BESLUT 1(6) Datum Vår referens Aktbilaga 2014-09-30 Dnr: 14-6336 9 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Tillsyn efter inträffad integritetsincident i fakturasystem Saken Tillsyn med anledning av bristande skydd av behandlade uppgifter och dröjsmål med att underrätta berörda abonnenter och användare. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Den 10 april 2014 inkom Hi3G Access AB (Tre) med en incidentrapport till PTS. Incidentrapporten avsåg en integritetsincident som inträffat i bolagets fakturasystem, vilken uppdagats då ett tiotal abonnenter kontaktat Tre och uppgivit att de via självservicetjänsten Mitt3 kunnat ta del av gamla fakturasammanställningar tillhörande andra personer. Informationen som kunde utläsas i fakturasammanställningarna var aggregerad och utgjordes av uppgifter såsom namn, mobilnummer, abonnemangstyp, fakturabelopp och OCR-nummer. Orsaken till incidenten och antal drabbade abonnenter och användare var vid tidpunkten för rapporteringen ännu inte känd. Den 25 april 2014 inkom Tre med en kompletterande rapport som ytterligare beskrev incidenten och vilka åtgärder Tre hade vidtagit och planerade att vidta med anledning av det inträffade, men inte heller i den kompletterande rapporten, eller vid telefonkontakt med Tre, kunde bolaget redogöra för vare sig orsaken till integritetsincidenten, eller antalet drabbade abonnenter och användare. Mot bakgrund av detta inledde PTS den 26 maj 2014 tillsyn över Tre. PTS begärde därvid in ett flertal upplysningar och kallade Tre till tillsynsmöte. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se
2(6) Den 13 juni 2014 hölls tillsynsmöte med Tre, varvid bolaget fick redogöra för sina svar på myndighetens frågor. Vid mötet redogjorde Tre bl.a. för orsaken till incidenten, vilket enligt bolaget var att identifikationsnummer (ID:n) som skapades vid hämtning av pdf-faktura överlappade med ID:n från ett äldre fakturahanteringssystem. Vid något tillfälle inträffade ett fel i det nyare systemet vilket innebar att det tog för lång tid att hämta fakturan därifrån, varvid systemet istället försökte hämta fakturan från det äldre fakturasystemet. I de fall det fanns ett ID som överensstämde i det äldre systemet visades felaktigt en äldre fakturasammanställning från en annan abonnent. Enligt uppgift från Tre var de drabbade abonnenterna och användarna fortsatt inte identifierade och därför inte heller underrättade om det inträffade. Anledningen till att identifieringen av berörda tog så lång tid var, enligt Tre, att det tog tid att matcha ID:n och fakturainformation med abonnenter, i och med att man behövde hjälp med detta från en underleverantörs systemloggar. Den 16 juni 2014 efterfrågade PTS att Tre senast den 1 juli 2014 skulle inkomma med en redogörelse för bolagets utredning om vilka abonnenter och användare som berörts av incidenten, samt en kopia av den underrättelse som Tre sänt till dessa. Vidare efterfrågade PTS en redogörelse för Tres utveckling av processer för loggning och hantering av systeminterna ID:n, senast den 1 september 2014. Den 1 juli 2014 inkom Tre med en redogörelse för utredningen om vilka abonnenter och användare som var drabbade, samt med en kopia av underrättelsen till dessa. Den 28 augusti 2014 inkom Tre med en redogörelse för bolagets utveckling av processer för loggning och hantering av ID:n, ett svar som - efter uppföljande frågor från PTS kompletterades med ytterligare information från Tre den 10 september 2014. Under tillsynen har Tre uppgivit att bolaget nu har vidtagit flera åtgärder för att skydda de behandlade uppgifterna, förhindra att liknande incidenter inträffar igen, och för att enklare kunna identifiera och utreda inträffade incidenter och berörda abonnenter. En första åtgärd som bolaget har vidtagit är att man har tagit bort möjligheten att hämta fakturor från två olika system, i syfte att minska komplexiteten och reducera riskerna för incidenter. Dessutom har bolaget genomfört en översyn av ID-hanteringen, varvid Tre bl.a. har tagit fram generella riktlinjer för IDhantering (för systeminterna ID:n i synnerhet), och ändrat i kodningen så att det nu inte längre går att tillgängliggöra ett ID innan pdf-fakturan är skapad. Tre har också inlett ett arbete med att utöka bolagets loggning. För behandling i ett av fakturasystemen sker nu även loggning i Tres interna CRM-system, där Post- och telestyrelsen 2
3(6) uppgifter om vem som har sökt, hämtat eller läst en faktura med ett visst fakturanummer, och tidpunkt för detta, dokumenteras. För det andra systemet som hämtar fakturor är motsvarande loggning planerad att införas inom kort. Skäl Tillämpliga bestämmelser PTS är enligt 2 första stycket förordningen (2003:396) om elektronisk kommunikation (FEK) tillsynsmyndighet enligt lag (2003:389) om elektronisk kommunikation (LEK). Tillsynsmyndigheten ska enligt 7 kap. 1 LEK utöva tillsyn över bl.a. efterlevnaden av lagen samt de föreskrifter som har meddelats med stöd av lagen. Enligt 34 c FEK är PTS behörig nationell myndighet enligt kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. 6 kap. 3 LEK kompletteras av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1), som trädde i kraft den 1 september 2014 och närmare beskriver vilka åtgärder som ska vidtas enligt lagen. Enligt 7 i föreskrifterna och de allmänna råden ska tjänstetillhandahållaren dokumentera (logga) all läsning, kopiering, ändring och utplåning av behandlade uppgifter samt åtkomst till de system som används för behandling av sådana uppgifter. Loggning ska ske på ett sådant sätt att det går att se vem som har vidtagit vilken åtgärd med vilka uppgifter och vid vilken tidpunkt. Tjänstetillhandahållaren ska vidare systematiskt och återkommande kontrollera loggarna. Kontrollerna får avgränsas till att omfatta utvalda behandlingar under begränsade tidsperioder, om kostnaderna för kontrollen motiverar en sådan avgränsning. Tjänstetillhandahållaren ska dokumentera genomförda kontroller av loggar. Post- och telestyrelsen 3
4(6) Vid misstanke om att en integritetsincident har inträffat ska relevanta loggar alltid kontrolleras. Tjänstetillhandahållaren ska vidare ha dokumenterade rutiner för kontroll av loggar. Enligt 6 kap. 4 a LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. När och hur rapportering av integritetsincidenter ska ske och vad rapporterna ska innehålla framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Enligt förordningen ska, som utgångspunkt, samtliga integritetsincidenter rapporteras till både PTS och till berörda abonnenter eller användare. Enligt art. 3-4 i förordningen kan dock operatören underlåta att underrätta en berörd abonnent eller användare om integritetsincidenten inte kan antas inverka negativt på abonnenterna eller användarna eller tjänstetillhandahållaren har vidtagit tekniska skyddsåtgärder som medför att de uppgifter som berörs av incidenten är oläsbara för obehöriga, t.ex. genom kryptering eller hashning av uppgifterna. Underrättelsen till abonnenter och användare ska bl.a. innehålla uppgifter om när integritetsincidenten inträffade, en beskrivning av integritetsincidenten och dess konsekvenser, åtgärder som tillhandahållaren vidtar som påverkar abonnenter eller användare, rekommenderade åtgärder som abonnenten eller användaren bör vidta samt kontaktuppgifter till tillhandahållaren. PTS bedömning I ärendet har huvudsakligen två frågor varit föremål för granskning, dels om Tre har vidtagit tillräckliga åtgärder för att skydda uppgifter som behandlas vid tillhandahållandet av tjänsten, och dels om Tres dröjsmål med att identifiera och underrätta berörda användare och abonnenter. De båda frågorna är relaterade till varandra såtillvida att loggning, enligt PTS bedömning, utgör en åtgärd för att skydda behandlade uppgifter enligt 6 kap. 3 LEK. I och med att de nya föreskrifterna har trätt ikraft föreligger även sedan den 1 september 2014 en direkt skyldighet att logga all läsning, kopiering, ändring och utplåning av behandlade uppgifter samt åtkomst till de system som används för behandling av uppgifter. Loggningen är, förutom att vara en förutsättning för att kunna utreda felorsaken, ett redskap för att kunna identifiera olika uppgifter i systemen, däribland uppgifter som kan identifiera abonnenter och användare. Post- och telestyrelsen 4
5(6) I tillsynen har det framkommit att Tre har haft en brist i sina system för hämtning av fakturor via Mitt3, som inneburit att det under en period skapades ett ID för en faktura före det att den motsvarades av en pdf-faktura. Om en abonnent under denna tid försökte hämta sin faktura (från ett fakturasystem) och det försöket misslyckades, försökte systemet istället hämta fakturan från ett äldre system. Då ID:n i de båda fakturasystemen överlappade, blev det under en period möjligt att hämta en gammal fakturasammanställning från en annan abonnent, och därvid ta del av uppgifter hänförliga till denne. Händelsen har, enligt PTS bedömning, visat att det vid tidpunkten för incidenten förelegat brister i Tres skydd av behandlade uppgifter. Tre har vidare uppgivit att det tog flera veckor innan bolaget kunde identifiera och underrätta berörda abonnenter och användare i enlighet med reglerna för detta, mot bakgrund av att Tre varit beroende av underleverantörers systemloggar för identifieringen. Det är enligt PTS bedömning inte godtagbart att det tar så pass lång tid att utreda vem som är drabbad och att underrätta dessa. Syftet med kravet på underrättelse till berörda är att säkerställa att dessa får den information om incidenten som de har rätt till, bl.a. så att abonnenten eller användaren själv kan vidta åtgärder med anledning av incidenten. Sedan tillsynen inleddes har Tre, såsom redovisats ovan, vidtagit ett flertal åtgärder i syfte att skydda uppgifterna och förhindra att en liknande incident inträffar igen i fakturasystemen. Det går nu endast att hämta en faktura från ett system, och ingen ID-information tillgängliggörs utan att pdf-fakturan först skapats, vilket, enligt PTS bedömning, minimerar risken för en likadan incident. Genom att förbättra sina riktlinjer och processer kring ID-hantering generellt har Tre skapat en bättre ordning och förutsättning för upptäckt och utredning av inträffade incidenter, även i andra system än fakturasystemen. Den genomförda och planerade utökade loggningen innebär, enligt PTS bedömning, också att Tre i framtiden, vad gäller fakturasystemen, kommer att kunna identifiera och underrätta berörda utan att vara beroende av underleverantörers loggar, vilket avsevärt förbättrar förutsättningarna för en snabbare process. PTS kan komma att återkomma till denna fråga, dvs. identifiering och underrättelse till berörda, i kommande tillsynsarbete, i syfte att säkerställa att de genomförda åtgärderna har lett till önskat resultat även på längre sikt. PTS lämnar med denna erinran saken utan ytterligare åtgärd. Skäl att fortsätta tillsynen föreligger därför inte, varför ärendet avskrivs från vidare handläggning. Post- och telestyrelsen 5
6(6) Underrättelse om överklagande Beslutet kan inte överklagas. Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även juristen Karin Lodin (föredragande) och Erika Hersaeus deltagit. Post- och telestyrelsen 6