Post- och telestyrelsen (PTS) avslutar granskningen av kommunikationstjänsten WhatsApp då bolaget har lämnat de uppgifter PTS har efterfrågat i enlighet med gällande svenska incidentrapporteringsregler. PTS beslutar att inte ta ut någon sanktionsavgift från WhatsApp.
WhatsApp Ireland Limited (WhatsApp) hade ett globalt avbrott i sin kommunikationstjänst den 25 oktober 2022. Avbrottet drabbade bland annat svenska användare. PTS bedömde att händelsen var en rapporteringspliktig säkerhetsincident och inledde en dialog med WhatsApp om incidenten och det svenska regelverket. WhatsApp lämnade då viss information till PTS om händelsen, men hävdade samtidigt att bolagets bedömning var att incidenten inte var en säkerhetsincident och att den därför inte behöver rapporteras till PTS.
WhatsApp tillhandahåller så kallade nummeroberoende interpersonella kommunikationstjänster och är en ny kategori av aktör som sedan juni 2022 omfattas av reglerna i lagen om elektronisk kommunikation (LEK). Enligt lagen och PTS föreskrifter ska WhatsApp och andra tillhandahållare av elektroniska kommunikationstjänster rapportera inträffade säkerhetsincidenter till PTS, om incidenten har haft en betydande påverkan på nät och tjänster eller på funktioner i samhället. En sådan säkerhetsincident kan vara en störning eller avbrott i en kommunikationstjänst enligt vissa tröskelvärden.
PTS inledde en granskning av WhatsApp i mars 2023 bland annat eftersom myndigheten bedömde att det inträffade avbrottet utgjorde en säkerhetsincident som ska rapporteras till PTS i enlighet med svenska rapporteringsregler. WhatsApp hade inte lämnat samtliga uppgifter som krävs för en komplett rapportering av en säkerhetsincident. Vissa obligatoriska rapporteringsuppgifter saknades och vissa uppgifter lämnades till PTS för sent.
I april inkom WhatsApp med de av PTS efterfrågade uppgifterna som saknades för att utgöra en komplett rapportering av en säkerhetsincident. Enligt WhatsApp skulle uppgifterna ses som en formell rapport. Det finns därför inte skäl att vidta ytterligare tillsynsåtgärder och PTS avslutar därför granskningen av WhatsApps bristande rapportering av säkerhetsincident.
PTS ska i normala fall ta ut en sanktionsavgift av den som inte rapporterar säkerhetsincidenter i enlighet med rapporteringsreglerna. I detta fall inledde PTS, på eget initiativ, en vägledande dialog med WhatsApp om incidenten under den tid då bolaget skulle inkomma med uppgifter enligt gällande rapporteringsregler.
PTS bedömer bland annat att det i den inledande dialogen med WhatsApp kan ha förekommit otydligheter från myndighetens sida om vilka ytterligare uppgifter PTS såg behov av med anledning av den inträffade incidenten. På grund av dessa särskilda omständigheter har PTS därför beslutat att i detta ärende avstå från att ta ut sanktionsavgift från WhatsApp.