Privacyjaarverslag 2006-2007

Het College Bescherming persoonsgegevens (CBP) is belast met het toezicht op de naleving van de de Wet bescherming persoonsgegevens (Wbp). Daarnaast kunnen bedrijven zelf een interne toezichthouder aanstellen, de Functionaris voor de Gegevensbescherming (FG). XS4ALL heeft sinds 2003 een Functionaris voor de Gegevensbescherming. De FG houdt binnen XS4ALL toezicht op de toepassing en de naleving van de Wbp.

De FG ziet er op toe dat de wettelijke regels op het gebied van privacy worden nageleefd en dat XS4ALL dus op de juiste manier met de persoonsgegevens van haar klanten omgaat. Hij rapporteert als onafhankelijk orgaan over zijn werkzaamheden. XS4ALL hecht groot belang aan het rapport omdat het op een kritische manier kijkt naar onze organisatie en zo laat zien wat er goed gaat en wat verbeterd moet worden.

Dit is het derde publieke privacyjaarverslag van XS4ALL. Het brengt verslag uit over de periode 1 januari 2006 - 31 december 2007.

Inleiding

Dit is het derde privacyjaarverslag van XS4ALL. In het eerste jaarverslag, over de periode 2003 - 2004, heeft XS4ALL haar principes uiteengezet op het gebied van privacy en security en het daaruit voortvloeiende beleid ten aanzien van de verzameling, verwerking, uitwisseling en beveiliging van persoonsgegevens. Samen met dat verslag zijn de Functionaris voor de Gegevensbescherming (FG) en een duidelijk intern privacyreglement geïntroduceerd.

De Functionaris voor de Gegevensbescherming wordt in het kader van de Wet bescherming persoonsgegevens (Wbp) aangesteld als een toezichthouder op de verwerking van persoonsgegevens binnen een bedrijf. Bij XS4ALL is de FG ook Privacy Officer, die het privacybeleid helpt vormen en ook toezicht houdt op gegevensverwerking die niet onder de Wbp valt.

Het privacyjaarverslag 2006-2007 behandelt de volgende onderwerpen:

  • Ontwikkelingen bij XS4ALL
  • Ontwikkelingen regelgeving
  • Risico's door regelgeving
  • Gebeurtenissen 2006-2007
  • Conclusies en aanbevelingen

1. Ontwikkelingen bij XS4ALL


De nieuwe klant

Het hoeft geen betoog dat in de loop der jaren zowel de internetmarkt als het bedrijf XS4ALL veranderd zijn. Ook de klant van XS4ALL is veranderd. Naast de meer technisch georiënteerde internetters is er een grote groep nieuwe abonnees bijgekomen. Zij kiezen vooral voor XS4ALL omdat ze veel waarde hechten aan kwaliteit en betrouwbaarheid. Zij verwachten regelmatig geïnformeerd te worden door hun provider.

Klantonderzoeken

In 2006 en 2007 is de concurrentie op de ADSL-markt sterk toegenomen. Hierdoor verandert de behoefte van het bedrijf aan gegevens. Om de dienstverlening te kunnen verbeteren, zoekt de afdeling marketing naar mogelijkheden om de XS4ALL-klanten beter te leren kennen en vaker met hen in contact te komen. Ook de klant blijkt behoefte te hebben aan meer reguliere informatievoorziening op maat. XS4ALL investeert daarom steeds meer in klantonderzoeken en klantpanels.

CRM-systemen

In 2007 werken verschillende afdelingen van XS4ALL samen in workshops om te onderzoeken hoe XS4ALL haar dienstverlening aan klanten kan verbeteren. De conclusie is dat inzicht in de klant centraal staat. Bij de afdelingen met klantcontact is behoefte aan een centrale plek waar medewerkers alle gegevens omtrent hun contact met de klant opslaan. In september 2007 gaat de projectgroep CRM (Customer Relationship Management) van start, in samenwerking met Cap Gemini.

Medewerkers externe partijen

In toenemende mate zijn er bij XS4ALL mensen werkzaam die in dienst zijn van externe partijen. Bijvoorbeeld bij de inhuur van een callcenterbedrijf ten behoeve van de afdeling Service en Support. Hierbij zijn ook (persoons-)gegevens van klanten betrokken. Deze externe medewerkers krijgen een interne opleiding waarin XS4ALL speciaal aandacht besteedt aan de omgang met persoonsgegevens. Toch komt het voor dat deze opleiding minder intensief en indringend is dan voor eigen XS4ALL-medewerkers.

Verstrekking van gegevens aan derden

XS4ALL werkt steeds meer samen met externe partijen, zoals een incassobureau, een drukker, een marktonderzoekbureau en een netwerkleverancier. In alle gevallen maakt XS4ALL een duidelijk contract op, waarin de vertrouwelijkheid van de persoonsgegevens wordt geregeld. Het doel van de uitwisseling wordt ondubbelzinnig gedefinieerd en de gegevens mogen niet voor andere doeleinden gebruikt worden en dienen na gebruik te worden vernietigd. De gegevens mogen ook niet aan derden doorgegeven worden. De gegevensverstrekking gebeurt veilig, om te voorkomen dat gegevens onbedoeld in handen komen van derden. XS4ALL behoudt zich het recht op controle voor. Dit alles op straffe van een boete.

Security Awareness

De bedrijfsbrede Security awareness-cursus voor alle medewerkers heeft in 2007 opnieuw plaatsgevonden. Dit is een goed initiatief. De gekozen vorm blijkt voor verbetering vatbaar; omdat er voor veel medewerkers sprake is van een herhaling is het effect van interesse en betrokkenheid minder. Het blijft ook bij XS4ALL een uitdaging in voldoende mate 'awareness' te kweken en onderhouden.

Klachtenprocedure

Op 2 februari 2007 komt XS4ALL met een nieuwe klachtenprocedure die haar klanten en klagers duidelijkheid moet geven hoe XS4ALL om gaat met klachten over mogelijk onrechtmatige uitingen op internet. Naar aanleiding van juridische ontwikkelingen, zoals het arrest in de zaak Lycos-Pessers, is volgens XS4ALL het risico ontstaan dat providers gedwongen worden om gegevens over hun klanten te verstrekken. Doel van de klachtenprocedure is om dat te voorkomen.

De procedure voorziet in een anoniem contact tussen klager en de beklaagde. XS4ALL wil haar abonnees vooraf laten weten waar ze aan toe zijn bij een eventuele klacht. De beklaagde klant kan zelf zijn verantwoordelijkheid nemen. Ook de klager weet waar hij aan toe is. Dit voorkomt dat de klacht escaleert tot een onnodige juridische actie van de klager. Bovendien minimaliseert dit de kans dat XS4ALL wordt gedwongen om persoonsgegevens van de klant te overhandigen. Tot slot stelt de procedure een onafhankelijke commissie in die XS4ALL adviseert bij het beoordelen van omstreden materiaal.

De rol van XS4ALL is die van intermediair, waarbij de gebruikte criteria openbaar, transparant en toetsbaar zijn. Het is niet haar taak om haar klanten in de gaten te houden. Dat mag ook niet, op grond van artikel 15 van de E-commerce richtlijn. Volgens dit artikel mogen Europese lidstaten ISP's niet een algemene verplichting opleggen om toe te zien op de informatie die zij voor hun klanten doorgeven of opslaan, noch om actief te zoeken naar feiten of omstandigheden die op onrechtmatige activiteiten duiden. Waarschuwen mag wel.

De opzet van de klachtenprocedure is geslaagd. XS4ALL heeft in 2007 geen persoonsgegevens van klanten hoeven te overhandigen naar aanleiding van een klacht.

2. Ontwikkelingen regelgeving

Bewaarplicht

Met het wetsvoorstel Bewaarplicht Telecommunicatiegegevens moet de Europese Richtlijn Dataretentie in de Nederlandse Wet worden overgenomen. Het wetsvoorstel houdt in dat telecombedrijven van alle telecommunicatie tussen alle burgers de zogenaamde verkeersgegevens een periode van minimaal 6 en maximaal 18 maanden lang* moeten opslaan voor opsporingsdoeleinden. Wat zij precies moeten bewaren is niet in het wetsvoorstel zelf gedefinieerd, maar zal later in de vorm van een Algemene Maatregel van Bestuur worden gespecificeerd. Aanpassingen van de specificaties hoeven niet langs het parlement. Van transparantie of toezicht is nauwelijks sprake. Er is geen verplichting om verslag te doen van de hoeveelheden opgeslagen verkeer of aantallen bevragingen door de instanties die toegang zullen krijgen tot de gegevens.

XS4ALL heeft in 2006 en 2007 haar lobby tegen deze bewaarplicht voortgezet met de volgende bezwaren: het wetsvoorstel is ondemocratisch omdat specificaties op niet-democratische wijze worden vastgesteld. Het nut en de noodzaak van de bewaarplicht is door geen enkel onderzoek aangetoond. De grote hoeveelheid spam die hiermee zal worden opgeslagen maakt de meerderheid van gegevens nutteloos, slecht bruikbaar voor opsporingsdoeleinden en onnodig duur. Harmonisatie is een belangrijk doel van de Europese richtlijn en die is mislukt aangezien de lidstaten verschillende gegevens op verschillende wijze en voor verschillende opslagtermijnen opslaan. De kosten zijn onvoorspelbaar omdat niet duidelijk is welke gegevens exact moeten worden opgeslagen. De providers moeten onterecht voor de kosten van de opslag opdraaien. In het buitenland is dat anders waardoor oneerlijke concurrentie ontstaat met buitenlandse providers. En evaluatie van de wet ontbreekt.

*Op het moment van dit schrijven is inmiddels bekend dat de bewaarperiode is vastgesteld op 12 maanden.

College Bescherming Persoonsgegevens

Eind 2007 lanceert het CBP de website www.mijnprivacy.nl en brengt richtlijnen voor 'privacy op het web' uit. Die scheppen in veel voorkomende gevallen duidelijkheid voor betrokkenen, providers en beheerders van websites en online fora, en dat is een goede zaak.

CIOT

Sinds 1 september 2006 zijn internetproviders verplicht om, in het kader van onderzoek, persoonsgegevens van hun klanten te overhandigen aan het CIOT (Centraal Informatiepunt Onderzoek Telecommunicatie). Dit is conform het besluit Verstrekking Gegevens Telecommunicatie. Ruim veertig (bijzondere) opsporings-, inlichtingen- en veiligheidsdiensten mogen deze gegevens opvragen. Het gaat om persoonlijke informatie: adresgegevens behorende bij telefoonnummers, IP-adressen en e-mailadressen.

Aanbieders (ISP's) en Aanvragers (opsporings-, inlichtingen en veiligheidsdiensten) zijn door het CIOT aangesloten op het CIOT-informatiesysteem. Eenmaal per 24 uur leveren aanbieders een bestand met de wettelijk vastgestelde klantgegevens. De bestanden worden opgeslagen in één van de beveiligde omgevingen, de zogeheten black boxen. Aanbieders kunnen elkaars bestanden dus niet benaderen. Aanvragers hebben 24 uur per dag, 7 dagen per week rechtstreeks toegang via een eigen computerprogramma. Bevoegde autoriteiten kunnen hier hun informatieverzoeken doen. De aanvrager voert het informatieverzoek in in het programma, dat het doorstuurt naar de server bij het CIOT. Op de server wordt het verzoek anoniem gemaakt. Het verzoek gaat naar alle black boxen waar automatisch wordt gekeken of de gezochte informatie aanwezig is. Het antwoord gaat terug naar de server, die het doorstuurt naar het programma van de aanvrager. Dit hele proces is binnen tien seconden afgerond.

Een kanttekening bij dit proces is dat XS4ALL geen inzicht heeft in welke informatie onder welk wetsartikel uiteindelijk verstrekt wordt. Aanvragers kunnen verschillende soorten informatie opvragen onder verschillende wetsartikelen. CIOT gebruikt een webformulier dat de aanvrager alle beschikbare informatie teruggeeft dat volgens dat wetsartikel verstrekt mag worden. Daardoor kan het gebeuren dat de aanvrager veel meer informatie krijgt dan gevraagd is. Bovendien kan de aanvrager eenvoudig een ander wetsartikel selecteren dat toegang geeft tot meer of andersoortige informatie. XS4ALL heeft hier geen inzicht in. Ook is er geen andere, onafhankelijke partij die toezicht houdt op deze gang van zaken.

Het CIOT rapporteert middels een jaarverslag aan de Minister van Justitie. Dit jaarverslag is niet openbaar. Verzoeken van aanvragers die betrekking hebben op gegevens ouder dan 24 uur kunnen niet via het CIOT worden opgevraagd en moeten nog steeds bij de ISP's zelf worden opgevraagd.

Informatiebevriezing

Het wetsvoorstel Computercriminaliteit II in het Wetboek van Strafvordering is in 2005 gewijzigd. Een van de wijzigingen is artikel 126ui; bevriezingsbevel bij georganiseerde misdaad.

Als de politie vermoedt dat XS4ALL over informatie beschikt die in de loop van een onderzoek verloren kan gaan, kunnen zij een verzoek indienen om de gegevens voor een periode van maximaal 90 dagen te 'bevriezen'. In die periode kan de politie deze gegevens opvragen. De wet geeft geen uitsluitsel over welke data het hier precies betreft, het komt neer op alles wat op onze servers te vinden is. Bijvoorbeeld:

  • Inhoud van mailboxen op de XS4ALL-servers
  • Websites die gehost zijn op XS4ALL-servers
  • Alle logbestanden over de internetactiviteit van die gebruiker
  • Mailserver logs (wie stuurde mail aan wie en wanneer)
  • NAW-gegevens

Aan de ene kant is deze gang van zaken goed voor privacybescherming omdat de bevroren informatie veilig bij XS4ALL wordt bewaard en niet aan de politie wordt verstrekt, tenzij zij een verzoek daartoe indient. Als de politie de gegevens niet opvraagt worden ze vernietigd. Aan de andere kant levert dit veel werk op voor XS4ALL en heeft de politie mogelijke inzage in veel informatie gedurende lange tijd. Voor sommige van deze gegevens waren in het verleden hele speciale bevelschriften nodig - en dat kwam zelden voor. Met dit nieuwe artikel kan veel meer informatie opgevraagd worden.

3. Risico's door regelgeving

Als gevolg van de huidige regelgeving zijn twee risicovolle situaties gesignaleerd. Deze hebben niet tot incidenten geleid.

Verzoeken om klantgegevens

In plaats van middels de met Justitie afgesproken procedure via KPN Security, ontvangt XS4ALL van de politie ook faxverzoeken of telefonische verzoeken om NAW-gegevens van XS4ALL-klanten bij verschillende klantingangen zoals de receptie, de helpdesk en sales afdelingen. De medewerkers van XS4ALL zijn en worden geïnstrueerd om dergelijke verzoeken niet te beantwoorden en intern aan de juiste persoon door te zetten. Tot nu toe gaat dit goed, maar het risico bestaat vanzelfsprekend dat dit een keer mis gaat en een medewerker ten onrechte informatie verstrekt. Ook worden zo IP-adressen van verdachten van een misdrijf door derden aan medewerkers van XS4ALL kenbaar gemaakt. Hoewel de medewerkers geïnstrueerd zijn hier niets mee te doen, bestaat het risico dat medewerkers toch achter de identiteit van een dergelijke verdachte komen wat een grote inbreuk op de privacy vormt.

Risico op aftappen van een al afgesloten IP-adres.

Dit is mogelijk doordat de wettelijke tapverplichting langer is dan de periode waarin het IP-adres gereserveerd blijft. Als een klant opzegt of verhuist of om een andere reden een nieuw IP-adres krijgt, geeft XS4ALL zijn oude IP-adres weer vrij. Daarom kon het gebeuren dat een afgetapt IP-adres dat de klant niet meer gebruikte, afgetapt bleef worden tot het verzoek van de politie verstreken was. Dit probleem heeft XS4ALL opgelost met een combinatie van procedurele en technische maatregelen.


4. Gebeurtenissen 2006-2007

Mei 2006

Medewerker misbruikt klantgegevens

Een helpdeskmedewerker heeft gebruik gemaakt van een intern systeem met klantgegevens ten behoeve van een bedrijf voor computerreparaties. Dit bedrijf deed zich voor als een partnerbedrijf van XS4ALL. XS4ALL kreeg een klacht over een van haar monteurs en dit bleek de helpdesker te zijn die in naam van XS4ALL reparaties verrichtte bij klanten. De betreffende medewerker is ontslagen en naar aanleiding van het incident is bij alle helpdeskmedewerkers nogmaals met nadruk gewezen op het privacybeleid van XS4ALL.

September 2006

Onveilig e-mailverkeer

Een medewerker van onze financiële administratie verstuurt per onbeveiligde e-mail klantgegevens en facturen van klanten naar Zelos, een externe partij die voor XS4ALL facturen uitprint en verstuurt. Naar aanleiding van het incident zijn procedures en beleid opnieuw duidelijk gemaakt aan alle medewerkers op de afdeling.

Januari 2007

E-mail ten onrechte afgetapt

Door een softwarefout bij de leverancier is er te veel e-mail afgetapt en daardoor ook e-mail ten onrechte bij de behoeftesteller (opdrachtgever) afgeleverd. De behoeftesteller heeft die e-mail vernietigd en de bug is gerepareerd.

CIOT

XS4ALL gaat eenmaal per 24 uur een bestand met de wettelijk vastgestelde klantgegevens leveren aan het CIOT. Dit is conform het besluit Verstrekking Gegevens Telecommunicatie. Zie hierboven onder 'Maatschappelijke Ontwikkelingen'.

Februari 2007

Klachtenprocedure

Op 2 februari 2007 wordt de klachtenprocedure met betrekking tot onrechtmatig materiaal op websites van klanten geïntroduceerd en gepubliceerd. In het kader van deze klachtenprocedure kunnen NAW-gegevens worden verstrekt. Deze procedure is nog niet vermeld in het huidige privacyreglement van XS4ALL en zal daarin nog opgenomen moeten worden.

Klantonderzoek te groot

Een Helpdesk-klanttevredenheidsonderzoek bestrijkt 13.000 klanten. Dit strookt qua omvang niet met het privacybeleid: "Om toch de noodzakelijke informatie te verzamelen over de behoeftes van klanten, doet XS4ALL zeer incidenteel marktonderzoek onder kleine groepen klanten."

Frequentie klantonderzoeken

In korte tijd worden diverse onderzoeken onder klanten uitgevoerd, waarbij een aantal klanten vaker wordt benaderd. Dit strookt qua frequentie niet met het privacybeleid: "Om toch de noodzakelijke informatie te verzamelen over de behoeftes van klanten, doet XS4ALL zeer incidenteel marktonderzoek onder kleine groepen klanten."

Identiteit klant openbaar gemaakt

Een (externe) callcenter-medewerker plaatst een discussie, afkomstig van een interne mailinglist over een artikel van een journalist, op zijn weblog. Daarbij zijn persoonlijke klantgegevens openbaar gemaakt, hetgeen in strijd is met het privacybeleid van XS4ALL. De betreffende medewerker is in dienst bij een extern callcenter en is naar aanleiding van het incident niet meer ingehuurd door XS4ALL.

April 2007

Webshop niet veilig

Bij uitbesteding van een webshop aan een externe partij blijken de privacy- en security-zaken onvoldoende geregeld. Als XS4ALL een security-audit op het product doet, blijkt de privacy van de klant niet gewaarborgd. De externe partij krijgt de kans om dit te repareren; tot die tijd gaat de webshop niet online.

Augustus 2007

Klantgegevens verstrekt

Een helpdeskmedewerker verstrekt bij het beantwoorden van een vraag over een spamklacht ten onrechte de loginnaam behorende bij een betrokken IP-adres. IP-adressen zijn in veel gevallen indirect identificeerbare persoonsgegevens. Naar aanleiding van het incident zijn alle medewerkers nogmaals met nadruk gewezen op procedures en beleid omtrent privacy.

5. Conclusies en aanbevelingen

In het huidige privacyreglement en in de algemene voorwaarden van XS4ALL staat dat XS4ALL geen klantgegevens aan derden verstrekt, tenzij XS4ALL daartoe wettelijk is verplicht. Steeds vaker verstrekt XS4ALL echter klantgegevens aan derden in het kader van haar dienstverlening. In alle gevallen maakt XS4ALL een duidelijk contract op, waarin de vertrouwelijkheid van de persoonsgegevens wordt geregeld. Gezien het voorgaande dient het aanbeveling het privacyreglement en de algemene voorwaarden aan te passen aan de praktijk. Ook dient het aanbeveling bij de selectie van externe partijen waarmee XS4ALL wil samenwerken gestructureerd aandacht te besteden aan privacy-issues.

Door de komst van de klachtenprocedure voor mogelijk onrechtmatige uitingen op internet, worden niet meer enkel NAW-gegevens verstrekt op grond van een wettelijke verplichting maar in incidentele gevallen ook nadat aan alle voorwaarden die de klachtenprocedure stelt, is voldaan. Het dient aanbeveling het privacyreglement en de algemene voorwaarden ook hierop aan te passen.

Het wordt aanbevolen de inrichting van een CRM-systeem in het privacyreglement te vermelden.

In het kader van de bewaarplicht is het raadzaam alvast alle logfiles in kaart te brengen en vast te stellen hoe ze bewaard moeten gaan worden.