BYOD - vad säger juridiken?

| Av Hanna Stenvall | Tipsa redaktionen

En vanlig företeelse på många arbetsplatser i dag är att anställda tar med sig och använder sin egen dator, smartphone, surfplatta eller annan enhet i arbetet. Det har kommit att kallas Bring Your Own Device eller ”BYOD”. Företeelsen ger upphov till flera olika juridiska och säkerhetsrelaterade frågeställningar. Här redogör vi för några av de viktigaste.



En vanlig företeelse på många arbetsplatser i dag är att anställda tar med sig och använder sin egen dator, smartphone, surfplatta eller annan enhet i arbetet. Det har kommit att kallas Bring Your Own Device eller ”BYOD”. Företeelsen ger upphov till flera olika juridiska och säkerhetsrelaterade frågeställningar. Här redogör vi för några av de viktigaste.

För dem som arbetar med IT-säkerhet är BYOD ingen nyhet utan redan en väl etablerad företeelse. Det innebär dock inte, enligt vår erfarenhet, alltid att de rättsliga frågor som BYOD medför har analyserats och hanterats i verksamheten. BYOD är nämligen en komplex företeelse som spänner över flera olika juridiska regelverk. Närmast till hands att fundera kring är kanske anställningsavtalet och olika arbetsrättsliga aspekter på BYOD. Därtill finns tvingande bestämmelser i personuppgiftslagen, PUL, att överväga men även frågor om tillämpningen av lagen om företagshemligheter, bestämmelser om dataintrång och inte minst licensfrågor. Av utrymmesskäl har vi dock valt att avgränsa denna artikel till arbetsrättsliga frågor och en diskussion kring PULs tillämpning.

BYOD kan medföra behov av att vidta såväl tekniska, organisatoriska som avtalsmässiga åtgärder. Sådana åtgärder bör, i varje del, analyseras och implementeras med beaktande av relevant juridik. Från juristens perspektiv är BYOD kanske främst en fråga om att avtalsmässigt reglera BYOD mellan anställda och företaget men även andra åtgärder som vidtas bör säkerställas ur ett juridiskt perspektiv.
Juridiken bör involveras genom att personal inom områden som IT-/informationssäkerhet, HR och juridik samverkar vid inventering och reglering av BYOD, helst givetvis innan arbetsgivaren väljer att acceptera BYOD. Inventeringen bör i vart fall omfatta en genomgång av licenser för den mjukvara som ska användas, en så kallad risk- och sårbarhetsanalys enligt PUL (se nedan), samt överväganden om hur befintliga IT-/personalpolicys och instruktioner behöver anpassas. Resultatet från denna inventering och analys är normalt ett BYOD-regelverk som innehåller företagets villkor kring BYOD. Sådana regelverk kan ingå i en generell IT-/säkerhetspolicy eller utformas som ett eget dokument, vanliga benämningar är till exempel ”Lost or Stolen Device Policy”, ”Network Access Policy” eller ”BYOD terms-of-use agreement”. Om arbetsgivaren istället väljer att inte acceptera BYOD, bör ett sådant ställningstagande vara tydligt motiverat och även kompletteras med en möjlighet för arbetsgivaren att verifiera arbetstagarens efterlevnad.

En inledande fråga kring BYOD är om det är frivilligt för arbetstagaren att ta med sin egen enhet eller inte. Skulle en arbetsgivare börja ställa krav på att arbetstagare ska använda sig av sin egen dator eller smartphone i arbetet är det något som definitivt bör regleras i anställningsavtalet. Ett sådant krav bör alltså inte arbetsgivaren ensidigt införa i en policy eller liknande. I praktiken är det nog vanligare att BYOD aktualiseras för att arbetstagare vill använda sin egen utrustning hellre än arbetsgivarens. Även i detta fall menar vi att det finns flera fördelar med att reglera grundläggande aspekter om BYOD direkt i anställningsavtalet, inte minst för att tydliggöra att det är fråga om viktiga och för arbetstagaren bindande bestämmelser.

Vår erfarenhet är dock att BYOD-villkor - om de alls finns - istället normalt framgår av arbetsgivarens IT- eller säkerhetspolicy. I sådana fall är det viktigt att det tydligt framgår av anställningsavtalet att den aktuella policyn är en del av anställningsavtalet. Det är också viktigt att komma ihåg att inga regler i världen hjälper om båda parter – uttryckligen eller genom visst agerande – har accepterat ett beteende som avviker från det reglerade. Det finns därför skäl för en arbetsgivare att även överväga att införa regelbundna kontroller eller uppföljningar av att BYOD-regelverket följs (se vidare nedan). Tänk även på att gällande kollektivavtal kan innehålla bestämmelser som bör beaktas.

Datainspektionen har uppmärksammat kopplingen mellan BYOD och PUL. Bakgrunden till att PUL aktualiseras är att arbetsgivaren är ”personuppgiftsansvarig” för den behandling av personuppgifter som sker i verksamheten. När arbetstagaren använder sin egen dator, smartphone eller liknande i arbetet kan det medföra ”behandling” av personuppgifter, för vilken arbetsgivaren är personuppgiftsansvarig enligt PUL. De behandlingar som kan aktualiseras i samband med BYOD kan delas in i två huvudkategorier:
* arbetstagarens behandling av personuppgifter vid användning av enheten i arbetstagarens arbete och
* arbetsgivarens behandling av personuppgifter rörande den anställde med anledning av den anställdes användning av BYOD-enheten.

BYOD medför normalt att den personuppgiftsansvarige ska implementera de säkerhetskrav som följer av 30 § PUL. Det innebär bland annat att arbetsgivaren ska ha utfärdat instruktioner för behandlingen av personuppgifter (30 § PUL). Enligt Datainspektionen måste det också framgå ”var gränserna går för den privata användningen av utrustningen” samt vilka som får ges tillgång till uppgifterna via enheten, det vill säga att anhöriga till arbetstagaren och andra inte ska ha tillgång till uppgifter och för vad uppgifterna får användas. Det bör tydligt slås fast att personuppgifter som används som ett led i tjänsten bara ska användas i tjänsten. Instruktioner ska inte finnas enbart för den som använder en BYOD-enhet, utan även för den som eventuellt är tillsatt av arbetsgivaren att övervaka sådan användning, exempelvis IT-personal.

Enligt praxis från Datainspektionen ska den personuppgiftsansvarige vidare utföra en så kallad risk- och sårbarhetsanalys för att klargöra vilken säkerhetsnivå som ska gälla för behandlingen. Tänkbara säkerhetsfunktioner som bör övervägas är bland annat lösenordsskydd, automatisk låsning av enheten efter viss tids inaktivitet, centrala spärrfunktioner, distansradering, central styrning av säkerhetsinställningar och begränsning av vilka appar som kan laddas ned. Om ”integritetskänsliga personuppgifter” kan komma att behandlas kräver Datainspektionen även så kallad stark autentisering och att sådana uppgifter är krypterade. Vidare krävs mekanismer för att säkerställa att informationen som lagras i BYOD-enheten inte oavsiktligt kopieras och lagras i molntjänster, som iCloud eller Dropbox.

Vad gäller arbetsrättsliga aspekter kring BYOD kan det konstateras att det i viss mån finns en överlappning mellan PUL och arbetsrätten när det kommer till frågor om den anställdes rätt till privatliv och integritetsskydd. Det är ingen tvekan om att PUL ska tillämpas i en arbetsrättslig kontext, det vill säga arbetsrättsliga bestämmelser bör normalt beaktas i första hand. Gränsdragningen mellan PUL och arbetsrättsliga regler är dock svår och ställs på sin spets när det gäller sanktioner och kontroll av efterlevnad av arbetsgivarens BYOD-villkor.
En överträdelse av PUL kan i en arbetsrättslig kontext leda till arbetsrättsliga sanktioner och då ska bland annat de relativt svårtolkade arbetsrättsliga principerna om intresseavvägning och proportionalitet övervägas. Vidare kan nämnas att bestämmelserna om förhandling och information enligt medbestämmandelagen, MBL, mycket väl kan aktualiseras vid införande och tillämpning av BYOD-regelverk.

Av arbetsledningsrätten och god sed på arbetsmarknaden följer dessutom en rätt till ordergivning, ordningsregler och kontroller från arbetsgivaren. Här är det viktigt att klargöra att samma riktlinjer och regler för användning av arbetsgivarens utrustning knappast gäller för arbetstagarens utrustning. Arbetsgivarens rätt att ta att ta del av e-post som lagras på en arbetstagares enhet, även om den är relaterad till arbetet, är långt ifrån självklar. Och rätten att genomföra loggning av tekniska eller säkerhetsmässiga skäl hamnar i ett helt annat sammanhang när det gäller arbetstagarens utrustning. Tekniska lösningar som skapar logiskt avgränsade ytor för användning av enheten i arbetet menar vi närmast är en förutsättning för att arbetsgivaren ska kunna utöva någon form av kontroll.

Det finns alltså flera olika juridiska frågeställningar kring BYOD att överväga. Den som redan gjort ovanstående arbete kring BYOD och tycker att det inte finns något ytterligare att fundera över kan istället begrunda nästa företeelse: BYOC – ”Bring Your Own Cloud”. Vad händer med företagets data när de anställda använder sina egna molntjänster för att utföra arbetet? Det får bli temat för en annan artikel.

Daniel Lundqvist och Erik Woodcook, Delphi advokatbyrå
februari 2015


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Great Security köper Norrköpingsbolag

Säkerhet viktigare i skolan

Stänger efter protester

Fler söker hjälp för hedersvåld

Allt fler personer söker hjälp för att de utsatts för hedervåld, enligt en undersökning från TT.

Ny fakturastorm från blufföretag

Sverige får myndighet för psykologiskt försvar

Regeringen vill inrätta en myndighet för psykologiskt försvar, förklarade statsminister Stefan Löfven i sitt tal på söndagen vid försvarskonferensen ”Folk & Försvar” i Sälen.

Nyhetsbrev

Förbjuder elefanter på cirkus

I en remiss föreslår regeringen en skärpt djurskyddslag som bland annat innebär ett förbud mot att tamdjur överges samt mot användning av utrustning som kan orsaka lidande eller skada på tävlingsdjur.

Arkiv

Ny lag ska göra vägarna säkrare

Arbetar mot brott i Skåne

Mobilbilder på dödade djur räckte inte

Mobilbilder och filmer på lodjur i olika fällor, en film där ett lodjur snaras i ett träd och en film där någon petar på ett fångat lodjur – det räckte inte som bevis för en fällande dom för grovt jaktbrott. Men tre av de åtalade i den så kallade jakthärvan har dömts till fängelse.

Malmö universitet ökar säkerheten

Så blev första helgen med ny vapenlag

Topright får flera beställningar

”VMA-systemet behöver bli enklare”

Vill ha fler kameror

Nätsajt varnar för lavinfara

På Naturvårdsverkets hemsida finns daglig uppdaterad information om lavinfaran i den svenska fjällvärlden under hela skidsäsongen.

Fler ärenden till åklagare

Antalet ärenden som polisen redovisat till åklagare ökade i fjol med 3,4 procent jämfört med 2016.

Förlängd åtalstid om misstänkt terroristbrott

Swedavia bygger ut

Saab köper Dockstavarvet

Saab köper två varv, Dockstavarvet och Muskövarvet.

Liseberg nöjt med Nokas

Ännu ett förvärv för Addsecure

Addsecure stärker sin nordiska närvaro genom att förvärva alarmkommunikationsverksamheten av finska Prevent 360.

Malmö får polisutbildning

Tryggare pakethantering hos Bussgods

5 listade mål för cyberattacker

Så vill Stockholm skydda valet

Strongpoint i ryskt storavtal

Hatbrott ökar på asylboenden

Det är polisens lönemål

Great Security till Uppsala

”Frågetecken kring nya kameralagen”

Han är säkerhetsbolagets nye vd

Svensk handel vill se större polisnärvaro i oroliga områden

Tjuvarna sågade sig in genom taket

Miljoner till säkrare cykling

Företagsstjärna utsedd i Helsingborg

Sänd till en kollega

0.17