Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Konfidensiell informasjon på e-post

Liknende presentasjoner


Presentasjon om: "Konfidensiell informasjon på e-post"— Utskrift av presentasjonen:

1 Konfidensiell informasjon på e-post
Kim Ellertsen, NSR

2 HVA ER NÆRINSLIVETS SIKKERHETSRÅD (NSR)?
Historikk Opprettet i 1977 under navnet Industriens Sikkerhetsutvalg og skiftet senere navn til Næringslivets Sikkerhetsråd Var inntil 2004 organisert i Næringslivets Sikkerhetsorganisasjon, men er nå en selvstendig forening. NHO som initiativtaker. Medlemsforening. Medlemmer har tilgang til vårt nettverk og ev. rådgivning i konkrete saker, kostnadsfrie foredrag og reduserte priser på kurs og konferanser.

3 Forbygge kriminalitet
Trender Samfunnsansvar Kommunikasjon Best practice

4 Hva bruker vi e-post til
Kontraktsarkiv – papirbasert, scannet, , muntlig etc Offentlig forvaltnings korrespondanse – brev sml mail Advokatkontor – saksbehandlingssystem som bevismiddel i tvister Mye av det som tradisjonelt var rene papirbaserte prosesser skjer i dag elektronisk. Hvilke rutiner har vi tatt med oss fra de papirbaserte rutinene til den eketroniske hverdagen? Arkiv? Hva lå i arkivet – ukast – korrespondanse pr. sak? Hva skjer med det i dag? Saksbehandlingssystem – hva legges inn av infomasjon der, er den koblet opp mot e-post systement, eller inneholder det ”brev” som vi før la kopi av i arkivet? Dokumenter som bevis. Er e-post et dokument? Over til hva som en bør se på når det gjelder e-post og elektronisk kommunikasjon. E-postens formelle egenskaper. Ikke formkrav til avtaler Fri bevisførsel i norsk rett Ikke hørt om at en trekker i tvil innholdet i en e-post. Kan ikke nektes å fremlegge en e-post. Viktig å ha kontroll over at den en har kan verifiseres og autentiseres. Oppbevaringskrav normalt oppfylt ved digital arkivering Arbeidsgivers rett til innsyn i den ansattes e-post. Smart å avklare dette i arbeidskontrakten med den enkelte slik at dette er klart fra dag 1.

5 Utgangspunktet for e-post og annen elektronisk kommunikasjon
Hva erstatter e-post Styrker og svakheter Bruksområder Autensitet Gjenfinning Notoritet Krav til sporbarhet og dokumentasjon Ny krav? E-post erstatter mer enn det tradisjonelle brevet. Brev og notater Telefon ”gule lapper” Kollegiale samtaler Styrker og svakheter Effektivt Liten sporbarhet ”fire and forget” Kvalitet (kommer litt tilbake til dette) Bruksområder Stort Notoritet Er vi i stand til å forsikre oss om at begge parter (avsender og mottaker) har samme oppfatning av hva beskjeden, notatet inneholder og betyr? Krav til sprobarhet Finner vi igjen hva vi har sendt – finner kollegaen vår igjen det du har sendt Hvem ”eier” e-posten – du eller jobben? Temaet om akkurat dette er for stort til å ta her – men refleksjonen må med i tenkningen om hva vi gjør med e-post. NSR undersøkte hvor utbredt dette er : (neste foil)

6 Bruk av Internett Mørketallsundersøkelsen 2006
”Alle bruker e-post” – hva bruker vi den til? For alle praktiske formål har alle e-post, mange har flere – på jobb og hjemme. Hvor sårbare er vi dersom dette blir borte? (neste foil)

7 Tiden det tar før det oppstår vesentlige problemer grunnet bortfall av IT (% av virksomheter)
En dag En time 1 time – fra 15 % i 2003 til 31+ i 2006

8 Hva skjer -> kan skje
Har din virksomhet opplevd følgende de siste 12 månedene? Det er forskjellige innganger til at informasjon forsvinner ut av kontroll. Tallene er fra Kriminalitets og sikkerhetsundersøkelsen i Norge. (September 2006) Elektronisk kommunikasjon fremmer muligheten for å sende store mengder informasjon ut fra den enkelte bedrift. I tillegg kommer at lagringsmedier er små og har stor kapasitet.

9 E-post Venn eller fiende?
”Business Conduct” som virksomhetens stemme Kontroll med form og innhold Ryddighet i håndtering og oppbevaring Informasjon som verdifull ressurs Informasjon som årsak til kaos Individavhengighet E-post blir stadig mer sentralt. Tilbud, forhandlinger, aksept og endringer skjer på e-post. Dersom da e-posten ikke er kontrollerbar og lagret kan en få vanskeligheter med å ”bevise” sin rett. Stemme utad – e-post som erstatning for muntlig kommunikasjon. Muntlig = umiddelbar mulghet til å oppklare uklarheter og hindre misforståelser. Stiller krav til avsendere av e-post Kontroll med form og innhold – Vanskelig å kontrollere for ledere = rutiner Erstatter brev. Dette er mer kritisk – formelle brev er kanskje mer gjennomtenkt enn en e-post. Uansett ”mister” en noe dersom en ikke har kontroll på hva som ligger i e-post, og hvordan lagrer en den. Ikke er noe formkrav i Norge på avtaler. Kan MAO gjøres på e-post viktig dersom det er benyttet som avtaletekst. Eller på utkaststadiet Eller kanskje enda viktigere – som endringer eller tillegg til avtaler Effektivitet på godt og vondt. E-post blir derfor en verdifull ressurs, og kan bli årsak til kaos. E-post er individavhengig – kan gjøre e-post til en risikosport. Ved tvister er det en stor utfordring å finne ut av hva som har skjedd dersom en ikke har system på e-post som er relevant. E-post er spredd på enkeltpersoner som kanskje ikke er til stede – sluttet – e-post som er slette.

10 Formelle krav til lagring (foredrag fra adv fa. Simonsen)
Påbud om lagring Regnskapsloven Opplysningsplikten § 7-1 Bokføringsloven Regnskapsmessige disposisjoner skal bokføres på en ”fullstendig måte i regnskapssystemet”, jfr§ 4 nr 2 Opplysninger ”skal være dokumentert på en måte som viser deres berettigelse”, jfr § 4 nr 6 Krav til sporbarhet, jfr § 4 nr 7 Krav til oppbevaring ”så lenge det er saklig behov for å kontrollere pliktig regnskapsrapportering. Oppbevaring skal skje i en form som opprettholder muligheten for å lese materialet”, jfr.§ 4 nr 8 Regnskapsmaterialet må sikres mot ”urettmessig sletting eller tap”, § 4 nr 9 Forvaltningsloven Partsinnsyn § 18 flg omfattes av lovens dokumentbegrep jfr § 2 bokstav f) Offentlighetsloven Offentlig innsyn § 2 flg Finansavtaleloven Krever betryggende metode for autentifisering av avtaleinngåelsen jfr § 8 (2)(b) Arkivloven Hvitvaskingsloven Krav til ”forsvarlig” lagring jfr § 6 2 Opplysningene som omfattes angitt i § 8 E-postens formelle egenskaper. Ikke formkrav til avtaler Fri bevisførsel i norsk rett Ikke hørt om at en trekker i tvil innholdet i en e-post. Kan ikke nektes å fremlegge en e-post. Viktig å ha kontroll over at den en har kan verifiseres og autentiseres. Oppbevaringskrav normalt oppfylt ved digital arkivering Arbeidsgivers rett til innsyn i den ansattes e-post. Smart å avklare dette i arbeidskontrakten med den enkelte slik at dette er klart fra dag 1. 10 10

11 Lagring – forts. Forbud mot lagring
Personopplysningsloven sml markedsføringsloven Vilkår for oppbevaring av personopplysninger jfr § 8 Vilkår for oppbevaring av sensitive personopplysninger jfr § 9 Krav til oppbevaringen se §§ 11 flg Opplysningsplikten i mfl § 15 Helseregisterloven Behandlingsrettede helseregistre kan føres elektronisk jfr § 6 Vilkår for føring av slik register se lovens kap 2 Krav til oppbevaring, kap 3 IT-sikkerhetsforskriften Sikkerhetskrav § 5 Overtredelse Ansvar Sanksjoner (bøter og fengsel) Personopplysningsloven kap 8 Helseregisterloven kap 6 Markedsføringsloven kap 12 Omdømme Rettssak Må kontrollere lovhenvisningene. 11 11

12 Det nye trusselbildet Adressering

13 Du har mottatt feilsendt e-post (Undersøkelse foretatt av NorSIS)
To av ti har mottatt feilsendt e-post Det er ingen signifikante geografiske forskjeller og det forekommer i like stor grad i privat og offentlig sektor når det gjelder å motta feilsendt e-post. Det er i bransjene undervisning (25 prosent), offentlig administrasjon (23 prosent) og tjenesteytende næringer (23 prosent) at man i størst grad har mottatt feilsendt e-post. Det skjer i minst grad i primærnæringer (5 prosent), transport og kommunikasjon (12 prosent), samt bygg- og anleggsvirksomhet (13 prosent).

14 Du har mottatt feilsendt e-post (Undersøkelse foretatt av NorSIS)
Industrien ligger på gjennomsnitt i denne undersøkelsen. Refleksjonen er hva en gjør med en e-post en ikke skulle ha hatt. Og videre hva om dette hadde vært en e-post fra oss – har det potensiale til å være uheldig – skadelig – katastrofalt.

15 Du har selv feilsendt e-post (Undersøkelse foretatt av NorSIS)
14 prosent har feilsendt e-post Å sendt e-post til feil adressat skjer i like stor grad i privat og offentlig sektor og det er ingen signifikante geografiske forskjeller. I de ulike bransjene skjer det i størst grad i tjenesteytende næringer og undervisning (hhv. 19 og 18 prosent). Innenfor primærnæringer, helse- og sosialtjenester og hotell- og restaurant forekommer feilsending av e-post i minst grad (hhv. 5,10 og 11 prosent).

16 Du har selv feilsendt e-post
(Undersøkelse foretatt av NorSIS)

17 Eksempler Ekteparet Are Dammann og Elin Leer-Salvesen er to av drivkreftene bak Innbyggerinitiativet. De mener det allerede lekker store mengder giftig slam fra deponiet, og at arbeidene derfor må stanses. Den 6. juni sendte Dammann og Leer-Salvesen følgende e-postmelding til SFTs Marit Kjeldby: «I henhold til offentlighetsloven begjærer herved Innbyggerinitiativet på Nesodden innsyn i all korrespondanse, til og fra, og brev og mail mellom, Statens forurensningstilsyn og Secora i sak vedrørende helhetlig tiltaksplan for forurensede sedimenter i Oslo Havnedistrikt. (...)» Svaret de fikk, lød: «Herregud ... Kanskje en lur policy å ikke svare dem på noen e-post før vi må???» Innbyggerinitiativet reagerer sterkt på innholdet i den feilsendte e-posten. De krever at Kjeldby må erklæres inhabil, og at hun heretter ikke skal arbeide med deponisaken. - Ikke inhabil SFT-direktør Ellen Hambro sier til Dagbladet at e-posten ble feilsendt, og at den mest av alt var uttrykk for avsenders reaksjon på høyt arbeidspress. - Denne saken har vært gjenstand for stor interesse i lang tid, og antallet henvendelser er tilsvarende høyt. Vi bestreber oss på å svare alle og på å opptre i tråd med forvaltningslovens bestemmelser. Denne e-postmeldingen var et hjertesukk over antallet henvendelser, ikke noe annet. Den var ment internt, men ble feilsendt. Vi anser derfor ikke at vedkommende direktør er inhabil. Hun avviser også påstander om at SFT holder tilbake viktige opplysninger i saken. - Vente i det lengste Are Dammann sier Hambro tar feil. Opplysninger er holdt tilbake. Og den feilsendte e-posten gir uttrykk for en holdning til offentlighet som er kritikkverdig, mener han. - Det kan ikke herske noen tvil om at Marit Kjeldby faktisk skriver at det muligens er best å vente i det lengste med å svare på våre spørsmål. Derfor reiser vi habilitetsspørsmålet. Vi mener Kjeldby ikke bør jobbe mer med deponisaken, og det må SFT faktisk forholde seg til, sier Dammann til Dagbladet. Både Innbyggerinitiativet på Nesodden, Bellona og andre miljøorganisasjoner mener det skjer en betydelig spredning av miljøgifter utover de rammer som er gitt. Men Miljøverndepartementet, SFT og Oslo Havn sier at det var forutsett og akseptert at det ville bli en del forurensning rundt deponiet i anleggsperioden Naturlig å reagere Professor Petter Jenssen ved Universitetet for miljø- og biovitenskap på Ås, som på 1990-tallet var med på å utarbeide retningslinjer for SFT om hvordan man skal undersøke områder med forurenset grunn, sier til Dagbladet at han forstår innbyggerinitiativets skepsis til prosjektet. - De graver de forurensede bunnsedimentene opp med grabb, og de tilsetter salt til massene før de sprøytes ned til dypvannsdeponiet under sterkt trykk. Dette er en temmelig primitiv metode som kan føre til store lekkasjer av forurenset masse. Jeg vet ikke om dypvannsdeponiet lekker, men det er god grunn til å være opptatt av om det lekker, sier Jenssen. Han minner om at det er strøm i fjorden, og at massene utsettes for skiftende temperaturer. Betingelsene i fjorden er annerledes enn det man vil finne i et laboratorieforsøk, sier Jenssen, og minner om at PCB og andre stoffer fra inn- og utland er ført med strømmen helt til Arktis der de påvirker miljøet. Blant annet har isbjørn fått nedsatt fertilitet på grunn av denne forurensingen. - Min største bekymring er at de forurensede massene lekker ut fra deponiet og sprer seg til store deler av Oslofjorden, sier Petter Jenssen.

18 Rt Saken gjaldt spørsmål om brudd på straffeloven §405a. Høyesterett kom til at bestemmelsen ikke rammet den som tilfeldig kommer over bedriftshemmeligheter. Ettersom de to tiltalte hadde lagt til rette for at e-post skulle feilsendes til dem, ble imidlertid kunnskapen ansett skaffet til veie på en urimelig måte. Straffeloven §405a,        som setter straff for den som på urimelig måte skaffer seg eller søker å skaffe seg kunnskap om eller rådighet over en bedriftshemmelighet. Grunnlag er følgende forhold:        Torsdag den 20. juli 2000, på formiddagen, på sitt kontor i Stavanger, mottok B en e-post ment for C i Kværner ASA (« Kværner »), Oslo. Avsender var D i Sundal Collier & Co, Oslo (« SCC »), som hadde fått i oppdrag av Kværner å lage en beskyttelsesstrattegi mot Aker Maritime ASAs / Kjell Inge Røkkes oppkjøp i Kværner. E-postens tittel var Final Bordpresentation. E-posten inneholdt en advarsel som opplyste at den var av konfidensiell art. Vedlagt e-posten fulgte en datafil. Datafilen var en presentasjon av den hemmelige beskyttelsesstrategien laget av SCC, ment for styret i Kværner. Feilsendingen skyldtes feilbokstavering fra Ds side. Han hadde sendt e-posten til domenet kvearner.com som var registrert av B, og ikke til kvaerner.com, som var registrert av Kværner.        B viste utskriften av e-post og /eller sendte e-posten til A som satt i samme kontorområde. Begge var vitende om oppkjøpsforsøket i Kværner. Til tross for at de antok at datafilen vedlagt e-posten kunne inneholde sensitiv informasjon, åpnet de datafilen. Derved skaffet de seg kunnskap om den hemmelige beskyttelsestrategien til Kværner ASA. Dommer Mitsem: Statsadvokatene ved Økokrim satte 24. november 2000 A og B under tiltale for overtredelse av straffeloven §405a - som setter straff for den som på urimelig måte skaffer seg eller søker å skaffe seg kunnskap om en bedriftshemmelighet - og §266 jf. §49 - forsøk på utpressing - idet de skal ha forsøkt å presse en bedrift til å betale for å unngå at hemmeligheten ble spredt. 2) Stavanger byrett avsa 14. september 2001 dom med slik domsslutning: « 1.A, født *.*.1966 dømmes for overtredelse av straffeloven §266 jf. §49 og straffeloven §405a alt sammenholdt med straffeloven §62 1. ledd til en straff av fengsel i 7 - sju - måneder hvorav 5 - fem - måneder gjøres betinget med en prøvetid på 2 - to - år jf. straffeloven §52. flg.        A dømmes til å erstatte det offentlige sakens omkostninger med kr ,- titusen kroner. 2.B, født *.*.1969 frifinnes for overtredelse av straffeloven §266 jf. §49.        B, født *.*.1969 dømmes for overtredelse av straffeloven §405a til fengsel i 30 - tretti - dager som gjøres betinget med en prøvetid på 2 - to - år jf. straffeloven §52 flg. I tilfelle soning har B krav på fradrag for 1 - en - dag for utholdt varetektsarrest.        B dømmes til å erstatte det offentlige sakens omkostninger med kr 3.000,- tretusen kroner. » (3) A og B påanket dommen til Gulating lagmannsrett. Ankene gjaldt bevisbedømmelsen og rettsanvendelsen under skyldspørsmålet, subsidiært straffutmålingen. Påtalemyndigheten anket over bevisbedømmelsen under skyldspørsmålet for frifinnelsen av B for utpressingsforsøk. Ankene ble henvist til ankeforhandling, og Gulating lagmannsrett avsa 18. desember 2002 dom ( LG ) med slik domsslutning: « 1.A, født *.*.1966, frifinnes. 2.B, født *.*.1969, frifinnes. » (4) Lagmannsrettens dom er avsagt under dissens, idet én av fagdommerne stemte for å domfelle A for forsøk på utpressing. (5) Saksforholdet og de domfeltes personlige forhold fremgår av byrettens og lagmannsrettens dommer. (6) Påtalemyndigheten har anket lagmannsrettens dom, med unntak av frifinnelsen av B for forsøk på utpressing. Ankene gjaldt lovanvendelsen under skyldspørsmålet og saksbehandlingen - mangelfulle domsgrunner. Høyesteretts kjæremålsutvalg har tillatt ankene fremmet for tiltaleposten om overtredelsen av straffeloven §405a. Påtalemyndigheten har prinsipalt nedlagt påstand om avsigelse av en ny, fellende dom, subsidiært at lagmannsrettens dom oppheves. (7)   Jeg er kommet til at påtalemyndighetens anker over lovanvendelsen må tas til følge, men at Høyesterett ikke bør avsi en ny dom. (8) Straffeloven §405a ble tilføyd ved lov om kontroll med markedsføring og avtalevilkår av 16. juni 1972 nr. 47. I Innstillingen fra konkurranselovkomiteen var dette straffebudet foreslått inntatt i markedsføringsloven §3 første ledd jf. §10. Departementet foreslo isteden en ny §405a i straffeloven. Begrunnelsen var at markedsføringsloven bare burde rette seg mot handlinger foretatt i næringsvirksomhet, og at bestemmelsen om bedriftshemmeligheter burde ha en videre slagvidde, jf. Ot.prp.nr.57 ( ) side og side 33 annen spalte. Ved behandlingen i administrasjonskomiteen i Stortinget ble - som jeg kommer tilbake til - ordet « utilbørlig » erstattet med « urimelig », og straffeloven §405a fikk dermed denne ordlyd:        « Med bøter eller fengsel inntil 3 måneder straffes den som på urimelig måte skaffer seg eller søker å skaffe seg kunnskap om eller rådighet over en bedriftshemmelighet. » (9) Lagmannsretten frifant begge de tiltalte for brudd på denne bestemmelsen. Jeg finner det hensiktsmessig å gjengi den sentrale delen av lagmannsrettens beskrivelse av det faktiske hendelsesforløp:        « A registrerte i 1999 domenenavnet Kvearner.com. Det innkom en del feilsendte mailer, idet Kværner hadde domenenavnet Kvaerner.com. A tok kontakt med Kværner og gjorde dem oppmerksom på forholdet. Han returnerte også en del feilsendte mailer.        Sommeren 2000 var Kværner sterkt fremme i mediebildet, idet C hadde kjøpt en større aksjepost i selskapet. Styret i Kværner hadde i den forbindelse gitt meklerfirmaet --- i oppdrag, sammen med bl.a. administrasjonen i Kværner, å utarbeide et strategidokument og komme med forslag til hvordan selskapet kunne imøtegå Cs oppkjøp. Dokumentet bygde på offentlig tilgjengelig materiale m.h.t. regnskapstall m.v., men inneholdt vurderinger og forslag til forskjellige strategier mot oppkjøpet. Etter Kværners mening ville det være svært uheldig om dette dokumentet kom på avveier.        Den 20. juli 2000 skulle det avholdes styremøte i Kværner. Tema på styremøtet var selskapets strategi mot Cs oppkjøp. Dokumentet var ment som grunnlag for diskusjonen i styret. D i --- sendte dokumentet på til styresekretæren i Kværner. Hun ventet på dokumentet, og var således underrettet om at det skulle komme på . D snudde om på bokstavene a og e i Kværners domene slik at dokumentet feilaktig ble sendt As domene. en var adressert til styresekretæren i Kværner og anga at det vedlagt denne fulgte en styrepresentasjon. Selve en inneholdt varsel om hemmelighold. Også selve vedlegget var merket med « Strictly Confidential ». A tok kontakt med B. De åpnet vedlegget og forholdt seg ellers slik byretten har redegjort for i dommen på side 6 første avsnitt ... » (10) På side 6 første avsnitt i byrettens dom - som lagmannsretten viste til - beskrives hendelsesforløpet slik:        « 20. juli 2000 om formiddagen kom der inn på As PC en mail til Kvearnedomenet. A så på tittelen Final Bord-presentation, han så den kom fra D i ---. og var til E. A forstod at mailen ikke var til ham. Han kjente til diskusjonen mellom C og Kværner. A hadde innviet B i sitt forretningskonsept om å registrere domener bl.a. noen tett opp til kjente selskaper, og han og B samarbeidet litt om dette. A leste meldingen som skulle til styret i et stort konsern, Kværner, og han gikk derfor inn til B for å snakke med ham. Han forstod at dette ikke var noe han hadde noe med. Han var klar over at det var en feilsending og forstod at det var en ekstrem feil å sende et slikt sensitivt dokument uten noen form for sikkerhet. B og A gikk tilbake til As kontor, de åpnet mailen igjen og de åpnet også vedlegget. Det var A som [åpnet] vedlegget fordi det var på hans PC. B stod ved siden av. De ble nysgjerrige, vedlegget startet med « strictly confidential ». Begge ønsket å se hva dette var, også for å ta stilling til hva de måtte gjøre. De forstod dette var særdeles følsomt og lukket mailen og sendte det hele over til Bs på hans kontor. Der ble det åpnet igjen. Begge ble så enige om å kontakte advokat for å få nærmere råd, og da B kjente advokat Reid Fiskaa hos Kluge søkte de råd hos ham. Fiskaa rådet dem til å ta kontakt med avsender, og da de var på Bs kontor, var det B som fikk kontakt med F over telefon og informerte ham om feilsendingen. Vedlegget til en var en presentasjon av den beskyttelsesstrategi --- hadde laget for styret i Kværner mot ***/Cs oppkjøp i Kværner ... » (11) På bakgrunn av denne bevisbedømmelsen, som Høyesterett er bundet av, kom lagmannsretten til at de tiltalte måtte frifinnes også for denne posten i tiltalebeslutningen. For Bs del så lagmannsretten det slik at han ikke hadde « tilstrekkelig tilknytning til domenet Kvearner.com og således heller ikke til den feilsendte mailen ». For As del kom et flertall til at det ikke dreide seg om noen bedriftshemmelighet, og dertil mente den samlede rett at A under enhver omstendighet ikke hadde skaffet seg kunnskap om dokumentet på urimelig måte. (12) Lagmannsrettens begrunnelse er knapp, men retten har, på den annen side, gitt en fyldig faktumbeskrivelse. Denne gir det nødvendige grunnlaget for å bedømme lovanvendelsen, og jeg kan ikke se at dommen bør oppheves fordi domsgrunnene skulle være mangelfulle. (13) Begrepet « bedriftshemmelighet » i straffeloven §405a har to hovedelementer: Opplysningene må oppfylle visse kvalitative krav, og det må ha vært tatt visse skritt i retning av å beskytte hemmeligheten, som ved å markere kravet på hemmelighold eller etablere kontrollforanstaltninger, jf. Bratholm/Matningsdals kommentarutgave side og Ot.prp.nr.57 ( ) side (14) Til det kvalitative kravet bemerker jeg at så vel tekniske som kommersielle forhold er beskyttet, og at dette også gjelder planer. Det sentrale området for bestemmelsen er forhold av betydning for bedriftens konkurransesituasjon og/eller markedsføring. Jeg finner det imidlertid ikke tvilsomt at en beskrivelse og vurdering av alternativer for en beskyttelsesstrategi mot oppkjøp - utarbeidet på oppdrag av bedriften og med sikte på å presenteres for styret - faller inn under begrepet bedriftshemmelighet i straffeloven §405a. (15) Jeg kan heller ikke se at hemmeligheten kan betraktes som ubeskyttet, heller ikke ved at den i dette tilfellet ble sendt som e-post uten kryptering, selv om en slik kommunikasjon over åpne nett ikke gir sikkerhet mot uautorisert innsyn. Jeg viser i denne forbindelse til at straffeloven §405a ikke - som §145 annet ledd - krever at man skaffer seg innsyn « ved å bryte en beskyttelse eller på lignende måte ». (16) Derimot vil §405a ikke ramme den som tilfeldig kommer over en bedriftshemmelighet. Dette følger av at det etter loven kreves at gjerningsmannen har opptrådt på en « urimelig måte ». Som tidligere nevnt, var det etter proposisjonen - i samsvar også med forslaget fra konkurranselovkomiteen - et krav om at gjerningsmannen hadde opptrådt « utilbørlig », men dette ble omformulert til « urimelig » under behandlingen i administrasjonskomiteen. Endringen, og herunder spørsmålet om den tok sikte på en tilstramming, ble ikke drøftet i komiteinnstillingen. Jeg finner det ikke nødvendig å gå nærmere inn på dette, utover å konstatere at det etter mitt syn må være en forutsetning at det dreier seg om en klart klanderverdig fremgangsmåte, jf. også NOU 1985:31, Datakriminalitet side 17 spalte 2. (17) Ved den videre vurdering må det sees hen til bakgrunnen for at den aktuelle e-post sendingen kom frem til A. Han hadde registrert en rekke domenenavn med adresse tett opp til kjente internasjonale selskaper, herunder « Kvearner.com », som ble registrert i august Det er erkjent at dette ble gjort i den hensikt å kunne selge domenet. Domenet var også satt opp med e-post, dit feilsendt e-post kom selv om den var adressert til personer som ikke befant seg hos « Kvearner ». Dette førte til at A jevnlig mottok feilsendt e-post; ifølge hans forklaring for byretten kunne det dreie seg om pr. dag til Kvearner.com. (18) Det var således langtfra noen tilfeldighet at feilsendt e-post kom inn på As datamaskin. Tvert imot var dette noe han selv hadde lagt til rette for, ved en virksomhet som i det minste må karakteriseres som innpåsliten. Dette stiller særlige krav til håndteringen av slik feilsendt e-post. (19) Det fremgikk av e-posten at vedlegget var en « final board-presentation », og selve vedlegget var merket « Strictly Confidential ». Byretten og lagmannsretten har videre lagt til grunn at A « var klar over at det var en feilsending og forstod at det var en ekstrem feil å sende et slikt sensitivt dokument uten noen form for sikkerhet », og at det dreide seg om « et særdeles følsomt » dokument. (20) Etter mitt syn må det da kunne konstateres at den bedriftshemmelige kunnskapen A deretter fikk, ved å åpne og lese vedlegget, ble ervervet på en urimelig måte. Jeg kan heller ikke se at konklusjonen kan bli en annen for B. Lagmannsretten frifant ham fordi han ikke hadde « tilstrekkelig tilknytning til domenet Kvearner.com og således heller ikke til den feilsendte mailen ». Spørsmålet er imidlertid, også for hans del, om han skaffet seg kunnskap om en bedriftshemmelighet på en urimelig måte. B var innviet i As forretningskonsept i forbindelse med registrering av domenenavn, og de hadde i noen grad også samarbeidet om dette. Videre forsto B at den aktuelle e-posten var en feilsending, hvis mottagelse var muliggjort av forretningskonseptet. Han var også, som A, klar over vedleggets sensitive innhold, hvoretter e-posten videresendes av A til Bs kontor, der vedlegget åpnes på ny og gjennomleses. (21) Etter dette er det mitt syn at den lovforståelse som er lagt til grunn for frifinnelsen av A og B for brudd på straffeloven §405a, er uriktig. (22) Påtalemyndigheten har påstått ny dom avsagt etter straffeprosessloven §345 annet ledd, annet punktum. Forsvarerne har motsatt seg dette. Jeg finner etter omstendighetene at Høyesterett ikke bør avsi en ny dom. Lagmannsrettens dom med hovedforhandling må etter dette oppheves. (23) Jeg stemmer for denne kjennelse:        Lagmannsrettens dom med hovedforhandling oppheves for så vidt gjelder frifinnelsen av A og B for overtredelse av straffeloven §405a. (24) Dommar Utgård: Eg er i det hovudsaklege og i resultatet einig med førstvoterande. (25) Dommer Coward: Likeså. 26) Dommer Rieber-Mohn: Likeså. (27) Dommer Dolva: Likeså. (28) Etter stemmegivningen avsa Høyesterett denne kjennelse:        Lagmannsrettens dom med hovedforhandling oppheves for så vidt gjelder frifinnelsen av A og B for overtredelse av straffeloven §405a.

19 Det nye trusselbildet Adressering
Egen dokumentasjonskontroll, i forhold til andres Manipulasjon av data Sletting av data Utro tjenere – Effektivitet Spam Egen dokumentasjonskontroll Hvilke rutiner har man for å flytte e-psot til saksbehandlingssystemer? Manuelle En svakhet i seg selv. Person til person Kombinasjon privat – virksomhetsrelatert. Manipulasjon av data. Flytting av innholdet i e-post – vanskelig å dokumentere om det var det som stod Andre muligheter? Vedlegg som er låst? Sletting av data. Personlige e-postkasser – den enkelte har selv herredømmet om hva som slettes og hva som lagres. Utro tjenere - Har jeg nevnt – teknologien gir muligheter som for selskapet som sådann er vanskelig å kontrollere.

20 Det nye trusselbildet Adressering
Egen dokumentasjonskontroll, i forhold til andres Manipulasjon av data Sletting av data Utro tjenere – Effektivitet Spam

21 Eksempel - SPAM Dette er den siste vi har sett:

22 Det nye trusselbildet Adressering
Egen dokumentasjonskontroll, i forhold til andres Manipulasjon av data Sletting av data Utro tjenere – Effektivitet Spam Kan du stå inne for det som er skrevet OG sendt for all ettertid

23 Hvor er risikoen? - Gjelder også for e-post

24 Sikker e-post håndtering?
• Dokumenterte prosedyrer <-> Etterlevelse • Automatisering <-> Manuelle prosesser • Lagring Struktur Sikkerhet Tidsperspektiv Teknologiendringer Lagring. Mange har sentral lagring av e-post. MEN mange SMB har det ikke – det ligger lokalt på den enkelte PC i *.pst filer. Backuprutiner. Teknologiendringer. Tenker man langt nok Hva med informasjon fra ”det gamle” systemet – hva skjer med denne informasjonen i det nye.

25 Regler for skriving av e-post
1) Ha en profesjonell tone og vær objektiv 2) Vær nøyaktig og faktaorientert 3) Sørg for fullstendighet 4) Unngå åpne ender 5) Ikke ta parti mot den du representerer 6) Ikke skriv nedsettende om andre 7) Unngå sleivete humor 8) Tenk som en dommer Oppsummeringsmessig noen råd. 1. Tenk på at det som sendes i e-post ikke alltid forblir hos mottaker Tillit til den som får e-posten Ikke kontroll på hvem som den sendes 2. – 4. E-post er i mange tilfeller svar på et eller annet – fullstendigheten som en ofte har i brev mangler. E-post er ofte fragmenter av en helhet. Dette rådet gjelder kanskje ikke all e-post som sendes, men den som inneholder viktig informasjon for virksomheten bør fremstille helhet. Åpne ender kan være risikofylt ettersom den kan settes sammen med andre fragmenter eller ”skjøtes” på utenfor din kontroll. 5. Litt av tenkningen her er at det du skriver kan møte deg igjen ved en senere anledning. Det er bedre notoritet på e-post enn på en muntlig samtale. 6. Igjen – dette blir ikke så lett borte – det er mange eksempler på at e-post skrevet OG sendt i en opphetet situasjon angres, men da er det for sent – ”fire and not forgotten” 7. Rekspekt – og profesjonaliltet 8. Hva vil en dommer kunne tenkes å legge i det du skriver. Epost er lovlig som beivs i retten Kravet om sannsynliggjøring av hva som ”egentlig” stod i en e-post. Ryddighet kan gjøre at din versjon legges til grunn. Avslutningsvis noen tanker om helhet. e-post er en del av ”informasjonssikkerhet” Som er en del av bedriftens evne til å motvirke uønskede hendelser. Vi har laget noen modeller for tenkningen rundt dette. (neste foil)

26 Helhetlig sikkerhetstenkning
Helhetlig tenkning Alle må være tilstede Del av en helhet Styrken avhenger av beskyttelsesbehovet Fysisk Sikkerhet Adgangskontroll Soneinndeling Innbruddsdeteksjon Alarm Vakttjenester Teknisk Sikkerhet Brannmurer Tilgangskontroll Antivirus/spyware Oppdateringer (patch) Branntrekanten Beskyttelsesverdige interesser (Verdivurdering) Fysisk sikkerhet Brennbart stoff Varme Teknisk sikkerhet Teknisk utstyr Dokumenter, patenter, post, e-post, personopplysninger o.s.v Mennesket – det svakeste ledd i sikkerhetskjeden Strategier - planer Kontanter Oksygen Personellsikkerhet Sensitiv informasjon Børsinfo, regnskap og lignende. 26

27 Helhetstenkning – etter verdivurdering
Åpen informasjon Allment kjent informasjon ”vanlig e-post” Åpent område Juridisk barriere Lett eller ingen adgangskontroll Begrenset område Fysisk sperre Kun ansatte eller gjester med følge Adgangskontroll Begrenset informasjon Vedlegg (lukket) Godkjente mottakere Sensitivt område Fysisk sperre Begrenset antall ansatte Streng adgangskontroll/tilgang Sensitivt informasjon Kryptering Sertifikater Ikke vedlegg hvis ikke dette er kryptert. Avtaler, tekniske beskrivelser, anbud, strategier, personinformasjon, bedriftshemmeligheter

28 Takk for oppmerksomheten
Spørsmål?


Laste ned ppt "Konfidensiell informasjon på e-post"

Liknende presentasjoner


Annonser fra Google