GDPR - cyber security och att undvika skandaler

Vad kan e-handlare lära av IT-skandalen på Transportstyrelsen?

Under sommaren har en regeringskris utlösts i samband med misskötsel vid upphandling av IT-tjänster för att hantera Transportstyrelsens databas. Databasen innehåller information om samtliga fordon i Sverige och alla körkortsinnehavare inklusive de med skyddad identitet. Även om e-handlare troligtvis inte sitter på information som kan röja skyddade identiteter så finns det lärdomar att dra från IT-skandalen.

Hur troligt är det att någon vill stjäla ditt företags data?

Som e-handlare kanske du tänker att Transportstyrelsens IT-skandal inte berör dig, att det är en politisk fråga och att ingen rimligtvis är intresserad av att stjäla ditt företags data. Egentligen spelar det ingen roll om någon försöker stjäla din kunddatabas eller inte. Under 2018 kommer en ny lag General Data Protection Regulation (GDPR) implementeras i hela EU. GDPR ersätter Personuppgiftslagen (PUL) och innebär att rutiner kring hantering av personuppgifter måste dokumenteras.

Kraven på hur persondata hanteras skärps i och med införandet av GDPR. De företag som inte uppfyller kraven kan komma att få betala administrativa sanktionsavgifter på upp till 20 miljoner EUR eller fyra procent av den globala omsättningen.

Transportstyrelsen hade inte kunskap om skyddsvärd information

Enligt vad som framkommit av SÄPOs förhörsprotokoll så var kunskapen i styrelse och ledningsgrupp låg när det gäller vilken information som var skyddsvärd och hur den skulle skyddas. Det verkar som om kunskapen generellt sett varit låg i organisationen när det gäller vilken information som var skyddsvärd, vilket känns alarmerande. Särskilt med tanke på att de som hade kunskap om vilken information som var skyddsvärd och hur den skulle hanteras tycks ha ignorerats av chefer.

Oavsett om det gäller en myndighet eller ett företag så har styrelsemedlemmar och ledningsgrupp lagstadgad skyldighet att inneha verksamhetskritisk information.

Styrelsemedlemmar måste själva söka information samt läsa på om lagar och regler för att säkerställa att de har underlag som krävs för att fatta korrekta beslut. En ledare eller styrelsemedlem kan inte avfärda medarbetare med att avsteg har gjorts tidigare eller att medarbetare har en ”personlighet” som gör att allt de för fram blir ”jättestort” (som framgår av Emmanuel Karlstens genomgång av de delar av SÄPO-förhören som inte är sekretessbelagda). Enligt ABL 1.5 kap.§1 har styrelsen ett skadeståndsansvar som innebär att den som uppsåtligen eller av oaktsamhet missköter bolaget och därigenom vållar skada blir skadeståndsskyldig gentemot bolaget och dess ägare.

Med andra ord kan styrelsemedlemmar bli skadeståndsskyldiga även om de inte haft uppsåt att vålla företaget skada.

Lärdom: sök information och lyssna till kritiska röster i organisationen oavsett vilken personlighet de har.

TRUST - om tillit till rekommendationer att göra avsteg från lagar istället för att lyssna på medarbetares varningar

Infrastrukturminister Anna Johansson fick inte information

Infrastrukturminister Anna Johansson hävdar i förhör med SÄPO att hennes statssekreterare inte förde vidare informationen gällande Transportstyrelsens hantering av skyddsvärd information i samband med outsourcingen av IT-systemets drift. Som minister har hon skyldighet att säkerställa att information kommer fram till henne, samma sak gäller för styrelsemedlemmar i en e-handel eller annat företag. Anna Johansson har nu, liksom inrikesminister Anders Ygeman avgått. Enligt lag går det inte att avsvära sig ansvar. Därför är det viktigt att ha ett gott arbetsklimat där medarbetare känner sig trygga i att föra fram information, även när det känns tungt.

Styrelsemedlemmar är ytterst ansvariga för företagets organisation. Därmed ansvarar styrelsemedlemmar för att säkerställa fungerande informationsvägar. Jag har tyvärr varit i många organisationer där det inte hålls regelbundna möten. Det kan då kännas obekvämt att be chefen om möte för att prata om svåra saker, särskilt om chefen sällan är närvarande. I en allt mer digitaliserad värld är det viktigt att vi inte glömmer vikten av möten. De kan hållas online om inte alla kan samlas i samma lokal. Är det inte möjligt att hålla regelbundna möten, eller om möten ställs in är ett alternativ att samtliga som skulle deltagit i mötet istället skicka sina mötespunkter skriftligen till den som är sammankallande till mötet.

Lärdom: upprätta regelbundna möten med en stående mötespunkt att gå igenom problem och utmaningar. Se till att alla ledare samlar in information regelbundet från sina medarbetare, skriftligen eller via möten.

Lärdomar av IT-skandalen på Transportstyrelsen

Som e-handlare eller företagare är det viktigt att alla dina styrelsemedlemmar har kunskap om sitt ansvar enligt lag. Avsteg från lagar och förordningar kan resultera i skadestånd även om avstegen varit oavsiktliga. Jobba för en god arbetsmiljö där medarbetare vågar föra fram utmaningar och problem. Stämpla dem inte som jobbiga, i själva verket är det oftast de mest lojala medarbetarna som protesterar högst. Lojala medarbetare bryr sig om att göra ett bra jobb, de bryr sig också om verksamhetens rykte och gör sitt bästa för att förhindra skandaler. Visst kan det ibland vara jobbigt att lyssna på domedagsprofeter, och det kan kännas bökigt att implementera åtgärder men det är trots allt bättre än skadestånd och dålig PR.

Var nyfiken! Sök information! Upprätta rutiner!