Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn över säkerhetsarbete hos underleverantör

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn efter inträffad integritetsincident i fakturasystem

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn över dokumentation av tillgångar och förbindelser

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Exponerade fakturor på internet

Avbrott i bredbandstelefonitjänst

(5)

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Överlämnande av nummer vid byte av tjänsteleverantör

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Säkerhetsbrister i kundplacerad utrustning

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Tillsyn över behandling av uppgifter

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Föreläggande att inkomma med uppgifter

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Saken. PTS underrättelse

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Tillsynsrapport: Informationskrav vid ändring av avtal

Vägledning om skyldigheten att rapportera integritetsincidenter

Förändringar i nya LEK

Säkerhetsbrister i kundplacerad utrustning

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Ansökan om undantag från krav på reservkraft

Förslag till beslut om ändring av telefoninummerplanen

Mötesanteckningar från Driftsäkerhetsforum

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Beslut om ändring av telefoninummerplanen

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Beslut om avskrivning

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Tillsyn över behandling av uppgifter och inhämtade av samtycke

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Underrättelse avseende krav om god funktion och teknisk säkerhet Telia Fastmobil

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Utredningen om genomförande av NIS-direktivet

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Beslut om förbud enligt 12 radioutrustningslagen

Jakob Rutberg Avdelningen för marknadsfrågor TeliaSonera AB Stab Juridik, Regulatoriska frågor FARSTA

Vår referens Dnr:

Innehåll Dnr: (5)

UNDERRÄTTELSE 1(4) Vår referens Dnr:

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Beslut om tillstånd att använda radiosändare i 1800 MHz-bandet

Ändring av telefoninummerplanen

Beslut om tillstånd att använda radiosändare i frekvensbandet / MHz

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Datum Vår referens Aktbilaga Dnr:

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Beslut om förbud enligt 12 radioutrustningslagen

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

Tillsyn över behandling av uppgifter och inhämtade av samtycke

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Beslut om tillstånd att använda radiosändare i 700 MHz-bandet

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST

Beslut om ändring av telefoninummerplanen

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

KU Regelrådet.pdf; Föreskrifter Regelrådet.pdf; Missiv Regelrådet.pdf

Transkript:

AVSKRIVNINGSBESLUT 1(6) Datum Vår referens 2015-06-16 Dnr: 15-1621 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB Saken Tillsyn över incidentraportering och inträffade incidenter. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund PTS genomför årligen planlagda tillsyner över ett urval operatörer, bland annat i syfte att dessa ska redogöra för inträffade incidenter under föregående år. Tillsynerna omfattar såväl driftstörningar som integritetsincidenter, vilka operatörerna är skyldiga att rapportera in till PTS. Ett av huvudsyftena med inrapporteringsskyldigheten är att PTS ska kunna göra en bedömning av om det finns skäl att misstänka att bestämmelser i lagen (2003:389) om elektronisk kommunikation (LEK), t.ex. bestämmelsen om driftsäkerhet i 5 kap. 6 b LEK, inte efterlevs. Även i de fall en incidentrapport till PTS inte ger upphov till direkta tillsynsåtgärder, kan incidentrapporten innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till störningar och avbrott eller integritetsincidenter. Detta kan i sin tur utgöra underlag för PTS planlagda tillsynsinsatser och även bidra till myndighetens arbete med risk- och sårbarhetsanalyser för sektorn och till myndighetens arbete med robusthetshöjande åtgärder. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) PTS inledde den 20 februari 2015 den planlagda årliga tillsynen rörande incidentrapportering och inträffade incidenter över Hi3G Access AB (Tre). Den 23 mars 2015 höll PTS ett tillsynsmöte med Tre. Vid mötet beskrev Tre sina rutiner för rapportering av integritetsincidenter och hur bolaget hanterar dessa. Tre redogjorde även för de fem integritetsincidenter som rapporterats in till PTS under föregående år och vilka åtgärder som hade vidtagits med anledning av dessa. Tre presenterade även sin förteckning över integritetsincidenter. När det gäller vissa frågor som myndigheten ställde vid Tres redogörelse kunde bolaget inte svara direkt vid mötet, till viss del beroende på att en nyckelperson hos Tre hade avslutat sin anställning. Det rörde t.ex. frågor avseende utbildning av personal och vilka åtgärder som Tre hade vidtagit för att undvika att liknande incidenter inträffar igen. Den 1 april 2015 återkom Tre med den efterfrågade informationen. Vid Tres redogörelse för en av integritetsincidenterna påtalade PTS att myndigheten inte hade fått del av någon kopia på underrättelse till berörda abonnenter och användare. Tre uppgav härvid att man muntligen hade haft en löpande kontakt med berörda kunder. Vid mötet redogjorde Tre även för hur bolaget arbetar med riskanalyser på integritetsområdet, och hur status var för bolagets efterlevnad av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1). Tre informerade vid mötet om att arbete med att identifiera informationsbehandlingstillgångar och kritiska system hade initierats, men att Tre inte ännu efterlevde föreskrifterna fullt ut, främst avseende genomförande av riskanalyser och vidtagande av efterföljande skyddsåtgärder. När det gäller störningar och avbrott av betydande omfattning redogjorde Tre för sina rutiner för upptäckt och rapportering av dessa. Tre framförde att föregående år ur driftsäkerhetshänseende hade varit bra, då Tre endast haft att rapportera in två incidenter till PTS. Den ena incidenten hade drabbat Tres samarbetspartner. Tre uppgav att samarbetet mellan Tre och Tres partner fungerade väl och att man säkerställt att felet var mycket ovanligt och inte bör inträffa igen. PTS informerade Tre om att rapporteringen av incidenten inte var fullständig från början, vilket renderade i ett antal efterföljande frågor från myndighetens sida. Den andra incidenten rörde störningar och avbrott till följd av stormen Egon, vid vilken Tre hade rapporterat information inkluderades kartor med drabbade områden och situationsbilder. Post- och telestyrelsen 2

3(6) Skäl Tillämpliga bestämmelser PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Enligt 6 kap. 4 a LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. Av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) framgår bland annat följande: Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska enligt 3 bedrivas långsiktigt, kontinuerligt och systematiskt och det ska finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning ska dokumenteras. Tjänstetillhandahållaren ska enligt 4 bland annat identifiera informationsbehandlingstillgångar och föra en förteckning över dessa samt analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Vidtagna skyddsåtgärder samt tjänstetillhandahållarens bedömningar av lämplig nivå ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska enligt 10 ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa Post- och telestyrelsen 3

4(6) 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lagen (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. Av 5 kap. 6 b LEK framgår bl.a. att den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att verksamheten uppfyller rimliga krav på driftsäkerhet. Av 5 kap. 6 c första stycket LEK framgår att den som tillhandahåller ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst utan onödigt dröjsmål ska rapportera störningar eller avbrott av betydande omfattning till tillsynsmyndigheten. Av PTS föreskrifter och allmänna råd om rapportering av störningar eller avbrott av betydande omfattning (PTSFS 2012:2) framgår bl.a. vilka störningar och avbrott som ska rapporteras samt hur rapporteringen ska gå till. PTS bedömning Inledningsvis kan PTS konstatera att Tre under det föregående året har rapporterat in fem integritetsincidenter. Året innan hade bolaget inte rapporterat in någon integritetsincident till PTS. PTS gör därför bedömningen att Tres rutiner för upptäckt och rapportering av integritetsincidenter har förbättrats sedan den förra årliga tillsynen. PTS ser positivt på denna utveckling och uppmanar Tre att, i enlighet med PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter, kontinuerligt utbilda personal om integritetsincidenter och hur dessa ska rapporteras internt i syfte att säkerställa att rapporteringen till PTS alltjämt förbättras framöver. När det gäller redogörelsen av incidenterna kunde Tre inte vid mötet redogöra för samtliga omständigheter som myndigheten efterfrågade. Även om Tre uppgav att man arbetade för att inte vara personberoende bedömer PTS att det faktum att det vid mötet vid flera tillfällen hänvisades till en person som avslutat sin anställning innebär att Tre inte fullt ut har lyckats säkerställa att kompetens och kunskap om inträffade incidenter överförs vid personalomsättning. PTS uppmanar därför Tre att fortsätta arbetet med att säkerställa att flera personer inom företaget har kontinuerlig kunskap om incidenter, genom att tillse att det finns dokumenterade rutiner, processer och Post- och telestyrelsen 4

5(6) rollfördelningar för detta, i enlighet med 3 i PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter. När det gäller en integritetsincident påtalade PTS att myndigheten inte fått del av den kopia på underrättelse som ska tillsändas myndigheten enligt lagen. Det faktum att berörda abonnenter och användare har fått del av den information som de har rätt till från Tre innebär inte att bolaget uppfyllt sin skyldighet att informera PTS om innehållet i underrättelsen. Utan att PTS får del av en kopia av underrättelsen kan myndigheten inte bedöma huruvida berörda kunder har fått del av den information om inträffade incidenter som de har rätt till. PTS förutsätter därför att Tre i framtiden säkerställer att kopia av underrättelse även tillsänds PTS. Vid Tres redogörelse för status i arbete med efterlevnad av föreskrifterna om skyddsåtgärder för behandlade uppgifter kan PTS konstatera att det föreligger betydande brister i Tres säkerhetsarbete. Den riskanalys som presenterats för PTS är alltför rudimentär för att kunna utgöra ett relevant underlag till efterföljande skyddsåtgärder. Tre har även endast initierat ett arbete med att identifiera behandlade informationsbehandlingstillgångar. PTS ser allvarligt på dessa brister med tanke på att föreskrifterna trädde i kraft den 1 september 2014. PTS förutsätter att Tre nu kommer att vidta de åtgärder som är nödvändiga för att efterleva skyldigheterna i föreskrifterna. PTS kommer att följa upp att detta sker. För det fall att Tre inte vid uppföljningen vidtagit nödvändiga åtgärder för att efterleva föreskrifterna kan PTS komma att förelägga Tre att vidta åtgärder. Med detta påpekande lämnar PTS denna del av tillsynen utan åtgärd i dagsläget. När det gäller Tres rutiner för rapportering av störningar och avbrott av betydande omfattning anser PTS att Tre vid den första störningen hade kunnat vara utförligare i sin rapportering i syfte att undvika efterföljande kompletterande frågor från myndigheten, vilket drar ut på ärendets handläggningstid och riskerar att leda till att PTS inleder tillsyn för att få in den information som krävs för att PTS ska kunna avgöra om det föreligger brister. När det gäller rapportering av stormen Egon har PTS inget att erinra utan kan konstatera att Tre väl har uppfyllt inrapporteringsskyldigheten. PTS lämnar därför även denna del av tillsynen utan ytterligare åtgärd. Det finns enligt PTS bedömning heller inte skäl att ytterligare granska själva hanteringen av incidenterna, utan myndigheten kan konstatera att Tre vad gäller detta har uppfyllt sina skyldigheter avseende driftsäkerhet enligt 5 kap. 6 b LEK. Skäl att fortsätta den årliga tillsynen över Tre föreligger därför inte, varför ärendet avskrivs från vidare handläggning. Post- och telestyrelsen 5

6(6) Underrättelse om överklagande Beslutet kan inte överklagas. Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även Karin Lodin (föredragande) och Anna Wibom deltagit. Post- och telestyrelsen 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss