Utmaning för operatörer att identifiera integritetsincidenter

2018-06-14

De fem största operatörerna har lämpliga rutiner för att identifiera och internt rapportera integritetsincidenter. Post- och telestyrelsen (PTS) anser dock att samtliga skulle behöva arbeta mer proaktivt med att identifiera incidenter, eftersom en hel del incidenter uppmärksammas av abonnenterna, snarare än av företagen själva.

PTS har sedan 2017 granskat hur Com Hem, Telia, Telenor, Tele2 och Hi3G (Tre) identifierar och internt rapporterar integritetsincidenter. Myndigheten inledde granskningen utifrån bedömningen att det troligen inträffar fler integritetsincidenter än de som rapporteras.

PTS anser att operatörernas rutiner nu är ändamålsenliga och att samtliga har ett systematiskt arbetssätt för att rapportera integritetsincidenter internt. Myndigheten anser dock att det finns utrymme för operatörerna att ytterligare utveckla sin förmåga att identifiera integritetsincidenter. PTS helhetsbedömning är dock sådan att myndigheten avslutar sin granskning. 

Läs besluten

Com Hem

Hi3G

Tele2

Telenor 

Telia 

För mer information

Camilla Östlund, jurist, nätsäkerhetsavdelningen: 073-640 58 90
PTS presstjänst: 08-678 55 55

Vad är en integritetsincident?

Operatörer hanterar stora mängder uppgifter om enskilda och deras kommunikation. Det rör sig om abonnentuppgifter, trafikuppgifter, lokaliseringsuppgifter och innehållet som överförs i den elektroniska kommunikationstjänsten. Dessa uppgifter är operatörerna skyldiga att skydda så att de inte förstörs, ändras eller att obehöriga kommer åt dem. Skulle det ändå hända så kallas det integritetsincident. Integritetsincidenter kan inträffa genom yttre påverkan, som t.ex. sabotage, men kan också bero på brister eller otillåtet förfarande hos operatörer. Det kan t.ex. röra sig om brister i organisationen eller i processer, tekniska fel i system, mänskliga misstag eller uppsåtligt felaktigt agerande.

Om PTS arbete med tillsyn av konfidentiell kommunikation

Alla i Sverige ska kunna kommunicera elektroniskt utan att riskera att informationen kommer på avvägar eller används på ett oönskat sätt. PTS har i uppgift att säkerställa att operatörerna följer reglerna om konfidentiell kommunikation. PTS genomför därför olika typer av tillsyn – dels planlagd tillsyn, som detta är ett exempel på dels tillsyn i samband med inträffade incidenter, så kallad händelsestyrd tillsyn. När PTS bedömer att tillsynsobjektet följer gällande regler, avslutas tillsynen genom att PTS fattar ett så kallat avskrivningsbeslut.