Säkerhetsansvar som tjänsteleverantör
 

Vad har man för ansvar för datasäkerheten när man erbjuder en tjänst.
Det enda jag hittat är vad som gäller för banker och det verkar vara följande: http://www.rata.bof.fi/se/Sparare/In...s/Default.aspx

Vad har man för ansvar för kundens information, som av båda parter(tjänsteleverantör och kund) anses vara konfidentiell(skulle t.ex. kunna vara kundens kundregister och likande)?

Vilka krav kan man ställa på kunden förutom att de ska se till att ingen annan kan få tag på deras inloggningsuppgifter?

Vad gäller juridiskt om inget är avtalat?

Vad rekommenderar ni att man skriver i ett användaravtal?

Man vill ju ge kunden någon form av garanti för säkerheten när det gäller detta samtidigt som man inte vill riskera för mycket om någon skulle hacka sidan. Det går ju inte att helt garantera att tjänsten inte kommer hackas även om man gör ett bra jobb med säkerheten.

Gäller det en vanlig webbtjänst? I så fall är Personuppgiftslagen tillämplig.

Enligt 31 § Personuppgiftslagen (1998:204)
99% av alla intrång så ställs ingen leverantör till svars eftersom kundregistret inte anses så känsligt. Skulle du känna att just er information är känsligare än normalt så bör du titta på prejudikat.

Vanligt förekommande paragraf i avtal mot kunder i form av användare
Är det mot större partners så bör du nog definiera maxskadestånd för skadan direkt i avtalet.

Det gäller väl alltid om man vill slippa bli obegränsat skadeståndsskyldig?

Okej, tack så mycket.
Men klassas verkligen kundregister och annan information som skulle kunna klassas som företags-/affärshmeligheter som personuppgifter i lagens mening i detta fall?

Är det inte svårt att sätta en rimlig nivå på detta?
Har man en större kund och om man har ett litet företag med relativt låg omsättning krävs det ju inte så stora belopp för att det ska svida rejält och kanske till och med leda till att man gå omkull.
Blir ju väldigt odynamiskt att sätta en fast maxgräns.

Det känns väldigt dumt att avskriva sig allt ansvar också.

Det bästa kanske är att hänvisa till paragraf 31 i Personuppgiftslag (1998:204)
källa: https://lagen.nu/1998:204#P31S1

Jag ska även läsa igenom följande PDF om vad som gäller: http://www.datainspektionen.se/Docum...d-sakerhet.pdf

Hittade detta under definitioner i lagtexten:
De här lagarna gäller väl med andra ord inte information knuten till företag?

korrekt.

Pul är "PERSON uppgifter" endast.
information om företag som inkluderar viss information om firmatecknare, styrelse, direktör osv går inte under pul.

Okej, då börjar vi om :)

Vad finns det för lagstiftning om information knuten till företag?
Vad heter lagen?

Det finns en lag om företagshemligheter exempelvis. Kan du beskriva lite närmare vad det är för slags tjänst du ska sälja?

Titta på avtal 90 för IT-branchorganisationer så ser du.
Den är rätt bra, vi har själva valt att tillämpa den för att slippa strul.

Kanske kan vara något, men jag nog ute efter något lite enklare avtal.
Jag har skrivit ett eget avtal men jag fastnade lite på just detta.

Det handlar om en lite enklare faktureringstjänst. För det kommer jag behöva lagra saker som kundregister och data om ordrar, priser, avtal m.m. för de som använder tjänsten. Det är inget gigantiskt projekt så det behövs inte något jätteavancerat avtal. Jag vill bara veta vad man brukar skriva i ett avtal.
Jag tyckte det som stod i paragraf 31 i Personuppgiftslagen (1998:204) som jag skrev nedan verkar lagom som det skulle gått att tillämpa här. Om man skriver på ett sådant sätt i ett avtal antar jag att det avgörs i domstol vad som är tillräcklig/lämplig nivå på säkerheten om det skulle bli en tvist.
Jag kanske borde tala med en jurist om detta...