Privacyjaarverslag 2004

Privacy Jaarverslag 2003 - 2004

door Thomas Wouters, Functionaris voor de Gegevensbescherming, de dato 25 augustus 2004

Verslag van de door het College Bescherming Persoonsgegevens aangestelde Functionaris voor de Gegevensbescherming bij XS4ALL Internet bv, over de periode 1 januari 2003 tot en met 30 juni 2004.

Organisatie

XS4ALL werd in 1993 opgericht en was de eerste internetprovider voor particulieren in Nederland.In mei 2003 bestaat XS4ALL tien jaar. Onze ambitie is al tien jaar de beste, meest innovatieve en maatschappelijke betrokken internetprovider van Nederland te zijn en te blijven. Hierbij staan kwaliteit van dienstverlening, privacy van klanten en veiligheid van techniek altijd voorop.
Doke Pelleboer, algemeen directeur XS4ALL, uit het Bedrijfsportret 2003.

XS4ALL is inmiddels uitgegroeid tot een bedrijf met 200.000 klanten, met een omzet van 30 miljoen euro en bijna 300 medewerkers. De uitgesproken mening, die XS4ALL al sinds de oprichting heeft, is in de loop der tijd steeds doelgerichter geworden. De uitgesproken mening vloeit voort uit de sterke bedrijfscultuur, waar privacy ook al jaar en dag zeer belangrijk is. Dat betekent ook dat veel medewerkers meedenken over privacy. Bij het ontwikkelen van nieuwe producten, maar ook bij hun dagelijkse werkzaamheden.

XS4ALL is in 1998 overgenomen door telecombedrijf KPN, maar het moederbedrijf heeft XS4ALL haar zelfstandigheid in zaken als techniek en privacy gegarandeerd. Hierdoor blijft XS4ALL haar eigen mening en waarden trouw. De reorganisaties die de afgelopen jaren bij de moedermaatschappij speelden, hebben relatief weinig invloed gehad op XS4ALL en haar klanten. XS4ALL hangt, in de organisatie van KPN, als afzonderlijke dochter naast de andere internetondernemingen van KPN.

KPN vervult sinds de overname een dubbele rol voor XS4ALL. Die van moederbedrijf, waar XS4ALL onder andere omzetverantwoording aan verschuldigd is, en die van leverancier en verkoopkanaal. XS4ALL voert een zelfstandige personeels- en klantenadministratie, en deelt met KPN als leverancier alleen die gegevens die primair noodzakelijk voor het gezamenlijk leveren van diensten, zoals ADSL.

Thomas Wouters, Privacy Officer: "XS4ALL heeft mij in 2002 op basis van de Wet bescherming persoonsgegevens en de richtlijnen van het College Bescherming Persoonsgegevens, als Functionaris voor de Gegevensbescherming aangesteld. De invulling van deze functie is bij XS4ALL, vanwege de nadruk op privacy binnen het bedrijf, vrij breed. De Privacy Officer is naast de taken als FvG ook toezichthouder op privacy-regelingen die niet wettelijk geregeld zijn, en is zelf ook initiatiefnemer voor intern en extern privacy-beleid.

Ik ben in mei 1996 bij XS4ALL komen werken, toen het bedrijf net drie jaar bestond en minder dan dertig medewerkers had. In de acht jaar dat ik inmiddels bij XS4ALL werk heb ik veel van de ontwikkeling van XS4ALL en het internet in het algemeen meegemaakt. De eerste stappen van XS4ALL op de zakelijke markt, de opkomst van virussen en spam, de groei van een kleine groep nauw samenwerkende enthousiastelingen tot een bedrijf van bijna 300 medewerkers. In die periode heb ik met alle onderdelen van het bedrijf nauw samengewerkt, vanuit functies op de afdelingen helpdesk, sales en systeembeheer. Ook zat ik van mei 2000 tot mei 2002, en nu weer vanaf mei 2004, in de Ondernemingsraad, die bij XS4ALL veel inbreng heeft op onder andere het gebied van privacy. Sinds 2000 werk ik als Senior Systeembeheerder onder andere aan de interne automatisering.

Deze ervaring komt goed van pas voor de functie van Privacy Officer. Ik heb een nauwe band met het bedrijf en zie mijn eigen principes en ideëen vertegenwoordigd in die van XS4ALL. Door de betrokkenheid bij de interne automatisering en het technisch beleid heb ik veel inzicht in de informatiestromen binnen en behoeftes van XS4ALL. Maar ook in de behoeftes en verwachtingen van klanten, zakelijk en particulier.

Wettelijk is een Functionaris voor de Gegevensbescherming verplicht een jaarverslag op te stellen en aan te bieden aan de directie. Ik, als Privacy Officer, en XS4ALL zien het daarnaast als een belangrijk communicatiemiddel om aan klanten te laten zien hoe het staat met de privacy bij XS4ALL, en op het internet in het algemeen. Daarom wordt het privacy jaarverslag gepubliceerd."

Intern Privacy Regelement

Privacy is bij XS4ALL altijd belangrijk geweest. Zowel externe privacy, de privacy van de klanten, als intern, de privacy van de medewerkers. XS4ALL gelooft niet in een strikt intern internetbeleid dat medewerkers verbiedt iets anders dan werk te doen en daar met logfiles, spyware en camera's op toeziet. Zo'n beleid schept wantrouwen tussen medewerker en werkgever, wat de werksfeer niet ten goede komt.

Het naleven van zo'n strikt internet beleid stuit bovendien vaak op problemen. Het beperken van bezoekbare websites belemmert bijvoorbeeld vaak legitiem gebruik, tenzij er veel tijd en geld gestoken wordt in het bijhouden van de toegestane websites. Het bijhouden van alle handelingen die een medewerker via zijn of haar computer op het internet verricht - een vrij zware inbreuk op de privacy - legt geen duidelijke verbinding met de medewerker. Virussen, trojans en medewerkers die gebruik maken van andermans computer kunnen gemakkelijk een vals beeld creëeren. En het bijhouden - of zelfs lezen - van e-mail die medewerkers krijgen is niet alleen een schending van het briefgeheim, maar kan dankzij de enorme hoeveelheid spam en virussen die op het internet rondgaan, zeer gemakkelijk tot de verkeerde conclusies leiden.

Het uitgangspunt van XS4ALL is eigen verantwoordelijkheid. Zolang het werk goed gedaan wordt, vindt XS4ALL het niet nodig om bij te houden wat medewerkers precies doen. En als er problemen zijn met het functioneren, zijn er goede procedures om die problemen te signaleren en op te lossen zonder hiervoor het precieze reilen en zeilen van individuele medewerkers in de gaten te houden. Hetzelfde geldt voor bijvoorbeeld problemen met de werksfeer, illegale activiteiten en hoge telefoonkosten.

De camera's en de toegangscontrole, die XS4ALL in het kantoorpand en de systeemruimtes gebruikt, worden alleen ingezet voor de beveiliging van de panden. De gearchiveerde gegevens van die systemen vallen onder een strikt camerabeleid, dat bepaalt dat ze alleen gebruikt worden bij daadwerkelijke misdrijven, en dat de beelden alleen inzichtelijk zijn in een 'four-eye' situatie: twee personen kijken samen naar de archiefbeelden. Dit beleid staat pas sinds kort op papier, maar is al sinds het begin van de camera toezicht in deze vorm in gebruik.

XS4ALL heeft sinds kort een intern privacy-reglement. Daarin worden deze stelregels, en meer, vastgelegd. Het reglement maakt duidelijk wat de werkgever wel en niet mag als het gaat om medewerkers. Een onderdeel hiervan is dat de privacy van medewerkers weliswaar heel belangrijk is, maar dat de privacy van klanten er niet onder mag lijden. Zo wordt er bijvoorbeeld wel bijgehouden wanneer, en door welke medewerker, gegevens van een klant geraadpleegd worden. Niet om te volgen wat de medewerkers doen, maar om te volgen wat er met de klantgegevens gebeurt.

Het interne privacy-regelement is onderdeel van de inwerkprocedure van nieuwe medewerkers. XS4ALL organiseert periodiek een inwerkdag, waarin nieuwe medewerkers kennis maken met alle onderdelen en grondslagen van het bedrijf. Kennismaking met het privacy-beleid vormt hiervan een vast onderdeel; hoe medewerkers wel en niet met klantgegevens om moeten gaan, maar ook wat ze van de werkgever kunnen verwachten als het om privacy gaat.

Gegevensverwerking

Het verwerken van gegevens gebeurt bij XS4ALL op meerdere vlakken. Om diensten te kunnen leveren heeft XS4ALL gegevens van haar klanten nodig. Daarnaast genereert deze dienstverlening z'n eigen gegevens, waarvan sommige gezien kunnen worden als persoonsgegeven of vertrouwelijke informatie. Ook is het in sommige gevallen nodig gegevens uit te wisselen met andere partijen.

Het verzamelen van gegevens brengt echter ook risico's en verantwoordelijkheden met zich mee. Gegevens moeten adequaat beschermd worden, tegen diefstal en fraude.

Eigen gegevensverwerking

Gegevensverzameling

XS4ALL verzamelt voor de dienstverlening verschillende soorten informatie, die in een tweetal centrale databases opgeslagen worden. XS4ALL is alleen geïnteresseerd in gegevens die ook daadwerkelijk relevant zijn voor de dienstverlening of het contact met de klant. Gegevens als de leeftijd, het geslacht en het inkomen van een klant zijn niet relevant, en XS4ALL zal er dan ook nooit naar vragen.

De gegevens van nieuwe klanten komen op drie manieren bij XS4ALL binnen:

  • Direct via de website van XS4ALL. Voor het aanvragen van een standaard internet- of ADSL-abonnement, vult de klant zelf zijn of haar persoonsgegevens in. Het gaat hierbij vrijwel altijd om particulieren. De gegevens worden via een beveiligde website uitgevraagd, en alleen in beveiligde databases opgeslagen, om zo het gevaar van onderschepping tot een minimum te beperken.
  • Via fax-, e-mail- en telefoonverkeer, en persoonlijk contact. Deze gegevens worden door de verkoopafdelingen handmatig verwerkt, en in de reguliere interne databases opgeslagen. Eventuele e-mails en faxen worden bij het dossier van de klant bewaard.
  • Via resellers, partijen die namens derden diensten aanvragen. XS4ALL heeft in dit geval minder controle over de gegevensverwerking bij de reseller, maar maakt wel duidelijke afspraken over de aflevering bij XS4ALL. Dit gebeurt veelal via dezelfde procedure als direct via de website van XS4ALL.
  • XS4ALL probeert haar administratie zo simpel mogelijk te houden, door een enkele centrale database te gebruiken die verschillende technische onderdelen aanstuurt. Deze aansturing gebeurt zoveel mogelijk zonder persoonsgegevens heen en weer te sturen. Een uitzondering hierop is het financiële systeem. Ten behoeve van de facturatie worden er gegevens apart bewaard. Deze financiële administratie wordt weliswaar gevuld vanuit het centrale systeem, maar bevat kopieën van alle informatie die relevant is voor de facturatie van diensten.Gegenereerde gegevens

De meeste diensten van XS4ALL genereren veel gegevens. Communicatie door het netwerk van XS4ALL heen wordt niet gelogd; XS4ALL kan bijvoorbeeld niet zien welke websites buiten XS4ALL een klant bezoekt. Maar communicatie met systemen van XS4ALL wordt wel op die systemen geregistreerd, zoals verbinding maken met een mailserver van XS4ALL. De gegevens die hier uitkomen zijn niet bedoeld voor marketingdoeleinden en worden niet langer dan technisch noodzakelijk opgeslagen.

Functionele waarborging

De meeste gegevens worden gegenereerd door technisch contact met XS4ALL systemen. Bijvoorbeeld een e-mail afleveren bij een mailserver van XS4ALL, contact maken met de shell- of FTP-server om bestanden op de XS4ALL systemen te bewerken, of met de IRC-server om te chatten. De registratie van die gegevens gebeurt automatisch, als onderdeel van het systeem. Er worden alleen gegevens geregistreerd die technisch noodzakelijk zijn.

Al deze gegevens worden centraal opgeslagen, maar niet gecorreleerd met klantgegevens. Van deze gegevens worden vaak statistieken gemaakt, geaggregeerd en geanonimiseerd, om het technisch functioneren van de dienst in de gaten te houden. Verder worden deze gegevens alleen op basis van een incident geraadpleegd, om te bepalen wat er precies gebeurd is. Dit kan een technisch incident zijn, een storing waarbij de logs aangeven wat de storing is en wie er overlast aan ondervond. Maar dit kan ook een incident van misbruik van het XS4ALL account zijn, waarbij de logs gebruikt worden om de precieze gevolgen, omvang en oorsprong van het misbruik vast te stellen.

Bij het versturen van bijvoorbeeld e-mail wordt er geregistreerd wie, wanneer, waarvandaan en waarheen mail stuurt. Deze registratie is nodig om achteraf te kunnen achterhalen of een e-mail goed is afgeleverd, of om problemen met de aflevering op te sporen. Er wordt voor de aflevering, en dus voor dit soort logbestanden, niet in de inhoud van de e-mail gekeken. De aflevering gebeurt puur op basis van de elektronische enveloppe van de e-mail.

Van het ophalen van e-mail worden ook logbestanden bijgehouden, met nog beperktere informatie. Het gaat daarbij alleen om welke computer op het internet de e-mail van een account bij XS4ALL heeft opgehaald of gewist. Ook hierbij wordt er niet naar de inhoud van de e-mail gekeken.

Een ander voorbeeld van dit soort loggegevens zijn de proxy-servers. Een proxy-server is een soort tussenpersoon bij het bezoeken van websites, die bij drukbezochte websites een snelheidsverbetering op kan leveren. De keuze om een proxy-server te gebruiken maakt de klant zelf, door de instellingen in de webbrowser aan te passen. Ook bij proxy-servers is het belangrijk om het functioneren te kunnen controleren, maar de logs zijn niet bedoeld om bij te houden welke websites bekeken worden. De netwerkadressen worden daarom in de logs onherkenbaar gemaakt. Hierdoor kan, wanneer een klant problemen meldt, aan de hand van het volledige netwerkadres en de bezochte website achterhaald worden wat er precies is gebeurd. Maar de andere kant op, het logbestand gebruiken om te bepalen welke websites een klant heeft bekeken, is niet mogelijk. Sowieso worden de proxy-servers van XS4ALL door minder dan twee procent van de klanten gebruikt.

Van sommige diensten is het belangrijk dat er bijgehouden wordt hoeveel gebruik ervan gemaakt wordt. Van sommige van die diensten, zoals ADSL verbindingen, hoeft het verbruik verder niet gespecificeerd te worden. Voor dit soort diensten worden de verbruiksgegevens alleen geaggregeerd verzameld. Er is aan de hand van de verbruiksgegevens niet meer te achterhalen wat er met de internetverbinding is gedownload, of welke websites zijn bezocht. XS4ALL maakt deze verbruiksgegevens inzichtelijk voor de klant via het Service Centre.

Van bijvoorbeeld websites die klanten bij XS4ALL afnemen, en bezocht worden vanaf het hele internet, is echter vaak meer informatie gewenst. De logbestanden houden in dat geval bij welke computer op het internet welke pagina opvraagt. De statistieken die XS4ALL voor dit soort websites uitdraait, anonimiseren deze gegevens; er is in die statistieken wel zichtbaar hoe vaak een pagina is opgevraagd, maar niet wat een individuele computer op het internet heeft gedaan.

Er wordt geen verband gelegd tussen bezoekers van een website en klanten van XS4ALL. Een klant van XS4ALL die naar een website bij XS4ALL surft, is even anoniem als een bezoeker van elders op het internet of een XS4ALL klant die naar een website buiten XS4ALL surft.

De logbestanden van websites van klanten zijn echter in principe eigendom van die klanten. Hun website is een dienstverlening aan derden op het internet, en XS4ALL stelt ze dan ook in staat de logbestanden van hun website onbewerkt te ontvangen. Zij nemen hierbij zelf verantwoordelijkheid voor de gegevensverwerking. Er zijn pakketten beschikbaar die zeer uitgebreide statistische analyses kunnen maken van het verkeer op een website.

De logbestanden die bij XS4ALL blijven staan, worden automatisch na twee weken gewist. XS4ALL koppelt in geen geval bezoek aan de XS4ALL website aan individuele klanten. Een apart geval is het Service Centre, een aparte website waarop XS4ALL-klanten instellingen kunnen veranderen. Deze verzamelt alleen de gegevens die nodig zijn voor de dienstverlening.

Gebruik van gegevens

XS4ALL geeft in haar algemene voorwaarden en haar privacy-verklaring een aantal garanties wat betreft het gebruik van XS4ALL toevertrouwde gegevens en bestanden. Het gaat daarbij uiteraard om persoonsgegevens, maar ook om bestanden die op de server gezet worden, e-mails die verstuurd en ontvangen worden, en de logbestanden die daarbij gegenereerd worden. Over e-mail en bestanden zegt XS4ALL het volgende (uit de Algemene Voorwaarden van XS4ALL):

Artikel 3 Verplichtingen van XS4ALL 
3.3 XS4ALL onthoudt zich van het inzien van persoonlijke e-mail en/of bestanden van klanten en stelt deze niet ter beschikking van derden, tenzij XS4ALL hiertoe krachtens de wet of een rechterlijke uitspraak verplicht is, dan wel in het geval de klant handelt, of wordt vermoed te handelen, in strijd met artikel 4.2 tot en met 4.4 van deze algemene voorwaarden.

Artikel 4.2 tot en met 4.4 gaan over het lastig vallen van of schade toebrengen aan XS4ALL of andere internetgebruikers. In de praktijk gaat het daarbij altijd om misgeconfigureerde computers of illegale activiteiten die ernstige overlast veroorzaken, en die XS4ALL op de minst indringende manier detecteert en blokkeert, filtert of uitzet. Dat is ook de lading die XS4ALL wil dekken met artikel 3.3 in combinatie met 4.2 tot en met 4.4. Daarvoor hoeft overigens vrijwel nooit in de e-mail of bestanden van klanten gekeken te worden; de relevante logbestanden bekijken, die veel minder informatie bevatten, is dan genoeg.

Verkeersgegevens en logbestanden

Wat XS4ALL niet in de algemene voorwaarden vastlegt, maar wel in haar privacy-verklaring, is wat er gebeurt met de verkeersgegevens en andere logbestanden van een klant. In de praktijk is XS4ALL net zo conservatief in het gebruik van deze gegevens als in de omgang met e-mail en bestanden van klanten. Intern worden alleen de gegevens verzameld die technisch en administratief noodzakelijk zijn. Er worden geen profielen van gebruikers gemaakt. Er worden wel allerlei statistieken bijgehouden, om op technisch en administratief niveau de voortgang te kunnen volgen en om bijvoorbeeld tijdig de capaciteit van diensten uit te breiden, maar deze statistieken zijn niet herleidbaar tot individuele computers of internetgebruikers.

De statistieken worden ook gebruikt om problemen en trends te signaleren en daarop in te spelen. Zo heeft het snel stijgende aantal virussen en spam op het internet geleid tot ontwikkeling van virus- en spamfilters, die de klant per account in het Service Centre zelf aan en uit kan zetten.

Commercieel beleid

Ondanks de beperkingen die XS4ALL zichzelf oplegt, blijft het een commercieel bedrijf. XS4ALL wil haar klanten niet lastig vallen met spam e-mail of onnodige papieren post, maar wel inlichten over nieuwe producten of nieuwe mogelijkheden bij een bestaand product. Veel zakelijke klanten, maar ook particuliere klanten, verwachten dat ook van XS4ALL. Daarnaast heeft XS4ALL er commercieel belang bij om toch profielen van klanten op te bouwen, om meer gerichte marketing en aanbiedingen te doen. Dit veroorzaakt een constante interne discussie, om de grens tussen privacy en gewenste serviceverlening steeds verder te verduidelijken.

XS4ALL bouwt geen klant-specifieke profielen, omdat zij de bescherming van de klanten en de integriteit van het bedrijf belangrijker vindt dan het maximaal uitmelken van marketing mogelijkheden. XS4ALL heeft een e-mail nieuwsbrief, waarmee ze haar klanten inlicht over nieuwe producten en mogelijkheden. Deze nieuwsbrief is conform de Nederlandse wetgeving 'opt-in'; klanten moeten expliciet aangeven, via het Service Centre, dat zij de nieuwsbrief willen ontvangen. Deze nieuwsbrief is hetzelfde voor alle abonnees.

Voor belangrijke mededelingen, zoals nieuws over een aanpassing van een product dat een klant afneemt, of wijzigingen in de Algemene Voorwaarden, gebruikt XS4ALL zoveel mogelijk de papieren factuur die de klant opgestuurd krijgt, de XS4ALL website en de speciale 'xs4all.announce' nieuwsgroep. Dat neemt niet weg dat XS4ALL toch af en toe (papieren) post stuurt; zo is er vorig jaar ter ere van het 10-jarig bestaan van XS4ALL een speciale CD-ROM rondgestuurd.

Om XS4ALL, ondanks de restricties die ze zichzelf oplegt, toch beter te profileren bij zakelijke klanten, is er ook papieren reclame gestuurd, specifiek aan klanten die zakelijke diensten afnemen. De response daarop was vrijwel compleet positief, maar XS4ALL ziet dat niet als reden om alle XS4ALL-klanten regelmatig in te lichten over haar productportfolio, noch om meer gegevens over klanten bij te houden.

Gegevensbeveiliging

Een belangrijk onderdeel van gegevensbescherming is de fysieke en elektronische beveiliging van de gegevens. Het gaat dan niet alleen om het beveiligen van de gegevensopslag, maar ook het beveiligen van het elektronische transport van de gegevens, van systemen die gegevens verzamelen of doorgeven, van de back-ups van al die systemen en om het reguleren van de toegang.

Beveiligde systemen

De afdeling Systeembeheer van XS4ALL is verantwoordelijk voor het onderhoud van alle systemen van XS4ALL. XS4ALL heeft inmiddels honderden servers, die onderhouden en beveiligd moeten worden. Dit gebeurt zoveel mogelijk automatisch, met speciale software die zorgt dat op elke machine altijd de laatste versie van een programma is geïnstalleerd. Het bijhouden van die versies is vooral belangrijk als het gaat om beveiligingslekken. De procedures en software die Systeembeheer gebruikt, stellen XS4ALL in staat om cruciale updates binnen een paar uur op alle XS4ALL servers geinstalleerd te hebben.

XS4ALL houdt zich goed op de hoogte op het gebied van beveiliging, zoals van beveiligingsproblemen in gebruikte software. En XS4ALL staat het de klanten toe om de beveiliging van de XS4ALL systemen te testen; uit de Algemene Voorwaarden:

4.4 Onverminderd het in artikel 4.3 gestelde is het klanten toegestaan het systeem van XS4ALL te hacken.De klant die als eerste erin slaagt een positie te verwerven gelijk aan de systeembeheerder van XS4ALL, krijgt van XS4ALL zes maanden gratis gebruik van het systeem aangeboden, onder voorwaarde dat de desbetreffende klant uitlegt op welke wijze hij of zij geslaagd is in het hacken, hij of zij geen schade heeft toegebracht aan het systeem en aan andere klanten en hij of zij de privacy van andere klanten heeft gerespecteerd. Iedere klant geeft bij deze toestemming aan andere klanten onder voornoemde voorwaarden te trachten het systeem te hacken.

Beveiligd transport

Het volledig beveiligen van het transport van gegevens is een complex probleem. Sommige soorten transport zijn moeilijk te beveiligen zonder de dienstverlening te schaden of zelfs onmogelijk te maken. Daarnaast zijn er wettelijke eisen aan de aftapbaarheid van diensten, wat verdere beperkingen oplegt.

Het transport van persoonsgegevens is, voor zover XS4ALL hier iets over te zeggen heeft, volledig beveiligd. Invoer van persoonsgegevens, wanneer dit over het internet gebeurt, wordt beveiligd middels een 'SSL' verbinding. Deze techniek versleutelt de verbinding zodat alleen het verzendende systeem, de webbrowser van de klant, en het ontvangende systeem de data kunnen ontcijferen. Ook intern transport van persoonsgegevens tussen systemen van XS4ALL, en transport naar externe partijen zoals KPN ADSL en Bbned voor de ordering van ADSL, verlopen over met SSL versleutelde verbindingen.

Technisch gezien is het nog niet haalbaar om alle gegevenstransporten te beveiligen. Het gaat daarbij om transport binnen het XS4ALL netwerk, nooit naar buiten toe, en van gegevens die niet direct tot persoonsgegevens kunnen leiden. De beveiliging van deze transporten rust op de beveiliging van het XS4ALL netwerk zelf.

Het versleutelen van de communicatie tussen XS4ALL en haar klanten is ook niet altijd mogelijk. De wettelijke eis dat al dit soort communicatie aftapbaar is, maakt veel standaardoplossingen onmogelijk. XS4ALL werkt echter aan oplossingen die klanten de bescherming van versleuteling kunnen bieden, en toch aan de wettelijke eisen voldoen.

Fysieke beveiliging

Naast een elektronische beveiliging is ook een fysieke beveiliging van gegevens belangrijk. Bij XS4ALL worden de gegevens op twee fysieke lokaties opgeslagen, de systeemruimte en het kantoorgebouw, dat een eigen kleine systeemruimte heeft. De toegang tot beide lokaties is beveiligd met een pasjessysteem en camera toezicht op de toegangswegen. Voor de systeemruimte geld dat alleen bevoegde personen toegang hebben, en dat de systemen van XS4ALL en van klanten in aparte ruimtes staan.

XS4ALL heeft geen strikt gedefinieerd clean-desk beleid, maar papieren archieven worden over het algemeen wel in afgesloten kasten, ruimtes en - waar nodig - kluizen opgeslagen.

Back-ups

Back-ups van gegevens zijn gecentraliseerd geregeld, fysiek en elektronisch beter beveiligd en minder toegankelijk dan de productie systemen. De administratieve gegevens worden elk uur geback-upt, en worden een aantal dagen bewaard. Logbestanden worden over het algemeen niet geback-upt, maar waar dat in een enkel geval wel gebeurt, niet meer dan een week op de back-up server bewaard. De back-up servers en software zijn volledig in beheer van XS4ALL, en alleen XS4ALL systeembeheerders hebben hier toegang toe.

Bescherming van klanten

XS4ALL wil zich als provider niet bemoeien met de inhoud van communicatie. Providers moeten geen boodschap hebben aan de boodschap, maar alle bits en bytes zo snel mogelijk en ongewijzigd op de plek van bestemming afleveren. XS4ALL heeft er echter wel belang bij dat de communicatie veilig en zonder verstoringen gebeurt. De ontwikkelingen van de laatste paar jaar op het gebied van virus- en spam-verkeer op het internet veroorzaken een grote overlast op de systemen van XS4ALL. Inmiddels bestaat bijna tien procent van alle inkomende e-mail, e-mail die bij klanten van XS4ALL afgeleverd wordt, uit virussen. Van spam is niet zo nauwkeurig te bepalen om hoeveel e-mail het gaat, maar er zijn wereldwijde schattingen gedaan van 40, 50 en zelfs 60 procent.

XS4ALL heeft ook een commercieel belang bij veiligheid. In december 2003 en januari 2004 liet XS4ALL onderzoek verrichten onder klanten over spam en virussen. Uit dit onderzoek bleek dat maar liefst 85% van de internetters hun provider verantwoordelijk houdt voor de bestrijding van virussen. Slechts weinig consumenten en ondernemers zagen een verantwoordelijkheid voor zichzelf: "Het buiten de deur houden van virussen is niet mijn taak," aldus 77% van de consumenten en 58% van de ondernemers.

Die verwachting, en de grote schade die een virus kan aanrichten, maken dat XS4ALL zich als provider min of meer verplicht ziet om zoveel mogelijk maatregelen te nemen om de communicatiestroom veilig te stellen. Dat geldt niet alleen voor mail met virussen die voor klanten van XS4ALL is bestemd, maar ook voor de besmette mail die klanten, gewild of ongewild, versturen naar de rest van internet. XS4ALL stelt eerbiediging van het briefgeheim voorop, als essentieel onderdeel van het vertrouwen dat klanten hebben in de dienstverlening. Toch ziet XS4ALL mogelijkheden om op virussen te filteren zonder inbreuk te maken op de vertrouwelijke communicatie.

Eigen maatregelen klant

Ondanks het aantal maatregelen dat een provider neemt om haar klanten en andere internetgebruikers te beschermen, is het belangrijk dat internetgebruikers zelf hun eigen computer beveiligen. Virussen, maar ook kwaadwillende hackers, kunnen op allerlei manieren de computer binnendringen: via e-mail, direct via het internet, maar ook via bezochte websites of gedownloade programma's. Het is voor de provider simpelweg onmogelijk om de klant tegen al deze gevaren te beschermen.

Wat er gebeurt als een computer geïnfecteerd of gehackt wordt, hangt heel erg van de situatie af. Veel virussen gaan zichzelf via de machine verspreiden, via e-mail of directe netwerkverbindingen. Er wordt vaak ook informatie gestolen of vernietigd, of speciale programma's geïnstalleerd om wachtwoorden af te lezen terwijl ze ingetikt worden, creditcard- of bank-gegevens op te sporen of om anderen controle te geven over de computer. Dit soort speciale programma's kunnen ook makkelijk verstopt zitten in andere programma's.

Het installeren en bijhouden van beveiligingssoftware als anti-virus programma's en firewalls is een absolute noodzaak voor gebruikers. XS4ALL biedt deze dan ook gratis aan haar klanten aan, via het Service Centre. Helaas blijken veel klanten hier toch geen gebruik van te maken. XS4ALL probeert zoveel mogelijk virussen en hacker-aanvallen tegen te houden, zowel ingaand als uitgaand, maar kan met e-mail filters en netwerk filters maar een gedeelte tegenhouden.

Virusfiltering

In januari 2003 besloot XS4ALL om virusfiltering op centraal niveau aan te bieden, naast het aanbieden van beveiligingssoftware voor de eigen systemen van klanten.

De dienst werd op 1 mei 2003 gelanceerd als extra, betaalde dienst, voor 2,95 euro per maand voor 2 mailboxen. Bij de introductie gold een aanbiedingsprijs van 10 euro voor de rest van het jaar (7 maanden) voor 2 mailboxen. Na zes maanden bleek dat het aantal geïnteresseerde klanten onder de 10% bleef steken. Gezien de groeiende technische noodzaak voor virusfiltering besloot XS4ALL om de dienst vanaf 1 januari 2004 gratis aan te bieden, als uitbreiding van alle toegangs- en hostingabonnementen. Op 1 mei 2004, 5 maanden na de hernieuwde introductie als gratis dienst, maakte ongeveer 30% van alle klanten gebruik van deze mogelijkheid.

Voor het merendeel van de klanten bleek de drempel van het zelf activeren van de filters, en van het installeren en bijhouden van anti-virus software op de eigen computer, te hoog. Via de helpdesk en klantenservice kwamen veel klachten binnen van klanten die niet begrepen waarom XS4ALL de virusfilters niet voor iedereen automatisch had aangezet. Parallel aan de groei van het aantal ADSL-abonnees nam ook het aantal virusbesmettingen bij klanten thuis of op het werk toe, waardoor steeds meer klanten zelf bronnen werden van virus- en spamverspreiding.

Onder druk van de enorme toename van de hoeveelheid ongevraagde bulkmail en het aantal schadelijke mailvirussen is XS4ALL haar beleid gaan aanpassen. De centrale virusfilters zijn 1 juli 2004 standaard voor alle klanten aangezet. Daarnaast gaat sinds 15 juli 2004 ook alle uitgaande e-mail via de virusfilters, om als een computer eenmaal besmet is, verdere verspreiding tegen te gaan. Deze ingrijpende herziening van het beleid, met instructies over het eventueel uitzetten van de virusfilters, is op 11 mei 2004 per brief aangekondigd aan alle klanten, en op de XS4ALL website na te lezen.

De virusfilters werken op basis van meerdere anti-virus oplossingen, die elk de inhoud van de mail automatisch onderzoeken op aspecten van bekende virussen. Die zwarte lijst met bekende virussen wordt automatisch bijgewerkt, om snel in te kunnen spelen op nieuwe virussen. Het hele proces is automatisch, en er wordt niet gekeken naar iets anders dan de bekende eigenschappen van bekende virussen. Informatie over die eigenschappen blijft beperkt tot de virusfilter server, die in beheer is van XS4ALL, en er wordt absoluut geen informatie over de inhoud van de e-mail bewaard of naar andere partijen verstuurd. Zodra er bekend is of de e-mail een virus bevat of niet, wordt de evaluatie vernietigd.

Door het gebruik van meerdere virusfilters, is het percentage virussen dat door de filters heen komt minimaal. Alleen virussen die net nieuw zijn, en nog niet door de anti-virus software herkend worden, komen de eerste paar uur door de filters heen. Per dag worden er echter nog 60 tot 90 nieuwe XS4ALL-klanten geïnfecteerd met een computer-virus, via andere kanalen dan e-mail. Het goed beveiligen van de eigen computer blijft belangrijk.

Netwerkfiltering

Een aantal virussen verspreidt zich via directe netwerkverbindingen. Een klein gedeelte hiervan gebruikt beveiligingslekken in programma's op de computer, die vaak zonder medeweten van de gebruiker actief zijn en die vrijwel niet gebruikt worden op het internet. XS4ALL, en met haar vele andere partijen op het internet, probeert hiervan de grootste risico's in te dammen, door bepaalde netwerkingangen dicht te zetten. XS4ALL maakt hierbij een overweging tussen de ernst van de overlast die het virus veroorzaakt, het risico van besmetting, en de afbreuk die de blokkering aan de dienstverlening doet.

Spamfilters

Toen XS4ALL in 2002 eigen spamfilters ging ontwikkelen, gebeurde dat op basis van 3 uitgangspunten:

    • Klanten moeten bewust zelf kiezen voor spamfiltering (opt-in)
    • De als 'spam' aangewezen mail moet toegankelijk zijn in een aparte mailbox (voor wie dat wil)
    • Klanten moeten de mogelijkheid hebben om het spamfilter naar eigen keuze bij te stellen.

Het belangrijkste verschil met virusfiltering is dat er voor spamfiltering veel subjectievere criteria zijn om mail te selecteren. Bij virussen is de kans op vergissingen minimaal, terwijl bij elke vorm van spamfiltering onvermijdelijk ook vele e-mails ten onrechte als spam worden gemarkeerd, de 'false positives'.

Toch is ook het beleid van XS4ALL op het gebied van spam aan verandering onderhevig, onder invloed van de reusachtige toename van de hoeveelheid spam.

Technische maatregelen tegen spam

XS4ALL biedt alle klanten sinds mei 2002 de mogelijkheid om een spamfilter te activeren op basis van zogenaamde DNS-blocklisting. Dat wil zeggen, lijsten van (de internetadressen van) verzendende computers die betrokken zijn bij spamverzending of heel makkelijk misbruikt kunnen worden om spam te verzenden. XS4ALL stelt deze lijsten niet zelf samen, maar maakt gebruik van de intelligentie van andere internetpartijen uit de hele wereld. Een veelgebruikt criterium is de beveiliging van de computer. Deze vorm van spamfiltering is niet gebaseerd op de inhoud van de e-mail, en de e-mail wordt dan ook in het geheel niet geïnspecteerd.

Beheerders van dit type blocklist laten programma's los op internet die vaststellen of een computer voldoende beveiligd is. Zo niet, dan wordt het IP-adres tijdelijk toegevoegd aan een dynamische zwarte lijst. Een ander criterium is de belevenis van ontvangers: bij een initiatief als Spamcop kunnen internetters ongevraagde mail rapporteren. Op basis van een weging van die meldingen stelt Spamcop een eigen zwarte lijst samen, die gebruikt kan worden door systeembeheerders en providers om vermeende spam op centraal niveau te weren. Spamcop rapporteert de gemelde mail ook (als de gebruiker dat wil) aan de provider van het gebruikte netwerk, zodat die eventueel maatregelen kan nemen tegen de verzender of klant. Tenslotte biedt XS4ALL ook spamfiltering aan op basis van regio of land: bijvoorbeeld de keuze om helemaal geen e-mail te ontvangen uit Korea of Singapore. In totaal biedt XS4ALL klanten op dit moment de keuze uit 28 verschillende lijsten.

Het nadeel van deze vorm van spamfiltering is het aantal 'false positives', het aantal e-mails dat ten onrechte als spam wordt gemarkeerd of geblokkeerd. Hoewel XS4ALL-klanten de keuze biedt uit louter 'markering', doorsturen naar een speciale spambox of blokkering, groeit het aantal klachten over e-mail die ten onrechte als spam is aangewezen. Voor dit probleem bestaat geen eenvoudige oplossing. In tegendeel; hoe veelzijdiger de keuze-mogelijkheden voor de internetter, des te moeilijker vallen de filters in de praktijk in te stellen op ieders wensen. Het alternatief, een streng centraal spamfilter op basis van DNS-blocklists aanzetten voor alle klanten, acht XS4ALL door het hoge foutpercentage zeer ongewenst.

Het foutpercentage betreft ook het aantal ten onrechte 'doorgelaten' spams. Dat percentage stijgt helaas dagelijks. Spamverzenders, en zeker de top 100 van kwaadaardige bulkmailers, maken steeds vaker gebruik van slecht beveiligde computers van breedbandgebruikers. In combinatie met de virusgolven die de beveiliging van computers doelbewust aantasten, en computers op afstand bestuurbaar maken, wordt het spamverzenders steeds makkelijker gemaakt om telkens nieuwe verzendcomputers te kiezen om de spam te versturen. Het blokkeren van spam op grond van verzend-adres wordt daardoor in de praktijk steeds minder effectief.

Vanwege deze problematiek is XS4ALL gaan nadenken over een nieuwe vorm van spamfiltering op basis van een weging van herkomst, adressering en inhoud per e-mail. De inhoud van elke e-mail wordt automatisch onderzocht, en onderdelen ervan geclassificeerd. Het woordgebruik, de opmaak van de text, en bijvoorbeeld de hoeveelheid dollar-tekens in de e-mail dragen allemaal bij aan de totale 'spamscore' van de e-mail. Ervaringen in de praktijk sinds mei 2003 bij XS4ALL, en al langer op de rest van het internet, wijzen uit dat dit type filtering heel effectief kan zijn.

Alleen blijkt in de praktijk schaalbaarheid een probleem. Er vindt bij elke e-mail immers een intensieve analyse plaats. Alle XS4ALL-klanten ontvangen medio mei 2004 in totaal circa 6 miljoen e-mails per dag, en via de uitgaande mailservers van XS4ALL worden circa 1,6 miljoen mails per dag verzonden. Om dit soort filtering toe te kunnen passen, is dus veel rekencapaciteit nodig. Dat gaat gepaard met hoge kosten. Daarom werkt XS4ALL aan een combinatie van DNS-blocklists en statistische filtering, die najaar 2004 beschikbaar wordt gemaakt.