WL' fh{ (ti lt. RTKTLTNISn ron socrala MEDTER. Abo Rkadem REKTORS BESLUT 10.5.2011

o A Abo Rkadem REKTORS BESLUT 10.5.2011 fh{ (ti lt RTKTLTNISn ron socrala MEDTER Rektor har genom idag fattat beslut godkant Abo Akademis riktlinjer for sociala medier. Rektor rekommenderar att direktiven f6ljes. (, Jorma Mattinen \7 Rektor WL' Thurid Eriksson Kommunikationschef

o ^^ /\\ Abo Akademi Instruktion fiir anvlndning av sociala medier Abo Akademi st<ider anvdndningen av sociala medier under forutsittning att Abo Akademis webbinstruktion och nedan foljande regler foljs. Dokumenten "Anvindarguide for sociala medier" och "Informationssdkerhet och sociala medier" innehiller ndrmare information. 1. G?illande lagar och f<irordningar samt Abo Akademis bestdmmelser bor f6ljas. 2. I sociala medier gdller samma regler for officiella uttalanden som i andra medier. "Rektor, akademins styrelseordforande och kommunikationschefen skoter officiella uttalanden giillande strategiskt viktiga frigor for universitetet. Universitetssamfundet uttalar sig i expertisfrigor." (Anvisningar for Abo nkademis kommunikation, Rektors beslut 26.rr.2009.) 3. Agaren av en sida pi ett socialt medium ansvarar for allt innehill pi sidan. Dartill dr det skal att informera skribenterna om deras ansvar for sina inliigg. Officiella AA-sidor i sociala medier bor ha en ansvarsperson som overvakar sidan och vid behov kan redigera eller stryka okimpligt material. Till ansvarspersonens uppgifter hor ocksi att stryka sidan om den inte ldngre anvinds. For sociala medier och andra webbtj?inster inom akademins interna datanit forutsdtts att ansvarspersonen forhandsmodererar inlngg av eventuella skribenter som inte har en abo.fi-identitet. 4. Akademin tilliimpar principen om 6ppen information och lagen om offentlighet i myndigheters verksamhet. Materialet bor vara lisbart for allmanheten om inte siirskilda skal till begriinsningar finns. 5. Om man diskuterar akademirelaterade irenden ska det framgi vilken ens roll/uppgift ir vid akademin. Upptriider man som privatperson ska man helst uttrycka sig i forsta person, 'jag anser, jag tycker". Man btir klargora att den isikt man framfor dr ens personliga isikt, inte AA:s. 6. Man bor tydliggirra sin identitet och sin roll i det sociala forumet (upptriider man som privatperson eller i sin yrkesroll). 7. Externt uppr?itthillna sociala medietjiinster limpar sig inte fcir material som man vill eller bor bevara kontrollen over och rdttigheterna till. 8. Information om icke-offentliga drenden fir inte f<irekomma i externt uppr?itthillna sociala medier. 9. Lagen om upphovsmannardtt gdller dven elektroniskt material och den bor respekteras. Fiir tydlighetens skull kan copyright anges. 10. Andra personers integritet bor respekteras. 11. Materialet ska overensstimma med god sed. Det fir inte vara rasistiskt, religiost eller politiskt stotande, pornografiskt, vildsamt eller pi annat sdtt st6tande. Sociala medier fir inte utnyttjas for illegal distribution av licensbelagt material eller fbr spridning av skadeprogram eller verktyg som kan utnyttjas for dataintring. 12. Innan officiella akademisidor oppnas i sociala medier ska tillstind till detta inhdmtas av kommunikationsenheten, som vid behov konsulterar datacentralen.

o AA ffi rttt Abo Rkademi Datacentralen och Kommunikationsenheten 6.5.20 r 1 Anvdndarguide for sociala medier Begreppet sociala medier dr vdlkdnt bland dem som hiller kontakt med bekanta via det stora utbud tilldmpningar som finns ute pa webben. Generellt beskrivs sociala medier som en kombination av teknologi och social interaktion ddr man pi ett enkelt intuitivt sdtt antingen kan publicera, kommentera eller ta del av informationen. Tilliimpningarna anvdnds allt mera just for den sociala kommunikationen, och bide antaletill6mpningar och anvdndare vdxer hela tiden. Som exempel pa tilltimpningar kan ndmnas Facebook, ett stort antal olika verktyg frir bloggar och mikrobloggar, wikis, Wave, Twitter, Picasa, externa e-postlador, etc. Helt nya beniimningar (t.ex. att tvittra) som ska gora anvdndningen mera populiir tas medvetet i bruk samtidigt som marknadsforingen 6kar kraftigt inom de sociala medierna. Egentligen 6r det inte friga om helt nya saker (t.ex. diskussionsforum har redan existerat i 30 ir), men ddremot har anvdndarviinligheten <ikat och mdngden deltagare tuxit explosionsartat. Generella anvisningar De sociala medierna och ndtverken anvdnds till stora delar av privatpersoner. Ditt anvdndaravtal inom akademin ger dig en mojlighet att i viss min anvdnda akademins it-resurser for den dagliga privata kontakten med bekanta, dock si att ditt arbete inte blir lidande och att du inte isamkar problem fcir dina kolleger eller studiekamrater. Ocksi i arbetet kan de sociala medierna vara anvindbara, t.ex. vid marknadsf<iring och kommunikation med externa milgrupper. Hiir dr det skiil att hilla tungan rdtt i munnen och vara medveten om tilldmpningarnas faror och begrdnsningar. DA det g?iller ditt arbetsmaterial 6r tumregeln den att du anvdnder akademins interna resurser for lagring av denna information. Vi rekommenderar samma tumregel varmt ocksa fcjr studiematerial. Vi hdnvisar till akademins e-postpolicy, webbinstruktion och instruktion frir anvdndning av sociala medier. Det finns ndmligen ett antal risker och faror som lurar pa de sociala mediernas anvdndare och som man i vanliga fall inte nodvdndigtvis kommer att tinka pa. Hir nigra exempel:. Avtalen kan vara besvdrliga och svirtolkade.. Vad fir och vad far inte publiceras? Lagstiftningen varierar stort beroende pa i vilket land tilllimpningen fusiskt dr placerad. (Vet du i vilket land tilliimpningen du anvdnder finns?).. Vad fir operatdren och myndigheterna i landet diir tilleimpningen kors gora it datat? Finns det risk att det ldcker ut till en tredje part?. Risken dr stor att du <iverliter dganderdtten for materialet till iigaren av tilldmpningen di du fcir dver t.ex. en bild eller en text. Materialet kan da ev. anvdndas pa andra stdllen utan ditt tiilstand.. Agaren (friretaget/organisationen) av tilldmpningen kan ga i konkurs eller sdljas och di kan ditt material fcirsvinna pi vdgen.. Tjdnsten kan bcirja kosta.. Ditt material kan bli utsatt for ofog, dgaren av tilliimpningen kan fransdga sig sitt ansvar giillande sdkerheten eller helt enkelt ignorera din begdran om hj?ilp.. Operatdren av tilldmpningen skriter ofta sjdlv driftsiikerheten hyggligt genom att spegla datat till olika datorer (ofta i olika liinder). Ddremot finns det ingen garanti att operatdren st6r till tjdnst med sdkerhetskopiering. Om du i misstag stryker eller forvringer ditt material har inte operatciren nigon sdkerhetskopia At dig (endast speglade kopior av det felaktiga materialet).. Personer kan registrera sig anonymt, sa att varken ilder, k<in eller ursprung stdmmer overens med verkligheten. I vdrsta fall kan nigon frira t.ex. en bloggdagbok i ditt namn om ditt, enligt den anonyma personen, pistidda liv utan att du kan gora nagot it saken (beroende pa lagstiftningen i landet diir bloggen finns). Nigon kan ocksi registrera en e-postadress i ditt namn (eller i din kollegas namn). De som utsdger sig vara specialister (t.ex. ldkare pi en "liikarblogg") kan i verkligheten vara helt andra. Hur skall man d& bete sig vid anvindningen av sociala medier? Nedan foljer en del av de riktlinjer som man bcir kiinna till.

Datacentralen och Kommunikationsenheten 2 6.5.201 Upprdtthi ll konfidentialitet Skicka inte konfidentiell eller icke-offentlig information angaende universitetet, dess verksamhet, anstdllda, studerande eller forskare. Du behover egentligen inte civerhuvudtaget sdtta arbetsrelaterat material pi externa sociala medier, det kan med fdrdel placeras pi akademins egna utrymmen och vid behov sedan ldnkas frin de externa sociala medierna. PA detta siitt behiller du upphovsriitten till dokumentet hos dig sjdlv och akademin. Anvdnd god ton i dina inliigg och folj etik och moral samt instruktioner och policyn som akademin utfdrdat. Respektera integriteten Respektera dina ldsare, arbetsgivare, medarbetare och ovriga. Skriv inte om namngivna eller bildsatta Personer utan deras tillstind. Detta gdller naturligtvis dven om personen kan kdnnas igen pi annat sdtt (genom t.ex' utforliga eller kdnnetecknande beskrivningar). Som tumregel kan ndmnas att du aldrig ska skriva om nigot som inte kan publiceras. Kom iven ihig att det som skickas in till sociala medier har en tendens att "fastna" diir och att informationen kan anvdndas mot dig i ett senare skede. Var respektfull och undvik krdnkande eller nedsdttande kommentarer, etnisk smutskastning, oanstiindighet och personliga ftiroliimpningar' Var konstruktiv och respektfull dven om du 6r av en annan isikt. U ppritthi ll sli kerheten Bekanta dig med tjdnsten och fdrsok forsta dess logik innan du borjar anvdnda den. Lds ocksa igenom avtalet och anviindarvillkoren, i synnerhet texter som behandlar upphovsrdttsliga frigor. Anvdnd aldrig akademins losenord for externa sociala medier. Fdlj de sdkerhetsanvisningar och instruktioner som giiller, bide fran din arbetsgivares och den externa operatorens sida. Hill din dator uppdaterad med ett aktivt antivirusskydd och en fungerande brandviigg. Var inte rddd att be om hjiilp om du misstdnker oegentligheter eller om du blir miltavla for osakligheter eller annan typ av angrepp. Respektera arbetsgivare, arbetstid och egendom Respekterarbetsgivarens tid och resurser och skilj tydligt pi rollerna som representant ftir akademin och privatperson. Anvdnd dig inte av sociala medier med stijtande eller krinkande framtoning och ladda inte ner suspekt material pa din arbetsdator. Biir ditt ansvar Du har ett personligt ansvar fcir det material du skickar in till de sociala medierna som motsvarar det f6r publicerat material. Kom ihig att det du publicerar pa ndtet kan finnas allmdnt tillgnngligt for en ling tid framover (6ven om du sjiilv tagit bort materialet). Om du tilliter kommentarer och inliigg pi en av dig uppriitthillen sida si anses du vara ansvarig for dess innehill, si forhandsmoderering rekommenderas' Framtida potentiella arbetsgivare gtir webbsokningar pa jobbkandidater, sa skriv inte om sadant som kan vara dig till belastning i ett senare skede. Om du gor ett misstag, erkinn det och korrigera saken. Se till att den korrigerade versionen dr den aktuella. Be om ursdkt om du gjort andra illa berorda med dina inliigg. Ta hdnsyn till andra deltagare och bidra med sakliga inldgg som visar din sakkunskap och erfarenhet i dmnet' Var transparent Var drlig ocksi giillande din identitet. Visa tydligt i vilken roll du skriver inliiggen, for linjen mellan rollen som privatperson och representant for arbetsgivaren kan vara viildigt luddig. Tiink pa innehillet i det du skriver och vilka potentiella ldsare som tar del av materialet. Tiink fiire du publicerar Privata sociala medier existerar inte. Sdkmotorer kan hitta dina texter och bilder flera ir efter publiceringen' Inliigg kan skickas vidare, kopieras eller dyka upp i arkiv trots att du raderat dem. Skriv aldrig inliigg i uppretat tillstind. Bekanta dig dven med Abo Akademis webbinstruktion, Instruktion fdr anviindning av sociala medier vid AA och I nform ati o n s iikerhet o ch s o ci ala m edi er.

Informationssdkerhet och sociala medier version: 1,0.0, 06.05.20L1. Versionsnu mreringen: Kdllor: Version betecknas enligt: v.xx.yy, dd.mm.5666. v betecknar huvudversionen. Uppdateras endast ifallstora fordndringar gdrs.. xx betecknar f6rdndringar av innehillet/stoffet. Uppdateras exempelvis vid insdttning av nya kapitel, stycken och st6rre omskrivningar.. yy betecknar korrigeringar av skrivfel och dito. Uppdateras i samband med fordndringar som inte har att gora med stoffet i sig.. Datum markerat med tv6 siffror fdr dag och msnad samt fyra for 5r anger datumet di dokumentet ar sparat. Sosiaalisen median mahdollisuudet hallinnolle, toim. Tuija Aalto, Oikeusministerio, Demokratia- ja kieliasioiden yksikk6, 4.6.2010 Sosiaaf isen median tietoturvaohje, VAHTI 4/201.0 Yliopistojen tietoturvapd6llikoiden viestintisuositus sosiaalisen median kdytosts, 1.7.zOtO

1. 2 Informationssdkerhetsrisker i samband med sociala medier...1 2.1 De frdmsta utmaningarna och hotbilderna...,,.,...1 2.2 Skydd av information och privatliv...2 2.2.1 Spionage...,....,... 3 2.2.2 Spridning av falsk och felaktig information...3 2.2.3 Stold av inloggningsuppgifter...,.,,...3 2.3 Utmaningar isamband med socialt ndtverkande...,...3 2.3.L Ndtfiske av uppgifter......,.,...3 2.3.2 Hot mot samt storande och avskrdckning personal....,...4 2.3.3 Okdnda kontakter och vdnner......4 2.4 Tekniska risker...,...5 2.4.1 Skadeprogram som sprider sig via sociala medier......5 2.4.2 Risk for overbelastning (av it-infrastrukturen)...6 2.4.3 Risker bundna till utvecklingen av tjdnsterna och applikationerna...,....6 2.4.4 lilldggsprogram och programmeringsgrdnssnitt......,...6 2.4.5 Skrdppostmeddelanden......6 2.5 Ovriga hotbilder......,.,...,.,...7 2.5.1 Oklara eller fordnderliga anvdndarvillkor och utldmning av information till utomstiende parter 7 2.5.2 Oklarheter angaende lagringsorten och nivin av datasdkerhet...7 2.5.3 ldentitetsstold...,...8 2.5.4 Skydd av privat1ivet.....,...8 2.5.5 Risker for den fysiska sdkerheten...9 2.5.6 Risker fdrknippade med skada for organisationens rykte och trovdrdighet...10 Fdrverkligandet av informationssdkerhet i samband med anvdndning av sociala medier...10 3.1 Policy for anvdndning/nyttjandet av sociala medier...1-1 3.2 ldentiteter/roller i sociala medier...,...11 3.2.1 Olika identiteter i sociala medier......,...11 3.2.1.1. Tjdnstekonto (anvdndaren som officiell talesperson for organisationen)... L1 3.2.1.2 Privat konto, hdnvisning tillarbetsgivaren (hybrid; privatperson iexpertroll)..l2 3.2.1,.3 Privat konto eller fullstdndigt anonymt (privatperson utan koppling till arbetsgivaren)......i2 3.2.2 ldentiteter som anvinds av organisationen......12

3.2.3 Privat anvdndning och nimnandet av arbetsgivaren......13 3.2.4 Fullstdndigt privat anvdndning......15 3.3 Skolning och anvisningar......15 3.4 Datamaterialsikerhet......1.6 3.5 Tekniska ldsningar...,..16 3.6 lbruktagandet av tjinster * kontroll av anvindningsvillkoren.,...17 3.7 Skydd av privat1ivet......,...,.18 3.8 Personsdkerhet...,...19 3.9 Kontroll av ryktet och anseendet......19 Exempeloch begrdnsningar......20 4.L Exempel pi anvdndningsomridet av sociala medier......20 4.2 Begrdnsningar for anvdndning av sociala medier......20 Referenser och annat nyttigt...,...21

L INTEDNING Detta dokument ska ses om en kslla till allmdn bakgrundsinformation angiende de frdmsta informationssdkerhetsrisker som forknippas med sociala medier. Dokumentet dr till stor del en oversdttning av vissa kapitel ur Finansministeriets publikation "sosiaalisen median tietoturvaohje, VAHTI 4/20L0". I kapitel 2 beskrives riskerna, i kapitel 3 ges rid och anvisningar angdende hantering av riskerna. H6r ges ocksi rekommendationer hur de olika aspekterna bor losas inom Abo Rkademi och av de enskildanvdndarna. Dokumentet fungerar som grund till AA:s instruktion om anvdndning av sociala medier och till den vid AR utgivna anvdndarguiden f6r sociala medier. 2 INFORMATIONSSAXENHETSRISKER I SAMBAND MED SOCIATA MEDIER I sig medfor anvdndningen av sociala medier inga egentliga nya informationssikerhetsrisker, men de fir pi grund av sin natur de existerande riskernatt ge sig till kdnna annorlunda dn tidigare. 2.L De friimsta utmaningarna och hotbilderna Tjdnster inom de sociala medierna har inte nodvdndigtvis byggts upp enligt samma designprinciper och krav som anvdnds for andra tjdnster och datasystem, de har inte heller nodvdndigtvis genomgitt motsvarande auditeringar. Principen for anvdndning av tjdnsterna skiljer sig dessutom rejiilt frin traditionella datasystem. De mest centrala informationssikerhetsriskerna hdrstammar frin dels anvdndarnas eget beteende, dels professionell och organiserad verksamhet driven av olika grupperingarl. Avsikten med verksamheten ir att komma et information, sisom kreditkorts- och personuppgifter, foretagshemligheter eller statshemligheter, att inverka p6 beslutsfattandet (antingen konsumenternas, bolagsledningens eller statsledningens beslut), att besudla en organisations eller privatpersons rykte eller att sprida grupperingens egna id6er. Sociala medier kan med fiirdel anvdndas till att synligg6ra de av Abo Akademi upprdtthillna tjdnsterna och styra anvdndare till dem. p6 si vis erhills bdttre kontroll iiver materialet istdllet f6r att det l5ggs ut pd det fullt iippna internet. En del av de kriminella grupperingarna strdvar efter stdrsta mojliga ekonomiska nytta genom att forsdka erh6lla kontroll over anvindares datorer med hjdlp av skadeprogram som sprids (ocks6) med hjdlp av och via sociala medier. Ett s.k. bot-ndt, som kan besti av (hundra)tusentals kapade datorer, kan anvdndas och fungera bl.a. som en effektiv omgivning att skicka ut skrdppost ifrin, sdtta upp ' Bl.a. kriminella grupperingar, extremister och stater.

servrar f6r ndtfiske i eller kdra riktade DoS'-attacker ifrin. De kapade maskinerna kan ocks6 anvdndas f6r att gora inbrott i datasystem antingen genom att testa olika kombinationer av anvdndarnamn och losenord mot olika tjdnster eller berdkningsmdssigt kndcka losenord. Speciellt besvdrliga riktade attacker; inom dessa anvinds oftast specifika skadeprogram som dr skapade dels specifikt for sitt dndam6l, dels for att kringgi offerorganisationens detektionssystem. I de foljande kapitlen granskas de mest centrala informationssdkerhetsrisker som sociala medier medfor. 2.2 Skydd av information och privatliv Avsikten med informationssdkerhet dr att sorja for informationens konfidentialitet, integritet och tillgdnglighet utan att glomma anvdndarvdnligheten. En av de mest centrala hotbilderna i samband med anvdndning av sociala medier dr att information som inte dr publik blottas eller kommer i fel hdnder, vilket kan orsakas av bl.a. att: Anvdndaren' kan antingen omedvetet eller av misstag r6ka dela ut eller skicka i nformation som d r hem ligstd m plad. lfa ll tjd nsteleverantdren befin ner sig utomlands eller tjdnsten upprdtthdlls av en tredje part kan det vara omojligt att avlsgsna informationen frin tjdnsten. Det kan ocksi ta si 16ng tid att fi det gjort att informationen hinner ldcka till andra tjdnster pi internet och informationen blir kvar pi ndtet "for all framtid". Aven om anvdndaren skickar meddelanden och publicerar information som i sig iir publik kan det hdnda att de enskilda meddelandena g5r att plocka ihop sd att konfidentiell information sprids. Meddelanden kan ocks6 samlas frin en ldngre tidsperiod och frin olika kiillor/sociala medier. Anvdndaren har ddrmed omedvetet fororsakat en informationslscka. Aven om en anvdndare sjdlv inte publicerar konfidentiell information i ett socialt medium kan n6gon annan oavsiktligtgora dettillexempelisamband med att denne publicerar text-, bild- eller videomaterial. Nigot att vara uppmdrksam med 6r bland annat legesinformation i samband med fotografier; i dagens ldge kan allt flera kameror (och telefoner) spara bide plats- (koordinaterna) och tidsinformation for exponeringstillfsllet och d6 blir det mojligt att ta reda pi var en person varit vid en viss tidpunkt. I de sammanhang di Abo Akademi upptrdder pi ett allmdnt och extern socialt medium kan det fiir anvdndarna vara svirt att inse att de fiir en dialog pa ett offentligt forum, inte direkt med Abo Akademi. Anvdndarna biir giiras uppmhrksamma pi att de kommunicerar i ett offentligt ' Denial of Service; en niitattack som strdvar efter att Overbelasta en tjenst s5 att den blir on6bar. 3 Med "anvendare" menas hdr b6de "kund" och "personal", d.v.s. samtlig anvdndare av den sociala medietjiinsten.

medium, se att de inte oavsiktligt sinder privat information om sig sjdlva till det. lstsllet biir anvdndarna uppmanas kontakta Abo Akademis egna tjdnster fiir att fi sina drenden utrdttade. Information som anviindare publicerar och som skadar skyddet fiir deras egna privatliv biir kunna avldgsnas omedelbart. 2.2.L Spionage De sociala medierna utgor ett ypperligt verktyg att soka information som i sin tur kan kopplas ihop med information som erh6llits ur andra ksllor. Ett flertal undersokningar har dessutom pivisat att anvdndare som medlemmar i sina sociala ndtverk liittvindigt accepterar andra anvdndare som inte nodvdndigtvis ens 5r bekanta frin tidigare. Detta beteende kombinerat med en alltfor stor tillit och vardsloshet okar avsevdrt informationssdkerhetsriskerna en organisation och gor de sociala medierna till ett ypperligt verktyg for industrispioner och underrdttelsetjdnster. 2.2.2 Spridning av falsk och felaktig information Sociala medier kan missbrukas avsiktligt for att sprida falsk eller felaktig information. En del organisationer kan ha mdrkt och drabbats av bl,a. att det pi internet lagts upp falska webbsidor som hdrmar organisationens officiella hemsida eller att nigon utger sig for att vara en officiell talesperson for organisationen. Aven om dessa tilldragelser kan verka rdtt harmlosa kan de ocksi medfora betydande informationssdkerhetsrisker (exempelvis en sida uppsatt for att ndtfisk anvdndares losenord) eller inverka negativt pd en organisations verksamhet eller dess publicitet. Om sidana sidor upptdcks bor organisationen ta till 6tgiirder for att fi den missvisande informationen avldgsnad. 2.2.3 Stold av inloggningsuppgifter De anvdndarkonton som anvdnds av organisationen eller dess anstdllda kan hamna ifel hdnder, och di kan fientligt instdllda personer stiilla till stor skada. Exempelvis kan de dndra innehsll, publicera material i organisationens namn, sprida skadeprogram eller stjdla personuppgiftera. 2.3 Utmaningar i samband med socialt niitverkande Avsikten med sociala ndtverk 5r att fdrena mdnniskor med hjtilp av ndtverk. Detta ger skurkar nya mojligheter i och med att anvdndarna i de flesta fall 5r godtrogna och har en tendens att lita pi de kontakter de har i sina egna ndtverk. 2.3.1 Natfiske av uppgifter Till de sociala mediernas ksnnetecken hor att de dr lsttillgdngliga, vilket ocksi gor det enkelt att ndrma sig folk som anvdnder dem. Personalen har ivanliga fallskolats att leta bli att oppna tvivelaktiga e-postmeddelanden och ldnkar, men i samband med sociala medier iir folk ofta mindre aktsamma, speciellt om det dr eller verkar vara ndgon ur den egna bekantskapskretsen som skickar en inbjudan att installera en ny applikation, funktion eller plug-in. o I den m6n s6dana finns bland materialet.

Var sunt kritisk till samtliga fiirfrsgningar och frdgeformuldr (exempelvis lotterier och tdvlingar) som gdller din person och ditt privatliv. ldka samma kritiska fiirhillningsslitt till fiirfrigningar om andra personer. Nitfiske har blivit ett betydande problem inom de sociala medierna. Anvdndare fdrsdker, med hjdlp av frigor och frigeformuldr, luras att ge uppgifter om sig sjdlva eller sin arbetsgivare. I kontrastill tidigare, slumpvisa ndtfiskeattacker kan attackerna nu med hjdlp av den information som samlats in via sociala medier riktas mot specifika grupper av anvdndare. Under vdren 20L0 forstikte onviindore luras att uppge uppgifter om sig sjiilvo pd Facebook; de 20 000 fdrsta utlovades ett presentkort vcirt 7 000 till lkea. Det vor frdga om lurendrejeri, vilket betonor behovet ov uppmtirksamhet, skepticism och sunt bondfornuft isambond med onviindningen ov sociala medier. 2.3.2 Hot mot samt strirande och avskrdckning av personal I sociala medier berdttar en del personer mycket 6ppet om sig sj6lva och sitt liv. En del av tjdnsterna dr i sin tur byggda s6 att sokmaskiner, sisom Google, kan genomsoka dem och spara information om en person i sin egen databas. Det hdr leder i sin tur till att informationen dr publikt nibar och sdkbar. Om ndgon dessutom kommer in i en personsociala ndtverk och vill missbruka det kan han piverka personens liv pi minga sett, antingen via det elektroniska mediet eller med hot om fysiskt v5ld. Med hjdlp av en forfalskad profil kan personen ifriga enkelt publicera ogrundade och osanna meddelanden eller annan elakartad information om anvdndaren. Tidigare, utan sociala ndtverk, skulle motsvarande ha varit betydligt svirare. 2.3.3 Okanda kontakter och vanner Man bor vara ytterst aktsam di man godkdnner personer till sitt ndtverk, i annat fall kan det hdnda att man bildar kontakter man aldrig skulle bilda och upprdtthslla i det verkliga livet eller som i vdrsta fall inte ens existerar. Beteendet kan komma att skada anvdndarens privatliv och dra, infiltratoren kan ocksi utnyttja anvdndaren for att bygga upp fdrtroende mellan dennes ndtverk och sig sjslv och sedan, i ett senare skede, missbruka f6rtroendet exempelvis for att sprida skadeprogram eller stjdla pe rsonu ppgifte r. En god tumregel dr att inte godkdnna kontakter du inte trdffat i det verkliga livet. En informotionssiikerhetsforskore lyckades infiltrera underriittelsetjtinster och militiir i USA genom ott skopa sig en skenidentitet i Facebook, Linkedln och Twitter och dessutom kopplo ett fotogrofititt profilen; personen katlodes Robin Soges. lnom ett por veckor erholl personen flero hundra vdnner och kontokter inom bdde USA:s fdrsvor och den nationello stikerhetstjiinsten NSA sqmt Storbritonniens milittir. Forskoren lyckades via t For merr lssning ang6ende Robin Sage kan hiinvisas till exempelvis: http://science.dodlive. m il /2OIO/07/zl/the-dangers-of-friending-stra ngers-the-robin-sage-experiment/ (nerfaddat 7.2.ZOLL\

sitt niitverk komma dt kiinsligt materiolsdsom nqmn, adresser, kontonummer och e-post och fick dtirutdver ett flertol f1rfrdgningar om ott hdlla f1redrag, ocksd efter ott profilen avslojats vara humbug. Det 5r viktigt att inse att det dr omojligt att ha kontroll 6ver sina kontakters goranden. Aven om en anvdndare sj6lv inte avslojar kdnslig information om sig sjdlv eller sin organisation kan nigon annan publicera information som dr opassande eller privat6. 2.4 Tekniska risker 2.4.1 Skadeprogram som sprider sig via sociala medier Sociala medier erbjuder missbrukaren gynnsam plattform att snabbt och effektivt sprida nya skadeprogram till mojligast manga anvdndares datorer framfor allt diirfdr att antalet anvdndare okar sna b bt. I forhillande till traditionell spridning kan anvdndandet av sociala ndtverk mdjliggdra enklare spridning av skadeprogram bl.a. p5 grund av att: - Meddelanden som kommer frin vdnner, kollegor och ovriga anvdndare som upplevs bekanta ofta forestdlls vara sdkrare 5n motsvarande meddelanden som kommer per e-post. - Det inom flera tjdnster ofta hdnvisas till andra inliigg i en diskussion via forkortade webbaddresser sisom bit,ly eller tinyurl.com. Sdkerhetsrisken ligger i att anvdndaren inte vet vilken sida han styrs tillinnan han anldndertillsidan. Forkortningstjdnstens pilitlighet och sikerhet bor ocks6 beaktas; det dr fullt mojligt att en forkortad, tidigare sdker adres styrs om till en skadlig sida. - Tjdnsteleverantdren inte nodvdndigtvis harfdst tillrdckligt storvikt vid sin egen tjdnst, vilket kan leda till att anvdndarnas datorer smittas. - Det vid sidan av de traditionella skadeprogrammen har uppstitt en helt ny grupp av skadeprogram. Dess anvinder sig av anvdndarnas tillit till kontakterna i sitt eget ndtverk och strevar efter att styra anvdndarna till skadliga webbsidor. De applikationer som du godk6nner kan i de flesta fall ldsa din profil och ta reda pi dina kontakter. Organisationens rykte kan lida avsevdrd skada ifall det visar sig att det bdddats in skadeprogram i de tjdnster organisationen erbjudit. " Ett exempel iir da en nybliven far blev gratulerad till den lyckliga tilldragelsen i familjen av en halvbekant. Dessvdrre hade fadern och modern sjiilva inte meddelat om hiindelsen till andra iin den allra ndrmaste kretsen; istallet var det en av moderns broder som p5 ett socialt forum berdttat att han just blivit morbror. Meddelandet hade liists av hela viinkretsen, som ddrefter kunnat dra slutsatser om vem den nyblivna fadern va r.

2.4.2 Risk for overbelastning (av it-infrastrukturen) En del av de sociala medierna kretsar kring utdelning av video-, bild- och ljudmaterial. En del organisationer forbjuder eller begrdnsar p5 teknisk vdg anvdndning av sidana sociala medier f6r att de belastar ndtet och utrusningen i det. 2.4.3 Risker bundna till utvecklingen av tjansterna och applikationerna Konkurrensen mellan olika sociala medier och utvecklingen av tjdnsterna ir betydligt snabbare 5n f6r andra it-tjdnster. Detta medfor ocksi ett behov av en snabbare produktionsmodell dn den som anvdnds vid utveckling av traditionella tjdnster och traditionell mjukvara. Vid en snabb utveckling av applikationer lider oftast bdde sdkerhetstdnkandet och testningen, vilket i sin tur leder till att det i den fdrdiga produkten enkelt kan kvarstd sdrbarheter som hdrstammar frin den anvdnda programmerings- eller serverteknologin. 2.4.4 T illeggs pro gram o ch programme rin gs gran s snitt Huvudmdnnen till de sociala medierna vill bredda sin anvdndarbas genom att erbjuda intressanta tjdnster. Detta gdrs i allt flera fall genom att erbjuda tredje parter programmeringsgrdnssnitt for utveckling av nya applikationer. Applikationerna kor ofta pi utvecklarnas servrar for vilkas sdkerhetsnivier det inte finns nigra som helst garantier. Anvdndarna kan ocksi uppmanas ge information till applikationen Sven om informationen i sig inte 5r nodv6ndig for applikationens f u n ktion. Ftirhill dig till applikationer som till okiinda vdnner och kontakter. Observera att rekommendationen att anvdnda en applikation kan ha skickats av applikationen sj5lv, di nigon i ditt kontaktndt godkiint applikationen, kanske fiir att nigon i hans kontaktndt godkiint applikationen. Virus, maskar och iivriga skadeprogram fdrekommer i iikande mdngd inom olika sociala medier. En annan trend dr att utveckla tjdnster och applikationer med vilkas hjslp anvdndaren centralt kan administrera och anvdnda flera olika sociala medier. lfall anvdndarnamn och ldsenord till en dylik central tjdnst faller i utomstiendes hdnder kan flera olika sociala medier missbrukas. En sidan centraltjdnst erbjuder ocksi mdjligheten att enkelt kombinera information i en persons ndtverk och ger ssledes en skurk ett enkelt sdtt att samla in data. I stiillet f6r att dgna sig 6t en tjdnst 5t 96ngen kan en f6rovare koncentrera sig direkt p6 en tjinst som inneh6ller mojligast mycket samlad information frsn olika sociala medier. 2.4.5 Skriippostmeddelanden Sociala medier anvdnds ocksi fdr att skicka skrdppostmeddelanden, till stor del ddrfor att skrdppostfiltreringen inom dem for det mesta inte 5r av samma kvalitet som i traditionella e- postsystem.

2.5 Ovriga hotbilder 2.5.1 Oklara eller fordnderliga anvdndarvillkor och utldmning av information till utomstflende parter Fi privatanvdndare besvdrar sig att ldsa anvdndarvillkoren for de olika sociala medierna pi grund av att de dr 16nga, invecklade och oklara. Oftast godtar anvdndaren villkoren och litar pi att de dr acceptabla eftersom ocksi andra accepterat dem. Organisationer bor vara noggrannare dn si dd tjdnster tas i bruk, oberoende av om det 6r fr6ga om att personalen tillsts/uppmanas anvdnda tjdnsterna eller om organisationen sjdlv har fdr avsikt att erbjuda tjdnster via dem. I de flesta fall utgors en central utmaning av att tjdnsteleverantdren och tjdnsten befinner sig utomlands och d6 dr tjinsteleverantoren knappast villig att gora fordndringar i tjdnsteavtalet pi grund av en liten kund i utlandet. Kontrollera anvdndaravtalet. Vilka rdttigheter till materialet avsdger du dig? Vad hdnder om du eller leverantiiren av misstag stryker din profil? Vad hdnder med dina data di du beslutar dig fiir att sluta anvdnda tjdnsten och sdger upp avtalet? Det mojligen viktigaste 6r att reda ut vilka rdttigheter tjdnsteleverantoren fir till kundens data. I vdrsta fall forbeh6ller sig tjdnsteleverantoren all rdtt till materialet, vilket mojliggor distribution och forsdljning av det till en tredje, utomstsende part. Flera sociala medier dr avsedda endast fdr privatpersoner, vilket 96r att minga av anvdndarvillkoren kan vara i konflikt med reglerna inom anvindarens egen organisation. Exempelvis kan anvdndaren forpliktigas att skydda tjdnsteleverantoren mot rdttskrav frin yttre h5ll, ocks6 den egna organisationen. MSnga av tjdnsteleverant6rerna av sociala medier befinner sig utanfor Finland och den finska lagstiftningen, och d6 kan de tidigare ndmnda avtalsvillkoren och den tilldmpade lagstiftningen avsevdrt avvika frin den vi dr vana med i Finland. 2.5.2 Oklarheter angflende lagringsorten och nivfln av datasdkerhet Inom de sociala medierna, liksom fdr ovriga internettjdnster, blir anvdndningen av delad kapacitet, d.v,s. servervirtualisering och molntjdnster (eng. cloud computing), allt vanligare. De storsta utmaningarna med dessa losningar dr fr6gan om placeringen av data, tjiinsternas anvdndbarhet i fall av storningar och oklarheter angiende den verkliga datasdkerheten hos tjdnsten. Vet du var dina data lagras? Vet du hur de skyddas? Spelar det nigon roll? Informationen som flyttats till sociala medier kan finnas i lsnder i vilka lagstiftningen angiende informationssdkerhet och dataskydd avsevdrt skiljer sig frin den finska motsvarigheten. I vissa fall (exempelvis i friga om personuppgifter) begrdnsar den finska lagstiftningen flytt av information till

ldnder vars dataskydds- och informationssdkerhetslagar inte garanterar lika hogt skydd som de finska lagarna. lfall rdttstvister uppstir behandlas de oftast i det land och enligt den lagstiftning som tjdnsteleverantoren befinner sig i. Mera information om detta finns p5 dataskyddsombudsmannens webbsidort. Om tjdnsten i sin helhet befinner sig utomlands 5r den inte tillgdnglig om de internationella datandtforbindelserna brister. Detta torde iforsta hand inte utgora nigot problem, eftersom de sociala medierna i de flesta fall inte 5r kritiska for organisationens verksamhet, I samband med att nya tjdnster, framfor allt for grupparbete och kommunikation, blir vanligare, kan ddremot dessa tjdnster blir mera kritiska 6n sociala medietjinster av traditionell natur. Detta behover beaktas i samband med planeringen av verksamhetens kontinuitet och nodv6ndiga reservarrangemang. Utover det ovan ndmnda m6ste ocks6 beaktas att det for det mesta iir om6jligt att kontrollera (auditera) informationssdkerheten hos en serviceleverantor som befinner sig utomlands. lbruktagandet av sociala medier utgor i dessa fall alltid en risk. 2.5.3 Identitetsstold lfall en individ publicerar for mycket information om sig sjdlv, exempelvis f6delsedatum, hemadress, namn pi familjemedlemmar o.s.v. kan informationen anv;indas for identitetsstold, Tjdnsterna inom de sociala medierna dr ofta personliga, vilket leder till att biverkningarna/foljdfenomenen ocksi oftast riktar sig mot de enskilda personerna, inte deras organisationer. I Finlan dr identitetsstold i sig inte ett brott, men det som ddremot dr det dr bedrdgeri, smddelse och spridning av information som krdnker privatlivet om det utforts med hjslp av identitetsstold, St6ld av anvdndarnamn och/eller losenord kan underldttas ifall en person publicerar information om sig sjdlv pii flera olika stdllen pi internet. F6r anvdndaren kan det di vara svirt att komma ihig vilken information som gir att finna om honom. I vdrsta fall kan svaretill en av de vanligaste frigorna for att Sterstdlla ett gl6mt losenord:"vad heter din hund?" finnas i n6gon av anvdndarens profiler, 2.5.4 Skydd av privatlivet Di tjdnster inom de sociala medierna utvecklats har skyddet av anvdndarnas privatliv inte utgjort nigot av de viktigaste designmslen. Tvdrtom baserar businessmodellen for minga sociala medier pi att informationen om anvdndarna 5r mojligast publik. Samtidigt h6ller den sociala normen angiende privatliv pa att fordndras och grinsen mellan privat och publikt att suddas ut. Som foreteelse dr de sociala medierna iinnu sipass nya att folk i m6nga fall inte kan forh6lla sig helt klarsynta till dem. Speciellt angeldgenheter som gsller privatlivet blir oftast aktuella forst d6 det redan dr for sent. t Datskyddsombudsmannens webbsidor nis pi adressen: http://www.tietosuoja.fi/ Overforing av personuppgifter till utlandet: http://www.tietosuoja.fi/9230.htm (nerladdat 7.2.z}ttl Angiende settning p6 entrepenad av personuppgifter, gemensamma datasystem, networking och avtal rora n de dessa: http://www.tietosuoja.filu ploads/fqfq98_1. pdf (nerla ddat 7.2.2071)

Kom ih6g att kontrollera och justera instdllningarna fiir skyddet av privatlivet. Overvig ockss vad som iir vdrt att publicera om dig sjdlv, dina familjemedlemmar och viinner. Som exempel md niimnos ett fall i Storbritonnien under sommoren 20098. Det helo gdttde en pd Facebook publicerod sida som kom att utgora en nationell stikerhetsrisk. Det vqr frdgo om att frun till chefen f6r Iandets underrrittelsetjdnst (M16) 6ppet berdttode mycket personliga angeldgenheter om sin fomilj, publicerade fotografier och dessutom sin hemadress pd sin Facebooksido. Sidan, som i sig verkade oforlig, vor trots ollt oppen och ltisbar f6r alla (som htirde till en dppen Londongrupp) i ndtverket och utgjorde en risk pd bdde nqtionell nivd och for familjen sjiilv. Ocksi om anvdndaren sjilv gor allt korrekt, st6ller in de mest centrala integritetsskydden och foljer de bdsta principerna for anvdndning av tjdnsterna garanterar inget att nsgon av de personer som hcjr tillanvdndarens ndtverk inte stdllertill med problem som ledertillatt anvindarens information sprids. Speciellt fotografier och mdrkning av personer pi dem (eng. tagging) kan skapa en ytterst omfattande profil over anvdndaren. Andra detaljer som syns pi fotografierna, exempelvis bilars registerpl6tar, gatunamn och husnummer, mojligen kombinerat med geografiska data (GPS-position), avslojar forvsnansvdrt mycket om en person. Ocksi fel i applikationerna kan blotta personlig information som inte ddrefter mera enkelt gir att radera satillvida den hunnit sprida sig pi internet. A ondrq sidan iir sociolo medier inte heller helt sdkra f6r kriminello oktiirer. Den itolienska polisen tog vdren 201-0 fost en person som dtolats fdr flero mord, narkotikabrott och kontakt med maffian. Tillflyktsorten spdrades med hjdlp av den 3Gfdrbindelse personen anviinde fdr ott kontokto Facebook. 2.5.5 Risker for den fysiska sikerheten Ny teknologi, nya apparater och nya tjdnster anvdnder GPS-teknik, 3G-utrustning anvdnder ocksi a- GPS-teknik for att lokaliserapparaten med nigra meters noggrannhet. Vid sidan om ovan ndmnda tekniker anvdnds ocks6 lokalisering med hjiilp av WlAN-basstationer och d5 behover apparaten inte ha GPS-egenskaper for att positionsbestdmning ska kunna goras. Samma tekniker kommer att borja anvdndas (och anvdnds redan) ocksi i ovrig elektronikutrustning och kameror, och d6 kommer positionsbestdmning med all sannolikhet att bli en de facto-egenskap hos mobil utrustning. Detta bor beaktas vid sidan av sociala medier ocks6 i samband med andra datasystem och ovrigt datamaterial for att sdkra att organisationen inte i onodan avslojar geografiska data om anvdndareller dokument i exempelvis de metadata som ldggs till data, Geografiska data mojliggor lokalisering av bide anvdndare och dokument och detta bor beaktas isamband med riskanalyser. 8 The Sunday Times (5.7.2009): http://www.timesonline.co.uk/tol/news/uk/article6639521-.ece (nerladdat 1.2.2O7O) The Sunday Times (6.7.2009): http://technology.timesonline.co.uk/tol/news/tech_and_web/article6644199.ece (nerladdat 1.2.2010)

Plocka g6rna bort geografiska data frin exempelvis bilder du publicerar, sitillvida det inte av motivet klart framgdr var bilden dr tagen. Dessutom kan det vara vlirt att radera metadata som anger tidpunkten di fotot dr taget. Sociala medier mojliggor ocksi andra mdjligheter till missbruk di det gsller den fysiska sdkerheten. Genom att folja en persons meddelanden och statusuppdateringar under fritiden kan man fdrsdka hdrleda var och i vilket siillskapersonen befinner sig vid ett specifikt tillfdlle. Ocks6 i Finland finns exempel pi att inbrottstjuvar har anvdnt sig av sociala medier for att ta reda p5 hem och hus som stitt tomma. Dessa inbrottstjuvar hjdlps 16ngt p5 vdgen av olika karttjdnster med vilka potentiella inbrottsm6l kan sokas, och om tjdnsten drtillrdckligt noggrann kan man tilloch med utreda vilka larm- eller andra sdkerhetsanordningar som anvdnds. 2.5.6 Risker frirknippade med skada for organisationens rykte och trovdrdighet En del risker, som dr typiska for privatpersoner, riktas ocksi mot organisationer. I allt flera tjdnster evalueras och podngsdtts ryktet for och funktionen hos olika kommersiella foretag. Sidana betygsdttningar kan manipuleras med hjiilp av fdrfalskade anvdndarprofiler. Aven om en organisation eller en leverantor skulle ha fett ett gott (eller lsgt) betyg i nigon tjdnst, kan betyget ha manipulerats med falska bedomningar ifall antalet recensenter dr l6gt. Storsta delen av de sociala medierna finansierar sin verksamhet genom forsiiljning av reklam, och organisationen kan inte p6verka hurdan reklam som visas pi dess sida. Organisationens trovdrdighet kan minska, ifall det pi dess tjdnstesida inom de sociala medierna gors reklam f6r nigot som inte passar organisationens image. Forutom att svartmsla en organisation kan man med hjtilp av fdrfalskadeller kapade profiler ocksi attackera enskild anvdndare, I vdrsta fall kan en sddan svartm6lning inifr6n det egna kontaktnitverket verka ytterst trovdrdig for en yttre part, och 6terbordandet av det forlorade ryktet tar tid och kan dessutom visa sig vara helt och h6llet omojligt. Utover det ovan nimnda kan organisationens rykte skadas av ofdrsiktiga uttalanden av eller felaktig information fr6n egen personal, speciellt om det inte klart framgsr att det framforda dr personens egen Ssikt istdllet for organisationens offentliga stdllningstagande. lvdrsta fall kan organisationen bli juridiskt ansvarig fdr nigot en arbetstagare publicerat. 3 TONVNRKLIGANDET AV INFORMATIONSSATENUNT I SAMBAND MED ANVANDNING AV SOCIATA MEDIER De fordelar som upplevs erhsllas genom anvdndningen och nyttjandet av sociala medier bor vdgas mot m6jliga risker. Utgingsliiget 6r att organisationen har klara m6l och visioner ang6ende anvdndningen av sociala medier och avsdtter tillrdckliga resurser for att uppn6 m5len. Det rekommenderas starkt att organisationen utarbetar en policy for bide sin egen och anvdndarnas anvdndning av sociala medier. L0

3.1 Policy f6r anvdndning/nyttiandet av sociala medier Policyn bor beskriva riktlinjerna f6r anvdndningen av sociala medier for bide organisationen och dess personal. Det rekommenderas ocks6 att informationssdkerhetsaspekterna kring sociala medier ingir som en del av policyn. Abo nkademis policy for anvdndningen av sociala medier definieras i dokumentet "lnstruktion for anvdndning av sociala medier vid Abo Akademi". 3.2 ldentiteter/roller i sociala medier I samband med i bruktagning av sociala medier utgor olika ndtidentiteter som anvdnds vid uppkoppling till tjansterna en central roll. D6 en anstilld fungerar som representant fiir Abo Akademi pi ett socialt forum biir hans inliigg kunna tolkas som Abo Akademis officiella stdllningstagande. Det dr ytterst viktigt att personalens privata inliigg inte tolkas som Abo Akademis officiella uttalanden. 3.2.1 Olika identiteter i sociala medier Vid anvdndning av sociala medier kan anvdndaren upptrdda i olika roller via olika identiteter antingen som anstdlld eller privatperson. Inom de sociala medierna kan urskiljas Stminstone tre olika identiteter/roller:. Tjdnstekonto (anviindaren som officiell talesperson for organisationen) (kapitel 3.2.1.1). Privat konto, hdnvisning till arbetsgivaren (hybrid; privatperson i expertroll) (kapitel 3.2.L.2). Privat konto eller fullstdndigt anonymt (privatperson utan koppling till arbetsgivaren) (kapitel 3.2.1.3) 3.2.1".1 Tjanstekonto (anvdnderen som officiell talesperson for organisationen) Personen kopplar upp till tjdnsten genom att som identifiering anvdnda antingen ett rollbaserat e- postkonto (tjdnste e-post) eller sitt eget, personliga e-postkonto. 1. Rollbaserad/Tjiinstebunden uppkoppling: a. Personen/personerna foretrdder organisationen direkt och di blir organisationen "ansiktslos". Metoden kan med fdrdel anvdndas vid uppkoppling till publika tjdnster eller tjdnster som organisationen erbjuder sina kunder. b, Personen/personerna representerar organisationen i de roller/uppgifter de har inom organisationen genom att anvdnda rollbaserad identitet och e-postadress (ex. enhet@abo.fi) vid uppkoppling till tjdnsten' c. Rollen dr professionell och separerad frin den privata, och di kan en annan person skota uppgifter som hor till rollen om den primdra innehavaren 6r fr6nvarande. 11

2. Uppkoppling med personlig e-postadress forknippad med arbetsgivaren: a. Personen representerar organisationen iden roll han innehar inom sin organisation. b. Personen anvinder organisationens e-postadress (ex. ellen.exempel@abo.fi) i tjdnsten och kan ssledes direkt kopplas till organisationen. c. Rollen dr professionell och separerad frdn den privata identiteten. Ingen annan av personalen f6r anvdnda samma inloggningsuppgifter vid uppkoppling tilltj6nsten. d, Detta dr det rekommenderade sdttet att koppla upp sig till interna sociala medier eller andra tjanster som krdvs for skdtandet av arbetsuppgifterna. 3.2.1.2 Privat konto, hrinvisning till arbetsgivaren (hybrid; privatperson i expertroll). Personen representerar sig sjdlv, inte organisationen. ' Personendmner arbetsgivaren antingen i kommunikationen eller s6 att personen kan kopplas till arbetsgivaren p6 annat sdtt, till exempel genom att han uppger sin e-postadress hos arbetsgivaren, exempelvis ellen.exempel@abo.fi eller ndmner sin arbetsgivare i samband med andra uppgifter i sin profil. 3.2.L.3 Privat konto eller fullstrindigt anonymt (privatperson utan koppling till arbetsgivaren). Anvdndaren representerar sig sjdlv, inte organisationen.. Anvdndarendmner inte sin arbetsgivare pi nsgot sdtt. ' Aven om personen inte ndmner sin arbetsgivare kan han lstt kopplas ihop med den utgiende fr6n medlemmarna i sitt ndtverk och med hjdlp av sokmaskiner. 3.2.2 ldentiteter som anvands av organisationen Di sociala medietjdnster tas i bruk och i samband med skolning av personalen bor man beakta vilken typ av ndtidentitet som ska anvdndas i olika fall (se 3.2.1.1, Tjdnstekonto (anvindaren som officiell talesperson for organisationen) typ 1 eller typ 2). Det dr viktigt att vara mdn om att den ndtidentitet som anvdnds under fritiden 96r att skilja frin den identitet och roll som personen anvdnder fdr att sk6ta sina arbetsuppgifter, Om si inte gors kan utomstiende kontakter ha svirt att urskilja ifallett inldgg i sociala medier dr skrivet av anvdndaren som privatperson eller som officiell representant for organisationen. Den finska polisens ndrvoro pd Focebook forverkligos sd att poliserna upptrtider med smeknomn och sino officiello titlor. Pd deros sidor finns en ltink till polisens officiella webbsida diir "niitpolisernos" verkliga namn och fotogrofier finns publicerade. Utgdngspunkten har vorit att de poliser som iir niirvarande pd Facebook tir det av egen fri vilja, inte kommenderode ott skoto verksomheten. Genom att ltinka sidorno i det socialo mediet till polisens officiella dito har mon velot forsdkro de ovriga anviindarna om att poliserna faktiskt dr poliser. L2

Stiill dig kritiskt till i vilken roll du upptrider inom de sociala medierna. Som tumregel kan ges att du biir anvinda en separat, med kolleger gemensam tjdnsteprofil ifall det 5r frdga om en specifik funktion, sisom exempelvis kommunikation eller studiedrenden. PA detta vis garanteras kontinuiteten av n5rvaron i det sociala mediet dven i fall av nigons fr6nvaro frin arbetsplatsen. Observera att det 5r din chef som utndmner (de frivilliga) personerna som skiiter en viss profil; du fir inte pi eget bevig skapa en profil som officiellt representerar Abo Akademi. Inom interna sociala medier kan du med fiirdel anvdnda en egen profil bunden till dig och din arbetsuppgift inom Al, Oe interna tjdnsterna dr avsedda fiir sktitandet av arbetsuppgifterna. Observera dock att en profil av denna typ inte kan uppdateras av nigon annan 5n dig sjtilv. Di du anviinder sociala medier privat, anvdnd en profil som iir fullstiindigt privat, utan koppling till Abo nkademi. Ndmner du Abo Akademi som arbetsgivare si kom ih6g att du i sa fall av din publik kan ses om en representant fiir Abo Akademi, si bete dig ddrefter. 3.2.3 Privat anvdndning och namnandet av arbetsgivaren Inom organisationen bor man ocksi ta stdllning till hur man f6rhsller sig till att arbetstagarna som privata anvdndare av sociala medier n:imner sin arbetsgivare. Det kan ocksi vara befogat att bedoma principerna f6r anvdndning av sociala medier frin fall till fall, exempelvis for olika personalgrupper. I regel kunde ndmnandet av arbetsgivaren tillstas, forutsatt att arbetstagaren kommer ihig att han representerar organisationen, beter sig sakligt och f6ljer givna foreskrifter. Det kan dock vara motiverat att avvika frin grundprincipen om det dr frdga om en person vars arbetsroll 6r sidan att hans arbetsuppgift eller hslsa kan dventyras om arbets- och fritidsrollerna blandas. I si fall6r det bdttre att helt och h6llet avsti frin att ndmna arbetsgivaren. Exempelvis folk som arbetor inom hiilsovdrden eller andra serviceyrken bor overviiga huruvida det iir nddvdndigt att vio privatprofilen ta in kunder i sitt niitverk. I anvisningar och skolning bor klargoras i vilken m6n drenden som handlar om organisationen f6r behandlas i sociala medier. I anvisningarna bor man ta stdllning till i vilken min en arbetstagarenligt eget gottfinnande fir behandla Srenden som angir arbetsgivaren och i vilket skede han bdr friga om lov och mojligt stdllningstagande av sin chef. Sekretessbelagd information och foretagshemligheter ska under inga omstdndigheter behandlas eller nimnas i sociala medier. Det dr inte tilldtet ott en ansttilld fdr sina bekanta konstateror att hon dr inblondod i en upphandlingsprocedur vtird 1 000 000 med de mdjligo leverant\rerno A, B och C. 13