Skip to content

"Inte spexigt men affärskritiskt - dags för jurister att börja bry sig om informationssäkerhet"

KRÖNIKA - av av David Frydlinger, advokat och delägare på advokatfirman Lindahl

 

För många jurister ger ordet informationssäkerhet inte spexiga associationer. Ungefär som ställningsfullmakt eller skuldebrev. Det är väl något som man håller på med på IT-avdelningen tänker många. Inte mycket för bolagsjurister och advokater att bry sig om.

Men här bör man tänka en gång till. Att hantera informationssäkerhet även juridiskt har faktiskt i många fall blivit affärskritiskt. Av ett enkelt skäl: företags information - kunddata, patent, finansiell information, algoritmer och så vidare - är allt oftare den mest värdefulla tillgången. Informationskapitalets värde överstiger inte sällan med råge värdet av alla fysiska tillgångar och de anställdas kompetens.

Det är därför det finns en stor - ofta kriminell - marknad för information. Att minska risken för att informationskapitalet skadas eller kommer i orätta händer innebär därför ofta att öka värdet på det som är mest värdefullt för ett företag. Detta är något som jurister måste bry sig om.

En dag upptäcker försäljningschefen på ett stort svenskt bolag att orderingången har sjunkit betänkligt de två senaste kvartalen. Det är märkligt, för kunderna har sedan länge varit nöjda med företagets produkter och tjänster och inga synliga förändringar har skett i företagets utbud. Och inget av företagets konkurrenter har gjort några spektakulära produktlanseringar.

Men det är tydligt att konkurrenterna vinner alltfler affärer medan försäljningschefens företag tappar affär efter affär. Framförallt till en av konkurrenterna.

Man börjar misstänka att en av företagets säljare - Olle - läcker information. Olle kan ha sålt information om företagets kunder, vilka priser de erbjuds, när deras kontrakt går ut och så vidare. Med tillgång till denna information skulle det ha blivit en lätt match för konkurrenterna att vinna affärer från företaget.

Här är det långt från brandväggar och virusskydd. Men det handlar om informationssäkerhet. Kundinformation av detta slag är oerhört värdefull. Den måste skyddas - mot Olle.

Men är det OK för företaget att börja bevaka Olles göranden och låtanden, kontrollera vad han gör med sin dator, vilka privata mail han skickar, vilka han ringer, vilka han träffar och så vidare? Är det OK att börja kameraövervaka honom? Är det OK att konfrontera Olle med denna information och förhöra honom Vad händer om han erkänner? Kommer man att kunna avskeda honom? Kommer erkännandet att räcka som bevis i domstol om företaget skulle stämma Olle?

Alla dessa frågor är mycket viktiga, juridiska frågor om informationssäkerhet.

Informationssäkerhet handlar om att skydda informations konfidentialitet, integritet och tillgänglighet. Bara behöriga personer ska få tillgång till information och göra ändringar i information.

Information måste finnas tillgänglig när den behövs. I fallet med Olle handlar det framförallt om konfidentialitet. I förhandlingar med till exempel IT-leverantörer som hanterar företagsinformation blir det lika aktuellt att ställa krav för att skydda informationens integritet som dess tillgänglighet.

Informationssäkerhetsområdet delas lämpligen upp i tre moment, både ur teknisk, organisatorisk och juridisk synvinkel.

Först handlar det om att förhindra informationssäkerhetsincidenter. Här finns det lagkrav att uppfylla, exempelvis avseende tekniska och organisatoriska åtgärder för att skydda personuppgifter. Policys och instruktioner behöver upprättas, de rätta avtalsklausulerna måste inkluderas i anställnings-, kund-, och leverantörsavtal och så vidare.

Sedan handlar det om att förbereda sig för informationssäkerhetsincidenter. När EU:s dataskyddsförordning träder i kraft 2018 kommer det till exempel att finnas krav på att notifiera Datainspektionen inom 72 timmar om personuppgifter har läckt ut. Genom kommande lagstiftning kommer detta krav att utökas till att omfatta även annan information för många företag. 72 timmar är inte lång tid när det är kris. Man måste förbereda sig.

Slutligen handlar det om hur man ska reagera om en informationssäkerhetsincident inträffar. Exemplet med säljaren Olle hamnar i denna fas. Juridiskt är det dock så att svaret på frågan vad företaget får göra för att skydda sig mot Olle i hög grad beror på vilka åtgärder företaget sedan tidigare har vidtagit sig för att förhindra incidenter. Har man till exempel informerat de anställda om att mail kan komma att övervakas om man misstänker oegentligt agerande? När Olle väl har börjat läcka information är det så dags.

Nej, informationssäkerhet låter inte spexigt. Men att vidta juridiska åtgärder för att skydda och därigenom öka värdet på ens företags mest affärskritiska tillgångar låter spexigare.

Och spexigt eller inte så är detta med informationssäkerhet någonting som jurister behöver börja bry sig om. Idag.

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt