Skip to content

"Inte spexigt men affärskritiskt - dags för jurister att börja bry sig om informationssäkerhet"

KRÖNIKA - av av David Frydlinger, advokat och delägare på advokatfirman Lindahl

 

För många jurister ger ordet informationssäkerhet inte spexiga associationer. Ungefär som ställningsfullmakt eller skuldebrev. Det är väl något som man håller på med på IT-avdelningen tänker många. Inte mycket för bolagsjurister och advokater att bry sig om.

Men här bör man tänka en gång till. Att hantera informationssäkerhet även juridiskt har faktiskt i många fall blivit affärskritiskt. Av ett enkelt skäl: företags information - kunddata, patent, finansiell information, algoritmer och så vidare - är allt oftare den mest värdefulla tillgången. Informationskapitalets värde överstiger inte sällan med råge värdet av alla fysiska tillgångar och de anställdas kompetens.

Det är därför det finns en stor - ofta kriminell - marknad för information. Att minska risken för att informationskapitalet skadas eller kommer i orätta händer innebär därför ofta att öka värdet på det som är mest värdefullt för ett företag. Detta är något som jurister måste bry sig om.

En dag upptäcker försäljningschefen på ett stort svenskt bolag att orderingången har sjunkit betänkligt de två senaste kvartalen. Det är märkligt, för kunderna har sedan länge varit nöjda med företagets produkter och tjänster och inga synliga förändringar har skett i företagets utbud. Och inget av företagets konkurrenter har gjort några spektakulära produktlanseringar.

Men det är tydligt att konkurrenterna vinner alltfler affärer medan försäljningschefens företag tappar affär efter affär. Framförallt till en av konkurrenterna.

Man börjar misstänka att en av företagets säljare - Olle - läcker information. Olle kan ha sålt information om företagets kunder, vilka priser de erbjuds, när deras kontrakt går ut och så vidare. Med tillgång till denna information skulle det ha blivit en lätt match för konkurrenterna att vinna affärer från företaget.

Här är det långt från brandväggar och virusskydd. Men det handlar om informationssäkerhet. Kundinformation av detta slag är oerhört värdefull. Den måste skyddas - mot Olle.

Men är det OK för företaget att börja bevaka Olles göranden och låtanden, kontrollera vad han gör med sin dator, vilka privata mail han skickar, vilka han ringer, vilka han träffar och så vidare? Är det OK att börja kameraövervaka honom? Är det OK att konfrontera Olle med denna information och förhöra honom Vad händer om han erkänner? Kommer man att kunna avskeda honom? Kommer erkännandet att räcka som bevis i domstol om företaget skulle stämma Olle?

Alla dessa frågor är mycket viktiga, juridiska frågor om informationssäkerhet.

Informationssäkerhet handlar om att skydda informations konfidentialitet, integritet och tillgänglighet. Bara behöriga personer ska få tillgång till information och göra ändringar i information.

Information måste finnas tillgänglig när den behövs. I fallet med Olle handlar det framförallt om konfidentialitet. I förhandlingar med till exempel IT-leverantörer som hanterar företagsinformation blir det lika aktuellt att ställa krav för att skydda informationens integritet som dess tillgänglighet.

Informationssäkerhetsområdet delas lämpligen upp i tre moment, både ur teknisk, organisatorisk och juridisk synvinkel.

Först handlar det om att förhindra informationssäkerhetsincidenter. Här finns det lagkrav att uppfylla, exempelvis avseende tekniska och organisatoriska åtgärder för att skydda personuppgifter. Policys och instruktioner behöver upprättas, de rätta avtalsklausulerna måste inkluderas i anställnings-, kund-, och leverantörsavtal och så vidare.

Sedan handlar det om att förbereda sig för informationssäkerhetsincidenter. När EU:s dataskyddsförordning träder i kraft 2018 kommer det till exempel att finnas krav på att notifiera Datainspektionen inom 72 timmar om personuppgifter har läckt ut. Genom kommande lagstiftning kommer detta krav att utökas till att omfatta även annan information för många företag. 72 timmar är inte lång tid när det är kris. Man måste förbereda sig.

Slutligen handlar det om hur man ska reagera om en informationssäkerhetsincident inträffar. Exemplet med säljaren Olle hamnar i denna fas. Juridiskt är det dock så att svaret på frågan vad företaget får göra för att skydda sig mot Olle i hög grad beror på vilka åtgärder företaget sedan tidigare har vidtagit sig för att förhindra incidenter. Har man till exempel informerat de anställda om att mail kan komma att övervakas om man misstänker oegentligt agerande? När Olle väl har börjat läcka information är det så dags.

Nej, informationssäkerhet låter inte spexigt. Men att vidta juridiska åtgärder för att skydda och därigenom öka värdet på ens företags mest affärskritiska tillgångar låter spexigare.

Och spexigt eller inte så är detta med informationssäkerhet någonting som jurister behöver börja bry sig om. Idag.

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt

6 comments

- "Informationssäkerhetsområdet delas lämpligen upp i tre moment, både ur 1) teknisk, 2) organisatorisk och 3) juridisk synvinkel." -
Informationssäkerhet gäller ÄVEN den offentliga sektorn = Myndigheter.
Inom polisen sitter lågutbildade assistenter och söker personuppgifter i polisens datasystem, vilket t.ex. innebär att icke relevant personinformation sprids runt i organisationen.

Tack för den uppmaningen -jag som fullständigt skitit i dessa frågor när jag förhandlat och skrivit avtal de senaste åren.. (OBS ironi). Författaren har en poäng när han rabblar upp skälen för att dessa frågor är viktiga men det är juinte som att vi jurister som arbetar med dessa frågor dagligen får en aha upplevelse direkt när man läser detta. Ps jag ställer inte som krav på att en fråga ska vara spexig för att jag ska finna den relevant att hantera i min rådgivning och tror många andra advokater resonerar likadant. Men tack för tipset. Ds

Kunskapen är allmänhet mycket låg, oavsett stor som liten och där kunskap/policy finns så slarvas det enormt. Myndigheters kunskap är tyvärr på lekskolenivå.

Givetvis behövs det arbetas fram säkerhetspolicys hur information hanteras på företagen, men även om det läggs en NSA-klassning hur allting skall fungera, så är risken genomgående den stora risken inte datorn, utan mänskliga hanteringen. Tyvärr mycket svårt kryptera munnen och öronen.

Givetvis kan ett företag ha en mängd lager med information och behörigheter, men det leder till svårhanterliga miljöer som i slutändan inte fungerar att driva.

Jag tror därför det absolut viktigaste är utbildning, för att få företag och anställda förstå olika former/typer av risker – därefter finns förutsättningar att fatta beslut att förbättra informationssäkerheten och lokalisera företagets risker. Jag vill slutligen betona, det handlar idag inte om göra det 100% säkert, för det går inte, det handlar om förbättra säkerheten.

Anders F-K.
En utmärkt och klok kommentar. Åtar du dig uppdrag?

Tack

Jag har jobbat mycket inom detta segment, men har inget utrymme för ta fler/nya uppdrag.