontinuerliga som behövs för att veta hur denne påminnelser. ska agera vid en personuppgiftsincident? Finns det ändamålsenliga rutiner Ja, huvudsakligen, för att hantera händelser som kan DSO rekommenderar att verksamheten utgöra potentiella kompletterar rutinen för hantering av personuppgiftsincidenter? Följs informationssäkerhetsincidenter med dessa? information om när de registrerade ska informeras om en personuppgiftsincident. Hur många En incident har dokumenterats under året. personuppgiftsincidenter har dokumenterats under året? Hur många En incident har anmälts till IMY under året. personuppgiftsincidenter har anmälts till IMY under året? Överföring till tredje land Sammanfattning Valnämnden har kunskap om vad en tredjelandsöverföring är och vad detta innebär. Verksamheten har gjort en kartläggning över aktuella personuppgiftsbehandlingar och har bedömt att inga tredjelandsöverföringar sker. DSO har dock noterat att i PUB-avtalet med Precio-Fishbone anges att tredjelandsöverföringar sker med stöd av DPF. DSO uppmanar givet detta Valnämnden att se över kartläggningen av tredjelandsöverföringar. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Har personuppgiftsansvarig Verksamhetens bedömning skiljer sig från identifierat de vad som framgår av det underlag som DSO tredjelandsöverföringar som utförs? tagit del av. Kartläggningen behöver givet detta ses över. Tillämpar personuppgiftsansvarig Inte aktuellt i nuläget. ett överföringsverktyg på de tredjelandsöverföringar som utförs? Har personuppgiftsansvarig gjort en Inte aktuellt i nuläget. nödvändig bedömning, ”Transfer Impact Assessment” (TIA), avseende tredjelandsöverföringar? Bilagor Bilaga 1: Detaljerad redovisning av dataskyddsombudets granskning Bilaga 2: Andra genomförda granskningar och omvärldsbevakning Bilaga 1 - Detaljerad redovisning av dataskyddsombudets granskning Denna bilaga innehåller en beskrivning av syftet med respektive obligatoriskt område samt en mer detaljerad redovisning av dataskyddsombudets granskning och slutsatser. Här framgår vilka iakttagelser som gjorts och vilken information som samlats in under granskningsarbetet av de sex obligatoriska rapporteringsområdena. För varje område redovisas de underlag som har använts, de iakttagelser som har gjorts samt hur dessa har utgjort grunden för dataskyddsombudets riskbedömning och rekommenderade åtgärder. 1. Register över personuppgiftsbehandlingar Syftet med området I GDPR framkommer det att personuppgiftsansvariga (och personuppgiftsbiträden) ska föra ett register över sina personuppgiftsbehandlingar. Registret brukar benämnas ”behandlingsregister” eller ”registerförteckning”. Registret ska finnas tillgängligt i elektronisk form och ska omfatta samtliga personuppgiftsbehandlingar som personuppgiftsansvarig utför. Det ska hållas uppdaterat vilket innebär att det ska uppdateras vid nya eller förändrade personuppgiftsbehandlingar. Syftet med detta rapporteringsområde är att rapportera om verksamheten har ändamålsenliga rutiner som möjliggör att nya/förändrade personuppgiftsbehandlingar registreras, huruvida personuppgiftsbehandlingar registreras/uppdateras såsom det krävs samt huruvida de uppgifter som är obligatoriska har besvarats kopplat till de registrerade personuppgiftsbehandlingarna. Kontroller och iakttagelser gjord av dataskyddsombudet Antal behandlingar som är registrerade? 36 stycken behandlingar är registrerade i den senaste versionen av registerförteckningen. Har verksamheten ändamålsenliga rutiner som möjliggör att nya/förändrade behandlingar registreras? Ja. Med hänsyn till nämndens periodiska arbetssätt bedömer DSO det som sannolikt att samtliga behandlingar fångas upp med de nuvarande rutinerna för registrering och uppdatering. Registreras/uppdateras behandlingar i den omfattning som krävs för att registret ska innehålla de behandlingar som personuppgiftsansvarig utför? Ja. Nämnden arbetar utifrån ett årshjul och kontrollerar behovet av registreringar och uppdateringar två gånger per år. Vid behov uppdaterar nämnden registerförteckningen. Har de uppgifter som är obligatoriska enligt artikel 30 besvarats kopplat till de registrerade behandlingarna? Ja. Behandlingarna i registerförteckningen innehåller de uppgifter som är obligatoriska enligt artikel 30 GDPR. Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Föregående tillsyn rekommenderade DSO att verksamheten skulle komplettera registerförteckningen med namn och kontaktuppgifter för den personuppgiftsansvariga, den personuppgiftsansvarigas företrädare samt dataskyddsombudet. I Valnämndens senaste version av registerförteckningen har detta åtgärdats. Dataskyddsombudets bedömning samt rekommendationer DSO noterar att registerförteckningen är mer behandlingsorienterad än systemorienterad och att det talar för en god fullständighet. DSO konstaterar att verksamhetens samtliga personuppgiftsbehandlingar tycks ingå i registerförteckningen. Det finns definitivt en sådan ambition i verksamheten. Registerförteckningen har tagits fram i samråd med DSO. DSO konstaterade vid tillsynen 2021 att verksamheten saknade nedtecknade rutiner för arbetet med registerförteckningen. På grund av Valnämndens periodiska arbetssätt bedömer DSO att en utförlig nedtecknad rutin inte är nödvändig med beaktande av verksamhetens omfång, utan att det är tillräckligt att nämnden arbetar med registerförteckningen utifrån det systematiska kvalitetsarbetets årshjul samt att en översyn görs två gånger per år. DSO rekommenderar att verksamheten fortsätter arbeta löpande med registerförteckningen utifrån att nya behandlingar förs in eller att gällande behandlingar förändras. Vidare bör nämnden fortsätta granska registerförteckningen årsvis för att säkerställa att den återspeglar nämndens aktuella personuppgiftsbehandlingar. 2. Säkerhet i samband med behandlingen Bakgrund och syfte Personuppgiftsansvarig ska tillse att personuppgifter skyddas med lämpliga säkerhetsåtgärder, detta för att till exempel undvika att obehöriga får tillgång till uppgifterna eller att uppgifterna förloras. Personuppgiftsansvarig behöver bedöma vilka tekniska- och organisatoriska säkerhetsåtgärder som ska vidtas för de behandlingar som utförs. Till tekniska säkerhetsåtgärder räknas till exempel kryptering, pseudonymisering och säkerhetskopiering. Organisatoriska säkerhetsåtgärder avser till exempel interna riktlinjer och rutiner. För att skapa förutsättningar för att skydda information (inklusive personuppgifter) med rätt slags skydd ska verksamheten informationsklassa sin information. Stadens riktlinjer för informationssäkerhet föreskriver att alla stadens informationstillgångar ska vara klassade med stöd av SKR:s verktyg KLASSA. Ansvaret för att informationsklassning genomförs ligger på den del av verksamheten som är informationsägare. Genom riskanalyser identifierar informationsägaren risker och väljer åtgärder för att minska riskerna. Risker i samband med personuppgiftsbehandling är en typ av risk som informationsägaren behöver omhänderta i riskanalyser. Att det finns skriftliga, beslutade och kommunicerade styrdokument samt kända rutiner medför att medarbetarna vet hur de ska agera avseende frågor som rör dataskydd. Den personuppgiftsansvariga måste kunna visa hur GDPR efterlevs och att det finns styrdokument och rutiner är en viktig del i detta. Syftet med detta rapporteringsområde är därmed att rapportera huruvida DSO bedömer att det tas hänsyn till risker för den registrerade och om dessa beaktas i tillräcklig mån i genomförda informationsklassningar och riskanalyser. Vidare bedömer DSO huruvida det finns tillräckligt mycket reglerat om dataskydd i styrdokument och rutiner samt om dessa är tillräckligt implementerade och kända. Kontroller och iakttagelser gjord av dataskyddsombudet Efter ett antal stickprov på genomförda informationsklassningar, bedömer DSO att resultatet i genomförda informationsklassningar i tillräcklig utsträckning tar hänsyn till olika kategorier av personuppgifter? Ja. Valnämnden har endast genomfört en informationsklassning, vilken avser systemet Kaskelot. I Kaskelot behandlas inga känsliga personuppgifter, däremot behandlas integritetskänsliga uppgifter. Givet detta bedömer DSO att tillräcklig hänsyn tagits till de olika kategorierna av personuppgifter. Avseende de skriftligt styrande dokument och rutiner som finns, bedömer DSO att det finns tillräckligt mycket reglerat och tillräckligt stöd? Ja. Valnämnden tar del och följer de av Stadsledningskontorets skapade dokument och rutiner inom dataskyddsområdet. I viss utsträckning anpassas dessa utifrån nämndens verksamhet. Avseende de skriftligt styrande dokument och rutiner som finns, bedömer DSO att de är tillräckligt implementerade och kända? Ja. DSO har fått information om att de anställda har god kännedom om styrdokumenten samt att dessa efterlevs i praktiken. Samtliga nyanställda får information om styrdokumenten och var dessa kan hittas. DSO bedömer att de skriftliga styrande dokumenten och rutinerna är tillräckligt implementerade och väl kända inom organisationen. Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Föregående år rekommenderade DSO att nämnden skulle översända det förnyade PUB-avtalet med Precio Fishbone och den nya klassningen av Kaskelot för granskning. Valnämnden har översänt dokumentationen som har granskats av DSO. DSO:s bedömning är att dokumentationen håller lämplig kvalité. Dataskyddsombudets bedömning samt rekommendationer DSO konstaterar att med beaktande av Valnämndens periodiska arbetssätt så är behovet av unik upprättad styrande dokumentation förhållandevis lågt, inte minst mellan valåren. Valnämnden tar dock del av och följer de av stadsledningskontorets skapade dokumenten och rutinerna inom dataskyddsområdet. I viss utsträckning anpassas dessa utifrån nämndens verksamhet. Valnämnden har under tillsynsåret antagit en rutin för användningen av tjänsten Säkra meddelanden. Framöver rekommenderar DSO att verksamheten successivt upprättar eller kompletterar existerande, centralt framtagna rutiner och riktlinjer med information som är av särskilt intresse för Valnämnden, i de fall ett sådant behov skulle uppstå. I övrigt bedömer DSO att med beaktande av Valnämndens periodiska arbetssätt så är verksamhetens arbete med styrande dokumentation på en lämplig nivå. 3. Konsekvensbedömning avseende dataskydd Bakgrund och syfte En konsekvensbedömning avseende dataskydd krävs när personuppgiftsansvarig planerar att inleda en personuppgiftsbehandling som innebär hög risk för de registrerade. Huruvida en behandling innebär hög risk eller inte behöver personuppgiftsansvarig avgöra genom att genomföra en s.k. tröskelanalys. En konsekvensbedömning ska vara genomförd för samtliga behandlingar som innebär hög risk, vilket innebär att personuppgiftsansvarig även behöver kontrollera huruvida denne utför befintliga behandlingar som innebär hög risk. Om högriskbehandlingar utfös för vilka en konsekvensbedömning inte har gjorts, behöver personuppgiftsansvarig genomföra en sådan. Genom att genomföra en konsekvensbedömning kan personuppgiftsansvarig identifiera risker med en personuppgiftsbehandling, hantera riskerna genom åtgärder och rutiner samt påvisa ansvarsskyldighet. Genom konsekvensbedömningar kan risker identifieras och förebyggas. Syftet med detta rapporteringsområde är att rapportera huruvida verksamheten har ändamålsenliga rutiner som möjliggör att tröskelanalyser och konsekvensbedömningar genomförs, huruvida sådana genomförs när det krävs samt huruvida personuppgiftsansvarig har genomfört konsekvensbedömningar för de behandlingar som kräver det. Kontroller och iakttagelser gjord av dataskyddsombudet Finns det ändamålsenliga rutiner för att vid nya/förändrade personuppgiftsbehandlingar genomföra tröskelanalys? Det saknas dokumenterade rutiner för att vid nya eller förändrade personuppgiftsbehandlingar genomföra tröskelanalys. Genomförs tröskelanalyser vid nya/förändrade personuppgiftsbehandlingar? Ja, däremot dokumenteras inte tröskelanalyserna. Finns det en ändamålsenlig mall samt rutiner för genomförande av konsekvensbedömning avseende dataskydd? Ja, det finns utpekade ansvariga för genomförandet av konsekvensbedömningar och verksamheten har tillgång till stadens mallar och metodstöd för genomförande av konsekvensbedömning. Genomförs konsekvensbedömning avseende dataskydd i de fall det krävs? Hittills har Valnämnden inte identifierat några högriskbehandlingar i sin verksamhet och därmed har inga konsekvensbedömningar genomförts. Har personuppgiftsansvarig identifierat samtliga personuppgiftsbehandlingar som kräver att en konsekvensbedömning avseende dataskydd görs samt genomfört detta? Ja, hittills har Valnämnden inte identifierat några högriskbehandlingar i sin verksamhet. Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Föregående tillsyn gav DSO rådet att verksamheten skulle värdera och identifiera de personuppgiftsbehandlingar som kan tänkas utgöra hög risk och kräva konsekvensbedömning, särskilt vad gällde tjänsten Säkra meddelanden. Verksamheten har gjort en kartläggning över aktuella personuppgiftsbehandlingar och vid inventering har inga behandlingar hittills bedömts som högriskbehandlingar. Dataskyddsombudets bedömning samt rekommendationer Valnämnden har kunskap om vad en konsekvensbedömning är och när den ska göras. Verksamheten genomför tröskelanalyser men dokumenterar inte dessa. DSO rekommenderar att verksamheten dokumenterar tröskelanalyser för att säkerställa att principen om ansvarsskyldighet uppfylls. Enligt principen är det inte tillräckligt att följa GDPR, man behöver även kunna visa att man följer GDPR, ofta genom dokumentation. Det saknas rutiner för att vid nya eller förändrade personuppgiftsbehandlingar genomföra tröskelanalyser, det finns dock ett inarbetat arbetssätt för att hantera detta. Med hänsyn till verksamhetens storlek bedömer DSO att det är osannolikt att det uppstår högriskbehandlingar som inte fångas upp av de som är ansvariga för arbetet med konsekvensbedömningar. DSO ger rådet att Valnämnden fortsättningsvis kontinuerligt värderar och identifierar vilka av nämndens personuppgiftsbehandlingar som kan antas utgöra hög risk och kräva konsekvensbedömning. 4. Den registrerades rättigheter Bakgrund och syfte Den registrerade har ett antal rättigheter enligt GDPR. Den registrerade kan bland annat begära tillgång (registerutdrag), rättelse eller radering. Den som är personuppgiftsansvarig har att tillmötesgå en begäran enligt de krav som finns. Syftet med detta rapporteringsområde är att kontrollera huruvida det finns ändamålsenliga mallar samt rutiner för besvarande av rättighetsbegäran, huruvida inkomna begäranden har hanterats inom den tidsram som finns att förhålla sig till samt huruvida svaren till de registrerade, baserat på ett antal stickprov, uppfyller lagkraven. Kontroller och iakttagelser gjord av dataskyddsombudet Finns det ändamålsenliga mallar samt rutiner för besvarande av begäran från den registrerade? DSO har inte fått information om att det finns dokumenterade mallar eller rutiner för detta. Hur många begäranden (om registerutdrag, begränsning, radering etc.) har under året inkommit från de registrerade? Under 2025 har nämnden tagit emot fyra stycken begäranden om utövande av registrerades rättigheter, samtliga avsåg registerutdrag. Hur många av de inkomna begärandena har besvarats av verksamheten inom en månad? Samtliga begäranden har besvarats inom en månad. Baserat på ett antal stickprov genomförda av dataskyddsombudet, uppfyller svaren till de registrerade lagkraven? Ja. Däremot har verksamheten endast tagit emot begäranden om registerutdrag från personer vars personuppgifter inte har behandlats av nämnden. DSO har därför endast granskat svar som innehåller information om att den registrerades personuppgifter inte förekommer hos nämnden. Notera att det finns formkrav för vad ett registerutdrag ska innehålla när det förekommer uppgifter om den registrerade hos nämnden. Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Eftersom ingen begäran om att utöva de registrerades rättigheter inkom under föregående tillsynsår kunde inte DSO fullt ut uttala sig om Valnämndens förmåga att hantera dessa. Verksamheten hade dock tidigare år visat god förmåga att kunna hantera dessa inom föreskriven tidsfrist. Dataskyddsombudets bedömning samt rekommendationer DSO har inte fått information om att det finns dokumenterade mallar eller rutiner för besvarande av begäran från den registrerade. DSO rekommenderar att verksamheten undersöker behovet av att utarbeta rutiner för detta, alternativt att verksamheten undersöker möjligheten att anta befintliga rutiner från staden. I övrigt uppmuntrar DSO verksamheten att fortsättningsvis tillmötesgå begäran om att utöva registrerades rättigheter på en sådan god nivå som de hittills har gjort. 5. Personuppgiftsincidenter Bakgrund och syfte Med begreppet personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om en inträffad personuppgiftsincident medför en risk för fysiska personers rättigheter och friheter ska den anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från upptäckt. Om personuppgiftsincidenten sannolikt leder till hög risk för de registrerade måste de informeras utan onödigt dröjsmål. Om en personuppgiftsincident inte bedöms vara anmälningspliktig ska den dokumenteras. Syftet med detta rapporteringsområde är att kontrollera huruvida det säkerställs att samtliga medarbetare har den kunskap som krävs om personuppgiftsincidenter, huruvida det finns ändamålsenliga rutiner för att hantera händelser som kan utgöra personuppgiftsincidenter och huruvida dessa rutiner följs. Kontroller och iakttagelser gjord av dataskyddsombudet Hur säkerställs det att samtliga medarbetare har den kunskap som behövs för att veta hur denne ska agera vid en personuppgiftsincident? Detta säkerställs genom dokumenterade rutiner och återkommande utbildningar. Samtliga nyanställda genomför utbildning inom området. Finns det ändamålsenliga rutiner för att hantera händelser som kan utgöra potentiella personuppgiftsincidenter? Följs dessa? DSO har granskat rutinen för hantering av informationssäkerhetsincidenter, som även behandlar personuppgiftsincidenter. Rutinen är tydlig och efterlevs i praktiken. DSO rekommenderar att verksamheten kompletterar rutinen med information om när de registrerade ska informeras om en personuppgiftsincident. Hur många personuppgiftsincidenter har dokumenterats under året? En personuppgiftsincident har dokumenterats under året. Hur många personuppgiftsincidenter har anmälts till IMY under året? En personuppgiftsincident har anmälts till IMY under året. Anmälan gjordes inom 72 h från upptäckt. Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Föregående tillsynsår rekommenderade DSO att Valnämnden skulle komplettera rutinen för hantering av informationssäkerhetsincidenter med information om när de registrerade ska informeras om en personuppgiftsincident. Sedan föregående tillsynsår har denna komplettering införts i den lokala anvisningen för informationssäkerhet. DSO rekommenderar att informationen även införs i rutinen för hantering av informationssäkerhetsincidenter, för att säkerställa att rutinen innehåller fullständig information om hur personuppgiftsincidenter ska hanteras. Dataskyddsombudets bedömning samt rekommendationer DSO rekommenderar att rutinen för hantering av informationssäkerhetsincidenter kompletteras enligt ovan. I övrigt uppmuntrar DSO Valnämnden att bibehålla den interna kunskapen om personuppgiftsincidenter genom kontinuerliga ut- och fortbildningar. 6. Överföring till tredje land Bakgrund och syfte För att säkerställa att den nivå av skydd för personuppgifter som ställs i GDPR inte undergrävs får överföringar av personuppgifter till länder utanför EU/EES (tredje land) endast ske under särskilda förutsättningar. Det innebär att sådan överföring måste stödjas på antingen ett beslut från EU-kommissionen om att landet ifråga upprätthåller en adekvat skyddsnivå, att överföringen omfattas av en lämplig skyddsåtgärd eller i särskilda undantagsfall. Vidare behöver även kompletterade skyddsåtgärder, utöver de lämpliga skyddsåtgärderna, vidtas i vissa fall.1 Syftet med detta rapporteringsområde är att rapportera huruvida personuppgiftsansvarig har identifierat de tredjelandsöverföringar som utförs, huruvida personuppgiftsansvarig tillämpar överföringsverktyg på de tredjelandsöverföringar som utförs och om nödvändiga bedömningar har gjorts avseende tredjelandsöverföringarna. Kontroller och iakttagelser gjord av dataskyddsombudet Har personuppgiftsansvarig identifierat de tredjelandsöverföringar som utförs? Valnämnden har kunskap om vad en tredjelandsöverföring är och vad detta innebär. Verksamheten har gjort en kartläggning över aktuella personuppgiftsbehandlingar och har bedömt att inga tredjelandsöverföringar sker. DSO har dock noterat att i PUB-avtalet med Precio-Fishbone anges att tredjelandsöverföringar sker med stöd av DPF. DSO uppmanar givet detta Valnämnden att se över kartläggningen av tredjelandsöverföringar. Tillämpar personuppgiftsansvarig ett överföringsverktyg på de tredjelandsöverföringar som utförs? Sannolikt inte aktuellt i nuläget. Har nödvändig bedömning, ”Transfer Impact Assessment” (TIA), gjorts avseende tredjelandsöverföringarna? Sannolikt inte aktuellt i nuläget. Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Det aktuella rapporteringsområdet granskades inte föregående år. 1 Europeiska dataskyddsstyrelsens (EDPB) Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överenstämmelsen med EU-nivån för skydd av personuppgifter, Version 2.0, Antagna den 18 juni 2021. Dataskyddsombudets bedömning samt rekommendationer DSO rekommenderar att verksamheten ser över sin kartläggning i enlighet med rekommendationen ovan. Därefter bör nämnden fortsätta kartlägga aktuella och nya personuppgiftsbehandlingar för att identifiera eventuella tredjelandsöverföringar. Om tredjelandsöverföringar sker ska dessa ske med stöd av ett överföringsverktyg samt föregås av en TIA. Se även under omvärldsanalys nedan. Bilaga 2 – Andra genomförda granskningar och omvärldsbevakning Andra granskningar som dataskyddsombudet har genomfört under året Genomförda granskningar och deras resultat Det granskande arbetet är en av dataskyddsombudets viktigaste uppgifter. Granskningsområdena har valts utifrån ett riskbaserat synsätt, det vill säga att fokus läggs på områden där verksamhetens mest relevanta risker har identifierats i riskanalysen och i de övriga rapporteringspunkter i årsrapporten som visar på brister. Med anledning av det kommande Riksdags- region- och kommunalvalet 2026, har DSO valt att granska verksamhetens dataskyddsarbete inför den kommande uppskalade verksamheten. DSO har lagt fokus på vilket stöd nyanställda får i dataskyddsfrågor, inbegripet utbildning, lättillgängliga rutiner och riktlinjer samt vilken nivå på generell dataskyddskultur som förekommer i det dagliga arbetet. Resultat Valnämnden tillhandahåller stöd i dataskyddsfrågor till nyanställda på flera olika sätt. Samtliga nyanställda får introduktion och utbildning inom både dataskydd och informationssäkerhet, detta sker genom obligatoriska webbkurser. Ett år efter genomförandet skickas en påminnelse ut om att genomföra kursen igen. Nyanställda informeras om rutiner och riktlinjer och dessa dokument är lättillgängliga för de anställda. Vidare får de nyanställda information om vad en personuppgiftsincident är och hur en sådan ska hanteras. Sammanfattningsvis bedömer DSO att Valnämnden är väl rustade i sitt dataskyddsarbete. Omvärldsbevakning Frågan om s.k. tredjelandsöverföring av personuppgifter till USA har tidigare varit aktuell, inte minst genom de två ”Schrems-domarna” från EU-domstolen där två tidigare adekvansbeslut från EU-kommissionen gentemot USA har upphävts. I juli 2023 fattade EU- kommissionen ett nytt beslut om adekvat skyddsnivå för USA. Beslutet innebär att det i nuläget är möjligt för företag och organisationer, att på ett lagligt sätt överföra alla typer av personuppgifter till företag och organisationer i USA, som är certifierade enligt ett ramverk för dataskydd, ”EU-US Data Privacy Framework” (DPF). Den nuvarande amerikanska administrationen har emellertid vidtagit ett antal åtgärder, bl.a. genom att avskeda majoriteten av ledamöterna i den oberoende styrelse (PCLOB) som skulle övervaka att DPF följs, som föranlett de svenska och norska tillsynsmyndigheterna att komma med uttalanden. IMY påtalar att ifall det finns information som visar att ett adekvat skydd inte längre kan säkerställas kan EU-kommissionen återkalla, ändra eller upphäva ett beslut om adekvat skyddsnivå. Dessutom har EU-domstolen möjlighet att ogiltigförklara ett beslut om adekvat skyddsnivå. Den norska tillsynsmyndigheten Datatilsynet anger i information på sin hemsida att även om vi för närvarande har ett adekvansbeslut som gör att det är tillåtet att överföra personuppgifter till USA, förväntar man sig att adekvansbeslutet förr eller senare kommer att ifrågasättas i EU-domstolen. Man skriver vidare att verksamheter, när de köper amerikanska data-tjänster, behöver vara medvetna om att situationen i USA även har bidragit till osäkerhet. Det är därför viktigt att personuppgiftsansvariga som genomför tredjelandsöverföringar skaffar en exitstrategi för hur man ska agera om det inte längre är tillåtet att överföra personuppgifter till USA på samma sätt som idag. Datatillsynet menar att även användningen av amerikanska molntjänster på europeisk mark skulle påverkas negativt om adekvansbeslutet upphävs.