Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Relevanta dokument
Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn över säkerhetsarbete hos underleverantör

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Exponerade fakturor på internet

(5)

Tillsyn över dokumentation av tillgångar och förbindelser

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Säkerhetsbrister i kundplacerad utrustning

Avbrott i bredbandstelefonitjänst

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Överlämnande av nummer vid byte av tjänsteleverantör

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Vägledning om skyldigheten att rapportera integritetsincidenter

Tillsyn över behandling av uppgifter

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Förändringar i nya LEK

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Föreläggande att inkomma med uppgifter

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Säkerhetsbrister i kundplacerad utrustning

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Beslut om avskrivning

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Förslag till beslut om ändring av telefoninummerplanen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Beslut om ändring av telefoninummerplanen

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Saken. PTS underrättelse

Tillsyn avseende Telia Company AB:s incidenthantering med anledning av stormen Alfrida

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Föreläggande att på begäran lämna ut uppgifter om abonnemang

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsynsrapport: Informationskrav vid ändring av avtal

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Ändring av telefoninummerplanen

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Beslut om förbud enligt 12 radioutrustningslagen

Förbud att sälja radioutrustning m.m. enligt lagen (2000:121) om radio- och teleterminalutrustning

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Underrättelse om misstanke att Tele2 Sverige AB:s prissättning på mobil samtalsterminering inte är kostnadsorienterad

Vår referens Dnr:

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Beslut om ändring av telefoninummerplanen

Ansökan om undantag från krav på reservkraft

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Misstanke om att Teracom AB handlar i strid med företagets skyldigheter att tillämpa kostnadsorienterad prissättning

Beslut om tillstånd att använda radiosändare i 10,5 GHz-bandet

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Datum Vår referens Aktbilaga Dnr:

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Föreläggande vid vite att efterleva tillståndsvillkor om effektnivå för den fullständiga multiplexsignalen vid användning av ljudrundradiosändare

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Beslut om tillstånd att använda radiosändare i 3,5 GHz-bandet

Beslut om förbud enligt 12 radioutrustningslagen

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

3. Föreläggandet gäller omedelbart enligt 8 kap. 22 LEK.

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

Innehåll Dnr: (5)

Allokering och reservering av mobila nätkoder

Utredningen om genomförande av NIS-direktivet

Post- och telestyrelsen (PTS) har med utgångspunkt från myndighetens verksamhetsområde följande synpunkter.

Beslut om ändring av telefoninummerplanen

26 september AKTBIL. 2. Per G. Andersson Spektrummarknadsavdelningen Box ÖRNSKÖLDSVIK

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Begränsningsbeslut avseende frekvensutrymmet 452,5 457,5/462,5 467,5 MHz

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning.

Transkript:

AVSKRIVNINGSBESLUT 1(5) Datum Vår referens Aktbilaga 2017-04-20 Dnr: 17-1211 Nätsäkerhetsavdelningen Ulrika de la Iglesia 08-678 56 29 ulrika.delaiglesia@pts.se Tele2 Sverige AB Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB Saken Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund PTS genomför årligen planlagd tillsyn mot ett antal operatörer för att granska och följa upp föregående års inträffade integritetsincidenter, vilka operatörerna är skyldiga att rapportera till PTS. I tillsynen granskas operatörernas arbete med att identifiera, hantera, åtgärda och dra lärdomar av inträffade incidenter mot bakgrund av reglerna om skydd av behandlade uppgifter i lagen (2003:389) om elektronisk kommunikation (LEK). Dessutom granskas hur operatörerna följer reglerna om rapportering av de inträffade incidenterna. Ett av huvudsyftena med inrapporteringsskyldigheten är att PTS ska kunna göra en bedömning av om det finns skäl att misstänka att bestämmelser LEK inte efterlevs, exempelvis bestämmelsen om skydd av behandlade uppgifter i 6 kap. 3 LEK. Även i de fall en incidentrapport till PTS inte ger upphov till direkta tillsynsåtgärder, kan incidentrapporten innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till integritetsincidenter. Detta kan i sin tur utgöra underlag för PTS planlagda tillsynsinsatser. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se Page 1 of 5

2(5) PTS inledde den 13 februari 2017 den planlagda årliga tillsynen rörande incidentrapportering och inträffade integritetsincidenter mot Tele2 Sverige AB (Tele2). Den 7 mars 2017 höll PTS ett tillsynsmöte med Tele2. Tele2 har sedan föregående år förvärvat bolaget TDC Sverige. Sammanslagningen av bolagen beräknas vara klar under 2018. Vid tillsynsmötet hos PTS beskrev Tele2 sina rutiner för rapportering av integritetsincidenter och hur bolaget hanterar dessa. Tele2 redogjorde för hur bolaget kontinuerligt arbetar med att skapa en medvetenhet internt om vad en incident är för att få en snabbare rapportering och möjlighet att lösa dem. Bolaget har även arbetat med hur de ska kommunicera med sina kunder om inträffade incidenter. Vidare redogjorde Tele2 för de incidenter som hade rapporterats in till PTS under föregående år och de åtgärder som bolaget vidtagit med anledning av dessa. Tre av de aktuella incidenterna bestod i att abonnenters nummer som skulle vara hemliga av olika skäl blev publicerade av abonnentupplysningstjänster. Med anledning av dessa incidenter har Tele2 genomfört förändringar i it-system för att förhindra att det inträffade upprepas. Tele2 har även infört en ny kontrollfunktion i kommunikationen med abonnentupplysningsföretagen. En av de inrapporterade incidenterna bestod i att butikspersonal som inte var behöriga att ta del av Tele2:s kunduppgifter hade tillgång till dem. Tele2 sade efter incidenten upp avtalet med den aktuella elektronikkedjan. Vidare har bolaget genomfört och planerar ytterligare tekniska förändringar i system, för att minska risken för att detta ska kunna ske. Förändrade rutiner, samt utbildning och kontroll av personal hos återförsäljare ska ytterligare minska risken. Bolaget kommer även att långsiktigt analysera riskerna för integritetsincidenter med anledning av det inträffade. Skäl Tillämpliga bestämmelser PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Post- och telestyrelsen 2 Page 2 of 5

3(5) Enligt 6 kap. 4 a LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. När och hur rapportering ska ske framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) framgår bland annat följande: Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska enligt 3 bedrivas långsiktigt, kontinuerligt och systematiskt och det ska finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning ska dokumenteras. Tjänstetillhandahållaren ska enligt 4 bland annat identifiera informationsbehandlingstillgångar och föra en förteckning över dessa samt analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Vidtagna skyddsåtgärder samt tjänstetillhandahållarens bedömningar av lämplig nivå för hantering av riskerna ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska enligt 10 ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lagen (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. Enligt 6 kap. 4 b LEK ska tjänstetillhandahållaren löpande föra en förteckning över integritetsincidenter. Vad förteckningen närmare ska innehålla framgår av 11 i de ovannämnda föreskrifterna. PTS bedömning PTS konstaterar vidare att Tele2 under året har rapporterat in ett ökat antal incidenter i jämförelse med föregående år. Definitionen av vad som utgör en integritetsincident är vid och PTS bedömer det som sannolikt att det hos många tillhandahållare kan finnas fler integritetsincidenter än de som rapporteras in till myndigheten. PTS ser därför positivt på det arbete som Tele2 gör för att Post- och telestyrelsen 3 Page 3 of 5

4(5) utbilda personal i organisationen och skapa en medvetenhet om integritetsincidenter för att dessa ska rapporteras snabbt både internt och till PTS. Detta är även bra för bolaget för att kunna vidta åtgärder. Tele2:s arbete på det området kan antas ha bidragit till att bolaget har rapporterat ett ökat antal incidenter till PTS och att fler incidenter kan upptäckas och rapporteras till myndigheten i framtiden. PTS har för avsikt att inom kort inleda en särskild tillsyn rörande upptäckt och intern rapportering av integritetsincidenter. Tele2 kan komma att omfattas av den tillsynen. Tele2 har i några fall lämnat bristfälliga upplysningar om inträffade incidenter, vilket har försämrat PTS möjligheter att bedöma behovet av åtgärder från myndighetens sida. PTS ser gärna att rapporteringen skulle kunna innehålla ännu fler uppgifter för att tydligare beskriva de faktiska händelserna. Med detta påpekande lämnar PTS denna del av tillsynen utan åtgärd. En av de aktuella incidenterna hänför sig till bristande säkerhet i återförsäljarledet. Detta är något som PTS även tog upp vid den årliga tillsynen hos Tele2 under 2016 och det är även ett område som PTS kommer att bevaka särskilt framöver. PTS ser positivt på att Tele2 har vidtagit åtgärder för att öka säkerheten i återförsäljarledet och öka medvetenheten hos personalen i bolaget om att följa de rutiner och processer som finns. PTS förutsätter att Tele2 kommer att fortsätta arbeta för att kontinuerligt öka säkerheten i återförsäljarledet, som Tele2 har framfört kan vara en särskilt sårbar del när personalen är anställd av någon annan än bolaget. Mot bakgrund av att PTS för närvarande i ett särskilt tillsynsärende granskar de skyddsåtgärder som Tele2 vidtar vid åtkomst till uppgifter i butiker och hos underleverantörer, så lämnar PTS denna del av den årliga tillsynen utan åtgärd. Med de synpunkter som framförts ovan bedömer PTS att det saknas skäl för att fortsätta den årliga tillsynen, varför ärendet avskrivs från fortsatt handläggning. Beslutet har fattats av enhetschefen Staffan Lindmark. I ärendets slutliga handläggning har även juristerna Ulrika de la Iglesia (föredragande), Marie Wahlin Tideklev och Peder Cristvall deltagit. Post- och telestyrelsen 4 Page 4 of 5

5(5) Post- och telestyrelsen 5 Page 5 of 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss