Privacyjaarverslag 2008-2010

Door Menno Mulder, Functionaris voor de Gegevensbescherming en Privacy Officer van XS4ALL, d.d. 31 december 2010.

Sinds 2003 heeft XS4ALL een Functionaris voor de Gegevensbescherming (FG). Een FG is een bij het College Bescherming Persoonsgegevens aangemelde interne toezichthouder, die toeziet op de toepassing en naleving van de Wet bescherming persoonsgegevens. Bij XS4ALL is de FG ook Privacy Officer. De Privacy Officer van XS4ALL helpt het privacybeleid van de organisatie vorm te geven en houdt toezicht op gegevensverwerking en privacyissues die niet onder de Wbp vallen.

Dit jaarverslag beschrijft hoe XS4ALL in de periode van 1 januari 2008 tot 31 december 2010 is omgegaan met haar privacybeleid. De FG heeft de wettelijke verplichting om verslag van zijn werkzaamheden en bevindingen uit te brengen aan de directie. Omdat XS4ALL veel waarde hecht aan privacy en daarmee verband houdende transparantie, publiceert XS4ALL het privacyjaarverslag op haar website.


1. Inleiding

Dit is het vierde privacyjaarverslag van XS4ALL. In het eerste jaarverslag, over de periode 2003-2004, heeft XS4ALL haar principes uiteengezet. Inmiddels, in de jaren 10 van de 21ste eeuw, zijn de omstandigheden anders. Terwijl enerzijds burgers via sociale netwerken steeds meer over zichzelf lijken bloot te geven, is anderzijds de discussie over het belang, de waarde en de noodzaak van privacy niet meer uit het publieke debat weg te denken. Internet en de ontwikkeling van technische mogelijkheden spelen daarbij een belangrijke rol. In een omgeving waarin klanten en hun wensen veranderen, waarin een overheid nieuwe regels oplegt en waarin technisch steeds meer kan, verandert de positie van de internetaanbieder. Dat geldt ook voor XS4ALL. Vrijheid, veiligheid en privacy zijn maatschappelijke thema's waar we veel waarde aan blijven hechten, maar dat neemt niet weg dat veranderingen soms noodzakelijk zijn. Sommige veranderingen zijn opgelegd, voor andere hebben we na zorgvuldig beraad zelf gekozen. In dit jaarverslag schets ik graag de wijze waarop we de afgelopen drie jaar met de invulling van ons privacybeleid bezig zijn geweest.

2. Nieuwe privacyverklaring

De meest directe aanleiding om de oude privacyverklaring te vervangen was nieuwe wetgeving. Op 15 maart 2006 heeft het Europees Parlement de Richtlijn dataretentie (nr. 06/24/EG) ondertekend, waarin bepaald is dat aanbieders van elektronische diensten verplicht gesteld worden om een bepaalde lijst van telecommunicatiegegevens gedurende een bepaalde periode te bewaren. Deze richtlijn heeft geresulteerd in de Wet bewaarplicht telecommunicatiegegevens die op 1 september 2009 in werking is getreden. XS4ALL heeft zich altijd uitgesproken tegen dataretentie, maar houdt zich uiteraard aan de wet.

Ook wat betreft de samenwerking met derde partijen voldeed de oude privacyverklaring niet meer. Taken die niet tot de kernactiviteit van een internetaanbieder behoren, zoals installatie van modems op klantlocatie, worden uitbesteed.

Behalve de hierboven genoemde veranderingen, waren er ook vanuit de organisatie wensen om de privacyverklaring te veranderen. De oude privacyverklaring stond op gespannen voet met de wijze waarop onze marketing- en communicatieafdeling klanten graag benadert. Ook waren er klanten die het jammer vonden dat XS4ALL niet meer inspanningen leverde om de relatie te versterken. Met beperkte contactmogelijkheden is dat moeilijk.

Om tot een privacyverklaring te komen die intern en extern voldoende draagkracht heeft, en die de toets van verandering een aantal jaar kan doorstaan, is een zorgvuldig uitgedacht veranderingstraject gekozen. Aan de afdeling marketing en communicatie is gevraagd welke ruimte zij in een privacyverklaring nodig dachten te hebben. Aan klanten die verschillende groepen uit de samenleving vertegenwoordigen is middels kwalitatieve diepte-interviews gevraagd welke privacywensen zij belangrijk vinden. De kern van het resultaat van het klantonderzoek is dat klanten juist verwachten van XS4ALL dat ze klantspecifieke gegevens gebruikt om dienstverlening te optimaliseren. Verder gaven klanten aan dat het delen van klantdata met derde partijen alleen toelaatbaar is als afspraken met betrekking tot de bescherming van gegevens goed zijn geregeld. Iedere medewerker van XS4ALL heeft mogelijkheid en gelegenheid gekregen om door deelname in werkgroepen (onder begeleiding van gespecialiseerde juristen) het nieuwe privacybeleid mede te bepalen. Met de bevindingen uit de werkgroepen is een privacyverklaring geformuleerd. Deze privacyverklaring is vervolgens door juristen getoetst en aan de Ondernemingsraad voorgelegd. Na beraad en een enkele aanpassing is de nieuwe verklaring door het managementteam van XS4ALL akkoord bevonden. Per 15 januari 2010 is de vernieuwde privacyverklaring van kracht.

In de huidige privacyverklaring conformeert XS4ALL zich aan de volgende principes:

  • We houden ons aan de wet.
  • We zijn transparant. Dus, ja: we verwerken gegevens, maar we doen daar niet geheimzinnig over.
  • We gaan veilig en zorgvuldig met persoonlijke gegevens om.
  • Klanten geven zelf aan of en via welk medium ze door ons benaderd willen worden.
  • Wanneer we samenwerken met derde partijen, zorgen we ervoor dat zij net zo zorgvuldig met onze persoonlijke data omgaan, als dat wij zelf doen.
  • We blijven ons voor het belang van privacy inspannen in het publieke debat.
  • We gaan zorgvuldig en nauwkeurig om met verzoeken vanuit justitie.

Via e-mail is de gehele klantenbase van XS4ALL in december 2009 over de wijziging van de privacyverklaring geïnformeerd. Met de wijziging hebben klanten op grond van 'voorwaardenwijziging' de mogelijkheid gekregen om de overeenkomst met XS4ALL te ontbinden. Van die mogelijkheid is nagenoeg geen gebruik gemaakt. Inhoudelijk hebben klanten niet in groten getale op de nieuwe privacyverklaring gereageerd. De meest voorkomende vragen hadden betrekking op de lengte van de verklaring.


3. KPN

XS4ALL is een volle dochter van KPN. Dat betekent dat KPN volledig eigenaar van XS4ALL is. Het houdt echter niet in dat KPN volledige beschikking heeft over persoonsgegevens waar XS4ALL verantwoordelijkheid over draagt. XS4ALL bewaakt haar eigen privacybeleid, zoals dat verwoord is in de privacyverklaring. In de praktijk betekent dit dat in bewerkingsovereenkomsten KPN benaderd wordt als zijnde een derde partij. Net als met andere derde partijen worden met KPN strikte afspraken gemaakt over doelbinding en duur aangaande verwerking van persoonsgegevens van XS4ALL klanten. Dat is bijvoorbeeld het geval bij het leveren van DSL-diensten. De aparte privacyclausule, waarin KPN garandeert dat de gegevens van XS4ALL-klanten niet voor andere doeleinden gebruikt mogen worden dan het leveren van "De Dienst" is nog onverminderd van kracht.

De samenwerking met KPN is in de achterliggende periode geïntensiveerd. In het kader van kostenbesparing en gezamenlijke belangen zijn afspraken met elkaar gemaakt. Dat heeft tot de volgende punten geleid:

Afspraak met betrekking tot werving van nieuwe klanten.

Met het ingaan van de nieuwe privacyverklaring per 15 januari 2010 kunnen XS4ALL-klanten uitgesloten worden van wervingsacties door KPN. Maandelijks ontvangt KPN via een beveiligde verbinding een lijst met postcodes en huisnummers van waarmee ze de mogelijkheid heeft om XS4ALL klanten te filteren. Het doel van deze verwerking en de wijze waarop daar uitvoering aan gegeven dient te worden is vastgelegd in een specifieke convenant dat door de directies van KPN en XS4ALL is ondertekend.

Verandering Incassoproces.

Begin 2010 zijn de voorbereidingen in gang gezet die de overstap naar het incassosysteem dat KPN gebruikt mogelijk maakt. Het incassosysteem dient om de diensten die XS4ALL levert te factureren en te incasseren. Met de overgang worden alle gegevens die betrekking hebben op het betalingsverkeer tussen XS4ALL en haar klanten overgebracht naar een administratief systeem dat KPN beheert. Met ingang van 4 oktober 2010 is het nieuwe incassosysteem actief. Het doel van de aanpassing is om debiteurenbeheer en betalingsverwerkingen efficiënter en sneller te verwerken. Voor deze verwerking is met KPN een bewerkerovereenkomst gesloten waarin KPN zich formeel aan alle (privacy)wet- en regelgeving conformeert en expliciet ook aan de privacyverklaring van XS4ALL.

Participatie aan KPN stuurgroep.

De Privacy Officer van XS4ALL zit in een stuurgroep van KPN die zich bezig houdt met het beheersbaar houden van privacyissues waar de KPN Holding mee te maken kan krijgen. Een van de doelen is het vergroten van de privacy awareness van alle KPN-medewerkers.

4. Business Transformatie

Om beter op de toekomst voorbereid te zijn, is XS4ALL in juli 2009 begonnen met het zogenoemde project AsteriXS. AsteriXS is de interne naam die XS4ALL heeft gegeven aan het business-transformatieproject dat een nieuwe IT-omgeving mogelijk moest maken. De doelen van AsteriXS hadden betrekking op verbetering van ondersteunende processen en systemen. Met de nieuwe IT-omgeving zou XS4ALL nieuwe diensten sneller en efficiënter op de markt kunnen zetten. Daarbij vond XS4ALL het belangrijk dat de nieuwe IT het mogelijk maakte een vollediger klantbeeld te creëren ten behoeve van serviceverbetering, van up-sell en retentieaanbiedingen.

Tijdens het ontwikkelen van de nieuwe IT is een aantal functionaliteiten van het systeem getest. Deze testen zijn uitgevoerd met klantdata. XS4ALL is met de uitvoer van deze testen zorgvuldig te werk gegaan. De (test)verwerkingen hebben plaatsgevonden onder de strikte zorgvuldigheidseisen die XS4ALL aan al haar dataverwerkingen stelt. Met een externe partij is ruim een jaar aan de ontwikkeling van de nieuwe IT gewerkt. Echter, in de zomer van 2010 is besloten om het project om bedrijfseconomische redenen te stoppen. Vanuit het perspectief van de privacy is het niet doorgaan van de transformatie positief. Bij doorgang van het project hadden veel nog niet in kaart gebrachte risico's aangaande de ondersteuning van meerdere derde partijen, zoals applicatieleveranciers, onderzocht moeten worden. Er is nu besloten om de bestaande IT-infrastructuur van XS4ALL, die draait op systemen en servers die XS4ALL in eigen beheer heeft, voor nieuwe toepassingen geschikt te maken.


5. Webstatistieken xs4all.nl

Juist als internetaanbieder vindt XS4ALL de functionaliteit van haar website van groot belang. Om het functioneren van de website te verbeteren is het praktisch om het surfgedrag op de website van XS4ALL te bestuderen. Binnen XS4ALL is lang en uitvoerig gediscussieerd over de vraag of een provider die grote waarde aan privacy hecht de bezoekers op de eigen website mag volgen. Onder de absolute voorwaarde dat websitebezoekers de mogelijkheid moeten hebben het meetsysteem uit te zetten, is in 2009 besloten het gebruik van webanalyse mogelijk te maken. Op elke webpagina waarop XS4ALL meet, staat rechts onderin een oogje afgebeeld. Door op het oogje te klikken kan informatie over webstatistieken worden opgevraagd, en kan het meten aan, dan wel uit worden gezet. De metingen zijn gebaseerd op het IP-adres van de bezoeker. Het IP-adres wordt na ontvangst echter onmiddellijk omgezet in een geanonimiseerde code. Uiteindelijk zijn de verkregen gegevens dus niet meer te herleiden naar individuele klanten. In de loop van 2011 vind een evaluatie van de functionaliteit en werking van het meten plaats.


6. Regelgeving

Vanaf 2005 heeft XS4ALL strijdt gevoerd tegen de invoering van het wetsvoorstel Bewaarplicht Telecommunicatiegegevens. Vlak voordat het wetsvoorstel in de Tweede Kamer werd behandeld heeft XS4ALL de kamerleden een brief gestuurd waarin de belangrijkste argumenten tegen het wetsvoorstel nogmaals op een rij werden gezet. Na enkele vertragingen is het wetsvoorstel op 14 mei 2008 in de Tweede kamer behandeld. Op dinsdag 7 juli 2009 is de wet door de Eerste Kamer aangenomen. Op donderdag 9 juli laat XS4ALL een paginagrote advertentie plaatsen in de belangrijkste Nederlandse dagbladen. De advertentie toont een e-mail van Theo de Vries (directeur XS4ALL) aan de 'internetgebruiker'. In de e-mail laat Theo de internetgebruikers weten dat het moment van verplichte opslag is aangebroken. Uitgebreide informatie over de bewaarplicht en de strijd die XS4ALL daar tegen gevoerd heeft is te vinden op www.xs4all.nl/opinie.


7. Gebeurtenissen 2008 - 2010

Milton Mueller

XS4ALL heeft geld ter beschikking gesteld voor een leerstoel aan de faculteit Techniek, Bestuur en Management van de Technische Universiteit Delft. Op maandag 7 januari 2008 maakt TU Delft bekend dat deze stoel gevuld zal worden door Milton Mueller. Hij is benoemd als hoogleraar en zal zich richten op privacy en securityvraagstukken, met name op het gebied van mobiel internet. Op 17 oktober 2008 is de XS4ALL-internetprofessor na zijn oratie ingewijd en voor een periode van twee jaar toegetreden tot het college van hoogleraren van de universiteit.

Gidsvermelding

Met ingang van 6 maart 2008 kunnen klanten in het online Service Centre van XS4ALL aangeven of zij wel of niet met Bellen van XS4ALL telefoonnummer(s) in een telefoongids willen staan. Hiermee voldoet XS4ALL aan de wettelijke verplichting die daartoe gesteld is. De procedure die voor gidsvermelders is ontwikkeld is in overeenstemming met de privacy- en securityeisen van XS4ALL.

Nieuwe Telefooncentrale

Omdat de oude telefooncentrale niet meer aan de functionele eisen van XS4ALL voldoet, wordt op 19 mei 2008 overgestapt op een nieuwe telefooncentrale. De nieuwe centrale maakt gebruik van VoIP. Met de nieuwe telefooncentrale is XS4ALL beter in staat om telefonisch klantcontact te beheren. Er zijn mogelijkheden om telefoonnummers en verkeer op te slaan, te analyseren en te verwerken. De nieuwe centrale draagt bij aan een betere telefonische bereikbaarheid omdat het de inzet van medewerkers beter kan uitrekenen en voorspellen. Tevens is de digitale centrale voorbereid op een eventuele koppeling met de klantenadministratie. Het vastleggen van telefoongesprekken is met de nieuwe telefooncentrale mogelijk en eenvoudiger gemaakt.

Telefonisch klanttevredenheidsonderzoek

In augustus en september 2008 vindt een telefonisch klanttevredenheidsonderzoek plaats. Iedere klant die telefonisch contact met XS4ALL opneemt krijgt na afloop van het gesprek de (geautomatiseerde) vraag of hij/zij mee wil werken aan een telefonische enquête. Klanten die bereid zijn mee te werken worden na beëindiging van het gesprek door de telefooncentrale teruggebeld en kunnen drie vragen over de kwaliteit van de dienstverlening beantwoorden. De resultaten van het onderzoek zijn gebruikt om de dienstverlening te optimaliseren.

Nieuwe Privacy Officer

Vanaf 26 september 2008 is Menno Mulder de nieuwe Privacy Officer van XS4ALL. Na Thomas Wouters en Vincent Schönau is Menno de derde Privacy Officer van XS4ALL.

F.I.S.T.

FIST staat voor Forum voor Internetconnectie en Speciale Toegang en is een overlegplatform van internetaanbieders. Vanuit dit platform is een Taskforce ingericht die het overstappen van de ene naar de andere aanbieder voor consumenten moet vergemakkelijken. Met ingang van 5 januari 2009 kunnen klanten van de FIST-procedure gebruik maken. Middels de FIST-procedure kunnen klanten bij hun internetleverancier een overstap ID opvragen die de nieuwe leverancier kan gebruiken om de diensten bij de oude aanbieder te beëindigen. Daarmee hebben klanten de mogelijkheid om alle handelingen die nodig zijn om de overdracht te realiseren over te dragen aan de nieuwe aanbieder. Helaas voldoet de procedure niet onmiddellijk aan de privacy- en securityeisen van XS4ALL. Over de periode van 5 januari tot 20 februari is het e-mailverkeer tussen de betrokken providers nog niet versleuteld en voldoende beveiligd.

Stagiaires en toegang tot de klantenbase

In maart 2009 begeleidt de afdeling accounting een aantal minderjarige stagiaires (jonger dan 16) in het kader van hun opleiding. Het betreft een stageperiode van enkele weken. In eerste instantie krijgen de stagiaires dezelfde rechten als de vaste medewerkers van de afdeling. Op tijd worden afspraken gemaakt over de manier waarop de stagiaires onder toezicht van vaste medewerkers lichte administratieve werkzaamheden uit kunnen voeren. De stageperiode verloopt zonder incidenten.

Hoogverbruik Bellen met XS4ALL

Onbedoeld kan een telefoonrekening hoger uitvallen. Feitelijk ligt de verantwoordelijkheid voor zorgvuldig en weloverwogen gebruik van telefoondiensten bij de contractant van het betreffende telefoonnummer. Om onbedoelde kosten voor de gebruikers en de organisatie te beheersen, ziet XS4ALL het als haar taak om haar klanten zo goed mogelijk te beschermen. Om die reden onderzoekt en analyseert XS4ALL aspecten van het belgedrag van haar klanten. Het onderzoek concentreert zich op de hoogte van de telefoonrekening, en heeft het doel om tijdig in te grijpen wanneer er mogelijk iets mis is. Wanneer XS4ALL een significante verandering constateert, of wanneer een bepaalde gesprekskostenlimiet wordt overschreden, kan XS4ALL tot (tijdelijke) blokkering van telefoonnummer(s) besluiten.

Kredietcontrole

In de periode van 1 april tot 1 juni 2009 heeft XS4ALL een actie waarbij nieuwe DSL-klanten die kiezen voor een minimale contractduur van twee jaar in aanmerking komen voor een mini-laptop. Ervaringen in het verleden met acties waarin relatief dure welkomstgeschenken aangeboden worden, hebben geleerd dat zo'n actie kan uitnodigen tot misbruik. XS4ALL wil daarom vóór het aangaan van de verbintenis de mogelijkheid hebben om de kredietwaardigheid van nieuwe klanten te laten onderzoeken door gespecialiseerde bureaus. Tijdens de (online) aanmeldingsprocedures, worden potentiële nieuwe klanten nadrukkelijk op deze handeling gewezen.

Klantanalyse

Ten behoeve van efficiëntere marketing campagnes en voor verbetering van de dienstverlening wil XS4ALL een goed beeld hebben van haar klanten. Dat kan in combinatie met het privacybeleid tot conflicterende doelstellingen leiden. XS4ALL is zich daar terdege van bewust. Enerzijds hebben we het liefst zo weinig mogelijk gegevens van klanten. Populair gesteld: gegevens die er niet zijn hebben geen bescherming nodig. Anderzijds hebben we voor de ontwikkeling van nieuwe diensten, voor het vinden van de juiste toon, voor het vinden van passende doelgroepen en voor het leveren van een kwalitatief hoogstaande dienstverlening het liefst zo veel mogelijk informatie. Bij de aanvraag van diensten vraagt XS4ALL naar gegevens die noodzakelijk zijn om tot levering over te gaan. Voor de overige informatiebehoefte maakt XS4ALL gebruik van daartoe gespecialiseerde bureaus. Deze bureaus kunnen klantprofielen leveren die zijn gekoppeld aan postcode/huisnummercombinaties. Zo'n profiel geeft een indicatie van demografische, en socio-economische kenmerken, woonomgeving, levensstijl en mentaliteit van de bewoners achter de postcode/huisnummercombinaties. Ingekochte klantprofielen worden nooit blijvend verwerkt in de klantenadministratie. Afhankelijk van het vooraf beschreven doel, kunnen data-analisten van XS4ALL klantprofielen koppelen aan postcode/huisnummer combinaties van klanten. De gecreëerde lijsten worden in een afgeschermde omgevingen tijdelijk opgeslagen. Feitelijk hebben alleen de data-analisten zelf, en de beheerders van de databases toegang tot 'gekoppelde' klantinformatie.

ADSL van KPN vs Internet van XS4ALL

XS4ALL levert op dit moment nog steeds ADSL via een inmiddels verouderd portfolio. Dit betreft de dienst die ADSL van KPN genoemd wordt. Bij deze variant is de contractant niet alleen een contractuele verplichting aangegaan met XS4ALL, maar ook met KPN. De klant betaalt feitelijk apart voor het gebruik van het netwerk (aan KPN) en voor de toegang op internet (aan XS4ALL). XS4ALL ziet deze klantgroep het liefst overstappen naar de diensten uit het actieve portfolio. Bij deze diensten ontvangt de klant voor de internetdienst alleen nog facturen van XS4ALL. XS4ALL draagt in deze constructie zelf zorg voor de afdracht aan de netwerkleverancier.

De dienst uit het nieuwe portfolio is in de meeste gevallen veel voordeliger voor klanten; ze kunnen er kosten mee besparen, vaak wordt de verbinding sneller en nieuwe producten/diensten worden alleen via het nieuwe portfolio aangeboden. Om de klantgroep uit het oude portfolio vrijwillig te bewegen over te stappen naar de nieuwe worden ze intensiever door XS4ALL benaderd. Zo is het bijvoorbeeld mogelijk dat de IP-adressen van klanten uit de oude portfolio een ander beeld op de XS4ALL-website genereren, dan dat overige bezoekers te zien krijgen. Gezien het belang voor de organisatie en de betrokken klanten zelf, vindt XS4ALL deze vorm van doelgroepmarketing op de eigen website aanvaardbaar.

Wijziging Intern Privacybeleid

Op 14 oktober 2009 stemt de Ondernemingsraad in met het verzoek tot wijziging van het interne privacyreglement. De toepasbaarheid van het oude reglement bleek in de praktijk dermate onduidelijk, dat daardoor een situatie ontstond waarbij zowel medewerkers als management onvoldoende kaders hadden voor de uitvoering van het beleid. Het nieuwe reglement is tot stand gekomen na intensief overleg tussen de Ondernemingsraad en het Management Team, waarbij de Privacy Officer een adviserende rol heeft gespeeld. In een aantal situaties raken in- en extern privacybeleid elkaar, bijvoorbeeld bij het opnemen en opslaan van gevoerde telefoongesprekken.

Omdat vanuit Ondernemingsraad en Management Team vooral behoefte was aan duidelijke kaderzetting rondom de interne privacy, is het nieuwe reglement gebaseerd op twee documenten. In document '1' zijn grondslagen beschreven en in document '2' is middels artikelen bepaald hoe de grondslagen uitgewerkt dienen te worden.

Een belangrijke wijziging in het nieuwe reglement is dat de volledige vrijheid van de medewerkers toch in bepaalde mate ingeperkt kan worden als dat nodig is voor opleiding, coaching en beoordeling. Te denken valt daarbij aan het registreren van productiecijfers en het opnemen van telefoongesprekken. Belangrijke voorwaarde is dat medewerkers te allen tijde nauwkeurig en volledig worden geïnformeerd over mogelijke inbreuk op die persoonlijke levenssfeer (en over het doel van die inbreuk).

1-1-2

Aanbieders van elektronische communicatienetwerken en diensten die nummeridentificatie aanbieden, zijn volgens de wet verplicht om de NAW-gegevens van hun klanten aan te bieden aan de beheerders van alarmnummers voor publieke diensten. Feitelijk betekent dit dat XS4ALL de wettelijke verplichting heeft om klantgegevens over te dragen aan de hulpdiensten 1-1-2. Bij de overdracht van gegevens speelt op dit moment een issue; feitelijk zijn VoIP-telefoonnummers vanuit hun aard 'nomadisch', wat wil zeggen dat de gebruiker niet noodzakelijkerwijs gebonden is aan een vast adres. XS4ALL is met de betrokken partijen in overleg.

Afscheid Security Officer Scott A. McIntyre

Per 15 oktober heeft Security Officer Scott A. McIntyre na een periode van bijna 10 jaar afscheid genomen van XS4ALL. Met Scott verdwijnt niet alleen een uiterst bekwame en internationaal vermaarde Security Officer, maar ook een illustere en bewonderde collega. Omdat de bescherming van privacy staat en valt bij een zorgvuldige een veilige omgang met data vormt de Security Officer een belangrijke schakel in het beleid en de dagelijkse werkzaamheden van de organisatie. In de persoon van Jacques Schuurman heeft XS4ALL een waardige opvolger gevonden. Jacques start zijn werkzaamheden voor XS4ALL per 1 januari 2011. In overbruggende periode zijn de belangrijkste taken van de Security Officer waargenomen door een commissie van ervaren medewerkers en leidinggevenden, die structureel met elkaar over de lopende issues in overleg zijn.


8. Incidenten

Februari 2009

Ondersteunend callcenter print klantorders.

Een door XS4ALL ingeschakeld callcenter dat de Klantenservice ondersteunt maakt prints van de orders die klanten telefonisch hebben geplaatst. De prints worden verzameld en onbeveiligd op de bureaus bewaard. Het callcenter heeft voor deze methode gekozen om productiecijfers te meten. In goede gesprekken met management en medewerkers wordt duidelijk gemaakt dat deze handelingen niet in lijn zijn met het beleid van XS4ALL. De werkwijze wordt onmiddellijk gestopt.

1 mei 2009

Wijziging Algemene Voorwaarden

Per 1 mei zijn de algemene voorwaarden van XS4ALL gewijzigd. Door de wijziging van de voorwaarden is de inleiding van de op dat moment geldende privacyverklaring niet meer correct. De betreffende inleiding verwijst namelijk naar een artikel van de algemene voorwaarden dat is gewijzigd. Met andere woorden; de verwijzing in de inleiding van de privacyverklaring naar 'artikel 3' is onjuist. Met het inwerking treden van de nieuwe privacyverklaring op 15 januari 2010 is de fout verholpen.

12 november 2009

Clean Desk

Theo de Vries, directeur van XS4ALL, besluit tot een rondgang door het kantoor van XS4ALL om met eigen ogen vast te stellen hoe de medewerkers omgaan met de Clean Desk Policy. Naast een streng toegangsbeleid bij de ingang van het kantoor en afspraken over het encrypten van laptops en het locken van onbeheerde werkstations, dienen werknemers zorgvuldig om te gaan met stukken waar klantgevoelige informatie op staat. De directeur constateert dat de bedrijfscultuur van XS4ALL niet in alle gevallen in overeenstemming is met de eisen van de Clean Desk Policy. Dossiers, brieven van klanten, notities met telefoonnummers, en lijsten met gevoelige informatie worden in onvoldoende mate zorgvuldig en veilig opgeborgen. De medewerkers van XS4ALL wordt op indringende wijze verzocht tot grotere zorgvuldigheid, waarbij Theo de Vries aankondigt dat de controle op de Clean Desk Policy verscherpt wordt.

17 december 2009

Onderzoeksbureau nodigt XS4ALL klanten uit via e-mail.

In opdracht van XS4ALL stuurt een (extern) onderzoeksbureau een e-mail naar 1410 klanten. In de e-mail worden de klanten uitgenodigd om deel te nemen aan een Meet & Greet met XS4ALL om mee te denken over internetdiensten. In de e-mail worden gevoelige vragen gesteld over inkomen, gezinssamenstelling, beroep, opleidingsniveau en naam, adres en woonplaatsgegevens. Hoewel de betrokken klanten vooraf in het online Service Centre van XS4ALL hebben aangegeven geen bezwaar tegen marktonderzoek te hebben, past deze benadering via e-mail niet in het beleid van XS4ALL. Naar aanleiding van het incident zijn intern de bestaande afspraken opnieuw benadrukt en is lering getrokken. Van de 1410 respondenten is uiteindelijk 1 klacht gekomen, die conform het klachtenbeleid van XS4ALL is behandeld.

21 januari 2010

Printfout in brieven naar nieuwe klanten.

Een groep van 230 nieuwe klanten ontvangen een dubbelzijdig geprinte brief. De ene zijde is een brief aan klant A, op de andere zijde is de brief die voor klant B bestemd was geprint. Door de fout is een groep klanten in bezit gekomen van de logingegevens van een groep andere klanten. De betrokken klantaccounts zijn na ontdekking van de vergissing direct geblokkeerd en de betrokken klanten hebben nieuwe logingegevens gekregen.

4 maart 2010

Onvoldoende reactie op een inzageverzoek.

Op 4 maart vraagt een van onze klanten om inzage in de eigen persoonsgegevens. De wettelijke verplichting bepaalt dat aan zo'n verzoek binnen vier weken gehoor gegeven moet worden. Op 6 april laat de betrokken klant weten geen reactie te hebben ontvangen. Per omgaande ontvangt de klant een brief van XS4ALL met de gevraagde gegevens. De klant laat XS4ALL vervolgens weten de verstrekte gegevens onvoldoende te vinden en specificeert aanvullende vragen. Opnieuw handelt XS4ALL onvoldoende en moet de betrokken klant nogmaals zijn verzoek indienen.

In de praktijk ontvangt XS4ALL weinig inzageverzoeken. Het gevolg daarvan is dat de omgang met dergelijke verzoeken onvoldoende was ingeregeld en geborgd. Het incident heeft er toe geleid dat er inmiddels een proces en werkinstructies voor de behandeling van inzageverzoeken zijn gemaakt.

19 juni 2010

Fout bij aanbieding contractverlenging via machtigingskaart.

XS4ALL stuurt via de reguliere post een geselecteerde groep klanten een aanbieding om tegen een financiële vergoeding het contract met een jaar te verlengen. Wanneer klanten van de geboden mogelijkheid gebruik willen maken, kunnen ze dat door ondertekenen en opsturen van een voorgedrukte antwoordkaart kenbaar maken. Een van de bereikte klanten meldt dat de voorgedrukte machtigingskaart die hij heeft ontvangen, gegevens bevatten van een andere XS4ALL-klant die gevestigd is op een andere locatie. Na grondig onderzoek blijken er geen fouten gemaakt te zijn met de verwerking van adresgegevens. De externe partij die opdracht voor het drukwerk en de verzending heeft gekregen, heeft de aanbiedingsbrief en de machtigingskaart handmatig bij elkaar gevoegd. Klaarblijkelijk is hierbij een incidentele fout gemaakt. De betrokken klant is conform het klachtenbeleid benaderd en de 'klacht' is in goed overleg opgelost.

24 juni 2010

Klant meldt ongewenst benaderd te zijn door XS4ALL callcenter.

Een geselecteerde groep klanten is door XS4ALL telefonisch benaderd met een aanbod gebruik te maken van de dienst 'Internet en Bellen'. Een van onze klanten, aangemeld bij het Bel-me-niet-register (voorheen Infofilter), laat via een klacht weten zulk soort telefonische oproepen niet op prijs te stellen. Na onderzoek blijkt dat XS4ALL inderdaad verzuimd heeft een beperkte groep klanten te controleren op aanmelding bij het genoemde Bel-me-niet-register. Wettelijk is XS4ALL overigens niet tot deze controle verplicht, omdat er een (klant)relatie bestaat, maar de vergissing past niet in het privacybeleid. De verantwoordelijke afdeling van XS4ALL neemt maatregelen om soortgelijke vergissingen te voorkomen. De klacht van de klant is in goed overleg opgelost.

22 juli 2010

Klantverificatie

Medewerkers van klantcontactafdelingen constateren dat diverse teams anders omgaan met klantverificatie. Zo gebruiken medewerkers van de helpdesk andere verificatie mogelijkheden, dan bijvoorbeeld medewerkers van de klantenservice, of medewerkers van accountingteams. De oorzaak ligt in het feit dat de medewerkers van verschillende teams van verschillende informatiebronnen gebruik maken. Feitelijk voldoen alle medewerkers aan de geldende zorgvuldigheidseisen. De verschillende inwerkprogramma's of werkinstructies vergroten echter de kans op misverstanden tussen collega's onderling en tussen medewerker en klant.

5 oktober 2010

Onzorgvuldige doorgifte 'verhuistoken'.

Om een domeinregistratie van de ene naar de andere aanbieder te verhuizen, kan gebruik gemaakt worden van zogenoemde verhuistokens. Met zo'n token, een soort wachtwoord, kan de nieuwe hostingaanbieder de verhuizing van een domeinregistratie organiseren. Normaliter verstuurt XS4ALL de tokens via e-mail naar een adres waarvan met zekerheid gesteld kan worden dat de contractant daar de eigenaar van is. Op aangeven van een klant lijkt de verzending van één zo'n e-mail niet goed te verlopen. Een medewerker van de klantenservice besluit om die reden de code van de verhuistoken telefonisch door te geven, met het vervelende gevolg dat een domeinregistratie in handen komt van een onrechtmatige eigenaar. Na onderzoek blijkt dat geen van de betrokken partijen bewust fouten heeft gemaakt. XS4ALL is in staat om de situatie op relatief korte termijn te herstellen. Het incident wordt intern gebruikt om de al bestaande werkinstructies nogmaals dwingend onder de aandacht van de medewerkers te brengen.


9. Conclusies en aanbevelingen


Dit jaarverslag bestrijkt een periode van drie jaar. Dat is om evidente redenen onwenselijk. Bij privacybeleid zoals XS4ALL dat voorstaat, past het om jaarlijks publiekelijk verslag te doen. Daarom de aanbeveling om het proces van de totstandkoming van het jaarverslag dusdanig te borgen, dat jaarlijkse publicatie structureel wordt.

De strenge eisen die XS4ALL stelt aan de veiligheid en de zorgvuldigheid waarmee persoonlijke data verplaatst, dan wel verwerkt worden, kunnen de implementatie van nieuwe processen en/of werkwijzen vertragen. Dat vergroot het risico dat medewerkers die onder tijdsdruk werken, bewust of onbewust, kiezen voor minder veilige methoden. Bijvoorbeeld voor het verzenden van klantgevoelige data over een e-mailverbinding die niet versleuteld is. Of opslag van gegevens in een onbeveiligde kantoorapplicatie. Het wordt daarom aanbevolen om medewerkers van dusdanige instructies en hulpmiddelen te voorzien, dat veilige verwerking van gegevens vanzelfsprekend is.

De zwakste schakel bij veilige en zorgvuldige omgang met gevoelige data is de mens. Medewerkers moeten structureel getraind worden op het gebied van privacy awareness. Voorheen maakte een dergelijke training onderdeel uit van de interne opleiding die nieuwe medewerkers van XS4ALL tijdens hun eerste weken bij XS4ALL ontvingen. Een awarenestraining is echter niet alleen raadzaam voor nieuwe medewerkers, ook medewerkers die reeds langere tijd bij XS4ALL in dienst zijn kunnen er baat bij hebben.

De wijze waarop de klantcontactafdelingen van XS4ALL zogenoemde klantverificatie uitvoeren kan onderling verschillen. Dat komt onder meer omdat medewerkers van bijvoorbeeld een incassoafdeling over andere gegevens en middelen beschikken dan een helpdeskmedewerker. Om misverstanden te voorkomen is het daarom raadzaam om de wijze waarop klanten geïdentificeerd worden inzichtelijk en transparant te maken.