Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Relevanta dokument
Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn över dokumentation av informationsbehandlingstillgångar

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Tillsyn över säkerhetsarbete hos underleverantör

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn över dokumentation av tillgångar och förbindelser

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Säkerhetsbrister i kundplacerad utrustning

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Exponerade fakturor på internet

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Säkerhetsbrister i kundplacerad utrustning

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

(5)

Tillsyn över behandling av uppgifter

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Överlämnande av nummer vid byte av tjänsteleverantör

Avbrott i bredbandstelefonitjänst

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Vägledning om skyldigheten att rapportera integritetsincidenter

Beslut om ändring av telefoninummerplanen

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Förslag till beslut om ändring av telefoninummerplanen

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Saken. PTS underrättelse

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Föreläggande att inkomma med uppgifter

Beslut om avskrivning

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut om ändring av telefoninummerplanen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Underrättelse om misstanke om att Föreningen Sveriges Sändareamatörer (SSA) utfärdar amatörradiocertifikat på bristfälliga grunder

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Föreningen Sveriges Sändareamatörer, Box 45, Sollentuna.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Förändringar i nya LEK

Underrättelse om att Halebops villkor för registrering av kontantkort strider mot 5 kap. 9 lagen (2004:389) om elektronisk kommunikation (LEK).

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

Ändring av telefoninummerplanen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Tillsyn - äldreomsorg

Ansökan om undantag från krav på reservkraft

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut om förbud enligt 12 radioutrustningslagen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Nordisk Mobiltelefon Sverige AB:s konkursbo, Lagrummet december nr 1580 AB, , under namnbyte till AINMT Sverige AB

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Beslut om ändring av telefoninummerplanen

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Transkript:

16-11007-4 BESLUT Datum Vår referens Sida 2017-10-06 Dnr: 16-11007 1(6) Nätsäkerhetsavdelningen Mikael Ejner 08-678 57 21 mikael.ejner@pts.se Telenor Sverige AB Stefan Wahlstedt Endast via e-post Tillsyn av åtgärder för skydd av behandlade uppgifter i butiks- och återförsäljarledet Saken Tillsyn av åtgärder enligt 5 7 och 9 PTSFS 2014:1 för skydd av behandlade uppgifter i butiks- och återförsäljarledet. Post- och Telestyrelsens beslut Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst (tjänstetillhandahållare) ska vidta lämpliga åtgärder för att säkerställa att de uppgifter som överförs, lagras eller på annat sätt behandlas i samband med tillhandahållandet av tjänsten skyddas. Åtgärderna ska vara ägnade att säkerställa en säkerhetsnivå som, med beaktande av tillgänglig teknik och kostnaderna för att genomföra åtgärderna, är anpassad till risken för integritetsincidenter. 1 Tjänstetillhandahållare är således skyldiga att analysera riskerna för att integritetsincidenter inträffar och utifrån dessa vidta nödvändiga åtgärder för att skydda behandlade uppgifter. För att säkerställa ett visst minimiskydd har PTS föreskrivit om ett antal grundläggande åtgärder som tjänstetillhandahållare åtminstone ska vidta. 2 1 6 kap. 3 lagen (2003:389) om elektronisk kommunikation (LEK). 2 Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2014:1) om skyddsåtgärder för behandlade uppgifter. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se Page 1 of 6

Under 2015 och 2016 inträffade ett antal integritetsincidenter i butiks- och återförsäljarledet hos flera tillhandahållare av mobiltelefonitjänster. Till följd av detta beslutade PTS att inleda tillsyn mot de fyra största aktörerna som tillhandahåller dessa tjänster i egna butiker, hos återförsäljare eller bådadera för att granska deras åtgärder för skydd av behandlade uppgifter och om dessa åtgärder uppfyller föreskrivna krav. 3 PTS beslutade att avgränsa tillsynen till en granskning av de grundläggande åtgärder som krävs enligt 5 7 och 9 PTS föreskrifter och allmänna råd (PTSFS 2014:1) om skyddsåtgärder för behandlade uppgifter. De åtgärder som ska vidtas enligt dessa paragrafer avser åtkomsthantering, behörighetshantering, loggning och kryptering. Tjänstetillhandahållarnas eventuella ytterligare skyddsåtgärder som krävs enligt 4 PTSFS 2014:1 faller således utanför tillsynen. PTS beslutade vidare att avgränsa tillsynen till att avse skyddsåtgärder för uppgifter som behandlas i tjänstetillhandahållarnas IT-system som används vid försäljning av mobiltelefonabonnemang i butiksmiljö (nedan kallat säljstödsystem). För varje tjänstetillhandahållare som ingick i tillsynen har PTS hållit möten och besökt en butik som antingen tillhört tjänstetillhandahållaren eller en återförsäljare. Telenor Sverige AB (Telenor) är en av de tjänstetillhandahållare som omfattas av den aktuella tillsynen. PTS inledde tillsynen mot bolaget den 16 november 2016. PTS har besökt Telenor vid två tillfällen, dels den 15 december 2016 på Telenors kontor i Stockholm dels den 19 april 2017 i Telenors egen butik i Solna. Telenor har vid dessa besök redogjort för bolagets skyddsåtgärder och förevisat säljstödsystemet. PTS granskning av Telenors åtgärder för skydd av uppgifter som behandlas i bolagets säljstödsystem baseras på de iakttagelser och de muntliga uppgifter som framkommit i samband med tillsynsbesöken. Iakttagelser och inhämtade uppgifter I Telenors säljstödsystem behandlas vissa uppgifter, såsom kunders fasta kostnader, rörliga kostnader och förbrukad datamängd, samt uppgift om abonnemang. Det är inte möjligt att se kunders samtalsspecifikationer. Telenor ger säljare både i egna butiker och hos återförsäljare behörighet till säljstödsystemet. Tilldelningen av behörigheter är delegerad så att butikschefer kan ge individuella säljare behörighet. Behörigheterna för säljare i Telenors egna butiker tilldelas i samband med att de anställs och genomgår en intern introduktionsutbildning. Under utbildningen får säljare bl.a. lära sig att hantera säljstödsystemet och hur de ska agera vid 3 PTS är enligt 2 förordningen (2003:396) om elektronisk kommunikation tillsynsmyndighet enligt LEK. PTS ska enligt 7 kap. 1 LEK utöva tillsyn över efterlevnaden av lagen och de beslut om skyldigheter eller villkor samt de föreskrifter som meddelats med stöd av lagen. Post- och telestyrelsen 2 Page 2 of 6

olika typer av incidenter, däribland integritetsincidenter. Säljarna får i samband med anställningen även ta del av Telenors uppförandekod, som bl.a. innehåller riktlinjer om tystnadsplikt och behandling av personuppgifter. Utöver detta tillhandahåller Telenor en webbaserad utbildning för säljare och genomför veckovisa butiksmöten, där säljare t.ex. diskuterar olika incidenter och hur man bör agera vid sådana. Telenor avtalar med återförsäljare om att återförsäljare ska utbilda säljare anställda där. Telenor följer upp tilldelade behörigheter två gånger per år och tar bort behörigheter i samband med att säljare avslutar sin anställning. En säljare som har fått behörighet kan komma åt uppgifterna i säljstödsystemet genom de datorer som finns i butiken. I Telenors egna butiker sker förbindelsen mellan butikernas datorer och säljstödsystemet genom en krypterad terminalanslutning. Hos återförsäljare nås säljstödsystemets webbsida genom det krypterade protokollet HTTPS. Det krävs ett personligt användarnamn och lösenord för att logga in i säljstödsystemet. Systemet kräver att lösenordet byts med jämna mellanrum. Skulle ett konto inte ha använts på tre månader stängs det. Det finns rutiner som innebär att säljare ska logga ut ur systemet när denne lämnar datorn. Datorerna i den besökta butiken saknar insynsskydd och automatisk låsning vid inaktivitet. Telenor har rutiner för att kunder alltid ska legitimera sig innan uppgifter hänförliga till kunden behandlas i säljstödsystemet. Om en kund saknar giltig idhandling svarar säljare endast på frågor i generella termer och hämtar således inga uppgifter från säljstödsystemet. Telenors butiker är dessutom utrustade med ett system som kan läsa av och kontrollera id-handlingar för att hindra identitetsbedrägerier. Systemet är dock inte tekniskt anslutet till säljstödsystemet utan för att komma åt en kunds uppgifter krävs att säljaren manuellt anger kundens personnummer i systemet. Telenor loggar all uppgiftsbehandling som sker i säljstödsystemet. Loggarna sparas en viss tid och kontrolleras varje regelbundet. Skäl för beslutet Föreskrivna krav Åtkomsthantering Enligt 5 PTSFS 2014:1 ska tjänstetillhandahållaren säkerställa att åtkomst till behandlade uppgifter endast ges till den som 1. behöver det för att utföra sina arbetsuppgifter, 2. har relevant utbildning med hänsyn till de uppgifter denne hanterar, 3. har upplysts om tystnadsplikten i 6 kap. 20 21 lagen (2003:389) om elektronisk kommunikation. Post- och telestyrelsen 3 Page 3 of 6

Enligt allmänna råd till 5 bör en relevant utbildning innehålla information om när och hur behandlade uppgifter får hanteras, tecken på att en integritetsincident har inträffat, tänkbara konsekvenser av en inträffad integritetsincident för abonnenter och användare, hur rapportering av integritetsincidenter ska ske samt hur uppföljning av integritetsincidenter sker i organisationen. Behörighetshantering Enligt 6 ska tjänstetillhandahållaren tilldela behörighet i enlighet med vad som föreskrivs i 5. Tjänstetillhandahållaren ska ha dokumenterade rutiner för tilldelning, ändring och uppföljning av behörigheter. Uppföljning av tilldelade behörigheter ska ske årligen. Tjänstetillhandahållaren ska ha system för identitets- och åtkomsthantering som säkerställer att åtkomst endast medges i enlighet med tilldelade behörigheter. Loggning Enligt 7 ska tjänstetillhandahållaren dokumentera (logga) all läsning, kopiering, ändring och utplåning av behandlade uppgifter samt åtkomst till de system som används för behandling av sådana uppgifter. Loggning ska ske på ett sådant sätt att det går att se vem som har vidtagit vilken åtgärd med vilka uppgifter och vid vilken tidpunkt. Tjänstetillhandahållaren ska systematiskt och återkommande kontrollera loggarna. Kontrollerna får avgränsas till att omfatta utvalda behandlingar under begränsade tidsperioder, om kostnaderna för kontrollen motiverar en sådan avgränsning. Tjänstetillhandahållaren ska dokumentera genomförda kontroller av loggar. Vid misstanke om att en integritetsincident har inträffat ska relevanta loggar alltid kontrolleras. Tjänstetillhandahållaren ska ha dokumenterade rutiner för kontroll av loggar. Enligt allmänna råd till 7 bör kontroll av loggar ske med den periodicitet som är lämplig med hänsyn till verksamhetens omfattning, antalet personer med behörighet, hur behörigheterna tilldelas och hur omfattande kontrollen är. Kryptering Enligt 9 ska behandlade uppgifter som överförs via internet skyddas genom kryptering. Detta gäller inte vid överföring till berörd abonnent eller användare om denne vid det enskilda tillfället har samtyckt till att överföringen sker utan kryptering. Kryptering ska ske med en allmänt erkänd krypteringsmetod med tillräcklig nyckellängd. Krypteringsnycklar ska hanteras på ett säkert sätt. Tjänstetillhandahållaren ska ha dokumenterade rutiner för kryptering och hantering av krypteringsnycklar. PTS bedömning Post- och telestyrelsen 4 Page 4 of 6

PTS ser positivt på att Telenor begränsar mängden uppgifter säljare har åtkomst till, t.ex. genom att inte låta säljare ta del av kunders samtalsspecifikationer i säljstödsystemet. PTS vill dock i sammanhanget framhålla vikten av att fortlöpande arbeta med att anpassa säljarnas behörigheter för att säkerställa att åtkomst till behandlade uppgifter begränsas till de uppgifter en säljare behöver för att utföra sina arbetsuppgifter. Förbindelsen mellan webbläsaren och säljstödsystemet använder HTTPS vilket innebär att den är krypterad och därmed torde uppfylla kraven enligt 9 PTSFS 2014:1, under förutsättning att nycklarna är tillräckligt långa och hanteras säkert samt att rutinerna för detta dokumenteras. PTS vill även framhålla vikten av att fortlöpande arbeta med att säkerställa att endast behöriga får del av uppgifter i säljstödsystemet. Detta har både en intern och en extern dimension, dvs. det innefattar både att säljare endast kommer åt uppgifter om de kunder som de faktiskt betjänar och att obehöriga butiksbesökare inte ges åtkomst till behandlade uppgifter i säljstödsystemet. Det är Telenor som är skyldigt att analysera riskerna för att integritetsincidenter inträffar och utifrån dessa vidta de åtgärder som är lämpliga för att hantera de identifierade riskerna. Riskanalyserna ska regelbundet följas upp och vid behov justeras, t.ex. i ljuset av incidenter som inträffar. Om analyserna visar att det finns risk för bedrägerier och att säljare bryter mot tystnadsplikten kan det därför finnas anledning att ytterligare begränsa åtkomsten till uppgifter i säljstödsystemet. T.ex. kan det finnas anledning att överväga om åtkomsten till uppgifter i säljstödsystemet bör begränsas så att det endast är möjligt att få åtkomst till kunduppgifter efter att systemet automatiskt läst av den aktuella kundens id-handling, och därmed ta bort möjligheten att manuellt ange en kunds personnummer och därmed få åtkomst till kunduppgifterna. Det kan även finnas anledning att överväga om ytterligare fysiska hinder, såsom insynsskydd på datorer och automatisk skärmlåsning vid inaktivitet, skulle kunna vara åtgärder som i ytterligare utsträckning skulle kunna förhindra obehörig och därmed otillåten åtkomst till behandlade uppgifter. Skäl att fortsätta tillsynen av avseende skyddsåtgärder för behandlade uppgifter i butiks- och återförsäljarledet finns inte, varför ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Staffan Lindmark. I ärendets slutliga handläggning har även Camilla Östlund och Mikael Ejner (föredragande) deltagit. Post- och telestyrelsen 5 Page 5 of 6

Post- och telestyrelsen 6 Page 6 of 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss