2012-09-17: Ändrade it-vanor ökar säkerhetskrav Krönika från IT24

”Risken för att företagshemligheter hamnar i orätta händer ökar då Byod-trenden breder ut sig”. Det skriver IT24s juridikexpert Johan Sahlstrand och ger sina råd om hur företagen kan skydda sin information.

Trenden Byod, Bring your own device, tycks vara här för att stanna och molnbaserade lagringslösningar som Dropbox och Google Docs används i allt större utsträckning. It-användningen på landets arbetsplatser har utan tvekan genomgått stora förändringar på senare tid. Risken för att bolagets företagshemligheter ska hamna i orätta händer har därmed ökat. Det finns dock flera åtgärder som företaget kan – och bör – vidta för att möta de risker som följer av medarbetarnas ändrade It-vanor. 

De flesta företag har information som de vill hålla hemlig. Det kan till exempel röra sig om affärsidéer, kundregister eller finansiell information vars röjande skulle kunna skada företaget. Legalt skydd för företagshemligheter förutsätter bland annat att den information som företaget vill skydda inte sprids på ett okontrollerat sätt och bolaget måste därför aktivt vidta åtgärder för att hålla informationen hemlig. 

Vilka åtgärder kan företaget vidta? 

  • Till att börja med bör det finnas en intern policy kring hanteringen av den information man önskar skydda. Företagshemligheter bör endast vara tillgängliga för de personer som behöver informationen för att kunna utföra sina arbetsuppgifter och det ska tydligt framgå att information är just hemlig. Innan en medarbetare börjar använda sin privata utrustning i tjänsten bör det inhämtas en skriftlig bekräftelse att denne tagit del av bolagets policy rörande företagshemligheter.

 

  • Det kan övervägas om medarbetare överhuvudtaget ska tillåtas spara ner företagshemligheter på sin privata utrustning eller på till exempel Dropbox, eftersom det kan vara mycket svårt att kontrollera hur informationen används eller om den sprids. Om en anställd behöver tillgång till arbetsrelaterat material för att kunna jobba hemifrån kan det vara lämpligare att erbjuda fjärråtkomst till visst material via till exempel ett vpn-nätverk.

 

  • Privat utrustning kan också utrustas med så kallad mobile device management (mdm). Därigenom kan utrustning som tappats eller stulits rensas från företagshemligheter på distans. Eftersom sådan rensning även kan medföra att annan information än företagshemligheter raderas, bör företaget på förhand ha uppmärksammat medarbetaren på denna risk och även inhämtat medarbetarens samtycke (till exempel genom underskriven policy).

 

  • Rutiner för hantering av företagshemligheter i samband med att en medarbetare slutar på företaget är också att rekommendera. Exempelvis kan ett avslutningsamtal hållas med den anställde där denne uppmärksammas på vikten av att radera eventuell företagshemlig information som denne lagrat på sin privata utrustning och/eller i en molnbaserad lagringslösning.


Användarbeteenden förändras och teknikutvecklingen går i allt snabbare takt. För att upprätthålla det legala skyddet är det därför nödvändigt att arbeta proaktivt och hålla sig väl informerad om hur medarbetarnas it-vanor förändras över tid samt anpassa åtgärderna därefter.


2012-05-09: Privat utrustning intar arbetsplatsen Krönika från IT24

”I dag ser många medarbetare det som en självklarhet att plugga in sin privata utrustning på arbetsplatsen, även om företaget saknar en policy för hur sådan utrustning får användas”, skriver IT24s juridikexpert Johan Sahlstrand.

Det har blivit allt vanligare att företag erbjuder sina medarbetare en möjlighet att använda sina privata surfplattor, smarta telefoner och laptops på jobbet, istället för att företaget köper in enhetlig utrustning till all personal. För en månad sedan kunde man läsa i en artikel i CIO Sweden att IBM har påbörjat utrullningen av sitt program där 440 000 anställda erbjuds möjligheten att själva välja arbetsverktyg. 

Fenomenet kallas Bring your own device, Byod – och det innebär nya utmaningar för företagen. 

Idag ser många medarbetare det som en självklarhet att plugga in sin privata utrustning på arbetsplatsen, även om företaget saknar en policy för hur sådan utrustning får användas. 

En lämplig första åtgärd för att minska riskerna vid ”Bring your own device” är att upprätta en företagspolicy som reglerar hur medarbetare får använda sin privata utrustning i tjänsten. Det bör klargöras vilka regler som gäller om utrustningen skulle gå sönder i tjänsten och vem som ska stå kostnaden för reparationer.

Företagets licensavtal för den programvara som används i tjänsten bör också ses över. De flesta licenser begränsar användning av mjukvaran till en dator, en andra kopia på exempelvis en privat bärbar dator kan därför vara otillåten. För att förhindra överträdelser bör policyn vara tydlig med vilka installationer som tillåts på den privata utrustningen. 

När en anställd använder en tjänstedator har arbetsgivaren under vissa förutsättningar rätt att kontrollera datoranvändningen, exempelvis av it-säkerhetsskäl. När den anställde istället använder sin privata utrustning är möjligheterna till sådana kontroller begränsade. Överväg därför om medarbetarna endast ska ges möjlighet att utföra vissa typer av arbetsuppgifter med hjälp av sin privata utrustning, medan andra uppgifter ska hanteras via en tjänstedator. 

”Bring your own device” kan innebära minskad kontroll över företagets företagshemligheter. Skydd för företagshemligheter förutsätter att den information som företaget vill skydda inte sprids på ett okontrollerat sätt. Inför därför restriktioner kring hur lagring av sådan information får ske på den privata utrustningen. Det bör även finnas rutiner kring hur företagshemligheter på en medarbetares utrustning ska hanteras i samband med att denne slutar på företaget. 

För att förhindra att obehöriga får åtkomst till företagshemligheter kan det också vara en god idé att i företagspolicyn uppställa krav på att viss säkerhetsprogramvara måste installeras på utrustningen. 

De utmaningar och risker som ”Bring your own device” medför kan bland annat hanteras med hjälp av en tydlig företagspolicy och ett målmedvetet säkerhetsarbete. Det finns då goda utsikter för företaget att dra nytta av de många fördelar och möjligheter som den nya trenden kan erbjuda. 


2012-03-07: Whistleblowing – dags att fånga upp tipsen Krönika från IT24

Fortfarande tvekar många företag att införa interna system med tipsfunktioner, så kallade whistleblower-system. Många tror att det är komplicerat och svårt, men det är fel, skriver IT24s juridikexpert Johan Sahlstrand.

Enligt en färsk undersökning från revisionsbolaget PWC, publicerad i SvD Näringsliv den 23 februari 2012, drabbas ett av fem svenska företag av fusk och korruption. Trots det tvekar många fortfarande inför att införa ett system för whistleblowing. Ofta förefaller det bero på att det saknas kunskap om vad ett sådant system innebär och vilka krav som ställs. 

Fördelarna med att införa ett whistleblowing-system är många. Företaget kan upptäcka oegentligheter inom bolaget tidigare än vad som annars kanske hade varit möjligt. Vidare får bolagets anställda, som har direktinsyn i verksamheten, en möjlighet att rapportera utan att riskera repressalier, kanske främst genom anonyma system. Företag med internationell anknytning kan även vara tvungna att införa sådana system, exempelvis för att uppfylla kraven i Sarbanes-Oxley Act. 

Det är dock viktigt att företaget förstår och kan hantera de regler som gäller för behandling av personuppgifter. Inte minst då behandling i strid med personuppgiftslagen kan vara straffbart och leda till skadeståndsansvar. 

Vad är det då som hindrar eller avskräcker ett företag från att implementera ett whistleblower-system? En anledning som ofta förs fram är att det är komplicerat och kräver stora resurser. Det är dock fel. Sedan hösten 2010 är företag befriade från kravet om att inhämta förhandsgodkännande från Datainspektionen för att behandla personuppgifter som rör brottsliga handlingar. Vad gäller den tekniska biten är det tillräckligt för företaget att inrätta en specifik e-postadress eller ett telefonnummer dit anställda kan vända sig för att lämna uppgifter. Det är även möjligt att lägga ut hanteringen av whistleblower-system externt.

Ett företag som behandlar personuppgifter är skyldiga att följa vissa generella regler. Under ett whistleblower-system kan en arbetsgivare komma att behandla personuppgifter som rör brottslig verksamhet, vilket ställer ännu högre krav på behandlingen. Exempelvis får behandlingen endast avse personer i nyckelpositioner eller ledande ställning inom det egna bolaget eller koncernen. Det krävs även att det ska vara sakligt motiverat att behandla uppgifterna för att utreda om en anställd varit delaktig i allvarliga oegentligheter. Dessutom får behandling bara omfatta uppgifter om allvarliga oegentligheter som rör specifika områden, till exempel bokföring, revision eller enskilds hälsa. 

Sammanfattningsvis kan konstateras att förutsättningarna för företag att införa whistleblower-system har blivit bättre de senaste åren. Mycket pekar också på att allt fler fall av oegentligheter upptäcks av företag via interna kontrollsystem. Förutsatt att man har en väl fungerande process för behandling av personuppgifter – något som alla företag ska ha oavsett whistleblowing – finns det därför goda skäl för ett företag att överväga införandet av ett whistleblower-system. 


2011-12-22: Undvik fällorna i molnet Krönika från IT24

Molntjänster är här för att stanna. IT24s juridikexpert Johan Sahlstrand tittar närmare på fenomenet och ger några tips inför affären.

Avbrott i tjänsten kan vara en driftsmässig mardröm om du använder molntjänster för kritiska applikationer eller data. Ibland är det lämpligt att använda flera molnleverantörer för att inte riskera ”single source of failure”. Undersökning av molnleverantörens rutiner för driftskontinuitet kan också ge viss trygghet. 

Åtaganden avseende säkerhetsåtgärder, till exempel rutiner för incidenthantering, backup och behörighetskontroller, måste finnas. Beroende på tjänstens betydelse kan du överväga att efterfråga en redundant lösning. Kontrollera att det finns restriktioner för hur molnleverantören hanterar och övervakar data. Krav på kryptering såväl vid överföring som lagring bör också övervägas vid känslig data. 

Många av molnleverantörerna är globala aktörer, data kommer då ofta flyttas, bearbetas och lagras utanför Sveriges och även EU:s gränser. Andra länders rättssystem kan innebära risk för att data röjs. Den geografiska aspekten får även betydelse för hur persondataskyddsfrågor ska lösas. Ta reda på vad som gäller för din molnleverantör innan du börjar använda tjänsten.

Standardavtal har ofta långtgående friskrivningar som inte speglar den potentiella risken för ditt företag. Ger villkoren dig möjlighet till full ersättning om data skadas eller går förlorad, till exempel vid tekniskt fel eller hackning, eller om tjänsten ligger nere? 

Många molnleverantörer använder sig av underleverantörer, det kan stå i villkoren att de ”licensierar tjänsterna” som de erbjuder. Men underleverantörerna kanske inte erbjuder samma servicenivå eller säkerhet? Om du accepterar att underleverantörer anlitas bör du i vart fall kontrollera att din molnleverantör ansvarar för underleverantörerna. 

För flera företag, som finansiella aktörer och börsbolag, uppställs dessutom särskilda krav på verksamheten, inte minst vad gäller säkerhet. Kraven kan vara svårare att uppfylla då molntjänster används, inte minst på grund av att infrastrukturen delas med andra användare. En analys måste göras om dessa krav uppfylls genom de erbjudna villkoren.

Det finns de som förespråkar användning av privata moln istället för publika. Hanteringen av nämnda frågor underlättas i och för sig genom att använda privata molntjänster. Men det påverkar ofta även prislappen.

Utrymmet för individuella förhandlingar är ofta begränsat, inte minst vid köp av mindre volymer av standardiserade molntjänster. Clickwrap-avtal där kunden klickar på ”jag accepterar” för att ingå avtal är vanligt förekommande. Men oavsett affärens omfattning är det viktigt att du läser och förstår avtalsvillkoren som erbjuds så att du kan skydda dina intressen. Du kanske inte lyckas ändra på villkoren, men du är åtminstone medveten om riskerna och slipper otäcka överraskningar.


2011-12-06: Frank utsedd till den mest proaktiva medelstora advokatbyrån

Frank Advokatbyrå blev för andra året i rad utsedd till den mest proaktiva advokatbyrån i kategorin medelstora advokatbyråer när analysföretaget Regi, i samarbete med Bolagsjuristernas förening, genomförde branschstudien Årets Advokatbyrå.

Studien är Sveriges största branschstudie för advokatbyråer specialiserade inom affärsjuridik och syftar till att undersöka hur nöjda klienter är vid köp av affärsjuridiska tjänster. I underlaget ingick 1500 svar från större köpare av juridiska tjänster.

För mer information om studien, gå in på www.aretsadvokatbyra.se


2011-10-28: Så skyddar du ditt varumärke Krönika från IT24

Utan varumärkesskydd är ditt företag sårbart för att någon plagierar verksamheten eller kännetecknet, skriver IT24s juridikexpert Johan Sahlstrand.

Med ett allt större utbud av varor och tjänster blir varumärket en allt viktigare del av ett företag. Vet du hur ditt företags befintliga varumärkesskydd ser ut? Har du kontroll över om andra varumärken används som riskerar att urgröpa värdet på ditt varumärke? Genom att göra en grundlig analys innan du börjar använda ett kännetecken och genom att registrera ditt varumärke kan du på bästa sätt skydda ditt varumärke.

Varumärkesskydd ger en ensamrätt och uppnås genom inarbetning eller registrering. Utan varumärkesskydd är ditt företag sårbart för att någon plagierar verksamheten eller kännetecknet. Tänk på att en ensamrätt som grundar sig enbart på inarbetning gäller bara inom det område där varumärket är inarbetat. Registrering är att föredra. 

För att kunna registrera ett varumärke får det inte finnas förväxlingsrisk med ett annat existerande varumärke. Kännetecken är förväxlingsbara om de avser varor/tjänster av samma eller liknande slag. Förväxlingsrisk kan innebära intrång i annans ensamrätt till varumärke och kan leda till straffansvar och skadeståndsskyldighet.

Innan du börjar använda eller registrera ett kännetecken bör du därför göra en noggrann undersökning av vilka varumärken som finns registrerade. Fundera över var du vill skydda ditt varumärke – kanske kommer ditt företag i framtiden att expandera och du kan behöva varumärkesskydd även utomlands? En konsult kan hjälpa dig att göra en bred förhandsgranskning av registrerade varumärken såväl i Sverige som utomlands.

En förhandsgranskning kan också ge svar på om det tänkta varumärket kan varumärkesskyddas. Det kännetecken du vill registrera måste nämligen vara tillräckligt unikt (särskiljningsförmåga). Du kan därför som utgångspunkt inte få ensamrätt till ett ord som beskriver dina varor eller tjänster. Ett varumärkesregistrering kan också hävas om märket inte längre har någon särskiljningsförmåga. Det är fallet för ett kännetecken som med tiden har utvecklats till en allmän beteckning för det varuslag som märket varit skyddat för (så kallad degeneration). Exempel på detta är orden grammofon och dynamit. 

Du bör också fundera över hur du kan bygga upp ett komplett skydd för ditt kännetecken. Vad vill du att kunderna ska förknippa med ditt företag/din produkt – ett ord, en kombination av bokstäver, logotyp, färgerna i kännetecknet? Samtliga dessa aspekter kan skyddas inom ramen för en varumärkesregistrering. Ja, till och med ett ljud eller en melodi med särpräglad igenkänningseffekt kan skyddas. Om ditt företag säljer eller marknadsför en produkt med viss design bör också designskydd (även kallat mönsterskydd) övervägas. Designskyddet skyddar formen eller utseendet på en produkt. 

Varumärkesregistrering kräver en del överväganden, men kan också skapa stora värden för ditt företag. Genom att lägga tid på dessa frågor idag kan du få mycket tillbaka i framtiden. 


Johan Sahlstrand
 skriver krönikor på IT24 med fokus på juridiska frågor. Han är advokat och delägare på Frank Advokatbyrå med särskild inriktning på affärsjuridisk rådgivning till klienter inom media-, it- och telekom.

“Denna krönika är av allmän och informativ karaktär. Läsare som har frågor med anledning av krönikan är välkomna att kontakta någon av Franks advokater.”


2011-10-28: Nominerad av Dagens Industri till en av årets Gaseller


2011-08-31: När varningsbrevet dimper ner… Krönika från IT24

Det blir allt vanligare att företag skickar varningsbrev med hot om stämning. Så här bör du agera om ett varningsbrev dyker ner hos dig, enligt IT24s juridikexpert Johan Sahlstrand.

Ditt företag har lanserat en produkt under nytt varumärke och investerat stort i marknadsföring. Plötsligt får du ett varningsbrev som hävdar att ditt företag begår varumärkesintrång och kräver att ni genast slutar med all användning av varumärket. Annars riskerar företaget en stämning.

Vad gör du nu?

Marknadsföring under olika varumärken har underlättats genom webben. Men det har också blivit lättare att undersöka rättighetsintrång. Ett besök på en hemsida kan räcka. 

De senaste åren har jag också sett en allt större användning av varningsbrev. Dessvärre förekommer även att varningsbrev missbrukas – trots svagt stöd för påståendena kan avsändaren lyckas påverka konkurrenten genom en hotfull ton.

Varningsbrev används vanligen vid misstanke om immaterialrättsligt intrång, inte bara för varumärken, utan även t.ex. vid upphovsrätt, mönster och patent. Syftet är att intrånget ska upphöra och att undvika en kostsam process. Dessutom kan mottagaren inte längre påstå att det fortsatta nyttjandet sker i god tro, vilket har betydelse för eventuellt skadestånd och straffrättsligt ansvar. 

Här kommer några riktlinjer för hur du bör agera:

1. Drabbas inte av panik

Att få ett varningsbrev kan vara obehagligt, särskilt om det kommer från en större konkurrent. Men det är viktigt att inte fatta förhastade beslut. Även om avsändarens påståenden verkar berättigade kanske det inte har tillräcklig substans. Du bör i vart fall överväga att förhandla fram en rätt att fortsätta använda varumärket, åtminstone under en övergångsperiod.

2. Svara alltid 

Ett varningsbrev bör alltid bemötas. Om du inte svarar kan avsändaren tro att du medger intrång eller att du är rädd för konfrontation. Då ökar risken för att avsändaren startar en domstolsprocess. Din motpart drar då på sig ytterligare kostnader, vilket minskar chansen att hitta en snabb lösning. Om du behöver ytterligare några dagar för att svara, t.ex. för att hinna rådgöra med din advokat, bör du underrätta avsändaren om detta.

3. Utvärdera kravet 

Analysera hur välgrundat avsändarens påståenden är. Vad gäller varumärken handlar det främst om med vilken rätt som nyttjandet sker och om varumärket är förväxlingsbart eller inte. Formuleringen i varningsbrevet kan ge dig en indikation på vilket resultat som avsändaren önskar uppnå. Vid s k mjuka brev kan syftet vara att lyfta en fråga om eventuellt intrång och bjuda in till dialog. Kanske kan ni hitta en lösning som innebär att ditt företag kan fortsätta använda varumärket? 

4. Lägg upp en strategi

Vid beslut om strategi finns ett antal olika faktorer att ta hänsyn till. Några av dessa är

• Vilket värde har varumärket för ditt företag respektive för din motpart? 
• Hur stor är risken att det faktiskt föreligger intrång? 
• Hur stort skadestånd kan aktualiseras?
• Vilka kostnader innebär det att byta ut varumärket?
• Har motparten finansiella muskler att driva en fullskalig process? 
• Vilka effekter får en process för ditt företags goodwill? 

Bedömningen kan bli ganska komplex. Listan är endast exempel på faktorer som kan läggas i vågskålen. Kom ihåg att ditt svar kan få betydande effekter.


Johan Sahlstrand skriver krönikor på IT24 med fokus på juridiska frågor. Han är advokat och delägare på Frank Advokatbyrå med särskild inriktning på affärsjuridisk rådgivning till klienter inom media-, it- och telekom.

“Denna krönika är av allmän och informativ karaktär. Krönikan utgör således inte en heltäckande sammanställning av de frågor som behandlas och är inte avsedd som juridisk rådgivning. Läsare som har frågor med anledning av krönikan är välkomna att kontakta någon av Franks advokater.”


2011-06-14: Undvik underläge mot riskkapitalisterna Krönika från IT24

Svenska it-bolag är högvilt efter lågkonjunkturen. Som entreprenör är det lätt att hamna i underläge gentemot slipade riskkapitalister. IT24s juridikexpert Johan Sahlstrand ger några tips på hur du lyckas vid förhandlingsbordet.

Senaste tiden har vi sett flera exempel på hur entreprenörsdrivna företag inom it-branschen blir allt hetare uppköpsobjekt för riskkapitalister. Köparna behärskar nyckelfrågorna i förhandlingen. Som entreprenör är det lätt att hamna i underläge. 

Det finns flera frågor som är värda att tänka på.

Ingå sekretessavtal

Riskkapitalisten vill som regel på ett tidigt stadium få ut mycket information om verksamheten för att kunna utvärdera förvärvet. För att undvika att känsliga uppgifter hamnar i fel händer bör sekretess regleras. I samband med det bör även investerarens motiv utvärderas – finns det verkligen ett konkret investeringsintresse? 

Exklusivitet

Ofta kräver investeraren förhandlingsexklusivitet under viss period. Om tidsfaktorn är viktig för entreprenören – till exempel av likviditetsskäl – hamnar entreprenören i underläge. Ju längre förhandlingarna pågår desto svårare blir det att satsa på en annan investerare. Gör därför en plan för hur investeringsprocessen ska se ut fram till affären är i hamn, 3-6 månader brukar vara ett realistiskt tidsscenario. Utvärdera om exklusivitet är lämpligt och undvik långa exklusivitetsperioder. 

Utspädning

Det är inte ovanligt att entreprenörens ägarandel efter den första investeringsrundan blir rejält utspädd och att entreprenören därmed förlorar inflytande. Entreprenören har helt enkelt inte möjlighet att följa med vid de nyemissioner som görs i bolaget. Att i avtalet helt försöka begränsa möjligheten att ta in ytterligare kapital eller ägare är kanske varken möjligt eller lämpligt. Men undersök på ett tidigt stadium om det finns en samsyn och försök reglera förutsättningarna i avtalet för framtida finansieringsrundor. 

Affärsplan

Entreprenören och riskkapitalisten kan ha olika uppfattningar om tidshorisonten för investeringen. För investeraren är entreprenörsbolaget ofta ett av många investeringsobjekt i portföljen som ska generera snabb avkastning. Analysera förväntningar och gör tillsammans en långsiktig affärsplan för bolaget. Annars finns stor risk för att ni senare blir osams. 

Inlåsning

Att ta in en riskkapitalist innebär inte automatiskt att entreprenören kan göra en exit och ”casha hem”. Investeraren ser ofta grundarna som värdefulla tillgångar och vill försäkra sig om att de stannar kvar. Analysera därför vilka inlåsningseffekter som olika upplägg innebär.

Till sist, intervjua andra företag som riskkapitalisten investerat i – tänk på att ni kommer att vara partners under många år framöver. 

Även om riskkapitalister är slipade motparter har entreprenören goda möjligheter att förhandla fram ett balanserat avtal som inte snedvrider den värdering som affären bygger på. Det är dock viktigt att komma förberedd till förhandlingsbordet – det är stora värden som står på spel.

Johan Sahlstrand 
skriver krönikor på IT24 med fokus på juridiska frågor. Han är advokat och delägare på Frank Advokatbyrå med särskild inriktning på affärsjuridisk rådgivning till klienter inom media-, it- och telekom.


Vi använder cookies på denna webbplats för att ge dig en bättre upplevelse. En cookie är en textfil som sparas på din dator. Genom att använda vår webbplats accepterar du att cookies används. Läs mer om cookies här. Jag förstår