Välkomna! Integritetsforum torsdagen den 14 april 2016

Transkript

1 Välkomna! Integritetsforum torsdagen den 14 april 2016

2 Agenda Inledning Översyn av eprivacy-direktivet Vad händer och vad gör NS/PTS? Diskussion och frågor Paus, ca min

3 Forts. agenda PTS avslutade och pågående tillsyner Erfarenheter från årlig tillsyn Dokumentation av informationsbehandlingstillgångar Några ord om vad som händer gällande trafikdatalagring PTS tillsynsplan Aktuellt: Möjlighet till rapportering med krypterad e-post Status i statliga utredningar som PTS deltar i Övrigt Avslutning och nästa möte torsdagen den 17 november 2016

4 Översyn av eprivacy-direktivet Jeanette/Staffan Rule by rule assessment i ljuset av GDPR Input från Artikel 29-gruppen samt BEREC Workshops Open consultation (11 april 5 juli 2016)

5 Public conference 6 april 2016 Rosa Barceló, KOM/DG Connect framhöll bl.a. En möjlig utvidgning av vilka aktörer som bör omfattas av reglerna, dvs. även tillhandahållare av OTT-tjänster Framtida reglering i förordning eller direktiv? Bl.a. inkonsekvent tillsyn och fragmentering genom olika implementering Undvika dubbelreglering, t.ex. gällande incidentrapportering Utvärdering av vissa reglers effektivitet m h t den tekniska utvecklingen Nödvändiga justeringar i linje med GDPR, t.ex. i fråga om storleken på bötesbelopp

6 Agenda: Workshop - stakeholders 12/4 Reglernas förhållande till GDPR Reglernas omfattning och tillämplighet Kakbestämmelsen och ev. fler undantag Behov av ytterligare legala instrument i syfte att stärka säkerheten Övrigt?

7 Workshop - regleringsmyndigheter 19/4 Agenda: Kakbestämmelsen och ev. fler undantag Behov av särskilda bestämmelser om trafik- och lokaliseringsuppgifter i ljuset av GDPR Behov av en särskild bestämmelse om säkerhetsåtgärder i ljuset av GDPR Behov av särskilda regler om ospecificerade räkningar, nummerpresentation, abonnentförteckningar och marknadsföring

8 PTS har på eget initiativ fått till ett möte med Rosa/KOM den 18 april 2016

9 PTS anser i huvudsak att Det finns ett behov av en sektorsspecifik reglering vars främsta uppgift är att säkerställa den bredare principen om konfidentialitet som ett komplement till de grundläggande reglerna om skydd för den personliga integriteten. Det finns behov av att modernisera de grundläggande reglerna för att kunna möta den tekniska utvecklingen och förändrade affärsmodeller på marknaden. Samma regler bör gälla för likvärdiga tjänster.

10 DSM och Direktivsöversyn 14 april 2016 Post- och telestyrelsen

11 Förslag från Kommissionen Tre policyområden Vad är DSM? 1. Better online access to digital goods and services 2. An environment where digital networks and services can prosper 3. Digital as a driver for growth

12 Kommissionens fokusområden Concluding negotiations on common EU data protection rules. Giving more ambition to the ongoing reform of telecoms rules. Modifying copyright rules to reflect new technologies, and to make them simpler and clearer. Simplifying consumer rules for online purchases. Making it easier for innovators to start their own company. Boosting digital skills and learning. Enjoying the same online content and services regardless of the EU country we are in.

13 DSM och PTS När vi pratar om DSM är det en mindre del som berör PTS än det som KOM definierar som DSM men vi tror ändå på behovet av att se på lösningar utanför traditionell reglering. Vi följer alla områden som har påverkan på marknaden och lyfter fram nya områden. PTS ska ha en aktiv dialog i BEREC och mot EU:s institutioner. En plattform för detta är det nordiska samarbetet.

14 Direktivsöversyn Det finns ännu inget förslag från Kommissionen, beräknas hösten Konsultation från Kommissionen om erfarenheter av befintligt regelverk Opinion från BEREC (december). Viktigt att föra fram ståndpunkter till Kommissionen, bilateralt men också genom BEREC och Näringsdepartementet.

15 Översynen och PTS PTS ska ha en aktiv dialog i BEREC och mot EU:s institutioner. Fokus på frågor av central betydelse för Sverige. Intern struktur för att arbeta med översynen finns på plats. En plattform för att arbeta med översynen är det nordiska samarbetet och den nordiska positionen. Samarbete och position kommer att utvecklas.

16 Översynen och nordisk position Skapar en plattform i EU-debatten och i BEREC. Norden en viktig region i EU. Alla nordiska NRAs står bakom gemensam position. I linje med PTS uppfattning, inga större avvikelser men går kanske längre i delar där vi är mer överens. Samverkan mellan nordiska NRAs på GD-nivå och i arbetsgrupper samt en gemensam dialog med intressenter och EU-institutioner.

17 Vad är speciellt med Norden Efterfrågan på höga hastigheter och stor kapacitet SMP-regelverket OTT/CAPS Bredbandsmål och USO Konsumentskydd

18 Översynen och BEREC BEREC-opinion är under framtagande på begäran av KOM BEREC svar på KOM-konsultation PTS måste fokusera på de frågor som är viktigast och där vi har en möjlighet att påverka. Spektrum är ett sådant område där vi har ett inflytande inom BEREC, vi ansvarar för arbetsgrupp som skriver om spektrum

19 Accessnätsregleringen OTT/CAPS Spektrum E-privacy Viktiga frågor

20 Paus ca 15 minuter

21 Erfarenheter från årlig tillsyn - Karin

22 Erfarenheter från årlig tillsyn Ökning av antalet inrapporterade incidenter men mörkertalet bedöms fortsatt som stort. Flera operatörer uppger att man jobbar för ökad upptäckt. Utbildning av personal sker, men bör ske oftare i de flesta fall. PTS ser positivt på rapportering vid oklara fall. Planerad tillsynsinsats avseende förmåga att upptäcka.

23 Erfarenheter från årlig tillsyn Vanliga orsaker: Förlust av information till f.d. anställda/behöriga. Driftstörning som leder till stora integritetsincidenter. Underleverantörers misstag, t.ex. fakturahantering och försändelser. Felkopplade abonnenter och förväxlade SIM-kort/nummer.

24 Erfarenheter från årlig tillsyn Bra förberedelse till mötena. Rätt kompetens på plats. Generellt förbättrad rapportering. Oftare i tid. Innehållet oftare fullständigt, men vissa incidenter där operatören inte har rapporterat incidentens fulla omfattning. Fortfarande problem med underrättelser till berörda användare och abonnenter.

25 Erfarenheter från årlig tillsyn Underrättelser till berörda Berörda ska anges i rapportering till PTS. Negativt berörda ska få individuell underrättelse. Frågan om vilka som anses vara negativt berörda har uppkommit vid flera tillfällen underrätta hellre för många än för få. T.ex. är det inte endast de två personer som har fått sina telefoner ihopkopplade som är berörda av det inträffade, utan även de som ringer till någon av dessa. Om de som ringer ska underrättas eller inte får bedömas från fall till fall inkludera resonemang vid utebliven underrättelse.

26 Erfarenheter från årlig tillsyn Underrättelser till berörda Några fall där operatörer uttryckligen har angett att den berörda inte behöver vidta några åtgärder eller har lidit någon skada av det inträffade. Oftast olämpligt med sådan information, bättre att ange att den berörde själv bör reflektera över eventuella konsekvenser (om dessa är svåra att spekulera i för operatören).

27 Erfarenheter från årlig tillsyn Rapportering till PTS om underrättelsens innehåll Måste inte utgöras av brev eller talmanus, men måste skriftligen återge de konkreta uppgifter som lämnats till den enskilde. Det är inte tillräckligt att ange att man lämnat de uppgifter som krävs enligt förordningen.

28 Erfarenheter från årlig tillsyn Inom kort avskrivningsbeslut Ta till er information och uppmaningar så att inte de påtalade bristerna och påpekandena upprepas från år till år.

29 Tillsynsplanering och dokumentation av informationsbehandlingstillgångar - Mikael

30 Tillsynsplanen Kartläggning av tillgångar och riskanalyser början av 2016 för större aktörer senare under perioden för mindre aktörer Skyddsåtgärder vid åtkomst till uppgifter i butiker och hos underleverantörer (start mitten av 2016) Förmåga att upptäcka och internt rapportera incidenter (start mitten av 2016)

31 Informationsbehandlingstillgångsförteckning Enligt PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) Tjänstetillhandahållaren ska bl.a. identifiera de informationsbehandlingstillgångar där behandlade uppgifter förekommer och föra en förteckning över dessa

32 Informationsbehandlingstillgångsförteckningsgranskning Mot bakgrund av uppgifter som har lämnats till PTS i olika tillsynsärenden misstänker PTS att många tillhandahållare ännu inte efterlever kraven på kartläggning av informationsbehandlingstillgångar

33 Tillsyn PTS kommer nu att granska ett antal större operatörer för att säkerställa att de följer kraven på identifiering och dokumentering av informationsbehandlingstillgångar.

34 Samlad bild underlättar Att ha en aktuell och samlad bild över samtliga informationsbehandlingstillgångar underlättar för operatören att vidta de åtgärder som krävs för att skydda abonnenternas och användarnas integritet

35 Några ord om trafikdatalagring - Staffan

36 Nyhet krypterad e-post - Mikael

37 Status i statliga utredningar som PTS deltar i Staffan/Jeanette Integritetskommittén (Ju 2014:09, Dir. 2014:65) Förlängd utredningstid t.o.m. 1 juni Delbetänkande kommer senast 31 maj Ett samlat tillsynsansvar över den personliga integriteten (Ju 2015:02, Dir. 2014:164) Förlängd utredningstid t.o.m. 30 september 2016.

38 Övrigt Ev. frågor PTS Marknadsdag den 21 april 2016 med bl.a. säker kommunikation och självstyrande bilar på agendan

39 Nästa möte Föreslås hållas torsdagen den 17 november 2016? Tack för idag!