Bostadsförmedlingen 2025: Fler bostäder, god ekonomi.

[Tjänsteutlåtande Preliminärt årsbokslut och verksamhetsberättelse 2025.pdf] Tjänsteutlåtande Dnr BOST 2026/12 2026-01-20 Sida 1 (2) K1dst1au a2nn rt ige.2s sl5.t klo alSc iuptkorp hidca oksn lhme 6onl@mstockholm.se Handläggare Till Jacob Krokstedt Bostadsförmedlingen i Stockholm AB Telefon: 08-7858849 2026-02-12 Preliminärt årsbokslut och verksamhetsberättelse 2025 Förslag till beslut Styrelsen beslutar att godkänna det preliminära årsbokslutet och verksamhetsberättelsen för 2025, inklusive Dataskyddsombudets årsrapport 2025 och uppföljning av internkontrollplan 2025. Jacob Krokstedt tf VD Ärendet I detta ärende redovisas det preliminära årsbokslutet för Bostadsförmedlingen i Stockholm AB och verksamhetsberättelsen för verksamhetsåret 2025, inklusive Dataskyddsombudets GDPR Årsrapport för 2025 samt uppföljning av 2025 års internkontrollplan. Tjänsteutlåtande Dnr BOST 2026/12 Sida 2 (2) Bilagor 1. Preliminärt årsbokslut och verksamhetsberättelse 2025 2. GDPR Årsrapport 2025 3. Uppföljning av internkontrollplan Bostadsförmedlingen i Stockholm AB Box 7026 121 07 Stockholm-Globen Tel:08-785 88 00 Orgnr:556057-8303 BOSTAD.STOCKHOLM.SE --- [Bilaga 1 - Preliminärt årsbokslut och verksamhetsberättelse 2025.pdf] Sid. 1 (26) 2026-01-29 Utfallsrapport VB 2025 Bostadsförmedlingen i Stockholm AB Stockholms Stadshus AB Org.nr 556415-1727 Postadress Besöksadress Telefon Fax E-post 105 35 STOCKHOLM Stadshuset, 3 tr. 08-508 290 00 08-509 290 80 info@stadshusab.se Sid. 2 (26) Innehållsförteckning Sammanfattande kommentar ......................................................................................................................... 3 Analys av ekonomisk utveckling .................................................................................................................... 4 Resultatsammanställning, investeringar & övrigt .................................................................................. 4 Analys .......................................................................................................................................................... 4 Bedömning av bolagets interna kontroll ....................................................................................................... 6 1. Ett Stockholm som håller samman med en stark och jämlik välfärd i hela staden .............................. 6 1.1 Alla barn och ungdomar ska ges möjlighet till jämlika uppväxtvillkor och trygghet samt en rik fritid .................................................................................................................................................. 6 1.2 Alla barn ska ges likvärdig möjlighet till utveckling och lärande i förskolan och skolan ............ 7 1.3 Stockholms stad ska ge stöd och omsorg där behoven är som störst .............................................. 7 1.4 Stockholm ska vara en bra stad att åldras i - med god omsorg och stor trygghet ......................... 9 1.5 Alla stockholmare ska ha tillgång till ett rikt kultur-, idrotts- och föreningsliv ............................ 9 2. Ett grönt och fossilfritt Stockholm som leder en rättvis klimatomställning ........................................ 10 2.1 Stockholm ska bli klimatpositivt – genom minskade utsläpp och ökad koldioxidlagring .......... 10 2.2 Stockholm ska vara en stad där den biologiska mångfalden ökar ................................................ 11 2.3 Stockholm ska vara en stad där framkomligheten ökar och utsläppen minskar ........................ 11 2.4 Stockholmarnas hälsa ska främjas genom ren luft, rent vatten och giftfria miljöer ................... 11 3. Ett Stockholm med en stabil och hållbar ekonomi med utbildning, jobb och bostäder för alla ........ 11 3.1 Stockholms ekonomi är stark, hållbar och lägger grunden för en jämlik välfärd ...................... 11 3.2 I Stockholm ska alla ges möjlighet till ett eget jobb ........................................................................ 13 3.3 I Stockholm ska alla ha rätt till ett bra boende som de har råd med ............................................ 14 3.4 Medarbetare i Stockholm ska ges goda förutsättningar att göra ett bra jobb ............................. 19 3.5 Hög beredskap och stark rådighet ska råda i alla verksamhetsområden .................................... 22 3.6 Tryggheten ska öka genom förebyggande insatser ......................................................................... 23 3.7 Stockholm ska vara en öppen, jämställd och demokratisk stad som samarbetar internationellt ........................................................................................................................................... 24 Övrigt .............................................................................................................................................................. 26 Bilagor Bilaga 1: Bilaga - Dataskyddsombudets årsrapport 2025 Sid. 3 (26) Sammanfattande kommentar Bostadsförmedlingen har planenligt bidragit till uppfyllelsen av stadens inriktningsmål och mål för respektive verksamhetsområde. Målen för kommunfullmäktiges indikatorer har i huvudsak uppnåtts under året och de i budgeten angivna direktiven och aktiviteterna har genomförts som planerat. Det ekonomiska resultatet efter finansnetto är 13,8 mnkr. Bostadsförmedlingen har medverkat till att uppfylla målet Ett Stockholm som håller samman med en stark och jämlik välfärd i hela staden genom att fortsatt svara för en reguljär bostadsförmedling som förmedlar bostäder utifrån en "rak" kö i en transparent process. Under 2025 förmedlade bolaget 20 861 lägenheter, vilket innebär det högsta antalet förmedlade lägenheter i bostadsförmedlingens historia. Bolaget har även bidragit till i det aktuella inriktningsmålet genom sin förtursverksamhet och att fortsatt säkerställa tillgången till skyddade boenden för våldsutsatta samt säkerställa att de skyddade boenden som idag har lägenheter i stadens bostadsbolag kan byta dessa mot jämförbara lägenheter. Vidare har bolaget medverkat till att infria målet Ett grönt och fossilfritt Stockholm som leder en rättvis klimatomställning och att uppnå målen i Stockholm stads miljöprogram och klimathandlingsplan. Insatserna har bland annat en koppling till programmets mål om en fossilfri och klimatpositiv stad och organisation samt målen om staden ska vara resurssmart och ha frisk luft och en god ljudmiljö. Bolagets kontakter med de bostadssökande sker i allt högre grad digitalt vilket har resulterat i en minskning av pappersanvändningen. Bostadsförmedlingen har också planenligt bidragit till att målet Ett Stockholm med en stabil och hållbar ekonomi med utbildning, jobb och bostäder för alla ska uppfylls. Detta genom att fortsatt tillhandahålla en gemensam marknadsplats för hyresbostäder från såväl kommunala som privata fastighetsägare i Stockholm och i länet i övrigt, Insatser för att öka kännedomen om bolaget och den service som erbjuds har genomförts som avsett. För att öka antalet lägenheter i regionen som förmedlas via Bostadsförmedlingen har det genomförts insatser för att etablera samarbete med flera bostadsbolag. Insatser för att underlätta för ungdomar att komma in på bostadsmarknaden har genomförts, bland annat genom förmedling av ungdoms- och studentlägenheter samt kampanjer för att visa på nyttan av att ställa sig i bostadskön. Bostadsförmedlingen har också bidragit till att tillgodose behovet av övriga kategoribostäder samt till försöks- och träningslägenheter och Bostad Först inom ramen för det bostadssociala uppdraget. Därmed har bolaget medverkat till att skapa bättre levnadsvillkor för personer i behov av samhällets stöd. Insatser har också skett för att äldre och personer med funktionsnedsättningar ska kunna få bra service och finna en bostad som svarar mot deras behov, exempelvis vad gäller tillgänglighet. Bolaget har följt kommunfullmäktiges målsättning om ett Stockholm för alla. Social hållbarhet, jämställdhet och mångfald har värnats genom ett inkluderande och icke-diskriminerande förhållningssätt vad gäller service såväl som i rollen som arbetsgivare. Vidare har bolaget bidragit till att uppfylla målet om Stockholm som en öppen och demokratisk stad med stor delaktighet och inflytande. Detta bland annat genom Stockholmsrummets verksamhet som en mötesplats och utgångspunkt för dialog med invånarna om stadens fysiska utveckling. I övrigt har bolaget medverkat till att uppfylla kommunfullmäktiges mål genom insatser för att behålla, utveckla och rekrytera adekvat kompetens inom organisationen. Ett socialt och organisatoriskt arbetsmiljöarbete har bedrivits med aktiva insatser för att förebygga ohälsa och minska sjukfrånvaron. Bolaget har också bedrivit ett organiserat arbete med att säkerställa informationssäkerheten inom bolaget. Sid. 4 (26) Analys av ekonomisk utveckling Resultatsammanställning, investeringar & övrigt Resultatsammanställning Nyckeltal Utfall Budget VB Prognos Omsättning 153 582 149 340 151 936 Rörelsekostnader -46 081 -46 496 -46 870 Avskrivningar -570 -597 -577 Nedskrivningar och Utrangeringar -885 -885 -885 Personalkostnader -95 496 -103 362 -101 409 Övriga kostnader Finansnetto 3 245 2 000 2 805 Resultat efter finansnetto 13 795 5 000 Investeringar Nyckeltal Utfall Budget VB Prognos Nyproduktion Strategiska investeringar (Ombyggnad) Ersättningsinvesteringar 45 300 300 Summa investeringar 45 300 300 Övrigt Nyckeltal Utfall Antal anställda 126 Balansomslutning 162 016 Analys Intäkter De totala intäkterna, inklusive finansiella intäkter, för perioden januari till december 2025 uppgick till 156 850 tkr vilket är 7 100 tkr mer än motsvarande period föregående år (149 750 tkr) och 5 500 tkr högre än årets budget (151 350 tkr). Av de totala intäkterna utgör 140 400 tkr köavgifter. Ökningen av intäkten från köavgifter i jämförelse med föregående års utfall (133 400 tkr) förklaras i stort av nettotillväxten av antalet registrerade kunder. Ökningen jämfört med årets budget (136 600 tkr) indikerar att denna nettotillväxt utföll mer positivt än den försiktigt lagda budgeten. Intäkten från försäljning av förturstjänster uppgår till 11 000 tkr under 2025 vilket är i linje med budget och föregående år. Intäkten från förmedling av lägenheter till de allmännyttiga bostadsbolagens internbyteskö uppgick till 1 400 tkr per sista december, att jämföra med 1 300 tkr i budget och 1 350 tkr i utfall föregående år. Intäkten för den särskilda förmedlingstyp som Bostadsförmedlingen har i uppdrag att hantera gällande Micasas äldreboenden uppgick till ca 150 tkr, vilket är i enlighet med årets budget och men lägre än utfallet 2024. De finansiella intäkterna består av inlåningsränta från tillgodohavandet på koncernkontot och uppgår per sista december till 3 250 tkr, vilket på grund av det fortsatt höga ränteläget innebär en ökning jämfört med både budget (2 000 tkr) och utfallet för 2024 (3 100 tkr). Sid. 5 (26) Kostnader De totala kostnaderna uppgick per sista december till 143 050 tkr (145 650 tkr), att jämföra med 151 350 tkr i budget. Löne- och lönebikostnaderna för året uppgick till 93 200 tkr (96 400 tkr), vilket är betydligt lägre än årets budget (100 150 tkr). Skillnaden mot föregående år förklaras främst av kraftiga minskningar av både löpande månadspremier och engångspremier/värdesäkringar inom de förmånsbaserade pensionsplanerna i KAP-KL p g a lägre inflation. Skillnaden mot budget förklaras av en mängd vakanser på samtliga avdelningar – från ett par föräldraledigheter, någon långtidssjukskrívning och ett antal avgångar som beslutats att inte ersättas till att nya specialister, enhetschefer och verksamhetschefer inte varit på plats vid de tidpunkter som beräknats i budget. Övriga personalkostnader uppgick till 2 300 tkr (2 050 tkr), att jämföra med 3 200 tkr i budgeten för 2025. Budgetavvikelsen på 900 tkr består i huvudsak av lägre kostnader än planerat för extern utbildning, konferenser och friskvård. Utfallet för externa kostnader uppgick till 46 100 tkr (46 450 tkr) vilket är 400 tkr lägre än budgeten för 2025 (46 500 tkr) och 350 tkr lägre än utfallet 2024. Ett exempel på skillnad mot årets budget för de externa kostnaderna är att kostnader för utskick av köavgiftsavier blev lägre än planerat p g a utskick via e-post och påminnelse via sms när köärendet blivit vilande. Investeringar och avskrivningar Under året har anskaffning av anläggningstillgångar om ca 50 tkr gjorts, vilket innebär en avvikelse mot budget (300 tkr). En anledning till denna avvikelse är att bolaget avseende lokalutrustningen i kontorslokalerna på Palmfeltsvägen i högre grad har använt reparationer och återbruk istället för nyinköp, men också att en planerad anskaffning sköts till början av kommande år av leveransskäl. Avskrivningar och nedskrivningar för perioden uppgår till 1 450 tkr (750 tkr) vilket nästan är i nivå med budgeten för 2025 (1 500 tkr) men högre än utfallet för föregående år p g a nedskrivning av en immateriell anläggningstillgång som inte längre är i bruk. Förutom möbler och lokalutrustning utgörs bolagets anläggningstillgångar vid årsskiftet av en st immateriell tillgång med avskrivningstid 5 år. Resultat Resultatet efter finansnetto per sista december 2025uppgår till cirka 13 800 tkr, vilket kan jämföras med budget om 0 tkr samt 4 100 tkr i utfallet för 2024. I samband med rapporteringen av tertial 2 gjordes en försiktig prognos om ett resultat efter finansnetto på 5 000 tkr. Att resultatet till slut blev högre än prognosen förklaras av kraftigt lägre kostnader för förmånsbaserad pension än förväntat (de flesta engångspremierna var negativa), inte minst engångskostnaderna förknippade med den senaste VD:ns avgång blev betydligt lägre. Resultaträkning 202501 - Förändring utfall vs Utfall 2025 Budget 2025 Utfall 2024 202512 (tkr) budget Intäkter Köavgifter 140 400 136 600 133 400 -3 800 Förtursintäkt 11 000 11 000 11 000 0 Kommunala bolagens 1 400 1 300 1 350 -100 internkö Särskilt förmedlingsuppdrag 150 150 250 0 Micasa Övrigt inkl. finansiella 3 900 2 300 3 750 -1 600 intäkter Summa intäkter 156 850 151 350 149 750 -5 500 Sid. 6 (26) Resultaträkning 202501 - Förändring utfall vs Utfall 2025 Budget 2025 Utfall 2024 202512 (tkr) budget Kostnader Löner och lönebikostnader 93 200 100 150 96 400 -6950 Övriga personalkostnader 2 300 3 200 2 050 -900 Externa kostnader 46 100 46 500 46 450 -400 Avskrivningar/nedskrivningar 1 450 1 500 750 -50 Summa kostnader 143 050 151 350 145 650 -8 300 Resultat 13 800 0 4 100 -13 800 Resultatets fördelning på delverksamheter Bostadsförmedlingen följer regelbundet upp intäkter och kostnader fördelat på delverksamheter. Förtursverksamheten är det enda av Bostadsförmedlingens uppdrag som finansieras via anslag till Socialnämnden. Övriga kostnader finansieras av köavgifter och intäkter från förmedlingstjänster och evakueringsuppdrag. För 2025 var rörelseresultatet fördelat på bolagets delverksamheter enligt nedanstående tabell (finansiella intäkter exkluderade). Avgiftsfinansierad Förtursverksamhet Ack. utfall 2025, tkr Summa verksamhet (skattemedel) Intäkter 142 600 11 000 153 600 Kostnader 132 650 10 400 143 050 Resultat före ränteintäkter 9 950 600 10 550 Förtursverksamheten har genererat ett överskott på 600 tkr enligt den fördelningsmodell som innebär att förtursenheten tar sina direkta kostnader så långt det är möjligt och övriga relevanta kostnader fördelas utifrån antalet medarbetare inom förtursenheten i relation till totala antalet medarbetare. Bedömning av bolagets interna kontroll Bostadsförmedlingen har arbetat i enlighet med bolagets system för internkontroll och den årliga internkontrollplanen. Kontroller har utförts dels i anslutning till det vardagliga arbetet, dels genom särskilda kontrollaktiviteter enligt internkontrollplanen för vilka resultatet har redovisats i tertialrapporterna samt i detta ärende (bilaga 1). Uppföljning av internkontrollplanen 2025 har omfattat kontroller av ett antal väsentliga verksamhetsprocesser. Vidare har bolagets behörighetshantering, dataskydd/ personuppgiftsbehandlingar, driftsäkerhet och utbetalningar granskats. Bolagets externa revisorer har granskat tertialrapport 2. Inga väsentliga brister påvisades gällande bolagets interna kontroll. Enligt Stockholm Stadshus AB:s anvisningar ska bolaget redovisa en bedömning gällande internkontrollen. Sammanfattningsvis bedömer bolaget att den interna kontrollen som helhet har varit tillräcklig under året. 1. Ett Stockholm som håller samman med en stark och jämlik välfärd i hela staden 1.1 Alla barn och ungdomar ska ges möjlighet till jämlika uppväxtvillkor och trygghet samt en rik fritid Sid. 7 (26) 1.2 Alla barn ska ges likvärdig möjlighet till utveckling och lärande i förskolan och skolan 1.3 Stockholms stad ska ge stöd och omsorg där behoven är som störst Bostadsförmedlingen har medverkat till att uppfylla målet Ett Stockholm som håller samman med en stark och jämlik välfärd i hela staden genom att fortsatt svara för en reguljär bostadsförmedling som förmedlar bostäder utifrån en "rak" kö i en transparent process. Under 2025 förmedlade bolaget 20 861 lägenheter, inkluderat 2 258 ungdomslägenheter och 3 604 studentlägenheter. Det totala antalet förmedlade lägenheter överträffar årsmålet om 20 000 och innebär också ett rekord för bolaget. Det är det högsta antalet förmedlade lägenheter under ett helår sedan bostadsförmedlingens grundande 1947. Antalet förmedlade lägenheter styrs av inflödet, vilket påverkas av mängden nyproduktion, förändringar i beståndet hos bostadsbolagen samt bostadskonsumenternas rörlighet på bostadsmarknaden. Till detta kommer bolagets egna aktiva arbete för att attrahera nya samarbetspartners. (Detta uppdrag redovisas under mål 3.3 nedan). Under 2025 kan bolaget konstatera en vikande nyproduktion, vilket bedöms bero på konjunkturläget. Detta bortfall kompenseras genom ett ökat antal inlämnade successionslägenheter, vilket i sin tur bland annat är en följd av att fler fastighetsägare valt att samarbeta med bolaget. Som framgår av ovan uppgick antalet förmedlade ungdomslägenheter till 2258. Det innebär att årsmålet om 2 300, så när som på 42 lägenheter är uppfyllt. En viktig anledning till att målet inte uppfyllts är att det under året avregistrerades fler ungdomslägenheter än vanligt. Avregistreringarna (38 st) har skett med anledning av att spekulanter saknas, varför förmedlingarna därmed inte kunnat slutföras. Bolaget utreder tillsammans med aktuella fastighetsägare orsakerna till det vikande intresset. Totalt inlämnades 21 999 lägenheter vilket är högre än föregående år (21 129). Av de inlämnade lägenheterna kom 12 154 (55%) från privata fastighetsägare, 7 873 (36%) från stadens bostadsbolag och 1 972 (9%) från allmännyttiga bolag i andra kommuner. De flesta av bostäderna (ca 90%) är successionslägenheter medan resterande del utgörs av nyproduktion. Bolagets marknadsandel för hyresrätter i länet är i nuläget ca 75% baserat på en uppskattad omsättning av beståndet om sju procent. Bolaget har även bidragit till i det aktuella inriktningsmålet genom sin förtursverksamhet och att fortsatt säkerställa tillgången till skyddade boenden för våldsutsatta samt säkerställa att de skyddade boenden som idag har lägenheter i stadens bostadsbolag kan byta dessa mot jämförbara lägenheter. Nedan redovisas uppgifter om förtursverksamhetens ärenden under året. Övriga Alla Allvarlig Våld i nära Ansökt Funktionsnedsättning Övriga hot sociala ärenden sjukdom relationer omprövning skäl 2025 Ansökningar 805 403 41 88 36 215 22 Bifall 49 20 4 19 5 0 1 Avslag 756 383 37 69 31 215 21 Andel bifall 6% 5% 10% 22% 14% 0% 5% Säkerställa rättigheter för personer med funktionsnedsättning i enlighet med Program för Sid. 8 (26) tillgänglighet och delaktighet för personer med funktionsnedsättning Program för tillgänglighet och delaktighet för personer med funktionsnedsättning 2024-2029 berör bolaget särskilt genom fokusområde 4 (Rätten till ett fungerande boende) och fokusområde 5 (Rätten till information och kommunikation samt tillgång till ny teknik). Bolaget har vidtagit flera åtgärder för att säkerställa rättigheter för personer med funktionsnedsättning. Som en central aktör inom Stockholms bostadsförsörjning har Bostadsförmedlingen ett särskilt ansvar att tillhandahålla en verksamhet som är tillgänglig för alla medborgare. Bolaget verkar för rimliga och rättvisa hyresvillkor genom löpande dialoger med de fastighetsägare som bolaget samarbetar med, samt arbetar med att säkerställa att informationen i bostadsannonser är tydlig, lättillgänglig och innehåller relevanta uppgifter om bostädernas tillgänglighet. Vidare har bolaget säkerställt att de digitala lösningar som tillhandahålls uppfyller kraven i EU:s webbtillgänglighetsdirektiv. Detta omfattar bland annat tillgång till lättläst information, en tillgänglighetsanpassad webbplats och funktionen Talande webb. Inom ramen för uppdraget att förmedla förturslägenheter säkerställer bolaget att personer med omfattande behov av anpassningsåtgärder i hemmet ges möjlighet till förtur till anpassade lägenheter. Bolaget arbetar även med att utveckla befintliga rutiner för klagomåls- och synpunktshantering så att relevanta synpunkter tas om hand på ett bra sätt. Bolaget ingår vidare ett funktionshinderråd bestående av berörda intresseorganisationer, bostadsförmedlingen och stadens bostadsbolag. Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet I samarbete med Bostadsförmedlingen bostadsbolagen ska i samarbete med säkerställa tillgången bostadsbolagen till skyddade boenden säkerställa tillgången för våldsutsatta till skyddade boenden för våldsutsatta. Bolaget avser att fortsätta arbetet med uppdraget enligt plan. Analys Bolaget har fortsatt samarbetat med bostadsbolagen för att säkerställa tillgången till skyddade boenden för våldsutsatta. Bolaget ska fortsatt Säkerställa att de säkerställa att de skyddade boenden skyddade boenden som idag har som idag finns inom lägenheter i stadens stadens bostadsbolag bostadsbolag kan byta kan bytas mot dessa mot jämförbara jämförbara lägenheter lägenheter när när verksamheten av verksamheten av skyddsskäl så kräver. skyddsskäl så kräver Analys Bolaget har under perioden fortsatt säkerställa att de skyddade boenden Sid. 9 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet som idag finns inom stadens bostadsbolag kan bytas mot jämförbara lägenheter. 20 861 20 000 Antal förmedlade lägenheter Analys 3 604 3 500 Antal förmedlade studentlägenheter Analys 2 258 2 300 Antal förmedlade ungdomslägenheter Analys Årsmålet om 2300 är så när som på 42 lägenheter uppfyllt. En viktig anledning till att målet inte uppfyllts är att det under året avregistrerades fler ungdomslägenheter än vanligt. Avregistreringarna (38 st) har skett med anledning av att spekulanter saknas, varför förmedlingarna därmed inte kunnat slutföras. Bolaget utreder tillsammans med aktuella fastighetsägare orsakerna till det vikande intresset Antal inlämnade 21 999 20 200 lägenheter Analys 1.4 Stockholm ska vara en bra stad att åldras i - med god omsorg och stor trygghet 1.5 Alla stockholmare ska ha tillgång till ett rikt kultur-, idrotts- och föreningsliv Uppföljning av Stockholms stads program för idrott, motion och friluftsliv 2024-2028 Stadens program för idrott, motion och friluftsliv 2024–2028 beskriver hur Stockholm ska utvecklas till en Sid. 10 (26) stad där alla invånare, oavsett ålder, både vill och har möjlighet att vara fysiskt aktiva. Programmet syftar till att ge vägledning för prioriteringar och strategier som stimulerar fler stockholmare till rörelse och aktivitet. Programmets inriktning berör dock inte bolagets verksamhet gentemot stadens invånare i samma utsträckning som exempelvis samhälls- och stadsplaneringen gör. Däremot omfattas bolaget av programmet i sin roll som arbetsgivare. Bolaget arbetar aktivt för att uppmuntra och stimulera anställda att utöva idrott eller motion som friskvård. Att satsa på friskvård och hälsofrämjande arbete är ett sätt för bolaget att verka för ett hållbart arbetsliv och friskare medarbetare. Alla medarbetare erbjuds ett generöst friskvårdsbidrag vilket gör det möjligt att välja mellan ett brett utbud av olika hälsoaktiviteter. Bolaget erbjuder även en friskvårdstimme i veckan och gratis online träning till samtliga medarbetare. Vidare har bolaget etablerat en friskvårdsgrupp bestående av utbildade hälsocoacher som har i uppgift att inspirera och arrangera olika hälsoaktiviteter för medarbetarna. Exempel på aktiviteter som genomförts under 2025 är stegtävling, motionsloppet Blodomloppet samt friskvårdsföreläsningar. 2. Ett grönt och fossilfritt Stockholm som leder en rättvis klimatomställning 2.1 Stockholm ska bli klimatpositivt – genom minskade utsläpp och ökad koldioxidlagring Bolagets medverkan till måluppfyllelse på miljöområdet är som helhet relativt begränsad vilket beror på verksamhetens administrativa karaktär samt att den utöver huvudkontoret inte tar några andra lokaler eller allmänna miljöer i anspråk. Bostadsförmedlingen kan främst bidra till att infria målet Ett grönt och fossilfritt Stockholm genom att minska pappersanvändningen i kontakten med de bostadssökande. Under perioden har ytterligare insatser gjorts för att öka andelen digitalt utförda betalningar och andra utskick. En indikator med tillhörande målvärde har också kopplats till denna aktivitet. Bolaget har också ett specifikt uppdrag i anslutning till det aktuella inriktningsmålet. Bolaget ska i samarbete med AB Familjebostäder, AB Stockholmshem och AB Svenska Bostäder utöka lägenhetsinformationen med tillgång till uppgifter om källsortering, laddstolpar, cykelförråd och cykelställ samt åtgärder för energieffektiviseringar. Detta uppdrag redovisas under 3.3 nedan. Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Andelen Andel postalt 8,7 8 pappersavier distribuerade avseende den årliga köavgifter (%) köavgiften skall Analys minska. Utfallet avviker från årsmålet med 0,7 procentenheter. Arbetet med att minska mängden pappersutskick fortsätter under 2026 med målsättningen att årsmålet uppnås. Sid. 11 (26) 2.2 Stockholm ska vara en stad där den biologiska mångfalden ökar 2.3 Stockholm ska vara en stad där framkomligheten ökar och utsläppen minskar 2.4 Stockholmarnas hälsa ska främjas genom ren luft, rent vatten och giftfria miljöer 3. Ett Stockholm med en stabil och hållbar ekonomi med utbildning, jobb och bostäder för alla 3.1 Stockholms ekonomi är stark, hållbar och lägger grunden för en jämlik välfärd Systematiskt kvalitetsarbete och en kostnadseffektiv verksamhet Bostadsförmedlingen arbetar i enlighet med stadens kvalitetsprogram för en kultur, ett ledarskap och en kapacitet som främjar kvalitetsutveckling, innovation och digitalisering. Stadens grundläggande förhållningssätt enligt kvalitetsprogrammet är vägledande. Bolaget har strävat efter att bedriva en kostnadseffektiv verksamhet och leverera tjänster med hög kvalitet och kostnadsmedvetenhet. Enheterna/avdelningarna har planerat och följt upp verksamheten i enlighet med stadens integrerade ledningssystem och kvalitetsprogram. För att säkerställa att bolaget har effektiva interna processer samt god resursanvändning har utvecklingen av administrativa och indirekta kostnader i förhållande till totala kostnader och intäkter fortlöpande följts upp. För att på ett systematiskt sätt säkerställa och vidareutveckla stabila, rättssäkra och ändamålsenliga systemstöd och arbetsprocesser har bolaget arbetat vidare med en förvaltningsorganisation enligt stadens modell (PM3). Hantering av risker gällande verksamhetens finansiering och långsiktiga hållbarhet sker inom ramen för bolagets internkontroll samt väsentlighets- och riskanalys. Bolaget har under 2025 undersökt förutsättningarna för extern finansiering. Med anledning av verksamhetens natur och huvudsakliga finansieringsform (köavgifter) samt att bolaget inte genomför några investeringar eller driver stora projekt ser bolaget, efter att ha analyserat frågan, inte att det är aktuellt i dagsläget att söka bidrag från extern aktör. Bolaget kommer dock även fortsättningsvis att bevaka frågan Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Bolaget skall under Arbeta för att öka perioden undersöka extern finansiering möjligheten till extern finansiering. Analys Bolaget har under 2025 undersökt förutsättningarna för extern finansiering. Med anledning av Sid. 12 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet verksamhetens natur och huvudsakliga finansieringsform (köavgifter) samt att bolaget inte genomför några investeringar eller driver stora projekt ser bolaget, efter att ha analyserat frågan, inte att det är aktuellt i dagsläget att söka bidrag från extern aktör. Bolaget kommer dock även fortsättningsvis att bevaka frågan. Fortlöpande Bostadsförmedlingens uppföljning av verksamhet ska vara administrativa och kostnadseffektiv och indirekta kostnader i långsiktigt hållbar förhållande till totala kostnader och intäkter. Bolaget arbetar enligt stadens kvalitetsprogram och rapportering och uppföljning i enlighet med stadens integrerade ledningssystem. Vidare ska bolaget fortsatt arbeta med att vidareutveckla stabila, rättssäkra och ändamålsenliga systemstöd och arbetsprocesser som stödjer bolagets uppdrag (enligt stadens modell pm3). Analys 17 % 18 % Andel administrations- och indirekta kostnader Analys -100 % 0,3 mnkr Avvikelse investeringsbudget, % Analys Bolagets investeringskostnader är i relativa tal betydligt lägre än budgeterat belopp. En anledning till denna avvikelse är att bolaget avseende Sid. 13 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet lokalutrustningen i kontorslokalerna på Palmfeltsvägen i högre grad har använt reparationer och återbruk istället för nyinköp, men också att en planerad anskaffning sköts till början av kommande år av leveransskäl. 13,8 0 Resultat efter finansnetto(mnkr) Analys 3.2 I Stockholm ska alla ges möjlighet till ett eget jobb Bostadsförmedlingens insatser inom ramen för målet anknyter till stadens näringslivspolicy med tillhörande mål som exempelvis att stimulera tillväxt och företagsamhet, öka tillgången på arbetskraft och kompetens samt förbättra service, tillgänglighet och myndighetsutövning i kontakter med näringslivet. Bolaget kan främst bidra till det sjätte ramvillkoret: "God livskvalitet", genom att tillhandahålla effektiva förmedlingstjänster för bostadssökande, stadens bostadsbolag och andra fastighetsägare. Bolaget bidrar fortsatt till tillgänglighet och rörlighet på bostadsmarknaden i hela regionen vilket är positivt för förutsättningarna till företagande och ekonomisk tillväxt i staden. Detta genom att tillhandahålla effektiva förmedlingstjänster samt genom att informera om Stockholm som bostadsort och om bostadsmarknaden i regionen. Bolaget erbjuder statistiktjänster och marknadsanalyser som bostadsbolagen kan använda vid planering av nyproduktion. En annan viktig fråga är att skapa bra förutsättningar för universitets- och högskolestuderande att etablera sig i staden och till detta bidrar förmedlingen av studentbostäder. Bostadsförmedlingen deltar inom ramen för Stockholm Bygger med att arrangera två större frukostevent för byggbranschen under året. Bostadsförmedlingen bidrar också till att uppfylla målet genom att erbjuda ungdomar möjlighet till ett meningsfullt feriejobb som kan vara ett första steg in på arbetsmarknaden. Fem platser för feriejobb har tillhandahållits under året. I övrigt har även två platser för Stockholmsjobb erbjudits enligt nedan. Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Bolaget kommer att I ökad utsträckning i det fall det blir aktuellt tillgängliggöra att bolaget genomför arbetsplatser genom en egen upphandling sociala krav i stadens under perioden upphandlingar tillämpa sociala och övriga krav inom upphandlingsområdet i enlighet med stadens anvisningar. Analys Sid. 14 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Inga upphandlingar har genomförts under året 5 st 5 st Antal tillhandahållna platser för feriejobb Analys 2 st 1 st Antal tillhandahållna platser för Stockholmsjobb Analys 3.3 I Stockholm ska alla ha rätt till ett bra boende som de har råd med Bostadsförmedlingen har bidragit till målet Ett Stockholm med en stabil och hållbar ekonomi med utbildning, jobb och bostäder för alla kan uppfyllas genom att fortsatt tillhandahålla en gemensam marknadsplats för hyresbostäder från såväl kommunala som privata fastighetsägare i Stockholm och i omgivande kommuner. Insatser för att öka kännedomen om bolaget och den service som erbjuds har genomförts som avsett. För att öka antalet lägenheter i regionen som förmedlas via Bostadsförmedlingen har det genomförts flera insatser för att etablera samarbete med ytterligare bostadsbolag. Under året har samarbete etablerats med 21 nya fastighetsägare. Insatser för att underlätta för ungdomar att komma in på bostadsmarknaden har genomförts, bland annat genom förmedling av ungdoms- och studentlägenheter samt kampanjer för att visa på nyttan av att ställa sig i bostadskön. Dialogen med fastighetsägarna om möjligheten att öronmärka små och prisvärda bostäder till ungdomsbostäder har fortsatt under perioden. Under våren och hösten genomfördes en digital kampanj riktad mot ungdomar i olika sociala kanaler med syftet att öka kännedomen om möjligheterna att få en bostad via Bostadsförmedlingen. I juni deltog bolaget också på Järvaveckan, ett tillfälle att nå många unga. Bolaget har, inom ramen för det bostadssociala uppdraget, fortsatt arbetet med att förmedla Bostad först samt försöks-och träningslägenheter (FoT), med målsättningen om sammanlagt 600 bostäder under året. Detta inkluderar lägenheter som i samverkan med SHIS Bostäder och socialnämnden ska tillhandahållas för barnfamiljer som under lång tid levt i osäkra boendeförhållanden. Totalt har det under året förmedlats 441 lägenheter, vilket inkluderar 64 lägenheter till Bostad först och 25 bostäder till SHIS. Bolaget har som planerat fortlöpande tillhandahållit lägenheter utifrån beställningarna från socialförvaltningen, stadsdelsförvaltningarna och SHIS. Årsmålet om sammanlagt 600 lägenheter är inte uppnått och skälet till avvikelsen är att efterfrågan från stadsdelsförvaltningarna inte har nått upp till stadens målvärde. Bolaget har under året arbetat vidare med bolagsstyrelsens mål om att bostadsförmedlingen ska erbjuda bostadssökande och fastighetsägare en kvalificerad, rättssäker och effektiv service som utvecklas utifrån kundernas behov och önskemål. Under perioden har verksamhetsutveckling skett, både med fokus på att effektivisera förmedlingsprocessen och att underlätta för bolagets olika kundgrupper, fastighetsägare och bostadssökande. Vad gäller bolagsstyrelsens mål om att bostadsförmedlingen ska ha nöjda kunder och högt anseende har Sid. 15 (26) bolaget under perioden fortsatt arbeta aktivt med kundvård. Varje fastighetsägare har sin egen kundansvarig och alla bolag blir regelbundet kontaktade. Utöver detta ordnar bostadsförmedlingen aktiviteter i form av kundträffar och föredrag för att erbjuda bolagskunderna mervärde. Ett annat mervärde är den statistik och de marknadsanalyser av bostadsefterfrågan som gratis erbjuds de bolag som samarbetar med bostadsförmedlingen. Ytterligare ett av bolagsstyrelsens mål är att bostadsförmedlingen ska öka andelen lägenheter i regionen som förmedlas via bolaget. Bolaget har också i uppdrag från fullmäktige att öka antalet inlämnade lägenheter från privata fastighetsägare/förvaltare. Bolaget har under perioden arbetat både med att attrahera nya fastighetsägare och att behålla de befintliga och har fortlöpande arbetat med att kommunicera med regionens fastighetsägare för att få in fler bostäder till förmedling. Detta har skett både genom personliga möten såväl som breda kommunikationsinsatser, t ex digital annonsering, nyhetsbrev samt kundvårdande aktiviteter. Bolaget har under perioden fortsatt arbeta med stärka kontrollen av intyg i syfte att säkerställa rättssäkerheten inom förmedlingsprocessen. Bland annat har kunskaps- och erfarenhetsutbyte skett med de kommunala bostadsbolagen skett. Bolaget har vidare arbetat med uppdraget att se över möjligheten att i dialog med fastighetsägarna utveckla bättre digitala lösningar för lägenhetsinformation, visning och dylikt för att förenkla den sökandes bedömning tidigt i processen eller vid utebliven fysisk visning. Under perioden har bolaget initierat ett projekt i syfte att förbättra bostadsannonserna. I det ingår främst bättre grafisk layout, men också innehåll där bolaget ser över standardformuleringar och tonalitet. För att de bostadssökande ska få bästa möjliga information om bostaden har det också tagits fram en handbok för fastighetsägarna där det steg för steg beskrivs vilken sorts information de bostadssökande värdesätter samt vägledning när det kommer till språk, bilder mm. Bolaget har under året fortsatt pröva rätten till förtur till anpassade lägenheter för personer som har stora behov av anpassningsåtgärder. Under perioden har en behovsanpassad lägenhet förmedlats. Vad gäller direktivet om att utveckla servicen för den som står i bostadskön för att motverka att personer tappar sin köplats på grund av underlåtenhet har bolaget under året fortsatt arbetet med att informera om och styra mot enkla och säkra betalsätt. Därutöver har bolaget genomfört insatser för att öka kvaliteten i kundregistret för att säkerställa korrekta kontaktuppgifter, exempelvis genom en uppdatering till aktuella folkföringsuppgifter för bolagets samtliga kunder, samt fortsatt följt upp returnerade inbetalningsavier. Vidare har bolaget också bidragit till att utveckla staden genom att ge underlag som används vid planering av nyproduktion och i processer för stadens bostadsförsörjning. Sänkta inkomstvillkor Bolaget under perioden arbetat med uppdraget att i dialog med privata fastighetsägare informera om goda erfarenheter från stadens allmännyttiga bolag och deras sänkta inkomstkrav, i syfte att fler ska göra motsvarande justeringar av sina krav. I direktivet ligger också att bolaget därtill ska aktivt verka för att fler fastighetsägare inför sänka inkomstkrav. Under 2025 har nio av bolagets kunder sänkt sina inkomstvillkor. Bostadsförmedlingen genomförde 2024, i enlighet med direktiv i budget, en utredning av hur fastighetsägarnas inkomstvillkor har utvecklats över tid. Studien omfattade 51 stora (som tillsammans täcker ca 93 % av alla förmedlingar) hyresvärdars villkor helåren 2014–2023. Bolaget har under 2025 uppdaterat studien, som alltså nu avser åren 2014-2025. Den uppdaterade kartläggningen visar att. • 25 av 51 bolag sänkt sina inkomstvillkor • 2 av 51 bolag höjt sina inkomstvillkor • Resten av bolagen hade oförändrade eller otydligt förändrade inkomstvillkor. Bland de kommunala bolagen började alla 11 bolag i utredningen att använda normalbelopp som Sid. 16 (26) inkomstvillkor. När normalbelopp används som inkomstvillkor behöver den sökande endast ha kvar det som kallas för förbehållsbelopp när hyran är betald. Under 2025 var det 6 186 kronor. De privata hyresvärdarna begär oftare en årsinkomst multiplicerad med exempelvis två eller tre gånger årshyran, men fem privata bolag valde att följa de kommunala bolagens exempel och gå över till normalbelopp under den studerade perioden. Att sänka inkomstvillkoren är även en drivkraft för för fastighetsägarna i tider då nyproducerade lägenheter är svåra att förmedla. Genom att sänka inkomstvillkoren ökar antalet bostadssökande som har möjlighet att döka en bostad. En illustration av villkorens betydelse är att en genomsnittligt prissatt tvårumslägenhet kan efterfrågas av 66 % av bostadskön om inkomstvillkoret är 3 gånger årshyran, men av 83 % av bostadskön om inkomstvillkoret är 2 gånger årshyran. En sammanhållen stad Bostadsförmedlingen är medpart i det s k Stockholmsrummet. Bolaget är representerat i styrgruppen och förvaltar lokalen och ansvarar för bemanningen med studentvärdar. Syftet är att skapa acceptans hos invånarna och berörda intressenter för att staden växer samt väcka intresse för och marknadsföra staden som bostadsort. Vidare fungerar rummet som en mötesplats och utgångspunkt för dialog med invånarna om stadens utveckling. Bolaget fick i 2023 års budget uppdraget att anlägga fler Stockholmsrum i ytterstaden. Arbetet har nu pågått i ca 2,5 år och det utökade konceptet har utformats som så kallade pop-up- verksamheter, där det mobila Stockholmsrummet etableras på sådana ställen där staden arrangerar olika evenemang. Det mobila Stockholmsrummet återfanns under våren 2025 på Tensta gymnasium, där det nya Tekniska museet invigdes under maj månad. Det mobila Stockholmsrummet fanns också med på Järvaveckan samt Kista bibliotek. Under perioden har det även satsats på framtagande på kommunikationsinnehåll kopplat till stadsbyggnadsprocessen och samrådstillfällen för det mobila Stockholmsrummet. Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Bostadsförmedlingen Bidra i arbetet med fortsätter att aktivt informera att underlätta för fastighetsägarna om möjligheten ungdomar att komma in att öronmärka små och billiga på bostadsmarknaden lägenheter som ungdomsbostäder samt att informera om behovet av ungdomslägenheter. Information och kampanjer riktad till ungdomar, bland annat genom utskick inför artonårsdagen. Deltagande på Järvaveckan 2025, ett forum som besöks av många unga. Analys Bostadsförmedlingen ska Bidra till stadens mål fortsätta arbetet med att förmedla om att förmedla försöks- Bostad först samt försöks-och och träningslägenheter träningslägenheter (FoT) med inklusive Bostad Först målsättningen 600 bostäder under året. Analys Bolaget har som planerat fortlöpande tillhandahållit lägenheter utifrån beställningarna från socialförvaltningen, Sid. 17 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet stadsdelsförvaltningarna och SHIS. Årsmålet om sammanlagt 600 lägenheter är inte uppnått och skälet till avvikelsen är att efterfrågan från stadsdelsförvaltningarna inte har nått upp till stadens målvärde. Bostadsförmedlingen Bolaget ska fortsatt ska erbjuda säkerställa servicens kvalitet och bostadssökande och rättssäkerhet genom att fastighetsägare en medarbetarna är väl insatta i kvalificerad, rättssäker verksamhetens mål och direktiv och effektiv service som samt om hur arbetet ska utföras utvecklas utifrån enligt interna riktlinjer och rutiner. kundernas behov och Analys önskemål Bostadsförmedlingen Aktivt arbete med kundvård ska ha nöjda kunder och riktat till både de registrerade högt anseende. kunderna och fastighetsägare. Varje fastighetsägare har sin egen kundansvarig. Utöver det planerar bolaget ordna aktiviteter i form av kundträffar och föredrag. Analys Bostadsförmedlingen Personliga möten med ska öka andelen fastighetsägare såväl lägenheter i regionen som bredare som förmedlas via kommunikationsinsatser, t ex bolaget. digital annonsering, nyhetsbrev och deltagande på mässor planeras under 2025. Annonsering riktad mot fastighetsägare planeras. Likaså träffar med nyckelkunder i Stockholmsrummet där bolaget bjuder på föredrag, frukost och möjlighet att nätverka. Analys För att fortsätta att stärka Fortsätta att stärka kontrollen ska bolaget genomföra kontrollen av intyg i syfte fortsatta utbildningsinsatser för att säkerställa medarbetarna och vid behov rättssäkerheten inom genomföra förbättringar av rutiner förmedlingsprocessen och arbetssätt. Analys Dialogen med nya I dialog med privata bolagskunder fortsätter under fastighetsägare 2025 för att ännu fler bolag ska informera om goda inse fördelarna med sänkta erfarenheter från stadens inkomstvillkor och ämnet kommer allmännyttiga bolag och att vara temat på under flera deras sänkta träffar med bostadsbolagen. inkomstkrav, i syfte att Analys fler ska göra motsvarande justeringar Sid. 18 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet av sina krav. Bolaget ska därtill aktivt verka för att fler fastighetsägare inför sänka inkomstkrav. Kännedomen hos Bolaget genomför invånarna om bolaget marknadsföringsinsatser genom och de tjänster som sina etablerade kanaler. På erbjuds skall öka. webben erbjuds information på flera utländska språk. Analys För närvarade erbjuds information på 17 språk, inklusive de fem minoritetsspråken Bolaget fortsätter arbetet med Se över möjligheten att förbättra bilder och bildspel i att i dialog med annonserna. Bolaget arbetar fastighetsägarna också på en handbok för utveckla bättre digitala annonser med syfte att stötta och lösningar för motivera fastighetsägarna att lägenhetsinformation, lämna så mycket information som visning och dylikt för att möjligt om bostaden så att förenkla den sökandes annonserna ska bli så informativa bedömning tidig i som de bostadssökande processen eller vid efterfrågar. Under perioden utebliven fysisk visning planeras bolagets system för lägenhetsinlämning förbättras så att alla förutsättningar finns för att ta emot utförlig information om bostäderna. Analys Under 2025 avser bolaget Säkerställa att fortsätta att kommunicera om annonser om lediga möjligheten och värdet för bostäder innehåller fastighetsägare och utförlig information om bostadssökande av att tillgängligheten i tillgängliggöra information om bostaden och fastigheten källsortering, laddstolpar, samt information om cykelförråd och cykelställ samt källsortering, laddstolpar, åtgärder för cykelförråd och energieffektiviseringar. energieffektiviseringar Analys Förtur till anpassade Säkerställa att lägenheter kommer fortsätta att personer med stora ges under 2025 till personer som behov av har dokumenterade behov av anpassningsåtgärder i anpassningsåtgärder . hemmet erbjuds förtur till Analys anpassade lägenheter Bolaget driver ett särskilt Utveckla servicen för förvaltningsobjekt som den som står i samordnar de aktiviteter som bostadskön för att syftar till att kunden behåller sin motverka att personer plats i bostadskön. Under 2025 tappar sin köplats på fokuserar aktiviteterna på att höja grund av underlåtenhet kvaliteten på kontaktuppgifter i Sid. 19 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet kundregistret. Analys Bostadsförmedlingen ska Öka antalet fortlöpande arbeta med att inlämnade lägenheter kommunicera med regionens från privata fastighetsägare för att få in fler fastighetsägare/förvaltare bostäder till förmedling. Detta sker både genom personliga möten såväl som breda kommunikationsinsatser, t ex digital annonsering, nyhetsbrev och deltagande på mässor. Analys 34,7 20 % Andel tillgänglighetsmärkta bostäder i kommunalt bostadsbestånd vid förmedling Analys 441 st 600 st Antal av Bostadsförmedlingen förmedlade Bostad först-, försöks- och träningslägenheter samt genomgångsbostäder för barnfamiljer Analys Årsmålet om sammanlagt 600 lägenheter är inte uppnått och skälet till avvikelsen är att efterfrågan från stadsdelsförvaltningarna inte har nått upp till stadens målvärde 3.4 Medarbetare i Stockholm ska ges goda förutsättningar att göra ett bra jobb Bolagets resultat gällande aktivt medskapandeindex (AMI) om 75 understiger årsmålet (83) och innebär en markant försämring i förhållande till förra årets utfall. Under våren 2025 utvärderades resultatet avdelningsvis och aggregerat för bolaget i sin helhet. Utvärderingen ger ingen entydig förklaring till försämringen, utan visar på en kombination av dels specifika frågor och förhållanden kopplade till respektive avdelning och dels till en generell oro relaterad till beslut om en flytt till nya lokaler. Vad gäller de avdelningsvisa orsakerna till nedgången i AMI är de nu adresserade i handlingsplaner som utarbetats på respektive avdelning. Handlingsplanerna har följts upp löpande under året. Frågor kopplade till den kommande flytten hanteras samlat och bolagsgemensamt. Dels genom tydlig och strukturerad kommunikation, dels genom en kommande process där medarbetarna på olika sätt kommer att bli involverade i planering av flytten och den förändring det innebär både vad gäller placering i lokalerna samt Sid. 20 (26) arbetssätt. Bolagsstyrelsens mål • Bostadsförmedlingen ska säkerställa bolagets kompetensförsörjning samt utveckla ett aktivt medarbetarskap och ett ledarskap präglat av kommunikation, tillit och mod. Bolaget har under perioden fortsatt arbetet med att säkerställa att rätt kompetens rekryteras, bibehålls och utvecklas inom bolaget. Bolaget tillämpar kompetensbaserad rekrytering. Under perioden har det hållits chefsforum, där cheferna inom bolaget får möjlighet att dela erfarenheter och kunskaper med varandra. Under året har en särskild satsning på chefskap och tillitsbaserat ledarskap påbörjats på bolaget inom ramen för chefsforum. Vidare har det under perioden hållits introduktionsutbildning för alla nyanställda. Bolaget arbetar för att säkerställa goda och trygga arbetsvillkor som utgår från att heltids- och tillsvidareanställningar är normen. Under året har bolaget inlett implementering av stadens chefsstruktur, med särskilt fokus på de delar som avser ansvar och mandat. • Bostadsförmedlingen ska ha en god social och organisatorisk arbetsmiljö och sjukfrånvaron ska minska Bolaget har under perioden fortsatt att bedriva ett systematiskt arbetsmiljöarbete genom att undersöka, genomföra och följa upp verksamheten på ett sådant sätt att ohälsa och olycksfall i arbetet förebyggs och en tillfredsställande fysisk, social och organisatorisk arbetsmiljö uppnås. Under perioden har samtliga medarbetare erbjudits en utbildning i hjärt- och lungräddning. Utfallet för sjukfrånvaron per sista december (rullande tolv månader) är 4,5. Årsmålet 4,0% är därmed inte uppnått. Bolaget är medvetet om orsakerna till detta och fortsätter arbeta i enlighet med fastslagna rutiner för att minska även den långa sjukfrånvaron ide fall det är möjligt. Resultatet för korttidsfrånvaro (dag 1-14) är 2,1 %. Årsmålet 3,0% är i och med detta uppnått. Bolagets chefer har under perioden fortsatt arbeta med att fånga tidiga signaler på ohälsa och ha en kontinuerlig kontakt med sjukskrivna medarbetare. Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Bolaget ska fortsatt Arbeta för att arbeta för att motverka och stadens medarbetare säkerställa att stadens inte utsätts för hot, medarbetare inte utsätts rasism eller otillbörlig för hot, rasism eller påverkan otillbörlig påverkan. Medarbetarna arbetar utifrån en servicepolicy och med stöd av coachning och teamledare. Det finns särskilda riktlinjer för att förebygga och hantera hot, i kontakten med kunder och inom organisationen. Chefernas kunskaper gällande dessa frågor säkerställs genom arbetsmiljöutbildningen. Analys Sid. 21 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Bolagets chefer ska Bostadsförmedlingen aktivt fånga tidiga signaler ska ha en god social på ohälsa och ha och organisatorisk kontinuerlig kontakt med arbetsmiljö och sjukskrivna medarbetare. sjukfrånvaron ska vara Samtal med medarbetare låg. med hög korttidsfrånvaro kommer att hållas för att så tidigt som möjligt kunna sätta in förebyggande insatser och förhindra ohälsa. Sjukfrånvarostatistik gås igenom månatligen vilket tillsammans med det systematiska arbetsmiljöarbetet utgör grund för åtgärder. Friskvårdsinsatser ska fortsatt genomföras. Bolaget utgår från att heltids- och tillsvidareanställningar är normen. Analys Bolagets Bostadsförmedlingen rekryteringsverksamhet ska säkerställa sker mer interna resurser. kompetensförsörjning Bolaget tillämpar samt utveckla ett aktivt kompetensbaserad medarbetarskap och rekrytering. Bolagets ett ledarskap präglat process för introduktion av av kommunikation, tillit nyanställda kommer att och mod. fortsätta utvecklas under den kommande perioden. En kompetensförsörjningsplan på tre till fem års sikt har utarbetats och ska börja tillämpas under 2025. En tillitsbaserad styrning ska prägla kultur och arbetssätt inom bolaget vilket innebär att personalen ges inflytande gällande verksamheten. Analys Aktivt 75 83 Medskapandeindex Analys Resultatet har analyserats och handlingsplaner upprättats. Se löptext. 4,5 % 4 % Sjukfrånvaro Analys Sid. 22 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Årsmålet för total sjukfrånvaro om 4,0% uppnås inte. Bolaget är medvetet om orsakerna till detta och fortsätter arbeta i enlighet med fastslagna rutiner för att minska även den långa sjukfrånvaron ide fall det är möjligt. Sjukfrånvaro 2,1 % 3 % dag 1-14 Analys 3.5 Hög beredskap och stark rådighet ska råda i alla verksamhetsområden Informationssäkerhet och dataskydd Bolaget har under perioden arbetat enligt fastslagen plan för informationssäkerhet. Bolaget har etablerade rutiner för årlig klassning av de informationsmängder som hanteras inom bolaget och klassningar har skett i enlighet med rutinerna. Vidare sker inom ramen för bolagets internkontrollarbete en tertialvis uppföljning av att bolagets registerförteckningar ger en rättvisande bild av verksamhetens personuppgiftsbehandlingar. Utöver kontinuerlig uppdatering av registerförteckningar och återkommande informationsklassningar har bolagets informationssäkerhetsarbete under 2025 inriktats mot frågor och rutiner rörande behörighet och åtkomstkontroll. Upphandling Merparten av bolagets anskaffning av varor och tjänster sker genom avrop på stadens ramavtal. I det fall bolaget genomför egna upphandlingar kommer plan för systematisk uppföljning att tas fram. Under året har inga nya upphandlingar genomförts. Under perioden har en betydande ökning skett av volymen elektroniska inköp och andelen elektroniska inköp uppgår nu till 83%. Årsmålet om minst 70% elektroniska inköp är därmed uppnått. Beredskap samt RSA Bolaget har en krigsledningsplan som är utarbetad i enlighet med stadens anvisningar. Bolaget uppmärksammade nationella beredskapsveckan (v39) genom föreläsning och informationsinsatser, såväl externt som internt. Bolaget bedöms inte bedriva samhällsviktig verksamhet. Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet 86,1 % 70 % Andel elektroniska inköp Analys 100 % 100 % Andel prioriterade avtal där uppföljning genomförts Sid. 23 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Analys 3.6 Tryggheten ska öka genom förebyggande insatser Bostadsförmedlingen arbetar aktivt med att säkerställa att förmedlingsprocessen är rättssäker. En viktig del av detta arbete utgår från direktivet om att stärka kontrollen av bostadssökandes intyg (om inkomst, anställning m m) som utförs på uppdrag av fastighetsägarna och utgör grund för deras beslut om godkännande av den sökande som hyresgäst. För att stärka kontrollen genomförs kontinuerligt kompetenshöjande insatser riktade till bolagets medarbetare. Bolagets medarbetare har under perioden genomgått stadens e-utbildning i välfärdsbrottslighet. Bostadsförmedlingen är genom sin verksamhet och läget på bostadsmarknaden särskilt exponerad för risken att direkt utsättas - eller användas som redskap för- välfärdsbrottslighet. Detta framkommer tydligt i den Väsentlighets- och Riskanalys som genomfördes under hösten 2025 och som ligger till grund för bolagets internkontrollplan för 2026. Under perioden har bolaget infört en ny metod för inhämtande av folkbokföringsuppgifter. Den nya metoden minimerar risken för att informationen manipuleras och att en bostadssökande får en lägenhet på felaktiga grunder. Bolaget ser kontinuerligt över möjligheterna att ytterligare skärpa rutiner och säkerställa kontrollmekanismer. Bolaget arbetar fortsatt för att motverka och säkerställa att medarbetarna inte utsätts för hot, rasism eller otillbörlig påverkan. Medarbetarna arbetar utifrån en servicepolicy och med stöd av coachning och teamledare. Det finns särskilda riktlinjer för att förebygga och hantera hot, i kontakten med kunder och inom organisationen. Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Bolaget ska i I fortsatt samverkan med samverkan med bostadsbolagen, SHIS bostadsbolagen, SHIS Bostäder och Bostäder, socialnämnden stadsdelsnämnderna tillhandahålla och socialnämnden, i genomgångsbostäder den mån det behövs, för barnfamiljer som säkerställa att under lång tid levt i genomgångsbostäder osäkra tillhandahålls och boendeförhållanden. kommer barnfamiljer Detta ska ske i den som under lång tid levt mån det finns i osäkra efterfrågan på boendeförhållanden bostäder för denna tillgodo grupp. Dessa bostäder ingår i årsmålet och i direktivet om att förmedla 600 försöks- och träningslägenheter Analys Sid. 24 (26) Bolagsstyrelsens mål för Indikator Periodens utfall Årsmål Aktivitet verksamhetsområdet Det har inom I samarbete med staden etablerats en socialnämnden, samverkan och utbyte stadsdelsnämnderna av erfarenheter för att och stadens motverka oriktiga bostadsbolag hyresförhållanden på samverka kring oriktiga bostadsmarknaden. hyresförhållanden på Bolaget ingår i denna bostadsmarknaden samverkan tillsammans med socialnämnden, stadsdelsnämnderna och stadens bostadsbolag. Arbetet med detta uppdrag ska fortsätta under året. Analys Bolaget skall med Med stöd i lokal stöd i lokal lägesbild lägesbild och analys och analys vidta vidta sociala och sociala och situationella situationella brottsförebyggande brottsförebyggande och trygghetsskapande och trygghetsskapande åtgärder utifrån det åtgärder utifrån det egna ansvarsområdet egna ansvarsområdet. Analys 3.7 Stockholm ska vara en öppen, jämställd och demokratisk stad som samarbetar internationellt Öppen och demokratisk stad Stockholmsrummets verksamhet bidrar till målet om den öppna och demokratiska staden. Här tillhandahålls på ett åskådligt sätt information om hur, var och varför staden växer. Rummet fungerar som en mötesplats och utgångspunkt för dialog med invånarna om stadens utveckling. Det mobila Stockholmsrummet återfanns under våren 2025 på Tensta gymnasium, där det nya Tekniska museet invigdes under maj månad. Det mobila Stockholmsrummet fanns också med på Järvaveckan. Under perioden har det även satsats på framtagande på kommunikationsinnehåll kopplat till stadsbyggnadsprocessen och samrådstillfällen för det mobila Stockholmsrummet. För att medverka till att stärka invånarnas delaktighet och inflytande tillhandahåller bolaget information och kunskap om bostadssökandes boendepreferenser med mera vilket används i processer för bostadsbyggande och stadsplanering, exempelvis av exploateringskontoret och stadens bostadsbolag. Agenda 2030 Bostadsförmedlingen bidrar som planerat till att uppfylla de globala målen i FN:s Agenda 2030. I kommunfullmäktiges budget framhålls att Stockholm ska vara en stad för alla, där alla behövs och alla kan delta. Bolaget bidrar till de sociala hållbarhetsmålen genom ett inkluderande och icke-diskriminerande förhållningssätt vad gäller servicen till de bostadssökande såväl som i rollen som arbetsgivare. Som har framgått ovan genomförs fortlöpande insatser för att öka kännedomen hos invånarna om bolaget och de tjänster som erbjuds. Sid. 25 (26) Under året har bolaget arbetat med att tillgängliggöra information om bostadsförmedlingen på fler språk. För närvarande finns information om bolagets verksamhet och tjänster på 17 olika språk, inklusive de fem minoritetsspråken. Rättigheter för personer med funktionsnedsättning I möjligaste mån anpassas information och service till den enskildes behov och förutsättningar med tanke på funktionsnedsättningar. Bolaget säkerställer också att webbplatsen är tillgänglighetsanpassad för personer med olika typer av funktionsnedsättningar, i enlighet med EU-direktiv och lagstiftning på området. Detta sker exempelvis genom visuella anpassningar (kontrast, möjlighet till förstoring) och talande webb för synskadade. Under första tertialet 2025 togs ytterligare ett steg då informationen på bolagets webbplats tillgängliggjordes på Lättläst Svenska. Oftast löses kundens frågor via webbplatsen och/eller telefonkontakt, men vid behov kan den bostadssökande få hjälp vid ett fysiskt möte på kundmottagningen. Jämställdhet Avseende jämställdhet inom staden och i ett samhällsperspektiv anknyter verksamheten till detta exempelvis i arbetet med förtursärenden gällande våld i nära relationer. I enlighet med Stockholms stads program för jämställdhet tillser bolaget att medarbetarna har erforderlig kompetens och utbildning på området. I det interna perspektivet följs den inriktning som anges i bolagets aktiva åtgärder om lika rättigheter och möjligheter på arbetsplatsen som infördes 2021. Detta omfattar insatser för att främja jämlikhet och motverka diskriminering gällande arbetsförhållanden, löner och andra anställningsvillkor, rekrytering och befordran, utbildning och övrig kompetensutveckling samt möjligheter att förena föräldraskap och arbete. Barnrättsarbete Bostadsförmedlingen beaktar fortsatt barnrättsperspektivet vid planering, beslut eller genomförande av verksamheten. Detta med utgångspunkt från FN:s barnkonvention och Program för barns rättigheter och inflytande i Stockholms stad. Barnperspektiv kan vara aktuellt i vissa förtursärenden. Vidare kan det finnas inslag av ett barnperspektiv exempelvis i bolagets förmedling av försöks-och träningslägenheter (FoT) och SHIS övergångsbostäder för barnfamiljer som levt en längre tid under osäkra boendeförhållanden. Angående bolagets interna frågor finns det i viss mån ett barnperspektiv när det gäller medarbetarnas möjligheter att förena föräldraskap och arbete vilket också nämns ovan. HBTQI-personers rättigheter För att säkerställa att bemötande och ordval är inkluderande (med tanke på olikheter gällande familjebildningar, sexuell identitet m m) och att servicen är likvärdig genomför bolaget fortsatt coachning och utbildning för medarbetarna som bland annat omfattar dessa frågor. Detta återspeglas även i bolagets servicehandbok. Motverka rasism Bolaget motverkar rasism genom att olikheter betraktas som en tillgång på jobbet. Detta innebär också ett inkluderande förhållningssätt och arbetssätt. På liknande sätt som ovan ska fortsatt coachning och tillämpning av bolagets servicepolicy bidra till detta. Nationella minoriteters rättigheter Bostadsförmedlingen tillhandahåller information på samtliga fem nationella minoritetsspråk. Internationellt arbete Bolaget har en medarbetare som svarar för samordning av de internationella frågorna och medverkar till Sid. 26 (26) stadens internationella arbete genom att ta emot utländska studiebesök om detta efterfrågas. Förflyttningar kopplade till MR-programmet. Enligt anvisningarna ska verksamhetsberättelsen innehålla exempel på förflyttningar som har skett i arbetet med att säkerställa alla stockholmares mänskliga rättigheter utifrån MR-programmets tre fokusområden. Det tydligaste exemplet på förflyttning som skett under perioden är att informationen på bolagets hemsida nu finns tillgänglig på Lättläst Svenska. Denna åtgärd svarar mot MR-programmets fokusområden Välfärd och service samt Delaktighet och inflytande. Den primära målgruppen är personer med funktionsnedsättning med åtgärden förväntas även få betydelse för andra grupper, som till exempel personer som håller på att lära sig svenska språket. Ytterligare en förflyttning kopplad till MR-programmet som genomförts under perioden är den ovan nämnda satsningen att tillgängliggöra information om bolaget på 17 språk, däribland de nationella minoritetsspråken. Kvalitetsarbete, digitalisering och redovisning av innovationssatsningar. Bostadsförmedlingen arbetar i enlighet med stadens kvalitetsprogram för en kultur, ett ledarskap och en kapacitet som främjar kvalitetsutveckling, innovation och digitalisering. Stadens grundläggande förhållningssätt enligt kvalitetsprogrammet är vägledande. Bolaget arbetar kontinuerligt med olika dikitaliseringsinitiativ. Under 2025 har en succesiv uppgradering av bolagets verksamhetssystem ägt rum. Detta innebär att Bostadsförmedlingen moderniserar i koden, lägger på ett nytt modernt gränssnitt och samtidigt höjer nivån på både kvalitet, användarvänlighet, tillgänglighet och informationssäkerhet i syfte att säkerställa en effektiv, transparent och rättssäker förmedling av bostäder. vad gäller innovationssatsningar har bolaget i Verksamhetsplanen för 2026, i särskild blankett, redovisat pågående satsningar. Inga särskilda innovationssatsningar har slutförts under 2025. Övrigt --- [Bilaga 2 - Dataskyddsombudets årsrapport 2025.pdf] GDPR årsrapport År 2025 Bostadsförmedlingen i Stockholm AB GDPR årsrapport Januari 2025 Dnr: BOST 2026/13 Kontaktperson: Dani Cohen Sammanfattning GDPR, eller dataskyddsförordningen, syftar till att skydda individers grundläggande rättigheter och friheter, med särskilt fokus på rätten till skydd av personuppgifter. I Stockholms stad är varje nämnd och styrelse ansvarig för personuppgiftsbehandlingar som sker i den egna verksamheten. Ett dataskyddsombud har i uppdrag att oberoende granska verksamhetens efterlevnad av dataskyddsförordningen. I denna rapport redovisar dataskyddsombudet årets granskning av Bostadsförmedlingen i Stockholm AB’s dataskyddsarbete samt lämnar rekommendationer på åtgärder för att ytterligare stärka dataskyddet. Årets rapport följer ny mall och nya områden som granskar – även beskrivning av risknivåer har förändrats. Jämförelse av risker mot föregående år blir därmed delvis missvisande. Bolaget har i huvudsak mycket god förståelse för och arbetar aktivt med frågor som rör dataskydd. Organisationen har haft en löpande kontakt med dataskyddsombudet och arbetat förebyggande och åtgärdande inom flera områden. Vissa riskområden har definierats som medelhöga risker. De tre största riskerna enligt dataskyddsombudets bedömning Fråga/kontroll Risk Rekommenderad åtgärd/åtgärder Klassningar av Organisationen föreslås tydligare beskriva information och system hur handlingsplaner följs upp för att säkra informationen. Cookies på hemsidan Organisationen bör säkra att information är korrekt och säkra undvikandet av tredjepartsskript eller tydligt arbeta med avtal för dessa. Kompletterande Registerutdrag utlämnas i tid, men vid begäran om tillgång information vid från registrerade behöver korrekt information lämnas. registerutdrag Dessa är i nuläget inte helt korrekt. Innehållsförteckning Sammanfattning ....................................................................................... 1 Inledning .................................................................................................... 3 Dataskyddsombudets uppgift ..................................................................... 3 Granskning av dataskyddsarbetet [ange aktuellt år] ............................ 4 Kontroll av obligatoriska områden .............................................................. 4 Resultat från granskningen av de sex obligatoriska områdenaFel! Bokmärket är inte definierat. Register över personuppgiftsbehandlingar................................................. 5 Säkerhet i samband med behandlingen ..................................................... 7 Konsekvensbedömning avseende dataskydd ............................................ 8 Den registrerades rättigheter .................................................................... 10 Personuppgiftsincidenter .......................................................................... 11 Överföring till tredje land ........................................................................... 12 Bilagor ..................................................................................................... 15 Bilaga 1 - Detaljerad redovisning av dataskyddsombudets granskning ... 16 Bilaga 2 – Andra genomförda granskningar och omvärldsbevakning ...... 25 Inledning GDPR, eller dataskyddsförordningen, syftar till att skydda individers grundläggande rättigheter och friheter, med särskilt fokus på rätten till skydd av personuppgifter. Dataskyddsreglerna (kallas GDPR fortsättningsvis) sätter tydliga ramar för hur personuppgifter får behandlas för att minimera risken för skada och säkerställa att hanteringen sker ansvarsfullt och rättvist. GDPR har sin grund i de mänskliga rättigheterna, där varje individ har rätt till respekt för sitt privat- och familjeliv samt skydd av sina personuppgifter. I Stockholms stad är varje nämnd och styrelse ansvarig för personuppgiftsbehandlingar som sker i den egna verksamheten. Dataskyddsombudets uppgift Varje personuppgiftsansvarig (nämnd eller styrelse) ska utse ett dataskyddsombud. Dataskyddsombudets uppgifter framgår direkt av lagstiftningen. Ombudets roll är att kontrollera att GDPR följs inom organisationen. Det innebär bland annat att ge råd, rekommendationer och informera om frågor som rör behandlingar av personuppgifter. Dataskyddsombudet har även i uppdrag att oberoende granska verksamheternas arbete med dataskyddsfrågor för att säkerställa att dataskyddslagstiftningen efterlevs. DSO ska rapportera direkt till högsta förvaltnings-/bolagsnivå. I Stockholms stad innebär det att dataskyddsombudet rapporterar till nämnder och styrelser. Dataskyddsombudet lämnar årligen en rapport om verksamhetens dataskyddsarbete till varje nämnd och styrelse. Genom rapporten kan nämnd och styrelse ta emot de råd och rekommendationer som dataskyddsombudet lämnar. Årsrapporten syftar till att nämnd/styrelse ska kunna fatta beslut om prioriteringar, resurser och initiativ framåt. Årsrapporten är ett medel för nämnds/styrelsens uppföljning och styrning av verksamhetens systematiska integritets- och dataskyddsarbete. Granskning av dataskyddsarbetet Kontroll av obligatoriska områden Dataskyddsombudet har granskat verksamhetens dataskyddsarbete utifrån sex obligatoriska områden. De sex områdena har identifierats genom en analys av kraven i GDPR om hur verksamheter bör arbeta systematiskt med dataskydd. Varje område innehåller ett antal kontrollfrågor som ger en bild av verksamhetens dataskyddsarbete. Dessa områden överensstämmer med de delar som enligt Integritetsskyddsmyndigheten (IMY) utgör grunden för en verksamhets systematiska och rättssäkra hantering av personuppgifter. I rapporten används en riskmodell med fyra nivåer av risk. Modellen hjälper dataskyddsombudet att visa vilken bedömning hen gör av verksamhetens dataskyddsrisker utifrån de iakttagelser som gjorts i granskningen. Risknivå Beskrivning Hög risk Iakttagelsen avser en brist som kan leda till betydande risker för de registrerades rättigheter och friheter. Bristen kräver omgående åtgärd och korrigering. Medelhög risk Iakttagelsen avser en brist som kan leda till risker för de registrerades rättigheter och friheter. Bristen bör åtgärdas skyndsamt, men kräver inte omedelbar korrigering. Låg risk Iakttagelsen avser en brist som kan leda till mindre risker för de registrerades rättigheter och friheter. Bristen bör åtgärdas, men kräver inte omedelbar korrigering. Inget att anmärka Dataskyddsombudet har inga brister att rapportera avseende denna del. Notera att risken för att tilldelas en sanktion vid tillsyn är större desto högre risken är. Resultatsammanställning från granskningen av de sex obligatoriska områdena I detta avsnitt presenteras en sammanställning av den bedömda risknivån för verksamhetens dataskyddsarbete, grundat på kontrollfrågorna inom de sex obligatoriska områdena. Vidare redovisas dataskyddsombudets centrala iakttagelser, inklusive områden där verksamheten uppvisar goda resultat och bör upprätthålla sitt arbete, samt identifierade brister som kan utgöra dataskyddsrisker. Avsnittet innehåller även dataskyddsombudets rekommenderade åtgärder för att hantera dessa risker och stärka dataskyddsarbetet. En fullständig redovisning av dataskyddsombudets underlag och resultat från granskningen av de sex obligatoriska områdena finns att läsa i bilaga 1. Bilagan innehåller även en beskrivning av syftet och bakgrunden för varje område. Register över personuppgiftsbehandlingar Sammanfattning Bolaget har ett register som i lagom omfattning och omfång väl beskriver den verksamhet som bedrivs. Bolaget har även tagit fram en särskild rutin för ansvarsroller och hur uppdatering av registret ska göras. Vissa justeringar behöver dock göras. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Antal behandlingar som är Behandlingarna i registret motsvarar vad registrerade? dataskyddsombudet kan bedöma de faktiska behandlingarna inom bolaget. Har verksamheten Bolaget har 2025 uppdaterat rutiner för ändamålsenliga rutiner för att hantering och registrering av behandlingar. registrera nya/förändrade behandlingar? Registreras/uppdateras Registret kontrolleras årligen enligt rutin behandlingar i den omfattning och är i huvudsak aktuell, men vid som krävs för att registret ska genomgång har viss avsaknad av innehålla de behandlingar som information noterats, eller uppgifter varit personuppgiftsansvarig utför? gamla. Har de uppgifter som är Det saknas viss obligatorisk information obligatoriska enligt artikel 30 eller beskrivs ska tillkomma senare. besvarats kopplat till de Registret behöver uppdateras på några registrerade behandlingarna? punkter, och laglig grund för behandling av personalens personuppgifter behöver kompletteras. Det saknas även kategorier av registrerade för närstående till personal när det kan förekomma. Det saknas viss obligatorisk information eller beskrivs ska tillkomma senare. Laglig grund för behandling av personalens personuppgifter behöver kompletteras/ är felaktig. Säkerhet i samband med behandlingen Sammanfattning Årets uppföljning har inneburit att stickprovskontroller har gjorts för hur man arbetar med dataskydd (security by design och default). Vissa brister i dokumentation vad gäller uppföljning och faktiska säkerhetsåtgärder har noterats vilket gjort det svårt att följa verklig säkerhet. För de stora mängder, och delvis känsliga uppgifter som bolaget hanterar, krävs proportionerliga åtgärder för att skydda personuppgifterna. Dataskyddsombudet har gett särskilda råd inom det området. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Efter ett antal stickprov på ] Informationsklassningar har gjorts, men är genomförda otillräckligt dokumenterade för specifikt de informationsklassningar, behandlingarna som görs inom system. Vissa bedömer DSO att resultatet i brister i säkerhetsåtgärder och genomförda dokumentation om det (”security by design informationsklassningar i and default”) saknas. tillräcklig utsträckning tar hänsyn till olika kategorier av personuppgifter? Avseende de styrande dokument Bolaget har goda förutsättningar för att och rutiner om dataskydd (som bedriva god informationssäkerhet genom finns skriftligt), bedömer DSO att egna styrande dokument, och kompletterande det finns tillräckligt mycket dokumentation från staden. reglerat och tillräckligt stöd? Avseende de skriftligt styrande Det saknas tydlig dokumentation om åtgärder dokument och rutiner som finns, och hur säkerhet implementerats, vilket kan bedömer DSO att de är tyda på bristande implementation. Vid tillräckligt implementerade och uppföljning muntligt har dock flera åtgärder kända? kunnat visas, medan andra åtgärder är pågående. Konsekvensbedömning avseende dataskydd Sammanfattning Bolaget har genomfört en tröskelanalys av samtliga behandlingar 2022. I samband med dessa gjordes även ett antal konsekvensbedömningar. Dessa har sedan genomförandet, inte återbesökts. Vid granskning saknar dessa konsekvensbedömningar tydliga riskanalyser, och bör förnyas med hänsyn till de anpassningar som staden gjort av sina mallar, eller de nya IMY-mallar som numera finns. Riskanalyser för behandlingar bör göras särskilt med hänsyn till risker för registrerades fri och rättigheter, där hög risk inte kan bedömas enligt samma nivåer som de metoder bolaget använder för informationssäkerhetsbedömningar. Dataskyddsombudet vill rikta särskilt beröm för det arbetet som tidigare har genomförts med fullständig genomlysning av samtliga behandlingar. Bedömning av risknivå och rekommendationer från dataskyddsombudet: Fråga/kontroll Risk Rekommendationer Finns det ändamålsenliga rutiner Rutiner för tröskelanalyser och förnyad för att vid nya/förändrade personuppgiftsbehandling finns i stadens personuppgiftsbehandlingar metodstöd för informationssäkerhet, men genomföra tröskelanalys? lokala rutiner saknas ännu. Bolaget arbetar med att ta fram rutiner. Genomförs tröskelanalyser vid Tröskelanalyser har gjorts för samtliga nya/förändrade behandlingar. Dataskyddsombudet personuppgiftsbehandlingar? rekommenderar förnyad tröskelanalys för uppgifter för bolagets personal särskilt inom rehabilitering. Inga nya behandlingar har tillkommit 2025 Finns det en ändamålsenlig mall Konsekvensbedömningar har inte samt rutiner för genomförande återbesökts sedan genomförandets. av konsekvensbedömning Konsekvensbedömningar ska följas upp avseende dataskydd? kontinuerligt. Mallar som använts har varit Stockholms stad, men har vid dåvarnade utförande saknat utrymme för dataskyddsombudets rekommendationer och med otillräckliga riskanalyser. Rekommenderat användning av IMY’s mallar eller stadens nya mallar baserade på dessa. Genomförs Rekommenderas förnyad tröskelanalys för konsekvensbedömning avseende rehabiliteringsärenden m.m. för personal. dataskydd i de fall det krävs? Har personuppgiftsansvarig Där tröskelanalys visat att identifierat samtliga konsekvensbedömning behövs har sådan personuppgiftsbehandlingar som också gjorts. Dataskyddsombudet kräver att en rekommenderar bolaget ändå att återbesöka konsekvensbedömning avseende konsekvensbedömning för vissa HR- dataskydd görs samt genomfört processer. detta? Den registrerades rättigheter Sammanfattning: Bolaget har förmåga och kapacitet att hantera begäran från registrerade, och har skötts inom tidsramarna. Brister rör främst den kompletterande information som ska följa med till den registrerade, som gäller specificerad information om varför uppgifterna hanteras, mottagare, gallringstider, var uppgifter hämtats och information om möjlighet att lämna klagomål till IMY. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Finns det ändamålsenliga mallar Bolaget har rutiner för att besvara och samt rutiner för besvarande av hantera begäran från registrerade, men begäran från den registrerade? dessa behöver kompletteras med mer tydlig uppgift för hur begäran om radering och begränsning ska hanteras. Därutöver kan rutinen behöver kompletteras för att tydliggöra så all information registrerade har rätt till verkligen tillgodoses. Hur många begäranden (om 8 registerutdrag, begränsning, radering etc.) har under året inkommit från de registrerade? Hur många av de inkomna 8 Personuppgiftsansvarig har hanterat begärandena har besvarats av begäran på ett snabbt sätt inom utsatt tid. verksamheten inom en månad? Baserat på ett antal stickprov Svar till registrerade saknar tydlig genomförda av information om laglig grund, ändamål och dataskyddsombudet, uppfyller hur länge uppgifterna bevaras. svaren till de registrerade lagkraven? Personuppgiftsincidenter Sammanfattning Bedömningen är att personalen har fått information om hantering av personuppgiftsincidenter. Antalet personuppgiftsincidenter har varit relativt få under året, men vid analys av kunskapsnivå har det varit svårt att se att det beror på minskad rapporteringsvilja eller förståelse för vikten av rapportering. Bolaget har arbetat aktivt med att nå ut med information om vikten av att rapportera personuppgiftsincidenter, t.ex. genom information på enhetsmöten m.m. Viss brist finns i diskrepans mellan information i digitala utbildningar och hur bolaget väljer att hantera personuppgiftsincidenter vad gäller vägar för rapportering. Rekommendation att ha systemstöd för rapporter kvarstår. Bolaget har mycket goda rutiner för hantering av incidenter, och visat mycket bra förmåga att omsätta dessa i praktiken. Bedömning av risknivå och rekommendationer från dataskyddsombudet: Fråga/kontroll Risk Rekommendationer Hur säkerställs det att samtliga Medvetenheten kan anses vara god, men medarbetare har den kunskap rapporteringsvägar blir otydlig med olika som behövs för att veta hur denne information i digitala utbildningar mot hur ska agera vid en bolaget valt att arbeta med personuppgiftsincident? rapporteringsvägar. Finns det ändamålsenliga rutiner Bolaget har mycket goda rutiner för för att hantera händelser som kan hantering av incidenter, och visat mycket utgöra potentiella bra förmåga att omsätta dessa i praktiken. personuppgiftsincidenter? Följs dessa? Hur många 7 personuppgiftsincidenter har dokumenterats under året? Hur många 0 personuppgiftsincidenter har anmälts till IMY under året? Överföring till tredje land Sammanfattning Bolaget har få tredjelandsöverföringar, och har i nuläget identifierat dessa i huvudsak. Överföringar när så skett sker med kända överföringsverktyg. När överföring ska göras till tredjeland och där standardavtalsklausuler ska användas är det viktigt att göra en bedömning om dessa avtal kan bedömas också kunna följas enligt tredjelands lagstiftning. Detta måste göras innan överföring sker. Risk har noterats för att verktyg integrerat i besöksplattformen på hemsidan idag kan innebära viss tredjelandsöverföring av IP-adresser som inte identifierats av bolaget själv. Bedömning av risknivå och rekommendationer från dataskyddsombudet Fråga/kontroll Risk Rekommendationer Har personuppgiftsansvarig Viss risk finns för tredjelandsöverföring i identifierat de specifikt verktyg. I övrigt har bolaget god tredjelandsöverföringar som utförs? kontroll över sina överföringar. Tillämpar personuppgiftsansvarig Det kan antas att spårningstekniker, eller ett överföringsverktyg på de funktionsscript och cookies innebär tredjelandsöverföringar som utförs? överföring till tredjeland, som inte bedömts. Men för de som faktiskt bedömts tillämpas överföringsteknik. Har personuppgiftsansvarig gjort en Vissa av personals användaruppgifter i ett nödvändig bedömning, ”Transfer mindre system förs över till tredje land. Impact Assessment” (TIA), Pågående TIA sker, men systemet är taget i bruk. avseende tredjelandsöverföringar? Resultatsammanställning från övriga granskningar Behörighetsstyrning i verksamhetssystem Under året har en uppföljning av behörighetsstyrning av verksamhetssystem gjorts. Bolaget har en generell rutin för behörighetstilldelning samt avslut av behörigheter i system. Bolaget följer även årligen upp behörigheter i olika system, vissa högrisksystem följs upp med större frekvens. Vid kontroll hade samtliga system en dokumenterad senast uppföljning av behörigheter. Generellt arbetar bolaget mycket väl med behörighetsstyrning. Vissa verksamhetssystem skulle dock behöva definiera hur ofta Cookies på hemsidan En särskild granskning av faktisk information och cookie-hantering har gjorts under året. Bolaget har en handlingsplan för brister som visats under pågående granskning. Bolagets information om cookies är korrekt, och bannern har tydliga möjligheter att tacka nej till ej nödvändiga cookies, samt möjlighet att återta samtycket. Kvarstår gör dock vissa brister. Det är viktigt att ansvariga för hemsida och spårningstekniker har de resurser som krävs för att säkra GDPR-frågor. Viss överföring till annan personuppgiftsansvarig har kunnat ses genom inbäddade funktioner. Främst bör även funktionen för kartvisning och hur relationen till den som skapat kartfunktionaliteten gällande personuppgiftsansvar fastställas. Frågan om den lagstiftning som styr information gällande cookies (Lagen om elektronisk kommunikation) är också bredare än enbart för textfils-cookies, och kan även innefatta information i URL och genom script och pixlar. Det innebär att cookie-information ska ges vid varje överföring, och att frågan om pixlar och URL-taggar är strikt nödvändiga ska övervägas för samtycke enligt LEK. Användande av tredjeparts cookiebanner och uppsättning genom Google Tag manager och sättande av kakor innan samtycke är i tveksamt område där det rekommenderas utredning eller åtgärder. Gallring i verksamhetssystem Uppföljning har gjorts av gallring i verksamhetssystem utifrån tidigare årsrapporter som visat på brister. Flera av dessa brister kvarstår än, även om bolaget arbetar med att åtgärda dessa. Bolaget rekommenderas fortsätta med och avsluta det arbetet. Fråga/kontroll Risk Rekommendationer Har personuppgiftsansvarig rutiner Verksamheten har generella rutiner för för tilldelning av behörigheter i avslutande av behörigheter samt verksamhetssystem? återkommande uppföljningar av behörigheter till verksamhetssystem Behörighetsnivåer och regler för behörighetsnivåer behöver kompletteras för vissa verksamhetssystem Följer hemsidans information och Verksamheten skapar en policy för användning av spårningstekniker hemsidehantering för att undvika oplanerade spårningstekniker, samt säkrar att alla former av tekniker som omfattar spårning informeras och samtycks på ett korrekt sätt. Gallring i verksamhetssystem Verksamheten har påbörjat möjliggörande gallring i verksamhetssystem. Arbetet behöver fortgå och avslutas för att kunna garantera att informationen för registrerades och verksamheten bara hanteras i system så länge det är nödvändigt för ändamål Bilagor Bilaga 1: Detaljerad redovisning av dataskyddsombudets granskning Bilaga 2: Andra genomförda granskningar och omvärldsbevakning Bilaga 1 - Detaljerad redovisning av dataskyddsombudets granskning Denna bilaga innehåller en beskrivning av syftet med respektive obligatoriskt område samt en mer detaljerad redovisning av dataskyddsombudets granskning och slutsatser. Här framgår vilka iakttagelser som gjorts och vilken information som samlats in under granskningsarbetet av de sex obligatoriska rapporteringsområdena. För varje område redovisas de underlag som har använts, de iakttagelser som har gjorts samt hur dessa har utgjort grunden för dataskyddsombudets riskbedömning och rekommenderade åtgärder. 1. Register över personuppgiftsbehandlingar Syftet med området I GDPR framkommer det att personuppgiftsansvariga (och personuppgiftsbiträden) ska föra ett register över sina personuppgiftsbehandlingar. Registret brukar benämnas ”behandlingsregister” eller ”registerförteckning”. Registret ska finnas tillgängligt i elektronisk form och ska omfatta samtliga personuppgiftsbehandlingar som personuppgiftsansvarig utför. Det ska hållas uppdaterat vilket innebär att det ska uppdateras vid nya eller förändrade personuppgiftsbehandlingar. Syftet med detta rapporteringsområde är att rapportera om verksamheten har ändamålsenliga rutiner som möjliggör att nya/förändrade personuppgiftsbehandlingar registreras, huruvida personuppgiftsbehandlingar registreras/uppdateras såsom det krävs samt huruvida de uppgifter som är obligatoriska har besvarats kopplat till de registrerade personuppgiftsbehandlingarna. Kontroller och iakttagelser gjord av dataskyddsombudet Antal behandlingar som är registrerade? 70 Har verksamheten ändamålsenliga rutiner som möjliggör att nya/förändrade behandlingar registreras? Ja Registreras/uppdateras behandlingar i den omfattning som krävs för att registret ska innehålla de behandlingar som personuppgiftsansvarig utför? Delvis Har de uppgifter som är obligatoriska enligt artikel 30 besvarats kopplat till de registrerade behandlingarna? Ja , men delvis otillfredställande Dataskyddsombudets jämförelse med föregående års resultat Personuppgiftsbehandlingarna har uppdaterats under året, och en tydlig rutin har gjorts för uppdatering. En genomgång av samtliga behandlingar har dock gjorts och arbetet med uppföljning har arbetats om med ny mall för kontroll vilket gör jämförelsen svår gentemot föregående år. Dataskyddsombudets bedömning samt rekommendationer Registerförteckningen beskriver behandlingarna som bostadsförmedlingen har. Den har i huvudsak besvarat de obligatoriska frågorna, men vissa oklarheter kvarstår efter granskning. Bolagets förvaltning har fått separata rekommendationer om oklarheter att arbete med samt förbättringsförslag. Främst behöver bolaget fokusera på laglig grund när avtal används. Detta då avtal är begränsat till strikt nödvändigt för att administrera ett avtal. Bolaget rekommenderas att även tydligare beskriva sina intresseavvägningar samt uppdatera de icke obligatoriska fälten som visar användning av systemstöd samt personuppgiftsbiträde. 2. Säkerhet i samband med behandlingen Bakgrund och syfte Personuppgiftsansvarig ska tillse att personuppgifter skyddas med lämpliga säkerhetsåtgärder, detta för att till exempel undvika att obehöriga får tillgång till uppgifterna eller att uppgifterna förloras. Personuppgiftsansvarig behöver bedöma vilka tekniska- och organisatoriska säkerhetsåtgärder som ska vidtas för de behandlingar som utförs. Till tekniska säkerhetsåtgärder räknas till exempel kryptering, pseudonymisering och säkerhetskopiering. Organisatoriska säkerhetsåtgärder avser till exempel interna riktlinjer och rutiner. För att skapa förutsättningar för att skydda information (inklusive personuppgifter) med rätt slags skydd ska verksamheten informationsklassa sin information. Stadens riktlinjer för informationssäkerhet föreskriver att alla stadens informationstillgångar ska vara klassade med stöd av SKR:s verktyg KLASSA. Ansvaret för att informationsklassning genomförs ligger på den del av verksamheten som är informationsägare. Genom riskanalyser identifierar informationsägaren risker och väljer åtgärder för att minska riskerna. Risker i samband med personuppgiftsbehandling är en typ av risk som informationsägaren behöver omhänderta i riskanalyser. Att det finns skriftliga, beslutade och kommunicerade styrdokument samt kända rutiner medför att medarbetarna vet hur de ska agera avseende frågor som rör dataskydd. Den personuppgiftsansvariga måste kunna visa hur GDPR efterlevs och att det finns styrdokument och rutiner är en viktig del i detta. Syftet med detta rapporteringsområde är därmed att rapportera huruvida DSO bedömer att det tas hänsyn till risker för den registrerade och om dessa beaktas i tillräcklig mån i genomförda informationsklassningar och riskanalyser. Vidare bedömer DSO huruvida det finns tillräckligt mycket reglerat om dataskydd i styrdokument och rutiner samt om dessa är tillräckligt implementerade och kända. Kontroller och iakttagelser gjord av dataskyddsombudet Efter ett antal stickprov på genomförda informationsklassningar, bedömer DSO att resultatet i genomförda informationsklassningar i tillräcklig utsträckning tar hänsyn till olika kategorier av personuppgifter? Stickprov har tagits på ett antal verksamhetssystem som främst rör bolagets kärnverksamhet. Klassningar har genomförts, och tillräckligt hög klassning har satts på de flesta hanteringarna. Däremot är bedömningarna inte tydligt dokumenterade. Övriga brister kan omfattas av sekretess och noteras i en separat rapport till verksamheten. Avseende de skriftligt styrande dokument och rutiner som finns, bedömer DSO att det finns tillräckligt mycket reglerat och tillräckligt stöd? Stadens riktlinjer för att informationsklassa och säkerställa informationen är av god kvalité och ger tillräckligt stöd. Uppföljande dokumentation hos bolaget gör det dock svårt att följa upp att handlingsplaner har gjorts. Riskanalyser har gjorts under året men inte i konsekvensbedömning för att säkerställa att inga höga risker kvarstår. Avseende de skriftligt styrande dokument och rutiner som finns, bedömer DSO att de är tillräckligt implementerade och kända? Styrande dokument är kända, men inte alltid fullt ut implementerade. Bolaget rekommenderas att aktivt arbeta med dokumentation kring dataskydd för personuppgifter. Bolaget har informerats om noterade brister löpande under året från dataskyddsombud och har påbörjat aktiva åtgärder för att hantera bristerna. Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Tidigare års rapportering har inte aktivt följt upp säkerheten i systemen, utan noterat att klassningar gjorts och rätt nivå har satts. Det innebär att årets granskning är mer omfattande och därför ger annat resultat. Gällande grundläggande säkerhet för informationen har klassningar genomförts varpå det resultatet i sig inte förändrats utan är fotsatt god. Men vissa brister i implementeringen har noterats. Dataskyddsombudets bedömning samt rekommendationer Bolaget har arbetat med att klassa sina verksamhetssystem och därmed den information som ingår där. Bolaget följer även delvis upp klassningar årligen. Rekommendationer har gjorts i en separat rapport till bolaget. Riskanalyser bör göras för personuppgifter för behandlingar för att notera specifika risker, vilket för system sker i samband med konsekvensbedömningen (se avsnitt e) 3. Konsekvensbedömning avseende dataskydd Bakgrund och syfte En konsekvensbedömning avseende dataskydd krävs när personuppgiftsansvarig planerar att inleda en personuppgiftsbehandling som innebär hög risk för de registrerade. Huruvida en behandling innebär hög risk eller inte behöver personuppgiftsansvarig avgöra genom att genomföra en s.k. tröskelanalys. En konsekvensbedömning ska vara genomförd för samtliga behandlingar som innebär hög risk, vilket innebär att personuppgiftsansvarig även behöver kontrollera huruvida denne utför befintliga behandlingar som innebär hög risk. Om högriskbehandlingar utfös för vilka en konsekvensbedömning inte har gjorts, behöver personuppgiftsansvarig genomföra en sådan. Genom att genomföra en konsekvensbedömning kan personuppgiftsansvarig identifiera risker med en personuppgiftsbehandling, hantera riskerna genom åtgärder och rutiner samt påvisa ansvarsskyldighet. Genom konsekvensbedömningar kan risker identifieras och förebyggas. Syftet med detta rapporteringsområde är att rapportera huruvida verksamheten har ändamålsenliga rutiner som möjliggör att tröskelanalyser och konsekvensbedömningar genomförs, huruvida sådana genomförs när det krävs samt huruvida personuppgiftsansvarig har genomfört konsekvensbedömningar för de behandlingar som kräver det. Kontroller och iakttagelser gjord av dataskyddsombudet Finns det ändamålsenliga rutiner för att vid nya/förändrade personuppgiftsbehandlingar genomföra tröskelanalys? Rutiner har tagits fram för registerhantering. Vid registerhantering i behandlingsregistret ställs frågor om behandlingen har bedömts behöva en konsekvensbedömning. Däremot saknas ännu rutiner för konsekvensbedömningar och ny behandling, som är utöver stadens egna. Stadens mallar och rutiner är tillfredställande. Under 2022-2023 genomförde bolaget en genomlysning av samtliga processer i verksamheten och genomförde därefter konsekvensbedömningar. Arbetet med konsekvensbedömningar är dock ett ständigt återkommande arbete. Behovet av återkommande uppföljningar har påtalats tidigare. Genomförs tröskelanalyser vid nya/förändrade personuppgiftsbehandlingar? Vid kontroll av registerförteckning kan dock inte ses att några nya personuppgiftsbehandlingar gjorts vilket krävt förnyade konsekvensbedömningar. Finns det en ändamålsenlig mall samt rutiner för genomförande av konsekvensbedömning avseende dataskydd? Se tidigare svar. Genomförs konsekvensbedömning avseende dataskydd i de fall det krävs? Bolaget har i sin genomlysning av behov av konsekvensbedömning argumenterat för behovet. Högriskområden som rör sjukskrivningshantering och rehabilitering bör dock åter följas upp. Har personuppgiftsansvarig identifierat samtliga personuppgiftsbehandlingar som kräver att en konsekvensbedömning avseende dataskydd görs samt genomfört detta? Samtliga behandlingar har gjorts en tröskelanalys. Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Resultatet motsvarar föregående år, men då konsekvensbedömningar inte har återbesökts av organisationen ökar riskerna för att de inte längre är aktuella. Dataskyddsombudets bedömning samt rekommendationer Bolaget har en gång genomfört en tröskelanalys för samtliga behandlingar samt genomfört konsekvensbedömningar. Dataskyddsombudet rekommenderar att personalfrågor som är av känsligare karaktär återbesöks för förnyad tröskelanalys. Konsekvensbedömningarna bör återbesökas med jämna mellanrum. Det rekommenderas att dessa görs snart och att mer andra mallar används. 4. Den registrerades rättigheter Bakgrund och syfte Den registrerade har ett antal rättigheter enligt GDPR. Den registrerade kan bland annat begära tillgång (registerutdrag), rättelse eller radering. Den som är personuppgiftsansvarig har att tillmötesgå en begäran enligt de krav som finns. Syftet med detta rapporteringsområde är att kontrollera huruvida det finns ändamålsenliga mallar samt rutiner för besvarande av rättighetsbegäran, huruvida inkomna begäranden har hanterats inom den tidsram som finns att förhålla sig till samt huruvida svaren till de registrerade, baserat på ett antal stickprov, uppfyller lagkraven. Kontroller och iakttagelser gjord av dataskyddsombudet Finns det ändamålsenliga mallar samt rutiner för besvarande av begäran från den registrerade? Det finns sedan tidigare en rutin för besvarande, rutinen har i dagsläget vissa brister och är under bearbetning för 2025. Hur många begäranden (om registerutdrag, begränsning, radering etc.) har under året inkommit från de registrerade? 8 st Hur många av de inkomna begärandena har besvarats av verksamheten inom en månad? Samtliga Baserat på ett antal stickprov genomförda av dataskyddsombudet, uppfyller svaren till de registrerade lagkraven? Det finns risk att samtliga relevanta system inte söks igenom enligt tidigare rutiner för registerutdrag. Mallen för beskrivningen av utdraget innehåller för lite uppgifter, även om tillgången till de faktiska uppgifterna är kompletta. Följande uppgifter ska i rätt till tillgång följa med: • Uppgifter om till vilka som personuppgifter har överförts • Laglig grund för hantering av uppgifterna • Vad syftet varit med insamlandet av de specifika uppgifterna • Hur länge informationen ska bevaras • Var uppgifterna hämtats. En hänvisning generellt till personuppgiftspolicyn på hemsidan kan inte anses tillräckligt. Därutöver är logginformation om personer som läst ett ärende, också att räkna som en personuppgift även om exakt person med tillgång (anställdas namn och identifikation) inte behöver följa med. Uppgift om möjlighet att lämna klagomål till IMY har inte heller lämnats. Dataskyddsombudets jämförelse med föregående års resultat Ny rutin har tagits fram men saknar mall-del och är ännu inte i bruk. Tidigare brister kvarstår. Dataskyddsombudets bedömning samt rekommendationer Nya rutiner och mallar för att tillgodose tillgångens alla delar behöver göras. I övrigt har bolaget visat god förmåga att i huvudsak uppfylla kravet om att ge registrerade tillgång till sina faktiska uppgifter och göra det inom utsatt tid enligt dataskyddsförordningen. En förenklad möjlighet att ta del av generella uppgifter som bolaget har tillgång till i en automatiserad process till enskild (t.ex. till bankid-inloggad tjänst) skulle kunna 5. Personuppgiftsincidenter Bakgrund och syfte Med begreppet personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Om en inträffad personuppgiftsincident medför en risk för fysiska personers rättigheter och friheter ska den anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från upptäckt. Om personuppgiftsincidenten sannolikt leder till hög risk för de registrerade måste de informeras utan onödigt dröjsmål. Om en personuppgiftsincident inte bedöms vara anmälningspliktig ska den dokumenteras. Syftet med detta rapporteringsområde är att kontrollera huruvida det säkerställs att samtliga medarbetare har den kunskap som krävs om personuppgiftsincidenter, huruvida det finns ändamålsenliga rutiner för att hantera händelser som kan utgöra personuppgiftsincidenter och huruvida dessa rutiner följs. Kontroller och iakttagelser gjord av dataskyddsombudet Hur säkerställs det att samtliga medarbetare har den kunskap som behövs för att veta hur denne ska agera vid en personuppgiftsincident? Information har gått ut till alla medarbetare om nödvändigheten att rapportera incidenter och särskilda insatser för att informera har gjorts under året. Hur man rapporterar incidenter skiljer sig åt mot utbildningen i stadens gemensamma utbildningsplattform, och den information som ges på intranätssidan. Ett fullgott systemstöd för hantering av personuppgiftsincidenter används dock inte i nuläget. Finns det ändamålsenliga rutiner för att hantera händelser som kan utgöra potentiella personuppgiftsincidenter? Följs dessa? Nya rutiner har tagits fram för 2025. Rutinerna har följts. Hur många personuppgiftsincidenter har dokumenterats under året? 7 Hur många personuppgiftsincidenter har anmälts till IMY under året? 0 Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Ny förbättrad rutin för hantering av incidenter har tagits fram. Skillnaden mellan utbildningens information om hur man rapporterar incidenter och faktisk rutin kvarstår. Dataskyddsombudets bedömning samt rekommendationer Bolaget har god förmåga att hantera och följa upp incidenter, och har rutiner på plats för hanteringen om dem. Information om vikten av att rapportera personuppgiftsincidenter görs kontinuerligt. Rådet att skaffa bra 6. Överföring till tredje land Bakgrund och syfte För att säkerställa att den nivå av skydd för personuppgifter som ställs i GDPR inte undergrävs får överföringar av personuppgifter till länder utanför EU/EES (tredje land) endast ske under särskilda förutsättningar. Det innebär att sådan överföring måste stödjas på antingen ett beslut från EU-kommissionen om att landet ifråga upprätthåller en adekvat skyddsnivå, att överföringen omfattas av en lämplig skyddsåtgärd eller i särskilda undantagsfall. Vidare behöver även kompletterade skyddsåtgärder, utöver de lämpliga skyddsåtgärderna, vidtas i vissa fall.1 Syftet med detta rapporteringsområde är att rapportera huruvida personuppgiftsansvarig har identifierat de tredjelandsöverföringar som utförs, huruvida personuppgiftsansvarig tillämpar överföringsverktyg på de tredjelandsöverföringar som utförs och om nödvändiga bedömningar har gjorts avseende tredjelandsöverföringarna. Kontroller och iakttagelser gjord av dataskyddsombudet Har personuppgiftsansvarig identifierat de tredjelandsöverföringar som utförs? Personuppgiftsansvarig har angett tredjelandsöverföringar i registerförteckningen. De har kontrollerats med stickprov av dataskyddsombudet under året genom kontroll av personuppgiftsbiträdesavtal. Noteras viss osäkerhet gällande personuppgifter kopplade till 1 Europeiska dataskyddsstyrelsens (EDPB) Rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överenstämmelsen med EU-nivån för skydd av personuppgifter, Version 2.0, Antagna den 18 juni 2021. tilläggstjänster på hemsidan kopplat till överföring av IP-adresser eller funktionalitet av hemsida. Tillämpar personuppgiftsansvarig ett överföringsverktyg på de tredjelandsöverföringar som utförs? I de fall det är aktuella förlitar man sig på adekvansbeslut i huvudsak. Bolaget har få tredjelandsöverföringar, men genom relationen med Hitta.se finns en sådan risk. Har nödvändig bedömning, ”Transfer Impact Assessment” (TIA), gjorts avseende tredjelandsöverföringarna? En TIA görs under året för hantering av viss information, men är ännu inte färdigställd. Adekvansbeslut i sig kräver inte en TIA (aktuellt för användande av spårtekniker på hemsida). Viss osäkerhet finns gällande deltjänster och vilken överföringsteknik Dataskyddsombudets jämförelse med föregående års resultat Skiljer sig resultatet åt från föregående år och hur i så fall? Frågan är ny och ingen jämförelse finns med tidigare års resultat. Dock innefattade uppföljningen av personuppgiftsbiträdesavtal även en kontroll av tredjelandsöverföringen det året. Då åtgärdades frågetecken som framkommit. Dataskyddsombudets bedömning samt rekommendationer Bolaget har god kontroll över sina överföringar, undantaget relationen till hitta.se (se mer information under den särskilda uppföljningen för cookies) och vissa andra cookies-tjänster. Bilaga 2 – Andra genomförda granskningar och omvärldsbevakning Andra granskningar som dataskyddsombudet har genomfört under året Genomförda granskningar och deras resultat Granskning av behörighetsstyrning Under året har en granskning genomförts av behörighetsstyrning. Bakgrunden är tidigare årsrapporters uppmärksamhet av bristande behörighetsstyrning. Granskningen har delats in genom kontroll av behörighetsrutiner för verksamhetssystem, samt att uppföljningar har gjorts för behörighetskontrollen. I de kontrollerade verksamhetssystemen var uppföljningar gjorda under året för samtliga system för behörigheter. Det fanns även en central rutin för behörighetstilldelningar som använts för samtliga system. Vissa system har bättre utvecklad dokumentation för behörighetstilldelning. Granskning av spårningstekniker (cookies) Granskning har gjorts av cookie-hantering på hemsidan. Cookie-hantering görs även med kompletterande direktiv från EU, genom lagen om elektronisk kommunikation (LEK). Granskning har gjorts av faktisk trafik och faktiska cookies på hemsidan, information som ges på hemsidan och överföring av cookies. Bolaget har arbetat aktivt under året för att lösa mindre frågor som behöver korrigeras i informationen. Bannern för cookies innehåller korrekt information och det är lika lätt för den registrerade att klicka ja som nej. Bland de cookies och de script som kontrollerats noteras att ett tredjeparts- script används genom kartfunktionen till hitta.se. Det innebär att IP-adresser och besökt sida från besökare på bostadsbolaget överförs till hitta.se. Det saknas tydlig relation till hitta.se om det i den funktionen agerar personuppgiftsbiträde eller personuppgiftsansvarig. Även om hitta.se har förflyttats under året till funktionella kakor, sker överföring av information till hitta.se av vilken sida som besöks och kart-val för t.ex. lägenhet som kollas. Den funktionen görs även om inte en text-kaka sätts, och bör ses som användning av information i URL översänds till tredjepart utan klar information och där relationen inte är klarlagd med hitta.se. Det noteras också att viss trafik görs även innan användaren accepterats, dels sker det genom den tredjepartslösning som en extern cookie-banner innebär och användandet av google tag- manager. Domstol i de-noz i Hannover har nyligen kommit fram till just användandet av google- tag-manager inte bör göras innan samtycke. Samma problem uppstår med vissa sidor på bostad.stockholm.se som använder sig av google-fonts. Granskning har även gjorts av det nyhetsbrevs utskick som används genom plattformsstöd. Även detta innehåller pixlar och individualiserade utm-koder m.m. som möjliggör spårning av mottagare. Statistiken används inte av Bostadsförmedlingen. Men teknikens användning innebär ändå att informationen trots detta samlas in och spårningstekniker i nyhetsbrev är inte tillåtet utan samtycke. Samtycket ska vara tydligt och informerat, själva acceptansen att man mottar ett nyhetsbrev är inte tillräckligt. Gallringar i verksamhetssystem Tidigare dataskyddsombud har påtalat bristen av gallring i verksamhetssystem. Dataskyddsombudet har efterfrågat vilka åtgärder som gjorts för att säkra att uppgifterna bara sparas så länge det behövs, och skiljs från verksamheten om anledning för bevarandet beror på arkivlagen och långsiktigt bevarande. Verksamheten har fortsatt utveckling av systemet för att kunna hantera en gallring som bättre är anpassad efter lagringsminimering. Detta är dock ett pågående projekt som inte avslutats under 2025 varpå risken fortsatt kvarstår. Dataskyddsombudets rekommendationer baserat på iakttagelserna ovan Dataskyddsombudets rekommendationer 1. Bolaget fortsätter enligt nuvarande metoder samt utvecklar rutiner för specifika verksamhetssystem. Det för att säkerställa minsta möjliga behörighet tilldelas användare. 2. Det rekommenderas att hemsidan har en policy för att undvika onödiga spårningstekniker eller överföring av information till annan personuppgiftsansvarig. Kontrollera att nödvändigt avtal finns på plats, att val av lagrings och spårningstekniker är strikt nödvändiga endast när det verkligen behövs för en tjänst som besökaren uttryckligen kan antas efterfråga. 3. Det rekommenderas att förändringar i verksamhetssystem och lagringsminimering fortsätter och avslutas. Omvärldsbevakning Under året bör det särskilt nämnas att EU-kommissionen lanserat ett förslag för omfattande förändringar i GDPR, det s.k. omnibusdirektivet. Det kan dels påverka hemsida och digitala tjänsten för hur bolaget ska spara och hantera samtycke för spårningstekniker och funktionalitet. Läget i omvärlden bör fortsatt anses osäker, varpå överföringar med adekvansbeslut till t.ex. USA är förenade med risker då den oberoende kommitté tillsatt för att övervaka överföringen av personuppgifter och garantera registrerades rättigheter inte på samma sätt kan hävda samma oberoende. Det är därmed även viktigt att vid tillfällen man baserar överföring till USA också har en exitstrategi om rättsläget förändras, det då detta skett tidigare i samband med de s.k. ”Safe Harbor” och ”Privacy Shield” underkändes. Ytterligare ny praxis som bör uppmärksammas gäller inhämtning av uppgifter från skatteverket gällande bostadsadresser. Beslut från IMY i ett tillsynsärende, menar på att adresser från skatteverket i deras fall inte kan hämtas in med avtal som laglig grund, och att säkerheten för att dela adress och personnummer kräver högre skydd vid visning (avtal inte kan användas som accept för t.ex. lägre säkerhet.) . Det är oklart om och hur detta påverkar bolaget. Övrigt att rapportera Zoom är ett verktyg som används inom bolaget för att hantera möteskommunikation m.m. Verktyget sköts av staden centralt, men uppgifterna i verktyget och hur personuppgifter ska hanteras tillhör fortfarande bolaget. Det noteras att funktioner sätts på och möjliggörs utan vetskap för bolaget. Ett sådant exempel är transkribering samt inspelning, som innebär en stor risk för att bolaget i interna möten och samtal inte uppgifts-minimerar på korrekt sätt. Det saknas även korrekt information till registrerade för detta.