PTS klar med Telenor-granskning

2016-12-13

Post- och telestyrelsen (PTS) är nu klar med tillsynen av den omfattande integritetsincident som inträffade hos Telenor i maj 2012 men upptäcktes av företaget först i mars 2015.

Tillsynen handlar om ett kundregister hos operatören som olovligen kopierats. I kundregistret har det funnits information bland annat om personnummer och abonnemang.

PTS har granskat hur Telenor har hanterat incidenten och vilka åtgärder som bolaget vidtagit för att detta inte ska hända igen. Det tog lång tid innan incidenten upptäcktes och det var först efter ett externt tips som Telenor fick reda på att den inträffat.

PTS gör bedömningen att Telenors kontroller av de loggar som operatören för över behandlade abonnentuppgifter måste förbättras för att öka möjligheten att upptäcka och hantera incidenter så snabbt som möjligt. Det är viktigt att kontrollen alltid anpassas efter risken för integritetsincidenter. 

Information om bestämmelser som rör integritet

Läs avskrivningsbeslutet här

Mer information
Anders Lindell, PTS nätsäkerhetsavdelning, tfn: 073-644 55 41
PTS presstjänst, tfn: 08-678 55 55

Bakgrund

Sedan 2014 finns PTS föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter. Där finns till exempel regler om åtkomst- och behörighetshantering och om loggning. Tjänstetillhandahållaren ska bland annat logga all läsning, kopiering och utplåning av behandlade uppgifter samt åtkomst till de system som används för behandling av sådana uppgifter. Loggning ska ske på ett sådant sätt att det går att se vem som har vidtagit vilken åtgärd med vilka uppgifter och vid vilken tidpunkt. Tjänstetillhandahållaren ska systematiskt och återkommande kontrollera loggarna.

Om en integritetsincident inträffar ska tjänstetillhandahållaren utan onödigt dröjsmål underrätta PTS. Om incidenten kan antas inverka negativt på de abonnenter eller användare som de behandlade uppgifterna berör ska även dessa underrättas utan onödigt dröjsmål.