Datahantering och GDPR

GDPR reglerar hur personuppgifter ska hanteras och skyddas inom EU. AI-system behandlar ofta stora mängder personuppgifter, vilket kan skapa konflikter med GDPR.

Exempel:

• Bristande transparens. Ett AI-system som används för att analysera kreditrisker kan komma att behandla personuppgifter om inkomst, boende och kredithistorik. Detta kan ses som en kränkning av den personliga integriteten, om inte systemet är tillräckligt transparent och ger individer möjlighet att kontrollera sina personuppgifter och logiken bakom automatiska beslut.
• Underliggande bias. Ett AI-system som exempelvis används för att automatisera beslut om anställning kan komma att diskriminera vissa grupper av människor, då det finns risk att systemet baserar beslut på icke objektiv eller diskrimineringsfri data.
• Aktiverar ansvar. Vidare kan en ny AI-genererad sammanställning utgöra en ny behandling enligt GDPR, och då blir ni som innehavare av sammanställningen personuppgiftsansvarig, och måste följa GDPR. Detta kan innebära att ni exempelvis måste säkerställa att ni har en giltig rättslig grund för er behandling och att de enskildas rättigheter kan beaktas. Vidare måste ni säkerställa att ni inte har samlat mer personuppgifter än vad som är nödvändigt och att dessa är korrekta, vilket givetvis är en utmaning då ursprunget är okänt.

Immaterialrätt och upphovsrätt

AI-system kan även generera text, musik, bilder och andra konstverk som är svåra att skilja från verk skapade av människor.

Denna utveckling har skapat nya utmaningar för immaterialrätten, som traditionellt har fokuserat på verk skapade av människor. De viktigaste utmaningarna är följande:

• Upphovsrättsinnehavare. Vem äger upphovsrätten till ett verk skapat av en AI? Är det utvecklaren av AI-systemet, eller är det den person eller organisation som tillhandahöll data och instruktioner till systemet?
• Kränkningar av upphovsrätten. Kan ett AI-system bryta mot upphovsrätten genom att kopiera material från andra verk? Detta kan vara en fråga om AI-systemet har fått tillgång till upphovsrättsskyddat material utan tillstånd från upphovsrättsinnehavaren.
• Mänsklig inblandning. Hur stor är den mänskliga inblandningen i skapandet av ett verk genererat av en AI? Detta kan vara en viktig faktor för att avgöra vem som är upphovsman till verket.

Exempel:

• Ett företag som utvecklar ett AI-system som genererar musik kan hävda att företaget är upphovsrättsinnehavare till de verk som systemet skapar. Detta beror på att företaget har utvecklat systemet och använt sina egna resurser för att träna det.
• Ett AI-system som används för att generera bilder kan kopiera material från andra verk utan tillstånd från upphovsrättsinnehavaren. Detta kan utgöra en kränkning av upphovsrätten.
• Ett AI-system som används för att generera text kan vara resultatet av ett samarbete mellan en människa och en AI. I det här fallet kan det vara svårt att avgöra vem som äger upphovsrätten till verket.

Ansvarsfrågor

AI-system kan agera oberoende av mänsklig inblandning, vilket kan skapa utmaningar när det gäller ansvarsfrågor.

Exempel:

• Om ett AI-system fattar ett felaktigt beslut som leder till skada, vem är då ansvarig? Är det utvecklaren, användaren, eller AI-systemet självt?
• Om ett AI-system används för att generera falsk information som sprids på sociala medier, vem är då ansvarig för spridningen av denna information?

Ett sätt att hantera detta är att ta in tydliga texter om att materialet är AI-genererat och att man inte kan ta ansvar för detta, utan ska granskas kritiskt. Detta är särskilt viktigt om vi rör oss inom områden där besluten är av stor vikt, såsom inom exempelvis medicin, finans och juridik, men även många andra. Härigenom kan man även göra en ansats i att förtydliga vem som äger informationen och vem som är upphovsman.

Internationell harmonisering

AI är en global teknologi, och lagstiftning varierar mellan länder och regioner. Detta skapar komplexitet för företag och organisationer som vill använda AI på en global skala.

Exempel:

• Ett företag som använder ett AI-system för att analysera data från flera länder kan behöva följa olika lagar och regler.
• En organisation som vill använda ett AI-system för att automatisera beslut kan behöva anpassa sitt system för att följa lokala lagar.

Framtida lagförslag och harmonisering

Användningen av AI har skapat nya juridiska utmaningar som måste hanteras för att skydda individers rättigheter, främja ansvarig användning och främja teknologins utveckling. Dessa utmaningar har inga enkla lösningar. EU har dock tagit ett antal steg för att ta itu med dessa frågor. I juli 2021 antog EU-kommissionen ett förslag till en AI-förordning.

Förordningen syftar till att säkerställa att AI används på ett säkert, etiskt och ansvarsfullt sätt. Förordningen innehåller bestämmelser om datahantering och integritet, ansvarsfrågor, diskriminering och rättvis användning samt internationell harmonisering. Den stora frågan är dock om denna reglering kommer att kunna lösa alla problem uppstår, speciellt med tanke på att man brukar säga att lagstiftningen ligger 10 år efter den tekniska utvecklingen.

Kanske ligger lösningen i att man försöker anpassa existerande lagstiftning genom ett utökat samarbete mellan myndigheter, teknologiföretag och samhället på en global nivå för att på så sätt utveckla en lämplig och hållbar lagstiftningsram för AI-åldern.

Wrap-up

Då den breda tillämpningen av AI som sagt är i sin linda finns det fler frågetecken än svar i dagsläget.

Den stora juridiska utmaningen med AI-genererat material är att den mänskliga faktorn och kontrollen distanseras, och att det härav sker en förflyttning från människa till maskin. I väntan på att lagstiftarens reglering är det därför väldigt viktigt att vara medveten om och försöka minimera riskerna, t.ex. genom att ta fram interna riktlinjer för användning av AI-verktyg i er verksamhet. Ett stort steg i rätt riktning är, enligt vårt tycke, att vara transparent vad det gäller användningen av AI i dess olika former, för det är därigenom vi kan försöka ta kontroll över såväl utformningen och tillämpningen, som över resultaten, av detta kraftfulla verktyg. Om ni är ett av många företag som implementerar och bygger lösningar på olika AI-verktygs (såsom ChatGPT, Google Bard och Microsoft Copilot) öppna API så kan vi guida er i hur ni hanterar riskerna som presenteras ovan. Tveka inte att kontakta oss genom att boka ett möte eller mejla hej@legalworks.se.

Slutligen: texten ovan skulle kunna vara skriven av ett AI-verktyg – eller av Axel Tandberg och David Ericson, LW Advisory. Vågar ni lita på den?

Inlägget Juridiska Utmaningar i AI-eran: En Granskning av GDPR och Immaterialrätt dök först upp på .

DPF bygger på den föregående överföringsmekanismen som fanns mellan EU och USA, Privacy Shield, med några tillägg varav den viktigaste är en möjlighet för EU medborgare att få en ev. bearbetning av dennes personuppgifter av myndigheter och säkerhetstjänster kopplade till USA prövad i en domstolsliknande process. Det sista svarar upp mot ett av de viktigaste kraven som EU domstolen ställde för framtida överföringar till USA i den s.k. Schrems II domen den 16 juli 2020. En dom som tog bort möjligheten att använda sig av Privacy Shield som överföringsmekanism till USA.

Maximilian Schrems har redan sagt, via hans organisation NOYB (None of Your Business), att han kommer att försöka få DPF prövad i EU domstolen, men det är en process som kommer ta ett par år. Fram till dess så kan svenska företag använda sig av företag i USA så länge de har anslutit sig till DPF.

Men, då vi inte vet säkert om DPF kommer att överleva en granskning av EU domstolen kan det vara bra att titta på besluten som IMY publicerade den 3 juli och vad man kom fram till. De fyra berörde företagen var Coop, Dagens Industri (DI), Tele2 och CDON.

IMY inledde sina tillsynsärenden i samband med att fyra anmälningar hade inkommit genom att NOYB samtidigt anmälde 101 webbplatser inom EU till samtliga EUs dataskyddsmyndigheter under hösten 2020 för webbplatsernas fortsatta användning av Google Analytics, med dess överföring av ev. personuppgifter till USA, efter det att Schrems II domen vunnit laga kraft. Aktionen fick till följd att samtliga EU dataskyddsmyndigheter började gemensamt undersöka frågan, vilket ledde till att man inom EDPB (Europas dataskyddsmyndigheter) kom fram till ett gemensamt grundbeslut i frågan.

Det gemensamma grundbeslutet innebär att man från dataskyddmyndigheternas synvinkel ansåg att det inte var i enlighet att GDPR att använda sig av Google Analytics med de EUs standardavtalsklausuler (EU SCC) som grund för överföringen till USA som gällde vid tidpunkten som ligger till grund för anmälan, dvs. den 14 augusti 2020. Detta trots att man från Googles sida anonymiserade de IP-adresser som överfördes till USA direkt vid ankomst. Från EDPBs sida pekade man på att det de facto skett en överföring av personuppgifter till USA och att de extra säkerhetsåtgärder som Google hade gjort vid tillfället för anmälan inte var tillräckliga för att hindra att säkerhetstjänsterna i USA inte skulle kunna komma åt uppgifterna.

Det gemensamma beslutet har ledde till att tre europeiska dataskyddsmyndigheter – Österrike, Frankrike och Italien – publicerade sinatolkningar av beslutet där de uppmanade de inblandade företagen att sluta använda sig av Google Analyticsverktyget man använde sig av.

Det som skiljer IMYs från de som de tre länderna har publicerat är att man i Sverige är först med att lägga till en sanktionsavgift i två av besluten (Tele2 – 13 000 000 SEK och CDON 300 000 Sek respektive). Skälet till att Dagens Industri (DI) och Coop sluppit sanktionsavgifter är följande:

• DI hade använt sig av en anonymiseringstjänst baserat i ett EU-moln som har sett till att inga personuppgifter fördes över via de anmälda kakorna som ingick i tjänsten MEN att man hade missat att en annan kaka skickade över användarens IP-adress i klartext. IMY ansåg att man från DIs sida hade gjort vad man trodde var tillräckligt för att förhindra att en överföring skedde och gav endast DI en reprimand.
  IMY ålägger samtidigt DI att se till att man upphör att använda sig av det Googleanalytics­verktyg som ANVÄNDES den 14 augusti 2020 samt en månad att säkerställa att den andra kakan åtgärdas.
• Coop även här använt sig av en anonymiseringstjänst baserad inom EU via en så skallad Server side tjänst vilken möjliggjorde att man anonymiserade uppgifterna från de anmälda kakorna. Problemet var att man inte gjorde detta med andra kakor, som skickade uppgifter möjliggjorde identifiering av användaren på annat sätt, i klartext direkt till Google i USA. IMY anser även här att man från Coop sida gjort vad man trodde var tillräckligt för att förhindra att en överföring skedde .
  IMY ålägger samtidigt Coop att se till att man upphör att använda sig av det Googleanalytics­verktyg som ANVÄNDES den 14 augusti 2020. Samtidigt ska man tillse att ev. fortsatt användning av Google Analytics ska man tillse att informationen som förs över till USA via verktyget överensstämmer med GDPR.

Låt oss nu titta närmare på det verktyg som bolagen har använt sig av – UA. Ett verktyg som inte längre samlar in information då Google har stängt ned det den 30 juni 2023. I sina beslut trycker IMY på att man uppmanar alla bolagen att sluta använda sig av just det verktyget. Innebär det att det hade varit OK att använda sig av Google Analytics idag har man övergått till GA4?

Jag har pratat med experter inom området när det gäller Google Analytics och generellt så kan man säga att GA4 är ett försök från Google att se till att datan som samlas in görs på ett sätt som blir mer i linje med GDPRs regler. Mycket mer information än tidigare anonymiseras eller maskas (tecken ersätts med ### för att dölja vad som egentligen angavs, en sträng där det exempelvis stod acg436633 blir istället acg###### etc.) Vidare finns det fler parametrar som du som användare kan ställa in för att ytterligare information ska maskas och anonymiseras innan den skickas till Google.

Det är dock tveksamt om det hade räckt om inte EDF hade sjösatts. För tittar vi på Coop och DI besluten så ser vi att de undkom sanktionsavgift då man hade satt upp något som kallas en  Server sIde på en server som är baserad inom EU. Server side är en virtuell server som där man tillser att datan som samlas upp inom EU pseudonymiseras, maskas eller hashas (en metod som innebär att en sträng av data byts helt ut, till exempel skulle vår stäng acg436633 kunna bli 2345kvghty38475. För att kunna återskapa originalinformationen måste du ha tillgång till nyckeln som skapade den) innan den förs över till USA.

Då kvarstår frågan om det hade ansetts vara tillräckligt att man från företag inom EU använder sig av en pseudonymisringsprocess baserad inom EU och skickar över pseudonymiserade uppgifter som innehåller en identifierare som endast det EU baserade företaget kan använda sig av för att återidentifiera användaren. Dvs. företaget ligger inte inom de säkerhetstjänster som återfinns i USA:s jurisdiktion och därför kan man hävda att man inte behöver samarbeta med dem. Företaget får fortfarande den analys av den individ man söker, men man skickar inte över nyckeln till USA vilket gör att informationen är att anse som anonym för exempelvis Google i USA och därmed även de myndigheterna som återfinns där.

Personligen tror jag att detta hade varit tillräckligt då det ligger i linje med med vad EU domstolen kom fram till i SRB vs EDPS domen. SRB vs. EDPS domen är en dom som publicerades av  EUCJs Tribunal (EU domstolens lägre och första instans) publicerade den 26 april 2023, där man slog fast att EDPS (Eus interna dataskyddsmyndighet, att jämföras med IMY) inte kunnat visa att SRBs motpart, Deloitte, hade kunnat identifiera de pseudonymiserde uppgifterna som SRB skickade över. EUCJ Tribunalen ansåg därmed att datan var att anse som anonym när den behandlades av Deloitte.

Sammanfattning

För att sammanfatta en händelserik sommar så kan vi lugnt säga att Svenska företag kan trots IMYs beslut fortsätta använda sig av Google Analytics, men att det kan vara bra att se över hur och vilken information man skickar över i ljuset av IMYs beslut.

Vill du lära dig mer om bl.a. detta eller om dataskydd och GDPR i praktiken kan jag rekommendera att du anmäler dig till höstens kurs av DP Academy som kommer att genomföras den 25 och 26 oktober samt 21 och 22 november.

DP Academy är en gedigen utbildning inom dataskyddsfrågor som vänder sig till dataskyddsombud, dataskyddsexperter, dataskyddssamordnare och personer med liknande roller inom både offentlig och privat sektor. Utbildningen har dataskyddsarbetet och dataskyddsprogrammet i fokus, med praktiska övningar och metodstöd, men man uppmärksammar även dataskyddsombudets specifika ställning. Läs mer på DP Academy

Artikel skriven av Axel Tandberg, Dataskyddsjurist LWA

Kontakt: axel.tandberg@legalworks.se

Inlägget Sommarens stora händelser inom cookies och överföringar av data till USA. dök först upp på .

Du har ju jobbat länge med dataskydd och undervisat i ämnet sedan man skruvade på tonhuvudet (Commodore 64, för den yngre generation). Vad är det vanligaste misstaget inom dataskydd företag gör idag?
Det som de flesta företagen missar är att dokumentera hur man har tänkt och jobbar med frågorna inom organisationen samt att respektera individen. Det är individen som äger uppgifterna, organisationen har den bara till låns.

Är ditt jobb svårt?
Nu kommer jag att svara som den jurist jag är: ja och nej

Ja – då dataskydd och respekt för personuppgifter under en väldigt lång tid innan GDPR var ett eftersatt område som man inte riktigt behövde bry sig om så skapades det många dåliga vanor (det fanns inga riktiga sanktioner.) Det är svårt för många som jobbar med personuppgifter att lära om och förstå vikten av att inte fortsätta som förut.

Nej – När man väl har vänt skeppet så är det lättare.

Självklart kommer det nya utmaningar inom området, men har man basen på plats så är det inte så svårt.

Du är ju numera även kursansvarig för DP Academy. En fyradagars kurs om Dataskydd som samordnas med Forum För Dataskydd. Vilka är det som går kursen?
Kursen är till för de som arbetar med dataskydd/personuppgifter eller är intresserade av dataskydd och vill lära sig mer. Då det är en kurs som är praktiskt inriktad kan alla dra nytta av det man lär sig i sitt dagliga arbete. De som går på kursen är allt från dataskyddsombud, IT-ansvariga till de som precis ar börjat jobba med frågorna. (Läs mer om DP Academy här)

Privacynotice, Privacypolicy, Privacypolicynotice – en gång för alla, vad heter det?
Jag skiljer på Privacy Notice och Privacy Policy.

Privacy Notice (Integritetsskyddspolicy) är den information som vi lämnar ut till de som vi samlar in information från, dvs. individers vars uppgifter vi vill låna där vi beskriver vad vi tänker göra med deras uppgifter.

Privacy Policy är en policy som man tar fram inom organisationen som beskriver hur vi INOM organisationen ska arbeta med personuppgifter. Vad man ska tänka på, var uppgifterna ska sparas, vem som ska få ta del av uppgifterna etc.

En kanske enkel fråga. Får jag ta ett kort på någon man inte känner och publicera det på FB utan att fråga?
Nej, du behöver individens tillåtelse – kom ihåg att det inte är din egendom som du lägger upp, det är den som man ser på bildens.

Hur många gånger om dagen när du är ute och surfar på sidor har du tänkt, det där företaget hade jag kunnat stämma för att dom inte har koll på sina kakor (cookies)?
Fler än jag vill erkänna…

Sist men inte minst så blir ju även dom största företagen stämda hit och dit för olika datahanterings slarv. Man tycker ju Meta, Instagram m.fl borde ha stenkoll. Är det en kalkylerad risk?
Ibland, GDPR är en riskbaserad lagstiftning där din riskaptit är avgörande för de valen du gör. Samtidigt så ska vi komma ihåg att GDPR är en ung lagstiftning som ska se likadan ut inom hela EU vilket är lite speciellt. Tolkningen av texten varierar från land till land och vi håller fortfarande på att jämna ut tolkningarna.

Det är inte det lättaste att veta vilket lands tolkning man ska hålla sig till. Ibland hamnar man fel, men då är det viktigt att man kan visa i sin dokumentation hur man tänkte och därmed agerade på det sätt man gjorde. Oftast kan detta räcka för den dataskyddsmyndighet som kontrollerar, men är det en av de riktigt stora så vill man statuera exempel – för, som jag brukar säga, när elefanterna dansar studsar råttorna med.

Tack Axel!

Kontakt: axel.tandberg@legalworks.se

Inlägget Intervju: Axel Tandberg, dataskyddsjurist LWA dök först upp på .

Under 2022 gällde den tillfälliga stämmolagen som möjliggjorde en mer flexibel hantering av bolagsstämmor i aktiebolag och innebar bland annat:  

• Att aktiebolag kunde genomföra elektroniska bolagsstämmor utan rätt för aktieägare att närvara fysiskt i stämmolokalen, förutsatt att aktieägarna även gavs möjlighet att rösta genom poströstning.   
• Att aktiebolag kunde genomföra bolagsstämmor endast genom poströstning (dvs. utan att ett faktiskt möte hålls).   

Justitiedepartementet arbetar med att ta fram permanenta regler för digitala bolagsstämmor. Till dess att dessa regler har antagits gäller i stället aktiebolagslagen på samma sätt som den gjorde före Corona-pandemin. Bolag som ska hålla årsstämma under våren 2023 bör därför redan nu planera för hur dessa ska genomföras. 

Möjligheter att hålla digitala stämmor under 2023?  

Aktiebolagslagen ger ingen möjlighet att hålla endast digitala bolagsstämmor, eller att hålla stämmor endast genom poströstning.   

Den möjlighet som kvarstår är därmed att hålla så kallad ”hybridstämma”. Hybridstämma innebär att stämman hålls fysiskt på den ort som framgår av bolagsordningen (vanligtvis den ort där styrelsen har sitt säte), men att aktieägarna även ges möjlighet att närvara och rösta digitalt.   

Hybridstämmor kan innebära vissa praktiska problem. Man bör planera inför dessa inför att hybridstämman hålls. Ytterst finns det en risk att stämman behöver ställas in om dessa problem inte kan hanteras. För årsstämmor, som måste hållas inom sex månader från föregående räkenskapsårs slut, rekommenderar vi därför att en ev. hybridstämma hålls i sådan tid före utgången av sexmånadersperioden att styrelsen hinner kalla till en fysisk stämma om hybridstämman behöver ställas in.  

• Närvarokontroll. Om inte stämman beslutar annat har endast aktieägare, ombud och biträden rätt att närvara på stämman. Det är ofta praktiskt omöjligt att säkerställa att ingen annan än aktieägare följer stämman digitalt via ett vanligt mötesverktyg. Man kan därmed överväga att använda ett tekniskt hjälpmedel för identifiering, t.ex. BankID eller användande av engångskoder. Om sådana hjälpmedel inte används bör stämman fatta ett inledande beslut om att utomstående får följa stämman. Om detta förslag röstas ned kan stämman behöva ställas in.   
• Fullmakt för ombud. För aktieägare som deltar elektroniskt genom ombud bör elektroniskt undertecknade stämmofullmakter samlas in, alternativt bör originalfullmakter skickas till bolaget på förhand. Detta eftersom ombudet inte kan presentera en fullmakt i original i stämmolokalen.  
• Omröstning. Vanligtvis sker omröstningen på genom så kallad acklamation, dvs. stämman bekräftar muntligen beslut utan formell omröstning och rösträkning. Om någon aktieägare begär det kan omröstning krävas. Omröstning kan även, om stämman beslutar detta, behöva vara sluten. Vid sluten omröstning har aktieägarna rätt att rösta anonymt, och endast det slutliga utfallet av omröstningen blir tillgängligt för aktieägarna. En sluten omröstning behöver vid en hybridstämma ske genom digitala hjälpmedel. Om en lösning för sluten omröstning inte har förberetts kan stämman behöva ställas in. Vi rekommenderar därför att man inför en hybridstämma tar ställning till hur en eventuell sluten omröstning ska hanteras. Ju fler aktieägare som väntas delta, desto större behov kan finnas av att ha en planerad teknisk lösning för genomförande av sluten omröstning.   
• Tillhandahållande av handlingar. På en bolagsstämma ska vissa handlingar normalt hållas tillgängliga för aktieägarna i stämmolokalen. Vid en hybridstämma rekommenderar vi att dessa handlingar antingen hålls tillgängliga för nedladdning av deltagarna, eller skickas elektroniskt till dessa i samband med stämman.    

Hur kan du göra för att underlätta hanteringen av bolagsstämmor?  

De tillfälliga reglerna för bolagsstämmor som gällt under Corona-pandemin har varit uppskattade av många bolag som har uppfattat reglerna som en betydande förenkling av administrationen av bolagsstämmor.   

Vissa av de frågor som reglerats i den tillfälliga stämmolagen kan aktiebolag välja att reglera i bolagsordningen. De möjligheter som finns att tillgå är:  

• Att i bolagsordningen tillåta utomståendes närvaro vid stämman (eller att ge styrelsen mandat att besluta om att utomstående får närvara).    
• Att i bolagsordningen tillåta att aktieägarna kan förhandsrösta via post. Notera att en fysisk stämma eller hybridstämma måste hållas även om förhandsröster insamlas.  
• Att i bolagsordningen införa krav på att aktieägare anmäler deltagande till stämman, och även anmäler antalet biträden, för att ha rätt att närvara på stämman.   

Bolagsordningen kan endast ändras genom beslut på bolagsstämma. De aktiebolag som önskar införa ovan nämnda reglering i bolagsordningen kan därför med fördel göra detta på nästa bolagsstämma.   

Tekniska hjälpmedel  

Det finns ett antal tekniska hjälpmedel för att underlätta hanteringen av hybridstämmor och hantera de komplikationer som sådana kan medföra. Ta gärna kontakt med oss på LWA för att påbörja planeringen inför 2023 års stämma!  

Här är våra tips! 

• Hybridstämma funkar bra om man är en mindre grupp aktieägare – är man fler än 20-30 aktieägare får man ta hjälp av en systemlösning. 
• Uppdatera bolagsordningen för att underlätta för framtida hybridstämmor. 
• Om det finns risk att någon aktieägare har invändningar, se till att hålla stämman senast den sista maj (vid kalenderårsbokslut). 

Vi bevakar Justitiedepartementets arbete med att ta fram permanenta regler för digitala stämmor och återkommer när ett sådant regelverk finns på plats. 

Inlägget DIGITALA BOLAGSSTÄMMOR OCH POSTRÖSTNING – VAD GÄLLER FÖR 2023? dök först upp på .

– Det stämmer! Jag har haft turen att hälsa på en god vän från Kitchwafolket i Sarayaku, en urfolksby i ecuadorianska Amazonas. Det har varit en otroligt unik och själsberikande upplevelse och jag kunde inte ha haft en bättre uppladdning inför min nystart. 

Från kanotsafari bland krokodiler till bryggkaffe och mellanmjölk. Vad saknade du mest när du var borta?

– För att vara helt ärlig: inte mycket! Kanske var jag inte borta tillräckligt länge för att hinna sakna något från min vardag. Men jag måste erkänna att medan vi stod där en morgon och knådade havregryn i en skål med vatten i hopp om att skapa en något så när dräglig kopia av havremjölken jag brukar hälla i kaffet, så var det nog just smaken av min gamla vanliga kopp morgonkaffe jag saknade mest.

Vad ser du mest fram emot med LegalWorks-resan?

– LegalWorks befinner sig i en otroligt spännande period just nu utvecklingsmässigt som ska bli väldigt spännande att följa och bidra till. Bakom namnet döljer sig ett gäng härliga visionärer (läs: mina nya kollegor) och att få vara med på resan och ändra sättet på vilket juridik levereras kommer bli otroligt kul. Sen ska jag få utveckla vårt affärsområde PlanetWorks, rådgivning riktad till impact- och klimatpositiva bolag, vilket jag ser mycket fram emot.

Om vi gräver lite djupare inom juridiken då. Vem av skådespelarna tittar inte mot kameran på omslaget till ”A few good men”?

A. Tom Cruise

B. Jack Nicholson

C. Demi Moore

– Där satte du mig på pottkanten! Magkänslan säger Jack? (Rätt svar C, men nära)

Har du någon morgonrutin?

– Jag dricker citronvatten. Morgonen är också den tid på dygnet jag föredrar att träna eller röra kroppen på (typ ta en promenad). Det går dock sådär under vinterhalvåret, så vi kan kalla det för min sommarmorgonrutin.

Vi har ju förmånen att ha “onsdagsgodis” på jobbet och varje gång jag har kommit dit så är dom små kexchokladen slut. Skyldig?

– Ja, utom rimligt tvivel

– Guilty as charged!

Inlägget Vi sätter vår egen Paulina Tokarikova i kanoten med ett gäng relevanta frågor! dök först upp på .

Då skulle s.k. dropshipping kunna vara den affärsmodell som får er att våga ta steget. I denna fjärde, och sista, del av vår e-handelsartikelserie tittar vi på dropshipping och de legala förutsättningarna för att lyckas.

Vad är dropshipping?

Dropshipping är ännu inte så utbrett i Sverige, men betydligt vanligare i andra länder såsom USA och Kina, både för e-handlare och leverantörer. Dropshipping går i korthet ut på att det är leverantören som tar över ansvaret för lagerhållning och logistik, men du som återförsäljare kan även lämna ifrån dig ansvaret för kundtjänst, reklamationsärenden och administration. I gengäld är den potentiella vinsten möjligen lägre, då det vanligaste upplägget är att ni som återförsäljare får en provision på de produkter som ni sålt. Å andra sidan så kan ni anpassa er verksamhet helt efter efterfrågan och ni slipper riskera att ha tagit på er en för stor kostym. Med rätt eftertanke och planering av inriktning och omfattningen av dropshipping, kan detta dock vara ett lönsamt och intressant alternativ till traditionell e-handel.

Lika viktigt som att planera strategi för dropshipping är att ni har kontroll på juridiken, så att inte ni möts av mindre trevliga överraskningar. Här bjuder vi på några tips som kan vara bra att ha i åtanke.

1. Skriv avtal med leverantören. Det är viktigt att ni känner att leverantören möter era förväntningar. Denne kommer ju att hantera era kunder. Säkerställ att garantier, returer, transportvillkor, support och service sker på sådana villkor som ni önskar. Hur ska exempelvis en reklamation ske och vem betalar frakten?

2. Dessutom får du tänka på att ångerrätt och konsumenträttsliga regler kanske inte är bekanta för leverantören. Detta behöver i så fall förtydligas i ert avtal.

3. Sedan är det viktigt att ni klargör hur kunduppgifterna (personuppgifterna) hanteras. Tänk på att kunduppgifterna kanske överförs till leverantören för att både köp och leverans ska kunna genomföras. Dataskyddsförordningen – GDPR – reglerar hur personuppgifter, dvs era kunders uppgifter, får hanteras och överföras till andra länder. Om inte GDPR följs riskeras både stora sanktionsavgifter, men även badwill. Det är ett krav att reglera detta med leverantören i ett avtal.

4. Om ni i er webbshop erbjuder varor från flera leverantörer, skulle detta kunna medföra att ett köp innehåller varor som ska levereras från olika leverantörer. Detta innebär olika leveransvillkor för kunden, vilket är viktigt att tydliggöra.

5. Tänk på att den prissättningen av ett köp slutligen kan bero på olika transportkostnader, men även på tullar och valutavariationer.

6. Tänk även på att använda er av rätt bilder i webbshopen, och att i avtalet med leverantören säkerställa att de bilder som ni får är fria att användas som ni vill. Vissa leverantörer kan lätt integreras i din webbshop för att underlätta detta.

7. Säkerställ att era skyldigheter gentemot kunden, exempelvis enligt avtal och konsumentskyddslagstiftning, inte går längre än de krav som ni kan ställa på leverantören/erna. Annars finns det risk att ni ändå tvingas fullgöra åtaganden mot era kunder, utan rätt till kompensation från leverantören.

Sammanfattningsvis innebär dropshipping en fantastisk potential för er som inte vill eller har möjlighet att sätta in en stor summa för att bygga och husera ett lager. För att lyckas är det dock viktigt att ni noga planerar upplägg, men även är noga med ansvarsfördelningen och avtal (både mot kunder och leverantörer) från början. Skriv ett tydligt avtal, och var säker på att ni förstår vad som gäller.

Av: David Ericson, LW Advisory

Vi på LW Advisory har samlad expertis av all slags avtalsrätt, och hjälper dig gärna framåt. Kontakta oss här för ett förutsättningslöst möte för att ta nästa steg i att expandera din webbshop.

Inlägget Dropshipping – e-handelns magiska lösning? dök först upp på .

Den snabba utvecklingen av digitala vårdtjänster har medfört svårigheter att tolka hur lagstiftningen på hälso- och vårdområdet ska kunna tillämpas på detta relativt nya område. Nya aktörer inom digitala vårdtjänster tillkommer ständigt och befintliga aktörer ändrar inriktning, innehåll och organisation. Detta innebär att nya frågor har dykt upp vad avser vem som har ansvar för vården som tillhandahålls.

Under 2019 har den nationella tillsynen delats in i två delar som löper parallellt där den ena delen av tillsynen granskar primärvårdsverksamheter. De digitala primärvårdsverksamheter som ingår i tillsynen är både privata och regiondrivna och av varierande storlek. Målet är att tillsynen omfattar så stor del som möjligt av den digitala primärvården. Den andra delen av tillsynen granskar aktörer som tillhandahåller digitala vårdtjänster, men där vårdgivaransvaret är oklart eller där IVO bedömer att det finns annan anledning att granska verksamheterna.

De övergripande frågeställningar tillsynen ska utgå ifrån är:

• Bedriver digitala vårdgivare inom primärvården ett systematiskt kvalitets- och patientsäkerhetsarbete som leder till att patienter får en god och säker vård?
• Är vårdgivaransvaret tydligt för de aktörer som bedriver digitala vårdtjänster?

Den nationella tillsynen av digitala vårdtjänster kommer att pågå fram till 2020 och förhoppningsvis kommer IVO kunna bidra med viss vägledning till nya och befintliga aktörer inom området, eftersom det finns stort behov av tydliga regler. Första avrapporteringen är att vänta under hösten 2019.

Läs gärna LWA:s artikel om vårdgivaransvar för e-hälsobolag, eller kontakta oss om du vill veta mer.

Inlägget IVO granskar e-hälsa – vad innebär detta för dig som aktör inom branschen? dök först upp på .

Teckningsoptioner har varit den dominerande lösningen, men modellen kräver att den anställde betalar marknadsvärde för optionerna för att undvika förmånsbeskattning. Personaloptioner har tidigare varit högbeskattade men i och med de nya reglerna för kvalificerade personaloptioner kan man som arbetsgivare ge bort optioner utan att den anställde blir föremål för förmånsskattning samt att arbetsgivaren inte behöver betala arbetsgivaravgifter. Förutsättningen för att kunna ta del av skattelättnaderna är att man uppfyller de kriterier som lagen uppställer på bolaget som ska ge ut optionerna, personaloptionsprogrammet och den anställde som får optionerna.

LWA har kartlagt hur tecknings-, personal-, respektive kvalificerade personaloptioner (undantagsregeln) fungerar samt de för- och nackdelar som gäller för alternativen.

Läs den fullständiga artikeln här eller kontakta oss på optionsautomaten@legalworks.se.

Inlägget Optioner för startups – teckningsoptioner eller personaloptioner? dök först upp på .

Har ni utvecklat en digital plattform/app och är osäkra på om ni måste anmäla er som vårdgivare? Reglerna är snåriga och gränsdragningen är inte enkel. I denna artikel följer en initial vägledning för att bedöma om ni tillhandahåller hälso- och sjukvård – och om så är fallet – är ni vårdgivare eller Experterna? Ett tydliggörande framförs även av det ansvar som följer av att vara vårdgivare.

Hälso- och sjukvård, sjukvårdsrådgivning eller sjukvårdsupplysning?

I hälso- och sjukvårdslagen kan man utläsa att sjukvård avser ”åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter samt omhändertagande av avlidna”. Det är en väldigt vid definition och för att avgöra om din plattform/app tillhandahåller hälso- och sjukvård är det viktigt att utgå från användarens perspektiv. Tillhandahåller plattformen/appen endast övningar som vem som helst kan ta del av utan att behöva skapa ett konto, identifiera sig eller betala för detta, rör det sig med stor sannolikhet inte om sjukvård utan snarare sjukvårdsupplysning och/eller sjukvårdsrådgivning. För att inte användare av plattformen/appen ska förväxla denna typ av tillhandahållande med sjukvård är det viktigt att ni tydligt förmedlar att informationen endast avser upplysning eller rådgivning och att användare som är i behov av sjukvård kontaktar en vårdgivare.

Tillhandahåller ni däremot en plattform/app med möjlighet att boka tid med exempelvis ansluten läkare för att få reda på vad smärta i magen beror på är det utredning och behandling av sjukdom i enlighet med hälso- och sjukvårdslagen som det rör sig om och anses därför vara hälso- och sjukvård.

Hälso- och sjukvård i lagens mening utförs av viss personal, nämligen:

1. den som har legitimation för ett yrke inom hälso- och sjukvården,
2. personal som är verksam vid sjukhus och andra vårdinrättningar och som medverkar i hälso- och sjukvård av patienter,
3. den som i annat fall vid hälso- och sjukvård av patienter biträder en legitimerad yrkesutövare,
4. apotekspersonal som tillverkar eller expedierar läkemedel eller lämnar råd och upplysningar,
5. personal vid Giftinformationscentralen som lämnar råd och upplysningar, och
6. personal vid larmcentral och sjukvårdsrådgivning som förmedlar hjälp eller lämnar råd och upplysningar till vårdsökande.

Hälso- och sjukvårdspersonal har ett ansvar att utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. Vidare bär hälso- och sjukvårdspersonal själv ansvaret för hur denne fullgör sina arbetsuppgifter. Det är väldigt lätt att hälso- och sjukvårdspersonal som yttrar sig i sin roll uppfattas som att tillhandahålla hälso- och sjukvård även om det är inom angränsande områden som normalt inte anses vara vård om någan annan icke-legitmierad personal utför verksamheten. Denna gränsdragning är således inte självklar om hälso- och sjukvårdspersonal utför t ex friskvård och coachning. Det krävs då en helhetsbedömning och särskilt ur användarens perspektiv.

Vad innebär det att vara vårdgivare?

Som vårdgivare står ni under Inspektionen för vård och omsorgs (IVO) tillsyn. Detta innebär att ni måste registrera er som vårdgivare till IVO:s vårdgivarregister. Med det följer ett långtgående vårdgivaransvar där ni har skyldighet att:

• Följa specifika regelverk såsom hälso- och sjukvårdslagen, patientdatalagen och patientsäkerhetslagen.
• Följa de regler och föreskrifter som Socialstyrelsen tar fram.
• Teckna en patientförsäkring innan verksamheten drar igång.
• Anmälningsplikt vid allvarliga och negativa händelser med medicintekniska produkter till Läkemedelsverket och eller IVO.
• Tillhandahålla ”god och säker vård”.
• Utse ett dataskyddsombud i enlighet med dataskyddsförordningen (GDPR).

Som vårdgivaren ansvarar ni vidare för:

• Verksamheten och patientsäkerheten.
• Att verksamheten har ett ledningssystem som ska anpassas efter verksamhetens inriktning och omfattning. Det ska innehålla de processer och rutiner som behövs för att verksamheten ska hålla hög kvalitet.
• Planera, leda och kontrollera verksamheten så att kraven på god hälso- och sjukvård upprätthålls.
• Arbeta förebyggande för att minska risken för att patienter drabbas av vårdskador.
• Utreda händelser som medfört vårdskada eller kunde gjort det.
• Anmäla händelser som medfört eller kan medföra en allvarlig vårdskada till IVO.
• Informera patienter som drabbats av vårdskada.
• Dokumentera hur det organisatoriska ansvaret för patientsäkerhetsarbetet är fördelat inom verksamheten och årligen upprätta en patientsäkerhetsberättelse.
• Ha dokumenterade processer och rutiner för journalföringen och behandling av personuppgifter. Det ska också finnas regler för vem som till exempel är behörig att dokumentera och läsa eller på annat sätt hantera uppgifterna. Ha systematisk logguppföljning, vilket betyder att ni ska logga aktiviteter i systemen där patientinformation behandlas.

Är ni vårdgivare?

Ansvaret som vårdgivare är som kan utläsas ovan långtgående. Om ni kommit fram till att det är hälso- och sjukvård ni tillhandahåller är nästa steg att avgöra vem som är vårdgivare – är det ni som plattform eller är det de som faktiskt utför vården?  Sammanför ni vårdgivare med patienter är ni bara att anse som en förmedlare på en delningsplattform. Då är det istället vårdgivarna sjäva som ska leva upp till kraven. Huruvida ni är en vårdgivare eller en delningsplattform avgörs av flera faktorer där en sammantagen bedömning göras från fall till fall. Följande indikerar dock på att ni är att anse som vårdgivare:

1. Ni bestämmer priset för tjänsten samt att betalning sker till er från patienten där det i fakturan inte nämns någon annan leverantör än er (dvs. den som tillhandahållit vården).
2. Ni bestämmer villkoren för tjänsten.
3. Legitimerad hälso- och sjukvårdspersonal driver bolaget.
4. Ni äger tillgångarna som behövs för verksamheten, såsom journalsystem.
5. Ni har en aktiv roll eller kontroll över patientens personuppgifter via plattformen/appen.
6. Det föreligger ett anställningsförhållande mellan er och Experterna.

Motsatta förhållanden talar för att ni istället betraktas som en delningsplattform där istället Experten har vårdgivaransvaret. Det är viktigt att tydligt kommunicera för användarna vem det är som är vårdgivare.

Delningsplattform

En digital plattform som endast förmedlar vårdtjänster mellan patient och vårdgivare är typiskt sett att anse som en tillhandahållare av värdtjänster och hålls inte ansvarig som vårdgivare. En sådan plattform kallas enligt EU:s direktiv om elektronisk handel för ”delningsplattform”. Detta undantag från vårdgivaransvar gäller för verksamhet som enbart är av teknisk, automatisk och passiv natur. Detta är fallet om ni har kopplat ihop er plattform med olika Experter där Experterna är registrerade som vårdgivare i IVO:s vårdgivarregister, har tecknat en patientförsäkring samt att det tydligt framgår gentemot patienten att det är Experterna som är vårdgivare och inte ni.

Det är således patienten man vill skydda och möjligheten för dem att rikta sig mot rätt person för det fall det uppstår exempelvis en vårdskada. Det är dessa registrerade Experter som bär vårdgivaransvaret. Som delningsplattform har ni ändock ett ansvar att agera om ni får kännedom om att Experterna inte följer de lagar och föreskrifter som finns på hälso- och sjukvårdsområdet. Det är således viktigt att ni upprättar avtal med Experterna där det framgår att förutsättningen för samarbetet är att Experterna tillhandahåller god vård i enlighet med de lagar och föreskrifter som finns.

Pågående tillsyn av IVO

Utifrån en omfattande riskanalys så har IVO prioriterat sex riskområden som IVO kommer att arbeta särskilt med i nationellt samordnade tillsynsinsatser under 2018-2020. Ett av dessa riskområden är nätbaserade vårdtjänster och välfärdsteknik. Riskerna avser kortfattat följande: Risk för ökad förskrivning av läkemedel, hur handledning säkerhetsställs, svårare att diagnostisera utan fysiskt möte, problem med informationsöverföring, risker vid identitetskontroll av barn, utökad användning av välfärdsteknik, utmaningar med kompetensförsörjning, att digitala lösningarna på särskilda boenden kan bli tvingande eller begränsande för den enskilde på ett sätt som inte är tillåtet.

Som i ett led av ovanstående har IVO gjort en tillsyn av KRY (beslut 2018-08-29). KRY är anmälda som vårdgivare (experter är anställa) och har således ansvar att bland annat bedöma vilka processer och rutiner som behövs för att säkerhetsställa att verksamheten uppfyller de krav och mål som gäller enligt lagar och föreskrifter. Vårdgivarens ledningssystem ska användas för att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. IVO kom fram till att KRY har ett fungerande ledningssystem och bedriver systematiskt kvalitets- och patientsäkerhetsarbete som är känt av medarbetarna.

Sammanfattning

Gränsdragningen mellan vårdgivare och delningsplattform är viktig eftersom tvingande lagstiftning påför ett långtgående vårdgivaransvar på den aktör som de facto är att anse som vårdgivare. Bedömningen sker från fall till fall med en avvägning av flera olika faktorer. Mot bakgrund av ovanstående är den främsta indikatorn att ni är vårdgivare och inte Experterna, patientens perspektiv och dennes upplevelse vid användningen av plattformen/appen. Det är således avgörande att vara tydlig med den information som läggs upp på plattformen/appen samt i de allmänna villkoren m.m. att det är bokad Expert som är vårdgivare och till den som patienten ska vända sig till. Det är även viktigt att det tydligt framgår i avtalen med Experterna. Tillhandahållande av nätbaserade vårdtjänster är dock ett relativt nytt område med knapp vägledning som dessutom är under utredning. Beroende på IVO:s tillsyn framöver kan det framkomma andra kriterier vid bedömningen som kan verka som vägledning.

Resultatet av att inte anmäla sig som vårdgivare, trots att man är det, kan detta bli föremål för IVO:s tillsyn vilket givetvis innebär en negativ exponering mot marknaden och förtroendet för verksamheten.

Det är alltså viktigt att tidigt i utvecklingsprocessen göra sin analys om vilken roll man ska ha – vårdgivare eller delningsplattform – eftersom det har avgörande betydelse på hur tjänsten ska utformas. Kontakta oss gärna för vidare rådgivning inom ämnet.

Inlägget E-hälsobolag – vårdgivare eller endast förmedlare? dök först upp på .