Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn över säkerhetsarbete hos underleverantör

Tillsyn över dokumentation av informationsbehandlingstillgångar

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn över dokumentation av tillgångar och förbindelser

(5)

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Exponerade fakturor på internet

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Avbrott i bredbandstelefonitjänst

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Överlämnande av nummer vid byte av tjänsteleverantör

Säkerhetsbrister i kundplacerad utrustning

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Tillsyn över behandling av uppgifter

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Tillsynsrapport: Informationskrav vid ändring av avtal

Föreläggande att inkomma med uppgifter

Saken. PTS underrättelse

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Vägledning om skyldigheten att rapportera integritetsincidenter

Förändringar i nya LEK

Ansökan om undantag från krav på reservkraft

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Mötesanteckningar från Driftsäkerhetsforum

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Säkerhetsbrister i kundplacerad utrustning

Beslut om avskrivning

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Förslag till beslut om ändring av telefoninummerplanen

Beslut om ändring av telefoninummerplanen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Tillsyn över behandling av uppgifter och inhämtade av samtycke

KU Regelrådet.pdf; Föreskrifter Regelrådet.pdf; Missiv Regelrådet.pdf

Beslut om förbud enligt 12 radioutrustningslagen

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Välkomna! Integritetsforum torsdagen den 14 april 2016

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Innehåll Dnr: (5)

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Vår referens Dnr:

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Ändring av telefoninummerplanen

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Vägledning om skyldigheten att rapportera avbrott och störningar

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

Beslut om tillstånd att använda radiosändare i 700 MHz-bandet

Driftsäkerhetsforum. 15 juni Post- och telestyrelsen

Beslut om förbud enligt 12 radioutrustningslagen

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Minnesanteckningar Integritetsforum 27 april 2018

Driftsäkerhet i elektroniska kommunikationer

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Beslut om tillstånd att använda radiosändare i 1800 MHz-bandet

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Underrättelse avseende krav om god funktion och teknisk säkerhet Telia Fastmobil

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Beslut om ändring av telefoninummerplanen

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Utredningen om genomförande av NIS-direktivet

Föreläggande vid vite

Transkript:

AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2016-04-29 Dnr: 16-1282 Nätsäkerhetsavdelningen Anders Lindell 08-678 55 41 anders.lindell@pts.se Hi3G Access AB Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB Saken Tillsyn över incidentrapportering och inträffade incidenter. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund PTS genomför årligen planlagda tillsyner över ett urval operatörer, bland annat i syfte att dessa ska redogöra för inträffade incidenter under föregående år. Tillsynerna omfattar såväl driftstörningar som integritetsincidenter, vilka operatörerna är skyldiga att rapportera in till PTS. Ett av huvudsyftena med inrapporteringsskyldigheten är att PTS ska kunna göra en bedömning av om det finns skäl att misstänka att bestämmelser i lagen (2003:389) om elektronisk kommunikation (LEK), t.ex. bestämmelsen om driftsäkerhet i 5 kap. 6 b LEK, inte efterlevs. Även i de fall en incidentrapport till PTS inte ger upphov till direkta tillsynsåtgärder, kan incidentrapporten innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till störningar och avbrott eller integritetsincidenter. Detta kan i sin tur utgöra underlag för PTS planlagda tillsynsinsatser och även bidra till myndighetens arbete med risk- och sårbarhetsanalyser för sektorn och till myndighetens arbete med robusthetshöjande åtgärder. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) PTS inledde den 12 februari 2016 den planlagda årliga tillsynen rörande incidentrapportering och inträffade incidenter över Hi3G Access AB (Tre). Den 8 mars 2016 höll PTS ett tillsynsmöte med Tre. Vid mötet beskrev Tre sina rutiner för upptäckt och rapportering av störningar och avbrott av betydande omfattning. Tre framförde att föregående år hade varit ett bra år ur driftshänseende med få störningar som kommit upp i nivå för att rapporteras in till PTS. Endast två störningar har rapporterats och båda gäller de stormar som inträffade under slutet av 2015 Gorm och Helga. När det gäller de störningar och avbrott som inträffat i samband med stormarna uppgav Tre att man upplever att det är fortsatta problem vid samverkan med elbolagen, där operatören endast får grova prognoser och begränsad tillgång till information från elbolagens driftcentraler. Tre angav vidare att man har för små möjligheter att påverka vilka återställelser av elnätet som bör prioriteras. Tre meddelade också att en översyn av reservkraften har initierats internt, med utgångspunkt i PTS föreskrifter om krav på driftsäkerhet (PTSFS 2015:2) (driftsäkerhetsföreskrifterna) som trädde ikraft vid årsskiftet. Tre bekräftade även att det görs nya riskanalyser efter varje inträffad incident och alla tillgångar och förbindelser är dokumenterade, i enlighet med kraven i driftsäkerhetsföreskrifterna. Vid mötet beskrev Tre även sina rutiner för rapportering och upptäckt av integritetsincidenter och hur bolaget hanterar dessa, samt hur de underrättar de drabbade kunderna. Tre uppgav att många av incidenterna upptäcks av kunder och att de sedan fångar upp dem internt för vidare utredning. Det sker också en utveckling av utbildningspaketet för personalen för att förbättra förutsättningarna för att upptäcka incidenter. När det gäller underrättelser till berörda abonnenter och användare har Tre i flera fall informerat den berörda om att denne inte behöver vidta några åtgärder med anledning av det inträffade. Vidare fördes en diskussion på mötet om huruvida det är tillräckligt för Tre att i rapporteringen om underrättelsens innehåll till PTS endast ange att man har inkluderat den information som krävs enligt reglerna. Tre redogjorde också för de åtta integritetsincidenter som rapporterats in till PTS sedan den senaste årliga tillsynen och vilka åtgärder som hade vidtagits med anledning av dessa. Tre presenterade även sin förteckning över integritetsincidenter. De flesta incidenterna har inträffat hos underleverantörer till Tre och i några fall har det varit fråga om samma underleverantör. Post- och telestyrelsen 2

3(6) Skäl Tillämpliga bestämmelser PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Av 5 kap. 6 b LEK framgår bland annat att den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på driftsäkerhet. Bestämmelsen förtydligas genom PTS nya föreskrifter om krav på driftsäkerhet (PTSFS 2015:2), vilka trädde i kraft den 1 januari 2016. Av 5 kap. 6 c första stycket LEK framgår att den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst utan onödigt dröjsmål ska rapportera störningar eller avbrott av betydande omfattning till tillsynsmyndigheten. Av PTS föreskrifter och allmänna råd om rapportering av störningar eller avbrott av betydande omfattning (PTSFS 2012:2) framgår bland annat vilka störningar och avbrott som ska rapporteras samt hur rapporteringen ska gå till. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Enligt 6 kap. 4 a LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. När och hur rapportering ska ske framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott (förordningen). Av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) framgår bland annat följande: Post- och telestyrelsen 3

4(6) Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska enligt 3 bedrivas långsiktigt, kontinuerligt och systematiskt och det ska finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning ska dokumenteras. Tjänstetillhandahållaren ska enligt 4 bland annat identifiera informationsbehandlingstillgångar och föra en förteckning över dessa samt analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Vidtagna skyddsåtgärder samt tjänstetillhandahållarens bedömningar av lämplig nivå ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska enligt 10 ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lagen (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. Enligt 6 kap. 4 b LEK ska tjänstetillhandahållaren löpande föra en förteckning över integritetsincidenter. Vad förteckningen närmare ska innehålla framgår av 11 i de ovannämnda föreskrifterna. PTS bedömning Störningar och avbrott Inledningsvis kan PTS konstatera att Tre på ett bra sätt hade förberett sig inför mötet och kunde redogöra för incidenterna på ett tydligt sätt och svara på de frågor som ställdes. PTS ser också positivt på att Tre, enligt uppgift från bolaget, har initierat ett arbete för att efterleva driftsäkerhetsföreskrifterna. PTS har inte inom ramen för denna tillsyn granskat att så är fallet. Dock har myndigheten nyligen initierat en annan tillsyn över Tre, där efterlevnaden av vissa regler i driftsäkerhetsföreskrifterna ska granskas 1. 1 PTS Dnr 16-3568. Post- och telestyrelsen 4

5(6) När det gäller de inrapporterade incidenterna har Tre, liksom året innan, rapporterat in två störningar och avbrott i samband med de stormarna Gorm och Helga som inträffade i slutet av 2015. PTS har inget att erinra vad gäller rapporteringen till myndigheten, utan kan konstatera att rapporteringen har skett i tid, att den information som rapporterna ska innefatta har inkluderats, samt att Tre bifogat kartor i sina rapporter, vilket ger en god överblick av incidenten och de påverkade områdena. PTS lämnar därför denna del av tillsynen utan ytterligare åtgärd. Det finns enligt PTS bedömning heller inte skäl att ytterligare granska själva hanteringen av incidenterna, utan myndigheten kan konstatera att Tre vad gäller detta har uppfyllt sina skyldigheter avseende driftsäkerhet enligt 5 kap. 6 b LEK. Integritet Även gällande integritetsincidenterna var Tre väl förberedda på mötet och kunde redogöra för de incidenter som inträffat och de åtgärder som vidtagits efteråt, samt kunde svara på de frågor PTS hade vid mötet. Tre har rapporterat in åtta integritetsincidenter sedan den förra årliga tillsynen. PTS ser positivt på att Tre rapporterar in allt fler incidenter till PTS, då detta talar för att Tre har bra rutiner för upptäckt och rapportering. PTS uppmanar Tre att fortsätta utbilda personal om integritetsincidenter och hur dessa ska rapporteras internt så att så många incidenter som möjligt fångas upp. Det har också skett förbättringar från tidigare år gällande innehållet i rapporteringen. PTS anser dock att det kvarstår visst förbättringsarbete när det gäller innehållet i underrättelserna till kunderna som drabbats samt gällande PTS delgivning av detta innehåll. PTS har efter en inträffad incident påpekat för Tre att det inte är godtagbart att i sin rapportering till myndigheten om innehållet i underrättelsen till berörda endast ange att man följt reglerna i förordningen. PTS behöver få del av kopia, talmanus eller annan återgivelse av innehållet i underrättelserna, annars kan inte myndigheten bedöma om de drabbade har fått del av den information som de har rätt till enligt förordningen. Efter diskussion om detta bekräftade Tre att man tog till sig denna ståndpunkt. Myndigheten kommer framöver att följa upp att Tre, på valfritt sätt, återger det konkreta innehållet i underrättelserna till berörda. Med detta påpekande lämnar PTS saken utan ytterligare åtgärd. I vissa underrättelser som PTS har tagit del av har Tre informerat den berörda om att denne inte behöver vidta några åtgärder med anledning av det inträffade. Även om det i vissa fall kan vara svårt för operatören att spekulera i vad en inträffad integritetsincident kan få för konsekvenser för en enskild individ, är Post- och telestyrelsen 5

6(6) det enligt PTS bedömning olämpligt att uttryckligen ange t.ex. att den drabbade inte behöver vidta någon åtgärd eller att det inträffade inte har inneburit någon skada för den enskilde. Enligt PTS är det, vid fall då konsekvenserna av en inträffad incident är svåra att fastställa, lämpligare att uppmana den berörde att denne själv bör fundera på vilka negativa konsekvenser som det inträffade kan medföra. Detta för att den berörda själv ska kunna vidta åtgärder för att begränsa eventuella negativa konsekvenser. Vid mötet bekräftade Tre att man hade för avsikt att följa denna anmodan i framtiden och PTS har vid efterföljande rapportering kunnat konstatera att så skett. PTS lämnar därför saken utan ytterligare åtgärd. När det gäller orsakerna till de inrapporterade integritetsincidenterna kan PTS konstatera att det stora flertalet av incidenterna har orsakats av en underleverantör till Tre. Det finns mot bakgrund av detta anledning att ifrågasätta Tres förmåga att t.ex. genom avtal och uppföljning säkerställa att underleverantörer lever upp till de krav på rutiner och säkerhetsåtgärder som lagen kräver. En brist hos en underleverantör kan mycket väl utgöra en brist i det grundläggande säkerhetsarbetet hos Tre, då det åligger Tre att säkerställa att befintliga rutiner och säkerhetsåtgärder hos underleverantörer följs. Detta kan PTS komma att följa upp i en framtida tillsyn. Med detta påpekande lämnar PTS även denna del av tillsynen utan åtgärd i dagsläget. Skäl att fortsätta den årliga tillsynen över Tre föreligger därför inte, varför ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även Anders Lindell (föredragande) och Karin Lodin deltagit. Post- och telestyrelsen 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss