PTS avslutar granskningen av WhatsApp
Post- och telestyrelsen (PTS) avslutar nu granskningen av kommunikationstjänsten WhatsApp då bolaget har lämnat de uppgifter PTS har efterfrågat i enlighet med gällande svenska incidentrapporteringsregler. PTS beslutar att inte ta ut någon sanktionsavgift från WhatsApp.
WhatsApp Ireland Limited (WhatsApp) hade ett globalt avbrott i sin kommunikationstjänst den 25 oktober 2022. Avbrottet drabbade bland annat svenska användare. PTS bedömde att händelsen var en rapporteringspliktig säkerhetsincident och inledde en dialog med WhatsApp om incidenten och det svenska regelverket. WhatsApp lämnade då viss information till PTS om händelsen, men hävdade samtidigt att bolagets bedömning var att incidenten inte var en säkerhetsincident och att den därför inte behöver rapporteras till PTS.
WhatsApp måste rapportera säkerhetsincidenter till PTS
WhatsApp tillhandahåller så kallade nummeroberoende interpersonella kommunikationstjänster och är en ny kategori av aktör som sedan juni 2022 omfattas av reglerna i lagen om elektronisk kommunikation. Enligt lagen och PTS föreskrifter ska WhatsApp och andra tillhandahållare av elektroniska kommunikationstjänster rapportera inträffade säkerhetsincidenter till PTS, om incidenten har haft en betydande påverkan på nät och tjänster eller på funktioner i samhället. En sådan säkerhetsincident kan vara en störning eller avbrott i en kommunikationstjänst enligt vissa tröskelvärden.
PTS inledde en granskning av WhatsApp i mars 2023 bland annat eftersom myndigheten bedömde att det inträffade avbrottet utgjorde en säkerhetsincident som ska rapporteras till PTS i enlighet med svenska rapporteringsregler. WhatsApp hade inte lämnat samtliga uppgifter som krävs för en komplett rapportering av en säkerhetsincident. Vissa obligatoriska rapporteringsuppgifter saknades och vissa uppgifter lämnades till PTS för sent.
WhatsApp har nu lämnat samtliga rapporteringsuppgifter och PTS avslutar granskningen
I april inkom WhatsApp med de av PTS efterfrågade uppgifterna som saknades för att utgöra en komplett rapportering av en säkerhetsincident. Enligt WhatsApp skulle uppgifterna ses som en formell rapport. Det finns därför inte skäl att vidta ytterligare tillsynsåtgärder och PTS avslutar därför granskningen av WhatsApps bristande rapportering av säkerhetsincident.
Därför tar PTS inte ut sanktionsavgift
PTS ska i normala fall ta ut en sanktionsavgift av den som inte rapporterar säkerhetsincidenter i enlighet med rapporteringsreglerna.
I detta fall inledde PTS, på eget initiativ, en vägledande dialog med WhatsApp om incidenten under den tid då bolaget skulle inkomma med uppgifter enligt gällande rapporteringsregler.
PTS bedömer bland annat att det i den inledande dialogen med WhatsApp kan ha förekommit otydligheter från myndighetens sida om vilka ytterligare uppgifter PTS såg behov av med anledning av den inträffade incidenten.
På grund av dessa särskilda omständigheter har PTS därför beslutat att i detta ärende avstå från att ta ut sanktionsavgift från WhatsApp.
Mer information
Johanna Eklund, chef PTS enhet för säkra kommunikationstjänster, 08-678 55 78
Petra Nilsson, PTS enhet för säkra kommunikationstjänster, 08-678 56 13
PTS presstjänst: 08-678 55 55
Rapportering av incidenter på området elektroniska kommunikationer
Tillhandahållare av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster är skyldiga att rapportera incidenter till PTS som påverkar tillgängligheten, riktigheten, autenticiteten eller konfidentialiteten eller förmåga att upprätthålla någon av dessa säkerhetsaspekter enligt lag (2022:482) om elektronisk kommunikation och PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster (PTSFS 2022:11). Detta kan aktualiseras vid exempelvis avbrott eller störningar i nät eller tjänster eller i samband med att uppgifter om abonnenterna som operatören behandlar avslöjas för obehöriga.
Rapporteringen av incidenter till PTS ger myndigheten underlag att bedöma om operatörerna följer bestämmelserna om säkerhet i nät och tjänster och skydd av behandlade uppgifter, och, om det behövs, för att bedriva tillsyn. Det finns även andra syften med incidentrapportering. Informationen ger en överblick över vanliga säkerhetsproblem och kan ge underlag för att identifiera behov av nya regler samt informations- eller främjandeinsatser.
Incidenter ska rapporteras till PTS inom en viss tid och innehålla vissa uppgifter. Bland annat ska tillhandahållaren ange orsaken till incidenten samt vilka åtgärder som vidtagits för att avhjälpa incidenten och för att motverka att en liknande incident inträffar igen.
Sanktionsavgift
PTS ska besluta att ta ut en sanktionsavgift bl.a. av den som inte rapporterar om säkerhetsincidenter i enlighet med regelverket. Av förarbetena till bestämmelsen om sanktionsavgifter avseende säkerhet i nät och tjänster framgår att lagstiftaren anser att det är viktigt att det finns tydliga drivkrafter för operatörer att följa gällande regelverk. Rapportering av säkerhetsincidenter har dessutom bedömts som så viktigt av lagstiftaren att PTS ska ta ut en sanktionsavgift vid överträdelse av bestämmelsen. PTS får emellertid avstå från att ta ut en sanktionsavgift helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Om PTS tillsynsarbete inom säkerhet i nät och tjänster och skydd av behandlade uppgifter
Alla i Sverige ska kunna kommunicera i säkra kommunikationsnät och -tjänster. PTS är tillsynsmyndighet och har i uppgift att säkerställa att operatörerna följer reglerna om säkerhet i nät och tjänster och skydd av de uppgifter som behandlas i samband med att tjänsterna tillhandahålls. PTS genomför därför olika typer av tillsyn: dels planlagd, dels händelsestyrd i samband med inträffade händelser.