Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn över dokumentation av informationsbehandlingstillgångar

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

(5)

Tillsyn över säkerhetsarbete hos underleverantör

Exponerade fakturor på internet

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Vägledning om skyldigheten att rapportera integritetsincidenter

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Överlämnande av nummer vid byte av tjänsteleverantör

Tillsyn över dokumentation av tillgångar och förbindelser

Föreläggande att inkomma med uppgifter

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Avbrott i bredbandstelefonitjänst

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Förändringar i nya LEK

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Säkerhetsbrister i kundplacerad utrustning

Tillsyn över behandling av uppgifter

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Förslag till beslut om ändring av telefoninummerplanen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Beslut om ändring av telefoninummerplanen

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Tillsynsrapport: Informationskrav vid ändring av avtal

Beslut om avskrivning

Ändring av telefoninummerplanen

Saken. PTS underrättelse

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Säkerhetsbrister i kundplacerad utrustning

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Beslut om förbud enligt 12 radioutrustningslagen

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Beslut om förbud enligt 12 radioutrustningslagen

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Beslut om ändring av telefoninummerplanen

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Villkor enligt 2 kap. 4 postlagen (2010:1045).

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

Innehåll Dnr: (5)

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Välkomna till Integritetsforum!

Vår referens Dnr:

Datum Vår referens Aktbilaga Dnr:

Mötesanteckningar, Integritetsforum 17 april 2013

Tele2 och Telenorbolagen stödjer PTS förslag i stort men har synpunkter på formuleringar, ändringar och önskar vidare förtydliganden av förslaget.

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Beslut att begränsa antalet tillstånd i 3,5 GHz- och 2,3 GHz-banden

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Jakob Rutberg Avdelningen för marknadsfrågor TeliaSonera AB Stab Juridik, Regulatoriska frågor FARSTA

KU Regelrådet.pdf; Föreskrifter Regelrådet.pdf; Missiv Regelrådet.pdf

Transkript:

BESLUT 1(5) Datum Vår referens Aktbilaga 2014-05-30 Dnr: 14-1752 4 Nätsäkerhetsavdelningen Jeanette Kronwall 08-678 58 98 jeanette.kronwall@pts.se Com Hem AB Via e-post Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter Saken Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter; nu fråga om avskrivning. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Under våren 2013 inledde PTS planlagda tillsyner över ett urval operatörer i syfte att dessa skulle redogöra för sina processer för incidentrapportering, samt för genomgång av inträffade incidenter under 2012. Tillsynerna omfattade såväl driftstörningar som integritetsincidenter. Dessa tillsynsinsatser var de första tillsynerna om incidentrapportering sedan skyldigheten att rapportera incidenter trädde i kraft 2011. Ett av huvudsyftena med inrapporteringsskyldigheten är att PTS ska kunna göra en bedömning av om det finns skäl att misstänka att bestämmelser i lagen (2003:389) om elektronisk kommunikation (LEK) inte efterlevs. Även i de fall en incidentrapport till PTS inte ger upphov till direkta tillsynsåtgärder, kan incidentrapporten innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till integritetsincidenter. Detta kan i sin tur utgöra underlag för PTS planlagda tillsynsinsatser. Det är PTS avsikt att årligen genomföra planlagda tillsyner över utvalda operatörer rörande incidentrapportering och inträffade incidenter. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(5) Mot bakgrund av detta inledde PTS den 17 februari 2014 för andra gången en planlagd tillsyn rörande incidentrapportering och inträffade integritetsincidenter hos Com Hem AB (Com Hem). Den 3 april 2014 höll PTS ett tillsynsmöte med Com Hem. PTS hade inför tillsynsmötet begärt att få ta del av bolagets förteckning över integritetsincidenter. Com Hem har varken under 2012 eller 2013 rapporterat in någon integritetsincident till PTS, och någon logg har heller inte presenterats. PTS begärde en förklaring till varför Com Hem inte har rapporterat in några integritetsincidenter. Bolaget har framfört att dokumenterade rutiner för inrapportering av integritetsincidenter finns, att några incidenter inte har upptäckts och att arbete pågår med att anpassa verksamheten inför kommande krav enligt de nya föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter som börjar gälla från och med den 1 september 2014. Skäl Tillämpliga bestämmelser PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Av 6 kap. 1 LEK framgår att med integritetsincident avses en händelse som leder till oavsiktlig eller otillåten utplåning förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. Enligt 6 kap. 3 första meningen LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållande av tjänsten skyddas. Av 6 kap. 4 a första stycket LEK framgår att den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål ska underrätta tillsynsmyndigheten om inträffade integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. När och hur rapportering av integritetsincidenter ska ske och vad rapporterna ska innehålla framgår fr.o.m. den 25 augusti 2013 av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Av art. 2 i förordningen framgår bl.a. att Post- och telestyrelsen 2

3(5) rapportering till PTS ska ske senast 24 timmar efter det att integritetsincidenten upptäcks. Om operatören vid denna tidpunkt ännu inte har tillgång till alla uppgifter om incidenten ska de uppgifter som finns tillgängliga lämnas i en inledande rapport och resterande uppgifter lämnas i en kompletterande rapport så snart som möjligt, dock senast tre dagar efter den inledande rapporten. Enligt förordningen ska, som utgångspunkt, samtliga integritetsincidenter rapporteras till både PTS och till berörda abonnenter eller användare. Enligt art. 3-4 i förordningen kan operatören underlåta att underrätta en berörd abonnent eller användare om integritetsincidenten inte kan antas inverka negativt på abonnenterna eller användarna eller tjänstetillhandahållaren har vidtagit tekniska skyddsåtgärder som medför att de uppgifter som berörs av incidenten är oläsbara för obehöriga, t.ex. genom kryptering eller hashning av uppgifterna. För integritetsincidenter som inträffat före det att förordningen trädde i kraft den 25 augusti 2013 tillämpas PTS föreskrifter och allmänna råd om underrättelse om integritetsincidenter samt innehållet i förteckning över integritetsincidenter (PTSFS 2012:1). Enligt föreskrifternas 8 behöver en integritetsincident inte rapporteras in till PTS om integritetsincidenten endast berört ett fåtal abonnenter eller användare och inte kunde antas inverka negativt på dessa abonnenter eller användare. Vidare gäller enligt 9 att en underrättelse inte behöver lämnas till berörd abonnent eller användare om tjänstetillhandahållaren med en allmänt erkänd krypteringsmetod av tillräcklig nyckellängd krypterat de uppgifter som berörs av en integritetsincident och uppgifterna därför var oläsbara för alla obehöriga när incidenten inträffade. PTS bedömning När det gäller rapportering av integritetsincidenter begränsas den aktuella tillsynen till rutiner och processer för rapportering då Com Hem inte har rapporterat någon incident under 2013. PTS har inom ramen för tidigare genomförd årlig tillsyn över Com Hem konstaterat att bolaget har dokumenterade rutiner och processer för hantering och rapportering av integritetsincidenter (PTS dnr 13-941). Bolaget har inom ramen för aktuell tillsyn uppgett att arbete pågår med att se över dessa rutiner inför att nya föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter träder i kraft från och med den 1 september 2014. Bolaget har vidare uppgett att de inte har fått några klagomål gällande integritetsincidenter. Som PTS tidigare har konstaterat finns erforderliga rutiner och processer dokumenterade i verksamheten, men det faktum att Com Hem inte har rapporterat några incidenter sedan reglerna trädde i kraft indikerar att det kan föreligga brister i tillämpningen av aktuella rutiner och processer och bolagets Post- och telestyrelsen 3

4(5) förmåga att upptäcka och rapportera integritetsincidenter. Med en integritetsincident avses enligt definitionen i 6 kap. 1 LEK en händelse som leder till oavsiktlig eller otillåten utplåning förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. Med behandling avses t.ex. insamling, registrering, lagring och bearbetning och behandlingen ska ha skett i samband med tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst. Integritetsincidenter kan vara många olika slags händelser av varierande dignitet och integritetsincidenter bör därför rimligen förekomma. Det är således anmärkningsvärt att Com Hem inte har rapporterat en enda incident under de senaste två åren och det faktum att ingen abonnent eller användare har inkommit med något klagomål innebär inte att incidenter inte inträffar i verksamheten. Mot bakgrund härav finns det enligt PTS bedömning anledning att återkomma till Com Hems tillämpning av rutiner och processer för upptäckande, hantering och rapportering av integritetsincidenter. PTS har för avsikt att genomföra en planlagd tillsyn gällande rutiner och processer för att upptäcka, hantera och rapportera integritetsincidenter, varför PTS i dagsläget inte kommer att vidta några ytterligare åtgärder inom ramen för denna tillsyn. Ärendet avskrivs därför från vidare handläggning. Upplysningsvis meddelas att PTS även kommer att inleda ett arbete med att förtydliga vägledningen gällande inrapportering av integritetsincidenter, bland annat vad gäller de delar som berör förteckningen av integritetsincidenter. I detta arbete kommer PTS att föra en dialog med operatörerna. Hur man överklagar Beslutet kan inte överklagas. Beslutet har fattats av ställföreträdande enhetschefen Staffan Lindmark. I ärendets slutliga handläggning har även Jeanette Kronwall (föredragande) och Erika Hersaeus deltagit. Post- och telestyrelsen 4

Post- och telestyrelsen 5 5(5)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss