BYOD - vad säger juridiken?

| Av Hanna Stenvall | Tipsa redaktionen

En vanlig företeelse på många arbetsplatser i dag är att anställda tar med sig och använder sin egen dator, smartphone, surfplatta eller annan enhet i arbetet. Det har kommit att kallas Bring Your Own Device eller ”BYOD”. Företeelsen ger upphov till flera olika juridiska och säkerhetsrelaterade frågeställningar. Här redogör vi för några av de viktigaste.



En vanlig företeelse på många arbetsplatser i dag är att anställda tar med sig och använder sin egen dator, smartphone, surfplatta eller annan enhet i arbetet. Det har kommit att kallas Bring Your Own Device eller ”BYOD”. Företeelsen ger upphov till flera olika juridiska och säkerhetsrelaterade frågeställningar. Här redogör vi för några av de viktigaste.

För dem som arbetar med IT-säkerhet är BYOD ingen nyhet utan redan en väl etablerad företeelse. Det innebär dock inte, enligt vår erfarenhet, alltid att de rättsliga frågor som BYOD medför har analyserats och hanterats i verksamheten. BYOD är nämligen en komplex företeelse som spänner över flera olika juridiska regelverk. Närmast till hands att fundera kring är kanske anställningsavtalet och olika arbetsrättsliga aspekter på BYOD. Därtill finns tvingande bestämmelser i personuppgiftslagen, PUL, att överväga men även frågor om tillämpningen av lagen om företagshemligheter, bestämmelser om dataintrång och inte minst licensfrågor. Av utrymmesskäl har vi dock valt att avgränsa denna artikel till arbetsrättsliga frågor och en diskussion kring PULs tillämpning.

BYOD kan medföra behov av att vidta såväl tekniska, organisatoriska som avtalsmässiga åtgärder. Sådana åtgärder bör, i varje del, analyseras och implementeras med beaktande av relevant juridik. Från juristens perspektiv är BYOD kanske främst en fråga om att avtalsmässigt reglera BYOD mellan anställda och företaget men även andra åtgärder som vidtas bör säkerställas ur ett juridiskt perspektiv.
Juridiken bör involveras genom att personal inom områden som IT-/informationssäkerhet, HR och juridik samverkar vid inventering och reglering av BYOD, helst givetvis innan arbetsgivaren väljer att acceptera BYOD. Inventeringen bör i vart fall omfatta en genomgång av licenser för den mjukvara som ska användas, en så kallad risk- och sårbarhetsanalys enligt PUL (se nedan), samt överväganden om hur befintliga IT-/personalpolicys och instruktioner behöver anpassas. Resultatet från denna inventering och analys är normalt ett BYOD-regelverk som innehåller företagets villkor kring BYOD. Sådana regelverk kan ingå i en generell IT-/säkerhetspolicy eller utformas som ett eget dokument, vanliga benämningar är till exempel ”Lost or Stolen Device Policy”, ”Network Access Policy” eller ”BYOD terms-of-use agreement”. Om arbetsgivaren istället väljer att inte acceptera BYOD, bör ett sådant ställningstagande vara tydligt motiverat och även kompletteras med en möjlighet för arbetsgivaren att verifiera arbetstagarens efterlevnad.

En inledande fråga kring BYOD är om det är frivilligt för arbetstagaren att ta med sin egen enhet eller inte. Skulle en arbetsgivare börja ställa krav på att arbetstagare ska använda sig av sin egen dator eller smartphone i arbetet är det något som definitivt bör regleras i anställningsavtalet. Ett sådant krav bör alltså inte arbetsgivaren ensidigt införa i en policy eller liknande. I praktiken är det nog vanligare att BYOD aktualiseras för att arbetstagare vill använda sin egen utrustning hellre än arbetsgivarens. Även i detta fall menar vi att det finns flera fördelar med att reglera grundläggande aspekter om BYOD direkt i anställningsavtalet, inte minst för att tydliggöra att det är fråga om viktiga och för arbetstagaren bindande bestämmelser.

Vår erfarenhet är dock att BYOD-villkor - om de alls finns - istället normalt framgår av arbetsgivarens IT- eller säkerhetspolicy. I sådana fall är det viktigt att det tydligt framgår av anställningsavtalet att den aktuella policyn är en del av anställningsavtalet. Det är också viktigt att komma ihåg att inga regler i världen hjälper om båda parter – uttryckligen eller genom visst agerande – har accepterat ett beteende som avviker från det reglerade. Det finns därför skäl för en arbetsgivare att även överväga att införa regelbundna kontroller eller uppföljningar av att BYOD-regelverket följs (se vidare nedan). Tänk även på att gällande kollektivavtal kan innehålla bestämmelser som bör beaktas.

Datainspektionen har uppmärksammat kopplingen mellan BYOD och PUL. Bakgrunden till att PUL aktualiseras är att arbetsgivaren är ”personuppgiftsansvarig” för den behandling av personuppgifter som sker i verksamheten. När arbetstagaren använder sin egen dator, smartphone eller liknande i arbetet kan det medföra ”behandling” av personuppgifter, för vilken arbetsgivaren är personuppgiftsansvarig enligt PUL. De behandlingar som kan aktualiseras i samband med BYOD kan delas in i två huvudkategorier:
* arbetstagarens behandling av personuppgifter vid användning av enheten i arbetstagarens arbete och
* arbetsgivarens behandling av personuppgifter rörande den anställde med anledning av den anställdes användning av BYOD-enheten.

BYOD medför normalt att den personuppgiftsansvarige ska implementera de säkerhetskrav som följer av 30 § PUL. Det innebär bland annat att arbetsgivaren ska ha utfärdat instruktioner för behandlingen av personuppgifter (30 § PUL). Enligt Datainspektionen måste det också framgå ”var gränserna går för den privata användningen av utrustningen” samt vilka som får ges tillgång till uppgifterna via enheten, det vill säga att anhöriga till arbetstagaren och andra inte ska ha tillgång till uppgifter och för vad uppgifterna får användas. Det bör tydligt slås fast att personuppgifter som används som ett led i tjänsten bara ska användas i tjänsten. Instruktioner ska inte finnas enbart för den som använder en BYOD-enhet, utan även för den som eventuellt är tillsatt av arbetsgivaren att övervaka sådan användning, exempelvis IT-personal.

Enligt praxis från Datainspektionen ska den personuppgiftsansvarige vidare utföra en så kallad risk- och sårbarhetsanalys för att klargöra vilken säkerhetsnivå som ska gälla för behandlingen. Tänkbara säkerhetsfunktioner som bör övervägas är bland annat lösenordsskydd, automatisk låsning av enheten efter viss tids inaktivitet, centrala spärrfunktioner, distansradering, central styrning av säkerhetsinställningar och begränsning av vilka appar som kan laddas ned. Om ”integritetskänsliga personuppgifter” kan komma att behandlas kräver Datainspektionen även så kallad stark autentisering och att sådana uppgifter är krypterade. Vidare krävs mekanismer för att säkerställa att informationen som lagras i BYOD-enheten inte oavsiktligt kopieras och lagras i molntjänster, som iCloud eller Dropbox.

Vad gäller arbetsrättsliga aspekter kring BYOD kan det konstateras att det i viss mån finns en överlappning mellan PUL och arbetsrätten när det kommer till frågor om den anställdes rätt till privatliv och integritetsskydd. Det är ingen tvekan om att PUL ska tillämpas i en arbetsrättslig kontext, det vill säga arbetsrättsliga bestämmelser bör normalt beaktas i första hand. Gränsdragningen mellan PUL och arbetsrättsliga regler är dock svår och ställs på sin spets när det gäller sanktioner och kontroll av efterlevnad av arbetsgivarens BYOD-villkor.
En överträdelse av PUL kan i en arbetsrättslig kontext leda till arbetsrättsliga sanktioner och då ska bland annat de relativt svårtolkade arbetsrättsliga principerna om intresseavvägning och proportionalitet övervägas. Vidare kan nämnas att bestämmelserna om förhandling och information enligt medbestämmandelagen, MBL, mycket väl kan aktualiseras vid införande och tillämpning av BYOD-regelverk.

Av arbetsledningsrätten och god sed på arbetsmarknaden följer dessutom en rätt till ordergivning, ordningsregler och kontroller från arbetsgivaren. Här är det viktigt att klargöra att samma riktlinjer och regler för användning av arbetsgivarens utrustning knappast gäller för arbetstagarens utrustning. Arbetsgivarens rätt att ta att ta del av e-post som lagras på en arbetstagares enhet, även om den är relaterad till arbetet, är långt ifrån självklar. Och rätten att genomföra loggning av tekniska eller säkerhetsmässiga skäl hamnar i ett helt annat sammanhang när det gäller arbetstagarens utrustning. Tekniska lösningar som skapar logiskt avgränsade ytor för användning av enheten i arbetet menar vi närmast är en förutsättning för att arbetsgivaren ska kunna utöva någon form av kontroll.

Det finns alltså flera olika juridiska frågeställningar kring BYOD att överväga. Den som redan gjort ovanstående arbete kring BYOD och tycker att det inte finns något ytterligare att fundera över kan istället begrunda nästa företeelse: BYOC – ”Bring Your Own Cloud”. Vad händer med företagets data när de anställda använder sina egna molntjänster för att utföra arbetet? Det får bli temat för en annan artikel.

Daniel Lundqvist och Erik Woodcook, Delphi advokatbyrå
februari 2015


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Så nystades IT-härvan upp

Nyligen startade rättegången mot huvudmannen i det malmöbaserade kriminella gäng som misstänks ligga bakom den största IT-härvan i Sverige.

Öppet hus hos Försvarsmakten

Igår, söndag, var det försvarsfokus på Gärdet i Stockholm när Försvarsmakten ordnade en försvarsdag för allmänheten.

Finalisterna redo för Security Awards

Säkerhetsbranschens egna pris delas ut i oktober.

Han avgår som vd

Microsoft automatiserar säkerheten för Windows 10

Assa Abloy köper amerikanskt bolag

Coop i Kristianstad anställer vakter

Arkiv

50 appar sprider skadlig kod

Dataintrångsliga sprängd

Synlig polis minskar oron

Enligt Brottförebyggande rådet, Brå, oroar sig allt fler svenskar för att bli utsatta för överfall eller misshandel. I en undersökning listas de motåtgärder som svenskarna tror på.

Kameror och robotar kan vara hackade

Svenskarna gillar säkerhetskameror

Ingen går säker för skadlig kod

Massiva attacker av skadlig kod, ransomware, har blivit högsta mode bland cyberkriminella.

Militärkrubb till 19 000

Fazer är huvudleverantör av lisvmedel och måltider till Sveriges största militäröving på 20 år- Aurora 17.

Aurora 17 kommer att märkas

Nu vill säkerhetsbranschen kliva in på arenan

Ransomware- årets affärssuccé

På CPX Sweden, säkerhetsföretaget Checkpoints seminarium om cybersäkerhet som hölls i Stockholm nyligen, talade Magnus Sköld, säkerhetsingenjör, om den senaste tidens ransomware-attacker ur ett lite annorlunda perspektiv.

Svenskar slarvar trots riskmedvetenet

Cykelhjälmsanvändningen står still

Forskning kan hejda våldspiral

Kupp mot modebutiker

Nu utreds våld mot närstående

PCI-DSS skyddar väl mot datastöld

IT-och telekomföretaget Verizon publicerade på måndagen sin årliga rapport om betalkortsäkerhet, kallad Verizon 2017 Payment Security Report. Den visar att säkerhetsstandarden PCI DSS verkligen ger ett gott skydd mot stöld av kortinnehavares data ur betalsystemen.

Ny chefsekonom på Svensk Handel

Släpp reglerna – se till sammanhanget!

Statsministern polisanmäld

Krafttag mot falska nyheter

Brist på insikt om GDPR

Ljusteknikföretag till börsen

Amerikansk certifiering säkrar dataflöden

Stockholm har valt säkerhetsleverantör

Cyberkriminella utbildar on-line

Svensk styrka till Somalia

Nätskurk hittad

Securitas-vd utsedd

Sänd till en kollega

0.249