Privacyjaarverslag 2005

door Thomas Wouters, Functionaris voor de Gegevensbescherming, de dato 22 mei 2006.

Verslag van de door het College Bescherming Persoonsgegevens aangestelde Functionaris voor de Gegevensbescherming bij XS4ALL Internet bv, over de periode 1 juli 2004 tot en met 31 december 2005.


1. Inleiding

Dit is het tweede publieke privacy jaarverslag van XS4ALL. In het eerste verslag, over de periode januari 2003 - juni 2004 heeft XS4ALL haar principes uiteengezet op het gebied van privacy en security en het daaruit voortvloeiende ten aanzien van de verzameling, verwerking, uitwisseling en beveiliging van persoonsgegevens. Samen met dat verslag is de nieuwe Functionaris voor de Gegevensbescherming (FG) geïntroduceerd en een duidelijk intern privacy-reglement.

De Functionaris voor de Gegevensbescherming (FG) wordt in het kader van de Wet bescherming persoonsgegevens (Wbp) aangesteld als een toezichthouder op de verwerking van persoonsgegevens binnen een bedrijf. Bij XS4ALL is de FG ook Privacy Officer, die het privacyhelpt vormen en ook toezicht houdt op gegevensverwerking die niet onder de Wbp valt.

In de anderhalf jaar die sinds het vorige verslag is verstreken, is de noodzaak voor een helder privacybeleid alleen maar verder toegenomen. Mede door de overnames van CistroN en HCC!Net is het aantal klanten gestegen van 231.000 op 1 juli 2004 naar 355.000 op 31 december 2005, en het aantal medewerkers steeg naar 298.

In de politiek en in het maatschappelijk debat wordt privacy afgeschilderd als een vijand van veiligheid, een schuilplaats van het kwaad. Het aannemen van de algemene bewaarplicht verkeersgegevens door het Europees Parlement in december 2004 is voor XS4ALL het absolute dieptepunt. Het politieke debat is vooral op emotionele gronden gevoerd, zonder aandacht voor noodzaak, effectiviteit en maatschappelijke en commerciële gevolgen.

Natuurlijk kunnen er situaties voorkomen waarin privacy en veiligheid tegenstrijdige belangen lijken, zoals er tussen alle grondrechten spanningen kunnen ontstaan. Als internet service provider moet XS4ALL zelf ook kiezen tussen het belang van het waarborgen van de persoonlijke levenssfeer van klanten en het belang van het opsporen van spammers en computercriminelen. De oplossing is om telkens per situatie te beoordelen welke maatregelen noodzakelijk en doeltreffend zijn, en telkens het individuele belang van bescherming van de persoonlijke levenssfeer af te wegen tegen het grotere belang van een ongestoorde dienstverlening aan alle klanten.

Zeker bij de security-achtige zaken waar XS4ALL en al haar klanten mee te maken hebben, zoals op het gebied van spam- en virusfiltering, moeten beslissingen op het hoogste niveau genomen worden, met kennis van alle voor- en nadelen. Daarom heeft XS4ALL eind 2004 besloten tot het instellen van een vast tweewekelijks overleg tussen de privacy officer, de security-officer, de manager techniek en ontwikkeling (de security manager) en (senior) medewerkers netwerk en systeembeheer. Afhankelijk van de onderwerpen worden ook de bedrijfsjurist en medewerker Public Affairs uitgenodigd. Dit jaarverslag bevat een overzicht van de belangrijkste voorvallen die in dit overleg besproken zijn.

XS4ALL wil zich in ieder geval de komende jaren blijven profileren als een provider die opkomt voor privacy èn veiligheid. Door via dit verslag inzage te bieden in vraagstukken waarmee het bedrijf de afgelopen anderhalf jaar heeft geworsteld, hoopt XS4ALL een voorbeeld te geven aan klanten en concurrenten. De strategie van 'security by obscurity', het verzwijgen van problemen in de hoop dat niemand er ooit achter komt, leidt bij uitstek tot rampen. Als iedereen zich veilig waant, hoeft er maar één slimmerik op te staan om het risico vervolgens wereldwijd uit te buiten.

Hoezeer XS4ALL het ook betreurt, zij wordt gedwongen tot 'obscurity' als het gaat om aantallen geldige en ongeldige tapbevelen die Justitie en de Inlichtingendiensten de afgelopen anderhalf jaar hebben afgegeven. Hoewel XS4ALL geen bezwaar heeft tegen de inzet van dit middel tegen een specifieke verdachte nadat het bevel is goedgekeurd door een rechter-commissaris of door de minister van Binnenlandse Zaken, acht XS4ALL het van groot belang dat de resultaten gecontroleerd kunnen worden. Het Openbaar Ministerie en de inlichtingendiensten verhinderen echter dat er statistieken beschikbaar komen. Daardoor is het onmogelijk om een politieke afweging te maken van de kosten en baten.

Internet-providers hebben veel geld en energie moeten investeren in het aanpassen van de netwerken om aftappen mogelijk te maken. Sinds 1 april 2005 zijn de vergoedingen voor het uitvoeren van een tapbevel bovendien drastisch verlaagd, terwijl providers extra veiligheidsmaatregelen moesten treffen om per 1 juni 2005 te kunnen voldoen aan een nieuwe wettelijke maatregel over gegevensbeveiliging.

De extra veiligheidsmaatregelen die XS4ALL moest treffen, bestonden uit het doorlopen van een risico-evaluatie, het exact definiëren van de procesgang rondom aftappen, het vastleggen van maatregelen om incidenten te melden en het inbouwen van een evaluatiecyclus.

In maart 2005 heeft XS4ALL een rechtszaak aanhangig gemaakt tegen de Staat der Nederlanden, om een herziening af te dwingen van de beslissing uit 1998 om alle kosten voor nieuwe opsporingsmiddelen exclusief bij de telecomindustrie te leggen. XS4ALL pleit concreet voor afschaffing van artikel 13.6.1 TW. XS4ALL hoopt dat een kostendrempel bijdraagt aan terughoudendheid met de inzet van het middel en grotere transparantie ten aanzien van de aantallen (succesvolle) vervolgingen. Een uitspraak in deze zaak wordt op z'n vroegst in de herfst van 2006 verwacht.

2. Conclusies jaarverslag 2003-2004

Het Jaarverslag 2003-2004 concludeerde dat XS4ALL twee problemen moest oplossen op privacy-gebied; de zichtbaarheid van accountnamen op shellservers en het verwijderen van verouderde administratieve gegevens.

2.1 Zichtbaarheid accountnamen

Eind juni 2004 waren er via de shell servers (die directe toegang bieden voor klanten tot hun website of mailbestanden op de Unix servers) ongeveer 200.000 accountnamen - het eerste stuk van een e-mail adres - zichtbaar voor elke klant met verstand van een aantal unix basiscommando's. Die 200.000 accountnamen vormden ongeveer 20% van de totale hoeveelheid e-mail adressen. XS4ALL heeft lang nagedacht over een oplossing om enerzijds vrij toegang tot de shellservers te bieden en anderzijds te verhinderen dat de accountnamen zichtbaar zouden worden. Het volledig onzichtbaar maken van alle accountnamen op de shellservers bleek technisch uiteindelijk niet haalbaar. Dan zouden er teveel andere gewenste functionaliteiten wegvallen. De shellservers worden maar door een zeer klein deel van de klanten gebruikt, door ongeveer 2.000 unieke gebruikers per maand, inclusief medewerkers van XS4ALL. Toegang tot de shell servers is niet noodzakelijk om gebruik te kunnen maken van de XS4ALL diensten. De gebruikers zijn over het algemeen professionals, die grote waarde hechten aan deze (extra) vorm van toegang.

Juist omdat directe toegang tot de Unix servers veel beveiligingsproblemen met zich meebrengt, bieden de meeste providers deze dienst niet (meer). XS4ALL heeft echter een andere, creatieve oplossing gekozen. Een accountnaam is alleen zichtbaar als de klant is ingelogd, of net ingelogd is geweest. Daarmee is het probleem vrijwel compleet verholpen, zonder beperkingen aan de dienstverlening.

2.2 Verwijderen administratieve gegevens

Midden 2004 was het niet verwijderen van administratieve gegevens 'het grootste gebrek in naleving van de Wbp bij XS4ALL.'. Hoewel de technische logbestanden bij XS4ALL automatisch gewist worden, geldt dat niet voor verouderde administratieve gegevens. Dat was en is in strijd met de Wet bescherming persoonsgegevens.

"Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt." (artikel 10, eerste lid, Wbp) Ondanks de grotere aandacht voor dit vraagstuk is het door tijdsgebrek toch niet gelukt om in 2004-2005 een structurele oplossing door te voeren, zoals het systematisch onherkenbaar maken van gegevens die niet meer van toepassing zijn. In tegenstelling tot uitpuilende archiefkasten, nemen databases met verouderde informatie weinig plek in. In 2006 heeft dit opnieuw prioriteit gekregen, maar in de praktijk blijft het een probleem om voldoende mankracht te krijgen om oplossingen te programmeren voor niet-urgente verbeteringen.

3. Privacy medewerkers

Tegelijk met privacy-jaarverslag lanceerde XS4ALL in juni 2004 een intern privacy-reglement. Via dat reglement krijgen werknemers expliciet de vrijheid om hun eigen verantwoordelijkheid te nemen, voorzover dat niet ten koste gaat van de privacy van klanten.

Zolang het werk goed gedaan wordt, houdt XS4ALL in principe niet bij wat medewerkers precies doen. En als er toch problemen zijn met het functioneren, zijn er goede procedures om die problemen te signaleren en op te lossen zonder hiervoor het precieze reilen en zeilen van individuele medewerkers in de gaten te houden. Hetzelfde geldt voor bijvoorbeeld problemen met de werksfeer, illegale activiteiten en hoge telefoonkosten. Maar omdat de privacy van klanten uiteindelijk nog belangrijker is dan de privacy van medewerkers, wordt bijvoorbeeld de toegang door medewerkers tot bedrijfssystemen met klantinformatie wel standaard geregistreerd en maximaal een jaar bewaard. Toegangsrechten zijn op functieniveau vastgelegd in een zogenaamde "Functie Applicatie Matrix", waarin wordt bijgehouden wie lees- en schrijfrechten heeft in welke informatiesystemen. Eventuele toegang tot de logfiles is met strenge waarborgen omkleed.

Het interne privacybeleid is een vast onderdeel van de inwerkprocedure van nieuwe medewerkers. XS4ALL heeft tussen juli 2004 en december 2005 8 keer een inwerkdag georganiseerd, waarin de grondslagen van het bedrijf zijn besproken, inclusief het interne en externe privacybeleid. Voorafgaand aan de invoering van het reglement was niet iedereen gerust op de gevolgen, maar het vertrouwen in de medewerkers bleek terecht. Er zijn geen incidenten geweest met medewerkers waarbij de bestaande regelingen en reglementen tekort schoten. Wel zijn er meermalen discussie en samenspraak nodig geweest om in individuele gevallen de juiste balans te vinden tussen de verschillende reglementen. Hieruit blijkt de noodzaak om zowel het interne als het externe privacybeleid van XS4ALL regelmatig te toetsen.

Er zijn twee voorvallen geweest rondom voorgenomen verstrekkingen door de afdeling Human Resources van persoonsgegevens van medewerkers.

Eind augustus 2005 maakte HR het voornemen bekend om, met instemming van de Ondernemingsraad en de Functionaris voor de Gegevensbescherming, een bestand met het personeelsnummer, de NAW-gegevens, de geboortedatum en het zakelijk e-mailadres van alle werknemers te verstrekken aan een bedrijf dat gespecialiseerd is in (bedrijfs-)opleidingen. Het bedrijf had een raamovereenkomst met KPN, waardoor XS4ALL er tegen extra gunstige voorwaarden gebruik van kon maken. Ondanks het feit dat de verstrekking op het eerste gezicht noodzakelijk leek, en er een goede (standaard) garantie was om de gegevens alleen voor het opleidingsdoel te gebruiken, stuitte de procedure intern op heel veel commotie. De verstrekking werd daarop geblokkeerd. Drie weken later was er een alternatieve technische oplossing. Medewerkers die geïnteresseerd zijn in een opleiding kunnen sinds die tijd anoniem rondkijken op de website met het aanbod. Pas als ze zich daadwerkelijk aanmelden voor een cursus, voeren ze hun persoonsgegevens in.

Eind december 2005 besloot HR opnieuw tot verstrekking van de gegevens van alle medewerkers aan een derde partij, dit keer aan twee verschillende ziektekostenverzekeraars. Opnieuw stemden zowel de OR als de FG in. Medewerkers die bezwaar hadden tegen deze verstrekking, konden zich een maand lang afmelden. De bedoeling was opnieuw goed. XS4ALL had bij de twee maatschappijen een collectieve korting bedongen. De verzekeraars wilden iedereen een persoonlijke offerte toesturen, zodat iedereen zich individueel via het internet, met een persoonlijke code, kon aanmelden. Bovendien verklaarden beide maatschappijen dat ze de gegevens alleen zouden gebruiken voor het maken van een offerte voor de ziektekostenverzekering. Toch leidde dit opnieuw tot interne ophef. Als XS4ALL publiekelijk zoveel belang hecht aan opt-in, zou dat ook voor de medewerkers moeten gelden, zeker na de eerder discussie over het opleidingsbeleid, was de teneur. XS4ALL wijzigde het beleid in dit geval echter niet en verstrekte de gegevens toch aan de twee verzekeraars, met uitzondering van de medewerkers die er tijdig bezwaar tegen hadden gemaakt. Begin februari 2006 bleek overigens dat de verzekeraars helemaal geen persoonlijke offertes konden aanbieden, waardoor de noodzaak tot verstrekking wegviel.

In beide gevallen ging het uiteindelijk om een overweging tussen gemak (en lage kosten) en privacy. In het eerste geval kon XS4ALL aanvankelijk geen ander alternatief verzinnen dan alles handmatig doen, en dat zou een te hoge foutkans opleveren. De uiteindelijke oplossing was veel beter, maar ook veel duurder, omdat 't een proeftraject was.

In het tweede geval speelde tijdsdruk een grote rol. De verzekeraars moesten miljoenen mensen offreren, aanmelden en afmelden en wilden dus geen maatwerk verrichten. Daarnaast achtten alle direct betrokken het van groot belang dat de medewerkers hun ziektekostenverzekering goed regelden. Het laatste woord is hierover nog niet gesproken. Zowel de OR als de FG hebben hun ongenoegen geuit over de niet nagekomen belofte van een persoonlijke offerte en een aanvraag-website. Daarnaast hebben ze de verzekeraars verzocht om een extra verklaring dat de persoonsgegevens die XS4ALL verstrekt heeft nu vernietigd zijn, en daadwerkelijk niet voor enig ander doel gebruikt zijn. In 2006 zullen de OR, het managementteam en de FG zich buigen over een consequenter beleid.

4. Gegevensuitwisseling met derden

4.1 Samenwerking met derden

XS4ALL werkt samen met een aantal derde partijen die persoonsgegevens van klanten verwerken. Zo is er een netwerk van resellers die klanten aanbrengen, een incasso-bureau, en een callcenter om klanten bij extreme drukte toch onmiddellijk te woord te kunnen staan. Verder laat XS4ALL bij grote mailingen adresgegevens verwerken door een externe drukker. In alle gevallen maakt XS4ALL een duidelijk contract op, waarin de vertrouwelijkheid van de persoonsgegevens wordt geregeld. Het doel van de uitwisseling wordt ondubbelzinnig gedefinieerd, en de gegevens mogen niet voor andere doeleinden gebruikt worden. De gegevens mogen ook niet zonder meer aan derden doorgegeven worden. En de gegevensverstrekking gebeurt veilig, om de kans op onderschepping te minimaliseren.

Toch heeft XS4ALL niet alles in de hand. Gegevensuitwisseling met derden blijft lastig. Zelfs als de betrokken XS4ALL medewerkers een goed idee hebben over hoe het zou moeten en wat aanvaardbaar is, blijkt het maar zelden zo te zijn dat de externe partij dit snapt.

In november 2005 was er een security incident met het externe incasso bureau. De extern ingehuurde interim-manager voor de financiële administratie wilde eenmalig een batch klantgegevens voor verdere verwerking overdragen aan het externe incassobureau. Hij wilde dat doen door de bestanden onbeveiligd op een USB-stick te zetten en deze door te geven. Gelukkig rapporteerden medewerkers dit voornemen op tijd aan de security manager, die de verwerking kon blokkeren.

Het incident staat niet op zichzelf, maar directe collega's zijn goed genoeg op de hoogte om grote fouten te verhinderen. In dit geval was de externe medewerker niet op de hoogte van het securitybeleid, maar de procedure om incidenten of (vermoedelijk) foute voornemens te rapporteren bleek voldoende robuust.

Als extra maatregel heeft het security-overleg besloten dat gegevens over klanten waarvan de dossiers worden overgedragen, alleen nog versleuteld mogen worden uitgewisseld. Dat was is de praktijk al wel vaak, maar is sinds 28 november 2005 altijd het geval.

4.2 Samenwerking met KPN

In de samenwerking met KPN is niets noemenswaardigs veranderd sinds medio 2004, de afronding van het vorige privacy jaarverslag. KPN heeft geen toegang tot individuele klantgegevens. Voorzover KPN en XS4ALL samenwerken bij de leveringen van internet-diensten, zoals ADSL, geldt de aparte privacy-clausule uit 2000. Die garandeert dat KPN de gegevens van XS4ALL abonnees niet voor andere doeleinden mag gebruiken dan het leveren van de dienst.

In de periode juli 2004 - december 2005 zijn er twee nieuwe diensten bijgekomen, namelijk Hotspots en Klipping.

4.2.1 Klipping

Eind 2003 introduceerde KPN een breedbandportal met (betaalde) video on demand. Via dat portal konden belangstellenden video's via internet downloaden en afspelen op hun computer.

Samen met het portal introduceerde KPN een andere nieuwe dienst: Klipping. Die dienst controleerde of het telefoonnummer en/of het giro-/bankrekeningnummer "hoorden" bij het IP-adres van de internet-verbinding waarvandaan de website werd bezocht. Om dat mogelijk te maken, werden alle inlogpogingen van alle ADSL-klanten automatisch langs Klipping geleid. Aanvankelijk meende KPN dit onder een generieke opt-out ook aan XS4ALL abonnees te kunnen aanbieden, maar hiertegen maakte XS4ALL heel snel bezwaar. Niet alleen vanwege het opt-out principe, maar ook omdat een derde partij, Klipping, inzage geven in het inlogverkeer van de XS4ALL klanten, tegen de bestaande afspraken was.

De dienst werd dan ook niet toegankelijk voor XS4ALL abonnees. In augustus 2004 werd de druk opgevoerd om toch iets met Klipping te doen, vanwege toegang tot live uitzendingen van de Olympische Spelen. Uiteindelijk werd er een interim-oplossing bedacht en geïmplementeerd om XS4ALL abonnees toch naar de Olympische Spelen te laten kijken via opt-in. Na afloop van de Spelen was het breedbandportal niet meer toegankelijk voor klanten van XS4ALL. XS4ALL heeft geweigerd mee te werken aan de andere plannen die KPN had met Klipping, zoals het spraakmakende plan om ongevraagd 3.000 euro krediet te verstrekken aan elke Nederlander met een vaste telefoonlijn. De hoofdreden was, naast de opt-out regeling, de technische implementatie. De gekozen oplossing vereiste dat Klipping alle loginnamen en wachtwoorden te zien kreeg. Daarnaast achtte XS4ALL de voordelen voor klanten te gering.

4.2.2 Hotspots

Sinds november 2005 kunnen alle klanten van XS4ALL gratis 1 uur per week gebruik maken van KPN hotspots. Na het activeren van de wireless kaart maakt de klant verbinding met het dichtstbijzijnde KPN toegangspunt. Bij deze eerste stap reist het internet-verkeer van de klant onversleuteld door de lucht. Het toegangspunt toont vervolgens een met SSL beveiligde internet-pagina (herkenbaar aan de 's' van 'secure' achteraan https). Op deze pagina voert de XS4ALL klant zijn of haar gebruikersnaam en wachtwoord in. Hotspots vraagt vervolgens (op een veilige manier) aan XS4ALL of dit een geldige username/password combinatie is. Als het antwoord positief is, controleert KPN Hotspots of de maximale tijdsduur voor die klant nog niet verstreken is. KPN Hotspots legt uitsluitend vast hoeveel minuten een klant gebruik maakt vanaf welk punt. Verder wordt er geen enkele informatie over het internet-gebruik via de hotspots vastgelegd.

Een aandachtspunt op privacy-gebied is wel het feit dat KPN de mailroutering heeft uitbesteed aan een derde partij, zonder dat XS4ALL hier een apart privacy-contract mee heeft kunnen sluiten. Dat betekent dat alle uitgaande mail van klanten (SMTP) eerst langs een niet-KPN server reist en daar ook eventueel gelezen zou kunnen worden. Op deze server wordt ook virus- en spamfiltering gedaan. Daarna wordt mail van klanten pas aangeboden aan de XS4ALL mailservers. Bij de Hotspots is het niet mogelijk om rechtstreeks gebruik te maken van de mailservers van ieders eigen provider: poort 25 is geblokkeerd om de spam- en virusfiltering af te dwingen. Daarom raadt XS4ALL klanten aan altijd gebruik maken van Secure Webmail of een beveiligde verbinding om hun e-mail veilig te kunnen ontvangen en versturen, zonder dat een derde partij eventueel kan meelezen of een registratie kan bijhouden van de verkeersgegevens. Direct contact met de mailservers van XS4ALL is ook mogelijk met secure SMTP en authenticated SMTP, al wordt dat niet door alle organisers en mailprogramma's ondersteund.

Een ander aandachtspunt is het feit dat in 2005 niet alle infrastructuur voor het netwerk van Hotspots in handen was van KPN: een klein aantal toegangspunten (circa 25) was ontsloten via netwerken van anderen, waaronder kabelnetwerken. Daarmee heeft XS4ALL geen contract kunnen sluiten ten aanzien van het respecteren van de privacy van gebruikers. Wel was het voor internet-gebruikers altijd zichtbaar in hun verbindingsinstellingen dat zij niet via KPN maar via een andere provider verbonden waren met het internet. Juist omdat KPN zijn naam zo sterk verbindt aan de Hotspots en XS4ALL deze dienst actief aanbiedt aan klanten, vindt XS4ALL het belangrijk dat klanten kunnen vertrouwen op het hoogste privacy- en securityniveau.

4.3 Justitie en Politie

Op 1 september 2004 is de wet Vorderen Gegevens Telecom in werking getreden. Hierdoor is de toegang tot informatie over internetters enorm verruimd. Alle opsporingsambtenaren (naast politie-rechercheurs bijvoorbeeld ook wijkagenten) mogen naam-adres-woonplaats gegevens van klanten opvragen bij ISPs en andere telecomaanbieders. Was voorheen een rechter-commissaris nodig om (historische) verkeersgegevens op te vragen van een specifieke verdachte, sinds 1 september 2004 volstaat de handtekening van een officier van justitie.

XS4ALL heeft zich van tevoren grote zorgen gemaakt over deze wet, omdat er bij de meeste instanties niet genoeg kennis en ervaring is om effectief en correct met deze gegevens om te springen. In de praktijk valt de impact van de nieuwe wetgeving moeilijk in te schatten, mede door de constructie die KPN en XS4ALL opgezet hebben: informatie- en tapverzoeken worden eerst door de centrale Infodesk van KPN behandeld, voor ze naar XS4ALL worden doorgestuurd. Het aantal verzoeken is wel gestegen, maar het is onduidelijk of dit komt door de nieuwe wetgeving of door meer bekendheid bij opspoorders.

De OPTA, de toezichthouder op de post- en telecommunicatiemarkt in Nederland, kreeg in de Telecommunicatiewet (artikel 18, lid 7) ook de mogelijkheid informatieverzoeken te doen, voor het onderzoeken van spamverzendingen. Gebruik daarvan is bij XS4ALL echter zeer minimaal geweest, en de binnengekomen verzoeken bevatten niet genoeg gegevens om ze in te kunnen willigen.

XS4ALL heeft voor alle verplichtingen jegens politie en justitie de primaire contacten sinds 2001 uitbesteed aan de centrale Infodesk van KPN Security. Die is gespecialiseerd in alle vaardigheden die vereist zijn bij de directe omgang met behoeftestellers, inclusief het afhandelen van bevelen op basis van de wet Vorderen Gegevens Telecom.

4.4 Bewaarplicht

In december 2005 heeft het Europees Parlement ingestemd met een bewaarplicht voor verkeersgegevens, dat wil zeggen uitgebreide informatie over het internet- en telefoongebruik van alle Europeanen. De richtlijn is formeel geaccepteerd door de ministers van justitie op 21 februari 2006 en moet uiterlijk 18 maanden later, medio september 2007 in Nederland in wet zijn omgezet. Providers zijn onder de richtlijn verplicht om informatie over het inlog- en e-mail-gedrag van hun klanten tenminste een half jaar en maximaal 2 jaar te bewaren, inclusief data over het internet-belgedrag van hun klanten en eventueel bijbehorende locatiegegevens.

XS4ALL heeft zich in 2004 en 2005 intensief verzet tegen de voorgenomen bewaarplicht, met workshops, lezingen, brieven aan parlementsleden, de t-shirtactie 'bezwaarplicht', advertenties in landelijke dagbladen en (gezamenlijk met het European Digital Rights) een petitie met 58.000 handtekeningen die is aangeboden aan het Europees Parlement. Een ander onderdeel van de campagne was de introductie van een teller, die bijhoudt hoeveel pakketjes dataverkeer XS4ALL in totaal heeft vervoerd sinds 5 september 2005.

XS4ALL heeft grote privacy- en securitybezwaren tegen de voorgenomen bewaarplicht. De bewaarplicht holt een belangrijk Europees en Nederlands privacy-criterium uit, dat persoonsgegevens zoveel mogelijk moeten worden vernietigd of geanonimiseerd na (noodzakelijk) gebruik. Bovendien lijkt de bewaarplicht niet te voldoen aan artikel 8 van het Europees Verdrag van de Rechten van de Mens; namelijk dat een maatregel absoluut noodzakelijk moet zijn in een democratische samenleving. Door hele grote hoeveelheden gevoelige gegevens te bewaren over onverdachte mensen, ontstaat er een ingrijpende nieuwe controlemogelijkheid op het alledaags gedrag van alle internet en telefoongebruikers. Tegelijkertijd ontstaan er allerlei nieuwe beveiligingsrisico's, zowel omdat databases misbruikt kunnen worden door derden, als wel omdat individuele medewerkers en opsporingsambtenaren om de verkeerde redenen inzage kunnen (proberen te) krijgen.

Minister Donner van Justitie heeft herhaaldelijk aangegeven dat zijn voorkeur uitging naar centrale opslag van de verkeersgegevens. Begin februari 2006 voegde de minister daar aan toe dat hij overwoog om de verkeersgegevens op te slaan en te ontsluiten via een nieuw op te richten derde partij. Hoewel er ook aan een decentrale opslag van verkeersgegevens beveiligingsrisico's zijn verbonden, lijken die in het niet te vallen bij de gevaren van één centrale opslag, waarbij alle huidige waarborgen wegvallen en aanbieders de bevelen niet meer kunnen controleren op juistheid en rechtmatigheid.

Terwijl XS4ALL zich inspant om klanten een zo veilig mogelijke internet-verbinding te geven, met een heel specifiek praktisch en technisch privacybeleid, holt de overheid datzelfde vertrouwen met de bewaarplicht en het voornemen voor centrale opslag ernstig uit.

4.5 CIOT

Het Centraal Informatiepunt Onderzoek aan Telecommunicatie (CIOT) speelt een centrale rol in de verstrekking van namen en nummers van telecomgebruikers in Nederland. Elke telecomaanbieder maakt elke dag een kopie van relevante klantgegevens. Die gegevens worden bewaard in een extra database en via een beveiligde verbinding ontsloten voor het CIOT. Opsporingsambtenaren kunnen, als ze de juiste toegang hebben, vanachter hun eigen bureau via het CIOT inzicht krijgen in NAW-gegevens (Naam Adres Woonplaats), telefoonnummers, het soort telecommunicatiedienst en wie bij een mobiel nummer de aanbieder is, zonder dat de aanbieders zien wat voor soort vragen er worden gesteld. Deze opzoekmogelijkheid is zeer favoriet geworden bij de opspoorders; in 2004 werden er volgens publicaties van het NRC maar liefst 1,2 miljoen bevragingen gedaan, waarvan 900.000 door politie en justitie en 300.000 door de inlichtingendiensten.

In 2005 heeft het Ministerie van Justitie vertrouwelijke gesprekken gevoerd met 3 ISP's over het aansluiten van alle internet-providers op dit systeem. Bij de betrokken providers zat geen KPN-dochter, zodat XS4ALL geen zicht heeft op de overeengekomen juridische en technische specificaties. Wel was het de bedoeling om de providers al op 1 september 2006 aan te sluiten. Op die datum verstrijkt het uitstel van twee jaar dat ISPs hebben gekregen voor aansluiting volgens het Besluit verstrekking gegevens telecommunicatie.

Daarbij zouden de NAW-gegevens, IP nummers, e-mail adressen en loginnamen via dit systeem ontsloten worden, niet de verdere verkeersgegevens zoals informatie over het e-mail gebruik. Per 1 september 2006 moeten alle ISPs op het nieuwe systeem zijn aangesloten.

Vanuit privacy-perspectief druist de huidige ontsluiting via het CIOT in tegen de WBP. Er is namelijk geen expliciete vrijwaring tegen onrechtmatig gebruik van de persoonsgegevens, of het nu om een typefout gaat of om een ontbrekende noodzaak. De telecombedrijven kunnen geen toezicht uitoefenen op het gebruik, maar dragen wel de maatschappelijke aansprakelijkheid voor de juistheid en noodzaak tot verstrekking gegevens.

Bij een eventuele keuze voor centrale opslag van internet-verkeersgegevens, of het nu via het CIOT loopt of via een nieuwe instantie, vreest XS4ALL bovendien dat er veel fouten worden gemaakt. Een dynamisch IP adres kan zonder correcte tijdsbepaling op honderden klanten van toepassing zijn, zeker als er ook nog fouten worden gemaakt in de tijdzone. Zo zorgen haast en slordigheid ook voor onvermijdelijke typefouten in IP en e-mail adressen. Providers kunnen dat soort verzoeken nu nog vaak terugsturen, zodra ze merken dat er iets niet aan klopt. Bij centrale opslag van gegevens valt die extra controle weg en is het de vraag of het meteen duidelijk is voor de opsporingsambtenaren dat het gegevens betreft over onverdachte mensen.

5. Overnames CistroN en HCC!net

In 2004-2005 heeft XS4ALL twee internet-providers overgenomen: CistroN en HCC! net. De migratie van CistroN klanten naar de systemen van XS4ALL is begin 2006 voltooid. De migratie van HCC!net vindt in 2006 plaats en komt in een volgend privacy verslag aan de orde.

De klantbestanden van beide bedrijven zijn geschoond voor ze aan XS4ALL werden overgedragen, zodat alleen daadwerkelijke klanten in de XS4ALL database zijn opgenomen. CistroN had een vrij uitgebreid mail- en probleem-archief. Dat archief is tijdens de migratie inzichtelijk gemaakt, maar niet overgenomen in de archieven van XS4ALL.

Hoewel er technisch veel is veranderd voor klanten, heeft XS4ALL zich ingespannen om klanten daar zo weinig mogelijk van te laten merken.

6. Verwijderen gegevens

6.1 Recht van inzage en correctie

Onder de WBP artikelen 35 en 36 heeft iedere klant recht op inzage, correctie en verwijdering van zijn of haar gegevens. Gegevensverwerkers moeten binnen vier weken aan een dergelijk verzoek voldoen en mogen daar maximaal 4,50 euro voor rekenen. XS4ALL ontvangt maar zeer weinig van dergelijke verzoeken: in totaal twee in anderhalf jaar tijd. Klanten kunnen sinds januari 2004 zelf hun adres- en bankgegevens corrigeren via het online Service Centre. Als het gaat om inzage in andere gegevens die XS4ALL eventueel over een klant heeft, behoudt XS4ALL zich het recht voor om kosten in rekening te brengen, al is dat tot op heden nooit gebeurd.

6.2 Direct marketing en marktonderzoek

Onder artikel 41 van de WBP heeft iedereen een absoluut recht van verzet tegen direct marketing, of het nu commercieel is of charitatief. Tot nu toe speelde dat bij XS4ALL geen noemenswaardige rol, omdat XS4ALL vrijwel geen direct marketing bedrijft en directe digitale commerciële communicatie met klanten via opt-in verloopt. Dat geldt bijvoorbeeld voor de algemene XS4ALL e-mail nieuwsbrief.

Er zijn drie uitzonderingen op de opt-in regel; het toesturen van jubileumcadeau's, wettelijk verplichte uitingen en marktonderzoek.

Bij het 10-jarig en 12,5-jarig bestaan van XS4ALL hebben alle klanten per post een jubileumcadeau ontvangen. Hier heeft geen enkele klant over geklaagd. Dit acht XS4ALL dan ook voor herhaling vatbaar. Een andere uitzondering wordt gevormd door wettelijk verplichte uitingen naar klanten, zoals over een eventuele snelheidsverhoging, tariefswijziging of aanpassing van de Algemene Voorwaarden. Tot nu toe heeft XS4ALL dergelijke uitingen altijd per post verstuurd, maar zij behoudt zich het recht voor om dat ook per e-mail te gaan doen.

De derde en belangrijkste uitzondering op de opt-in regel is marktonderzoek. Conform de Wet bescherming persoonsgegevens mag ieder bedrijf klantgegevens gebruiken voor marktonderzoek, in het kader van het (optimaliseren van) de bedrijfsvoering. XS4ALL heeft expliciet gekozen voor een opt-out regeling, om te voorkomen dat alleen zeer welwillende klanten antwoord geven op vragen over de dienstverlening.

In 2005 heeft XS4ALL een aantal keer marktonderzoek gedaan onder ADSL-klanten (zowel particulier als zakelijk). De vragen gingen over het gebruik van Voice over IP (Voip), over de bruikbaarheid van het (nieuwe) online service center en over klanttevredenheid in het algemeen (die laatste volgens een stramien dat door KPN voor alle dochters wordt gehanteerd). Dit heeft niet of nauwelijks tot negatieve klantreacties geleid. Iedere klant kan zich immers te allen tijde via het online Service Centre voorgoed afmelden voor deelname aan eventueel marktonderzoek.

Ook op de zakelijke markt, waar geen recht van verzet tegen direct marketing bestaat, is XS4ALL zeer terughoudend met ongevraagde rechtstreekse benadering per e-mail, brief of telefoon. Uit algemeen marktonderzoek dat XS4ALL in 2004 heeft laten doen, bleek dat de helft van de klanten graag wat vaker iets van XS4ALL zou horen, terwijl de andere helft juist zeer tevreden was met de ruisvrije dienstverlening. Af en toe is er daarna intern een discussie gevoerd over een nieuwe intensievere benadering van met name zakelijke klanten, maar nog geen nieuw beleid geformuleerd. Daarbij is het belangrijk om op te merken dat XS4ALL nauwelijks onderscheid kan maken tussen particuliere en zakelijke klanten; contact met een bedrijf loopt altijd via een privé persoon, of het nu een beheerder is, een directeur of een afdelingsmanager. Met 'zakelijk' bedoelt XS4ALL vooral afnemers van zakelijke diensten.

In de huidige, vrijwel verzadigde markt ligt de focus meer dan ooit op klantbehoud, in plaats van op werving van nieuwe klanten. Bij dat klantbehoud hoort een concreet beleid ten aanzien van de verschillende manieren om klanten te benaderen. Om dat beleid te formuleren, doet XS4ALL begin 2006 een specifiek nieuw onderzoek naar de manieren waarop klanten geïnformeerd willen worden, waarover en hoe vaak. Dit onderzoek wordt medio april 2006 afgerond en de uitkomsten worden publiek bekend gemaakt. Mocht XS4ALL kiezen voor een intensievere benadering per telefoon of post, dan wordt daar in ieder geval een structurele opt-out mogelijkheid voor geboden. Voor benadering per e-mail (zoals de nieuwsbrief) blijft de opt-in voorop staan.

6.3 Direct marketing door derden

XS4ALL verstrekt gegevens over klanten niet aan derden, tenzij er een wettelijke verplichting bestaat. XS4ALL heeft echter geen invloed op het privacybeleid van andere belangrijke internet-partijen, die eigen gegevens hebben over klanten van XS4ALL. Voorbeelden daarvan zijn SIDN, de Stichting Internet Domeinregistratie Nederland, Network Solutions, het bedrijf dat de registratie van .com, .org en .net domeinnamen verzorgt, en RIPE, de stichting die onder andere voor Europa de IP-adressen beheert.

Wie een Nederlandse domeinnaam aanvraagt, accepteert dat zijn of haar adresgegevens publiek zichtbaar worden in het online WHOIS register. XS4ALL heeft altijd bij de SIDN gepleit voor afscherming van adresgegevens van particulieren, maar helaas tevergeefs. De SIDN heeft in januari 2003 wel een secundair domein in het leven geroepen waarbij er drie cijfers achter een naam werden geplakt, het zogenaamde persoonsdomein. Bij die domeinnamen was afscherming van de gegevens wel mogelijk, maar er bleek vrijwel geen enkele publieke belangstelling voor deze nieuwe (moeilijk te onthouden) domeinnamen met nummers. De registratie van deze persoonsdomeinnamen is dan ook opgeschort met ingang van november 2005.

Afscherming van de gegevens bij een reguliere .nl domeinnaam blijkt in de praktijk vrijwel onhaalbaar; de SIDN willigt dergelijke verzoeken slechts zeer sporadisch in. Een beroep van een XS4ALL klant eind 2003 op zijn persoonlijke naamsbekendheid en het verlangen om zijn prive-adres te maskeren, konden noch de SIDN noch het door SIDN beheerde College voor Klachten en Beroep vermurwen.

In oktober 2005 was er een voorval met Network Solutions. Zij mailden alle houders van een .com, .net of .org domein met het verzoek om hun contactgegevens in het openbare WHOIS register te controleren en eventuele correcties door te geven aan hun internet service provider. Het was niet duidelijk voor sommige klanten dat XS4ALL niets te maken had met deze mailing.

Ten slot kunnen zakelijke klanten ook benaderd worden door of via RIPE, voorzover zij een eigen IP-reeks hebben. XS4ALL is in 2005 begonnen met het vervangen van gegevens over deze bedrijven en hun contactpersonen door de XS4ALL contactgegevens, in navolging van het al bestaande beleid bij CistroN.

7. Bescherming van klanten

In maart 2005 heeft XS4ALL een herhalingsonderzoek laten doen naar veiligheid op internet. Daaruit bleek opnieuw hoezeer internetters op hun internet-provider rekenen als het gaat om beveiligingsmaatregelen. Hoewel de overgrote meerderheid van de internet-gebruikers veiligheidsmaatregelen had getroffen, bleek de bescherming tegen met name virussen niet afdoende. Voor XS4ALL vormde deze uitkomst aanleiding om het beleid ten aanzien van spam- en virusfiltering opnieuw te bekijken.

7.1 Opt-out virusfiltering

Virusfiltering van e-mail wordt bij XS4ALL op een centrale plek voor alle klanten gedaan. Dit gebeurt sinds 1 juli 2004 voor alle e-mail, tenzij het expliciet is uitgezet door de klant. De filtering is uitgezet voor minder dan een half procent van alle e-mail adressen, 0.63% van alle klanten. De virusfiltering is overigens niet 100% feilloos gebleken. Er heeft zich 3 mei 2005 wel een incident voorgedaan waarbij ten onrechte een paar duizend e-mails als virus waren gemarkeerd, en dus verwijderd. Op het totaal aantal e-mails dat XS4ALL dagelijks verwerkt, is dat overigens een zeer klein aantal.

De huidige opstelling met virusfilters van meerdere fabrikanten, zoals XS4ALL die gebruikt, is niet ingericht om zulke 'false positives' toch te laten passeren. Dat zou de periode waarin nieuwe virussen worden doorgelaten, ernstig vergroten. Wel heeft XS4ALL de mailservers nu zo aangepast dat als slechts één van de virusfilters een e-mail besmet acht, de e-mail geweigerd wordt. Door de e-mail te weigeren in plaats van te wissen, krijgt de orginele afzender in elk geval een melding dat het versturen mislukt is. Omdat vrijwel alle virussen hun afzender-adres vervalsen, worden e-mails die door meer virusfilters als besmet gezien worden, net als voorheen verwijderd.

Met de resultaten van het marktonderzoek in gedachten hebben technici bij XS4ALL gebrainstormd over de mogelijkheid om nog striktere filtering op ADSL aan te bieden. Kennelijk zijn de meeste mensen zich er nog niet van bewust dat computers die via breedband permanent met het internet zijn verbonden, ook direct van buitenaf kunnen worden benaderd. Buitenstaanders kunnen op die manier virussen uitzetten, of trojans waarmee ongemerkt bulkmail kan worden verstuurd. Het zou goed zijn als XS4ALL hier via het netwerk bescherming tegen kon bieden, mogelijk zelfs alleen met een opt-out functie voor nieuwe klanten. Het grote aantal klanten en het grote volume aan ADSL-verkeer maken dat op dit moment echter onmogelijk. De netwerkapparatuur kan simpelweg niet al het verkeer filteren zonder alle ADSL verbindingen te vertragen naar een fractie van de huidige snelheden.

7.2 Spamfiltering

XS4ALL introduceerde op 20 december 2004 een nieuw onderdeel van de spamfilters, het SpamKenmerkenFilter. Dit filter bekijkt de inhoud van e-mails op kenmerken die veel voorkomen in spam e-mails. Komen er teveel van dit soort kenmerken voor, dan wordt de e-mail gezien als spam. Dit soort spamfiltering is lastiger dan de DNS-blocklisting die XS4ALL al sinds 2002 aanbiedt. Niet alleen is de grens tussen spam en niet-spam veel minder scherp, het is ook nog eens afhankelijk van de -voor een ISP onbekende- persoonlijke voorkeuren van de ontvanger.

XS4ALL heeft het SpamKenmerkenFilter optioneel gemaakt. Wat voor de ene klant goed werkt, kan voor de andere klant verkeerd uitpakken. Om te voorkomen dat klanten uit deze tweede groep gaan klagen over ontbrekende mail, zonder dat ze zich realiseren dat de mail mogelijk als spam is aangemerkt, heeft XS4ALL ervoor gekozen om het onmogelijk te maken dergelijke vermoedelijke spam automatisch te laten wissen. Het SpamKenmerkenFilter voegt een eigen kenmerk toe aan elke mail (in de header) met informatie over de redenen om de inhoud als spam aan te merken. Hoewel het bij dit filter niet mogelijk is om eigen trefwoordenlijsten aan te maken op de servers van XS4ALL, kan iedere klant de extra informatie uit de headers gebruiken om in zijn of haar eigen mailprogramma nog scherpere selectiecriteria te hanteren.

7.3 Statistieken

Sinds oktober 2004 houdt XS4ALL geaggregeerde statistieken bij, van de effectiviteit van de spam- en virusfilters. Uit het totaaloverzicht blijkt dat XS4ALL sinds die tijd vier grote viruspieken heeft gezien, in december 2004 en eind februari, begin mei en december 2005. In mei 2005 was meer dan 30% van alle e-mails besmet met een virus. De huidige stand van zaken is zichtbaar op http://www.xs4all.nl/veiligheid/ en http://www.xs4all.nl/veiligheid/statistieken.php.

8. Privacy en innovatie

XS4ALL besteedt veel aandacht aan innovatie. Via het innovatie-atelier, een los-vaste samenwerking tussen medewerkers met verschillende expertise, zijn er in 2004-2005 veel nieuwe diensten ontwikkeld. Voor dit verslag is vooral relevant of en hoe XS4ALL daarbij samenwerkt met derde partijen en of de diensten nieuwe soorten persoonsgevoelige gegevens of beveiligingsrisico's opleveren.

8.1 DSLTV

XS4ALL introduceerde in 2005 een nieuwe dienst, in samenwerking met een derde partij: DSLTV. Voor de levering hiervan stelt XS4ALL op papier informatie beschikbaar aan de stichting DSLTV, die de levering doet. Het gaat daarbij om de loginnaam en het IP-adres. Maar omdat de stichting de techniek en operatie volledig heeft uitbesteed aan XS4ALL, gaan er de facto geen individuele klantgegevens naar de stichting. Het enige dat de stichting krijgt, zijn de geaggregeerde kijkcijfers en aantallen klanten. De stichting heeft deze informatie nodig om af te rekenen met de kanalen die zij doorgeeft.

De log-gegevens van de DSLTV dienst worden bij XS4ALL op dezelfde manier behandeld als de log-gegevens van andere diensten. Ze worden alleen gemaakt om de technische en administratieve dienstverlening te waarborgen. Voor zover de logs verwerkt worden, gebeurt dat alleen in een geanonimiseerde en geaggregeerde vorm.

Het dilemma van de zichtbaarheid van individueel kijkgedrag is een nieuw probleem, specifiek voor IPTV-achtige diensten. XS4ALL had hier nooit eerder mee te maken. Individuele surfgegevens zijn bijvoorbeeld nooit zichtbaar voor XS4ALL medewerkers, omdat ze onderdeel vormen van de totale datastroom tussen aanbieders van diensten op internet en bezoekers. Hiervan houdt XS4ALL op geen enkele wijze een logfile bij.

XS4ALL heeft lang nagedacht over de beste constructie om de privacy van kijkers te beschermen, en is ervan overtuigd dat de huidige oplossing, om de gegevens in eigen beheer te houden, de beste is.

8.2 GPRS/UMTS

De ontwikkeling van mobiele datadiensten via GPRS en UMTS is in 2004-2005 langzaam verlopen. XS4ALL heeft slechts een gering aantal klanten dat van deze dienst gebruik maakt. Wel is duidelijk dat KPN alleen het verkeer doorgeeft en dat de privacy-clausule voor ADSL van gelijke toepassing is op deze diensten. Bij deze diensten blijft XS4ALL ook zelf (via de KPN Infodesk) aanspreekpunt voor opsporingsbehoeften.

8.3 Voice over IP

Eind december 2005 is XS4ALL begonnen met het leveren van een VoIP dienst aan klanten. De infrastructuur wordt door B3G geleverd, een Frans bedrijf. XS4ALL verstrekt daarbij alleen een telefoonnummer, niet de achterliggende Naam-Adres-Woonplaatsgegevens.

B3G houdt veel meer gegevens bij over het belgedrag dan XS4ALL op dit moment nodig heeft. Het gaat om gegevens die nodig zijn om een gespecificeerde rekening te kunnen leveren. Die 'overtollige' gegevens werden op 31 december 2005 nog niet door XS4ALL verwerkt. (Op 1 april 2006 is de dienst uitgebreid met een kostencomponent, waar deze gegevens wel voor worden gebruikt.)

Ten aanzien van de bescherming van persoonsgegevens bepaalt XS4ALL weliswaar contractueel alle voorwaarden, maar zijn nog niet alle afspraken op papier gezet, bijvoorbeeld over het verwijderen van gegevens over het belgedrag nadat de factuur is voldaan. Ook is er een probleem met afgeschermde nummers; deze komen zoals het er nu uitziet, toch op de gespecificeerde rekening te staan. Dat zou niet moeten gebeuren. Ten aanzien van het afhandelen van klachten over eventueel misbruik hoopt XS4ALL de afspraken ook verder aan te scherpen; op dit moment belooft het bedrijf klachten 'volgens de standaardpraktijk' af te handelen.

Om complexe onderhandelingen te voorkomen over Franse wetten en regels, neemt XSALL ook bij deze dienst zelf de volledige verantwoordelijkheid voor het uitvoeren van bevelen van (Nederlandse) justitie of inlichtingendiensten.

8.4 Podcasting

In 2004-2005 heeft XS4ALL Podcasting geïntroduceerd. Net als bij andere nieuwe diensten, verwerkt XS4ALL gegevens alleen op een geaggregeerd niveau. Maar bij Podcasting kunnen gebruikers een persoonlijk favorietenlijstje opgeven bij XS4ALL. Daardoor ontstaat een nieuwe categorie privacy-gevoelige gegevens; over de inhoudelijke interesse van klanten. Het privacy-reglement is hierop uiteraard van toepassing; XS4ALL gebruikt de gegevens niet voor een ander doel dan waar de klant ze voor geeft.

8.5 Jabber

Jabber is een dienst die door XS4ALL wordt aangeboden voor secure instant messaging. De dienst is gebaseerd op een open protocol, in tegenstelling tot bijvoorbeeld instant messaging via AOL of het Microsoft netwerk. Via de Jabber server zoals die bij XS4ALL is aangewend, kunnen klanten gebruik blijven maken van hun bestaande instant messaging services en contactlijsten. Jabber zorgt voor een beveiligde verbinding van de klant naar XS4ALL, niet voor totale versleuteling van gebruiker naar gebruiker (end-to-end encryptie). De dienst wordt door een paar honderd klanten gebruikt. Vanuit een beveiligingsperspectief vallen er vraagtekens te plaatsen bij de dienst; het is alleen beveiligd zolang twee XS4ALL klanten met elkaar via de XS4ALL Jabberserver communiceren. Zodra ze gebruik maken van externe chatmogelijkheden, vervalt de encryptie. Het beveiligingsrisico is er in gelegen dat gebruikers ten onrechte alle communicatie via deze server veilig achten. Dat geldt overigens niet alleen voor de XS4ALL implementatie, maar voor alle partijen die een dergelijke 'secure' instant messaging dienst aanbieden, zoals bijvoorbeeld Google.

9. Beveiliging gegevens

In het interne tweewekelijkse beveilingsoverleg is een aantal incidenten behandeld met relevantie voor dit privacy-jaarverslag. Naast het incident met de USB stick (zie 4.1, samenwerking met derde partijen), heeft XS4ALL in 2005 te maken gehad met een hack-incident, een discussie over het opvragen van 06 nummers van klanten, een beveilingsfout in de XS4ALL web shop en de wens van beheer om een 'sniffer' te installeren.

9.1 Hackincident

In augustus 2005 bleek een aantal dedicated hosting servers van klanten te zijn gehackt. Dit zijn machines die door XS4ALL worden beheerd en beveiligd. De oorzaak was in alle gevallen een kwetsbaar CGI-script. Het script gaf derden op klant-niveau toegang tot de machine, en alle data die de machine bevatte. Het misbruik bleef gelukkig beperkt tot het online komen van IRC-bots. Dit werd snel ontdekt en verholpen. Het beveiligen van CGI-scripts, web-programma's die klanten zelf installeren, valt buiten de verantwoordelijkheden van XS4ALL. Ten eerste zijn de scripts eigendom van de klant en heeft XS4ALL er niets in te zoeken, en ten tweede kan XS4ALL moeilijk garanties geven voor de vele CGI scripts die er op het internet beschikbaar zijn. Toch is het duidelijk dat XS4ALL niet van klanten kan verwachten dat zij voldoende weten over het beveiligen en up-to-date houden van CGI scripts. XS4ALL is nog op zoek naar een goede aanpak van dit probleem.

Bij het onderzoeken en oplossen van het hack-incident kwam een ander probleem aan het licht: een gebrekkige procedure om machines over te dragen aan nieuwe klanten. Er werd niet altijd grondig genoeg gewist, zodat scripts van een vorige klant nog op de server aanwezig konden blijven. Na dit incident werd er binnen 4 weken een nieuwe procedure ingesteld. Na opzegging wordt er een (tijdelijke) aparte back-up gemaakt van de inhoud van de server. Van de server zelf worden zowel website als besturingssysteem volledig gewist voordat de machine aan een nieuwe klant wordt toegewezen.

9.2 Opslaan 06-nummers

De helpdesk van XS4ALL krijgt veel vragen van klanten over (vergeten) wachtwoorden. XS4ALL kan de wachtwoorden op geen enkele manier zien en heeft sinds de oprichting in 1993 een vaste procedure om klanten een nieuw wachtwoord te geven. De klant moet een kopie van zijn of haar identiteitsbewijs naar de helpdesk faxen. Deze procedure kost zowel de helpdesk als de klant veel tijd. In het beveiligingsoverleg waren alternatieven aan de orde om klanten zelf hun wachtwoord te laten vervangen. Een mogelijkheid is de combinatie van een kloppende callerid, relatienummer en datum van de laatste afschrijving van de factuur. Maar ook het uitwisselen van een SMS via het 06-nummer van de klant zou een goed alternatief kunnen zijn. Dit riep de vraag op in hoeverre XS4ALL systematisch 06-nummers van klanten wil vragen en opslaan. XS4ALL heeft altijd zo min mogelijk gegevens gevraagd, zelfs niet geboortedatum of geslacht, omdat het niet strikt noodzakelijk is voor de dienstverlening. Het gebruik van 06-nummers kan echter heel nuttig zijn in het kader van SMS-notificatie of -in de toekomst- het goedkeuren van een transactie.

Tegelijkertijd neemt XS4ALL daarmee de verantwoordelijkheid voor een nieuwe set gegevens die weer interessant kan zijn voor de opsporing. De werkgroep besloot uiteindelijk om geen nieuw beleid te maken, maar wachtwoordvragen van geval tot geval te laten behandelen door een kritische groep helpdeskmedewerkers. Zij mogen dus, als zij dat zinnig en verantwoord vinden, improviseren.

9.3 Lek in XS4ALL webshop

Rondom het 12,5 jarig jubileum opende XS4ALL een eigen webshop, waarbij klanten online een gratis t-shirt konden aanvragen. Via de nieuwsgroep xs4all.general kwam aan het licht dat er een lek in de (SQL) programmering zat. Wie een aantal foute tekens invoerde in het bestelformulier, kon in de database zelf binnendringen en bijvoorbeeld alle adresgegevens van klanten achterhalen die een t-shirt hadden besteld of zelfs alle adresgegevens in de database wissen. De webshop werd onmiddellijk offline gehaald. Na evaluatie bleek dat de webshop door de hoge werkdruk gebouwd was door webprogrammeurs zonder overleg met de systeemprogrammeurs. Er kwamen bovendien nog andere fouten aan het licht met cross-site scripting en bestandspermissies. Na aanpassingen ging de webshop enkele dagen later opnieuw live.

Naar aanleiding van dit incident doen de systeemprogrammeurs sinds die tijd eerst een audit op de code en kijken ze of voldaan is aan alle voorwaarden van een security checklist voordat een nieuwe tool of site online gaat. XS4ALL heeft een extern software-security bedrijf opdracht gegeven om een audit te doen op de belangrijkste stukken software. Aan de hand daarvan wordt er een cursus 'veilig programmeren' gegeven. XS4ALL verwacht daarbij overigens niet dat de audit grote problemen aan het licht brengt, maar neemt liever het zekere voor het onzekere.

9.4 Sniffer

In december 2005 kwam vanuit systeembeheer het verzoek om een sniffer te mogen installeren in het netwerk, specifiek om het verkeer van gecolocate machines in de gaten te kunnen houden. Het doel was (structurele) probleemdiagnose. Dit verzoek werd afgewezen. Vanuit privacy-perspectief zou dit alleen zijn toegestaan als klanten er op voorhand expliciete toestemming voor zouden geven. Dan zou de doelstelling nog specifieker moeten zijn, bijvoorbeeld diagnose na melding door de klant van een beveiligingsprobleem dat waarschijnlijk alleen met sniffen valt op te lossen, en niet met minder ingrijpende middelen. Een ad-hoc oplossing met gebruik van standaard UNIX programma's voor het verkeer van 1 specifieke klant ligt daarbij meer voor de hand dan een structurele.

10. Conclusie

Het vorige privacy-jaarverslag stelde dat het goed zat, met de privacy bij XS4ALL. Wel waren er twee belangrijke gebreken en een aandachtspunt. Van de twee gebreken is er één, het beschikbaar zijn van alle accountnamen, inmiddels opgelost. De ander, het niet verwijderen van oude NAW-gegevens van klanten, blijft een zorgpunt. De hoge werkdruk binnen het bedrijf en het verlangen om tegemoet te komen aan innovatie-verwachtingen van de klanten en van KPN hebben het oplossen van dit probleem teveel vertraagd.

Het aandachtspunt betrof de professionalisering bij XS4ALL. Naarmate XS4ALL blijft groeien, en naarmate XS4ALL met meer partijen samenwerkt, zij het vanwege uitbesteding van werkzaamheden of vanwege de levering van een gezamenlijke dienst, wordt het belang van duidelijke procedures en uitgangspunten steeds groter. Procedures en uitgangspunten worden gestaag verder geformaliseerd en vastgelegd, maar ook waar ze nog niet beschreven zijn, zijn ze wel duidelijk bij de medewerkers. De kennisoverdracht binnen het bedrijf is goed genoeg om op deze manier te werken. Ook het besef van privacy en verantwoordelijkheid is uitzonderlijk hoog, in heel het bedrijf.

Een bijkomend aandachtspunt voor XS4ALL is de verschuiving in de wetgeving en wetshandhaving. De wets- en beleidsveranderingen van de afgelopen jaren beginnen nu hun effect te hebben, en het is nog onduidelijk welke kant het in de praktijk op gaat. XS4ALL is principieel tegen een groot aantal van deze veranderingen geweest, om verschillende redenen. Toch moet en zal XS4ALL aan de wet blijven voldoen. Het zal XS4ALL naar alle verwachting veel moeite en geld kosten om dit met goed geweten en met behoud van haar principes te doen, maar een goede dienstverlening staat voorop. XS4ALL hoopt hierin een voorbeeld te zijn en maatschappelijk debat aan te moedigen.

XS4ALL is met name bezorgd over de bewaarplicht en de gecentraliseerde informatiesystemen, zoals het CIOT moet gaan leveren. Ondanks de voorrang die de wet Vorderen Gegevens Telecom boven de Wet bescherming persoonsgegevens heeft, blijft XS4ALL de maatschappelijke verantwoordelijkheid dragen voor alle gegevens die verstrekt moeten worden, zeker aangezien correct gebruik van de faciliteiten vrijwel onmogelijk is. Ook twijfelt XS4ALL aan de bruikbaarheid van zo'n grote hoeveelheid gegevens, of zo'n enorme database z'n doel van het ondersteunen van opsporingsdiensten wel kan bereiken. Zo kan er uit een ongevraagde e-mail verstuurd naar een onschuldig persoon gemakkelijk een verkeerde conclusie getrokken worden.

Afgezien van de technische bezwaren ziet XS4ALL de nieuwe wetten als een gevaar voor de vrije meningsvorming en -uiting. Zelfcensuur ligt op de loer. Zo ver lijkt het nog niet te zijn, maar het is wel degelijk een reëel gevaar. Gelukkig zijn er ook signalen van maatschappelijke inkeer. De afgelopen maanden zijn er in de media kritische vragen gesteld over het gemak waarmee vertrouwelijke informatie in verkeerde handen is gekomen, via een rondzwervende USB-stick of via al te behulpzame of nieuwsgierige ambtenaren. Daarmee is wederom duidelijk geworden dat de bescherming van persoonsgegevens wel degelijk van het grootste belang is voor ieders veiligheid.