AVSKRIVNINGSBESLUT 1(5) Datum Vår referens Aktbilaga 2017-04-20 Dnr: 17-1211 Nätsäkerhetsavdelningen Ulrika de la Iglesia 08-678 56 29 ulrika.delaiglesia@pts.se Tele2 Sverige AB Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB Saken Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund PTS genomför årligen planlagd tillsyn mot ett antal operatörer för att granska och följa upp föregående års inträffade integritetsincidenter, vilka operatörerna är skyldiga att rapportera till PTS. I tillsynen granskas operatörernas arbete med att identifiera, hantera, åtgärda och dra lärdomar av inträffade incidenter mot bakgrund av reglerna om skydd av behandlade uppgifter i lagen (2003:389) om elektronisk kommunikation (LEK). Dessutom granskas hur operatörerna följer reglerna om rapportering av de inträffade incidenterna. Ett av huvudsyftena med inrapporteringsskyldigheten är att PTS ska kunna göra en bedömning av om det finns skäl att misstänka att bestämmelser LEK inte efterlevs, exempelvis bestämmelsen om skydd av behandlade uppgifter i 6 kap. 3 LEK. Även i de fall en incidentrapport till PTS inte ger upphov till direkta tillsynsåtgärder, kan incidentrapporten innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till integritetsincidenter. Detta kan i sin tur utgöra underlag för PTS planlagda tillsynsinsatser. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se Page 1 of 5
2(5) PTS inledde den 13 februari 2017 den planlagda årliga tillsynen rörande incidentrapportering och inträffade integritetsincidenter mot Tele2 Sverige AB (Tele2). Den 7 mars 2017 höll PTS ett tillsynsmöte med Tele2. Tele2 har sedan föregående år förvärvat bolaget TDC Sverige. Sammanslagningen av bolagen beräknas vara klar under 2018. Vid tillsynsmötet hos PTS beskrev Tele2 sina rutiner för rapportering av integritetsincidenter och hur bolaget hanterar dessa. Tele2 redogjorde för hur bolaget kontinuerligt arbetar med att skapa en medvetenhet internt om vad en incident är för att få en snabbare rapportering och möjlighet att lösa dem. Bolaget har även arbetat med hur de ska kommunicera med sina kunder om inträffade incidenter. Vidare redogjorde Tele2 för de incidenter som hade rapporterats in till PTS under föregående år och de åtgärder som bolaget vidtagit med anledning av dessa. Tre av de aktuella incidenterna bestod i att abonnenters nummer som skulle vara hemliga av olika skäl blev publicerade av abonnentupplysningstjänster. Med anledning av dessa incidenter har Tele2 genomfört förändringar i it-system för att förhindra att det inträffade upprepas. Tele2 har även infört en ny kontrollfunktion i kommunikationen med abonnentupplysningsföretagen. En av de inrapporterade incidenterna bestod i att butikspersonal som inte var behöriga att ta del av Tele2:s kunduppgifter hade tillgång till dem. Tele2 sade efter incidenten upp avtalet med den aktuella elektronikkedjan. Vidare har bolaget genomfört och planerar ytterligare tekniska förändringar i system, för att minska risken för att detta ska kunna ske. Förändrade rutiner, samt utbildning och kontroll av personal hos återförsäljare ska ytterligare minska risken. Bolaget kommer även att långsiktigt analysera riskerna för integritetsincidenter med anledning av det inträffade. Skäl Tillämpliga bestämmelser PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Enligt 6 kap. 3 LEK ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att uppgifter som behandlas i samband med tillhandahållandet av tjänsten skyddas. Den som tillhandahåller ett allmänt kommunikationsnät ska vidta de åtgärder som är nödvändiga för att upprätthålla detta skydd i nätet. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. Post- och telestyrelsen 2 Page 2 of 5
3(5) Enligt 6 kap. 4 a LEK ska den som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster utan onödigt dröjsmål underrätta tillsynsmyndigheten om integritetsincidenter. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör, eller om tillsynsmyndigheten begär det, ska även dessa underrättas utan onödigt dröjsmål. När och hur rapportering ska ske framgår av Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott. Av PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter (PTSFS 2014:1) framgår bland annat följande: Tjänstetillhandahållarens säkerhetsarbete avseende behandlade uppgifter ska enligt 3 bedrivas långsiktigt, kontinuerligt och systematiskt och det ska finnas en tydlig rollfördelning med särskilt utpekade ansvariga. Rutiner, processer och rollfördelning ska dokumenteras. Tjänstetillhandahållaren ska enligt 4 bland annat identifiera informationsbehandlingstillgångar och föra en förteckning över dessa samt analysera riskerna för att integritetsincidenter inträffar för de identifierade informationsbehandlingstillgångarna. Vidtagna skyddsåtgärder samt tjänstetillhandahållarens bedömningar av lämplig nivå för hantering av riskerna ska dokumenteras och följas upp årligen och vid behov. Tjänstetillhandahållaren ska enligt 10 ha dokumenterade rutiner för identifiering, intern rapportering, hantering och uppföljning av integritetsincidenter. Rutinerna ska säkerställa 1. att samtliga uppgifter i 11 förs in i den förteckning som tjänstetillhandahållaren ska föra enligt 6 kap. 4 b lagen (2003:389) om elektronisk kommunikation, 2. att inträffade integritetsincidenter och dess orsaker beaktas vid genomgång av riskanalyser i enlighet med 4, och 3. att skyddsåtgärder vidtas för att undvika liknande integritetsincidenter. Enligt 6 kap. 4 b LEK ska tjänstetillhandahållaren löpande föra en förteckning över integritetsincidenter. Vad förteckningen närmare ska innehålla framgår av 11 i de ovannämnda föreskrifterna. PTS bedömning PTS konstaterar vidare att Tele2 under året har rapporterat in ett ökat antal incidenter i jämförelse med föregående år. Definitionen av vad som utgör en integritetsincident är vid och PTS bedömer det som sannolikt att det hos många tillhandahållare kan finnas fler integritetsincidenter än de som rapporteras in till myndigheten. PTS ser därför positivt på det arbete som Tele2 gör för att Post- och telestyrelsen 3 Page 3 of 5
4(5) utbilda personal i organisationen och skapa en medvetenhet om integritetsincidenter för att dessa ska rapporteras snabbt både internt och till PTS. Detta är även bra för bolaget för att kunna vidta åtgärder. Tele2:s arbete på det området kan antas ha bidragit till att bolaget har rapporterat ett ökat antal incidenter till PTS och att fler incidenter kan upptäckas och rapporteras till myndigheten i framtiden. PTS har för avsikt att inom kort inleda en särskild tillsyn rörande upptäckt och intern rapportering av integritetsincidenter. Tele2 kan komma att omfattas av den tillsynen. Tele2 har i några fall lämnat bristfälliga upplysningar om inträffade incidenter, vilket har försämrat PTS möjligheter att bedöma behovet av åtgärder från myndighetens sida. PTS ser gärna att rapporteringen skulle kunna innehålla ännu fler uppgifter för att tydligare beskriva de faktiska händelserna. Med detta påpekande lämnar PTS denna del av tillsynen utan åtgärd. En av de aktuella incidenterna hänför sig till bristande säkerhet i återförsäljarledet. Detta är något som PTS även tog upp vid den årliga tillsynen hos Tele2 under 2016 och det är även ett område som PTS kommer att bevaka särskilt framöver. PTS ser positivt på att Tele2 har vidtagit åtgärder för att öka säkerheten i återförsäljarledet och öka medvetenheten hos personalen i bolaget om att följa de rutiner och processer som finns. PTS förutsätter att Tele2 kommer att fortsätta arbeta för att kontinuerligt öka säkerheten i återförsäljarledet, som Tele2 har framfört kan vara en särskilt sårbar del när personalen är anställd av någon annan än bolaget. Mot bakgrund av att PTS för närvarande i ett särskilt tillsynsärende granskar de skyddsåtgärder som Tele2 vidtar vid åtkomst till uppgifter i butiker och hos underleverantörer, så lämnar PTS denna del av den årliga tillsynen utan åtgärd. Med de synpunkter som framförts ovan bedömer PTS att det saknas skäl för att fortsätta den årliga tillsynen, varför ärendet avskrivs från fortsatt handläggning. Beslutet har fattats av enhetschefen Staffan Lindmark. I ärendets slutliga handläggning har även juristerna Ulrika de la Iglesia (föredragande), Marie Wahlin Tideklev och Peder Cristvall deltagit. Post- och telestyrelsen 4 Page 4 of 5
5(5) Post- och telestyrelsen 5 Page 5 of 5