Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn över säkerhetsarbete hos underleverantör

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn över dokumentation av tillgångar och förbindelser

Exponerade fakturor på internet

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Avbrott i bredbandstelefonitjänst

(5)

Överlämnande av nummer vid byte av tjänsteleverantör

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Säkerhetsbrister i kundplacerad utrustning

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Tillsyn över behandling av uppgifter

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Vägledning om skyldigheten att rapportera integritetsincidenter

Föreläggande att inkomma med uppgifter

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Tillsynsrapport: Informationskrav vid ändring av avtal

Beslut om avskrivning

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Säkerhetsbrister i kundplacerad utrustning

Förändringar i nya LEK

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Förslag till beslut om ändring av telefoninummerplanen

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Beslut om ändring av telefoninummerplanen

Saken. PTS underrättelse

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Vår referens Dnr:

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Ansökan om undantag från krav på reservkraft

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Välkomna! Integritetsforum torsdagen den 14 april 2016

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Innehåll Dnr: (5)

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

Beslut om förbud enligt 12 radioutrustningslagen

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Ändring av telefoninummerplanen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Tillsyn över behandling av uppgifter och inhämtade av samtycke

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Mötesanteckningar från Driftsäkerhetsforum

Underrättelse avseende krav om god funktion och teknisk säkerhet Telia Fastmobil

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Datum Vår referens Aktbilaga Dnr:

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

Beslut om ändring av telefoninummerplanen

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Telia överlämnar frågan till PTS prövning.

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

Informationssäkerhet för samhällsviktiga och digitala tjänster

Minnesanteckningar Integritetsforum 27 april 2018

Beslut om förbud enligt 12 radioutrustningslagen

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Beslut om tillstånd att använda radiosändare i 700 MHz-bandet

Transkript:

AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1327 Nätsäkerhetsavdelningen Anna Montelius 08-678 58 12 anna.montelius@pts.se Telia Company AB Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB Saken Tillsyn över incidentrapportering och inträffade integritetsincidenter. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund PTS genomför årligen planlagd tillsyn över ett urval operatörer, bland annat i syfte att dessa ska redogöra för inträffade incidenter under föregående år. Tillsynen omfattar såväl driftstörningar som integritetsincidenter, vilka operatörerna är skyldiga att rapportera in till PTS. Ett av huvudsyftena med inrapporteringsskyldigheten är att PTS ska kunna göra en bedömning av om det finns skäl att misstänka att bestämmelser i lagen (2003:389) om elektronisk kommunikation (LEK), t.ex. bestämmelsen om skydd av behandlade uppgifter i 6 kap. 3 LEK, inte efterlevs. Även i de fall en incidentrapport till PTS inte ger upphov till direkta tillsynsåtgärder, kan incidentrapporten innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till integritetsincidenter. Detta kan i sin tur utgöra underlag för PTS planlagda tillsynsinsatser. PTS inledde den 15 februari 2016 den planlagda årliga tillsynen rörande incidentrapportering och inträffade integritetsincidenter över Telia Company Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) AB (f.d. TeliaSonera AB - Telia). Den 14 mars 2016 höll PTS ett tillsynsmöte med Telia. Vid mötet beskrev Telia sina delvis nya rutiner för rapportering av integritetsincidenter och hur bolaget hanterar dessa. Ansvarsfördelningen och processen för hantering av integritetsincidenter har förtydligats, enligt Telia. Telia redogjorde även för den beredskap som finns, genom en arbetsgrupp som snabbt kan sammankallas för att incidenter ska kunna verifieras och hinna rapporteras i tid. Vidare redogjorde Telia för det system och den mall som används för rapportering. Genom mallen ska det bland annat tydligt framgå för PTS vem som är bolagets kontaktperson. Telia informerade också om att bolaget ger fortlöpande utbildning i incidenthantering till dem som berörs av detta. Vid mötet presenterade Telia även sin förteckning över integritetsincidenter och redogjorde för de fyra incidenter som rapporterats in till PTS under föregående år och vilka åtgärder som vidtagits med anledning av dessa. En av de aktuella incidenterna rörde misstag som gjorts av underleverantör till Telia i samband med ett tekniskt kabelarbete. Telia framförde att man anser att sådana problem generellt hanteras väl genom de avtal som säkerställer att underleverantörer tar ansvar för händelser av detta slag. Incidenten, som även liknar en annan incident som inrapporterats till PTS vid ett senare tillfälle och som därför inte direkt omfattas av tillsynen, rörde en felkoppling. Felkopplingen innebar att den som försökte ringa till den ena abonnenten i stället kom till den andra, och vice versa. Dessa incidenter föranledde en diskussion om vilka personer som kan anses negativt berörda av en sådan incident och därför bör underrättas. I de aktuella ärendena hade Telia endast underrättat de två abonnenter som fått sina nummer förväxlade. Telia hade vidare, både i sin rapportering till abonnenterna och i sin rapportering till PTS, endast angett att integritetsincidenten bestått i att abonnenterna har kunnat ta del av varandras samtalshistorik på bolagets webbplattform Mina sidor. Vid mötet diskuterades även Telias underrättelse till berörda efter en incident rörande bristande säkerhet på en sida där kundavtal fanns tillgängliga. Telia informerade i sin underrättelse till berörda om att det inträffade inte orsakat någon skada för den berörda personen. Skäl Tillämpliga bestämmelser PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över Post- och telestyrelsen 2

3(6) efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Enligt 6 kap. 4 a LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. När och hur rapportering ska ske framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) framgår bland annat följande: Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska enligt 3 bedrivas långsiktigt, kontinuerligt och systematiskt och det ska finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning ska dokumenteras. Tjänstetillhandahållaren ska enligt 4 bland annat identifiera informationsbehandlingstillgångar och föra en förteckning över dessa samt analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Vidtagna skyddsåtgärder samt tjänstetillhandahållarens bedömningar av lämplig nivå för hantering av riskerna ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska enligt 10 ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lagen (2003:389) om elektronisk kommunikation, Post- och telestyrelsen 3

4(6) 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. Enligt 6 kap. 4 b LEK ska tjänstetillhandahållaren löpande föra en förteckning över integritetsincidenter. Vad förteckningen närmare ska innehålla framgår av 11 i de ovannämnda föreskrifterna. PTS bedömning Inledningsvis kan PTS konstatera att Telias förteckning över integritetsincidenter innehåller de uppgifter som enligt 11 i föreskrifterna måste finnas med i förteckningen, och PTS har därför inget att erinra i den delen av tillsynen. När det gäller antalet inrapporterade integritetsincidenter har Telia under det föregående året rapporterat in fyra integritetsincidenter till PTS, vilket är samma antal som året dessförinnan. Definitionen av vad som utgör en integritetsincident är mycket vid, och PTS bedömer det som sannolikt att det inträffar integritetsincidenter i Telias omfattande verksamhet som inte upptäcks eller rapporteras till PTS. PTS ser positivt på de förtydligade rutinerna för rapportering av integritetsincidenter och den kontinuerliga utbildningen av personalen som genomförs, och förväntar att dessa förändringar medför att fler incidenter kan upptäckas och rapporteras till myndigheten. Under 2016 har PTS planlagt en tillsynsinsats för att kontrollera tillhandahållares förmåga att upptäcka och rapportera integritetsincidenter. Denna fråga kan således komma att bli föremål för en framtida granskning under 2016. PTS förutsätter också att Telia vid inrapportering av incidenter till PTS kommer att tydligt ange aktuell kontaktperson för respektive incident. Med dessa påpekanden lämnar PTS denna del av tillsynen utan åtgärd. Avseende Telias underrättelser till berörda abonnenter och användare, samt rapporter till PTS, kan PTS konstatera att det förelegat vissa brister, såväl vad gäller bedömningen av vilka personer som ska underrättas i enlighet med förordningen, som vad gäller innehållet i den information som getts till berörda abonnenter och till PTS. När det gäller vilka personer som är berörda av en incident vid fall då två abonnenter felkopplats gör PTS bedömningen att även de personer som ringt till de aktuella personerna har berörts av incidenten. För att operatörens skyldighet att underrätta dessa inte ska gälla behöver Telia, enligt myndighetens bedömning, åtminstone presentera ett resonemang för PTS om varför man anser att dessa inte påverkats negativt och således inte behöver underrättas. Vid mötet framförde Telia att man inte hade fått några indikationer på att de personer som ringt de två sammankopplade abonnenterna hade påverkats negativt, varför dessa inte hade underrättats. PTS bedömer att detta Post- och telestyrelsen 4

5(6) resonemang inte är tillräckligt utförligt för att kunna konstatera att de som ringt inte varit negativt påverkade, och anser att man bör kunna framföra tydligare skäl till underlåten underrättelse. PTS förutsätter att Telia i framtiden vid liknande fall kommer att presentera en mer utförlig förklaring om man inte har för avsikt att underrätta berörda. Med detta påpekande lämnar PTS saken utan ytterligare åtgärd. När det gäller underrättelsernas innehåll har Telia, i fallet ovan med de ihopkopplade abonnenterna, i sin underrättelse till både PTS och de två sammankopplade abonnenterna angivit att incidenten bestått i att abonnenterna har kunnat se varandras samtalshistorik via Mina Sidor. Även om detta utgör en integritetsincident i lagens mening är det, enligt PTS bedömning, oftast att anse som en än större incident att innehåll i meddelanden har kommit till fel person i och med de telefonsamtal som genomförts under incidenten. Vid mötet ställde sig Telia inledningsvis frågande till en sådan tolkning, men medgav efter hand att man förstod att incidenten var större än en eventuell spridning av samtalshistorik. PTS förutsätter härvid att Telia i framtida liknande situationer kommer att ange integritetsincidentens hela omfattning vid rapportering till PTS och de negativt berörda. Med detta påpekande lämnar PTS även detta utan ytterligare åtgärd. Slutligen har Telia, enligt PTS bedömning, i en underrättelse redogjort bristfälligt för vilka potentiella konsekvenser incidenten kan få för de berörda, då Telia informerat om att det inträffade inte orsakat någon skada för den berörda personen. PTS är av uppfattningen att konsekvenserna för den som berörs av en integritetsincident kan variera stort beroende på den berördas personliga situation och förhållanden. Det är därför olämpligt att i underrättelsen alltför lättvindigt avfärda konsekvenserna. I stället bör operatören tydligt informera om vad som hänt och åtminstone uppmana berörda personer att själva analysera om det kan få ytterligare konsekvenser för dem, även om sådana inte är uppenbara för Telia. Efter att PTS framfört denna synpunkt vid mötet bekräftade Telia att man tog till sig PTS resonemang i denna fråga, varför saken lämnas utan ytterligare åtgärd inom ramen för denna tillsyn. Skäl att fortsätta tillsynen föreligger därför inte, varför ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även juristerna Anna Montelius (föredragande) och Karin Lodin deltagit. Post- och telestyrelsen 5

Post- och telestyrelsen 6 6(6)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss