PTS granskar Telias rutiner för incidentrapportering

2020-07-09

Post- och telestyrelsen (PTS) ska granska Telias rutiner för rapportering av integritetsincidenter. Detta med anledning av att Telia har rapporterat incidenter för sent.

Enligt reglerna för incidentrapportering ska operatörer skicka en inledande rapport till PTS senast 24 timmar efter att en incident har upptäckts. En kompletterande rapport ska skickas inom tre dagar från den inledande rapporten.

Under senhösten 2019 och våren 2020 har PTS uppmärksammat att Telias incidentrapportering inte alltid nått upp till lagkraven. De kompletterande integritetsincidentrapporterna har varit försenade, trots påminnelser från PTS. Vanligtvis ska den kompletterande rapporten innehålla information om när och hur drabbade individer underrättats om incidenten. Att kompletteringarna till PTS drar ut på tiden har ofta berott på att information till drabbade individer ännu inte getts.

– PTS ser allvarligt på dessa brister, särskilt i de fall där drabbade individer inte får information om de incidenter som de har påverkats av, säger Anna Söyland, handläggare för tillsynsärendet på PTS.

Telia har uppgett personalbrist som orsak till förseningarna.

– Vi har förståelse för att coronapandemin kan ha påverkat vissa företags situation, men i Telias fall rör det sig om en problematik som pågått under en längre tid. Det är viktigt att ha ett systematiskt arbete, att upprätthålla rutiner som fungerar även när det till exempel byts personal, säger Anna Söyland. 

Mot bakgrund av detta inleder PTS tillsyn av Telia för att säkerställa att bolaget har en plan för att säkerställa fungerande rutiner, så att bolaget kontinuerligt kan upprätthålla en fungerande incidenthantering.

För mer information
Anna Söyland, PTS avdelning för säker kommunikation, 08-678 56 11
PTS presstjänst: tfn: 08-678 55 55

Bakgrund: Rapportering av integritetsincidenter

Det är viktigt att det på ett säkert sätt går att utbyta information via elektroniska kommunikationsnät och -tjänster. En av PTS uppgifter är att främja tillgången till säkra och effektiva elektroniska kommunikationer, och utöva tillsyn över de regler som finns i lagen om elektronisk kommunikation. Integritetsincidenter kan vara ett hot mot tilltron till elektroniska kommunikationstjänster. Personuppgifter som sprids till utomstående eller går förlorade kan få allvarliga konsekvenser och leda till ekonomisk skada eller personlig kränkning.

Operatörernas rapporter ger PTS underlag att bedöma om bestämmelserna om integritetsskydd inte följs, och i så fall bedriva tillsyn. Dessutom ökar rapporterna PTS kunskap om vanliga orsaker till incidenter med mera. Även de abonnenter eller användare som berörs av en integritetsincident ska underrättas om den så att de kan vidta lämpliga åtgärder, för att begränsa eller på något sätt hantera den skada som incidenten kan medföra.
Rapporten till berörda abonnenter eller användare ska skickas utan onödigt dröjsmål efter det att integritetsincidenten upptäckts.