Rapportera integritetsincidenter

Operatörer hanterar stora mängder uppgifter om enskilda och deras kommunikation. Operatörer är skyldiga att skydda uppgifterna så att de inte förstörs, ändras eller att obehöriga kommer åt dem. Skulle det ändå hända kallas det integritetsincident.

Här beskriver vi reglerna för integritetsincidenter, hur operatörer ska rapportera incidenter till PTS och underrätta abonnenter eller användare som berörs. Beskrivningen ska inte betraktas som ett förhandsbesked om vilka bedömningar PTS kan komma att göra i ett enskilt ärende.

Integritetsincidenter kan innebära risker för människors friheter och rättigheter. De kan också utgöra hot mot tilltron till elektroniska kommunikationstjänster och de operatörer som tillhandahåller tjänsterna. Det finns därför bestämmelser om att operatörer ska rapportera integritetsincidenter till PTS och underrätta abonnenter eller användare som påverkas negativt av incidenten.

Här hittar du som anmälare en mall för incidentrapportering vid integritetsincidenter.

Kom ihåg att du också kan använda vårt onlineverktyg för incidentrapportering.

Säkerhetsåtgärder ska minimera risken för integritetsincidenter

Operatörer ska vidta säkerhetshetsåtgärder för att skydda uppgifter om användare och deras kommunikation. Åtgärderna ska vara anpassade till risken för integritetsincidenter.

Trots det kan händelser inträffa som leder till att de behandlade uppgifterna inte skyddas. Sådana händelser kan inträffa genom yttre påverkan, som till exempel sabotage, men kan också bero på brister eller otillåtet förfarande hos operatören som tIll exempel brister i organisationen, misstag eller tekniska fel i system. 

Vi använder genomgående begreppet ”operatör”, men avser tillhandahållare av allmän elektronisk kommunikationstjänst.

arrow Vad är en integritetsincident?

Så här säger lagen

”Integritetsincidenter är händelser som leder till oavsiktlig eller otillåten utplåning, förlust eller ändring, eller otillåtet avslöjande av eller otillåten åtkomst till uppgifter som behandlas i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster.” (6 kap 1 § lagen (2003:389) om elektronisk kommunikation)

Här förklarar vi de olika begreppen för att förtydliga vad som är en integritetsincident.

Oavsiktlig eller otillåten utplåning eller förlust
Uppgifter som går förlorade eller utplånas när de behandlas innebär att uppgifterna inte längre finns. Det kan även innebära att uppgifterna inte längre finns när de är i ett format som operatören inte kan använda eller om uppgifterna finns, men operatören inte längre har tillgång till dem.

Exempel

  • Uppgifter skrivs över utan att operatören har möjlighet att återskapa dem genom till exempel säkerhetskopiering. Detta kan inträffa av misstag i samband med ett felaktigt förändringsarbete, såsom vid byte av teknisk plattform för ett it-system eller vid mjukvaruuppdatering.
  • Operatören kan inte tillfälligt komma åt uppgifter (temporär förlust). Detta kan exempelvis inträffa till följd av en överbelastningsattack.

Oavsiktlig eller otillåten ändring
Uppgifter som behandlas oavsiktligt eller otillåtet ändras innebär att uppgifterna inte längre är korrekta eller är ofullständiga.

Exempel

  • Handhavandefel i kundtjänst.
  • Felaktigt förändringsarbete som leder till att uppgifter i en databas ändras. De ändrade uppgifterna ligger sedan till grund för abonnentfakturering, vilket resulterar i att abonnenter får betala felaktiga belopp.

Otillåtet avslöjande eller otillåten åtkomst
Otillåtet avslöjande eller åtkomst till uppgifter som behandlas innebär att uppgifterna har röjts till någon som inte är behörig att ta del av dem.

Exempel

  • Anställd som inte är behörig kopierar en databas med abonnentuppgifter.
  • Felaktigt förändringsarbete som leder till fel i överföringen av elektronisk kommunikation så att abonnenters SMS skickas till fel mottagare.
  • Operatörens återförsäljare lämnar ut en abonnents samtalshistorik till någon som uppger sig för att vara närstående till abonnenten, utan att fullmakt föreligger.
  • Abonnent får obehörigen tillgång till en annan abonnents uppgifter till följd av brister i till exempel webbaserade självbetjäningstjänster.

Vilka uppgifter
Uppgifter ska normalt röra eller kunna hänföras till en abonnent eller användare för att omfattas. Det är uppgifter såsom:

  • innehållet som överförs i kommunikationstjänsten
  • abonnentuppgifter, trafikuppgifter och lokaliseringsuppgifter som kan kopplas till den överförda informationen, till abonnemangsinnehavare eller till de användare som kommunicerar.

Behandling
Med behandling avses t.ex. insamling, registrering, lagring, överföring och bearbetning. Behandlingen sker oftast i operatörens i databaser, katalogtjänster, routrar, switchar, servrar, aktiva fysiska förbindelser och media converters. Samlingsbegreppet som PTS använder för behandlade uppgifter är ”informationsbehandlingstillgång”.

Uppgifterna behandlas många gånger av operatörens kundtjänst eller it-avdelning, men även av andra verksamheter, såsom nätövervakningscentral, marknadsavdelning och underleverantörer.

Operatören är skyldig att hantera och rapportera samtliga inträffade integritetsincidenter inom bolagets verksamhet, oaktat om den bedrivs i egen regi eller inte.

I samband med tillhandahållandet av en allmänt tillgänglig elektronisk kommunikationstjänst

Behandlingen av uppgifter ska ha skett i samband med att operatören tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst. Det innebär inte nödvändigtvis att alla uppgifter som en operatör behandlar berörs. Uppgifter som enbart hanteras inom eller för att stödja företagets interna processer eller tjänster som är fristående från tillhandahållandet av kommunikationstjänsten, omfattas inte.

arrow Varför ska integritetsincidenter rapporteras?

Operatörer som omfattas av lagen om elektronisk kommunikation ska rapportera inträffade integritetsincidenter till PTS och till de abonnenter och användare som påverkas negativt av incidenten (6 kap. § 4a LEK).

Rapporteringsskyldigheten för operatörer ger myndigheten ett underlag för att kunna bedöma om det finns anledning att misstänka att reglerna om integritetsskydd inte efterlevs och i sådana fall möjliggöra för PTS att vidta lämpliga tillsynsåtgärder.

Rapporteringsskyldigheten innebär även att användare och abonnenter ska informeras så att de har möjlighet att vidta lämpliga åtgärder för att begränsa eller på annat sätt hantera den skada som incidenten kan medföra.

Även om en incidentrapport inte ger upphov till direkta tillsynsåtgärder kan den innehålla uppgifter som bidrar till myndighetens kunskap om vanliga orsaker till incidenter med mera. Den kan därmed utgöra en viktig grund för myndighetens långsiktiga arbete för att främja integritets- och konfidentialitetsskyddet i de elektroniska kommunikationerna.

PTS har till uppgift att främja tillgången till säkra och effektiva elektroniska kommunikationer och utövar tillsyn över regler om bland annat rapportering av integritetsincidenter.

Ett tillförlitligt och säkert utbyte av information via elektroniska kommunikationsnät och elektroniska kommunikationstjänster blir alltmer centralt i samhället. Integritetsincidenter utgör potentiellt ett allvarligt hot mot tilltron till elektroniska kommunikationstjänster. Om uppgifter som behandlas inom ramen för en elektronisk kommunikationstjänst till exempel sprids till utomstående eller går förlorad kan det få allvarliga konsekvenser. Om sådana händelser inte hanteras på ett lämpligt sätt kan det leda till att individer råkar ut för såväl ekonomisk skada som personlig kränkning.

arrow Vem är skyldig att rapportera integritetsincidenter och underrätta berörda användare?

Alla som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster, med andra ord operatörer, är skyldiga att rapportera integritetsincidenter till PTS och underrätta de användare som negativt berörs av det inträffade.

En elektronisk kommunikationstjänst är en tjänst som vanligen tillhandahålls mot ersättning och som helt eller huvudsakligen utgörs av överföring av signaler i elektroniska kommunikationsnät.

Skyldigheten att rapportera integritetsincidenter gäller även om operatören använder en annan leverantör för att utföra delar av tjänsten. Den andra leverantören är skyldig att omedelbart informera operatören i händelse av en integritetsincident, men det är operatören, som har ett direkt kontraktsförhållande med slutanvändaren, som är rapporteringsskyldig.

arrow Vilka integritetsincidenter ska rapporteras och till vem?

Som utgångspunkt ska alla integritetsincidenter rapporteras både till PTS och till berörda användare. Operatören ska även ha en förteckning över samtliga integritetsincidenter. Förteckningen ska uppdateras löpande (6 kap. § 4b LEK).

Under rubriken "Vad är en integritetsincident?" förklarar vi de olika begreppen för att förtydliga vad som är en integritetsincident.

arrow När och hur ska operatörer rapportera till PTS?

När och hur operatörer ska rapportera incidenter till PTS framgår av EU-kommissionens förordning, inte av lagen om elektronisk kommunikation (LEK). 

I EU-förordningen används begreppet "personuppgiftsbrott" med samma innebörd som begreppet "integritetsincident" har i LEK.

Senast 24 timmar efter upptäckt
Den obligatoriska rapporteringsskyldigheten innebär att operatören självmant ska lämna en rapport till PTS senast 24 timmar efter det att integritetsincidenten upptäcks. En integritetsincident ska betraktas som upptäckt av operatören när denne är medveten om att en incident har inträffat. Det är inte nödvändigt att alla omständigheter om incidenten är klarlagda för att den ska anses vara upptäckt.

Delrapporter vid större incidenter
I vissa fall, till exempel vid större incidenter som tar tid att utreda, kan operatören istället lämna flera delrapporter till PTS. En inledande rapport ska alltid lämnas senast 24 timmar efter att incidenten upptäcks. Om operatören ännu inte har tillgång till alla uppgifter om incidenten, ska resterande uppgifter lämnas i en kompletterande rapport så snart som möjligt dock senast tre dagar efter den inledande rapporten.

Undantag från tre-dagars-regeln
Om operatören genom sitt utredningsarbete inte har kunnat ta fram alla uppgifter inom tre dagar ska operatören lämna en välgrundad motivering till detta tillsammans med en rapport som innehåller alla då tillgängliga uppgifter. Operatören ska därefter lämna resterande uppgifter och, om det är nödvändigt, uppdateringar av redan lämnade uppgifter, så snart det är möjligt.

Rapporten till PTS ska innehålla de uppgifter som beskrivs under avsnittet ”Vad ska incidentrapporten innehålla?”.

Skicka rapport
Rapporten skickas via PTS e-tjänst för incidentrapportering eller till incidentrapport@pts.se

arrow Vad ska incidentrapporten innehålla?

Operatörens incidentrapport till PTS ska innehålla följande information:

  • Tidpunkt för incidenten samt upptäckt av incidenten
  • Antal berörda användare
  • Omständigheter kring incidenten; vad som inträffat, orsaker och konsekvenser
  • Åtgärder som operatören har vidtagit
  • Medverkan av andra tjänsteleverantörer
  • Medverkan eller påverkan på användare i andra länder
  • Referensnummer
  • Kopia på underrättelsen som har lämnats till berörda användare


När integritetsincidenten inträffade och upptäcktes
Tidpunkterna för när integritetsincidenten inträffade och upptäcktes ska anges i rapporten. Om incidenten rör ett tekniskt system bör det gå att fastställa relativt exakt när en integritetsincident inträffade med stöd av uppgifter från system för övervakning och loggning. Om så inte är fallet får istället en uppskattning göras med utgångspunkt från de fakta om incidenten som operatören kan fastställa i sin utredning. Utöver tidsangivelsen bör operatören redogöra för hur uppgifterna har fastställts.

Det är inte ovanligt att händelseförloppet för en incident kan delas in i flera steg. Även arbetet med att åtgärda en incident kan ske i flera steg. I dessa fall bör operatören ange tidpunkten för varje relevant händelse i samband med integritetsincidentens uppkomst och avhjälpande.

Antal berörda abonnenter eller användare
En integritetsincident berör normalt alltid minst en abonnent eller användare. Det är oftast relativt enkelt att fastställa vilka och hur många dessa är. I dessa fall ska antalet anges i rapporten. Det kan dock förekomma incidenter där det inte är möjligt att fastställa ett exakt antal. Operatören bör då istället beskriva konsekvenserna i andra termer, som ger en tydlig bild av omfattningen.

Beskrivning av integritetsincidenten, dess orsaker och konsekvenser
Incidentens komplexitet avgör hur omfattande beskrivningen behöver vara. Det som normalt bör framgår är

  • hur incidenten har uppstått
  • vilka elektroniska kommunikationstjänster som är berörda
  • vilka slags uppgifter om abonnenter eller användare, till exempel vilka abonnent- eller trafikuppgifter som omfattas
  • vilka tekniska system som eventuellt har påverkat eller påverkats av incidenten.

I beskrivningen ska det framgå vad som är den grundläggande orsaken till integritetsincidenten (t.ex. brister i organisation eller processer, tekniska fel i system, misstag eller uppsåtligt felaktigt agerande). Eventuella bidragande orsaker ska också anges så att det av beskrivningen tydligt framgår hur den aktuella integritetsincidenten kunde uppkomma.

Det är även viktigt att beskriva hur incidenten har påverkat abonnenter eller användare. Beskrivningen ska göras utifrån abonnenternas perspektiv, till exempel vilken personlig information som berörs och på vilket sätt.

Om incidenten bedöms ha haft en negativ inverkan på abonnenter eller användare ska det beskrivas på vilket sätt dessa kan ha påverkats negativt.

Åtgärder för att avhjälpa brister och för att undvika liknande incidenter
Operatören ska redogöra för vilka åtgärder som har vidtagits för att lindra effekterna av incidenten. Företaget ska även beskriva tillfälliga och permanenta åtgärder som har vidtagits eller som planeras för att åtgärda grundorsaken och de bidragande orsakerna till integritetsincidenten. Det kan till exempel röra sig om förändrade rutiner, uppdatering av felaktig mjukvara eller förstärkning av tekniska säkerhetsåtgärder.

Efter att en integritetsincident har inträffat och avhjälpts är det väsentligt att händelsen analyseras i syfte att finna eventuella förbättringsåtgärder som kan minska risken för att incidenter ska kunna uppkomma på grund av liknande orsaker i framtiden. I operatörens redogörelse bör det framgå, dels vilka åtgärder som redan har vidtagits och när så skedde, dels vilka åtgärder som planeras framöver och när de ska vara genomförda.

Medverkan av andra tjänsteleverantörer
Om operatören har använt sig av en extern leverantör för att tillhandahålla en del av en tjänst är operatören skyldig att se till att leverantören omedelbart informerar operatören om inträffade incidenter. Eventuella leverantörers medverkan vid incidenter ska anges i operatörens rapport till PTS.

arrow När ska berörda användare underrättas?

När och hur operatörer ska underrätta berörda användare framgår av EU-kommissionens förordning, inte av lagen och elektronisk kommunikation (LEK). Läs mer i EU-förordning nr 611/2013.

I EU-förordningen används begreppet "personuppgiftsbrott" med samma innebörd som begreppet "integritetsincident" har i LEK.

Operatörens underrättelse till berörda abonnenter eller användare ska lämnas utan onödigt dröjsmål efter  att integritetsincidenten upptäckts. Operatören bedömer själv i varje enskilt fall vilket dröjsmål som inte är ”onödigt”. Vid bedömningen bör operatören beakta användarnas intresse av och möjlighet att själva vidta åtgärder för att begränsa sin skada.

Det kan i vissa fall vara motiverat att informera användare direkt efter att integritetsincidenten har upptäckts och en preliminär bedömning av konsekvenserna är gjord. Skulle det senare visa sig att den preliminära bedömningen är felaktig, får uppdaterad och korrigerad information lämnas i en ny rapport.

Operatören ska underrätta användarna oavsett om det finns några reella möjligheter för användarna att begränsa sin egen skada eller inte.

Underrättelsen ska formuleras tydligt och lättbegripligt. Den ska endast innehålla information om själva incidenten och inte kopplas till information om andra ämnen.

arrow Hur ska berörda användare underrättas?

Underrättelserna ska lämnas till berörda abonnenter eller användare på ett sätt som säkerställer att informationen snabbt kan tas emot och att den skyddas på lämpligt sätt.

Operatören bör använda någon av de kommunikationskanaler som brukar användas för att kommunicera med abonnenterna eller användarna.

Det är viktigt att operatören säkerställer att informationen verkligen når fram. Vilken kommunikationsform som används bör också vara beroende av hur brådskande det är att informationen når fram till abonnenten eller användaren.

I vissa fall kan det även vara lämpligt att lämna samma information parallellt via flera kanaler.

arrow Undantag från skyldigheten att underrätta berörda användare

Det finns undantag från skyldigheten att underrätta berörda abonnenter eller användare. De behöver inte underrättas om

  • integritetsincidenten inte kan antas inverka negativt på abonnenterna eller användarna, eller
  • om operatören har vidtagit tekniska skyddsåtgärder som medför att de uppgifter som berörs av incidenten är oläsbara för obehöriga, till exempel genom kryptering eller hashning av uppgifterna.

När operatören bedömer om en integritetsincident kan antas inverka negativt på abonnenter eller användare ska särskild hänsyn tas till följande:

  • Uppgifternas art och innehåll; i synnerhet om de avser finansiell information, känsliga personuppgifter (uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening), lokaliseringsuppgifter, internetloggar, webbläsarhistorik, uppgifter om e-post eller specificerade samtalslistor.
  • Integritetsincidentens troliga konsekvenser för abonnenterna eller användarna; i synnerhet om incidenten skulle kunna leda till identitetsstöld eller bedrägeri, fysisk skada, psykiska men, förödmjukelse eller skadat rykte.
  • Omständigheterna kring integritetsincidenten; i synnerhet om uppgifterna har stulits eller om operatören vet att uppgifterna finns hos en obehörig tredje part.

Om operatören bedömer att abonnenter eller användare inte behöver underrättas om integritetsincidenten ska operatören motivera sin bedömning i rapporten till PTS.

arrow Vad ska berörda användare underrättas om?

Användare som berörs av integritetsincidenten ska få följande information:

  • Tidpunkt för incidenten
  • Vad som inträffat och vilka konsekvenser incidenten har fått
  • Åtgärder som operatören har vidtagit
  • Rekommendationer – vad kan användaren göra
  • Kontaktuppgifter till operatören

När integritetsincidenten inträffade
Tidpunkten när incidenten inträffade ska anges. Tiden som anges bör vara relevant ur användarens perspektiv, till exempel datumet när en obehörig fick åtkomst till eller tog del av uppgifterna.

Beskrivning av integritetsincidenten och dess konsekvenser
Incidenten ska beskrivas på ett sådant sätt att användarna kan bedöma vilka eventuella åtgärder som är nödvändiga eller lämpliga att vidta till följd av incidenten. Operatören ska förklara vad som har hänt och hur det inträffade påverkar användarna.

Det är oftast inte nödvändigt att beskriva incidenten i tekniska termer, utan istället beskriva vad incidenten kan innebära för användarna. Om det är svårt att bedöma vilka konsekvenser incidenten kan få för användarna, bör användarna uppmanas att själv fundera över vilka konsekvenser det som inträffat kan få för dem. 

Informationen ska så långt som möjligt anpassas efter varje användare som berörs av integritetsincidenten. Underrättelsen ska beskriva vilka slags uppgifter, till exempel vilka abonnent- eller trafikuppgifter, som berörs av integritetsincidenten samt innehållet i dessa uppgifter.

Vidtagna åtgärder som påverkar abonnenter eller användare
Underrättelsen ska beskriva de åtgärder som operatören har vidtagit eller planerar att vidta som kan påverka berörda användare. Det ska framgå varför åtgärderna vidtas, vad operatören förväntar sig att uppnå med åtgärderna och på vilket sätt användarna påverkas av dem.

I första hand bör beskrivningen omfatta åtgärder som har direkt koppling till den inträffade integritetsincidenten och dess konsekvenser, men det kan vara lämpligt att även beskriva hur operatören arbetar på länge sikt för att undvika att liknande incidenter inträffar igen.

Rekommenderade åtgärder som abonnenter eller användare bör vidta
Om operatören kan identifiera en åtgärd eller flera åtgärder som abonnenter eller användare kan vidta för att begränsa sin skada till följd av integritetsincidenten, så ska dessa åtgärder beskrivas i underrättelsen. Beskrivningen ska vara tydlig och lättbegriplig.

Har en integritetsincident inträffat där operatören gör bedömningen att abonnenterna eller användarna inte kan vidta några egna åtgärder för att begränsa eller hantera skadan så bör även detta tydligt anges och förklaras.

Kontaktuppgifter till operatören
Underrättelsen ska innehålla information om hur abonnenter och användare kan komma i kontakt med operatören i frågor som rör incidenten. Incidentens referensnummer ska anges.