Mejl och Internet på jobbet

Transkript

1 Tommy Svensson Säkerhet/NSD Mejl och Internet på jobbet Tillägg Till läsaren! Detta är ingen juridisk rådgivning utan en artikel som skrevs för några år sedan. Jag menar att den är högst relevant än idag inte minst när det gäller de olika argumenten och de exempel på felaktiga kopplingar till olika lagar som ofta förekommit i debatten. Notera att i Computer Sweden den 6 oktober 2004 finns en artikel med rubrikerna E-_posten är privat och Olagligt läsa anställdas mejl. Man får av rubrikerna lätt intrycket att det är förbjudet för chefen att kontrollera. När man läser vad juristen Högquist säger (enligt artikeln) så kan man konstatera att det inte är så dramatiskt. Det som anförs i artikeln strider inte vad jag förstår - mot vad som anförs i min egen artikel, dock med ett undantag. Jag har inte skrivit att det krävs ALLVARLIGA misstankar för att få kontrollera. Jag vet inte heller om så är fallet eller om det är en tolkning som Högquist själv eller Datainspektionen gjort. Det är omvittnat att Personuppgiftslagen, PuL, inte är lätt att tolka och det är många som ställt frågor till Datainspektionen utan att få tydliga svar Inte heller känner jag till någon rättspraxis som stödjer påståendet om att det krävs allvarliga misstankar. Dessutom kan man fråga sig hur detta begrepp ska tolkas. Vem annan än företaget, eller möjligen en domstol, kan bedöma om det finns allvarliga misstankar. I vart fall: Skaffa en mejl- och Internetpolicy, informera om att kontroller kan komma att ske och vinnlägg er om att värna medarbetarnas personliga integritet. Det är det som står även i min artikel. Varför skulle man onödigtvis kontrollera innehållet i mejl av privat karaktär? Det skapar bara dålig stämning och måste dessutom vara ett slöseri med resurser Många har fått en ny förmån Idag kan många av oss skicka mejl och surfa på jobbet. Många har dessutom förmånen att få surfa och mejla privat åtminstone i mindre omfattning. Problemet är att det inte kan bli riktigt privat när vi använder företagets brevpapper och företagets identitet. De privata ettorna och nollorna blir en integrerad del av företagets övriga informationsflöde. Är det rimligt att den privata förmånen får till följd att företaget Copyright: Svenskt Näringsliv

2 kan utestängas från åtkomst till det egna informationssystemet? Är det en rimlig konsekvens av förmånen att få surfa och mejla privat? Chefen måste ha rätt att läsa Din e-post! Många förvånas över att chefen kan läsa e-posten och kontrollera surfandet på Internet. Regeringen har tillsatt en utredning som ska titta på lagstiftningsbehovet. Är detta verkligen ett praktiskt problem? Går det i sådana fall att lagstifta bort problemet? Mycket talar för att svaret är nej på båda frågorna. Det innebär inte att regler är överflödiga men det innebär att reglerna måste utformas i sin rätta miljö. Det är på företaget som man vet vad som behöver skyddas och hur det kan genomföras i praktiken. Målet är naturligtvis en god arbetsmiljö med tillbörligt skydd för medarbetarnas personliga integritet. Men målet omfattar också den informationssäkerhet som verksamheten kräver. Lagstiftningsivrarna borde ta varning av vad som kan hända med regler som inte är tillräckligt förankrade i verkligheten. Den nya personuppgiftslagen, PuL, (som ersatte den gamla datalagen) är ett bra exempel. Trots näringslivets varningar under många år fick vi ett EGdirektiv och en svensk lagstiftning som komplicerar livet för företagarna utan att det ger något förbättrat skydd för den personliga integriteten. Företagen vet ofta inte ens hur reglerna skall tolkas och ingen kan ge klara svar på alla praktiska frågor som dyker upp! Det har nyligen blivit lite mindre vanskligt att begå misstag; ringa brott mot PuL har avkriminaliserats. Samtidigt säger det en del om kvaliteten. Varför skulle en lagstiftning om privat mejl och Internet på jobbet ha förutsättningar att få högre kvalitet när verkligheten fortfarande är lika komplicerad? Företagen är frikostiga Mejl- och Internetanvändningen har ökat kraftigt och på många arbetsplatser förekommer också en hel del privat användning. Arbetsgivarnas frikostighet verkar utbredd. Det vanligaste är att viss privat användning accepteras. Många tycker att man kan jämföra det med att ringa ett eller annat privat telefonsamtal. Vem tror att ett totalförbud mot privata telefonsamtal på arbetet skulle fungera? Även om många företag saknar uttalade regler för hur IT-resurserna får användas så innebär det inte att det råder någon större rättslig osäkerhet; det finns trots allt en grundläggande arbetsrätt och praxis att falla tillbaka på. Det får anses självklart att den grundläggande ömsesidiga lojalitetsplikten gäller. För medarbetarnas del innebär det att man får sätta arbetsgivarens intressen framför sina egna när man är på jobbet. För arbetsgivaren innebär det bl a att man värnar medarbetarnas personliga integritet och en god arbetsmiljö. Hur skall man då göra i praktiken? Det bästa är att tydligt ange vad som gäller på den egna arbetsplatsen! Enkelt uttryckt har arbetsgivaren rätt att fastställa vilka regler som skall gälla och att sedan kontrollera att reglerna följs. Men att peka med hela handen och köra med enkel ordergivning är nog inte det bästa alternativet. Sällan har man haft en så god anledning att förklara varför regler och kontroller behöver finnas. Det handlar om att skydda informationen i företaget och att därmed stärka företagets konkurrenskraft. Det handlar inte om att datorer ska användas för att kontrollera medarbetarnas arbetsinsatser. Kvantitativa och kvalitativa Copyright: Svenskt Näringsliv

3 kontroller av arbetsinsatser är inte ens tillåtna utan användarens vetskap, enligt arbetarskyddsstyrelsens föreskrifter om arbete vid bildskärm. Det gäller alltså att värna och utveckla konkurrenskraften genom att skydda företagets information. Många företag har konstaterat att information är deras viktigaste tillgång och konkurrensfaktor. Samtidigt visar bl a Brottsförebyggande rådets, BRÅ, senaste rapport om IT-relaterad brottslighet att många företag ännu inte insett informationens fulla värde. Det är många såväl inom den privata som den offentliga sektorn - som pekar på behovet av att skydda informationssystem från angrepp av hackers, virusspridare, informationstjyvar etc. Statskontoret, Överstyrelsen för civil beredskap (ÖCB) och försvarsdepartementet har i rapporter från senare tid uppmärksammat skyddsbehoven som även omfattar s k informationskrigföring/informationsoperationer. Ryktesspridning på Internet är ett exempel på att informationsoperationer inte bara har en militär karaktär. Även i ett internationellt perspektiv har informationssäkerheten fått ökad uppmärksamhet, bl a som en följd av virusattacker och s k DOS-attacker (denial of service). Melissa och Loveletter är namnen på två uppmärksammade virusattacker. Den mest kända DOS-attacken riktade sig mot Yahoo och ett antal andra portaler som slogs ut på grund av överbelastning i trafiken. Det skedde genom att gärningsmannen lurade många andras datorer att anropa portalerna som helt enkelt blev överbelastade. Vi vet sedan tidigare hur också telefonväxlar kan braka ihop om alltför många ringer samtidigt. Finns det något praktiskt problem att lösa? Det finns uppenbarligen en mängd praktiska problem att lösa. Det behövs ökad säkerhet i våra infrastrukturer, bl a för tele-och datatrafik. Det behövs metoder för att skydda elektroniska affärstransaktioner. Det behövs förbättrade möjligher att komma åt kriminella aktiviteter på Internet etc. Det finns mycket som behöver göras. Att utreda och eventuellt lagreglera chefens rätt att läsa e-post löser inget integritetsproblem. Det är nämligen inte chefen som är problemet. Bristande säkerhetsmedvetande är det verkliga problemet. Om man tror att mejl och Internet är skyddat från insyn blir man antagligen obehaglig till mods när man inser att andra kan komma över informationen och kartlägga vad man sysslar med. Sådan är verkligheten. Däremot är det knappast chefen som är problemet. Han brukar ha svårt att hinna läsa sina egna mejl! Framför allt brukar han ha viktigare saker att göra än att snoka i andras mejl i onödan. Däremot måste man respektera att det finns många skäl för företagen att ha uppsikt och kontroll över företagets informationssystem. Skydda integriteten men också företagets information Det är självklart att företaget ska värna om medarbetarnas integritet och rättssäkerhet. Det kan man man göra genom att informera om vilka regler som gäller för IT-användningen. Kontroll och tillsyn syftar till att skydda företagets information och konkurrenkraft. Då måste man ta hänsyn till en viktig faktor. Om medarbetarna inte accepterar säkerhetsarrangemangen blir resultatet ofta ganska dåligt. Om företaget däremot lyckas motivera varför det behövs skyddsåtgärder blir resultatet ett annat. Det blir också naturligt att acceptera att den egna privata användningen måste underordnas de övergripande skyddsbehoven i företaget. Copyright: Svenskt Näringsliv

4 Den som tror att informationssäkerhet handlar om att övervaka medarbetarna rent allmänt har missförstått det hela. Det finns kanske skäl att påminna om att utvecklingen i arbetslivet är den rakt motsatta. Stämpelklockor försvinner. Organisationerna blir allt mer platta - med få chefer som övervakar arbetet. Den enskilde medarbetaren blir viktigare och får ett ökat eget ansvar - även när det gäller informationssäkerheten. Självklart får man skydda sina tillgångar mot brottsliga angrepp och andra otrevligheter. Man kan inte vänta på att polisen ska komma sedan skadan redan har inträffat. Speciellt med tanke på att polisen många gånger inte ens kommer. Företaget måste lägga upp säkerhetsarbetet utifrån det egna säkerhetsbehoven. Ingen annan kan avgöra vad som behöver skyddas och hur det bör göras. Mejl och Internet lämpar sig inte för känsliga uppgifter. Mejl är inte lämpligt för att skicka känsliga personliga uppgifter eller känslig företagsinformation. Mejl brukar jämföras med vykort skrivna med blyerts - det är lätt åtkomlig information som dessutom lätt kan förvanskas.vidare kan konstateras att den som surfar på Internet lämnar elektroniska spår efter sig. Det är lätt att förblindas av den skenbara anonymiteten när man surfar. Den som känner dessa förutsättningar kan skydda sin egen integritet i stor utsträckning genom att välja vad han skickar med mejl och välja vilka spår han vill lämna på Internet. Samma sak gäller för företagets information. Den är ofta mycket värdefull och stora resurser läggs ned på skyddsåtgärder. Informationssäkerheten får inte urholkas genom att någon använder systemet för privata ändamål och ställer krav på att informationssäkerheten skall styras av detta. Den privata användningen blir en del av företagets informationsflöde. Det ser till och med ofta ut som om aktiviteterna sker i företagets namn. Privata mejl är ofta skrivna på företagets brevpapper. Privat surfande sker ofta med företagets identitet. Den privata användningen måste därför ske på företagets villkor. Lämpligt att informera om villkoren Företag bör överväga att fastställa och informera om villkoren för privat användning av mejl och Internet på jobbet. Det kan också vara lämpligt att informera om att kontroller kan förekomma. Då undviker man problemet med att oförutsebara kontroller kan vara juridiskt tveksamma. Dessutom värnas medarbetarnas integritet om alla vet vilka förutsättningar som gäller för användningen. Oförutsebara kontroller kan - även om de inte är olagliga - uppfattas som provocerande och integritetskränkande. Informationssäkerheten är viktig! Om företaget vill värna informationssäkerheten måste man ha kontrollsystem. Sådana är normalt generella och omfattar även information som användaren kan betrakta som privat. Reglerna ska skydda affärsintressena genom att försvåra hackerangrepp, virusspridning, informationsstölder m m. Dessutom måste informationskvalitén skyddas - man måste kunna lita på att uppgifterna är riktiga. Bra informationssäkerhet (som exempelvis skyddar användar-identiteten) värnar naturligtvis också medarbetarnas personliga integritet. Copyright: Svenskt Näringsliv

5 Rättsläget Arbetsgivaren äger IT-utrustningen och kan fastställa villkoren för användningen. Då får företaget naturligtvis också kontrollera att reglerna följs. Företaget har rätt att utföra kontroller - i vart fall om användarna i förväg är informerade om att kontroller kan förekomma. Om däremot regler saknas kan det inte helt uteslutas att vissa kontroller kan bedömas som otillåtna. Det kan naturligtvis verka märkligt om arbetsgivaren skulle anses vara obehörig att ta del av informationen i sina egna informationssystem. Arbetsgivaren har ju till och med en rättslig skyldighet att kontrollera sina informationssystem. Lagstiftaren förväntar sig att arbetsgivaren tar ansvar för vad som sker på arbetsplatsen; - Personuppgiftslagen skall följas. Om en medarbetare ägnar sig åt otillåtna behandlingar av personuppgifter drabbar det den personuppgiftsansvarige, dvs företagsledningen, - Lagen om elektroniska anslagstavlor kräver att företaget har uppsikt över verksamheten och vidtar åtgärder om det dyker upp olagligt material på anslagstavlan, - Upphovsrättslagen medför krav på att det inte finns olagligt kopierat material i verksamheten (t ex musikfiler och piratkopierade datorprogram), - Lagen om skydd för företagshemligheter kräver ett visst mått av informationsklassificering, dvs informationens spridning måste begränsas, - Affärsavtal kan innehålla sekretessbestämmelser som kräver säkerhetsarrangemang och kontroll av efterlevnaden och - Det s k principalansvaret innebär att arbetsgivaren kan bli skadeståndsansvarig för fel som begås av en medarbetare. Om arbetsgivaren skulle anses obehörig att ta del av innehållet i sina egna informationssystem är det svårt att se hur dessa ansvarsfrågor skulle kunna hanteras i praktiken! Den som betalar har vissa rättigheter Den som betalar teleräkningar har rätt att få veta vad han betalar för. Det innebär att den som äger teleabonnemanget, t ex för ett telefonabonnemang eller en Internetanslutning, kan begära att få en specificerad räkning som visar vilka uppkopplingar som debiterats. Telesekretessen gäller inte gentemot abonnenten. Den som använder en annans abonnemang, t ex arbetsgivarens, har med andra ord inte lika bra integritetsskydd som den som använder sitt eget abonnemang. Det är knappast anmärkningsvärt att man kan vara mer privat i hemmet än på arbetsplatsen. Företaget har ansvaret för driften I många fall har företaget övertagit en del av den gamla televerks-rollen. De interna nätverken sköts av företagen som därigenom får insyn i teletrafiken. Trafikövervakning måste ske bl a för att kunna dimensionera nätverk, servrar etc på rätt sätt. Vidare skall s k brandväggar och andra säkerhetsarrangemang administreras, vilket också ger viss insyn. Som användare bör man vara medveten om att den elektroniska posten inte transporteras i förslutna kuvert! Copyright: Svenskt Näringsliv

6 Några exempel på regler I vissa verksamheter kan det finnas skäl att helt förbjuda privata mejl och privat surfande på Internet. Vanligast är dock att företagen tillämpar en viss frikostighet - ungefär som med telefonerandet på arbetsplatsen. Företag som tillåter privat användning bör överväga att åtminstone faställa några övergripande regler, exempelvis - att användningen inte får strida mot företagets verksamhetsmål och skapa bad-will (t ex förbud mot att surfa på rasistiska och pornografiska hemsidor), - att användningen inte får förorsaka merkostnader (t ex genom att tanka ner utrymmeskrävande musikfiler från Internet vilket skapar kapacitetsproblem), - att företaget inte får utestängas från informationen i systemen (t ex genom att användaren själv krypterar informationen) och - att all information i företagets informationssystem kan komma att kontrolleras samt varför det behöver ske (däremot inte hur kontrollerna går till eftersom de då blir lättare att kringå). Mejl- och Internet är inte allt Företag som har en informationssäkerhetspolicy brukar ofta reglera exempelvis distansarbete, befogenhet att utföra kontroller, krav på tystnadsplikt och mycket annat som motiveras av verksamhetens art. Personlig integritet skyddas bäst av klara och tydliga regler som tar hänsyn till de konkurrensutsatta företagens verklighet. I stället för lagstiftning behövs praktiskt anpassade regler på företagsnivå. Man får som den gamle poliskommissarien konstatera att det är bra om trafikreglerna lämpar sig också för utomhusbruk. Vanliga argument i Mejl- och Integritetsdebatten. Integritetsskyddet i arbetslivet är inte alls dåligt! På arbetsplatsen råder en ömsesidig lojalitetsplikt mellan arbetsgivare och medarbetare. Arbetsgivaren har ett ansvar och intresse för att arbetsmiljön är god. Varför skulle företaget ha intresse av att ägna sig åt obefogade kontroller - vare sig det gäller utpasseringskontroller, drogtester eller kontroll av företagets informationsflöden? Det finns bättre sätt att använda resurserna. Dessutom finns det gott om regler som skyddar den personliga integriteten; Personuppgiftslagen, brottsbalken, den arbetsrättsliga lagstiftningen, lagen om övervakningskameror, etc ger ett omfattande skydd. Rättspraxis från domstolarna ger Copyright: Svenskt Näringsliv

7 ytterligare stöd för att påstå att skyddet för den personliga integriteten i arbetslivet är väl tillgodosett. Arbetsgivarens godtycke styr inte integritetsskyddet! Det finns både lagar och rättspraxis som styr. Utifrån det får företaget bygga upp den säkerhetsnivå som är motiverad. Vilken säkerhetsnivå som är den rätta beror på verksamhetens art. Säkerheten är också beroende av att medarbetarna accepterar reglerna. En god arbetsmiljö är avgörande för acceptansen. Dessutom är bilden av starka arbetsgivare och svaga arbetstagare vilseledande. I många företag är det tvärtom; det är medarbetarna som är företagets enda egentliga tillgång. Då går det inte att tvinga på medarbetarna regler som inte går att motivera. Det handlar inte om att snoka i någons privatliv Generellt tycks nästan alla vara överens om att företagens regelbörda måste minskas - det behövs färre och enklare regler. Många frågor hanteras bäst ute i verkligheten - utan lagstiftning. Företag som bygger upp en väl fungerande säkerhet vet att användarnas acceptans är helt avgörande för resultatet. Kan man motivera åtgärderna brukar det fungera. Den företagare som slentrianmässigt skulle ägna dagarna åt att snoka i medarbetarnas mejl, rota i papperskorgar och kika i nyckelhål kommer antagligen att tappa personal ganska fort. Vad som händer med ett sådant företags konkurrenkraft är uppenbart. I vissa fall behövs en strikt kontroll och då bör det kunna motiveras. Andra gånger behövs en möjlighet att utföra kontroller när behov uppstår. Det brukar också vara enkelt att motivera. Det är inte bara polisens uppgift att utföra eventuella kontroller Vi vet alla hur det står till med polisens möjligheter att ingripa. Företag och individer tvingas att ta ett ökat ansvar för den egna säkerheten. Utan enskildas engagemang har polisen ingen chans att klara sina arbetsuppgifter. Lika väl som det behövs traditionell bokföring och revision behövs det loggar och uppföljningar inom IT-området om oegentligheter skall kunna utredas. Det företag som inte kan presentera någon form av internutredning skall inte påräkna resultat från polis och åklagare. Det är inte brottsligt att läsa medarbetarnas e-post Brottet brytande av post-och telehemlighet är inte direkt tillämpligt eftersom det handlar om meddelanden som ett post- eller telebefordringsföretag förmedlar. Brottet förutsätter dessutom att det handlar om att någon olovligen tar del av informationen. Företaget kan rimligtvis inte i normalfallet anses vara obehörigt och utestängas från sina egna informationssystem. Motsvarande resonemang gäller för brottet dataintrång. Chefen gör sig inte skyldig till brottet dataintrång Rättspraxis saknas men följande torde gälla. Om företaget har förbjudit all privat användning av mejl så har företaget rätt att kontrollera in- och utgående mejl. Om det inte finns något förbud men regler om att kontroller kan ske lär det också vara tillåtet att genomföra Copyright: Svenskt Näringsliv

8 kontroller. Däremot finns en rättslig gråzon när regler saknas om kontrollerna sker oförutsett och i smyg. Brottet dataintrång förutsätter att någon olovligen bereder sig tillgång till informationen. Kan det verkligen vara olovligt för företaget att ta del av informationen i sitt eget informationssystem? Knappast normalt men man kan tänka sig situationer då det är det. Företaget kan ju ha gjort åtaganden mot användaren om att inte lägga sig i vad som sker. Ett sådant avtal mellan företaget och den anställde behöver inte vara särskilt tydligt. Det kan räcka med att systemet så att säga har etablerats i praktiken - alla har fått uppfattningen om att det fungerar på detta sätt. Har företaget försatt sig i en sådan situation kan det troligtvis anses vara ett dataintrång att göra kontroller! För att vara på den säkra sidan rent juridiskt bör företaget klargöra vad som gäller. Alldeles bortsett från den juridiska frågan är det rimligt att värna användarnas integritet så långt möjligt och det gör man bäst genom att ange förutsättningarna för den privata användningen. Det är viktigt för förutsebarheten att veta att kontroller kan komma att ske. Man kan inte alls jämföra med olovlig telefonavlyssning Reglerna om telefonavlyssning är ingen bra jämförelse. Det finns sedan länge direkt lagstiftning som reglerar olovlig avlyssning av tal. Det omfattar inte mejl. Det talade ordet är kanske också mest skyddsvärt. När man skriver ett meddelande har man tid för viss eftertanke - i ett samtal är det lättare hänt att säga oöverlagda saker. Man ska komma ihåg att även här handlar det om förbud mot sådant som är olovligt. Om någon av de som samtalar känner till att det sker avlyssning eller inspelning så är det tillåtet (med vissa undantag för myndigheter). Det finns således inte heller några hinder för en tredje person att med hjälp av en extra hörtelefon avlyssna ett samtal så länge en av de samtalande känner till det. Om man ser på hotbilden för företaget är det lätt konstaterat att ett mejl med bifogade dokument (t ex hemliga ritningar) kan tömma företaget på känslig information på ett sätt som inte är praktiskt möjligt via ett telefonsamtal. E-post kan inte ha samma skydd som vanliga brev Brev kan klistras igen och den som förmedlar brevet behöver ingen tillgång till innehållet. Ett mejl kan inte jämföras med ett brev. Det bör hellre jämföras med ett vykort. Ibland hänvisas till posthemligheten när det sägs att om mitt namn står överst på kuvertet så är det förbjudet för företaget att öppna det. Samma sak bör gälla för mejl. Jämförelsen är felaktig av två skäl. För det första gäller posthemligheten inte längre när brevet har avlämnats till företaget. (Men om man har tillämpat en praxis att inte öppna dessa kuvert bör man inte oväntat ändra tillämpningen). Att all inkommen post måste kunna öppnas är uppenbart - (t o m lagstadgat när det gäller allmänna handlingar på myndigheter). För det andra ser de flesta mejladresserna ut på ett mer formbundet sätt - man väljer inte hur namnet skall placeras. Någon påstod att man kan jämföra kontroll av utgående mejl med att sprätta upp och kontrollera all utgående post. Jämförelsen haltar återigen. Vem orkar, är praktikerns första tanke. Nästa kommentar är att detta teoretiska exempel har dålig bäring på integritetsfrågan. Den som skickar brev på jobbet har väl rimligen en kopia på det utgående brevet som är tillgängligt för företaget. För det kan väl inte vara meningen att ett privat brev ska skickas på Copyright: Svenskt Näringsliv

9 företagets brevpapper i företagets kuvert. Om man vill finna effektfulla jämförelser kan man i stället säga att den som kräver att obehindrat få skicka privata mejl borde också tycka att det är självklart att gå till chefen och kräva att få neutrala kuvert och frimärken till sin privatpost. Om man väljer att skicka privat post i företagets kuvert eller privata mejl i företagets system måste man rimligen finna sig i att inte själv bestämma över villkoren för hanteringen. Det är väl trots detta en förmån att eventuellt kunna skicka privata mejl. Det är rimligen inte ett otillbörligt intrång i den personliga integriteten att vidta kontrollåtgärder för att värna företagets informationssäkerhet. Hur privat kan man vara på jobbet? Om man skickar privata mejl och surfar på jobbet måste man ta hänsyn till att det mesta ser ut att ske i företagets namn. Mina privata intressen av att vara ostörd i alla lägen måste vägas mot företagets intressen. Den som betalar räkningen har vissa rättigheter Den som betalat ett teleabonnemang har rätt att få reda på vad han betalar för. Man kan exempelvis kräva en specificerat räkning som visar vilka nummer som man ringt till. Jag har därför ett bättre skydd när jag ringer på mitt eget abonnemang än när jag ringer på någon annans. Samma sak gäller för mejl och surfande. Det som görs på jobbet är självklart inte lika privat som det som görs hemma. Företaget har inte bara rättigheter utan också rättsliga skyldigheter Företagen har en skyldighet att ha kontroll över IT-användningen. För det första av rent affärsmässiga skäl. För det andra på grund av tvingande lagstiftning. Företaget kan inte skylla på enskilda medarbetare för att slippa allt ansvar. Dessutom kan företaget drabbas av badwill. Några exempel på detta: - Enligt personuppgiftslagen har företaget ett ansvar för att det inte görs några otillåtna behandlingar av personuppgifter. - Företaget måste se till att det inte används piratkopierade datorprogram i verksamheten (upphovsrättslagen). - Företaget har ett tillsynsansvar enligt lagen om elektroniska anslagstavlor. - Företaget har s k principalansvar för skador som medarbetarna orsakar (skadeståndslagen). Slutligen kan man fråga sig om inte lagstiftning beträffande privat mejl- och Internetanvändning på jobbet skulle invagga användaren i falsk säkerhet. Det är nämligen inte arbetsgivaren som utgör hotet. Däremot kan den arbetsgivare som satsar på hög informationssäkerhet också erbjuda alla användare en ökad trygghet. Säkerhet och integritet går hand i hand. Copyright: Svenskt Näringsliv

10 Copyright: Svenskt Näringsliv