Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Storlek: px
Starta visningen från sidan:

Download "Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter"

Transkript

1 KONSEKVENSUTREDNING Datum Vår referens Dnr: (35) Nätsäkerhetsavdelningen Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter Post- och telestyrelsen (PTS) avser att med stöd av 34 a-b förordningen (2003:396) om elektronisk kommunikation utfärda föreskrifter om skyddsåtgärder. PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning. Redogörelse för uppskattning av kostnader, se bilaga 1. Förslag till föreskrifter och allmänna råd bifogas, se bilaga 2. Post- och telestyrelsen Postadress: Besöksadress: Telefon: Box 5398 Valhallavägen 117 Telefax: Stockholm

2 Innehåll 2(35) 1 Inledning Beskrivning av problemet och vad som ska uppnås Alternativ till föreslagna föreskrifter och allmänna råd Avvakta med att ta fram föreskrifter och allmänna råd Endast utfärda allmänna råd Detaljerade krav på hur i stället för teknikneutrala krav på vad PTS bedömning av det mest lämpliga regleringsalternativet Aktörer som berörs av regleringen Berörd bransch, kategori av företag Antal företag som berörs och storlek på företagen Föreskrifternas innehåll Inledning Kostnadsmässiga och andra konsekvenser av de föreslagna kraven Övergripande säkerhetsarbete Identifiering av informationstillgångar, riskanalys och skyddsåtgärder Åtkomst- och behörighetshantering Loggning Skydd mot oavsiktlig utplåning och förlust Kryptering Integritetsincidenter Sammanställda kostnader för kraven i föreskrifterna och de allmänna råden Påverkan på konkurrensförhållandena för företagen Övrigt... 26

3 4.1 Regleringens överensstämmelse med de skyldigheter som följer av Sveriges anslutning till EU (35) 4.2 Behovet av särskilda hänsyn till små företag Tidpunkten för ikraftträdande, övergångsbestämmelser och behovet av speciella informationsinsatser Avslutning Underrättelse för anmälan till Europeiska kommissionen Kontaktpersoner Bilaga Beräkning av kostnader för föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter... 29

4 1 Inledning 4(35) Post- och telestyrelsen (PTS) är en central förvaltningsmyndighet och är den myndighet som bevakar området för elektronisk kommunikation i Sverige. I 6 kap. 3 lagen (2003:389) om elektronisk kommunikation (LEK) finns en regel som avser att säkerställa att den som tillhandahåller elektroniska kommunikationsnät och -tjänster bedriver verksamheten så att de uppgifter som behandlas i samband med tillhandahållandet av tjänsterna skyddas. Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder, med beaktande av tillgänglig teknik och kostnaderna för åtgärderna, som är ägnade att säkerställa en säkerhetsnivå som är anpassad till risken för integritetsincidenter. Enligt 6 kap. 4 b LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster löpande föra en förteckning över integritetsincidenter. Enligt 34 a förordning (2003:396) om elektronisk kommunikation (FEK) får PTS utfärda föreskrifter om skyddsåtgärder enligt 6 kap. 3 LEK. Enligt 34 b andra stycket FEK får PTS också meddela föreskrifter om innehållet i en sådan förteckning över integritetsincidenter som avses i 6 kap. 4 b LEK. Syftet med nu föreslagna föreskrifter och allmänna råd är att säkerställa en hög nivå av integritetsskydd vid tillhandahållande av elektroniska kommunikationsnät och tjänster. Föreskrifterna ska vidare skapa förutsägbarhet och tydlighet kring reglerna samt avseende när och hur PTS kommer att bedriva tillsyn på området. 1.1 Beskrivning av problemet och vad som ska uppnås Den svenska marknaden för elektronisk kommunikation karaktäriseras av en ökad konkurrens och snabb teknikutveckling, vilket lett till ett brett och diversifierat utbud av tjänster. Inom sektorn finns i dag drygt 400 tillhandahållare av elektroniska kommunikationstjänster, allt från stora multinationella företag med stort tjänsteutbud till mindre operatörer, som erbjuder en begränsad mängd tjänster inom ett begränsat geografiskt område. Många funktioner i samhället är idag beroende av elektroniska kommunikationsnät och -tjänster. Privatpersoner och företag förlitar sig i allt större utsträckning på fungerande internetuppkoppling och telefonitjänster m.m. Drivkrafterna bakom det ökade beroendet av pålitlig elektronisk kommunikation är bland annat satsningar på e-tjänster inom offentlig och privat sektor, förändrad mediekonsumtion, framväxten av ip-tv-tjänster, utökad användning av molntjänster. Ett ökat användande av elektroniska kommunikationsnät och -tjänster ställer högre krav på integritetsområdet. Integritetsincidenter utgör ett potentiellt hot mot tilltron till elektroniska kommunikationstjänster, vilket kan få allvarliga och långtgående konsekvenser. Information som är viktig att skydda är bland annat

5 personuppgifter, trafikuppgifter, inloggningsuppgifter och affärshemligheter. En incident kan bero på bristande rutiner eller otillåten hantering av uppgifter hos en aktör eller genom yttre påverkan. När en sådan incident inträffar är det viktigt att titta på effekten av incidenten. 5(35) Den grundläggande regleringen om skydd av de uppgifter som behandlas i samband med tillhandahållandet av elektroniska kommunikationstjänster återfinns som ovan nämnts i 6 kap. 3 LEK, som lyder: Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om skyddsåtgärder enligt första stycket. De skyddsåtgärder som avses i denna bestämmelse gäller i huvudsak de uppgifter som behövs för att avtalsförhållandet mellan leverantören och kunden kan fullgöras. De åtgärder som ska vidtas enligt bestämmelsen ska säkerställa ett tillräckligt skydd för all behandling av uppgifter vid tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster och allmänna kommunikationsnät. Genom 6 kap. 3 LEK har artikel 4 i e-komdataskyddsdirektivet (2002/58/EG) genomförts i svensk rätt med krav på nationella säkerhetsåtgärder i samband med tillhandahållande av elektroniska kommunikationstjänster och behandling av uppgifter. För att elektroniska kommunikationsnät ska fungera och tilliten till dem bibehållas krävs att tillhandahållarna av elektroniska kommunikationstjänster vidtar åtgärder för att säkerställa nätens säkerhet. Bestämmelsen är väsentligen oförändrad sedan LEK trädde i kraft Dock hänvisas sedan 2011 i första stycket sista meningen till risken för integritetsincidenter, ett begrepp som infördes i lagen tillsammans med en skyldighet för den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster att underrätta PTS om sådana incidenter (enligt 6 kap. 4 a LEK). Bemyndigandet för PTS att meddela föreskrifter i 6 kap. 3 andra stycket LEK infördes också i Till skyldigheten att rapportera integritetsincidenter infördes 2011 också en skyldighet att löpande föra en förteckning över sådana incidenter enligt 6 kap. 4 b LEK, som lyder: Den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster ska löpande föra en förteckning över integritetsincidenter.

6 Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om innehållet i en sådan förteckning. 6(35) Sedan 1 april 2012 finns detaljerade regler om rapportering av integritetsincidenter. 1 Denna nyligen införda skyldighet att underrätta PTS om inträffade integritetsincidenter, har en nära relation till bestämmelsen om tekniska och organisatoriska skyddsåtgärder i 6 kap. 3 LEK. Begreppet integritetsincident hänvisar till vissa oavsiktliga eller otillåtna förfaranden vars innebörd ska förstås mot bakgrund av skyldigheten att vidta skyddsåtgärder. Det finns således ett behov av att tydliggöra kraven på sådana åtgärder. PTS har i sitt arbete med att se över vilka åtgärder som bör omfattas av föreskrifterna utgått från olika standarder för informationssäkerhet som exempelvis ISO serien samt motsvarande integritetsskyddsreglering såväl nationellt som internationellt. I samband med framtagandet av förslaget till föreskrifter och allmänna råd har PTS bjudit in ett antal aktörer till en referensgrupp samt haft såväl gemensamma som enskilda möten där den tänkta regleringen har diskuterats. PTS har också genomfört möten med Datainspektionen. I den här konsekvensutredningen beskrivs förslaget till PTS föreskrifter och allmänna råd om skyddsåtgärder till skydd för uppgifter som behandlas i samband med tillhandahållande av en allmänt tillgänglig elektronisk kommunikationstjänst. Förslaget omfattar även en bestämmelse om innehållet i operatörens förteckning över integritetsincidenter, en bestämmelse som motsvarar 10 och 4 i PTS föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i förteckning över integritetsincidenter (PTSFS 2012:1). Dessa föreskrifter ska upphävas eftersom EU-kommissionen beslutat om en förordning 2 som reglerar rapporteringen av integritetsincidenter. Kommissionens förordning omfattar dock inte utformningen av tjänstetillhandahållarens förteckning över integritetsincidenter. PTS anser att det är angeläget att även fortsättningsvis reglera denna fråga. Som konstaterats ovan har det ökade behovet av elektroniska kommunikationer i Sverige lett till ökade krav på integritetsområdet och skydd av uppgifter vid tillhandahållande av en allmänt tillgänglig elektronisk kommunikationstjänst. Syftet med kraven i föreskrifterna och de allmänna råden är att precisera och förtydliga regeln i 6 kap. 3 LEK samt etablera en hög nivå av integritetsskydd för slutanvändaren, vilket bidrar till en hög tillit till elektroniska kommunikationstjänster. Det har fram till nu inte varit tydligt vad som avses med lämpliga tekniska och organisatoriska åtgärder och vilka konkreta krav 1 Sedan den 25 augusti 2013 gäller Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation. Innan dess tillämpades PTS föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i förteckning över integritetsincidenter (PTSFS 2012:1). 2 Kommissionens förordning (EU) 611/2013 av den 24 juni 2013 som trädde i kraft den 25 augusti 2013.

7 som ställs enligt 6 kap. 3 LEK. PTS avser nu att genom föreskrifter och allmänna råd ställa specifika krav på de aktörer som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst. PTS bedömer att tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster i stor utsträckning bedriver ett grundläggande säkerhetsarbete redan idag och de föreskrivna föreskrifterna och allmänna råden tydliggör därmed till viss del redan etablerade förhållanden på marknaden. PTS bedömer dock att tjänstetillhandahållarnas säkerhetsarbete i vissa avseenden behöver stärkas, bland annat avseende vad gäller dokumentation och incidenthantering. 7(35) PTS har valt att avgränsa kretsen av berörda som ska omfattas av den föreslagna regleringen mot bakgrund av att tillhandahållare av allmänna kommunikationsnät i huvudsak har att vidta andra slags skyddsåtgärder. Nätägare omfattas emellertid av den allmänt hållna bestämmelsen i 6 kap. 3 LEK, vilken är direkt tillämplig på dessa aktörer vid en eventuell tillsyn. 1.2 Alternativ till föreslagna föreskrifter och allmänna råd PTS har utvärderat följande alternativ till föreslagna föreskrifter och allmänna råd om skydd för uppgifter som behandlas i samband med tillhandahållande av en allmänt tillgänglig elektronisk kommunikationstjänst enligt 6 kap. 3 LEK: att avvakta med att ta fram föreskrifter och allmänna råd, att endast utfärda allmänna råd, eller att i föreskrifterna ställa tekniskt detaljerade krav på hur tillhandahållare ska uppnå ett visst skydd, istället för, som i föreliggande förslag, neutrala krav på vad som ska uppnås. Nedan redogör PTS för myndighetens bedömning av konsekvenserna av de olika regleringsalternativen. Den föreslagna föreskriften till 6 kap. 4 b LEK, om innehållet i förteckning över integritetsincidenter, är i sak oförändrad, jämfört med den befintliga föreskriften som utfärdades så sent som PTS ser inte någon anledning att ompröva behovet av en föreskrift på det området Avvakta med att ta fram föreskrifter och allmänna råd Ett alternativ som PTS har utvärderat är att tills vidare avvakta med att utfärda föreskrifter och allmänna råd. PTS har redan under 2012 utfärdat föreskrifter med stöd av bestämmelsen i 6 kap. 3 a LEK avseende lagring och annan behandling av uppgifter för brottsbekämpande ändamål (PTSFS 2012:4). Det innebär att det för närvarande finns en reglering avseende de särskilda krav som måste uppfyllas för sådan behandling, utan att motsvarande reglering finns av de grundläggande lämpliga krav som enligt 6 kap. 3 LEK gäller för all behandling av uppgifter i operatörens verksamhet. Enligt PTS mening kan avsaknaden av närmare reglering av de grundläggande kraven enligt 6 kap. 3 LEK försvåra aktörernas

8 möjligheter att bedöma de krav som gäller för de uppgifter som lagras för brottsbekämpande ändamål. 8(35) På motsvarande vis är det vad gäller reglerna om rapportering av integritetsincidenter, nödvändigt för tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster med en norm för säkerhetsarbetet som kan användas vid tolkningen av vad som utgör en integritetsincident. I avsaknad av föreskrifter och allmänna råd saknas en sådan tydlig norm. PTS tillsyn kan i viss mån ensa tillämpningen av reglerna om skydd av behandlade uppgifter och genom praxis skapa vägledande normer. Tillsynsförfarandet kan riskera att dra ut på tiden vilket innebär att det dröjer innan en etablerad praxis har uppnåtts. En fortsatt osäkerhet över hur lagstiftningen ska tolkas innebär även en osäkerhet rörande hur vidtagna skyddsåtgärder ska bedömas och kan medföra onödiga kostnader för aktörerna, genom t.ex. olämpliga investeringsbeslut. PTS bedömer därför att det inte är ett lämpligt alternativ att avvakta med föreskrifter och allmänna råd Endast utfärda allmänna råd När det gäller frågan huruvida det kan anses tillräckligt med endast allmänna råd i stället för föreskrifter och allmänna råd så gör PTS följande bedömning. Kännetecknande för en föreskrift är att den är bindande och generellt gällande. Allmänna råd skiljer sig från föreskrifter genom att de inte är bindande vare sig för myndigheter eller enskilda. Allmänna råd kan t.ex. rekommendera vilka skyddsåtgärder som bör vidtas i vissa situationer men det står ändå den enskilde fritt att välja en annan väg för att nå det önskade resultatet. PTS anser att de skyddsåtgärder för behandlade uppgifter som föreskriftsförslaget omfattar är nödvändiga för att säkerställa ett tillräckligt skydd enligt 6 kap. 3 LEK. Det är fråga om krav på grundläggande åtgärder för att åstadkomma en god informationssäkerhet och det finns, enligt PTS mening, inte några alternativa åtgärder som kan ge samma effekt. Kraven är därtill utformade på ett sådant sätt att de i vissa delar ger utrymme för tjänstetillhandahållarna att göra egna bedömningar av lämpliga åtgärder, inom ramen för ett föreskrivet krav. Kraven bör därför regleras i föreskriftsform. I de allmänna råden, som kompletterar föreskrifterna, rekommenderar PTS lämpliga sätt att närmare uppfylla de krav som framgår av föreskrifterna Detaljerade krav på hur i stället för teknikneutrala krav på vad När det gäller utformningen av de aktuella föreskrifterna finns möjligheten att ställa tekniskt detaljerade krav utifrån funktioner, system och arkitektur. Ett par exempel på sådana krav skulle kunna vara att föreskriva vilken typ av krypteringsteknik med en viss nyckellängd som ska användas eller att de utrymmen där utrustningen ska förvaras ska vara försedda med mekaniska inbrottsskydd som uppfyller krav enligt en viss norm. Fördelen med denna typ av mer detaljerade krav är att det är relativt lätt att kontrollera huruvida kraven efterlevs eller inte. Det skapar också god förutsebarhet och minimerar risken

9 för att berörda aktörer gör felaktiga investeringar till följd av felaktiga tolkningar av kraven. 9(35) Samtidigt innebär mer detaljerade krav att föreskrifterna kan behöva ändras oftare i takt med den tekniska utvecklingen. Ytterligare en svårighet med mer detaljerade krav är att föreskrifterna blir svårare att tillämpa på verksamheter av vitt skilda typer, både vad gäller verksamheternas inriktning men också verksamhetsutövarnas storlek. Det är till exempel inte säkert att samma tekniska lösning är lämplig i såväl en verksamhet med ett fåtal anställda där alla finns på ett driftsställe, som i en verksamhet med tusentals anställda spridda över flera länder. Ytterligare ett skäl att inte ha alltför detaljerade föreskrifter, är att de som bedriver verksamheten normalt sett har de bästa förutsättningarna att hitta de lämpligaste och mest kostnadseffektiva lösningarna själva inom de ramar som fastställts i föreskrifterna. Det skulle således bli betydligt dyrare för tjänstetillhandahållarna med detaljerade krav på hur i stället för vad PTS bedömning av det mest lämpliga regleringsalternativet Sammanfattningsvis anser PTS att det är angeläget att utfärda regler om skyddsåtgärder för behandlade uppgifter. Det är fråga om grundläggande krav för att upprätthålla det nödvändiga skyddet och dessa bör därför regleras i föreskriftsform med kompletterande allmänna råd. För att säkerställa teknikneutralitet och skalbarhet är det lämpligt att utforma regler som beskriver vad som ska uppnås, snarare än tekniskt detaljerade regler som beskriver hur detta ska uppnås. PTS anser att det är nödvändigt att meddela de föreslagna föreskrifterna och allmänna råden till 6 kap. 3 LEK.

10 2 Aktörer som berörs av regleringen 10(35) 2.1 Berörd bransch, kategori av företag 1 Dessa föreskrifter och allmänna råd innehåller bestämmelser om lämpliga tekniska och organisatoriska skyddsåtgärder som den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst ska vidta enligt 6 kap. 3 lagen (2003:389) om elektronisk kommunikation. Föreskrifterna innehåller även bestämmelser om innehållet i en förteckning över integritetsincidenter enligt 6 kap. 4 b samma lag. Av 6 kap. 3 LEK framgår att den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst omfattas av skyldigheten att vidta lämpliga tekniska och organisatoriska skyddsåtgärder. Den som omfattas av skyldigheten enligt föreslagna föreskrifter och allmänna råd att vidta åtgärder benämns tjänstetillhandahållare. Föreskrifterna reglerar endast skyldigheter för tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster och inte tillhandahållare av allmänna kommunikationsnät, jämför ovan avsnitt 1.1. Föreskrifterna omfattar alltså inte de tillhandahållare av allmänna kommunikationsnät som inte också tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster. Föreskrifterna kan dock vara vägledande för de åtgärder som dessa aktörer är skyldiga att vidta enligt 6 kap. 3 första stycket andra meningen LEK. 2.2 Antal företag som berörs och storlek på företagen Drygt 500 olika organisationer har anmält till PTS att de tillhandahåller verksamhet som är anmälningspliktig enligt 2 kap. 1 LEK. Av dessa tillhandahåller drygt 400 allmänt tillgängliga elektroniska kommunikationstjänster. Marknaden för elektronisk kommunikation består av tjänsteleverantörer som inbördes visar upp stora skillnader i sina verksamheter. Även storleken på tjänsteleverantörernas verksamhet varierar stort. Det finns företag som har miljontals kunder och tusentals anställda med en verksamhet inte bara i Sverige utan även i andra länder. Samtidigt finns till exempel stadsnät och specialiserade tjänsteleverantörer med endast ett fåtal anställda som har något hundratal abonnenter och som endast verkar på lokal nivå. När det gäller marknadsandelar kan man dock konstatera att de fyra största tjänsteleverantörerna har ungefär 90 procent av det totala antalet abonnenter på fasta samtalstjänster respektive 97,5 procent av det totala antalet abonnenter på mobiltelefoni. När det gäller internetanslutningar har de fem största tjänsteleverantörerna sammantaget omkring 90 procent av abonnenterna. Huvuddelen av abonnenterna återfinns således hos ett relativt litet antal tjänsteleverantörer. Det innebär samtidigt att en stor andel av de företag som berörs av den föreslagna regleringen är små och medelstora.

11 Med utgångspunkt från totala slutkundsintäkter för alla elektroniska kommunikationstjänster 3 framgår att 5 aktörer innehar över 3 % vardera (sammanlagt drygt 86 % av marknaden), 23 aktörer innehar mer än 0,1 % men mindre än 3 % vardera och resterande aktörer innehar mindre än 0,1 % vardera av den totala marknaden. Som utgångspunkt för bedömningen av de administrativa kostnader som uppstår som en följd av dessa föreskrifter och allmänna råd används dessa grupper som stora (större än 3 %), medelstora (mindre än 3 % men större än 0,1 %) och små aktörer (mindre än 0,1 %). 11(35) 3 Enligt PTS rapport Svensk Telemarknad 2012, PTS-ER-2013:15.

12 3 Föreskrifternas innehåll 12(35) 3.1 Inledning Föreskrifterna och de allmänna råden innehåller krav på skyddsåtgärder som är nödvändiga för att säkerställa ett tillräckligt skydd av de uppgifter som behandlas i samband med tillhandahållandet av elektroniska kommunikationstjänster. Kraven omfattar grundläggande organisatoriska åtgärder men föreskriver även en metod för att fastställa de specifika kraven för verksamhetens informationstillgångar inom ett antal viktiga områden. Genomgående syftar kraven till att säkerställa att tjänstetillhandahållarna bedriver ett långsiktigt, kontinuerligt och systematiskt säkerhetsarbete. 2 I dessa föreskrifter och allmänna råd avses med Behandlade uppgifter: uppgifter som behandlas i samband med tillhandahållande av tjänsten enligt 6 kap. 3 lagen (2003:389) om elektronisk kommunikation. Informationstillgångar: system, databaser, fysiska tillgångar som används för informationsbehandling. Integritetshot: möjlig händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till behandlade uppgifter. Tjänstetillhandahållare: aktör som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster. För att underlätta förståelsen redogörs i 2 av de föreslagna föreskrifterna vad som i dessa föreskrifter och allmänna råd avses med tjänstetillhandahållare, jämför ovan avsnitt 2.1, samt ytterligare tre definitioner. De lämpliga skyddsåtgärderna ska vidtas till skydd för behandlade uppgifter som behandlas i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster; exempelvis trafikuppgifter, abonnemangsuppgifter och innehållet i elektroniska meddelanden. Med informationstillgångar avses system, databaser och fysiska tillgångar som används för informationsbehandling; exempelvis kundadministrativa system och nätelement i mobila nät som HLR/VLR 4. Dessa tillgångar ska skyddas mot integritetshot, vilket innefattar en möjlig händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till behandlade uppgifter. 4 HLR står för Home location register och VLR står för Visitor location register.

13 3.2 Kostnadsmässiga och andra konsekvenser av de föreslagna kraven Nedan beskrivs de enskilda kraven och PTS bedömning av dess konsekvenser för berörda företag. 13(35) En mer detaljerad redogörelse för PTS uppskattning av engångs- och löpande årliga administrativa kostnader återfinns i bilaga 1. Där återfinns även en förklaring till hur uppskattningarna har gjorts. Kostnadsberäkningarna bygger på en kombination av kostnaderna för åtgärder enligt föreskrifter, uttolkade i enlighet med allmänna råd. Utrymmet för alternativa åtgärder enligt de allmänna råden bedöms inte påverka kostnadsberäkningarna i någon större utsträckning. De allmänna råden är inte kravställande utan de är utformade som förtydliganden till föreslagna specifika krav i föreskrifterna. De allmänna råden medför därför inte i sig några kostnader Övergripande säkerhetsarbete 3 Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska bedrivas långsiktigt, kontinuerligt och systematiskt. I säkerhetsarbetet ska det finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning för säkerhetsarbetet ska dokumenteras. Det är viktigt att tjänstetillhandahållare som hanterar och bearbetar behandlade uppgifter kan säkerställa att uppgifterna skyddas på ett lämpligt sätt för att kunna leva upp till 6 kap. 3 LEK samt att en hög skyddsnivå bidrar till en hög tillit till elektroniska kommunikationstjänster. Allmänt gäller att ju känsligare uppgifterna är desto mer omfattande behöver säkerhetsåtgärderna vara. Kravet på ett systematiskt säkerhetsarbete syftar till att minimera risken för otillåtna eller onödiga ingrepp i abonnenters och användares personliga integritet och att maximera verksamhetens förmåga att hantera de incidenter som trots allt inträffar. De åtgärder som avses är såväl tekniska som organisatoriska. Grundläggande när det gäller informationssäkerhetsarbete i en organisation är en tydlig ansvarsfördelning, administrativa rutiner och övergripande krav på ITinfrastruktur. Säkerhetsarbetet ska innefatta åtgärder för att skydda behandlade uppgifter mot identifierade hot och att minimera risker. Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättra dessa åtgärder. Till stöd för att kunna bedriva ett systematiskt säkerhetsarbete finns flera verktyg i form av t.ex. olika standarder i ISO/IEC serien. Såvitt PTS känner till, arbetar merparten av tjänstetillhandahållarna aktivt med säkerhetsfrågor och har en organisation på plats med särskilt utpekade roller och ansvariga. PTS utgår från att en säkerhetsorganisation inte behöver inrättas från grunden. Beroende på hur väl utvecklade respektive aktörs säkerhetsorganisationer är i dagsläget föranleder kravet nödvändiga justeringar. PTS bedömer dock att utan krav på ett systematiskt säkerhetsarbete kan inte en rimlig grundläggande nivå av säkerhet uppnås och upprätthållas på lång sikt.

14 Kravet på dokumentation är en förutsättning för att möjliggöra uppföljning av införda säkerhetsåtgärder både för tjänstetillhandahållaren och för PTS i egenskap av tillsynsmyndighet. 14(35) Kostnaderna avser därför den dokumentation som kraven i föreskrifterna medför och behovet av att hålla det samman för att kunna bedriva ett långsiktigt, systematiskt och kontinuerligt säkerhetsarbete. Vi bedömer därför de tillkommande administrativa kostnaderna till en engångskostnad om ca 17,7 miljoner kronor och årliga kostnader om ca 4 miljoner kronor. För detaljerade beräkningar och uppskattningar se bilaga 1. PTS bedömer att nyttan överväger kostnaderna då detta krav bidrar till en hög grundläggande skyddsnivå samt för med sig en hög tillit till elektroniska kommunikationstjänster Identifiering av informationstillgångar, riskanalys och skyddsåtgärder 4 Tjänstetillhandahållaren ska identifiera informationstillgångar där behandlade uppgifter förekommer och föra en förteckning över dessa. Tjänstetillhandahållaren ska i sitt säkerhetsarbete årligen och vid behov följa upp att förteckningen är aktuell. Tjänstetillhandahållaren ska analysera riskerna för att integritetshot inträffar för de identifierade informationstillgångarna. Riskanalyserna ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska vidta de skyddsåtgärder som föreskrivs i 6-9 liksom andra nödvändiga skyddsåtgärder, på den nivå som är lämplig för att hantera de identifierade riskerna. Vidtagna skyddsåtgärder liksom tjänstetillhandahållarens bedömningar av lämplig nivå ska dokumenteras och följas upp årligen och vid behov. Allmänt råd Tjänstetillhandahållarens vidtagna skyddsåtgärder bör följa etablerade standarder, normer och praxis. En grundläggande förutsättning för att tjänstetillhandahållarna ska kunna vidta lämpliga åtgärder, upprätthålla en hög skyddsnivå och följa upp säkerhetsarbetet är att de har en samlad bild över de informationstillgångar där uppgifter behandlas i samband med tillhandahållandet av elektroniska kommunikationstjänster. I den mån detta inte redan finns måste således samtliga informationstillgångar kartläggas. När tillgångarna har identifierats ska en analys och dokumentation göras av tillgångarna samt vilka säkerhetsåtgärder som behöver vidtas. Inom ramen för ett sådant arbete måste tjänstetillhandahållarna analysera de särskilda hot och risker som kan finnas för en enskild tillgång eller för en grupp av tillgångar, för att kunna vidta rätt säkerhetsåtgärder. Omfattningen av skyddet styrs av den riskanalys som ska göras av respektive tillgång. För att leva upp till kravet på lämpliga

15 skyddsåtgärder bör tjänstetillhandahållarnas val av skyddsåtgärder följa för marknaden etablerade standarder, normer och praxis. 15(35) PTS utgår från att tjänstetillhandahållarna redan har dokumenterat sina informationstillgångar, bland annat mot bakgrund av de krav som följer av personuppgiftslagen (1998:204), PuL. Redan av det generella krav som finns i 6 kap. 3 LEK följer också att rutiner, processer och viss dokumentation ska finnas. PTS bedömer att det stora flertalet tillhandahållare arbetar med riskanalys, framförallt utifrån ett kommersiellt perspektiv. Dokumentationen av tillgångar och riskanalyser är dock sannolikt inte samlad. Det krav som nu ställs i föreslagna föreskrifter är att vissa särskilt utpekade skyddsåtgärder (6-9 ) ska vidtas men därutöver ska tjänstetillhandahållarnas riskanalyser visa vilka ytterligare skyddsåtgärder samt vilken nivå som krävs för att leva upp till kravet på lämpliga skyddsåtgärder till skydd för behandlade uppgifter. Den föreslagna bestämmelsen medför därför ett visst arbete för tjänstetillhandahållarna att skapa en dokumenterad helhetsbild över säkerhetsarbetet och arbeta med utökade riskanalyser jämfört med idag samt hålla förteckning och riskanalyser uppdaterade mot bakgrund av föreslagna krav. En fördel med att låta en riskanalys avgöra nivån på åtgärderna och vad som ska anses vara en lämplig skyddsåtgärd i det enskilda fallet är att tjänstetillhandahållarna i största möjliga utsträckning kan ta hänsyn till den egna verksamhetens förutsättningar. Därvid får hänsyn tas till tillgänglig teknik och kostnaderna för att genomföra åtgärderna i den specifika verksamheten vilket leder till de lämpligaste och mest kostnadseffektiva investeringsbesluten eller åtgärderna. PTS bedömer de tillkommande administrativa engångskostnaderna till ca 15 miljoner kronor och därtill ca 7,4 miljoner kronor årligen. För detaljerade beräkningar och uppskattningar hänvisas till bilaga 1. PTS bedömer att nyttan överstiger kostnaden då detta krav på ett arbetssätt innefattande utökade riskanalyser tillsammans med en samlad dokumentation ger de bästa förutsättningarna för ett långsiktigt, kontinuerligt och systematiskt säkerhetsarbete som är effektivt och kostnadsmedvetet Åtkomst- och behörighetshantering 5 Tjänstetillhandahållaren ska säkerställa att åtkomst till behandlade uppgifter endast ges till den som 1. behöver det för att utföra sina arbetsuppgifter, 2. har relevant utbildning med hänsyn till de uppgifter denne hanterar och 3. har upplysts om tystnadsplikten i 6 kap lag (2003:289) om elektronisk kommunikation.

16 16(35) Allmänt råd En relevant utbildning bör innehålla information om: när och hur behandlade uppgifter får hanteras, tänkbara konsekvenser av en inträffad integritetsincident för abonnenter och användare, tecken på att en integritetsincident har inträffat, hur rapportering av integritetsincidenter ska ske och hur uppföljning av integritetsincidenter sker i organisationen. För att tjänstetillhandahållaren ska kunna säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas i enlighet med 6 kap. 3 LEK och för att förhindra obehörig användning eller åtkomst ska det finnas regler för åtkomst- och behörighetshantering. Den nu föreslagna bestämmelsen innehåller den grundläggande principen att enbart personal, medarbetare eller uppdragstagare som behöver det i sitt arbete får ges tillgång till behandlade uppgifter. De som har behov av de behandlade uppgifterna i sitt arbete ska vidare ha tillräcklig kunskap för att upprätthålla skyddet för de uppgifter de hanterar varför det ställs krav på relevant utbildning för att få hantera uppgifterna och kunna upprätthålla skyddet för uppgifterna. De som ges tillgång ska därutöver ha upplysts om den tystnadsplikt som gäller. PTS bedömer att merparten av aktörerna arbetar med åtkomst- och behörighetshantering. Kostnadsuppskattningen baserar sig på tiden för att ta fram utbildningsmaterial och rutiner för utbildning. PTS bedömer tillkommande administrativa kostnader till engångskostnader om ca 7,8 miljoner kronor, för detaljerade beräkningar och uppskattningar se bilaga 1. Nyttan av kravet i 5 bedöms överväga kostnaderna då bestämmelsen syftar till att maximera skyddet för behandlade uppgifter samt minimera risken för integritetsincidenter i den egna verksamheten. Därtill bedömer PTS att det tillkommer icke-administrativa kostnader för skyddsåtgärder i syfte att förhindra obehörig användning eller åtkomst däribland hålla utbildningsmaterial uppdaterat och fortlöpande utbilda sin personal, främst kundtjänstpersonal, men även andra anställda och uppdragstagare som butiksanställda, partners och entreprenörer. För små operatörer bedöms detta arbete innebära ytterligare 20 timmar årligen, för medelstora operatörer ytterligare 100 timmar årligen och för stora operatörer bedöms detta arbete innebära 400 timmar per år.

17 17(35) 6 Tjänstetillhandahållaren ska tilldela behörighet i enlighet med vad som föreskrivs i 5. Tjänstetillhandahållaren ska ha dokumenterade rutiner för tilldelning, ändring och uppföljning av behörigheter. Uppföljning av tilldelade behörigheter ska ske årligen. Tjänstetillhandahållaren ska ha system för identitets- och åtkomsthantering som säkerställer att åtkomst endast medges i enlighet med tilldelade behörigheter. För att minimera riskerna för till exempel otillåten åtkomst till behandlade uppgifter är det viktigt att genom behörighetsstyrning begränsa åtkomsten till uppgifterna. Enbart den som har behov av uppgifterna för att fullgöra sina arbetsuppgifter ska få åtkomst. PTS bedömer att det stora flertalet tjänstetillhandahållare sedan tidigare har rutiner och system för att hantera och tilldela behörigheter och i viss utsträckning lever upp till detta krav redan idag. Dock finns anledning att se över rutinerna för behörighetstilldelningen samt regelbundet och vid behov följa upp anställdas behörigheter. Kostnaderna härrör sig till etablering av en rutin för behörighetsadministration, inklusive tillägg, ändring och borttagande av behörigheter. Tillkommande årliga kostnader avser drift och underhåll av system för behörighetshantering. PTS bedömer tillkommande administrativa kostnader om ca 4,4 miljoner kronor i engångskostnader och ca 4,6 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. Nyttan av kravet i 6 bedöms av PTS överväga kostnaderna då detta är nödvändigt inom ramen för ett kontinuerligt och systematiskt säkerhetsarbete och bidrar till ett högt skydd för behandlade uppgifter Loggning 7 Tjänstetillhandahållaren ska dokumentera (logga) all läsning, kopiering, ändring och utplåning av behandlade uppgifter samt åtkomst till de system som används för behandling av sådana uppgifter. Loggning ska ske på ett sådant sätt att det går att se vem som har vidtagit vilken åtgärd med vilka uppgifter och vid vilken tidpunkt. Tjänstetillhandahållaren ska systematiskt och återkommande kontrollera loggarna. Kontrollerna får avgränsas till att omfatta utvalda behandlingar under begränsade tidsperioder, om kostnaderna för kontrollen motiverar en sådan avgränsning. Tjänstetillhandahållaren ska dokumentera genomförda kontroller av loggar. Vid misstanke om att en integritetsincident har inträffat ska relevanta loggar alltid kontrolleras. Tjänstetillhandahållaren ska ha dokumenterade rutiner för kontroll av loggar.

18 18(35) Allmänt råd Kontroll av loggar bör ske med den periodicitet som är lämplig med hänsyn till verksamhetens omfattning, antalet personer med behörighet, hur behörigheterna tilldelas och hur omfattande kontrollen är. Loggning är en förutsättning för att kunna upptäcka integritetsincidenter och utreda vad som hänt. Medarbetarna och den mänskliga faktorn utgör de största riskerna i ett IT-system. Kännedom om att loggning sker kan ha en preventiv effekt vilket kan medföra att färre integritetsincidenter inträffar. Loggningen av behandlade uppgifter ska avse all läsning, kopiering, ändring och utplåning av uppgifter. Även åtkomst till system där behandlade uppgifter finns ska loggas. Det innebär att loggningen även ska omfatta systemadministrativ åtkomst till berörda system, såsom datorer, servrar, nätelement m.m. Tjänstetillhandahållarna bör sträva efter ett system som kontrollerar samtliga loggar för att finna avvikelser från normala användarmönster. Sådan automatiserad kontroll av loggar förekommer inom annan verksamhet där känsliga uppgifter behandlas, till exempel inom sjukvården och hos brottsbekämpande myndigheter. I den dialog PTS har fört med tjänstetillhandahållare i referensgruppen, under utarbetandet av förslaget till föreskrifter och allmänna råd, har tjänstetillhandahållarna framfört att det för närvarande saknas liknande system för automatiserad logguppföljning inom verksamheter som tillhandahåller elektroniska kommunikationstjänster. PTS anser därför inte att det i nuläget är rimligt att kräva att samtliga loggar kontrolleras i sin helhet. Istället ska det vara tillåtet att avgränsa kontrollerna och till exempel genomföra manuella stickprovskontroller. Det bör dock understrykas att sådana kontroller, för att vara effektiva, måste ske regelbundet och på ett systematiskt sätt för att maximera sannolikheten att oegentligheter upptäcks. Utöver den regelbundna uppföljningen av loggar ska relevanta loggar alltid kontrolleras vid misstanke om att en integritetsincident har inträffat. Detta torde redan ingå i rutinerna för hantering av incidenter hos flertalet tjänstetillhandahållare och kravet torde därför inte medföra några väsentliga tillkommande kostnader. PTS har kunnat konstatera att flertalet av tjänstetillhandahållarna har system för loggning men att uppföljning av loggar endast görs i begränsad omfattning. Kostnaderna för det nu aktuella kravet härrör sig till implementering av rutiner för hantering av loggsystem för läsning, ändring och utplåning av behandlade uppgifter samt konfigurering. Tjänstetillhandahållarna ska vidare tillgodose att kapacitet finns för att automatiskt eller manuellt analysera loggar regelbundet och systematiskt samt underhålla och kontrollera sina system. Tjänstetillhandahållaren ska ha dokumenterade rutiner för kontroll av loggarna. PTS bedömer framförallt att administrationen av uppföljningen av loggarna är en kostnadsdrivande faktor.

19 PTS bedömer de tillkommande administrativa kostnaderna till engångskostnader om ca 8,8 miljoner kronor och ca 9,3 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. 19(35) Regelbunden uppföljning av loggarna utgör en viktig del i ett systematiskt, kontinuerligt och långsiktigt säkerhetsarbete. Den kostnad som sådana kontroller medför får, enligt PTS bedömning anses rimlig mot bakgrund av nyttan. Avsaknad av systematisk och återkommande uppföljning förtar mycket av värdet av loggningen och minskar möjligheterna att upptäcka de integritetsincidenter som inträffar i verksamheten Skydd mot oavsiktlig utplåning och förlust 8 Tjänstetillhandahållaren ska vidta åtgärder för att säkerställa att behandlade uppgifter som varaktigt lagras skyddas mot oavsiktlig utplåning eller förlust. Informationstillgångar där behandlade uppgifter varaktigt lagras ska placeras i utrymmen som har skydd mot intrång. Tjänstetillhandahållaren ska ha dokumenterade rutiner för placering av dessa informationstillgångar. Allmänt råd Säkerställande av skydd mot oavsiktlig utplåning eller förlust bör ske genom säkerhetskopiering. Återläsning av säkerhetskopior bör verifieras årligen. Utplåning och förlust av uppgifter kan medföra skada för såväl tjänstetillhandahållaren som berörda abonnenter och användare. Som utgångspunkt bör därför skydd mot integritetsincidenter säkerställas genom säkerhetskopiering men det kan även finnas andra tekniker som ger ett likvärdigt skydd. Säkerhetskopiering har framför allt till syfte att återställa enskilda uppgifter som gått förlorade. I ett kontinuerligt, systematiskt och långsiktigt säkerhetsarbete är det rimligt att möjligheten att återskapa säkerhetskopierade behandlade uppgifter åtminstone verifieras årligen och därtill vid behov. Informationstillgångar där behandlade uppgifter varaktigt lagras ska på lämpligt sätt fysiskt skyddas mot intrång. De aktuella föreskrifterna ställer ett specifikt krav på fysiskt skydd av tillgångarna som har en direkt koppling till att säkerställa skyddet för behandlade uppgifter ur ett integritetsskyddsperspektiv. Andra fysiska skyddsåtgärder som tjänstetillhandahållare kan och bör vidta härrör från ett driftsäkerhetsperspektiv. Rutinerna för placering av informationstillgångarna ska dokumenteras. Kostnaderna härrör sig till införande av skydd för varaktigt lagrade uppgifter och den årliga prövningen av skyddet. PTS bedömer att det stora flertalet tjänstetillhandahållare redan har skydd mot oavsiktlig utplåning eller förlust

20 men att verifiering sannolikt inte sker i den utsträckning som från och med nu kommer att krävas samt att dokumentationen inte är fullgod i dagsläget. 20(35) PTS bedömer de tillkommande administrativa kostnader till engångskostnader om ca 3,6 miljoner kronor och ca 1,9 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. Nyttan bedöms av PTS överväga kostnaderna då detta krav är grundläggande för att skapa bra förutsättningar för att skydda behandlade uppgifter mot oavsiktlig utplåning eller förlust Kryptering 9 Behandlade uppgifter som överförs via internet ska skyddas genom kryptering. Detta gäller inte vid enstaka överföring till berörd abonnent eller användare om denne har samtyckt till att överföringen sker utan kryptering. Kryptering ska ske med en allmänt erkänd krypteringsmetod med tillräcklig nyckellängd. Krypteringsnycklar ska hanteras på ett säkert sätt. Tjänstetillhandahållaren ska ha dokumenterade rutiner för kryptering och hantering av krypteringsnycklar. Syftet med bestämmelsen är att förhindra otillåten åtkomst eller otillåtet avslöjande av behandlade uppgifter som överförs via internet. Sådan överföring kan till exempel ske när tjänstetillhandahållaren erbjuder abonnenter möjlighet att ta del av specificerade räkningar eller göra ändringar i sina abonnemang via en webbtjänst. Det kan även röra sig om åtkomst till abonnentuppgifter som ges till återförsäljare eller entreprenörer via system som tillhandahålls av tjänstetillhandahållaren över internet. Enstaka överföring av behandlade uppgifter kan ske utan kryptering om berörd abonnent eller användare har samtyckt till detta, exempelvis vid förfrågningar hos kundtjänst. Kryptering kan åstadkommas bland annat genom användning av SSL/TLS 5 för åtkomst till webbtjänster eller genom uppkoppling via en så kallad VPNtunnel 6, vilka utgör exempel på allmänt erkända krypteringsmetoder som ska användas. Det sker en ständig utveckling inom området och den allmänna uppfattningen om säkerhetsnivån i en viss krypteringsmetod kan snabbt förändras, om metoder för att kringgå krypteringen uppdagas. PTS anser därför att det inte är lämpligt att närmare specificera vilken krypteringsmetod som ska användas. PTS konstaterar att kryptering redan används av de flesta tjänstetillhandahållarna. De administrativa kostnaderna avser främst de 5 SSL/TLS är en standard som främst används för att krypteringsskydda kommunikationen. 6 VPN står för Virtual Private Network och är en teknik som används för att skapa säkra förbindelser, s.k. tunnlar.

21 dokumenterade rutinerna som behöver tas fram för när kryptering ska användas och administration för säker nyckelhantering. 21(35) PTS bedömer de tillkommande administrativa kostnader till engångskostnader om ca 3,5 miljoner kronor och ca 3,4 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. PTS bedömer att detta krav är motiverat då nyttan klart överväger kostnaderna. Genom kryptering gör man information svårläslig för alla som inte ska kunna läsa den, vilket är nödvändigt när integritetskänsliga uppgifter kommuniceras över ett öppet nät såsom internet Integritetsincidenter 10 Tjänstetillhandahållaren ska ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lag (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. Dokumenterade rutiner för att upptäcka, internt rapportera och åtgärda integritetsincidenter underlättar tjänstetillhandahållarnas arbete med att säkerställa att sådana incidenter fångas upp och tas om hand. Skyldigheten för operatörer att rapportera integritetsincidenter framgår av 6 kap. 4 a LEK och Kommissionens förordning om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Hos flertalet aktörer finns därför redan väl utvecklade rutiner och system för att upptäcka incidenter i syfte att leva upp till rapporteringsskyldigheten. Den ekonomiska konsekvensen av kravet på dokumenterade rutiner för en enskild aktör är därför mycket beroende av hur dennes befintliga säkerhetsarbete ser ut idag. Aktörer som har ett sedan tidigare mindre ambitiöst säkerhetsarbete drabbas hårdare ekonomiskt då de måste lägga resurser på att bygga upp sin förmåga att hantera incidenter. PTS bedömer att merparten av aktörerna har system och rutiner för incidenthantering, men det är inte alltid dessa finns dokumenterade. Den föreslagna bestämmelsen innebär således huvudsakligen kostnader vad gäller dokumentation men även implementering av rutiner i syfte att anpassa befintliga tekniska system, organisatoriska förändringar och informationsspridning samt utbildning av personal för att säkerställa att kraven efterlevs. PTS bedömer tillkommande administrativa kostnader till engångskostnader om ca 3,6 miljoner kronor och ca 3,6 miljoner kronor i årliga kostnader, för detaljerade beräkningar och uppskattningar se bilaga 1. Nyttan bedöms av PTS överstiga kostnaderna för detta krav då efterlevnad av detta krav ger

22 förutsättningar för att upprätthålla skyddet av behandlade uppgifter. Efterlevnad av kravet är också nödvändigt för att till fullo kunna leva upp till de krav som finns på rapportering av integritetsincidenter till PTS, i enlighet med Kommissionens förordning. 22(35) 11 En förteckning över integritetsincidenter enligt 6 kap. 4 b lag (2003:389) om elektronisk kommunikation ska innehålla 1. datum då integritetsincidenten inträffade, 2. en beskrivning av integritetsincidenten, 3. uppskattat antal berörda abonnenter eller användare, 4. bedömda konsekvenser av integritetsincidenten, 5. orsak till att integritetsincidenten inträffade, 6. de åtgärder som vidtagits och 7. referensnummer. Förteckningen ska hållas uppdaterad. Kommissionens förordning om åtgärder tillämpliga på anmälan av personuppgiftsbrott trädde i kraft den 25 augusti PTS föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i förteckning över integritetsincidenter, PTSFS 2012:1, kan därmed inte längre tillämpas i de delar som regleras av Kommissionens förordning. PTS har därför för avsikt att upphäva dessa föreskrifter och allmänna råd. Kommissionens förordning reglerar dock inte innehållet i den förteckning över integritetsincidenter som tjänstetillhandahållarna är skyldiga att föra enligt 6 kap. 4 b LEK. Den bestämmelse i PTSFS 2012:1 som rör innehållet i förteckningen bör därför bibehållas. Den nu föreslagna bestämmelsen är därför i sak oförändrad jämfört med tidigare. Syftet med en intern förteckning är dels att det förenklar för PTS vid en eventuell tillsyn, dels att aktörerna själva får kontroll över de incidenter som inträffar och på vilket sätt de hanteras. Förteckningen underlättar också det långsiktiga och systematiska säkerhetsarbetet, särskilt vid uppföljningar av riskanalyser. System inom vilka man för en logg över incidenter med uppgift om när de inträffat, vad de inneburit och vilka åtgärder som vidtagits ska redan finnas hos berörda aktörer, för att kunna leva upp till ovan angiven förordning samt ännu inte upphävda bestämmelser i PTSFS 2012:1. För utredning och bedömning av den administrativa kostnaden för kravet på en intern förteckning över integritetsincidenter hänvisas till den konsekvensutredning som gjordes i samband med framtagande av föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i

Säkerhetsbrister i kundplacerad utrustning

Säkerhetsbrister i kundplacerad utrustning BESLUT 1(11) Datum Vår referens Aktbilaga 2015-12-16 Dnr: 14-11014 20 Nätsäkerhetsavdelningen Peder Cristvall 08-6785529 peder.cristvall@pts.se Telenor Sverige AB Säkerhetsbrister i kundplacerad utrustning

Läs mer

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras Datum Vår referens Sida 2012-03-05 Dnr: 12-1100 1(6) Ert datum Er referens Ju2012/1000/L6 Nätsäkerhetsavdelningen Staffan Lindmark 08-678 57 36 staffan.lindmark@pts.se Justitiedepartementet Grundlagsenheten

Läs mer

Mötesanteckningar, Integritetsforum 13 november 2013, kl. 9-12 på PTS

Mötesanteckningar, Integritetsforum 13 november 2013, kl. 9-12 på PTS PROMEMORIA Datum Vår referens Sida 2013-12-16 1(6) Nätsäkerhetsavdelningen Gudrun Thelander 08-678 57 85 gudrun.thelander@pts.se Mötesanteckningar, Integritetsforum 13 november 2013, kl. 9-12 på PTS 1.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå Beslut Diarienr 1 (10) 2016-02-17 1805-2015 Södermalms stadsdelsnämnd Box 4270 102 66 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå Datainspektionens beslut

Läs mer

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden. Konsekvensutredning Datum Vår referens Sida 2015-01-26 Dnr: 14-13006 1(14) Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Konsekvensutredning avseende upphävande av Post- och telestyrelsens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket Datum Diarienr 2009-06-23 1807-2008 Migrationsverket 601 70 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Tillsyn över behandling av uppgifter och inhämtade av samtycke AVSKRIVNGINGSBESLUT 1(7) Datum Vår referens 2015-10-15 Dnr: 13-12360 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Tillsyn över behandling av uppgifter och inhämtade av samtycke Saken

Läs mer

A Allmänt. Myndighetens namn: Statens folkhälsoinstitut. 1. Beskrivning av problemet och vad man vill uppnå

A Allmänt. Myndighetens namn: Statens folkhälsoinstitut. 1. Beskrivning av problemet och vad man vill uppnå Myndighetens namn: Statens folkhälsoinstitut Diarienummer VERK 2011/472 Rubrik Ändring av Statens folkhälsoinstituts föreskrifter (FHIFS 2011:1) om teknisk sprit A Allmänt 1. Beskrivning av problemet och

Läs mer

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn över dokumentation av informationsbehandlingstillgångar AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2017-02-01 Dnr: 16-6142 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Hi3G Access AB Tillsyn över dokumentation av informationsbehandlingstillgångar

Läs mer

A Allmänt KONSEKVENSUTREDNING 2015-05-12. Beskrivning av problemet och vad Skatteverket vill uppnå. Bakgrund

A Allmänt KONSEKVENSUTREDNING 2015-05-12. Beskrivning av problemet och vad Skatteverket vill uppnå. Bakgrund KONSEKVENSUTREDNING 2015-05-12 Dnr. 1 31 280766-15/111, 1 31 280775-15/111 Skatteverkets förslag till föreskrifter om personalliggare (SKVFS 2015:X) och förslag till föreskrifter om identifikationsnummer

Läs mer

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster BESLUT 1(8) Datum Vår referens Aktbilaga 2014-04-03 Dnr: 13-7182 Nätsäkerhetsavdelningen Jeanette Kronwall 08-6785898 jeanette.kronwall@pts.se Eniro 118 118 AB Gustav III:s Boulevard 40 169 73 Solna Efterlevnad

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn efter inträffad integritetsincident i fakturasystem BESLUT 1(6) Datum Vår referens Aktbilaga 2014-09-30 Dnr: 14-6336 9 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Tillsyn efter inträffad integritetsincident i fakturasystem Saken

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2012-02-06 790-2011 Statens skolinspektion Box 23069 104 35 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Yttrande över betänkande Toppdomän för Sverige (SOU 2003:59)

Yttrande över betänkande Toppdomän för Sverige (SOU 2003:59) DATUM VÅR REFERENS 22 september 2003 03-009711/60 ERT DATUM ER REFERENS 2003-06-26 N2003/4833/IT HANDLÄGGARE, AVDELNING/ENHET, TELEFON, E-POST Anders Rafting Nätsäkerhet 08-678 55 41 anders.rafting@pts.se

Läs mer

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB AVSKRIVNINGSBESLUT 1(5) Datum Vår referens Aktbilaga 2017-04-20 Dnr: 17-1211 Nätsäkerhetsavdelningen Ulrika de la Iglesia 08-678 56 29 ulrika.delaiglesia@pts.se Tele2 Sverige AB Årlig tillsyn över incidentrapportering

Läs mer

Konsekvensutredning 1 (13)

Konsekvensutredning 1 (13) Konsekvensutredning 1 (13) Datum Dnr/Beteckning Handläggare Anneli Eriksson och Ellinor Öjefelt Väg- och järnvägsavdelningen Enhet trafik och teknik Sektion infrastruktur Konsekvensutredning Transportstyrelsens

Läs mer

Samråd enligt 2 och 3 patientdataförordningen

Samråd enligt 2 och 3 patientdataförordningen Yttrande Diarienr 2013-03-28 404-2013 Ert dnr 31 409/11 Socialstyrelsen Samråd enligt 2 och 3 patientdataförordningen Som ett led i samrådsskyldigheten enligt 2 och 3 patientdataförordningen (2008:360)

Läs mer

Elsäkerhetsverkets förslag till föreskrifter som implementerar direktiv 2014/30/EMC

Elsäkerhetsverkets förslag till föreskrifter som implementerar direktiv 2014/30/EMC KONSEKVENSUTREDNING 1 (11) Martin Gustafsson Avdelningen för produkter 010-168 05 27 2015-10-16 15EV733 Elsäkerhetsverkets förslag till föreskrifter som implementerar direktiv 2014/30/EMC Elsäkerhetsverket

Läs mer

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1282 Nätsäkerhetsavdelningen Anders Lindell 08-678 55 41 anders.lindell@pts.se Hi3G Access AB Årlig tillsyn över incidentrapportering och inträffade

Läs mer

De föreslagna föreskrifterna inför i huvudsak endast de ändringar som Kommissionens direktiv 2012/4/EU innebär.

De föreslagna föreskrifterna inför i huvudsak endast de ändringar som Kommissionens direktiv 2012/4/EU innebär. samhällsskydd och beredskap Konsekvensutredning 1 (13) Rättsenheten Kim Reenaas 010-240 50 66 kim.reenaas@msb.se Konsekvensutredning avseende Myndigheten för samhällsskydd och beredskaps förslag till föreskrifter

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-10-01 742-2008 Utbildningsnämnden Stockholm stad Box 22049 104 22 STOCKHOLM Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Personuppgiftsbehandling

Läs mer

Ändrade föreskrifter och allmänna råd om information som gäller försäkring och tjänstepension

Ändrade föreskrifter och allmänna råd om information som gäller försäkring och tjänstepension 2013-05-21 BESLUTSPROMEMORIA FI Dnr 13-1288 Ändrade föreskrifter och allmänna råd om information som gäller försäkring och tjänstepension Finansinspektionen Box 7821 SE-103 97 Stockholm [Brunnsgatan 3]

Läs mer

Säkerhetsåtgärder vid kameraövervakning

Säkerhetsåtgärder vid kameraövervakning Säkerhetsåtgärder vid kameraövervakning Datainspektionen informerar Säkerhetsåtgärder vid kameraövervakning Kameraövervakningslagens syfte är att se till så att kameraövervakning kan användas där så behövs

Läs mer

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Avbrott och störningar i elektroniska kommunikationsnät och tjänster BESLUT 1(5) Datum Vår referens Aktbilaga 2013-09-02 Dnr: 13-6315 Nätsäkerhetsavdelningen Erika Hersaeus 08-678 56 34 Erika.Hersaeus@pts.se Avbrott och störningar i elektroniska kommunikationsnät och tjänster.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation Datum Diarienr 2012-05-16 163-2012 Taxi Stockholm 15 00 00 AB Ombud: Advokat NN Sandart&Partners Advokatbyrå KB Box 7131 103 87 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter

Läs mer

Konsekvensutredning avseende föreskrifter och allmänna råd om innehåll i avtal

Konsekvensutredning avseende föreskrifter och allmänna råd om innehåll i avtal PROMEMORIA Datum Vår referens Sida 2012-12-19 Dnr: 12-11245 1(36) Konsumentmarknadsavdelningen Anna Montelius 08-678 58 12 anna.montelius@pts.se Konsekvensutredning avseende föreskrifter och allmänna råd

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

1. Beskrivning av problemet och vad man vill uppnå

1. Beskrivning av problemet och vad man vill uppnå Avdelningen för juridik och inre marknad Henrik Carlborg Direktnr: 08-406 83 70 E-post: henrik.carlborg@swedac.se Konsekvensutredning av ändringsförslag avseende föreskrifter och allmänna råd om ackreditering

Läs mer

Konsekvensutredning H 15

Konsekvensutredning H 15 Konsekvensutredning H 15 av s föreskrifter och allmänna råd (2011:12) om hissar och vissa andra motordrivna anordningar 2 Konsekvensutredning H 15 Titel: Konsekvensutredning H 15 Utgivare:, maj 2015 Dnr:

Läs mer

Konsekvensutredning om ändring i Transportstyrelsens föreskrifter och allmänna råd (TSFS 2012:41) om förarprov, gemensamma bestämmelser;

Konsekvensutredning om ändring i Transportstyrelsens föreskrifter och allmänna råd (TSFS 2012:41) om förarprov, gemensamma bestämmelser; C:\Users\evhi01\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\8AAMCEQB\konsekvensutredning 41.docx Konsekvensutredning 1 (11) Datum Dnr/Beteckning Handläggare Liv Lennius Johansson

Läs mer

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister Finansdepartementet Avdelningen för offentlig förvaltning Ändring i lagen om lägenhetsregister Oktober 2015 Innehållsförteckning 1 Sammanfattning... 3 2 Förslag till lag om ändring i lagen (2006:378) om

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Beslut Diarienr 2011-04-01 1735-2010 Centrala Studiestödnämnden CSN 851 82 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Datainspektionens beslut CSN har

Läs mer

2014-12-08 1 (21) Rapport från Riksantikvarieämbetet. Konsekvensutredning. Verkställighetsföreskrifter 2 kap. 1-20 kulturmiljölagen (1988:950)

2014-12-08 1 (21) Rapport från Riksantikvarieämbetet. Konsekvensutredning. Verkställighetsföreskrifter 2 kap. 1-20 kulturmiljölagen (1988:950) 2014-12-08 1 (21) Rapport från Riksantikvarieämbetet Konsekvensutredning Verkställighetsföreskrifter 2 kap. 1-20 kulturmiljölagen (1988:950) xx 2014-12-08 2 (21) Riksantikvarieämbetet Box 5405 114 84 Stockholm

Läs mer

Post- och telestyrelsen (PTS) har med utgångspunkt från myndighetens verksamhetsområde följande synpunkter.

Post- och telestyrelsen (PTS) har med utgångspunkt från myndighetens verksamhetsområde följande synpunkter. Datum Vår referens Sida 2008-12-18 Dnr: 08-12135/60 1(5) Ert datum Er referens N2008/7658/ITP Rättssekretariatet Eva Hallén 08-678 57 86 eva.hallen@pts.se Näringsdepartementet Enheten för IT-politik 103

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 581-2013 Socialnämnden Motala kommun Socialförvaltningen 591 86 Motala Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 724-2011 Hälso- och sjukvårdnämnden Region Gotland 621 81 Visby Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut Datainspektionen

Läs mer

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS INTERNA RIKTLINJER 1(9) Datum 2015-12-17 RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS Fastställd av generaldirektören Göran Marby att gälla från och med den 17 december 2015. Innehåll: OMFATTNING OCH

Läs mer

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1327 Nätsäkerhetsavdelningen Anna Montelius 08-678 58 12 anna.montelius@pts.se Telia Company AB Årlig tillsyn över incidentrapportering och

Läs mer

Regler för behandling av personuppgifter vid Högskolan Dalarna

Regler för behandling av personuppgifter vid Högskolan Dalarna Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: Rektor 2015-11-02 Reviderad: - Dnr: DUC 2015/1924/10 Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen Beslut Diarienr 2011-02-17 616-2010 Landstingsstyrelsen Landstinget i Uppsala län Box 602 751 25 Uppsala Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor Beslut Diarienr 1 (8) 2016-03-18 2671-2014 Pensionsmyndigheten Box 38 190 100 64 Stockholm Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor Datainspektionens

Läs mer

Yttrande över Boverkets förslag till ändringar i Boverkets föreskrifter om hissar och vissa andra motordrivna anläggningar

Yttrande över Boverkets förslag till ändringar i Boverkets föreskrifter om hissar och vissa andra motordrivna anläggningar Regelrådet är ett särskilt beslutsorgan inom Tillväxtverket vars ledamöter utses av regeringen. Regelrådet ansvarar för sina egna beslut. Regelrådets uppgifter är att granska och yttra sig över kvaliteten

Läs mer

Exponerade fakturor på internet

Exponerade fakturor på internet BESLUT 1(6) Datum Vår referens Aktbilaga 2013-12-18 Dnr: 13-9151 12 Nätsäkerhetsavdelningen Jeanette Kronwall 08-6785898 jeanette.kronwall@pts.se TeliaSonera AB Att: Ann Ekstrand Stab Juridik, Regulatoriska

Läs mer

Konsekvensutredning - Transportstyrelsens föreskrifter om riskutbildning för behörighet B

Konsekvensutredning - Transportstyrelsens föreskrifter om riskutbildning för behörighet B Konsekvensutredning 1 (10) Datum Dnr/Beteckning Handläggare Henrik Julin Väg- och järnvägsavdelningen Enhet behörigheter Sektion regler Konsekvensutredning - Transportstyrelsens föreskrifter om riskutbildning

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2015-06-16 Dnr: 15-1621 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Årlig tillsyn över incidentrapportering och inträffade incidenter

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1646-2009 Praktikertjänst AB Adolf Fredriks Kyrkogata 9A 103 55 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Förslag till föreskrifter om vibrationer samt allmänna råd om tillämpningen av föreskrifterna (4 bilagor)

Förslag till föreskrifter om vibrationer samt allmänna råd om tillämpningen av föreskrifterna (4 bilagor) ...-,,,_...- A R B E T S M I L J Ö VERKET REMISS Datum Vår beteckning 2015-02-11 RT 2014/107222 Sid 1 (1) Enheten för teknik Stefan Nygård, 010-730 98 59 arbetsmiljoverket@av.se Förslag till föreskrifter

Läs mer

Yttrande över Socialstyrelsens förslag till föreskrifter om hem för vård eller boende

Yttrande över Socialstyrelsens förslag till föreskrifter om hem för vård eller boende Regelrådet är ett särskilt beslutsorgan inom Tillväxtverket vars ledamöter utses av regeringen. Regelrådet ansvarar för sina egna beslut. Regelrådets uppgifter är att granska och yttra sig över kvaliteten

Läs mer

2016-02-05 BESLUTSPROMEMORIA. FI Dnr 14 13970. Sammanfattning

2016-02-05 BESLUTSPROMEMORIA. FI Dnr 14 13970. Sammanfattning 2016-02-05 BESLUTSPROMEMORIA FI Dnr 14 13970 Ändringar i Finansinspektionens föreskrifter och allmänna råd med anledning av en ny förordning om förbättrad värdepappersavveckling och om värdepapperscentraler

Läs mer

Informationssäkerhet i. Torsby kommun

Informationssäkerhet i. Torsby kommun 2008-09-15 Informationssäkerhet i Torsby kommun Säkerhetsplan 20080915 IT-avdelningen Besöksadress Nya Torget 8, Torsby Torsby kommun 20. IT-avdelningen 685 80 Torsby 0560-160 97 0560-160 25 fax it@torsby.se

Läs mer

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål BESLUT 1(7) Datum Vår referens Aktbilaga 2014-10-01 Dnr: 14-4682 10 Nätsäkerhetsavdelningen Peder Cristvall ComHem AB Org. nr 556181-8724 Bo Bredby FE 521 833 84 Strömsund Föreläggande om efterlevnad av

Läs mer

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni AVSKRIVNINGSBESLUT 1(5) Datum Vår referens 2016-01-25 Dnr: 14-11120 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Läs mer

Yttrande över Transportstyrelsens utredningsuppdrag om regler för trafikskolor och förarutbildare

Yttrande över Transportstyrelsens utredningsuppdrag om regler för trafikskolor och förarutbildare Regelrådet är ett särskilt beslutsorgan inom Tillväxtverket vars ledamöter utses av regeringen. Regelrådet ansvarar för sina egna beslut. Regelrådets uppgifter är att granska och yttra sig över kvaliteten

Läs mer

Sjöfartsverkets författningssamling

Sjöfartsverkets författningssamling Sjöfartsverkets författningssamling Sjöfartsverkets föreskrifter om hamnskydd; SJÖFS 2007:1 Utkom från trycket den 26 januari 2007 beslutade den 19 januari 2007. Sjöfartsverket föreskriver 1 (2006:1213)

Läs mer

Konsekvensutredning ändring av Transportstyrelsens föreskrifter och allmänna råd (TFSF 2012:97) om traktorer

Konsekvensutredning ändring av Transportstyrelsens föreskrifter och allmänna råd (TFSF 2012:97) om traktorer Konsekvensutredning 1 (5) Datum Dnr/Beteckning Handläggare Janike Rudert Väg- och järnvägsavdelningen Fordon och teknik Sektion fordonsteknik Konsekvensutredning ändring av Transportstyrelsens föreskrifter

Läs mer

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november 9.30-12.30 Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november 9.30-12.30 Plats: PTS lokaler på Valhallavägen 117 i Stockholm Datum 2014-12-17 1(7) Nätsäkerhet Gudrun Thelander 08-678 57 85 gudrun.thelander@pts.se Minnesanteckningar Driftsäkerhetsforum Tid: 26 november 9.30-12.30 Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Läs mer

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datum Diarienr 2012-06-15 738-2011 Landstingsstyrelsen Norrbottens läns landsting 971 89 Luleå Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen Datainspektionens beslut

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 585-2013 Omvårdnadsnämnden Solna stad Omvårdnadsförvaltningen 171 86 Solna Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 575-2013 Omsorgsnämnden Gävle kommun 801 84 Gävle Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Datainspektionen

Läs mer

Beslut om ändring av telefoninummerplanen

Beslut om ändring av telefoninummerplanen BESLUT 1(5) Datum Vår referens Aktbilaga 2014-04-07 Dnr: 13 11805 13 Nätsäkerhetsavdelningen Ann-Charlotte Bejerskog 08 678 55 73 Ann-charlotte.bejerskog@pts.se Beslut om ändring av telefoninummerplanen

Läs mer

Säkerhetsbrister i kundplacerad utrustning

Säkerhetsbrister i kundplacerad utrustning BESLUT 1(9) Datum Vår referens Aktbilaga 2016-04-29 Dnr: 14-11113 11 Nätsäkerhetsavdelningen Peder Cristvall 08-6785529 peder.cristvall@pts.se Alltele Allmänna Svenska Telefoniaktiebolag Att: Paul Aicardi

Läs mer

2014-11-29. 1 Beskrivning av problemet och vad Jordbruksverket vill uppnå

2014-11-29. 1 Beskrivning av problemet och vad Jordbruksverket vill uppnå 1(7) 2014-11-29 Dnr: 6.6.16-5844/14 Konsekvensutredning Föreskrifter om ändring i Statens Jordbruksverks föreskrifter (SJVFS 2011:49) om införsel av sällskapsdjur och hund- och kattsperma samt hundar,

Läs mer

Datainspektionens beslut

Datainspektionens beslut Beslut 2007-12-20 D n r 998-2007 Datainspektionen Er beteckning 41791-2007 Försäkringskassan 103 51 Stockholm Beslut efter tillsyn enligt personuppgiftsiagen (1998:204) Datainspektionens beslut 1. Rutiner

Läs mer

Vägledning om skyldigheten att rapportera integritetsincidenter

Vägledning om skyldigheten att rapportera integritetsincidenter Datum Sida 2013-08-26 1(11) Nätsäkerhetsavdelningen Vägledning om skyldigheten att rapportera integritetsincidenter Rapportering av integritetsincidenter Sedan den 1 juli 2011 är operatörer skyldiga att

Läs mer

Promemoria om ändring av Livsmedelsverkets föreskrifter (LIVSFS 2005:22) om kontroll vid handel med animaliska livsmedel inom den Europeiska unionen

Promemoria om ändring av Livsmedelsverkets föreskrifter (LIVSFS 2005:22) om kontroll vid handel med animaliska livsmedel inom den Europeiska unionen 1 (5) Promemoria Promemoria om ändring av Livsmedelsverkets föreskrifter (LIVSFS 2005:22) om kontroll vid handel med animaliska livsmedel inom den Europeiska unionen 1. Inledning Denna promemoria handlar

Läs mer

* Skatteverket 1(7) KONSEKVENSUTREDNING

* Skatteverket 1(7) KONSEKVENSUTREDNING * Skatteverket 1(7) Konsekvensutredning för Skatteverkets föreskrift om godkännande av skatteupplag enligt lagen (1994:1563) om tobaksskatt, lagen (1994:1564) om alkoholskatt och lagen (1994:1776) om skatt

Läs mer

Information till registrerade enligt personuppgiftslagen

Information till registrerade enligt personuppgiftslagen Information till registrerade enligt personuppgiftslagen Datainspektionens allmänna råd 1 2 Innehåll Inledning 5 Information som skall lämnas självmant (23 25 ) 6 Uppgifter som samlas in direkt från den

Läs mer

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204) Datum Diarienr 2011-10-04 1823-2010 AAA Soliditet AB Box 1396 171 27 SOLNA Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204) Datainspektionens beslut IT-säkerhet Datainspektionen

Läs mer

Remiss EU-kommissions förslag till produktsäkerhetspaket i form av förordning om allmän produktsäkerhet samt förordning om marknadskontroll

Remiss EU-kommissions förslag till produktsäkerhetspaket i form av förordning om allmän produktsäkerhet samt förordning om marknadskontroll Remissvar 1 (7) Datum Dnr/Beteckning Ert datum Er beteckning 2012-02-21 Ju2013/1320/KO UD2012/41590/FIM ju.registrator@regeringskansliet.se ud.registrator@regeringskansliet.se anders.bagge@regeringskansliet.se

Läs mer

Avtalens längd 5:15, a - max 24 mån för konsumenter och andra som begär det, krav på att erbjuda 12-månadersabonnemang.

Avtalens längd 5:15, a - max 24 mån för konsumenter och andra som begär det, krav på att erbjuda 12-månadersabonnemang. 3 snabba punkter Jag förutsätter att ni redan gjort de ändringar som behövs för att följa dem, men vill informera kort. Utökad nummerspärr, 5:7 a - även premium-sms. Alltså ska abonnenten kunna välja en

Läs mer

Kommissionens förslag till dataskyddsförordning (KOM [2012] 11 slutlig)

Kommissionens förslag till dataskyddsförordning (KOM [2012] 11 slutlig) REMISSYTTRANDE 1(4) Datum Diarienr 2012-03-27 AdmD-116-2012 Ert datum Ert diarienr 2012-02-08 Ju2012/1000/L6 Justitiedepartementet 103 33 Stockholm Kommissionens förslag till dataskyddsförordning (KOM

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning Datum Diarienr 2009-12-18 513-2009 Pliktverket Att: Karolinen 651 80 KARLSTAD Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter. PERSONUPPGIFTSBITRÄDESAVTAL Detta personuppgiftsbiträdesavtal har träffats mellan följande parter. Personuppgiftsansvarig: (Vårdgivarens namn, org.nr samt i förekommande fall ansvarig nämnd eller styrelse

Läs mer

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Svar över vidtagna åtgärder önskas före februari månads utgång 2009. Kommunrevisionen 2009-01-14 Renhållningsstyrelsen Miljönämnden Byggnadsnämnden Socialnämnden För kännedom: Kommunfullmäktige Granskning av personuppgiftslagens tillämpning På uppdrag av Lunds kommuns revisorer

Läs mer

TSF 2012-257 Konsekvensutredning 1(9)

TSF 2012-257 Konsekvensutredning 1(9) TSF 2012-257 Konsekvensutredning 1(9) Konsekvensutredning om ändring i Transportstyrelsens föreskrifter och allmänna råd (TSFS 2010:87) om registreringsbesiktning, mopedbesiktning och lämplighetsbesiktning

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL 1 (6) Beslut Dnr 2008-09-09 1310-2007 Bildningsnämnden Upplands-Bro kommun 196 81 Kungsängen Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

IT-säkerhetspolicy för Åtvidabergs kommun

IT-säkerhetspolicy för Åtvidabergs kommun Version 2005-01-26 Denna är s övergripande dokument styrning och kvalitetsutveckling av IT-säkerheten i den kommunala verksamheten. n innehåller strategier att uppnå målen. Kommunfullmäktige antar den

Läs mer

Kompletterande yttrande över PM Billigare utbyggnad av bredbandsnät, ert dnr N2015/2228/ITP

Kompletterande yttrande över PM Billigare utbyggnad av bredbandsnät, ert dnr N2015/2228/ITP Remissvar Sida 1(6) Diarienr 1.6-82/2015 Handläggare Godkänd av Marguerite Sjöström- Josephson t.f. VD Regeringskansliet Näringsdepartementet Enheten för IT politik 103 33 Stockholm Kompletterande yttrande

Läs mer

Avbrott i bredbandstelefonitjänst

Avbrott i bredbandstelefonitjänst BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Diarienr 2014-05-21 1080-2013 AB Landskronahem Box 4026 261 04 Landskrona Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut AB Landskronahem har behandlat känsliga

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB Datum Diarienr 2014-10-02 704-2013 Bolagsverket 851 81 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB Datainspektionens beslut För att

Läs mer

Kommittédirektiv. Dir. 2006:69. Beslut vid regeringssammanträde den 8 juni 2006

Kommittédirektiv. Dir. 2006:69. Beslut vid regeringssammanträde den 8 juni 2006 Kommittédirektiv Utvärdering av konsumentskyddet vid telefonförsäljning - Tilläggsdirektiv till utredningen om genomförande av EG:s direktiv om otillbörliga affärsmetoder (Jo2005:03) Dir. 2006:69 Beslut

Läs mer

ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR SAMMANFATTNING AV KONSEKVENSANALYSEN. Följedokument till

ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR SAMMANFATTNING AV KONSEKVENSANALYSEN. Följedokument till EUROPEISKA KOMMISSIONEN Bryssel den 10.9.2014 SWD(2014) 274 final ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR SAMMANFATTNING AV KONSEKVENSANALYSEN Följedokument till Förslag till Europaparlamentets och

Läs mer

Införande av vissa internationella standarder i penningtvättslagen

Införande av vissa internationella standarder i penningtvättslagen REMISSYTTRANDE Vår referens: 2014/106 Er referens: Fi2014/2420 1 (8) 2014-09-29 Finansdepartementet Finansmarknadsavdelningen Enheten för bank och försäkring fi.registrator@regeringskansliet.se Införande

Läs mer

Tal till Kungl. Krigsvetenskapsakademien

Tal till Kungl. Krigsvetenskapsakademien C LAES N O R G R E N R I K S R E V I S O R Tal till Kungl. Krigsvetenskapsakademien Riksrevisor Claes Norgren talar om informationssäkerhet inför Kungl. Krigsvetenskapsakademien, Försvarshögskolan 27 april

Läs mer

Konsekvensutredning av förslag till föreskrift om insamling av elproduktionsuppgifter för solcellsanläggningar från elnätsbolag

Konsekvensutredning av förslag till föreskrift om insamling av elproduktionsuppgifter för solcellsanläggningar från elnätsbolag EM1000 W-4.0, 2010-11-17 Datum 1 (6) Analysavdelningen Johan Harrysson +46 (0)16-542 06 32 jonan.harrysson@energimyndigheten.se Konsekvensutredning av förslag till föreskrift om insamling av elproduktionsuppgifter

Läs mer

Saken. PTS underrättelse

Saken. PTS underrättelse Underrättelse Datum Vår referens Sida 2013-10-03 Dnr: 13-9210 1(5) Konsumentmarknadsavdelningen Linn Berggren 08-678 57 08 linn.berggren@pts.se Hi3G Access AB Att: Jennie Ljungqvist, Josefine Jonsson Carin

Läs mer

Tolkningar och bedömningar av Egenkontrollförordningen

Tolkningar och bedömningar av Egenkontrollförordningen TILLSYNSSAMVERKAN I HALLAND - MILJÖ Datum Dnr 2004-12-20 RH0325 Tolkningar och bedömningar av Egenkontrollförordningen Förordningen om verksamhetsutövarens egenkontroll (FVE) (SFS 1998:901) gäller för

Läs mer

Konsekvensutredning Boverkets allmänna råd om rivningsavfall

Konsekvensutredning Boverkets allmänna råd om rivningsavfall Konsekvensutredning Boverkets allmänna råd om rivningsavfall Boverket september 2013 Titel: Konsekvensutredning Boverkets allmänna råd om rivningsavfall Utgivare: Boverket september 2013 Dnr: 1255-369/2013

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Beslut Diarienr 2011-04-01 1578-2010 Socialnämnden i Jönköpings Kommun Socialförvaltningen V Störgatan 16 (Juneporten) 551 89 Jönköping Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt

Läs mer

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande 2014-12-11 Dnr 69-2014 Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten 1 SAMMANFATTNING Säkerhets- och

Läs mer

Syfte...1 Omfattning...1 Beskrivning...1

Syfte...1 Omfattning...1 Beskrivning...1 Innehållsförteckning 1 Syfte...1 2 Omfattning...1 3 Beskrivning...1 3.1 Utgångspunkter och generella regler...1 3.2 Tillämpning av riktlinjerna inom Mälarenergi...1 3.3 Styrande lagar och regler...3 Bilaga

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om ändring i lagen (2004:1199) om handel med utsläppsrätter; SFS 2015:367 Utkom från trycket den 12 juni 2015 utfärdad den 4 juni 2015. Enligt riksdagens beslut 1 föreskrivs

Läs mer

Remiss: En ny kameraövervakningslag (SOU 2009:87), (Ju2009/9053/L6)

Remiss: En ny kameraövervakningslag (SOU 2009:87), (Ju2009/9053/L6) 1 (6) YTTRANDE 2010-03-02 Dnr SU 302-2951-09 Regeringen (Justitiedepartement) 103 33 STOCKHOLM Remiss: En ny kameraövervakningslag (SOU 2009:87), (Ju2009/9053/L6) Stockholms universitet som har anmodats

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-04-07 873-2005 Vägverket 781 87 Borlänge Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att det finns risk för att Vägverkets

Läs mer

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten 8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten Såsom utredningen konstaterar i delbetänkandet, SOU 2003:4, krävs automatiserade och manuella register med personuppgifter för att

Läs mer

Remiss av förslag till Fastighetsmäklarinspektionens nya föreskrifter (KAMFS 2016:X) om åtgärder mot penningtvätt och finansiering av terrorism

Remiss av förslag till Fastighetsmäklarinspektionens nya föreskrifter (KAMFS 2016:X) om åtgärder mot penningtvätt och finansiering av terrorism REMISS 1(24) Emil Cargill-Ek 08-580 069 06 Enligt sändlista Remiss av förslag till Fastighetsmäklarinspektionens nya föreskrifter (KAMFS 2016:X) om åtgärder mot penningtvätt och finansiering av terrorism

Läs mer