Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Transkript

1 Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

2 Integritetsforum Torsdagen den 9 november 2017 Välkomna!

3 Agenda Internationella frågor EU:s översyn av eprivacy-direktivet och reglernas förhållande till GDPR PTS tillsynsarbete Erfarenheter från avslutad tillsyn. Information om pågående och kommande tillsyn. Anpassning till hemlig övervakning och avlyssning Föreskrifter och allmänna råd PTS planerade arbete 2018 Övriga frågor?

4 Internationella frågor

5 EU:s regelöversyn - DSM Reglerna håller på att uppdateras och harmoniseras NIS Dataskyddsdirektivet GDPR Ramdirektivet mm. eprivacy-direktivet Kodexen eprivacyf

6 European Electronic Communication Code Direktivförslag från KOM september 2016 Justering av nuvarande art. 13a-b (40-41) Säkerhet Utvidgad tolkning av definitionen säkerhet omfattar även konfidentialitet (utöver tillgänglighet, riktighet och integritet). Tar över en del av tidigare art. 4 i eprivacy-direktivet Förhandlingar (trilog) har inletts siktet inställt på att vara klara under första delen av Sedan implementeringstid.

7 eprivacyförordning Förslag från KOM januari 2017 Förhandling pågår Parlamentet har tagit fram en rapport med ändringsförslag Rådet håller på att diskuterar nedprioriterat, men målet inställt på att ha en färdig ståndpunkt i mitten på 2018 Förhandlingen hoppas vara avslutat till slutet på 2018 sedan behövs tid för att reglerna ska kunna börja tillämpas

8 Vad händer den 25 maj 2018? GDPR träder i kraft PuL upphävs Svenska kompletterande bestämmelser i en ny föreslagen lag och förordning om dataskydd (SOU 2017:39) Datainspektionen är ansvarig myndighet

9 LEK i ljuset av GDPR Eprivacydirektivet och 6 kap. LEK gäller tills vidare Art 95 GDPR reglerar förhållandet mellan regelverken Föreslagna justeringar i LEK till följd av att PuL upphävs (Ds 2017:28) - begreppen samtycke, personuppgiftsansvarig och behandling samma innebörd som i GDPR, - förhållandet mellan LEK, GDPR och den föreslagna dataskyddsl ska framgå - hänv. till PuLs bestämmelser om rättelse och skadestånd tas bort

10 PTS tillsynsarbete

11 Avslutad tillsyn

12 Tillsyn Hantering av uppgifter om abonnenter och deras kommunikation i butiksmiljö

13 Bakgrund Integritetsincidenter Uppgifter i media internationellt Butiksmiljö Slarv med lösenord? Brott mot tystnadsplikt?

14 Tillsyn Säkerhetsåtgärder De som erbjuder mobilabonnemang med maskinvara i butik Egna butiker Återförsäljares butiker Möten med operatörer Besök i butiker och hos återförsäljare

15 Slutsats

16 Säkerhetsarbetet finns där, t.ex. Policies Behörighetshantering Loggar Krav på återförsäljare Men följs de? Används den? Kontrolleras de? Följs de upp?

17 Begränsad mängd uppgifter För att minska riskerna har man begränsat vad man kan se i säljstödsystemet

18 Vad kan göras mer? Exempel - Följa upp att policies och rutiner faktiskt följs Arbeta bort slarvig hantering av uppgifter i butik Det ÄR svårt att ha kontroll på återförsäljares butiksmiljöer Använd tekniska begränsningar och minimera informationsmängden Åk ut och titta i butikerna Koppla legitimeringen till vilken kundinformation som kan visas Manuell legitimering skulle t.ex. kräva chef eller sätter röd flagga i loggen Intern och extern aspekt

19 Planerad tillsyn Nätsäkerhet

20 Säkerhet i nätens signalering Olika initiativ på europeisk och nordisk nivå SS7 och Diameter Rekommendationer Arbete i branschen för öka säkerheten på området Ännu fler enkäter Förstudie pågår

21 Pågående tillsyn

22 Förmåga att identifiera och internt rapportera integritetsincidenter Tillsyn som påbörjades i somras Utgångspunkt 10 PTSFS 2014:1 En integritetsincident är en händelse som leder till - oavsiktlig eller otillåten utplåning eller förlust av uppgifter, - oavsiktlig eller otillåten ändring av uppgifter, eller - otillåtet avslöjande av eller åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. Snarare medarbetares förmåga än tekniska åtgärder som vidtas

23 Anpassning till hemlig övervakning och avlyssning

24 Anpassningsskyldighet krav på tillgänglighet I 6 kap 19 LEK anges att en verksamhet ska bedrivas så att beslut om hemlig avlyssning av elektronisk kommunikation och hemlig övervakning av elektronisk kommunikation kan verkställas och så att verkställandet inte röjs när det gäller allmänna kommunikationsnät och tjänster inom allmänna kommunikationsnät som består av allmänt tillgänglig telefonitjänst till fastrespektive mobil nätanslutningspunkt. Innehållet i uppgifter om avlyssnade meddelanden eller övervakade meddelanden ska göras tillgängliga så att informationen enkelt kan tas om hand.

25 Anpassningsskyldighet krav på tillgänglighet Fråga har uppstått om hur bestämmelsen ska tolkas när det gäller utlämnanden som aktualiseras efter kontorstid. PTS konstaterar att syftet med anpassningskravet inte kan anses uppfyllt på ett ändamålsenligt sätt om verkställighet följer efter ett långt dröjsmål. Beslut om hemlig övervakning av elektronisk kommunikation kan fattas dygnet runt Tidsfaktorn kan vara helt avgörande i samband med bland annat mordutredningar och vid rån

26 Anpassningsskyldighet krav på tillgänglighet I uttalanden i proposition 1995/96:180 s. 27 anger regeringen att innehållet i telemeddelanden måste göras tillgängligt samtidigt som det förmedlas eller i vart fall i omedelbar anslutning till att det förmedlas. PTS konstaterar att verkställighet av beslut ska kunna ske även efter kontorstid PTS bedömer kravet proportionerligt när det gäller större operatörer med verksamhet över hela Sverige med dygnet-runtbemannad driftsledningscentral

27 Anpassningsskyldighet vid införande av nya tjänster Nya tjänster införs löpande av operatörerna (ex. VoLTE, WiFi Calling) Om dessa tjänster omfattas av bestämmelsen i 6 kap. 19 LEK aktualiseras frågan om när en anpassning ska vara gjord. Av prop. 1995/96:180 s. 26 ff framgår att skyldigheten att anpassa systemen är en generell skyldighet som hänför sig till konstanta egenskaper i telesystemet oberoende av om det pågår någon hemlig avlyssning eller övervakning

28 Anpassningsskyldighet vid införande av nya tjänster Enligt regeringens bedömning innebär därför kravet att telesystemet bör alltså vid varje givet tillfälle innehålla de egenskaper som behövs för att beslutet genast ska kunna verkställas. PTS bedömning det torde åligga tjänstetillhandahållare att innan lansering sker av nya tjänster ha säkerställt att kraven i 6 kap. 19 är uppfyllda

29 Anpassningsskyldighet vid införande av nya tjänster För att en viss tjänst ska uppfylla kraven i 6 kap. 19 torde det vara en förutsättning att den berörda tjänstetillhandahållaren i samverkan med Polismyndigheten har verifierat att full funktionalitet uppnåtts innan lansering sker.

30 Allmänna råd om kakor

31 Allmänna råd om användning av kakor PTS förslag remitterades i slutet av september Remissvaren analyseras just nu Beslutas troligen i slutet av november Frågor? Kontakta anna.montelius@pts.se Allmanna-rad-om-kakor-och-jamforbara-tekniker/

32 PTS föreskriftsarbete

33 PTS föreskrifter och allmänna råd (PTSFS 2014:1) om skyddsåtgärder för behandlade uppgifter Förstudie klar i början av nästa år: - Vilka brister finns i föreskriften? - På vilket sätt kan eventuella brister åtgärdas? - Hur förhåller sig detta till översynen av EU:s regelverk?

34 PTS planerade arbete under 2018

35 Något övrigt?

36 Tack för idag! Preliminärt kommer nästa möte att hållas 27 april 2018