ARBETSGIVARPODDEN 46: Kan man bygga informationssäkerhet på tillit?, transkribering

Transkribering av ARBETSGIVARPODDEN 46: Kan man bygga informationssäkerhet på tillit?

Robert Cloarec: Varmt välkomna till Arbetsgivarpodden, som är Arbetsgivarverkets podcast. Med podden vill vi belysa olika perspektiv, inspirera och sprida kunskap om arbetsgivarfrågor. Arbetsgivarverket är arbetsgivarorganisationen för de statliga arbetsgivarna. Mitt namn är Robert Cloarec, och med mig i dag har jag två gäster, Margareta Palmqvist, enhetschef på Avdelningen för cybersäkerhet och säkra kommunikationer på MSB, Myndigheten för samhällsskydd och beredskap. Hej Margareta.

Margareta Palmqvist: Hej.

Robert Cloarec: Och Rose-Mharie Åhlfeldt, biträdande professor vid Institutionen för informationsteknologi vid Högskolan i Skövde. Hej Rose-Mharie.

Rose-Mharie Åhlfeldt: Hej Robert.

Robert Cloarec: Kul att ha dig här, och varmt välkomna till Arbetsgivarpodden.

Rose-Mharie Åhlfeldt: Tack.

Margareta Palmqvist: Tack.

Robert Cloarec: Vi lever i dag i ett informationssamhälle, där informationen bearbetas, lagras och kommuniceras i större omfattning än tidigare. Den offentliga förvaltningen digitaliseras allt mer, och på både vår arbetsplats och i vårt privatliv hanterar vi dagligen stora mängder information. Informationssäkerhet är därför en viktig faktor. Men vad är det? Varför är det viktigt att ha koll på? Och hur kan vi jobba med det på ett systematiskt sätt i våra organisationer? Kan man bygga informationssäkerhet på tillit? Det är några av de frågor jag hoppas att vi ska få svar på i dag. Margareta, vi börjar med en kort presentation. Kan du berätta lite om vem du är, din roll och MSB:s uppdrag kring informationssäkerhet?

Margareta Palmqvist: Ja, det gör gärna. Jag är alltså enhetschef på en enhet som heter Systematisk informationssäkerhet. MSB har ett brett uppdrag inom informations- och cybersäkerhetsområdet. Vi ska ge råd och stöd till hela näringslivet och till offentlig sektor i hur man jobbar med informationssäkerhet. Vi tillhandahåller också säkra kommunikationer. Och sen förebygger vi, vi hjälper till att förebygga IT-incidenter.

Robert Cloarec: Så ni har en extern roll mot samhället? Det är det som är ert stöd?

Margareta Palmqvist: Precis.

Robert Cloarec: För oss andra, helt enkelt.

Margareta Palmqvist: Ja.

Robert Cloarec: Tack. Då frågar jag dig, Rose-Mharie, vem är du? Och hur jobbar du med informationssäkerhet? Och var finns du?

Rose-Mharie Åhlfeldt: Jag är biträdande professor på Institutionen för informationsteknologi på Högskolan i Skövde. Vi är ju ett lärosäte, så vi har ju både forskning och utbildning, och även då den tredje uppgiften. Så vi har dels inom det här området som vi ska prata om i dag, informationssäkerhet, har vi dels inslag i vår grundutbildning, men vi har också en masterutbildning nu som heter Privacy information security and cybersecurity. Där vi då försöker att utbilda människor i det här området, och det vi också tycker är intressant att vi kan liksom kombinera de här olika delarna inom informationssäkerhetsområdet. Och så forskar vi inom området, och tittar mycket på det här med, från min sida då, det systematiska arbetet, hur vi kan förbättra och komma fram med nya metoder och verktyg, för att få det här användbart i organisationen.

Robert Cloarec: Tack. Då vill jag ställa en grundläggande fråga till er båda, nämligen: Vad är informationssäkerhet? Och var handlar det om? Vad säger du, Rose-Mharie?

Rose-Mharie Åhlfeldt: Ja, tittar man på det som definieras utifrån de standarder vi har, så säger man ju bevarande av informationens konfidentialitet, riktighet och tillgänglighet. Och det betyder ju då att vi ska skydda informationen så att vi kan bibehålla både konfidentialiteten, alltså att inte obehöriga ska ha tillgång, men också det här att informationen håller kvalitet. Att den inte blir modifierad eller förändrad på något sätt. Och sen då att vi kan nå informationen, tillgängligheten. Det är viktigt.

Robert Cloarec: Har du någon kompletterande kommentar, Margareta?

Margareta Palmqvist: Nej, jag håller helt med det. Jag brukar ta som exempel en patientjournal, för det kan de allra flesta relatera till, att den behöver ju vara informationssäker på alla de här tre aspekterna. Dels ska ju den vara inte öppen för vem som helst. Jag vill inte visa för alla vad som står i min journal. Det som står däri ska inte förvanskas från en dag till en annan, eller från ett sjukhus till ett annat. För om det stor fel blodgrupp så blir det inget bra. Och det tredje är att den ska finnas tillgänglig när den behövs. Kommer jag in på akuten ska den ju kunna snabbt finnas där för läkarna. Så att alla de här tre aspekterna omfattar begreppet informationssäkerhet.

Robert Cloarec: Kan du upprepa de tre aspekterna?

Margareta Palmqvist: Konfidentialitet, riktighet och tillgänglighet.

Robert Cloarec: Margareta, hur bra är statliga myndigheter på informationssäkerhet? Du jobbar ju mot hela samhället, men den statliga sektorn, hur ser du på den?

Margareta Palmqvist: Ja, den frågan kommer vi kunna besvara väldigt bra, tror jag, om ungefär ett halvår. För vi har ju tagit fram ett verktyg som man kan mäta sitt systematiska arbete med, som vi har erbjudit hela offentliga förvaltningen. Vi håller nu på och sammanställer svaren från det. Alla organisationer som har svarat kommer få en återkoppling om hur bra de ligger till. Generellt kan man väl säga att det finns ganska stora förbättringsmöjligheter inom staten på det här området. Det som övergripande, kan man säga, är bristen, det är ju kompetens, kunskap på området, och resurser som tilldelas för det här.

Robert Cloarec: Så det är de vanligaste bristerna då? Eller finns det andra?

Margareta Palmqvist: Det är övergripande brister. Har man inte det här på plats, då blir svårt att gå vidare.

Robert Cloarec: Hur bred kompetens bör det vara? Är det hela organisationen, eller är det nyckelpersoner, eller?

Margareta Palmqvist: Ja, alla behöver ju ha en kunskap utifrån det ansvar de har, och vilken information de hanterar. Så att det finns hela skalan, skulle jag vilja säga. Från djupa specialister till medarbetarens medvetenhet kring frågan.

Robert Cloarec: Och du Rose-Mharie, hur ser du, hur man statliga myndigheter bli bättre på att jobba systematiskt med informationssäkerheten?

Rose-Mharie Åhlfeldt: Ja, man måste ju förstå att det här är en viktig sak för oss. Jag tror att det är, det finns en väldig naivitet i dag, att det liksom bara fungerar och det rullar på, det händer inte så mycket. Men det ser vi ju mer och mer att det gör. Och man måste förstå värdet av det här med att skydda informationen, och se det som en investering. Inte det här att som det ofta tyvärr blir, att man ser det som en kostnad enbart, eller en bromskloss i utvecklingen och så. Utan att man förstår att ha ordning och koll på sin information. Det är bra. De ökar kvaliteten, och det är ett bra sätt också utåt att visa på att vi jobbar med de här frågorna.

Robert Cloarec: Innan jag frågar Margareta ska jag fråga dig: Hur arbetar du med att stötta statliga myndigheter? Får du sådana uppdrag?

Rose-Mharie Åhlfeldt: Ja, alltså jag sitter ju med då i vårt lärosäte. För vi är ju också en statlig myndighet och ska jobba med de här frågorna. Och vi försöker i den mån vi kan och har möjlighet då att stötta det här arbetet även internt hos oss. Så absolut. Vi har varit med i lite olika aktiviteter där.

Robert Cloarec: Och då, Margareta, hur kan MSB stötta myndigheterna? Hur arbetar ni med det? Uppenbarligen har ni det som uppdrag.

Margareta Palmqvist: Ja, det är vårt uppdrag och vi gör massor med saker. Jag ska nämna några här: Allt från utbildningar till olika former av stöd. Så vi har till exempel webbutbildningar. Vi har lärarledda utbildningar, där bland annat Rose-Mharie är med och undervisar, eller föreläser. Vi har olika former av vägledningar på vår webbsida, som heter informationssakerhet.se. Vi har ett väldigt centralt stöd som handlar om hur man faktiskt får till det systematiska arbetet, som vi kallar för metodstödet för systematiskt informationssäkerhetsarbete. Vi har också en liten översikt för den som bara vill läsa 20, 25 sidor om vad det här handlar om. Vi gör små filmer som beskriver hur man kan jobba. Vi gör också lite mer specifika publikationer, till exempel kring upphandling. För det är en väldigt central fråga, att man upphandlar information säkert. Och vi har nätverk för olika organisationer, bland annat ett nätverk för statliga myndigheter, där alla är välkomna att delta. Den personen som har huvudansvaret att driva informationssäkerheten bjuder vi gärna in till det här nätverket.

Robert Cloarec: Så informationssakerhet.se hette sidan?

Margareta Palmqvist: Heter sidan. Och nätverket heter Snits.

Robert Cloarec: Snits. Det låter snitsigt. Och då kan man vända sig till er om man behöver hjälp, via den här hemsidan då?

Margareta Palmqvist: Det tycker jag absolut man kan göra. Där är adressen, informationssakerhet@informationssäkerhet.se. Vi svarar på era frågor. Vi svarar alltid på era frågor.

Robert Cloarec: Informationssäkert, hoppas jag?

Margareta Palmqvist:Absolut.

Robert Cloarec: Du nämnde det här med upphandlingar, det tycker jag är intressant. Vad är risken med upphandlingar?

Margareta Palmqvist: Ja, om man nu köper in saker, det behöver inte bara vara tekniska saker utan vad som helst där information på något sätt är inblandad, då är det ju viktigt att man ställer krav på det man vill köpa, som motsvarar den säkerheten man vill ha. Det blir ju väldigt dyrt om man köper in någonting som inte är tillräckligt, visar sig sen inte vara tillräckligt säkert. Och vi köper ju in väldigt mycket i staten. Så det är väldigt viktigt. Det är mycket pengar där. Så att vi ska ju köpa informationssäkra prylar, och tjänster, för den delen.

Robert Cloarec: Om vi går ner på basnivå, Rose-Mharie, vad säger du om mitt ansvar som medarbetare? Var kan jag göra? Vad har jag för ansvar? Och hur kan jag bidra till informationssäkerheten?

Rose-Mharie Åhlfeldt: Ja, men alla har ju sitt ansvar i en organisation. Det var ju lite grann som Margareta sa också. Jag menar, ledarna har sina ansvarsområden, och vi som medarbetare har ju också våra ansvarsområden. Det handlar ju dels om att veta naturligtvis, vad är det för regelverk som vi ska följa inom organisationen? Och faktiskt göra det. Men sen handlar det också om att vara, öka den här medvetenheten som vi också nämnde här tidigare, hos varandra. Och här tror jag att man lägger gärna ett stort ansvar på medarbetarna, men det ligger ett ännu större ansvar, skulle jag vilja säga, på ledningen, att faktiskt ge den här utbildningen. För man kan inte begära hur mycket som helst av medarbetaren. Utan man måste också liksom ge den möjlighet att få sin kompetens, utifrån det ansvarsområde man har.

Robert Cloarec: Men som medarbetare kan man ta ansvar genom att eftersöka och interninformation och vad som behövs, och vad är viktigt hos oss?

Rose-Mharie Åhlfeldt: Ja, visst. Alltså, du måste ju vara medveten om vilken information du själv hanterar. Och vad som gäller för den informationen. Hos oss till exempel på lärosätena har vi ju mycket det här med forskningsdata. Vilket ju är jätteviktig information. Och hur hanterar vi den? Och hur gör jag som forskare när jag ska hantera den här informationen? Att dels ta reda på vad det är för regelverk omkring det, men också att göra det då på det sättet som man ska göra. Och det är ju inte alltid att det finns möjligheter till att göra i organisationen. För man kanske inte har gjort det här arbetet som vi värnar om, och som vi pratar om i dag. Och då hamnar man ju i en speciell situation. Men då är viktigt att man pushar på även underifrån. Och väcker den här frågan till ledningen, så att man också får det här, ja, att man liksom lyfter att det är viktigt att vi jobbar med det här.

Robert Cloarec: Var har då chefen och arbetsgivaren för ansvar? Vad har ledningen för ansvar för informationssäkerheten?

Rose-Mharie Åhlfeldt: Ja, ledningarna är ju en av de funktionerna som vi prioriterar, när vi riktar oss till våra målgrupper. Dels är det då den här informationssäkerhetspersonen som ska driva frågan och samordna. Och sen är det ledningarna som behöver veta vad de ska göra, och att det här är viktigt. Det vi särskilt trycker på, det är ju egentligen två saker. Eller tre saker. Det ena är att det här är ett samarbete. Man kan inte som ensam informationssäkerhetsansvarig få det här att hända. Och ledningarna behöver främja samarbetet i organisationen. Det är en sak. Ledningarna behöver förstå att de ska understöda det systematiska arbetet. De behöver inte gå in i specifika detaljfrågor. De behöver inte vara specialister. De ska luta sig på sin informationssäkerhetsansvarig, och starta ett samarbete med den personen, och vara klara över varandras roller. Och sen det sista är det här med kulturen. Att ledningarna är ju de som sätter kulturen. Och där är det ju jätteviktigt med det här att händer det oönskade avvikelser, incidenter, så är det någonting som är en gåva, och inte någonting som man ska helst prata tyst om och sopa in under mattan. Det är ju en kultur som ledningen sätter, vill jag mena. Att man ser att det här ska upp på bordet, det här är saker som vi kan förbättra. Vi har en liten skrift som är just till ledningar, som jag kan rekommendera.

Robert Cloarec: Och den heter?

Rose-Marie Åhlfedlt: Den heter Ledningens roll inom informationssäkerhet. Och underrubriken är: Stöd för dig med en ledande funktion.

Robert Cloarec: Och den hittar vi var då?

Rose-Mharie Åhlfeldt: På informationssakerhet.se.

Robert Cloarec: Det finns ju ett begrepp, informationsskuld. Rose-Mharie, du upplever ju att det är svårt att få fart på arbetet med informationssäkerhet. Varför tror du att det är det? Går det att göra det enklare och förbättra all informationssäkerhet? Få bort den här skulden?

Rose-Mharie Åhlfeldt: Ja, det där kan man ju diskutera mycket om, det här med förenkling. Det är ju lätt så, när man kommer in i ett område som man kanske inte har så mycket kunskap kring, att man gärna vill försöka hitta genvägar och så. Jag skulle vilja säga att i det här sammanhanget så får man en förståelse för vad det handlar om. Och även om vi har mycket stöd, vi har standarder som säger vad man behöver tänka på. Vi har det här metodstödet som ger ytterligare en skjuts i den här riktningen, att säga lite mer hur. Men det handlar ju om att försöka anpassa det här till den verksamhet vi har. Och förenklingen där ligger ju, tycker jag, i den här anpassningen. Beroende på hur stor organisation vi har. Beroende på vilken typ av information vi har. Och så vidare. Så att förenkla och tro att man kan hitta andra genvägar, det tycker jag är lite naivt. För jag menar, så gör vi inte i andra sammanhang. Jag brukar jämföra informationssäkerhetsområdet ibland med ekonomi. När vi pratar om hur vi hanterar det här inom organisationen. Vi är inte experter ifrån ledningsfunktioner på ekonomi, men vi har ansvar för ekonomi. Vi har ansvar för budget. Vi har ansvar för bokslut och så vidare. Men vi har också en enhet som jobbar med det här, som vi kan luta oss mot, som har den här kompetensen. Och på det sättet så måste vi ju göra på samma sätt, även inom informationssäkerhetsområdet, och förstå att vi måste jobba systematiskt på det. Jag menar, det skulle ju inte funka att någon kommer och säger, kan vi förenkla budgetarbetet i år? Ja, man vi gör bara hälften. Eller vi gör någonting annat. Det funkar inte så. Utan vi anpassar oss ju till den verksamhet vi har, utifrån det som vi pratar om budget, så. Och på samma sätt måste vi göra här. Att förstå att det här är någonting som är självklart, inom citationstecken, att jobba med i organisationerna på det här sättet.

Robert Cloarec: Vad är risken om man inte gör det? Vad ser ni som de stora riskerna?

Rose-Mharie Åhlfeldt: Ja, då kan det ju bli avbrott i verksamheten. Det kan ju bli alla möjliga problem, med kostnader som följd. Ryktet kan ju, eller tilliten till organisationen kan ju helt klart brista, om man inte sköter sin information.

Robert Cloarec: Det är klart, medborgare, företag, samhället blir ju osäkrare mot den myndigheten då.

Rose-Mharie Åhlfeldt: Ja.

Margareta Palmqvist:Jag brukar ställa den här frågan: Tänk er en dag utan information. Vad gör vi då? Det är lite grann svar på riskerna. Ja, men vad händer? Vi kommer ju inte kunna utföra vårt arbete.

Robert Cloarec: För finns det inte informationssäkerhet så den som vill ge information vågar inte ge information.

Margareta Palmqvist: Och den som vill ha information kanske inte får den. För att den inte finns tillgänglig.

Robert Cloarec: Jag tänkte sammanfatta vårt samtal med några konkreta tips och råd på hur man kan jobba systematiskt med informationssäkerhet. Margareta, hur kan man organisera och strukturera arbete med informationssäkerhet på en myndighet? Hur bör man börja?

Margareta Palmqvist: Ja, det är en fråga som vi får lite då och då. Vad börjar vi? Och det beror på, blir ju mitt svar då. Det finns inget rätt eller fel ställe att börja på. Det tycker jag är beroende på vad som pågår i en organisation. Det är klart att det är ju ganska svårt att bedriva ett rationellt informationssäkerhetsarbete om man inte har koll på vilken information man hanterar i organisationen. Så det är väl alltid ett bra ställe att ta reda på: Vad har vi för information? Att kartlägga, inventera den. Och hur vandrar informationen i våra verksamheter eller våra processer? Vilka system finns de i? Och var finns informationen över huvud taget? Det är ju ganska grundläggande. Och utifrån det, när man sen vet vilken information man har, då behöver man ju fundera på, vilket värde har den här informationen för oss? Och det är det vi kallar för att klassa informationen. Och utifrån det sen kan man göra olika riskanalyser. Men det kan ju vara så att organisationen till exempel håller på att se över sina styrdokument just nu. Då är ju det ett perfekt ställe att gå in och se till att man får in informationssäkerhetsaspekten i styrdokumenten. Så man slipper jobba med det vid sidan av. Över huvud taget är det också någonting som vi vill trycka jättemycket på, det här med att integrera informationssäkerhetsarbetet i befintlig verksamhetsstyrning. Det finns ju en systematik i en organisation. Jag vill påstå att alla myndigheter har det på något sätt. Man jobbar ju med intern styrning och kontroll, och det finns en systematik i det. Och att hänga på informationssäkerhetsarbetet i befintligt årshjul, i befintliga cykler, i befintliga arbetssätt, det är det bästa sättet. Börja där någonstans.

Robert Cloarec: Och så kan man börja med att titta på informationssakerhet.se.

Margareta Palmqvist: Det kan man också göra.

Robert Cloarec: Rose-Mharie, vilka är de tre viktigaste delarna för mig som medarbetare att ha koll på? För att inleda ett informationssäkerhetsarbete, eller för att bli mer kapabel.

Rose-Mharie Åhlfeldt: Ja, alltså medarbetarens ansvar att sätta i gång, tror jag, den kanske man inte ska lägga på medarbetaren. För den ligger på ledningen. Och jag skulle verkligen vilja trycka på att där måste ledningen få ta det ansvaret. Men som medarbetare så klart att du måste, som vi sa förut, att känna till det regelverk som jag har att följa som medarbetare. Det ska jag absolut göra. Och sen också att vara med och pusha på. För förstår jag vad det här handlar om, och anser också att den informationen som jag håller på med är viktig, då är det ju också viktigt att jag försöker att trycka upp det för närmaste chef eller ledningen, olika ledningsfunktioner, så att vi får i gång också den här, öka den här medvetenheten. Men också vara uppmärksam, och inte kanske så naiv. Utan förstå att vi är också utsatta för olika typer av hotbilder. Inte hålla på och klicka på länkar och så, och tro att allting är bara fritt fram. Utan var uppmärksam. Var lite på.

Robert Cloarec:  Men det kan ju vara så att man som medarbetare får ett nytt uppdrag, en utvecklande verksamhet, och sen inser man, här finns informationssäkerhetsproblem att lyfta.

Rose-Mharie Åhlfeldt: Precis. Och då ska man göra det.

Robert Cloarec:  Ja. En fråga till er båda: Kan man bygga informationssäkerhet på tillit?

Margareta Palmqvist:: Ja, det är en intressant fråga. Man kan ju dela upp den egentligen. Två aspekter. Det ena är det vi var inne på: Tilliten till organisationen. Alltså omvärlden eller samarbetspart eller någonting, vad har de för tillit till organisationen? Det var vi inne på, att har man inte koll på sin information där så byggs det inte riktigt tillit, förstås. Men sen är det ju tilliten internt till organisationen. Och där tycker jag det kopplar väldigt mycket till det här med säkerhetskultur. Man behöver ju ha ramar att förhålla sig till. Man behöver veta vad som förväntas av en. Men det är ju som med all styrning, att inom vissa ramar kan det finnas en frihet, en tillit, att man tar sitt ansvar. Jag vet inte om du vill tillägga någonting, Rose-Mharie?

Rose-Mharie Åhlfeldt: Ja, jag skulle ju vilja önska att jag kunde svara ja på den frågan. Men jag tror att, jag skulle nog vilja säga nej, i stora delar. Men det beror på hur vi definierar tillit, också. Alltså, är det till exempel i våra föreskrifter och sådant, som MSB ger till våra myndigheter, att där finns det ju ett tillitstänk att vi ska jobba med de här frågorna. Och det visar sig ju i stora delar att det gör vi inte riktigt på det sättet. Så där kanske det finns också en naivitet, att man liksom tror att det här funkar bara för att vi har ett dokument som säger att vi ska jobba med det här. Och jag tror också, inom organisationer så lever vi också lite naivt och tror att vi kan bygga på den här tilliten. Jag tror inte att vi kan bygga informationssäkerhet på tillit. Att det sen ska finnas tillit när vi väl har fått den här säkerhetskulturen och fått in det här på ett bra sätt. Men det händer så otroligt mycket i vår omgivning, så här måste vi också förstå att ska vi skydda vår organisation och att det ska, ja, att det inte bara händer här och nu, utan det kan ha också långa konsekvenser av det, då måste vi se till att vi har ett ramverk eller någonting som vi liksom kan hänga upp det här på. Att vi får ett säkerhetsarbete som är värt namnet.

Robert Cloarec: Det är så intressant med ordet tillit, för det går ju åt båda håll. Man kan bygga det genom tillit, men samtidigt, informationssäkerheten är ju också grund för tillit.

Rose-Mharie Åhlfeldt: Precis.

Robert Cloarec: Det börjar bli dags att avrunda. Vi har i dag pratat om informationssäkerhet och vikten av att jobba systematiskt. Stort tack till dig, Margareta, och till dig Rose-Mharie, för att ni ville vara med här i dag och dela med er av er kunskap, era tankar och inte minst era erfarenheter. En fråga till dig, Margareta: Något du vill att vi tar med oss? Det kan vara något du redan sagt och vill förstärka. Eller något helt nytt.

Margareta Palmqvist: Ja, jag skulle ju vilja ge lite uppmuntran till er lyssnare. Är du medarbetare så ta reda på vad som gäller för dig, för den information som du hanterar. Ställ frågor. Det finns inga dumma frågor. Du behöver känna dig trygg, och det gör du om du får svar på dina frågor. Och om du är en person som har någon form av verksamhetsansvar, så ta reda på vad ditt ansvar är i förhållande till det stora systematiska informationssäkerhetsarbetet som pågår i din organisation. Är du processansvarig så kanske du har ansvar för riskerna i din process, informationssäkerhetsriskerna i din process, och så vidare. Ställ frågor. Ta reda på. Och sök svaren tillsammans, om de inte finns.

Robert Cloarec: Tack. Och vad säger du, Rose-Mharie? Vad vill du att vi tar med oss från det här samtalet? Det kan som sagt vara något du har sagt, eller något du vill förstärka, eller något nytt.

Rose-Marie Åhlfedlt: Jag skulle vilja också ha den här uppmuntran som Margareta tar. Men våga börja, om man nu inte har gjort det. Eller våga fortsätta. Se inte det här som ett projekt som har en början och ett slut. Det här är ett förbättringsarbete som vi jobbar med hela tiden. Och att komma i gång med det här är otroligt viktigt. Så våga börja, våga fortsätta, och se det inte som en bromskloss, utan som en investering.

Robert Cloarec: Bra. Tack ska ni ha. Och tack till dig som lyssnat. Om du har några frågor eller förslag på ämnen som du vill att vi ska prata om i podden, hör gärna av dig till oss på webb@arbetsgivarverket.se. Så brukar jag också avsluta varje avsnitt med att säga att vi hörs igen. Men det tänker jag faktiskt inte göra den här gången. Det här är nämligen mitt sista avsnitt, för nu slutar jag på Arbetsgivarverket och går i pension. Jag vill därför passa på att tacka för den här tiden som gett mig möjligheten att möta och samtala med alla spännande gäster. Jag vill också passa på att hälsa min kollega Sofie Andersson välkommen att ta över stafettpinnen som samtalsledare för podden. Lycka till, Sofie. Hej då.