Artikel 31. Notifieringsskyldighet vid dataintrång.

Försäkringsjuridiska Föreningen
Företagens risker kopplade till verksamheten på
nätet, de juridiska och ekonomiska konsekvenserna
av så kallat Cyberintrång samt lagstiftningen på
området
24 april 2014
1
Exempel på IT-relaterad brottslighet som företag
kan drabbas av, cyberrisker
2017-07-15
2
Phishing
•
Definition
Phishing är när man på olika sätt "fiskar" efter uppgifter på Internet i brottsligt syfte. Det kan
exempelvis vara när e-post skickas till bankkunder där mottagaren uppmanas att klicka på en länk och
ange sina personliga koder. Bedragarnas syfte är att få mottagaren att skicka pengar, besöka en
hemsida, köpa något eller skicka person- och kontouppgifter. Vid den här typen av brott är det vanligt
att länken ser bekant ut, med den skillnaden att en extra bokstav eller siffra lagts till i webbadressen.
Den falska länken går till en sida som är identisk med den ursprungliga. Man tror att man är på den
rätta hemsidan, men är helt i händerna på bedragare. Då man känner igen sig känner man sig trygg
och är inte observant på samma sätt som vid till exempel okända länkar.
•
Rättslig reglering
Personuppgiftslagen
BrB 9:1, bedrägeri
2017-07-15
3
Kortbedrägerier
•
Definition
Kortbedrägeri innebär att ett betal- eller kontokort olovligen blir avläst när kortet används, för betalning
eller vid kontantuttag i en bankomat.
•
Skimning av magnetremsan
Skimning, eller skimming, är när en bedragare manipulerar betalkortsautomater eller bankomater på
olika sätt för att komma åt information från magnetremsan.
•
Kopiering av kortnummer och cvv-kod
Bedragare kan också skriva upp eller fotografera kortnumret och den tresiffriga cvv-koden på
baksidan om du lämnar ifrån dig kortet, till exempel på en restaurang eller i en affär. På kortet finns
alla uppgifter som behövs för att bedragaren till exempel ska kunna handla på Internet.
•
Frågor via e-post
Bedragare kan skicka förfrågningar via e-post och hävda att din bank eller kortutgivare behöver
uppgifter om dina betal- eller kontokort. Till exempel kan det stå ”På grund av tekniska problem ber
banken X dig att bekräfta dina kortuppgifter genom att skicka dessa som svar på detta mail”.
2017-07-15
4
Kortbedrägeri, fortsättning
•
Hur informationen används
Bedragare kan köpa varor, till exempel på Internet, med hjälp av kortinformationen. De kan också
betala för tjänster, som hotellövernattningar, hyrbilar och resor. Köpen och tjänsterna kan beställas
var som helst i världen. Om de dessutom har tillgång till PIN-koden kan de tömma kontot genom att
göra många kontantuttag.
•
•
•
Rättslig reglering
Personuppgiftslagen
Databedrägeri, BrB 9:1, andra stycket “För bedrägeri döms också den som genom att lämna oriktig
eller ofullständig uppgift, genom att ändra i program eller upptagning eller på annat sätt olovligen
påverkar resultatet av en automatisk informationsbehandling eller någon annan liknande automatisk
process, så att det innebär vinning för gärningsmannen och skada för någon annan.”
2017-07-15
5
Hackers och intrång
•
Definition
En portskanning innebär att en angripare, så kallad hacker, knackar på alla dina portar för att se om
någon port är öppen för angrepp. Portar är dina utgångsdörrar från datorn till Internet. Ett av de
vanligaste sätten att undersöka om din dator är sårbar och mottaglig för angrepp är att utföra en så
kallad portskanning. Man kan jämföra det med att springa omkring på ett hotell och känna vilka dörrar
som är olåsta.
•
Rättslig reglering
Dataintrång, BrB 4:9 c, “Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till
en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller
i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma
gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar
användningen av en sådan uppgift.”
2017-07-15
6
Cyberutpressning
•
Definition
Cyberutpressning innebär en attack – eller ett hot om en attack – mot ett företag i kombination med ett
krav på lösensumma för att stoppa attacken. Vanligast är fortfarande ”Denial of Service”-attacker, men
idag har också cyberbrottslingar utvecklat krypteringsprogram som används för att kryptera det
drabbade företagets data. Därefter avkrävs företaget en lösensumma för att få tag i koden.
•
Rättslig reglering
Dataintrång, BrB 4:9 c
Utpressning, BrB 9:4
2017-07-15
7
Trojan
•
Definition
En trojan är ett program som används för ta sig in i någon annans dator på otillåtet sätt. En trojan kan
dölja sig bakom vad som helst som finns på Internet, såsom bilder, filmer, länkar och programvaror.
Trojanen kan bland annat skapa en uppkoppling mellan datorn och bedragarens dator, varigenom
bedragaren kan ta kontroll över datorn samt få tillgång till lösenord och annan viktig information.
Trojaner kan användas och fungera på olika sätt. Det är vanligt förekommande att datorer har en
trojan som ligger inaktiv men på ett speciellt datum eller på kommando aktiveras och ingår i ett
datorintrång. Att installera en trojan och använda den betraktas som dataintrång.
•
Rättslig reglering
Dataintrång, BrB 4:9 c
2017-07-15
8
Risker relaterade till sociala medier
•
Sociala medier ger de flesta bolag ökade möjligheter till bra marknadsföring, men skapar samtidigt
risker för förtal och missbruk eller exponering av företagets immateriella tillgångar – från såväl
missnöjda medarbetare, leverantörer som kunder.
•
Rättslig reglering
Personuppgiftslagen
Upphovsrättslagen
Varumärkeslagen
Lag om skydd för företagshemligheter
Förtal, BrB 5:1
2017-07-15
9
Säkerhet enligt personuppgiftslagen,
förebygga intrång
•
Säkerhetsåtgärder 31 § personuppgiftslagen
Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att
skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är
lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.
.
2017-07-15
10
Säkerhet enligt personuppgiftslagen,
förebygga intrång, (Bygger på Datainspektionens allmänna råd
Säkerhet för personuppgifter)
•
Hur man bedömer lämpliga säkerhetsåtgärder
För alla företag som hanterar och bearbetar personuppgifter, de flesta företagens data innehåller personuppgifter,
är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Enligt personuppgiftslagen ska den som
är personuppgiftsansvarig, företaget, vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda
personuppgifterna. Till tekniska åtgärder räknas sådant som brandväggar, krypteringsfunktioner och antivirus,
medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation och rutiner, instruktioner och policyer.
Generellt gäller att ju känsligare personuppgifterna är eller ju fler personuppgifter som hanteras, desto mer
omfattande bör säkerhetsåtgärderna vara.
•
Bestäm vilka säkerhetsåtgärder som är lämpliga
Vid en lämplighetsbedömning, det vill säga när företaget bestämmer vilken säkerhetsnivå man ska ha, skall
beaktas att åtgärderna ska ge en säkerhetsnivå som är lämplig i förhållande till
•
•
•
•
tillgänglig teknik
kostnaden för åtgärderna
om det finns några särskilda risker med behandlingen
hur pass känsliga uppgifterna är.
Med tillgänglig teknik menas de tekniska lösningar som i dagsläget är tillgängliga på marknaden. Det kan också
ses som en referens till att i första hand använda produkter som stödjer etablerade, välbeprövade standarder.
Kostnaden för säkerhetsåtgärderna ska ställas i relation till riskerna för att obehöriga får ta del av
personuppgifterna. Ju större riskerna är, desto mer omfattande ska säkerhetsåtgärderna vara.
2017-07-15
11
Säkerhet enligt personuppgiftslagen,
förebygga intrång, (Bygger på Datainspektionens allmänna råd
Säkerhet för personuppgifter)
•
Ta ställning till särskilda risker
Den som är personuppgiftsansvarig ska ta ställning till vilka särskilda risker det finns med
behandlingen. Finns det sådana risker kan det påverka vilka säkerhetsåtgärder som behövs för att
skydda personuppgifterna.
Frågor man bör ställa sig är:
•
•
•
•
•
•
Finns det risk för att personuppgifterna kan spridas på ett oönskat sätt?
Hanteras personuppgifter via öppna nät som Internet, till exempel via en webbhemsida eller genom e-post?
Kan många användare komma åt personuppgifterna?
Behandlas personuppgifter om många personer?
Behandlas en stor mängd personuppgifter om varje person?
Hur stor är sannolikheten för och konsekvenserna av tekniska störningar eller att obehöriga får åtkomst till uppgifterna?
Ju fler av dessa frågor som ni svarar Ja på, desto mer omfattande bör säkerhetsåtgärderna vara.
2017-07-15
12
Säkerhet enligt personuppgiftslagen,
förebygga intrång, (Bygger på Datainspektionens allmänna råd
Säkerhet för personuppgifter)
•
Bedöm hur känsliga uppgifterna är
Enligt personuppgiftslagen gäller särskilda begränsningar för behandling av vissa kategorier av
personuppgifter. I lagen betecknas dessa uppgifter som "känsliga" personuppgifter. Känsliga
personuppgifter är enligt personuppgiftslagen sådana som avslöjar:
•
•
•
•
•
ras eller etniskt ursprung
politiska åsikter
religiös eller filosofisk övertygelse
medlemskap i fackförening
uppgifter som rör hälsa eller sexualliv.
Personuppgifter som normalt sett inte är integritetskänsliga i lagens mening är uppgifter som rör
exempelvis anställningsförhållanden eller kundförhållanden. Normalt sett harmlösa personuppgifter
kan dock bli känsliga beroende på i vilket sammanhang de förekommer. Uppgifter om ekonomisk hjälp
eller vård inom socialtjänsten, personuppgifter inom inkasso eller kreditupplysning eller uppgifter om
personliga förhållanden inom bank- och försäkringsväsendet är normalt sett att anse som känsliga när
det handlar om säkerhet.
2017-07-15
13
Säkerhet enligt personuppgiftslagen,
förebygga intrång, (Bygger på Datainspektionens allmänna råd
Säkerhet för personuppgifter)
•
Bedöm hur känsliga uppgifterna är
Följande frågor kan också påverka när man bedömer hur pass integritetskänsliga uppgifterna är:
•
•
•
•
Omfattas uppgifterna av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen eller annan lagstiftning?
Omfattas behandlingen av någon särlagstiftning, till exempel patientdatalagen eller lagen om behandling av personuppgifter
inom socialtjänsten, kriminalvården, bank- och försäkringsverksamhet med flera?
Är det uppgifter om lagöverträdelser?
Är det uppgifter om enskildas personliga förhållanden?
Är svaret Ja på någon av dessa frågor ska säkerhetsåtgärderna för att skydda personuppgifterna vara
mer omfattande.
2017-07-15
14
Risk- och sårbarhetsanalys, 31 § PuL (Bygger
bland annat på Datainspektionens beslut av den 31 maj 2013 i ärende med
diarienr 1351-2012, Google Apps, men är generellt tillämpligt)
•
Riskidentifiering
1.
2.
3.
•
Vilka personuppgifter kommer att behandlas i tjänsten företaget har, i systemen?
Vem eller vilka hos den personuppgiftsansvarige, företaget, kommer att behandla personuppgifterna?
Vilka risker finns med personuppgiftsbehandlingen?
Riskanalys
1. Hur sannolikt är det att respektive risk kommer att realiseras?
2. Vad blir konsekvenserna för de registrerade om en risk realiseras?
3. Vad blir konsekvenserna för den personuppgiftsansvarige, företaget, om en risk realiseras?
•
Utvärdering
1. Vilka åtgärder kan den personuppgiftsansvarige, företaget, vidta för att förhindra att risker realiseras?
2. Överensstämmer skyddet för personuppgifter som den personuppgiftsansvarige, företaget, vidtar med de
krav som ställs i PuL och/eller annan tillämplig lagstiftning?
2017-07-15
15
Risk- och sårbarhetsanalys, fortsättning (Bygger
bland annat på Datainspektionens beslut av den 31 maj 2013 i ärende med
diarienr 1351-2012, Google Apps, men är generellt tillämpligt)
•
Den personuppgiftsansvarige måste genomföra en risk- och sårbarhetsanalys, analysera vilken säkerhetsnivå
som är lämplig och vilka åtgärder som måste vidtas. Ju större integritetsrisker en viss personuppgiftsbehandling
innebär desto högre är kraven på säkerhetsåtgärder. Hur stora integritetsrisker som en viss behandling innebär
beror bland annat på antalet personer som de behandlade uppgifterna avser, mängden uppgifter som
behandlas om varje person och känsligheten hos de behandlade personuppgifterna. Även möjligheten att
strukturera personuppgifterna har i det här sammanhanget betydelse.
•
Åtgärder som ska övervägas är autentisering, behörighetsstyrning, behörighetskontroll, kommunikationssäkerhet,
rutiner för säkerhetskopiering och utplåning samt skydd mot obehörig åtkomst och skadlig programvara.
•
När man behandlar känsliga personuppgifter (till exempel uppgifter om hälsa), brottsuppgifter och
sekretesskyddade uppgifter, kräver DI bland annat att det ska finnas stark autentisering vid överföring av
uppgifter i öppet nät och att uppgifterna ska skyddas med kryptering. När sådana uppgifter behandlas innebär
kraven på åtkomstkontroller ofta att den personuppgiftsansvarige inte bara ska utföra kontroller på förekommen
anledning utan också regelbundet och systematiskt följa upp vem som har haft åtkomst till vilka uppgifter.
•
Det finns flera etablerade metoder för risk- och sårbarhetsanalys. En sådan är att använda checklistor som
exempelvis den som tagits fram av EU:s nätverks- och informationssäkerhetsbyrå ENISA; Cloud Computing,
Information Assurance Framework. Nackdelen med att använda en checklista är att man arbetar mekaniskt efter
listan och därmed låter bli att tänka själv samt att verkligen analysera resultaten.
2017-07-15
16
Notifieringsskyldighet mm vid dataintrång,
Europeiska kommissionens förslag till
dataskyddsförordning, COM (2012) 11
•
Artikel 31. Notifieringsskyldighet vid dataintrång. Vid dataintrång föreslås en skyldighet för den
registeransvarige att meddela tillsynsmyndigheten, Datainspektionen, inom 24 timmar. Om det finns
risk för att dataintrånget påverkar skyddet för personuppgifter negativt eller för att uppgifter spridits på
obehörigt sätt föreslås även att individen ska meddelas om intrånget. Såväl Svenska Bankföreningen
som Svensk Försäkring har i sina remissyttranden ifrågasatt behovet av att reglera denna
incidentrapportering.
•
Artikel 33. Konsekvensanalys. Förslaget innebär att en konsekvensanalys skall göras av en
registeransvarig när det finns särskilda risker med personuppgiftsbehandlingen för de registerardes
fri- och rättigheter, jämför bilderna om risk- och sårbarhetsanalysen här tidigare.
2017-07-15
17
Sanktioner, hur kan företag som blir utsatta
drabbas
•
Vanliga kostnader förknippade med cyberrisker:
•
•
•
•
•
Ersättning för inkomstbortfall i samband med avbrott
Kostnader för att ersätta data som förlorats eller förstörts
PR-kostnader för att begränsa skadan på varumärket, och själva skadan på varumärket
Utredningskostnader för att begränsa och kartlägga ett dataintrång
Ersättning till kunder och andra som har drabbats av dataintrånget
2017-07-15
18
Sanktioner, hur kan företag som blir utsatta
drabbas
•
Skadestånd enligt personuppgiftslagen till registrerade, t.ex. drabbade kunder och
andra
–
Om personuppgifter har behandlats i strid med personuppgiftslagen och detta har lett till skada eller kränkning av den
personliga integriteten, hos företagets kunder eller andra, skall den personuppgiftsansvarige, företaget, ersätta den
registrerade, se 48 § i personuppgiftslagen. Notera att skadeståndsansvaret är ett strikt ansvar, någon vårdslöshet
behöver inte påvisas av de registrerade, t.ex. företagets kunder eller andra som har drabbats.
–
Den registrerade har inte bara rätt till ersättning för sakskada, personskada och ren förmögenhetsskada, utan kan även
få kompensation för själva kränkningen. För att få ersättning måste företaget ha behandlat kunder eller andra
registrerades personuppgifter på ett olagligt sätt, t.ex. inte följt reglerna om säkerhet som därför har lett till cyberintrång,
och behandlingen måste har skadat eller kränkt de registrerade. Det är emellertid bara skada eller kränkning som den
olagliga behandlingen fört med sig som ersätts. Orsakssambandet skall vara adekvat, se prop. 1997/98:44 s. 143.
–
När det gäller kränkningsersättningen är det svårt att bedöma beloppen företagen kan drabbas av. Det finns inte någon
vägledande praxis. I prop. 1997/98:44 s 143 f uttalas följande, “Ersättningen för kränkningen får uppskattas efter
skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Därvid kan beaktas bl.a. sådana faktorer som
om det funnits risk för otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på grund av
den felaktiga behandlingen blivit utsatt för något beslut eller några åtgärder som kunnat innebära något
negativt för honom eller henne.”
–
När det gäller ersättning för ren förmögenhetsskada kan Era kunder och andra registrerade även med framgång kräva
ersättning för inkomstförlusten.
2017-07-15
19
Sanktioner, hur kan företag som blir utsatta
drabbas
•
Skadestånd enligt skadeståndslagen visavi intrångsgöraren, brottslingarna
Den som vållar ren förmögenhetsskada genom brott skall ersätta skadan, här skall all påvisad skada
ersättas av intrångsgörarna (som dock antagligen rent praktiskt är svåra att återfinna och väcka talan
mot).
2017-07-15
20
Sanktioner, hur kan företag som blir utsatta
drabbas, Europeiska kommissionens förslag
till dataskyddsförordning, COM (2012) 11
•
Artikel 79. Sanktioner. En nyhet är sanktioner vid överträdelse eller brott mot den nya förordningen.
Redan i dag är brott mot personuppgiftslagen straff- och skadeståndssanktionerade men enligt
förslaget ska tillsynsmyndigheten, det vill säga Datainspektionen, dessutom kunna ålägga företagen
en straffavgift (böter) på upp till 100 miljoner €, alternativt upp till 5 procent av företagets årliga globala
omsättning, för dem som inte följer förordningens bestämmelser. Enligt förslaget ska böternas storlek
dömas ut i relation till hur allvarliga brott de begår mot dataskyddsreglerna. De högsta bötesbeloppen
på 5 procent ska, naturligt nog, endast utdömas för allvarligare brott. Här kan företag som inte följer
reglerna och förhindrar cyberintrång, t.ex. säkerhetsreglerna, drabbas.
2017-07-15
21
Slutligen, hur drabbas ett företags rykte!!! Kan det
ersättas?
2017-07-15
22
Kontaktuppgifter:
Karl-Fredrik Björklund
[email protected]
Mobiltelefon 070-668 47 40
2017-07-15
23