Internet of Things – Juridisk reglering

juridik internet of things

Internet of Things: de juridiska frågorna som ditt företag bör hantera 

Fler objekt blir inbäddade med sensorer och får förmågan att kommunicera. Dessa informationsnätverk kan skapa nya affärsmodeller, förbättra affärsprocesser och minska företags kostnader och risker. Eftersom många företag är verksamma inom internet of things branschen, beskriver vi här de olika juridiska frågor som dessa företag måste ta hänsyn till.

Internet of Things (IoT) ställer existerande branscher och affärsmodeller på ända genom de oanade möjligheter till förhöjd effektivitet och uppföljning integrerade kommunikationsnät innebär. Gartner förutser att i slutet av 2015 kommer fler än 6,4 miljarder web-enabled enheter vara sammankopplade som en del av internet of things, en ökning med 30 % 2015. Ytterligare 2,5 miljoner nya enheter kommer att kopplas upp varje dag.

Internet of Things vad är det?

IoT eller Internet of Things är ett samlingsbegrepp för vardagliga och fysiska så kallade ”smarta” enheter som är uppkopplade till internet (och i sin tur till varandra). Poängen är att kunder och slutanvändare på olika sätt kan kontrollera och interagera med dessa smarta enheter.

När man talar om Internet of Things kan det handla om smarta lampor, termostater, juicepressar eller olika wearables (enheter som kan bäras t. ex. smarta klockor eller puls/hälsoband).

Begreppet Industrial Internet of Things (IIoT) syftar på uppkopplade enheter som effektiviserar supply chain management där förutsättningar för logistik kontrolleras i realtid från långa distanser.

Integritet, säkerhet och andra juridiska utmaningar

Att smarta enheter rör sig enkelt över nationsgränser och i realtid kan spåra och undersöka personers beteenden eller logistikkedjors rörelser innebär nya juridiska utmaningar. Det är därför inte lätt att tillämpa gällande lagar på den stora variation på IOT enheter som finns på marknaden.

De två mest framträdande juridiska problemen som diskuteras beträffande IoTs är integritets- och datasäkerhet för de smarta enheterna. Det kan handla om allt från att hackare gör intrång i ett användarnätverk i smart hem eller logistikkedja och kontrollerar enheter på distans, till otillåtet intrång och stöd av personuppgifter.

Frågan om integritet för IOT enheter är komplex och kommer att behandlas i ett separat inlägg. För mer information, se gärna IOT rekommendationer från EU:s dataskyddsexperter Artikel 29 gruppen här.

Olika regleringar i olika länder

I USA publicerade att FTC (Federal Trade Commission i USA) 2015 en IoT Rapport, som lyfter fram tre fokusområden med rekommendationer till företag som utvecklar eller designar IoT enheter:

  • Datasäkerhet: IoT företag ska se till att deras enheter är fysiskt säkra.
  • Samtycke till datainsamling: IoT företag ska se till att användare kan välja vilken data som delas och notifiera vid dataintrång.
  • Minimeringsprincicen: Inte samla in mer data än de behöver.

Det ställer naturligtvis till det att regleringar är olika för IoTs världen över. Vilken ökar kostnaderna för företag. Ska dock nämnas att FTC (Federal Trade Commission i USA) nyckelrekommendationer är ändå i samklang med europeiskt synsätt.

Vems är ansvaret för en felaktig enhet?

När smarta enheter blir fler och fler, så blir det svårt att utreda vem som står ansvarig för när en IoT-enhet är inblandad i en skada.

Om en självkörande bil accelererar för fort och orsakar en trafikolycka på E4, är det komplicerat att avgöra vem som är ansvarig.

Varje aktör i tillverkningsledet – från det kundinriktade IoT företaget i Sverige, till tillverkaren av hårdvaruenheten (som kan vara lokaliserad i Kina), sensor designern (som kan vara lokaliserad i USA), mjukvaruutvecklaren (som kan vara lokaliserad i Sverige), molntjänstleverantören som hostar användarens data (som kan vara lokaliserad i USA) och den lokala internettjänstleverantören – kommer att kraftsamla för att granska villkoren i deras respektive avtal och kommer att försöka skjuta över ”skulden” på nästa part i ansvarskedjan.

Komplicerade ägarfrågor av data

Att olika smarta enheter kan samla in, bearbeta, använda och lagra data gör så att enheten fungerar och kan skapa stora ekonomiska värden om mönster kan utläsas om användning.

Ett IoT företag har stora möjligheter att samla in data från sina enheter och använda det på olika sätt, från att använda datan som underlag för precis direktmarknadsföring till särskilt avsedda användare till att bestämma företagets egna strategiska riktning.

Från ett juridisk perspektiv blir det komplext att utreda vem som äger datan, i ett scenario där ett IIoT system använder ett stort antal sammankopplade smarta enheter från olika tillverkare som delar användares data mellan sig.
I ett B2C Internet of Things scenario kommer lampan (som också är en rörelsesensor), termostaten, stereon (som också är en ljud sensor) och hemlarmet kanske dela information emellan sig för att fungera som avsett.Även när det handlar om B2B och enklare logistikkedja där ”bara” två parter deltar är ägandefrågan komplex.

Samlar IoT företaget datan på ett strukturerat sätt i form av en databas kan det uppnå upphovsrättsligt skydd via katalogskyddet 49 § Upphovsrättslagen. Denna bestämmelse ställer upp krav på att databasen ska innehålla ett stort antal uppgifter eller vara resultatet av en väsentlig investering. Just ”väsentlig investering” är en del av implementeringen av av den kommande dataskyddsförordningen i EU, och ska ses som att det både kan handla om en kvantitets eller en kvalitetsbestämning av investeringens väsentlighet.

Äganderätten till data regleras i det avtal som det kundinriktade IoT företaget erbjuder till sina kunder.

Företagshemligheter

I ett IIoT scenario där en hel logistikkedja kopplas upp, övervakas, spåras och utvärderas, är det lätt att tänka sig att information som samlas in om andra parter i en logistikkedja kan anses utgöra företagshemligheter.

I 1 §  lagen om företagshemligheter ställer upp tre olika rekvisit. Informationen ska handla om affärs- driftsförhållanden, informationen ska hållas hemlig, röjande ämnat att medföra skada för näringsidkaren. Informationen får dock inte vara tillgänglig för envar som kan ha intresse av att ta del av den. Den kan till och med anses som hemlig när den sprids utanför ett företag, men får inte vara allmän och okontrollerad. ”För att bibehålla sin status som hemlig får informationen således inte spridas utanför en krets som åtminstone i princip är identifierbara och sluten.

Om en näringsidkare genom ett licensavtal, samarbetsavtal, konsultavtal eller liknande tar emot annans företagshemlighet ska denna ses som en gemensam företagshemlighet. Detta blir ett skydd för de parter som är uppkopplade genom IoT tjänsten. Lagstiftaren vill inte att en tredjepart som avslöjar en företagshemlighet ska kunna gömma sig bakom att det inte var dennes avtalsparts hemlighet utan rörde en part i en annan del av logistikkedjan.

Nätneutralitet och uppkoppling

Nätneutralitet som koncept handlar om att regeringar och internetleverantörer ska behandla data lika oavsett användarens position, vad användaren kvalificeras som, vilken enhet som används, eller vilken websida som besöks.

Eftersom antalet smarta enheter ökar hela tiden som använder samma bandbredd på internet finns en risk för att IoT användare kan kommer behöva betala ett premium pris om inte stora satsningar görs i internet infrastruktur, annars kan nätet komma att överbelastas.

Konkurrerande Immateriella rättigheter

Om IoT-leverantörer ser till att just deras enheter endast är kompatibla med sina egna produkter så begränsas användarmöjligheterna för IoT-enheter. Konkurrensmål kan komma att resas av konkurrenter och myndigheter.

Det finns en stor patentaktivitet inom IoT som syftar till att skydda wearables, som kontaktlinser som drivs av solenergi, och till och med vissa specifika handgester.

IoT företag som designar IoT lösningar ska noggrant överväga hur de kan skydda dess immateriella rättigheter så att inte företaget gör intrång i annans rättigheter.

Automatiserade kontrakt

IoT kan innebära att olika enheter sluter avtal med varandra. Ta exemplet ett smart kylskåp känner av att det börjat bli slut på mjölk och beställer då mjölk från en närliggande matvarubutik via deras hemsida, med förinställda användaruppgifter och betalinformation.

Det är inte klart vilka principer av svensk avtalsrätt som skulle gälla ett avtal som två smarta enheter sluter utan mänsklig input.

Hur skulle detta te sig i ljuset av svensk avtalsrätt? Enligt svensk avtalsrätt är det möjligt att ställa in återkommande beställningar av varor och tjänster som en person redan har köpt över internet, men det är inte helt klart vilka principer av konsument eller köprätten som skulle vara tillämplig på ett avtal som sluts mellan två enheter utan mänsklig input.

Vad kan ett IoT företag göra?

Vår erfarenhet av tidigare teknikskiften visar att när en teknik får sitt genombrott och lagen inte är anpassad för nya affärsmodeller stor uppmärksamhet från lagstiftare och media följer.

Förståeligt är att många IoT företag har ett visst motstånd mot att följa de riktlinjer som finns och göra egenkontroll särskilt när riktlinjerna för egenkontroll är vaga och kan innebära att företaget förlorar sin konkurrensfördel.

Nu är det ett gyllene tillfälle för IoT företag att planera och anpassa sina produkter och tjänster till de riktlinjer som håller på att formas. En smidig anpassning till tvingande regler kommer möjliggöra för dessa företag att differentiera sig från konkurrenterna och positionera sig som företaget som upprätthåller kundernas förtroende.

Se till att ni som IoT leverantör har anpassade avtal för:

  • Tillverkning av hårdvaran
  • Utveckling av programvaran
  • Kundavtal med kund och slutkund, där kundens användning av hårdvara, mjukvara, prenumerationslösning för tjänst, insamling av data etc. regleras.
  • Molntjänstleverantörsavtal med tillräckliga säkerhets och personuppgiftsbiträdesregleringar

Se även över er insamling och hantering av personuppgifter. För mer information om best practice se vårt tidigare inlägg här.

 

Juridiskvägledning.se är en blogg med serie av inlägg om internetjuridik och startupjuridik som tillhandahålls av affärsjuridiska byrån Sharp Cookie Advisors, vars juridiska tech team rådger ledande internetföretag och startups.

För att veta mer om Sharp Cookie Advisors, eller om du behöver hjälp att tillvarata din rätt som leverantör eller kund av IoT lösningar, klicka här.

, , , ,
  • Share on:

Sofia Edvardsen

Sofia Edvardsen är grundare av den affärsjuridiska byrån Sharp Cookie Advisors och är en erfaren affärsjurist inom internetjuridik och digitala affärer.

Leave a Comment

Your email address will not be published. Required fields are marked *

*