Övertagande av någons inloggningskonto

Har blivit utsatt för en knivig situation på jobbet som jag tänkte att någon med lite insikt i IT-juridik kanske kunde ha något att dela med sig om.

Det är nämligen såhär, en medarbetare har nyligen sagt upp sig från företaget jag arbetar på. Medarbetaren hade tillgång till ett konto på en hemsida där vi lägger upp information till en myndighet angående vårat arbete.

När medarbetaren sade upp sig gjordes detta i och med en konflikt med VD:n på företaget. Jag tog beslutet att ta över detta inlogg på myndighetens hemsida för att säkerställa att medarbetaren inte skulle kunna logga in och förstöra något för företaget.

Jag har försökt forskat i om kontona på denna hemsida är personliga eller ej. Har ringt myndigheten men endast fått till svar att dom kommer ta tag i fallet när "tid finns".

Själva registreringen på hemsidan är väldigt enkel. De ända uppgifter man anger är:
Användarnamn
Lösenord
Telefonnummer
E-postadress

Man godkänner inget form av användaravtal eller får någon annan information av hemsidan när man registrerar sig. Beträffande detta fall så har ett användarnamn används i form av medarbetarens namn, ett telefonnummer tillhörande företaget samt en e-postadress tillhörande företaget.

Medarbetaren har blivit ursinnig på grund av detta och har hotat med en polisanmälan.

Jag tror att jag fått med alla detaljer och att det inte blev alltför rörigt.

Hade hemsidan direkt med hemsidan att göra, eller var det en tredje part?

Tänk på det som t.ex. Ica. En anställd på Ica får en login för att kunna uppdatera sortimentet osv, för att man ska se på deras hemsida om en produkt finns i lagret. Om en anställd då säger upp sig eller får sparken, så är det högst olämpligt att personen får bevara sin login till Icas administration.

Det är likadant på ditt/hens företag - om det är "Företagets" egen hemsida, d.v.s. inte en tredje part som t.ex. Dropbox eller dyl.

Inloggningskontot är på en tredje part. Det är alltså ett inlogg på myndighetens hemsida.

Det tillhör alltså inte företaget direkt? För då är det ett giltigt fall för en polisanmälan.

Jo men det jag har hängt upp mig på är att de finns inget som kopplar kontot till någon personligen. Hade man behövt skriva in personnummer eller liknande när man registrerade kontot hade jag helt varit med på notorna. Men som sagt är det ända man behöver ange vid registrering:

Användarnamn
Lösenord
Telefonnummer
E-postadress

Det går ju i alla fall att konstatera att myndigheten har bristfälliga rutiner va de gäller detta vilket kan resultera i stora bekymmer för företag vid fall likt detta..

I sådana här fall är det ju bra att företag sätter upp en IT-policy som anställda får godkänna vad som gäller när man slutar.

Om det handlar om företagets konversation med myndigheten i fråga låter det rätt glasklart om att det inte rört sig om något personligt. Alltså att myndigheten kommer tro att det är företaget som fortsatt konverserar där. Det telefonnummer och den e-postadress som är reggat där är ju också företagets egendom.

Det bör kanske tilläggas att konversationen mycket väl kan vara personlig så till vida att kontot är skapat till den före detta anställde i egenskap av representant för företaget. Om jag var ansvarig för att administrera kontona eller den mottagna informationen skulle jag gå i taket om jag fick reda på att det avsändande företaget inte håller reda på sina anställdas förehavanden på kontona och omedebart rapportera uppåt så att mina chefer kan riva upp avtalen med ifrågavarande företag.

Så det finns rimligen en hel mängd avtal som reglerar hur det ska regleras. Och det kan ju förstås röra sig om uppenbart opersonliga konton. Användarnamnet brukar vara en ledtråd tex "KallePersson_org-nummer" kontra "personalansvarig_foretag1"

Det beror ju på vad det är för myndighet och vad slags konto det handlar om.

Skatteverket fungerar t ex med en personlig inloggning där företaget hos skatteverket registrerar en fullmakt att det personliga kontot får företräda bolaget. I det fallet är det ju solklart att fullmakten ska dras in och inte kontot tas över.

På andra myndigheter som t ex försäkringskassan eller SCB (där man rapporterar in t ex sjukintyg och föräldraledigheter, eller företagets omsättning, lager och konjunkturinformation) har företaget ett konto som ägs av företaget och företaget väljer vem som får använda det, normalt ekonomi- eller personalsansvarig. Då kan den som haft förtroendet knappast komma och säga något i efterhand då ingen del av användningen kan anses användas för privata ändamål eller personliga kontakter.

Spontant låter det som att dem förre anställde inte varit inloggad som privatperson, utan som företrädare för företaget.

När anställningen upphör har han.givetvis inte längre någon behörighet att logga in på ett konto som är företagets.