1. E-mail security
Juridiske aspekter
Martin von Haller Grønbæk
partner, Bender von Haller Dragsted
IDC Symantec
København, 10 november 2009
torsdag den 12. november 2009 1
2. – Partner, Bender von Haller Dragsted
– Medlem af ITSTs IT-Sikkerhedskomiteen
– Medlem af Dansk ITs Råd for IT og Persondatasikkerhed
– Medstifter, Forening dor ansk Internet Handel (FDIH)
– Medstifter, Open Source Leverandørforeningen (OSL)
– Medstifter, Creative Commons DK
– Medstifter, Danish Internet Society Chapter
– http://www.bvhd.dk
– http://openlife.dk
– http://www.vonhaller.dk
– http://www.linkedin.com/in/vonhaller
– http://www.23hq.com/mhg
– http://www.slideshare.net/vonhaller
– http://www.facebook.com/vonhaller
– mhg@bvhd.dk
– martin@groenbaek.net
– groenbaek@gmail.com
torsdag den 12. november 2009 2
3. Agenda
- IT Compliance fra en juridisk
synsvinkel
- Emails
- Sociale medier
- Spørgsmål
torsdag den 12. november 2009 3
5. Compliance?
Compliance er fællesbegrebet for de love,
bestemmelser, normer og standarder samt
etiske regelsæt, nationale såvel som
internationale, som virksomheder skal eller
vælger at overholde. Ikke kun for at sikre sig,
at der ikke sker overtrædelser, men også for
at imødegå risikoen for negativ påvirkning af
virksomhedens forretningsmål eller
omdømme.
torsdag den 12. november 2009 5
6. Jeg dækker ikke
idag
- Normer og standarder
- Internationale regler
- Eurosox og Sarbanne Oxley
- Omdømmeeffekten
- Kun e-mails
- Og måske sociale medier
torsdag den 12. november 2009 6
7. E-mails
- Markedsføring
- Rettigheder
- Ansættelsesret
- Persondatabeskyttelse
- Bevissikring
- Brevhemmelighed
torsdag den 12. november 2009 7
8. Markedsføring
- Hovedreglen er opt-in
- Send kun e-mails til dem, der har bedt
herom
- Og kun til de formål, der er aftalt
- Også B-to-B
- Overdrag kun e-mail adresser, hvis der er
konkret tilladelse
- Information er ofte markedsføring
- E-mail database compliance system
torsdag den 12. november 2009 8
9. Rettigheder
- Hvem ejer indholdet af en e-mail
- Indhold tilhørende tredjemænd
- Egne og andres
forretningshemmeligheder
- Attachments
- Links
- IT compliance med i “e-mail policy”
torsdag den 12. november 2009 9
10. Disclaimer
-Copyright notice
This email and any files transmitted with it are
-Fortrolighedsadvarsel
confidential and intended solely for the use of the Computer viruses can be transmitted via
WARNING:
individual or entity to whom they are addressed. recipient should check this email and any
email. The
If you have received this email in error please for the presence of viruses. The company
attachments
-Ansvarsfraskrivelse
accepts no liability for any damage caused by any
notify the system manager. This message
containsvirus transmitted by this and is E-mail transmission
confidential information email.
This message and is intended
contains confidential information
intended only for the individual named. If youto be secure or error-free as
cannot be guaranteed are not
-Indhold
only for the individual named. Ifaddressee information could disseminate,
the named you are not the you should not be intercepted, corrupted, lost,
named addressee you shouldornot disseminate, arrive late or incomplete, or contain
distribute copy this destroyed,
e-mail. Please notify the sender
distribute or copy this e-mail. Please notify the receivedtherefore does not accept liability
immediately by e-mail viruses. The sender this e-mail
if you have
-Vira
sender immediately by mistake and if you haveerrors or omissions E- the contents of this
by e-mail delete this e-mail from your system. in
for any
received this e-mail by mistake and delete thisguaranteed to be secure ora result of e-mail
mail transmission cannot be e-
message, which arise as
error-free as information could be intercepted,
mail from your system. If lost, destroyed, arrive late or incomplete, or
corrupted, you are not the
transmission.
-Begrænset værdi, men
intended recipient contain viruses.notified that Although the company has taken reasonable
you are The sender therefore does not accept
Warning:
disclosing, copying, distributing orerrors precautions toinensure no viruses are present in this
liability for any taking omissions
or any the contents of
this message, which of this a result of e-mail
arise as
action in reliance on the contents email, the company cannot accept responsibility for
skader ikke
information is strictly prohibited. If verificationloss or damage arising from the use of this email
transmission.
any
is required please request a
hard-copy version. Company X, Suite# 1, Street, City,
or attachments.
Country, www.company.com
torsdag den 12. november 2009 10
11. Medarbejdere
- E-mail policy er en instruks
- Medarbejderen må overvåges
- Indhold må læses
- Transperans og oplysning
- Alle e-mails tilhører virksomheden
- E-mails kan bruges i tvister
- Brug af private e-mail accounts kan
forbydes
- IT compliance med i “e-mail policy”
torsdag den 12. november 2009 11
12. Persondatabeskyttelse
- E-mails indeholder ofte personlige
oplysninger
- E-mails adresser, indhold og trafikdata er
ofte personhenførbare
- Opbevaring og behandling af persondata
kræver ofte samtykke
- Sagligt formål
- Databaser skal anmeldes
- Overførsel til lande udenfor EU
- IT compliance med i “privacy policy”
torsdag den 12. november 2009 12
13. Bevissikring
- Bogføringsregler
- E-mails bruges ofte som bevismidler
- Logfiler og logisk bevis
- Kryptering er en rigtig god ide
- “Notarfunktioner”
- IT compliance vedrørende bevissikring
som krav til
dokumenthåndteringssystemer
- Drejebog ved afskedigelser
torsdag den 12. november 2009 13
14. Brevhemmelighed
- Menneskeret står højest
- EMRK art. 8
- Grundlovens prgf. 72
- Straffelovens prgf. 263
- Åbn eller læs aldrig e-mails, der er
åbenbart private
torsdag den 12. november 2009 14
16. Noget nyt?
- Gammel vin på nye flasker?
- Ufiltreret, spontan information
- Med middelbar!
- Markedsføring
- Rettigheder
- Medarbejdere
- Bevissikring
torsdag den 12. november 2009 16
17. Case
– Ansat opretter profil på LinkedIn eller Facebook
– Hvornår er man firmaets M/K?
– Hvad med fotos fra firmafesterne?
– Må arbejdsgiveren læse med?
– Kan status-opdateringer (mis-)bruges?
– Pjækkeri
– Illoyalitet
– Hvem “tilhører” profilen?
– Hvem kontrollerer profilen efter ansættelsens
ophør?
– Hvad med “forbindelser” til kunder og
forretningsforbindelser?
– Hvad med varemærker og andet materiale om
virksomheden?
– Er der behov for en “politik”?
torsdag den 12. november 2009 17
18. Case
- Virksomhederne deler data
- Åbne API’er
- Hvem ejer databaser?
- Hvem kontrollerer adgang til
data?
- Facebooks Developer Terms of
Service!
- Flickr APIs Terms of Use!
torsdag den 12. november 2009 18
19. Tak for opmærksomheden
Præsentation kan hentes på
http://www.slideshare.net/vonhaller
torsdag den 12. november 2009 19