Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Tillsyn över säkerhetsarbete hos underleverantör

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Tillsyn över dokumentation av informationsbehandlingstillgångar

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Tillsyn med anledning av integritetsincident rörande hemliga nummer

(5)

Exponerade fakturor på internet

Tillsyn över dokumentation av tillgångar och förbindelser

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Säkerhetsbrister i kundplacerad utrustning

Avbrott i bredbandstelefonitjänst

Överlämnande av nummer vid byte av tjänsteleverantör

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Vägledning om skyldigheten att rapportera integritetsincidenter

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Förändringar i nya LEK

Tillsyn över behandling av uppgifter

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Föreläggande att inkomma med uppgifter

Säkerhetsbrister i kundplacerad utrustning

Beslut om ändring av telefoninummerplanen

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Beslut om avskrivning

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Förslag till beslut om ändring av telefoninummerplanen

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Ändring av telefoninummerplanen

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Anmälan av personuppgiftsincident

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Beslut om förbud enligt 12 radioutrustningslagen

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Instruktion för åtgärdsplan vid personuppgiftsincidenter

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Saken. PTS underrättelse

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Vår referens Dnr:

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Beslut om ändring av telefoninummerplanen

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Minnesanteckningar Integritetsforum 27 april 2018

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST

(5) Anna Rappe Mötesanteckningar Integritetsforum, 18 mars 2010

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Dnr: (2) Postavdelningen Adrian Waltl. Tillsynsärende avseende Postnords rapportering av klagomål till PTS PROMEMORIA

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Föreläggande att på begäran lämna ut uppgifter om abonnemang

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Ansökan om undantag från krav på reservkraft

Post- och telestyrelsen (PTS) har med utgångspunkt från myndighetens verksamhetsområde följande synpunkter.

Beslut om förbud enligt 12 radioutrustningslagen

Innehåll Dnr: (5)

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

Remissvar angående anmälningspliktig verksamhet och anmälningspliktig omsättning

Datum Vår referens Aktbilaga Dnr:

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Transkript:

BESLUT 1(8) Datum Vår referens Aktbilaga 2018-06-08 Dnr: 17-7172 Nätsäkerhetsavdelningen Enheten för säker och konfidentiell kommunikation Telia Company AB Endast via e-post Avskrivningsbeslut Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter Saken Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Integritetsincidenter Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst (tjänstetillhandahållare) ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att säkerställa att de uppgifter som överförs, lagras eller på annat sätt behandlas i samband med tillhandahållandet av tjänsten skyddas. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. 1 Emellertid kan händelser inträffa som leder till att de behandlade uppgifterna inte skyddas. Sådana händelser kan inträffa genom yttre påverkan, som t.ex. sabotage, men kan också bero på brister eller otillåtet förfarande hos 1 Se 6 kap. 3 lagen (2003:389) om elektronisk kommunikation (LEK). I Post och telestyrelsens föreskrifter och allmänna råd (PTSFS 2014:1) om skyddsåtgärder för behandlade uppgifter finns ytterligare bestämmelser om åtgärderna. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(8) tjänstetillhandhållaren, som t.ex. brister i organisationen, tekniska fel i system eller mänskliga misstag. När sådana händelser leder till oavsiktlig eller otillåten utplåning, förlust, ändring, eller otillåtet avslöjande av eller åtkomst till uppgifterna är dessa att se som integritetsincidenter. 2 Integritetsincidenter kan innebära en inskränkning av grundläggande mänskliga fri- och rättigheter, i synnerhet rätten till integritet och rätten till konfidentiell kommunikation, samt potentiellt utgöra ett hot mot tilltron till elektroniska kommunikationstjänster. Tjänstetillhandahållare är skyldiga att utan onödigt dröjsmål rapportera integritetsincidenter till PTS och till de abonnenter eller användare som har påverkats negativt av incidenten. 3 Målet för tjänstetillhandahållare bör således vara att med hjälp av skyddsåtgärder förhindra att integritetsincidenter inträffar samt, om en incident trots det inträffar, att kunna reagera på det inträffade i god tid och att kunna lära av och återföra kunskaper från inträffade incidenter till organisationen. Förmågan att korrekt identifiera integritetsincidenter utgör här en grundförutsättning. Tjänstetillhandahållare ska ha dokumenterade rutiner för bl.a. identifiering och intern rapportering av integritetsincidenter. 4 Åtkomst till behandlade uppgifter får endast lämnas till den som har en relevant utbildning med hänsyn till de uppgifter denne hanterar. En sådan utbildning bör innehålla information om bl.a. tecken på att en integritetsincident har inträffat och hur rapportering av integritetsincidenter ska ske. 5 Om tillsynen Skyldigheten att rapportera integritetsincidenter till PTS infördes 2011 och varje år ökar antalet inrapporterade incidenter. PTS ser positivt på att incidenter i allt större utsträckning rapporteras men tror ändå att det sannolikt inträffar händelser som inte identifieras som integritetsincidenter, och som aldrig rapporteras internt hos tillhandahållaren, och därmed inte heller till PTS. En tänkbar orsak till att integritetsincidenter inte identifieras är att kunskapen om vad som är en integritetsincident och hur de ska rapporteras vidare inom den egna organisationen inte är tillräcklig hos personal som behandlar uppgifter hos tjänstetillhandahållarna. PTS tror därför att tjänstetillhandahållarna kan bli ännu bättre på att identifiera och rapportera integritetsincidenter. 2 Se 6 kap. 1 LEK. 3 Se 6 kap. 4 a LEK. 4 Se 10 PTSFS 2014:1. 5 Se 5 PTSFS 2014:1 och de allmänna råden till paragrafen. Post- och telestyrelsen 2

3(8) Mot bakgrund av detta beslutade PTS att granska ett antal tjänstetillhandahållares förmåga att identifiera och internt rapportera integritetsincidenter. I denna tillsyn har primärt förmågan hos tjänstetillhandahållarens medarbetare och uppdragstagare att identifiera och förstå när en händelse utgör en integritetsincident granskats, och inte tjänstetillhandahållarens tekniska åtgärder, såsom loggning eller övervakning, för att upptäcka en incident. Inom ramen för tillsynen begärde PTS att tjänstetillhandahållarna skulle inkomma med dokumentationen av sina rutiner för identifiering och intern rapportering av integritetsincidenter samt en övergripande beskrivning av hur de tar fram och tillämpar dessa rutiner. Begäran avsåg alltså de rutiner som redogör för och beskriver tjänstetillhandahållarens arbete med att identifiera och internt rapportera en integritetsincident, från det att integritetsincidenten inträffar till dess att den rapporteras till PTS. Det gällde de rutiner som finns för tjänstetillhandahållarens medarbetare och uppdragstagare för att de ska kunna identifiera integritetsincidenter, dvs. förstå när en händelse utgör en integritetsincident, och rapportera den internt. Det gällde också tjänstetillhandahållarens stödjande rutiner för att underlätta medarbetarnas och uppdragstagarnas identifiering och interna rapportering, i form av t.ex. processer, mallar, utbildningsmaterial och stödsystem. PTS kallade även tjänstetillhandahållarna till möten för att diskutera rutinerna. Syftet med dessa möten var att PTS skulle få en djupare förståelse för rutinerna och tjänstetillhandahållarnas arbete med dem, särskilt avseende hur rutinerna tillämpas i praktiken. För detta ändamål önskade PTS att åtminstone en medarbetare inom kundservice respektive NOC 6 med ca 6 12 månaders erfarenhet av sin aktuella tjänst och en medarbetare som ansvarar för utbildning skulle delta på mötena. Dessutom tog PTS fram ett antal fallbeskrivningar som tjänstetillhandahållarnas rutiner diskuterades utifrån på mötet. Telia Company AB Telia Company AB (Telia) är en av de tjänstetillhandahållare som omfattas av den aktuella tillsynen. PTS inledde tillsynen mot bolaget den 20 juni 2017. PTS har tagit del av Telias dokumenterade rutiner samt den övergripande beskrivningen av hur bolaget tar fram och tillämpar dessa. PTS har vidare den 9 oktober 2017 haft ett möte med Telia. 6 Förkortning för network operations center, på svenska nätövervakningscentral, vilket är en plats för övervakning av ett nätverk för datakommunikation, telekommunikation eller radio- och tv-sändningar. Post- och telestyrelsen 3

4(8) PTS granskning av Telias förmåga att identifiera och internt rapportera integritetsincidenter baseras på de handlingar som inhämtats och de muntliga upplysningar som lämnats av Telia i samband med tillsynsmötet. Inhämtade handlingar och upplysningar Telia har rutiner för att identifiera och internt rapportera integritetsincidenter. Rutinerna är dokumenterade samt ses kontinuerligt över och justeras vid behov. Av rutinerna framgår att de gäller för alla anställda. Telia uppger dock att de inte gäller för Telias underleverantörer. Istället har Telia avtalat med sina underleverantörer att incidenter ska rapporteras till en särskild kontaktperson hos Telia. Vidare har underleverantörerna ålagts att själva ta fram rutiner och utbilda personal i integritetsfrågor. Förfarandet har inte följts upp av Telia. Enligt rutinerna är alla anställda skyldiga att skyndsamt rapportera alla säkerhetsincidenter, vilket även inbegriper integritetsincidenter. Incidenter rapporteras genom ett särskilt formulär som går att nå via Telias intranät. Som stöd finns information på intranätet innehållande definitionen av vad som är en integritetsincident 7 och även exempel på händelser med personuppgifter som kan utgöra integritetsincidenter. Anställda har även möjlighet att få ytterligare stöd av vissa personalgrupper, t.ex. ledare och personal som särskilt arbetar med integritetsfrågor. Anställda kan dessutom ringa den interna enhet som initialt handlägger rapporten. Enheten kan nås dygnet runt. Telia uppmuntrar de anställda att rapportera alla misstänkta händelser, t.ex. när kunder hör av sig med ärenden som verkar konstiga eller om den anställde misstänker något som inte stämmer i organisationen. Hellre att det rapporteras för mycket än för lite. Det är meningen att alla misstänkta händelser ska rapporteras men alla anställda ska inte behöva göra bedömningen om en händelse faktiskt utgör en rapporteringsskyldig integritetsincident enligt LEK. Det är istället mottagaren av rapporten som gör den bedömningen. För att fånga upp eventuella integritetsincidenter är det även rutin att alltid kontrollera om personuppgifter exponerats eller förstörts i samband med incidenter på Telias IT-system för att klargöra om en sådan händelse även kan utgöra en rapporteringsskyldig integritetsincident. Telia har en process för att hantera incidenter och rapportera dem internt. Av processen framgår vilka aktiviteter som ska utföras och vem som gör vad. 7 I enlighet med 6 kap. 1 LEK. Post- och telestyrelsen 4

5(8) De dokumenterade rutinerna är tillgängliga på Telias intranät, som alla anställda når. Telia uppger att de anställda får utbildning i rutinerna och generellt om integritetsfrågor. Det finns ett tiotal olika utbildningar om integritetsfrågor. Vissa mer allmänna utbildningar är obligatoriska för alla anställda och vissa mer djupgående utbildningar är endast obligatoriska för vissa personalgrupper, t.ex. kundtjänst. Telia genomför systematiskt och kontinuerligt utbildningar samt arbetar aktivt med att utveckla utbildningarna så att de anpassas till de anställdas behov, görs mer praktiska och användarvänliga. Det är ledarna som ansvarar för att säkra att de anställda faktiskt genomför de obligatoriska utbildningarna men någon annan mer systematisk uppföljning sker inte. Telia genomför även månatliga informationsmöten där aktuella frågor inom integritetsområdet kan lyftas. Telia genomför även vissa andra informationsaktiviteter för att höja medvetenheten om integritetsfrågor, t.ex. för anställda som arbetar med IT-systemen. De olika utbildnings- och informationsinsatserna kompletteras genom det vardagliga lärandet, framför allt genom den återkoppling och analys av inträffade incidenter som görs i syfte att tydliggöra vad som kan vara en integritetsincident och hur rutinerna kan förbättras. Vid mötet med Telia diskuterades den praktiska tillämpningen av rutinerna utifrån de fallbeskrivningar PTS tagit fram. Genom diskussionen fick PTS en bild av hur Telia tillämpar sina rutiner på de aktuella fallbeskrivningarna. Det deltog emellertid varken någon medarbetare inom kundservice eller NOC. PTS saknade dessa medarbetares perspektiv. Skäl Tillämpliga bestämmelser Enligt 6 kap. 3 lagen (2003:389) om elektronisk kommunikation (LEK) ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Enligt 3 PTS föreskrifter och allmänna råd (PTSFS 2014:1) om skyddsåtgärder för behandlade uppgifter ska tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter bedrivas långsiktigt, Post- och telestyrelsen 5

6(8) kontinuerligt och systematiskt. I säkerhetsarbetet ska det finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning för säkerhetsarbetet ska dokumenteras. Enligt 5 PTSFS 2014:1 ska tjänstetillhandahållaren bl.a. säkerställa att åtkomst till behandlade uppgifter endast ges till den som har relevant utbildning med hänsyn till de uppgifter denne hanterar. Enligt allmänna råd till 5 PTSFS 2014:1 bör en relevant utbildning innehålla information om när och hur behandlade uppgifter får hanteras, tecken på att en integritetsincident har inträffat, tänkbara konsekvenser av en inträffad integritetsincident för abonnenter och användare, hur rapportering av integritetsincidenter ska ske samt hur uppföljning av integritetsincidenter sker i organisationen. Enligt 10 PTSFS 2014:1 ska tjänstetillhandahållare bl.a. ha dokumenterade rutiner för identifiering och intern rapportering av integritetsincidenter. Enligt 7 kap. 1 LEK ska tillsynsmyndigheten bl.a. ha tillsyn över efterlevnaden av lagen och de föreskrifter som har meddelats med stöd av lagen. Enligt 2 förordningen (2003:396) om elektronisk kommunikation är PTS tillsynsmyndighet enligt LEK. PTS bedömning Telia uppfyller det föreskrivna kravet i 10 PTSFS 2014:1 om att ha dokumenterade rutiner för identifiering och intern rapportering av integritetsincidenter. PTS ser positivt på att Telia kontinuerligt ser över rutinerna och justerar dem vid behov, att rutinerna gäller för alla anställda, att dokumentationen finns lättillgänglig, samt att Telia har en tydlig process och tydlig rollfördelning för arbetet med att hantera incidenter och rapportera dem internt. PTS ser även positivt på det systematiska och kontinuerliga arbete som bedrivs brett i organisationen med utbildnings- och informationsinsatserna, inklusive det vardagliga lärandet, samt på det arbete som bedrivs med att utveckla och anpassa utbildningarna. Det är bra att ledare följer upp att anställda faktiskt genomgår obligatoriska utbildningar men för att säkerställa att utbildningarna är ändamålsenliga och att enskilda tar till sig informationen kan det finnas anledning att överväga om genomförda utbildningar också bör följas upp och utvärderas. PTS anser vidare att det är positivt att Telia beskriver och exemplifierar för de anställda vad som kan utgöra en integritetsincident, att frågan om något kan Post- och telestyrelsen 6

7(8) utgöra en integritetsincident alltid ska beaktas vid IT-systemincidenter, samt att bolaget uppmuntrar sina anställda att rapportera alla misstänkta händelser, samtidigt som det potentiellt mer krävande arbetet att göra en bedömning huruvida en händelse utgör en rapporteringsskyldig integritetsincident enligt LEK utförs av ett mindre antal experter. PTS anser dock att det bör tydliggöras att en integritetsincident inte enbart rör personuppgifter utan även kommunikationens konfidentialitet, vilket inte framgår av de dokumenterade rutinerna idag. När det gäller Telias underleverantörer anser PTS att bolaget behöver överväga i vilken utsträckning rutinerna samt utbildnings- och informationsinsatserna ska utökas till att även omfatta dessa eller om det förfarande som avtalas med underleverantörerna ska följas upp. Telia är skyldigt att dels säkerställa att all personal inom bolagets verksamhet har relevant utbildning i förhållande till de uppgifter dessa har åtkomst till och hanterar, dels hantera och rapportera samtliga inträffade integritetsincidenter inom bolagets verksamhet oaktat om den verksamheten bedrivs i egen regi eller inte. Utifrån diskussionen kring fallbeskrivningarna anser PTS trots att myndigheten saknade vissa medarbetares perspektiv att Telias rutiner för identifiering och intern rapportering är ändamålsenliga. PTS anser emellertid att det finns utrymme att utveckla bolagets förmåga att identifiera integritetsincidenter ytterligare. PTS har generellt inom ramen för tillsynen noterat att de integritetsincidenter som fångas upp och rapporteras av tjänstetillhandahållare framför allt är sådana som har uppmärksammats av kunder och rör händelser där obehöriga har kommit åt uppgifter till följd av bristande skydd. Detta till skillnad från incidenter som t.ex. ännu inte har uppmärksammats av kunder eller som till sin natur är sådana att kunder kan ha svårt att upptäcka dem på egen hand, t.ex. händelser där uppgifter gått förlorade eller ändrats till följd av bristande skydd. Det skulle kunna bero på att andra delar än kundtjänst inte identifierar de händelser som rapporteras i organisationen som integritetsincidenter eller att det inte proaktivt kontrolleras om integritetsincidenter har inträffat. PTS tror därför fortfarande att det sannolikt inträffar händelser som inte identifieras som integritetsincidenter, och som aldrig rapporteras internt hos tillhandahållaren, och därmed inte heller till PTS. Att händelser inte identifieras som integritetsincidenter skulle också även om det är något som faller utanför den här tillsynen kunna bero på avsaknaden av tekniska åtgärder, såsom loggning eller övervakning, för att upptäcka en incident. Tekniska åtgärder för att upptäcka integritetsincidenter är något PTS kan komma att granska vid ett senare tillfälle. Post- och telestyrelsen 7

8(8) En effektiv hantering av integritetsincidenter är en viktig del i informationssäkerhetsarbetet. För att kunna hantera och rapportera integritetsincidenter är det en förutsättning att tjänstetillhandahållare säkerställer att incidenter identifieras och fångas upp överallt i organisationen. Det är viktigt att Telia säkerställer att definitionen av vad som utgör en integritetsincident är tydlig och väl etablerad hos de experter inom Telia, till vilka händelser rapporteras från övriga organisationen och som ska göra bedömningen huruvida en händelse utgör en rapporteringsskyldig integritetsincident enligt LEK. Det kan finnas anledning att i större utsträckning fundera över vilka integritetsincidenter som kan inträffa i Telias verksamhet och eventuellt ta fram ytterligare rutiner för själva identifieringen av incidenter. Det kan även finnas anledning att vid fler tillfällen och gentemot fler delar av organisationen ställa frågan huruvida en händelse även utgör en rapporteringsskyldig integritetsincident. På så sätt ökar förutsättningarna att identifiera fler incidenter och att inte enbart sedan tidigare kända typer av integritetsincidenter identifieras utan även nya typer av integritetsincidenter. Skäl att fortsätta tillsynen av Telias förmåga att identifiera och internt rapportera integritetsincidenter finns inte, varför ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Staffan Lindmark. I ärendets slutliga handläggning har även Anna Montelius, Joanna Rutkowska och Camilla Östlund (föredragande) deltagit. Post- och telestyrelsen 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss