[pelmered]

Vad har man för ansvar för datasäkerheten när man erbjuder en tjänst.
Det enda jag hittat är vad som gäller för banker och det verkar vara följande: http://www.rata.bof.fi/se/Sparare/In...s/Default.aspx

Vad har man för ansvar för kundens information, som av båda parter(tjänsteleverantör och kund) anses vara konfidentiell(skulle t.ex. kunna vara kundens kundregister och likande)?

Vilka krav kan man ställa på kunden förutom att de ska se till att ingen annan kan få tag på deras inloggningsuppgifter?

Vad gäller juridiskt om inget är avtalat?

Vad rekommenderar ni att man skriver i ett användaravtal?

Man vill ju ge kunden någon form av garanti för säkerheten när det gäller detta samtidigt som man inte vill riskera för mycket om någon skulle hacka sidan. Det går ju inte att helt garantera att tjänsten inte kommer hackas även om man gör ett bra jobb med säkerheten.

[Danski]

Gäller det en vanlig webbtjänst? I så fall är Personuppgiftslagen tillämplig.

Enligt 31 § Personuppgiftslagen (1998:204)

Citat:

Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.

99% av alla intrång så ställs ingen leverantör till svars eftersom kundregistret inte anses så känsligt. Skulle du känna att just er information är känsligare än normalt så bör du titta på prejudikat.

Vanligt förekommande paragraf i avtal mot kunder i form av användare

Citat:

Företaget kan ej hållas ansvarig för Kunduppgifter om uttrycklig önskan gällande dessa ej har påkallats från Kund.

Är det mot större partners så bör du nog definiera maxskadestånd för skadan direkt i avtalet.

[emilv]

Citat:

Ursprungligen postat av Danski

Är det mot större partners så bör du nog definiera maxskadestånd för skadan direkt i avtalet.

Det gäller väl alltid om man vill slippa bli obegränsat skadeståndsskyldig?

[pelmered]

Okej, tack så mycket.
Men klassas verkligen kundregister och annan information som skulle kunna klassas som företags-/affärshmeligheter som personuppgifter i lagens mening i detta fall?

Citat:

Ursprungligen postat av emilv

Det gäller väl alltid om man vill slippa bli obegränsat skadeståndsskyldig?

Är det inte svårt att sätta en rimlig nivå på detta?
Har man en större kund och om man har ett litet företag med relativt låg omsättning krävs det ju inte så stora belopp för att det ska svida rejält och kanske till och med leda till att man gå omkull.
Blir ju väldigt odynamiskt att sätta en fast maxgräns.

Det känns väldigt dumt att avskriva sig allt ansvar också.

Det bästa kanske är att hänvisa till paragraf 31 i Personuppgiftslag (1998:204)

Citat:

Säkerhetsåtgärder
31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av
a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och
d) hur pass känsliga de behandlade personuppgifterna är.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

källa: https://lagen.nu/1998:204#P31S1

Jag ska även läsa igenom följande PDF om vad som gäller: http://www.datainspektionen.se/Docum...d-sakerhet.pdf

[pelmered]

Hittade detta under definitioner i lagtexten:

Citat:

Personuppgifter: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

De här lagarna gäller väl med andra ord inte information knuten till företag?

[Dennis Holm]

Citat:

Ursprungligen postat av ITisGood.se

Hittade detta under definitioner i lagtexten:

De här lagarna gäller väl med andra ord inte information knuten till företag?

korrekt.

Pul är "PERSON uppgifter" endast.
information om företag som inkluderar viss information om firmatecknare, styrelse, direktör osv går inte under pul.

[pelmered]

Okej, då börjar vi om

Vad finns det för lagstiftning om information knuten till företag?
Vad heter lagen?

[jonny]

Det finns en lag om företagshemligheter exempelvis. Kan du beskriva lite närmare vad det är för slags tjänst du ska sälja?

[Norman]

Titta på avtal 90 för IT-branchorganisationer så ser du.
Den är rätt bra, vi har själva valt att tillämpa den för att slippa strul.

[pelmered]

Citat:

Ursprungligen postat av Norman

Titta på avtal 90 för IT-branchorganisationer så ser du.
Den är rätt bra, vi har själva valt att tillämpa den för att slippa strul.

Kanske kan vara något, men jag nog ute efter något lite enklare avtal.
Jag har skrivit ett eget avtal men jag fastnade lite på just detta.

Det handlar om en lite enklare faktureringstjänst. För det kommer jag behöva lagra saker som kundregister och data om ordrar, priser, avtal m.m. för de som använder tjänsten. Det är inget gigantiskt projekt så det behövs inte något jätteavancerat avtal. Jag vill bara veta vad man brukar skriva i ett avtal.
Jag tyckte det som stod i paragraf 31 i Personuppgiftslagen (1998:204) som jag skrev nedan verkar lagom som det skulle gått att tillämpa här. Om man skriver på ett sådant sätt i ett avtal antar jag att det avgörs i domstol vad som är tillräcklig/lämplig nivå på säkerheten om det skulle bli en tvist.
Jag kanske borde tala med en jurist om detta...