Tillsyn efter inträffad integritetsincident i fakturasystem



Relevanta dokument
Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Tillsyn över säkerhetsarbete hos underleverantör

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Tillsyn över dokumentation av informationsbehandlingstillgångar

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Exponerade fakturor på internet

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Avbrott i bredbandstelefonitjänst

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Tillsyn över dokumentation av tillgångar och förbindelser

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Överlämnande av nummer vid byte av tjänsteleverantör

(5)

Tillsyn över behandling av uppgifter

Säkerhetsbrister i kundplacerad utrustning

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Föreläggande att inkomma med uppgifter

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Säkerhetsbrister i kundplacerad utrustning

Vägledning om skyldigheten att rapportera integritetsincidenter

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Förslag till beslut om ändring av telefoninummerplanen

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Tillsynsrapport: Informationskrav vid ändring av avtal

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Saken. PTS underrättelse

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Beslut om förbud enligt 12 radioutrustningslagen

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Beslut om avskrivning

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Ändring av telefoninummerplanen

Beslut om ändring av telefoninummerplanen

Förändringar i nya LEK

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Beslut om förbud enligt 12 radioutrustningslagen

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Tillsyn över behandling av uppgifter och inhämtade av samtycke

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Innehåll Dnr: (5)

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Beslut om ändring av telefoninummerplanen

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Ansökan om undantag från krav på reservkraft

Svensk författningssamling

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut om tillstånd att använda radiosändare i 1800 MHz-bandet

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Datum Vår referens Aktbilaga Dnr:

Allokering och reservering av mobila nätkoder

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Minnesanteckningar Integritetsforum 27 april 2018

KOMMISSIONENS FÖRORDNING (EU)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

e Energimarknadsinspektionen BESLUT 1 (5) Swedish Energy Markets Inspectorate Datum Dnr

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

Beslut om ändring av telefoninummerplanen

Transkript:

BESLUT 1(6) Datum Vår referens Aktbilaga 2014-09-30 Dnr: 14-6336 9 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Tillsyn efter inträffad integritetsincident i fakturasystem Saken Tillsyn med anledning av bristande skydd av behandlade uppgifter och dröjsmål med att underrätta berörda abonnenter och användare. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Den 10 april 2014 inkom Hi3G Access AB (Tre) med en incidentrapport till PTS. Incidentrapporten avsåg en integritetsincident som inträffat i bolagets fakturasystem, vilken uppdagats då ett tiotal abonnenter kontaktat Tre och uppgivit att de via självservicetjänsten Mitt3 kunnat ta del av gamla fakturasammanställningar tillhörande andra personer. Informationen som kunde utläsas i fakturasammanställningarna var aggregerad och utgjordes av uppgifter såsom namn, mobilnummer, abonnemangstyp, fakturabelopp och OCR-nummer. Orsaken till incidenten och antal drabbade abonnenter och användare var vid tidpunkten för rapporteringen ännu inte känd. Den 25 april 2014 inkom Tre med en kompletterande rapport som ytterligare beskrev incidenten och vilka åtgärder Tre hade vidtagit och planerade att vidta med anledning av det inträffade, men inte heller i den kompletterande rapporten, eller vid telefonkontakt med Tre, kunde bolaget redogöra för vare sig orsaken till integritetsincidenten, eller antalet drabbade abonnenter och användare. Mot bakgrund av detta inledde PTS den 26 maj 2014 tillsyn över Tre. PTS begärde därvid in ett flertal upplysningar och kallade Tre till tillsynsmöte. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) Den 13 juni 2014 hölls tillsynsmöte med Tre, varvid bolaget fick redogöra för sina svar på myndighetens frågor. Vid mötet redogjorde Tre bl.a. för orsaken till incidenten, vilket enligt bolaget var att identifikationsnummer (ID:n) som skapades vid hämtning av pdf-faktura överlappade med ID:n från ett äldre fakturahanteringssystem. Vid något tillfälle inträffade ett fel i det nyare systemet vilket innebar att det tog för lång tid att hämta fakturan därifrån, varvid systemet istället försökte hämta fakturan från det äldre fakturasystemet. I de fall det fanns ett ID som överensstämde i det äldre systemet visades felaktigt en äldre fakturasammanställning från en annan abonnent. Enligt uppgift från Tre var de drabbade abonnenterna och användarna fortsatt inte identifierade och därför inte heller underrättade om det inträffade. Anledningen till att identifieringen av berörda tog så lång tid var, enligt Tre, att det tog tid att matcha ID:n och fakturainformation med abonnenter, i och med att man behövde hjälp med detta från en underleverantörs systemloggar. Den 16 juni 2014 efterfrågade PTS att Tre senast den 1 juli 2014 skulle inkomma med en redogörelse för bolagets utredning om vilka abonnenter och användare som berörts av incidenten, samt en kopia av den underrättelse som Tre sänt till dessa. Vidare efterfrågade PTS en redogörelse för Tres utveckling av processer för loggning och hantering av systeminterna ID:n, senast den 1 september 2014. Den 1 juli 2014 inkom Tre med en redogörelse för utredningen om vilka abonnenter och användare som var drabbade, samt med en kopia av underrättelsen till dessa. Den 28 augusti 2014 inkom Tre med en redogörelse för bolagets utveckling av processer för loggning och hantering av ID:n, ett svar som - efter uppföljande frågor från PTS kompletterades med ytterligare information från Tre den 10 september 2014. Under tillsynen har Tre uppgivit att bolaget nu har vidtagit flera åtgärder för att skydda de behandlade uppgifterna, förhindra att liknande incidenter inträffar igen, och för att enklare kunna identifiera och utreda inträffade incidenter och berörda abonnenter. En första åtgärd som bolaget har vidtagit är att man har tagit bort möjligheten att hämta fakturor från två olika system, i syfte att minska komplexiteten och reducera riskerna för incidenter. Dessutom har bolaget genomfört en översyn av ID-hanteringen, varvid Tre bl.a. har tagit fram generella riktlinjer för IDhantering (för systeminterna ID:n i synnerhet), och ändrat i kodningen så att det nu inte längre går att tillgängliggöra ett ID innan pdf-fakturan är skapad. Tre har också inlett ett arbete med att utöka bolagets loggning. För behandling i ett av fakturasystemen sker nu även loggning i Tres interna CRM-system, där Post- och telestyrelsen 2

3(6) uppgifter om vem som har sökt, hämtat eller läst en faktura med ett visst fakturanummer, och tidpunkt för detta, dokumenteras. För det andra systemet som hämtar fakturor är motsvarande loggning planerad att införas inom kort. Skäl Tillämpliga bestämmelser PTS är enligt 2 första stycket förordningen (2003:396) om elektronisk kommunikation (FEK) tillsynsmyndighet enligt lag (2003:389) om elektronisk kommunikation (LEK). Tillsynsmyndigheten ska enligt 7 kap. 1 LEK utöva tillsyn över bl.a. efterlevnaden av lagen samt de föreskrifter som har meddelats med stöd av lagen. Enligt 34 c FEK är PTS behörig nationell myndighet enligt kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. 6 kap. 3 LEK kompletteras av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1), som trädde i kraft den 1 september 2014 och närmare beskriver vilka åtgärder som ska vidtas enligt lagen. Enligt 7 i föreskrifterna och de allmänna råden ska tjänstetillhandahållaren dokumentera (logga) all läsning, kopiering, ändring och utplåning av behandlade uppgifter samt åtkomst till de system som används för behandling av sådana uppgifter. Loggning ska ske på ett sådant sätt att det går att se vem som har vidtagit vilken åtgärd med vilka uppgifter och vid vilken tidpunkt. Tjänstetillhandahållaren ska vidare systematiskt och återkommande kontrollera loggarna. Kontrollerna får avgränsas till att omfatta utvalda behandlingar under begränsade tidsperioder, om kostnaderna för kontrollen motiverar en sådan avgränsning. Tjänstetillhandahållaren ska dokumentera genomförda kontroller av loggar. Post- och telestyrelsen 3

4(6) Vid misstanke om att en integritetsincident har inträffat ska relevanta loggar alltid kontrolleras. Tjänstetillhandahållaren ska vidare ha dokumenterade rutiner för kontroll av loggar. Enligt 6 kap. 4 a LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. När och hur rapportering av integritetsincidenter ska ske och vad rapporterna ska innehålla framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Enligt förordningen ska, som utgångspunkt, samtliga integritetsincidenter rapporteras till både PTS och till berörda abonnenter eller användare. Enligt art. 3-4 i förordningen kan dock operatören underlåta att underrätta en berörd abonnent eller användare om integritetsincidenten inte kan antas inverka negativt på abonnenterna eller användarna eller tjänstetillhandahållaren har vidtagit tekniska skyddsåtgärder som medför att de uppgifter som berörs av incidenten är oläsbara för obehöriga, t.ex. genom kryptering eller hashning av uppgifterna. Underrättelsen till abonnenter och användare ska bl.a. innehålla uppgifter om när integritetsincidenten inträffade, en beskrivning av integritetsincidenten och dess konsekvenser, åtgärder som tillhandahållaren vidtar som påverkar abonnenter eller användare, rekommenderade åtgärder som abonnenten eller användaren bör vidta samt kontaktuppgifter till tillhandahållaren. PTS bedömning I ärendet har huvudsakligen två frågor varit föremål för granskning, dels om Tre har vidtagit tillräckliga åtgärder för att skydda uppgifter som behandlas vid tillhandahållandet av tjänsten, och dels om Tres dröjsmål med att identifiera och underrätta berörda användare och abonnenter. De båda frågorna är relaterade till varandra såtillvida att loggning, enligt PTS bedömning, utgör en åtgärd för att skydda behandlade uppgifter enligt 6 kap. 3 LEK. I och med att de nya föreskrifterna har trätt ikraft föreligger även sedan den 1 september 2014 en direkt skyldighet att logga all läsning, kopiering, ändring och utplåning av behandlade uppgifter samt åtkomst till de system som används för behandling av uppgifter. Loggningen är, förutom att vara en förutsättning för att kunna utreda felorsaken, ett redskap för att kunna identifiera olika uppgifter i systemen, däribland uppgifter som kan identifiera abonnenter och användare. Post- och telestyrelsen 4

5(6) I tillsynen har det framkommit att Tre har haft en brist i sina system för hämtning av fakturor via Mitt3, som inneburit att det under en period skapades ett ID för en faktura före det att den motsvarades av en pdf-faktura. Om en abonnent under denna tid försökte hämta sin faktura (från ett fakturasystem) och det försöket misslyckades, försökte systemet istället hämta fakturan från ett äldre system. Då ID:n i de båda fakturasystemen överlappade, blev det under en period möjligt att hämta en gammal fakturasammanställning från en annan abonnent, och därvid ta del av uppgifter hänförliga till denne. Händelsen har, enligt PTS bedömning, visat att det vid tidpunkten för incidenten förelegat brister i Tres skydd av behandlade uppgifter. Tre har vidare uppgivit att det tog flera veckor innan bolaget kunde identifiera och underrätta berörda abonnenter och användare i enlighet med reglerna för detta, mot bakgrund av att Tre varit beroende av underleverantörers systemloggar för identifieringen. Det är enligt PTS bedömning inte godtagbart att det tar så pass lång tid att utreda vem som är drabbad och att underrätta dessa. Syftet med kravet på underrättelse till berörda är att säkerställa att dessa får den information om incidenten som de har rätt till, bl.a. så att abonnenten eller användaren själv kan vidta åtgärder med anledning av incidenten. Sedan tillsynen inleddes har Tre, såsom redovisats ovan, vidtagit ett flertal åtgärder i syfte att skydda uppgifterna och förhindra att en liknande incident inträffar igen i fakturasystemen. Det går nu endast att hämta en faktura från ett system, och ingen ID-information tillgängliggörs utan att pdf-fakturan först skapats, vilket, enligt PTS bedömning, minimerar risken för en likadan incident. Genom att förbättra sina riktlinjer och processer kring ID-hantering generellt har Tre skapat en bättre ordning och förutsättning för upptäckt och utredning av inträffade incidenter, även i andra system än fakturasystemen. Den genomförda och planerade utökade loggningen innebär, enligt PTS bedömning, också att Tre i framtiden, vad gäller fakturasystemen, kommer att kunna identifiera och underrätta berörda utan att vara beroende av underleverantörers loggar, vilket avsevärt förbättrar förutsättningarna för en snabbare process. PTS kan komma att återkomma till denna fråga, dvs. identifiering och underrättelse till berörda, i kommande tillsynsarbete, i syfte att säkerställa att de genomförda åtgärderna har lett till önskat resultat även på längre sikt. PTS lämnar med denna erinran saken utan ytterligare åtgärd. Skäl att fortsätta tillsynen föreligger därför inte, varför ärendet avskrivs från vidare handläggning. Post- och telestyrelsen 5

6(6) Underrättelse om överklagande Beslutet kan inte överklagas. Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även juristen Karin Lodin (föredragande) och Erika Hersaeus deltagit. Post- och telestyrelsen 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss