Antag att ett företag börjar misstänka att ekonomichefen läcker finansiell information till en konkurrent. Får man ”sätta span” på henne? Får man gå igenom hennes mejl? Får man använda teknologi för att spåra hennes rörelser, till exempel genom hennes mobiltelefon? Får man förhöra henne? Får man avskeda henne, bara baserat på endast välgrundade misstankar?

Dessa är några av de juridiska frågor som uppkommer inom det snabbt växande området informationssäkerhet, ett område som håller på att bli något av det nya svarta i it-världen. Antalet artiklar, konferenser, studier med mera som tillägnas ämnet ökar varje år. Liksom det årliga antalet kronor som spenderas på informationssäkerhet och antalet medialt uppmärksammade informationssäkerhetsincidenter.

Läs också: ”Spara pengar och vinn innovation på bättre skrivna outsourcingkontrakt”

Egentligen är det förvånande att denna tillväxt inom informationssäkerhet inte har hänt långt tidigare. Under de senaste decennierna har informationskapitalet – hårdvara, mjukvara och datatillgångar – blivit den mest värdefulla tillgången för allt fler företag, på bekostnad av det fysiska kapitalet. Detta är en naturlig spegling av vår väg mot det som den spanske sociologen Manuel Castells har benämnt informationssamhället och den informationella ekonomin. Information är denna ekonomis viktigaste råvara. Självklart blir det därför helt affärskritiskt att skydda denna råvara.

Det framväxande fokuset på informationssäkerhet väcker viktiga juridiska frågor, såsom de jag ställde ovan. Informationssäkerhet handlar förstås om långt mycket mer än om tekniska saker som brandväggar, virusskydd, inpasseringssystem och lösenord. Eftersom information ofta är så värdefull måste den skyddas mot andra – mot individer, företag och stater och deras underrättelsetjänster. Mot till exempel läckande ekonomichefer. Och när man börjar fråga sig vad man måste och får göra för att skydda sig mot andra, då är man inne på juridikens område.

De juridiska frågorna som jag inledde med känns igen från andra områden. Är det ok för amerikanska NSA att med hänvisning till nationell säkerhet samla in information om all världens internetanvändning, det vill säga all världens internetanvändare? Är det rätt att alla kommunikationskablar som passerar svenska gränser måste göras tillgängliga för potentiell avlyssning av FRA?

Det här är en artikel från Expert Network
Här ställs viktiga säkerhetsintressen mot lika viktiga intressen avseende skyddet av individers integritet. Samma sak gäller när det inte är nationen utan ett företag som hotas, till exempel genom att dess konkurrenskraft undergrävs när konkurrenterna får del av affärskritisk kundinformation. Företagets ekonomiska intresse ställs mot individens intresse av att få sin personliga integritet skyddad.

Denna avvägning mellan motstående intressen ligger till grund för bland annat integritetslagstiftningens regler i till exempel personuppgiftslagen, kameraövervakningslagen och vissa bestämmelser i lagen om elektronisk kommunikation. Principiellt står åtminstone två fundamentala rättigheter i den så kallade EU-stadgan mot varandra. Å ena sidan företags näringsfrihet, å andra sidan skyddet av individers privatliv och mot behandling av deras personuppgifter.

Företag har rätt att bedriva sin verksamhet utan att skadas av andras oegentliga beteende. Men människor har samtidigt rätt att som huvudregel leva sina liv utan att andra behandlar information om dem.

Så vad får man då göra för att skydda sig mot den informationsläckande ekonomichefen? Med risk för att samtliga läsare ska stöna och sluta läsa blir det alltför förutsägbara juristsvaret: det beror på. För det är faktiskt så (tack för att du läste vidare): det beror på. Det beror till exempel på hur affärskänslig information det handlar om och hur mycket information det handlar om. Ju mer och ju mer känslig information, desto mer får företaget göra för att skydda sig.

Skyddsåtgärderna – både vilka som får vidtas och hur långtgående de får vara – måste stå i proportion till hotet.

Det faktum att det juridiskt sett ”beror på” har viktiga praktiska implikationer för företag. Informationssäkerhet handlar som bekant om att skydda informations konfidentialitet, integritet och tillgänglighet. Detta skydd behöver beaktas i tre steg: genom att förhindra, genom att förbereda sig för och genom att vidta åtgärder genom att reagera på informationssäkerhetsincidenter. Praktiska åtgärder behöver vidtas i alla dessa steg.

I exemplet med den läckande ekonomichefen handlar frågorna om hur hennes arbetsgivare får reagera för att skydda informationens konfidentialitet. Hur företaget får reagera beror juridiskt sett i hög grad på vilka åtgärder företaget dessförinnan vidtagit för att förhindra brister i konfidentialiteten, med andra ord informationsläckage. Exempelvis spelar det roll om företaget sedan tidigare har informerat sina anställda om att till exempel mejlen kan komma att övervakas.

Läs också: Drönare är ingen lek – de här lagarna kan du bryta mot

Som huvudregel har alla människor rätt att känna till att och vilken information som andra, till exempel ens arbetsgivare, behandlar om en. Även läckande ekonomichefer har denna rättighet.

Hur företaget kan reagera beror vidare på hur väl man har förberett sig på att informationssäkerhetsincidenter kan komma att inträffa. När läckan väl pågår är det så dags att börja fundera på att kontakta it, hr, juristavdelningen, pr-avdelningen med flera. Detta behöver man ha förberett innan. Framförallt eftersom kommande lagstiftning dessutom sätter upp krav på att meddela berörda myndigheter vid informationssäkerhetsincidenter.

Som synes handlar informationssäkerhet således om bra mycket mer än kryptering, patchar med mera. Teknik och organisation sätter gränserna för vad som är möjligt att göra. Juridiken sätter gränserna för vad man får göra och anger också vad man måste göra. Vad som är möjligt, vad som är tillåtet och vad som är påbjudet att göra för att skydda sin information måste fås att lira ihop. Jag kommer att återkomma i kommande artiklar i frågan om hur detta kan gå till i praktiken.

Fakta

Befattning: Advokat
Företag: Advokatfirman Lindahl
Linkedin: David Frydlinger
E-post: david.frydlinger@lindahl.se
Hemsida: www.lindahl.se
Expertområden: IT-juridik, personppgiftsrätt, molntjänstavtal, outsourcingavtal, juridik rörande informationssäkerhet.
Certifieringar: ITIL (grundnivå)
Bakgrund: Har arbetat i 16 år med it-juridiska frågeställningar. Har skrivit fem böcker inom juridik varav en nyligen publicerad om EU:s nya dataskyddsförordning, GDPR.