Mötesanteckningar, Integritetsforum 17 april 2013

Relevanta dokument
Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Tillsyn över säkerhetsarbete hos underleverantör

Förändringar i nya LEK

Tillsyn över dokumentation av informationsbehandlingstillgångar

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Minnesanteckningar Integritetsforum 27 april 2018

(5)

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Tillsyn efter inträffad integritetsincident i fakturasystem

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Exponerade fakturor på internet

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

(5) Anna Rappe Mötesanteckningar Integritetsforum, 18 mars 2010

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Välkomna till Integritetsforum!

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn över behandling av uppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Vägledning om skyldigheten att rapportera integritetsincidenter

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Mötesanteckningar från Driftsäkerhetsforum

Mötesanteckningar från Driftsäkerhetsforum

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Minnesanteckningar Nummerforum, onsdag 20 april 2016 kl

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Workshop 10. Datalagringsdirektivet det här gäller! Andreas Dahlqvist Nätsäkerhetsavdelningen - PTS. Post- och telestyrelsen

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Säkerhetsbrister i kundplacerad utrustning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

Mötesanteckningar, Integritetsforum 28 mars 2012

Tillsynsrapport: Informationskrav vid ändring av avtal

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Beslut om ändring av telefoninummerplanen

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Överlämnande av nummer vid byte av tjänsteleverantör

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Säkerhet vid behandling av personuppgifter i forskning

För att underlätta läsningen har tillämplig lagtext i lagen (2003:389) om elektronisk kommunikation (LEK) bifogats sist i dokumentet.

Välkomna! Integritetsforum torsdagen den 23 april 2015

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Avbrott i bredbandstelefonitjänst

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Konsekvensutredning avseende ändringar i Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2013:3) om innehåll i avtal

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Minnesanteckningar Nummerforum 13 oktober 2016

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Minnesanteckningar Driftsäkerhetsforum 3 maj 2017

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Innehåll Dnr: (5)

Remissvar angående anmälningspliktig verksamhet och anmälningspliktig omsättning

Säkerhetsbrister i kundplacerad utrustning

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Tillsyn över dokumentation av tillgångar och förbindelser

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Information om personuppgiftsbehandling

Tele2 och Telenorbolagen stödjer PTS förslag i stort men har synpunkter på formuleringar, ändringar och önskar vidare förtydliganden av förslaget.

Vilken typ av data vi behandlar

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Personuppgiftspolicy

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

FÖRETAGSKUNDER Romelebydens Kabel-TV INTEGRITETSPOLICY

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Remiss angående anmälningspliktig verksamhet och anmälningspliktig omsättning

Mötesanteckningar, Integritetsforum 23 april 2015 kl. 9-12

Integritetspolicy. Behandling av personuppgifter. Senast reviderad den 22 Maj Syfte. Bakgrund. Mer information om GDPR:

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Romelebygdens Kabel-TV INTEGRITETSPOLICY. Gäller från 25 maj Personuppgiftsansvarig Romelebygdens Kabel-TV AB. Data och hur vi hanterar den

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Transkript:

PROMEMORIA Datum Vår referens Sida 2013-05-21 1(7) Nätsäkerhetsavdelningen Gudrun Thelander 08-678 57 85 gudrun.thelander@pts.se Mötesanteckningar, Integritetsforum 17 april 2013 1. Inledning Staffan Lindmark hälsade alla välkomna och en kort presentation av alla närvarande följde. 2. Säkerhet i smarta telefoner Demonstration av FRA. FRA är en civil myndighet vars verksamhet bidrar till att skydda Sverige och svenska intressen med huvudinriktning på signalunderrättelse och informationssäkerhet. Jonas Augustsson, Jesper Svensson och Daniel Forsgren visade en film om hur en attack på iphone fungerar. Scenariot var uppbyggt på att angriparen kom åt telefonen som ägaren lämnat obevakad under en kort stund. Angriparen hade tillgång till en dator med verktyg som finns att ladda ner på internet och en kabel för att koppla in telefonen med. Telefonen startades om i ett speciellt läge med speciell boot ROM och det gick då att komma åt t.ex. kalender, sms-databas och samtalshistorik. Under tiden detta gjordes kördes ett program i bakgrunden som forcerade PIN-koden och nycklar för att dekryptera data plockades ut. Det var sedan möjligt att få fram hela filsystemet och komma åt e-postdatabasen och göra en kopia som speglar innehållet i telefonen. Angriparen försatte sedan telefonen i samma läge som innan genom att starta om och det märktes då inte att någon använt enheten. Angreppet tog dryga 3 minuter och spegling ca 15 min. FRA gav följande tips och råd: Håll alltid enheten under uppsikt, pinkodsskydda sim-kortet (gärna med en mer komplex kod än den vanliga 4- siffriga), använd starka lösenord, aktivera automatisk låsning, sträva efter att Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(7) använda VPN-anslutningar för kommunikation, stäng av trådlöst och bluetooth när det inte används, töm listan över sparade trådlösa nätverk och fråga innan du ansluter till trådlöst nät, var vaksam vid certifikatsvarningar, lagra inte dina största hemligheter i din smartphone och tänk på var din data lagras (-itunes backuper, icloud, Dropbox och andra synkroniseringstjänster). Ha också i åtanke att alla smarta telefoner är som att ta en PC och backa tillbaka 10 år i tiden - inga brandväggar etc. Det är också svårt för en användare att avgöra om en app är dålig eller bra. Man kan inte neka en specifik del av listan över vad applikationen kräver så det är för mycket som lämnas åt användaren att besluta. Artikel 29-gruppens rapport om appar. (Anna Hörnlund, Datainspektionen) På Datainspektionen arbetar ca 45 personer med att titta på all personuppgiftsbehandling inom alla områden utom det som finns inom LEK 6 kap. Artikel 29-gruppen tar fram yttranden om hur olika företeelser ska tolkas och ett av de senaste, om appar, är från februari i år och klargör det juridiska regelverk som är tillämpligt. Yttrandet har stor betydelse för harmonisering och man listar vad de ansvariga ska och bör göra och Datainspektionen och systermyndigheterna kommer att hålla sig till detta när de gör tillsyn. Ca 1600 nya appar lanseras per dag och genomsnittsanvändaren har 37 st. All den information (adressbok, lokaliseringsinfo, data från sensorer m.m) som samlas in behandlas och processas för att förse användaren med nya och innovativa tjänster och förs i vissa fall även vidare till tredje part som använder datan för analys och annonsering. Det är svårt för användare att se vad som händer med all data och det finns så många möjliga personuppgiftsansvariga - utvecklare, app-ägare, tillverkare och tredje parter. PuL och LEK (eller dess motsvarighet i andra EU-länder) gäller alltid för appar som riktar sig till användare inom EU och mer data än nödvändigt får inte samlas in och inte lagras längre än nödvändigt. Innan användandet börjar ska det vara klara och tydliga samtycken och det ska finnas möjlighet att återkalla sitt samtycke och att avinstallera appen, men många gånger fungerar inte detta. Man kan inte reglera vilka appar som finns men titta på hur de används och även göra säkerhetsanalyser etc. då appar används på myndigheter och inom vården. Var och en har också ett eget ansvar för vad som sker i ens enhet. Liknande diskussioner om appar förs i Nordamerika, där väldigt många appar utvecklas, och Kanada och Holland har nyligen gjort rapporter om appar. Post- och telestyrelsen 2

3(7) Arbetet med framtagning av råd till slutanvändare. (Jeanette Kronwall, PTS) PTS har arbetat med frågan om säkerhetshot en längre tid och att rapporter togs fram 2006 och 2009. Jeanette har skickat ut frågor till alla operatörer om hur PTS bör arbeta vidare med frågan om säkerhetshot och hur PTS stöd ska se ut. Tankar finns att arbeta ihop med MSB och Datainspektionen. Synpunkter som framfördes på ovannämnda frågor var att grunderna i upplysningar till konsument måste vara desamma hos alla operatörer. En central portal på t.ex. MSB:s hemsida skulle nog inte fungera då människor söker på olika håll så det bästa vore nog info med ett gemensamt budskap på hemsidorna hos PTS, Datainspektionen och alla operatörer. En annan kommentar vara att det blir mer tyngd bakom råden om det står att PTS tagit fram dem. Staffan Lindmark svarade att PTS självklart vill bidra men har inte den tekniska kompetensen som krävs och begränsade resurser men ställer sig gärna bakom och promotar. Det verkar vara av intresse med fortsatt samarbete mellan operatörerna i den form som startades i november så PTS kommer att återkomma om detta. 3. Incidentrapportering Slutsatser från PTS årliga tillsyn om incidenter och inrapportering. (Staffan Lindmark, PTS) Två generella synpunkter har kommit upp på de årsvisa tillsynsmötena Vid vilken tidpunkt ska rapportering ske till PTS? och Vad är en integritetsincident? Frågan om tidpunkten kommer snart att vara löst i och med den nya förordningen. En integritetsincident är enligt PTS vägledning En händelse som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster. De vardagliga incidenterna kan uppkomma i kundtjänst/butiker. Man är inte ute för att förstöra eller avslöja utan det sker av misstag. Sen finns det ju också t.ex. IT-attacker där någon tar sig in i systemet. Vid flera möten med operatörer har det nämnts att det finns en del svårtolkade formuleringar som t.ex. oavsiktligt eller otillåtet och Staffan Lindmark uppmanade deltagarna att lämna förslag och typexempel till PTS på vad som kan orsaka problem med gränsdragningar och vara svårtolkat. Anna Hörnlund, Datainspektionen, sa att Artikel 29-gruppen har tagit fram verktyg. Staffan lovade titta på om det finns något att jobba utifrån/med där. Post- och telestyrelsen 3

4(7) EU-förordning om incidentrapportering och PTS föreskrifter. (Staffan Lindmark, PTS) EU-kommissionen har tagit fram en förordning om hur rapportering av incidenter ska ske i alla medlemsstater. Förordningen har gått ut till rådet (Coreper) som beslutat inte invända och parlamentet väntas godkänna. Förordningen kommer sedan tillbaka till kommissionen och träder ikraft 2 månader efter formellt beslut där, sannolikt i sommar. Några viktiga punkter som skiljer sig från PTS föreskrifter är att undantag vid fåtal berörda inte finns med i förordningen och att det i förordningen finns möjlighet att ansöka om att skjuta upp rapporteringen och krav att underleverantörer ska rapportera till er operatörer. PTS behöver titta på vad man ska göra med sina föreskrifter. Rapportering ska fortsätta som hittills med lite förändrade förutsättningar. Underlag skickades med vid kallelse till mötet. Ny autentiseringsmetod för användning av PTS e-tjänst. (Erika Hersaeus, PTS) E-tjänsten togs fram i oktober 2012 och hade då autentisering via e- legitimation. Nu är en ny version driftsatt som använder sms-inloggning och man behöver inte ange personnummer vid ansökan om att bli ansluten till tjänsten. Inloggning sker med ett engångslösenord som skickas till mobiltelefonen. Det är ett smidigt sätt att rapportera och PTS ser gärna att ni använder tjänsten. Ansökan görs via blankett på PTS hemsida http://www.pts.se/sv/omwebbplatsen/tjanster/blanketter/. 4. Nya föreskrifter om tekniska och organisatoriska åtgärder för att skydda behandlade uppgifter. Arbetet med framtagning av krav, framsteg sedan referensgruppsmötet den 18 mars. (Staffan Lindmark, PTS) Arbetet började i slutet av 2012 och referensgrupp med operatörer är bildad. Genomgång av regelverket är klart liksom avstämningar med Datainspektionen och systermyndigheter i Norden. Nästa referensgruppsmöte är den 24 maj och förhoppningsvis kommer det att finnas ett mer omfattande underlag till dess. PTS vill ställa krav på övergripande säkerhetsarbete som bl.a. innefattar att dokumentera rutiner, analyser, vidtagna åtgärder och ett kontinuerligt och systematiskt arbete. Det är viktigt att man hanterar risker med tillgänglig teknik och kostnader och redan vid utvecklingen kan man kravställa integritetshoten. Post- och telestyrelsen 4

5(7) Det är också viktigt att begränsa så att personal bara får tillgång till uppgifter de behöver för sitt arbete genom rutiner för behörighetshantering och att de har tillräcklig kunskap om regelverk etc. kring säkerhetsfrågor. Loggning, även när någon är inne och tittar, är viktigt samt att man tittar på loggarna för att bli bättre på att upptäcka incidenter. Staffan sa att han vet att det är en stor utmaning som är svår och dyr. En fråga ställdes om vad man får kontrollera och inte då en del har fått klagomål att de kontrollerar sina anställda för mycket. Datainspektionen svarar att de ställer krav på att de anställda ska vara medvetna om att det loggas och att kontroller kommer att göras. Kravställning gällande fysiskt skydd som t.ex. stöld och brand samt säkerhetskopiering av vissa uppgifter och krypterad överföring - över publikt nät kommer också att ske. PTS tidplan för arbetet är fortfarande att en remiss ska kunna skickas ut i höst. 5. Kommande tillsynsarbete Gallring av trafikuppgifter m.m. (Staffan Lindmark, PTS) Trafikdatalagringsdirektivet har aktualiserat frågan om gallringstillsyn då det inte är gjort på länge. Ännu ej klart hur det ska läggas upp men planen är att det ska ske till hösten förutsatt att resurser finns. En annan fråga som kommit upp i olika sammanhang är samtyckesklausuler. Planen är att se över dessa i år. Det är ännu inte planerat i detalj hur det ska gå till men arbetet knyter an till PTS Konsumentmarknadsavdelnings föreskrifter kring avtalsinnehåll, som nyligen varit ute på remiss. 6. Uppföljning av tidigare frågor Tjänster för spårning av störande telefonsamtal. (Staffan Lindmark, PTS) Efter Integritetsforum i november 2012 skickade PTS ut en enkät om operatörernas spårningstjänster. De fyra svar som inkommit visade att tre av fyra operatörer erbjuder en särskild spårningstjänst och en erbjuder samtalslistor. Abonnenten behöver inte motivera varför spårning önskas. Även hemliga A-nummer visas. Samtliga tar betalt för tjänsten. Utlämning av abonnentuppgifter för kontroll av TV-avgift. Radiotjänst kontaktar operatörerna och vill ha ut information om vilka som köpt telefoner. Operatörerna behandlar Radiotjänsts begäran olika och några tycker det är tveksamt om de verkligen ska kunna begära detta då kundernas integritet är viktig för operatörerna. Post- och telestyrelsen 5

6(7) Staffan Lindmark, PTS, sa att lagen om kontroll av TV-avgift i första hand borde ta sikte på försäljning och uthyrning av hårdvara snarare än själva abonnemangen. PTS har inte mandat att göra tolkningar av denna lag så det är inte i PTS händer att avgöra frågan. Som tillsynsmyndighet kan PTS försöka få en samlad bild av vad som gäller. Staffan uppmanar deltagarna att lämna tips om hur PTS ska göra med detta. 7. Information från PTS om några aktuella frågor. Samrådsförfrågan till Datainspektionen om gränsdragningsfråga mellan LEK och PuL (Jeanette Kronwall, PTS) Förfrågan gäller specifikt frågor om begäran om registerutdrag. Frågan är för närvarande aktuell i EU-domstolen. Kontakta Jeanette om ni är intresserade av mer uppgifter. Förslag till EU-direktiv om åtgärder för att åstadkomma en gemensam hög nivå av nät- och informationssäkerhet i Europa. (Peter Wallström, PTS) Kommissionens NIS-direktiv kom i februari. Man vill att medlemsstaterna ska ha en viss gemensam miniminivå och även inrätta en nationell myndighet för nät- och informationssäkerhet i varje land. Information ska utbytas mellan privat och offentlig sektor i landet och medlemsstaterna ska samarbeta i nätverk och utbyta information för att bekämpa nät- och informationssäkerhetshot. På frågan hur resilience på EU-nivå är kopplat till EP3R svarade Peter att ett forum har bildats för att diskutera frågan men EP3R är mer en rådgivande funktion. Förhandlingar och diskussioner kring direktivet har precis börjat. Förslaget till direktiv finns här: http://eurlex.europa.eu/lexuriserv/lexuriserv.do?uri=com:2013:0048:fin:sv:pdf Viktigt Meddelande till Allmänheten (VMA) via mobilen. Sedan många år pågår diskussioner om hur man skulle kunna modernisera VMA och SOS Alarm har fått i uppdrag av Regeringen att ta fram ett system för att skicka VMA via mobiltelefoni. T.ex. skulle man kunna skicka ta kontakt via mobil och sms till de som befinner sig i det område som berörs. PTS ser att det finns integritetsaspekter (främst rörande positionering) i detta och kommer att bevaka dem. Det finns även kostnadsaspekter och förväntningar på teknik som måste beaktas. Flera operatörer tycker att arbetet det är mycket underligt skött och att de kom in bakvägen i arbetet. Post- och telestyrelsen 6

7(7) 8. Övriga frågor Inga övriga frågor. 9. Avslutning, planering inför nästa möte Nästa möte blir någon gång under vecka 45-46. Staffan tackade alla deltagare och mötet avslutades. Post- och telestyrelsen 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss