Första ordinarie tentamen i Rättsinformatik 6 hp. VT 16 med svarskomponenter

Transkript

1 Cecilia Magnusson Sjöberg Första ordinarie tentamen i Rättsinformatik 6 hp. VT 16 med svarskomponenter Den skriftliga tentamen omfattar tre frågor. Maximalt 30 poäng kan uppnås (10 poäng per fråga). Fråga 1 fm Energibolaget GlobEl säljer el på den svenska marknaden. Företaget har närmare en miljon kunder spridda över hela landet. GlobEl erbjuder flera olika elavtal, bl.a. rörligt avtal, mixavtal av olika slag och därtill olika finansieringslösningar kopplade till avtalen. GlobEl står nu inför att utveckla sin affärsverksamhet vilket ger upphov till flera rättsinformatiska frågor av både offentligrättsligt och kommersiellt slag. Din uppgift är att rättsligt analysera den situation som beskrivs nedan genom att dels identifiera de rättsfrågor som aktualiseras, dels göra en bedömning av rättsläget mot bakgrund av främst tillämpliga författningar och i förekommande fall praxis. GlobEl befinner sig i ett expanderande skede och behöver rekrytera nya medarbetare till flera olika avdelningar. HR-chefen Håre inser att företagets hemsida skulle kunna vara en kanal för att fånga upp intresserade personer och tar därför kontakt med webbmaster för att se hur detta skulle kunna gå till i praktiken. En tanke är att lägga ut ett formulär för intresseanmälan och knyta en funktion för arbetssökande till den redan befintliga personaldatabasen. För att göra GlobEl än mer attraktivt på arbetsmarknaden är planen också att integrera vissa delar av den nyligen utformade webbpresentationen av säljare och kundtekniker med rekryteringsmodulen för att visa på vilka arbetskamrater man kan komma att få som anställd. Avsikten är att via formuläret samla in kontaktuppgifter, intresseinriktning som t.ex. marknadsföring, kundsupport, produktutveckling eller it. För att göra rekryteringsprocess än mer effektiv innehåller formuläret även mer konkreta frågor om allergier, matpreferenser, körkort och fritidsintressen. Parallellt tar Håre hjälp av rekryteringsföretaget Search4U som tillhandhåller profileringstjänster baserat på vad som finns öppet publicerat på nätet om såväl företag som arbetssökande. Resultatet av uppdraget levereras till GlobEl i form av en särskild konsultrapport i digitalt format. Webbmaster som lär sig allt mer om juridiken på nätet inser vikten av PuL-säkring och ber dig beskriva vad bolaget särskilt måste tänka på vid planering och införande av de nya rutinerna för rekrytering. 1

2 Poänggivande svarskomponenter Observera vikten av att i svaret fokusera på de aktuella applikationerna. Det innebär bl.a. att hela personuppgiftslagen inte framstår som relevant att gå igenom. Det är istället vissa lagrum som behöver analyseras djupare med sikte på: - webbformuläret för intresseanmälan (en del av rekryteringsmodulen) - ihopkoppling av rekryteringsmodulen med personaldatabasen - ihopkoppling av webbpresentationen omfattande redan anställda med rekryteringsmodulen - profileringstjänsten GlobEls interna personuppgiftsbehandling Regelmodell - I den mån missbruksregeln tidigare var tillämplig på GlobEls hemsida lär så inte längre vara fallet med tanke på kopplingen mellan rekryteringsfunktionen och den bakomliggande personaldatabasen. (5 a ) - Utgångspunkten blir här att hanteringsreglerna är tillämpliga (9-10, 13 m.fl.) Grundläggande krav (9 ) - Behövs t.ex. alla personuppgifterna i intresseanmälan? (9 ) o körkort (beror på aktuella arbetsuppgifter) Tillåten behandling (10, 13 ) - Samtycke och/eller annan rättslig grund - Behandling av känsliga personuppgifter - allergier är uppgifter som rör hälsa - matpreferenser kan vara en uppgift som avslöjar religiös övertygelse Informationsskyldigheten (23-27 ) - Information som bolaget uppfyller självmant t.ex. via frågeformuläret Beredskap för registerutdrag GlobEls anlitande av Search4U Regelmodell: Troligen kommer resultatet av konsultuppdraget integreras i GlobEls övriga personuppgiftsbehandling på ett sätt som gör att hanteringsreglerna blir tillämpliga) Notera ändå HFD:s vidsträckta tolkning av vad som utgör ostrukturerad behandling (HFD 2015 ref. 3) Ansvarsfördelning (3 m.fl.) GlobEl är personuppgiftsansvarig Search4U är personuppgiftsbiträde Biträdesavtal: nödvändigt (30 ) 2

3 Fråga 2 fm Välmåendeverket (VMV) är en myndighet vars verksamhet går ut på att öka det allmänna välmåendet i det svenska samhället. Detta gör VMV bl.a. genom olika enkätundersökningar, rapporter och kampanjer med tips på enkla knep för att åstadkomma en mindre stressfylld vardag. VMV har nu fått ett nytt regeringsuppdrag inriktat på välmåendet hos de som har den digitaliserade förvaltningen som arbetsplats. Ett övergripande syfte är att se till att offentliganställda har en god beredskap för att kunna hantera de utmaningar som elektronisk kommunikation och dokumentation för med sig. Inte minst intensiv mailutväxling med enskilda och myndigheters närvaro i sociala medier kan göra att tjänstemän känner sig särskilt utsatta. VMV:s ledning tycker detta uppdrag är särskilt intressant eftersom den egna verksamheten är i det närmaste helt digitaliserad. I den aktuella undersökningen inriktad på anställda vid myndigheter som präglas av digital ärendehandläggning, automatiserat beslutsfattande och andra e-tjänster ingår frågan: Hur tycker du välmåendet ser ut på din arbetsplats?. Under denna rubrik i det webbaserade frågeformuläret får de svarande fylla i bl.a. namn, befattning, arbetsplats, närmaste chef, lön och familjesituation samt även indikera sitt psykiska välmående på en 10-gradig skala. Till den sistnämnda graderingen finns även ett kommentarsfält. VMV behöver denna information som ett led i arbetet med att skapa underlag ( påtryckningsmedel ) så att förändringsarbete verkligen kommer till stånd. VMV har också planer på att erbjuda arbetsgivare som vill förbättra välmåendet på sin arbetsplats specifika sammanställningar utifrån olika parametrar som kan komma att efterfrågas. Facket vid Centrala Studiestödsnämnden (CSN) har fått nys om VMV:s verksamhet och blir givetvis nyfikna på hur välmåendet ser ut på just deras myndighet. De har en känsla av att de anställda kanske inte alltid känner sig på topp och vänder sig därför till VMV för att begära ut ett antal dokument som man tycke borde gå att få fram lätt ur VMV:s olika databaser: - En namnlista på samtliga personer med koppling till CSN. - En sammanställning av graderingen avseende psykiskt välmående inklusive kommentarer för alla som har en koppling till CSN. - Hela undersökningen i elektroniskt format så fort den är färdig. - Mikaela är anställd på CSN och har vid flera tillfällen besvarat VMV:s enkätundersökningar. Mikaela är inte alls nöjd med sin situation på CSN och har vid ifyllandet tagit tillfället i akt att säga sin ärliga mening om sin arbetsgivare. Mikaela är nu mycket rädd för att CSN ska få ut alla dessa kommentarer hon skrivit om dem, och vänder sig därför själv till VMV via mail med följande frågor: - Hon vill få information om all information de har lagrad om henne. - Hon vet att hon vid tillfälle skrev att CSN var en högst osympatisk arbetsgivare och vill få den kommentaren raderad. Hur bör VMV förhålla sig rättsligt till ovanstående? 3

4 Poänggivande svarskomponenter Facket: Aktuell insynsrätt: Offentlighetsprincipen, 2 kap. TF - En namnlista på samtliga personer med koppling till CSN o Troligen en allmän handling - En sammanställning av graderingen avseende psykiskt välmående inklusive kommentarer för alla som har en koppling till CSN. o Går sammanställningen att åstadkomma med rutinbetonade åtgärder? o Eventuell sekretess enligt 21 kap. 7 OSL Jfr. 13 PuL - Hela undersökningen i elektroniskt format så fort den är färdig o Ingen skyldighet att tillhandahålla allmänna handlingar elektroniskt o Ännu ej färdigställd, dvs ej upprättad Mikaela: - Hon vill få information om all information de har lagrad om henne. o Insynsrätt: registerutdrag enligt 26 PuL - Hon vet att hon vid tillfälle skrev att CSN var en högst osympatisk arbetsgivare och vill få den kommentaren raderad. o Här är det osäkert om det alls finns någon rättslig grund som Mikaela kan åberopa. o Knappast aktuellt med rättelse enligt PuL och inte heller enligt FL o VMV skulle kanske ändå kunna överväga en justering givet att undersökningens resultat inte i sig påverkas på ett sätt som inte är korrekt. 4

5 Fråga 3 fm Fixbanken är en relativt nystartad bank på den svenska marknaden. Man erbjuder bl.a. olika sparformer, viss utlåningsverksamhet och lite kapitalplacering via egna och externa fonder. För dessa tjänster har man huvudsakligen fyra datasystem. Därutöver har man datasystem som tar hand om bankens bokföring och kundhantering. Banken har expanderat ordentligt de sista åren och har vuxit ur sina nuvarande system. Man för dialog med flera it-leverantörer och överväger att via så kallad utkontraktering (outsourcing) överlåta åt en av dem att ta över hanteringen av bankens nuvarande datasystem och under de första tre åren även låta leverantören uppgradera bankens system till en mer funktionell datamiljö som är anpassad till bankens tillväxtsituation. I förhandlingar mellan å ena sidan bankens VD och ekonomichef och å andra sidan en av leverantörerna kommer frågan om bankens syn på informationssäkerhet upp. Vare sig VD eller ekonomichef är eller vill vara insatta i dessa frågor utan kontaktar istället dig i egenskap av bankens chefsjurist. Banken har hitintills varit inriktad på tillväxt och inte haft något direkt fokus på informationssäkerhet och det blir därför ditt uppdrag att summera bankens lagreglerade krav på informationssäkerhet. Bland annat vill man ha reda på vad som gäller beträffande ansvaret för informationssäkerhet, alltifrån ledningen till resten av organisationen. Därutöver om de behöver tänka på några specifika åtgärder gällande sparandeverksamheten som är viktig för banken. Andra viktiga områden är bankens system för bokföring och kundhantering, där man vill få utrett om det finns några specifika krav gällande informationssäkerhet och vad man åtgärdsmässigt behöver tänka på. Till sist vill man att du ger din syn på situationen i förhållande till en tänkt outsourcingleverantör. 5

6 Poänggivande svarskomponenter Vid besvarandet av denna fråga är det till att börja med viktigt att uppmärksamma behovet av informationssäkerhet rent generellt. Detta kan knytas till principer om bl.a. konfidentialitet, riktighet, och tillgänglighet. Utöver en allmän kompetenshöjning behöver ledningen med juridiska utgångspunkter särskilt adressera planerna på utkontraktering ( outsorucing ) och sparandeverksamheten. Översikten nedan ger en bild av centrala regelverk som en kommersiell aktör av det slag som Fixbanken särskilt behöver beakta: Finansinspektionens föreskrifter om informationssäkerhet Ansvarsregler återfinns bl.a. i 2 kap 3-5, 3 kap 3 VD-ansvar i 2 kap 2 och 3 kap 2 Frågor kring insättningssystem t.ex. sparkonton regleras i 4 kap, och 4 reglerar specifika åtgärder. Personuppgiftslagen Kundhanteringssystemet innehåller sannolikt personuppgifter av olika slag. Notera bl.a. 31 PuL både med avseende på banken själv och för dess anlitande av personuppgiftsbiträde(n). Se 9 om riktighet. Notera att det inte är samma typ av riktighet som i informationssäkerhetssammanhang. Se 30 gällande biträdesrollen. 33 ska beaktas gällande leverantörens geografiska placering. Bokföringslagen Se 7 kap angående tillgänglighet mm. Avtalslagen Generellt informationssäkerhetskrav gällande möjligheten att uppfylla avtalsförpliktelser. Omfattar konfidentialitet, riktighet och tillgänglighet. Bestämmelser om elektronisk identifiering och signering 6

7 Andra ordinarie tentamen i Rättsinformatik 6 hp. VT 16 med svarskomponenter Den skriftliga tentamen omfattar tre frågor. Maximalt 30 poäng kan uppnås (10 poäng per fråga). Fråga 1 em Energibolaget GlobEl säljer el på den svenska marknaden. Företaget har närmare en miljon kunder spridda över hela landet. GlobEl erbjuder flera olika elavtal, bl.a. rörligt avtal, mixavtal av olika slag och därtill olika finansieringslösningar kopplade till avtalen. GlobEl står nu inför att utveckla sin affärsverksamhet vilket ger upphov till flera rättsinformatiska frågor av både offentligrättsligt och kommersiellt slag. Din uppgift är att rättsligt analysera den situation som beskrivs nedan genom att dels identifiera de rättsfrågor som aktualiseras, dels göra en bedömning av rättsläget mot bakgrund av främst tillämpliga författningar och i förekommande fall praxis. Konsumenten Kon Sume har vänt sig till GlobEls kundsupport för att klaga på innehållet i ett tidigare begärt registerutdrag. Sume säger att: Det mesta är fel! Uppgifterna stämmer inte alls och de kan inte heller ha databehandlats inom ramen för rätten. Tåliga Tåre tar emot klagomålet och försöker först själv att bena upp ärendet men inser relativt snabbt att det aktualiserar en hel del principiella frågeställningar som behöver tas om hand av juristavdelningen. En del av problemen visar sig bottna i GlobEls nya itstöd för analys av kundbeteenden, bl.a. vad gäller elförbrukningen, intresse för bolagets kringprodukter som lågenergilampor och även indikatorer på kommande betalningssvårigheter. Det som särskilt retat upp Sume är uppgiften om civilstånd som gift (trots skilsmässa för ett tiotal år sedan) och att uppgift om kön över huvud taget registrerats. Sume menar dessutom att GlobEls databehandling av kundernas betalförmåga inte är tillåten eftersom datalagen förbjuder automatiserade kundbedömningar. Sume har i registerutdraget särskilt noterat en riskmarkering vid sitt namn om försenade betalningar och noteringen lågprioriterad. Sume kräver nu all sin rätt som EUmedborgare. Vid kontakter med it-avdelningen framkommer att det tyvärr kan ha skett något misstag vid registrering och behandling av Sumes personuppgifter. Arbetsbelastningen är hög och man har helt enkelt inte hunnit med. Det stämmer alltså att uppgiften om civilstånd inte är korrekt. Uppgift om kön samlas in rutinmässigt på begäran av marknadsavdelningen eftersom man vill profilera olika erbjudanden. Den digitaliserade kundprofileringen utför it-avdelningen också på uppdrag av marknadsavdelningen. Det it-avdelningen säger sig kunna göra när det gäller utfallet av analysprogrammet är att tills vidare märka bedömningen av Sume som lågpriorieterad kund som tvistig. 7

8 Detta kundärende har hamnat hos dig för rättsutredning och du har nu att som underlag för rapportering till chefsjuristen tydliggöra vilka skyldigheter GlobEl har i den uppkomna situationen. Poänggivande svarskomponenter Regelmodell: Den aktuella personuppgiftsbehandlingen omfattas av hanteringsreglerna i PuL. Rättelseskyldighet: - GlobEl har enligt 28 PuL en rättelseskyldighet att uppfylla på begäran av den registrerade när det gäller uppgiften om civilstånd. - GlobEL har även ett eget ansvar för god datakvalitet som följer av 9 första stycket h PuL Tillåten behandling Det kan ifrågasättas bl.a. om behandling av uppgift om kön uppfyller de grundläggande kraven i 9 och också har en rättslig grund i 10. Automatiserade beslut 29 Denna bestämmelse aktualiseras vid bedömningen av Sumes invändning om automatiserade kundbedömningar. Det är dock knappast troligt att det aktuella analysprogrammet uppfyller samtliga rekvisit för vad som faller inom ramen för automatiserade beslut enligt 29 PuL Blockering 3 och 28 PuL Blockering framstår som en rimlig åtgärd i detta sammanhang. Observera att blockering förutsätter såväl utsättande av spärrmarkering som information om anledningen till den. Frågan är inriktad på den personuppgiftsansvariges rättelseskyldighet varför sambandet mellan 9 och 28 är särskilt relevant. Någon fullständig genomgång av PuL är med andra ord ej efterfrågad. Det är även viktigt att visa på insikt om att kravet på rättelse kan uppfyllas på flera olika sätt (främst rätta, blockera eller utplåna). Det faktum att Sume hänvisar till datalagen respektive rättigheter som EU-medborgare inverkar inte i sak på bedömningen i sak. Framöver har GlobEl att vara observant på skyldigheten att informera registrerade om deras rätt att begära rättelse (25 ). Till sist kan även 48 om skadestånd noteras som en konsekvens av behandling av oriktiga personuppgifter. 8

9 Fråga 2 em Välmåendeverket (VMV) är en myndighet vars verksamhet går ut på att öka det allmänna välmåendet i det svenska samhället. Detta gör VMV bl.a. genom olika enkätundersökningar, rapporter och kampanjer med tips på enkla knep för att åstadkomma en mindre stressfylld vardag. VMV har nu fått ett nytt regeringsuppdrag inriktat på välmåendet hos de som har den digitaliserade förvaltningen som arbetsplats. Ett övergripande syfte är att se till att offentliganställda har en god beredskap för att kunna hantera de utmaningar som elektronisk kommunikation och dokumentation för med sig. Inte minst intensiv mailutväxling med enskilda och myndigheters närvaro i sociala medier kan göra att tjänstemän känner sig särskilt utsatta. VMV:s ledning tycker detta uppdrag är särskilt intressant eftersom den egna verksamheten är i det närmaste helt digitaliserad. Välmåendeverket och dess olika aktiviteter väcker allt större intresse i samhället. Ett exempel härpå är att Hälsan AB har begärt ut allt som omfattas av offentlighetsprincipen och som finns på VMV:s Facebooksida sex månader bakåt i tiden. Svaret blir att det inte är särskilt mycket eftersom profilsidan rensas löpande så att det bara är inlägg, länkar och bilder från den senaste veckan som ligger ute. Hälsans jurist tycker det låter konstigt och modifierar sin begäran till att avse allt som VMV arkiverat av det som tidigare varit publicerat på Facebook. Inte heller detta leder till framgång, denna gång med motiveringen att myndigheten betraktar allt information på Facebbok som av tillfällig eller ringa betydelse vilket i praktiken medför att informationen inte finns kvar internt annat än som säkerhetskopior. Juristen börjar bli minst sagt irriterad och kräver nu med hänvisning till bestämmelserna i PSI-lagen att i elektroniskt format få ut alla handlingar som är tillåtna att vidareutnyttja. Hälsans svar blir att man tyvärr inte har några öppna data eftersom all information antingen omfattas av sekretess enligt offentlighets- och sekretesslagen, integritetsskydd enligt personuppgiftslagen eller tredje mans upphovsrätt. Juristen gör nu ett sista försök att få insyn i VMV och begär att få del av generaldirektörens ingående och utgående e-post den senaste månaden men nekas även till detta med motiveringen att meddelandena ännu inte är omhändertagna för arkivering. Hur rekommenderar du att Hälsan AB förhåller sig rättsligt till ovanstående? Poänggivande svarskomponenter - Utgångspunkten är att det som finns på en myndighets profilsida på Facebook utgör allmän handlingroch således kan bli föremål för gallring snarare än rensning. - Begäran att få del av arkiverat material framstår som rimlig bl.a. mot bakgrund av den snabba avpubliceringen på Facebook. - Det framstår dock inte som rimligt att så mycket skulle vara av tillfällig eller ringa betydelse. 9

10 - Har myndigheten riktigt eller ej gallrat så att bara säkerhetskopior återstår är det inte mycket som den enskilde kan göra (se, och jämför med, praxis HFD 2015 ref. 45) - Korrekt att bestämmelserna om vidareutnyttjande inte i sig ger en rätt till insyn (se 1 och6 PSI-lagen) - En förteckning över ingående respektive utgående e-post betecknas som ett register som förs fortlöpande, noteringar i detta blir upprättade och arkiverade på en gång. 10

11 Fråga 3 em Den lilla myndigheten Transitverket arbetar med samordning och utförande av myndigheters behov av specifika transporter. Det omfattar både materialtransporter och persontransporter. Transitverket ser för närvarande över sin IT-miljö och från IT och verksamhetsledningen är man framförallt osäkra på vilka utmaningar som finns gällande de rättsliga parametrarna. Bland annat har Transitverket ett system, Tryggve, som hanterar administration kring transporter. I systemet finns all tänkbar information tillgänglig som är relevant för lämpligt val av transport. Exempelvis information om olika transportklasser och om samtliga individer inom statsapparaten som är berättigade till persontransporter av olika slag. Informationen kan exempelvis röra adressuppgifter, befattningsinformation och särskilda behov ur medicinskt syfte. Systemet Tryggve är utvecklat av en extern konsultfirma som är på plats ett par gånger i månaden. Konsulterna från konsultfirman har access till systemet, både hos myndigheten och på distans. Transitverkets personal består huvudsakligen transporthandläggare som registrerar och hanterar transportbeställningar, annan administrativ personal och chaufförer. Av enkelhetsskäl har samtliga på myndigheten access till Tryggve eftersom alla i någon mån anses vara inblandade i transportfunktionen. Chaufförerna har även tillgång till systemet genom sina mobiltelefoner. Både konsultfirman och anställda på transportenheten loggar in i Tryggve med självvalt användarnamn och lösenord, men både användarnamn och lösenord måste bestå av minst tio tecken av blandad karaktär. Tryggve uppfattas av användarna på Transitverket som rätt slutet såtillvida att användarna inte alltid riktigt förstår vad som händer i det. Bland annat har det vid ett par tillfällen skickats ut felaktiga transportfordon. Men vid stickprovskontroller som gjordes i samband med att systemet infördes ett par år tidigare har man inte kunnat konstatera några märkligheter. Man vänder sig nu till dig i egenskap av verksjurist vid myndigheten och ber om en kortfattad rättsutredning beträffande eventuella informationssäkerhetsrättsliga utmaningar avseende Tryggve. Man undrar vidare om det finns några rättsliga krav på informationssäkerhetsrelaterade organisatoriska åtgärder som behöver iakttas med tanke på den verksamhet som bedrivs. Poänggivande svarskomponenter Till att börja med behöver Transitverket ta ett samlat grepp på informationssäkerheten vid myndigheten. Detta kan ske med utgångspunkt i principerna om bl.a. konfidentialitet, riktighet och tillgänglighet. Till de centrala regelverken som aktualiseras vid en sådan analys hör både allmän reglering som inte direkt tar sikte på informationssäkerhet och och reglering som specifikt är inriktad på säkerhet. 11

12 Allmän reglering som i praktiken medför krav på säkerhetsåtgärder är 2 kap. TF om allmänna handlingars offentlighet med anknytande bestämmelser i offentlighets- och sekretesslagen. Sekretessreglerade uppgifter får t.ex. inte röjas utan särskild stöd härför. Kravet på en god offentlighetsstruktur innebär i praktiken också krav på säkerhetslösingar i myndigheters it-system. Sambandet mellan konfidentialitet och sekretess är uppenbart (se definitionerna i 3 kap. 1 OSL). Allmänna handlingar ska som huvudregel bevaras (se arkivlagen) vilket aktualiserar frågor om äkthet m.m. Se RA-FS 2009:1 om hantering av elektroniska handlingar och 5 kap 3 OSL om digital sekretessmarkering. Här kan även nämnas de allmänna kraven på handläggning av ärenden enligt 7 förvaltningslagen, se även 5 andra stycket FL. Myndigheten för samhällsskydd och beredskaps föreskrifter (MSBFS 2009:10) om statliga myndigheters informationssäkerhet utgör exempel på särskild reglering. Se vidare förordningen om krisberedskap (30 a (19-20 nya regleringen från 1 april 2016)) och säkerhetsskyddslagen personuppgiftslagen innehåller bestämmelser om säkerheten vid behandlingen av personuppgifter omfattande såväl tekniska som organisatoriska skyddsåtgärder. Vid anlitande av personuppgiftsbiträden uppkommer ytterligare krav av säkerhetsmässigt slag som dessutom måste framgå av ett särskilt biträdesavtal. Informationssäkerhetskrav återfinns även i bestämmelser om bokföring, företagshemligheter och journalföring m.m. inom vården. Utöver strikt reglering finns anledning att överväga utrymmet för användning av privata mobiler, rutiner för behörighetskontroll, åtkomst och loggning. Handburna digitala enheter behöver med andra ord hanteras speciellt genom e-id, kryptering, restriktioner kring access, etc. (se signaturlagen). Olika standarder behöver också beaktas, t.ex. ISO/IEC och (krav på ledningssystem för informationssäkerhet). 12