Privacyjaarverslag 2011

Door Cynthia Maasbommel en Menno Mulder


1. Inleiding

Dit is het vijfde publieke privacyjaarverslag van XS4ALL. Het brengt verslag uit over de periode 1 januari 2011 - 31 december 2011. Middels het privacyjaarverslag beschrijft de Privacy Officer van XS4ALL de wijze waarop invulling is gegeven aan de afspraken die in de privacyverklaring zijn geformuleerd. De Privacy Officer van XS4ALL is ook Functionaris voor de Gegevensbescherming. Door het aanstellen van een Functionaris voor de Gegevensbescherming heeft XS4ALL een interne toezichthouder die let op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp).

Een Functionaris voor de Gegevensbescherming (FG) is aangemeld bij het College Bescherming Persoonsgegevens (CBP) en aldaar opgenomen in een openbaar register. Een van de wettelijke taken van de FG is verslaggeving. De FG moet verslag uitbrengen aan de directie. Gezien de bijzondere waarde die XS4ALL aan de bescherming van privacy hecht publiceert ze het privacyjaarverslag ook op haar website.

In 2011 heeft XS4ALL haar portfolio uitgebreid met twee belangrijke diensten. In maart is Televisie van XS4ALL gelanceerd en in oktober Glasvezel van XS4ALL. In dit verslag wordt beschreven hoe XS4ALL met de privacyaspecten die aan deze diensten gerelateerd zijn is omgegaan. Daarnaast is de samenwerking tussen XS4ALL en KPN nauwer geworden waar het de facturering en incassering van haar diensten betreft. Deze drie onderwerpen zullen in het verslag specifiek aan bod komen. Vervolgens komen de gebeurtenissen en incidenten van 2011 aan bod en wordt besloten met conclusies en aanbevelingen.


2. Televisie van XS4ALL

Met ingang van maart 2011 biedt XS4ALL de dienst televisie aan. Deze dienst is gebaseerd op het Wholesale TV platform van KPN. Het beheer van de orderverwerking en de serviceverlening liggen volledig bij XS4ALL. KPN levert het digitale televisiesignaal van de individuele klanten van XS4ALL af op een bestemmingsnummer. Het is daardoor niet nodig dat XS4ALL voor het leveren van het televisiesignaal klantgegevens overdraagt aan KPN. Het is voor KPN onmogelijk om het kijkgedrag van individuele XS4ALL-klanten te bepalen of te verwerken. Hoewel het individuele kijkgedrag van XS4ALL-klanten voor KPN niet inzichtelijk is, zou KPN in theorie wel kunnen vaststellen wat het generieke kijkgedrag van XS4ALL-klanten is.

Vanaf september is het voor klanten die de dienst Televisie afnemen mogelijk om gebruik te maken van WebTV. Hierbij wordt gebruik gemaakt van streaming servers die in beheer zijn van KPN. Om een goed zenderaanbod te kunnen bepalen is er behoefte om kijkcijfers te delen met de contentpartijen. XS4ALL wil echter niet dat KPN de loggings van haar servers met andere partijen deelt zonder dat XS4ALL daar directe controle op heeft. XS4ALL staat toe dat kijkcijfers worden verwerkt als er een hoog aggregatieniveau gehanteerd wordt. Er mag geen klantkoppeling gemaakt worden en geen andere gegevens worden verzameld dan aantallen, tijdstip en zender. Daarom is er enerzijds een contract in ontwikkeling met KPN om te voorkomen dat KPN zonder expliciete toestemming gegevens deelt en anderzijds worden er werkzaamheden binnen XS4ALL gestart om kijkcijfers te delen op een manier die de privacy van onze klanten waarborgt. De verwachting is dat dit in 2012 is gerealiseerd.

Naast een groot zenderpakket biedt Televisie van XS4ALL de mogelijkheid tot Video on Demand (VoD). Met VoD kunnen klanten films, sportevenementen e.d. aanschaffen via het televisiesignaal. De aangeschafte producten worden via reguliere nota’s gefactureerd. Slechts een beperkte kleine en specifiek geselecteerde groep medewerkers van XS4ALL kan zien wat de titels zijn van de via VoD aangeschafte producten. Klanten kunnen zelf hun facturen inzien via het online Service Centre. Films waarvan de inhoud pornografisch is, worden gespecificeerd met de term adultmovie.

Bij de lancering van de dienst televisie was het om technische redenen niet direct mogelijk om meerdere televisies op één aansluiting te faciliteren. Om klanten met meerdere televisietoestellen toch van dienst te kunnen zijn, biedt XS4ALL klanten die Televisie van XS4ALL afnemen een korting op het gebruik van de dienst Digitenne van KPN. Wanneer klanten besluiten om van die korting gebruik te maken, gaan ze een overeenkomst aan met Digitenne. Tijdens de aanmeldprocedure dienen klanten hier expliciet mee akkoord te gaan.


3. Glasvezel

Sinds eind 2011 heeft XS4ALL het mogelijk gemaakt om internet via glasvezel aan te bieden aan haar klanten. Zij is hierbij afhankelijk van netwerkleverancier Reggefiber; de partij die de aanleg van het glasvezelnetwerk in Nederland verzorgt. Reggefiber gaat over tot aanleg van glasvezel op het moment dat zij verwachten dat er voldoende huishoudens in een bepaalde regio interesse hebben. Om dit te kunnen bepalen, heeft Reggefiber van alle service providers die glasvezel aanbieden de gegevens nodig van klanten die zich ingeschreven hebben voor glasvezel in vraagbundelingsgebieden. XS4ALL levert voor dit doel alleen postcode en huisnummer aan. Op het moment dat duidelijk is dat er voldoende interesse is, start Reggefiber met de aanleg van glasvezel.

Voor het aanleggen van de glas-aansluitpunten op klantlocatie maakt Reggefiber gebruik van onafhankelijke aannemers. Deze aannemers hebben klantgegevens nodig om een afspraak te kunnen maken met de klanten die glasvezel hebben besteld. Vanwege capaciteitsproblemen is het niet mogelijk dat XS4ALL deze communicatie zelf afhandelt. XS4ALL is daarom bezig met de implementatie van een inschrijving die het mogelijk maakt dat klanten zelf kunnen aangeven welke klantgegevens voor dit doel gedeeld mogen worden met Reggefiber, met uitzondering van de adresgegevens voor aansluiting en correspondentie. Voor de klanten die deze mogelijkheid niet hebben gehad, zal XS4ALL voor wat betreft gegevensdeling een besluit nemen die de privacy waarborgt. Alle gegevensuitwisseling vindt versleuteld plaats.

XS4ALL biedt haar klanten die een order plaatsen voor glasvezel kosteloos een gepersonaliseerd XS4ALL T-shirt aan met de tekst ‘XS4[uw naam]’. Het is het T-shirt dat centraal staat in de reclame-uitingen van XS4ALL. Het drukken en het verzenden van het T-shirt is uitbesteed aan een leverancier. De leverancier heeft de NAW- en contactgegevens van de betreffende klanten nodig om voor een correcte verzending zorg te dragen. Voor het bestellen van het T-shirt informeert XS4ALL de klant dat voor levering van het T-shirt persoonsgegevens gedeeld worden. Deze gegevensuitwisseling vindt versleuteld plaats. Om de privacy verder te waarborgen, is er met de leverancier een streng contract overeengekomen.


4. KPN

Dit jaar is nog intensiever samengewerkt met de incassoafdeling van KPN. De samenwerking was noodzakelijk om het werkaanbod aan te kunnen en om werkprocessen te verbeteren. De goede resultaten van deze samenwerking hebben bijgedragen tot het besluit om KPN-medewerkers structureel in te zetten bij het ondersteunen van facturatiewerkzaamheden van XS4ALL. Hiertoe hebben deze KPN-medewerkers toegang gekregen tot het XS4ALL-deel binnen het incassosysteem van KPN dat XS4ALL sinds 2010 gebruikt. Begin november zijn de fysieke werkplekken van de incassomedewerkers van XS4ALL verhuisd naar de incassoafdeling van KPN.

Om de privacy en security van onze klantgegevens zoveel mogelijk te borgen, is er een aantal maatregelen genomen. Zo dienen alle KPN-medewerkers die toegang hebben tot klantgegevens van XS4ALL een Code of Conduct en waar nodig additionele geheimhoudingsverklaringen te tekenen. Daarnaast moeten de KPN-medewerkers een verplichte sessie van de module Security en Veilig werken doorlopen en zijn er richtlijnen opgesteld over de omgang met klant- en bedrijfsgegevens. Technisch blijft er een scheiding tussen KPN- en XS4ALL-werkplekken. De XS4ALL-werkplekken worden uitgerust met encryptie, privacyschermen en afsluitbare ladenblokken. Klantgegevens in beheer van XS4ALL worden geprint op een printer die volledig bij XS4ALL in beheer is en waarop secure printing wordt toegepast. Via e-mail wordt er uitsluitend gecommuniceerd vanuit het xs4all.net domein.

Aanpassing privacyverklaring in ontwikkeling

XS4ALL overweegt de mogelijkheid om vanaf 2012 haar tweedelijns incasso activiteiten volledig uit te besteden aan KPN onder continuering van eerdere maatregelen ter bescherming van de privacy en security van onze klantgegevens. Formeel voorziet de huidige privacyverklaring hier reeds in. Er wordt namelijk gesteld dat XS4ALL gebruik maakt van de diensten van derde partijen. Incasso wordt genoemd als één van de werkzaamheden waar derde partijen bij betrokken kunnen zijn. Hierbij wordt gedoeld op het inschakelen van bijvoorbeeld een incassobureau. Daarnaast geeft de privacyverklaring al aan dat er persoonsgegevens aan KPN verstrekt worden als dit in het belang van de klant of XS4ALL is. Dit impliceert echter een geringere en meer incidentele samenwerking dan XS4ALL in 2012 voor ogen heeft. Daarom wil XS4ALL vanuit het oogpunt van transparantie haar klanten toelichten hoe het samenwerkingsverband met KPN vorm krijgt in 2012, zowel in het jaarverslag als in de privacyverklaring.


5. Gebeurtenissen

Remote modembeheer

XS4ALL streeft er naar om de kwaliteit van de verbindingen te optimaliseren. Dankzij technologische ontwikkeling is met Customer Premises Equipment (CPE, m.a.w.: modem op klantlocatie, SetOpBoxen voor digitale televisie, VoIP-telefoons ect) steeds meer mogelijk met betrekking tot remote-beheer. Middels TR-069 is het mogelijk om de technische prestaties van CPE te monitoren. Beheerders zijn met TR-069 in staat om op afstand in te loggen in een CPE en instellingen te wijzigen, problemen op te lossen en software te updaten met een minimale impact voor de eindgebruiker. Per februari zijn de modems die XS4ALL aan haar klanten in bruikleen stelt op deze techniek voorbereid. Vooralsnog verzamelt XS4ALL alleen gegevens over de kwaliteit van de internetverbinding. Op de publieke websitepagina’s van de helpdesk van XS4ALL wordt uitgelegd hoe klanten remote modembeheer kunnen uitschakelen. Wanneer XS4ALL meer met de TR-069 mogelijkheden gaat doen, zullen klanten daar uiteraard expliciet over worden geïnformeerd.

Planet Hosting Migratie

Per 1 januari 2005 is de Planet Media Group (PMG) volledig opgegaan in KPN Telecom BV. Per 1 juli 2008 is KPN gestopt met het voeren van de merknaam Planet. Vanaf dat moment is de verhuizing van Planet klanten naar KPN begonnen. KPN heeft er vervolgens voor gekozen om de hostingdiensten die onder het segment Consumenten Markt vielen onder te brengen bij XS4ALL. Na een lange voorbereidingsperiode is de migratie van de hostingklanten van PMG in mei van 2011 van start gegaan. Omdat de servicepakketten die PMG bij haar hostingdiensten leverde niet in alle gevallen overeenkomen met die van XS4ALL, is de migratie een gecompliceerd proces. Om de migrerende klanten zo goed mogelijk van dienst te zijn, heeft een geselecteerde groep medewerkers die in opdracht van XS4ALL bij het project betrokken zijn vergaande autorisaties, zoals een impersonate optie, gekregen om websites, domeinnamen en de daaraan gekoppelde e-mailadressen zo goed mogelijk te onderhouden en eventueel aan te passen naar de dienstverlening van XS4ALL.

Gedragscode XS4ALL medewerkers op Sociale Media

In voorkomende gevallen communiceert XS4ALL met haar klanten via sociale media sites. Voor medewerkers die zich in opdracht van XS4ALL op deze sociale media platformen bewegen is een Code of Conduct vastgesteld. In die gedragscode is expliciet benoemd dat uiterste zorgvuldigheid betracht moet worden bij de uitwisseling persoonsgebonden gegevens. Zo moeten XS4ALL medewerkers voorkomen dat klanten gevoelige gegevens zoals wachtwoorden en logingegevens delen via een platform dat niet in beheer is van XS4ALL. XS4ALL vraagt nooit om bijzondere gegevens en verwijst altijd naar goedgekeurde, betrouwbare en beveiligde informatiekanalen als overdracht van bijzondere gegevens toch noodzakelijk is.

Privacy Awareness training en Clean Desk Policy

Om voorbereid te zijn op de implementatie van de wet Meldplicht Datalekken is vanuit KPN een e-learningmodule ontwikkelt. Alle medewerkers van de KPN holding, inclusief de medewerkers van dochterbedrijven, zijn verplicht gesteld die training te volgen. XS4ALL heeft, om de KPN Holding tegemoet te komen, er de voorkeur aan gegeven om zelf een privacy & security training te ontwikkelen. Een klassikale training met nadrukkelijke interactie tussen cursusgever en cursist. Het is de verwachting dat in de loop van 2012 iedereen die in opdracht van XS4ALL werkzaamheden uitvoert deze XS4ALL training heeft gevolgd. Daarnaast stimuleert het management van XS4ALL de medewerkers in het ontwikkelen van awareness door periodiek onaangekondigde controles aangaande Clean Desk Policy uit te voeren. Met die controles wordt voornamelijk gelet op gevoelige informatie die onbeheerd op bureaus, printers of kasten is blijven liggen. De opzet is geslaagd. De bewustwording van medewerkers over privacykwesties is mede door de Clean Desk Policy vergroot.

Verhuizing naar Teleport Boulevard te Amsterdam

In het weekend van zaterdag 16 en zondag 17 juli is het kantoor van XS4ALL inclusief haar medewerkers verhuisd naar de Teleport Boulevard in Amsterdam-Sloterdijk. Iedere vrachtwagen die met eigendommen van XS4ALL onderweg is geweest, is begeleid door een XS4ALL medewerker om er op toe te zien dat er geen oneigenlijk gebruik van gegevens kon worden gemaakt. Omdat XS4ALL op de nieuwe locatie niet de enige gebruiker van het pand is, zijn speciale maatregelen genomen om ongewenst bezoek op de werkvloer te voorkomen. Zo kan men het pand alleen binnenkomen via de receptie of met behulp van een pas. Eenmaal binnen kan alleen toegang verkregen worden tot de burelen van XS4ALL met een geautoriseerde toegangspas. Met de verhuizing zijn de faciliteiten om uitvoer te geven aan de Clean Desk Policy verbeterd middels lockers, afsluitbare kasten en een strakker sleutelbeheer. Net als op de vorige locatie te Diemen zijn hardware en de daaraan gekoppelde verbindingen nog steeds volledig in beheer bij XS4ALL zelf.

De verhuizing en de daarop volgende inrichting van het pand waren grotendeels te volgen op de website via op afstand bestuurbare robotcameraatjes. De hoogte van de robotcameraatjes was maximaal ongeveer 20 centimeter waardoor het onmogelijk was om mee te kijken op de bureaus of om via de cameraatjes te lezen wat er op beeldschermen werd getoond.

Op het nieuwe vestigingsadres van XS4ALL wordt de binnenkomende post door een derde partij opengemaakt, beoordeeld op bestemming en vervolgens gescand en in elektronische vorm doorgestuurd naar de juiste ontvanger. Post voorzien van de aanduiding "vertrouwelijk", "persoonlijk" of "geheim” wordt ongeopend doorgestuurd naar geadresseerde binnen XS4ALL. Op de contactpagina op de website van XS4ALL staat deze handelswijze beschreven zodat verzenders weten wat er met hun post gebeurd en een mogelijkheid hebben om de afhandeling van post door de derde partij te voorkomen.

Inzage- en verwijderingverzoeken

Het afgelopen jaar heeft XS4ALL 12 inzageverzoeken gekregen van (ex)klanten die een beroep deden op artikel 35 van de Wet bescherming persoonsgegevens. De meeste indieners maakten gebruik van de hulp van de Privacy Inzage Machine (PIM), een initiatief van Bits of Freedom. Uit één daarvan is een verzoek tot verwijdering van de persoonsgegevens voortgekomen. Dit heeft geleid tot het bespreken van de mogelijkheden met onze systeemexperts van het handmatig verwijderen van gegevens met behoud van de systeemintegriteit en het voldoen aan wettelijke bewaartermijnen. Het is XS4ALL niet gelukt om dit verzoek tijdig in te willigen. Het verwijderingsverzoek is uiteindelijk eind 2011 afgerond. Naast het behandelen van dit individuele verzoek is er een project gestart om de systemen beter in te richten zodat toekomstige verzoeken professioneler en tijdiger afgehandeld kunnen worden. De verwachting is dat dit in 2012 meer vorm zal krijgen.

Nieuwe Privacy Officer

Per augustus 2011 heeft Cynthia Maasbommel de rol van Privacy Officer overgenomen van Menno Mulder. Begin december 2011 is Cynthia Maasbommel als Functionaris voor de Gegevenbescherming opgenomen in het register van FG’s van het CBP.

Workshop veiligheid & social media

Om kennis over internet met klanten te delen is de XS4ALL Academy opgericht. Door het jaar heen organiseert de XS4ALL Academy workshops met interessante sprekers over onder meer de volgende thema’s: internetgebruik, internetontwikkelingen, veiligheid van en op internet en de maatschappelijke kijk op internet. In november heeft XS4ALL klanten de mogelijkheid geboden een workshop te volgen over veiligheid en privacy op het gebied van social media. Tijdens de workshop veiligheid & social media is onder meer aandacht besteed aan ‘internet tracking’, het oogsten van hashtags en is stil gestaan bij de vraag in hoeverre social media sociaal zijn.


6. Incidenten

Januari

Wijzigen NAW-gegevens zonder toestemming van klant

Door een onduidelijke afspraak tussen twee teams van XS4ALL is een ex-partner van een klant erin geslaagd om een factuuradres te wijzigen. Medewerkers die dergelijke aanpassingen mogen uitvoeren, hebben de strikte instructie om de aanpassing alleen uit te voeren na correcte klantverificatie. In deze kwestie was de verificatie onvoldoende uitgevoerd omdat het wijzigingsverzoek is geaccepteerd door een medewerker van een team dat zelf geen wijzigingen mag aanbrengen. Met beide medewerkers is intensief gesproken en in beide teams is via de werkoverleggen het belang van klantverificatie nadrukkelijk onder de aandacht gebracht.

Februari

Opnemen uitgaand telefoonverkeer

Ten behoeve van coaching- en trainingsdoeleinden neemt XS4ALL gesprekken van inkomend telefoonverkeer op. Als XS4ALL gebeld wordt, dan wordt dit expliciet gemeld. In februari is de beslissing genomen om niet alleen het inkomend verkeer, maar ook het uitgaand verkeer op te nemen. Het management beoogde om niet alleen te coachen op binnenkomende telefoongesprekken, maar ook op de uitgaande. Medewerkers met klantcontact ontvangen namelijk niet alleen telefoongesprekken, maar bellen in voorkomende gevallen ook zelf naar klanten. In andere gevallen worden klanten intern doorverbonden naar een andere afdelingen en ook die gesprekken worden normaal gesproken niet opgenomen. Na beraad tussen Ondernemingsraad, management en de Privacy Officer is het opnemen van uitgaande gesprekken per direct en nog in februari weer gestopt. Ook bij uitgaande gesprekken vindt XS4ALL dat ze verplicht is de gebelde over de mogelijkheid van opnemen te informeren. Daarnaast vinden er via de telefooncentrale ook vertrouwelijke gesprekken tussen medewerkers onderling of tussen medewerkers en hun eigen kring plaats en het is wettelijk niet toegestaan die op te nemen. Naar aanleiding van dit incident zijn de procedures ten aanzien van wijzigingen in de telefooncentrale verscherpt.

Maart

Onbevoegd verplaatsen van een mailbox

Zonder toestemming van de contractant is een van haar mailboxen verplaatst naar het account van haar ex-partner. XS4ALL biedt klanten de mogelijkheid om vijf mailboxen aan te maken. Aan een mailbox kunnen 10 e-mailadressen gekoppeld worden. Dat is praktisch wanneer een huishouden uit meerdere personen bestaat omdat iedere huisgenoot dan een eigen mailbox ter beschikking heeft. De contractant blijft echter altijd eigenaar van alle mailboxen die bij een account horen. Dat betekent dat een contractant expliciet toestemming dient te geven als een mailbox verplaatst moet worden. De betrokken medewerkers, één van de klantenservice en één van de orderstraat, hebben een serieuze waarschuwing ontvangen. Alle medewerkers van de klantenservice hebben nogmaals de trainingsmodule Security/Privacy moeten doen en aan de trainers en de coaches is gevraagd om het belang van Security/Privacy tijdens opleidingen en trainingen nog nadrukkelijker te onderstrepen.

Augustus

Gegevens drie klanten gemaild naar andere klant

Een mailwisseling tussen medewerkers van XS4ALL waarin een aantal gegevens over drie klanten worden genoemd, komt terecht bij een klant. Deze klant heeft gemeld dat foute adressering heeft plaatsgevonden. Deze manier van handelen maakt het aannemelijk dat deze klant de gegevens niet verder zal gebruiken. XS4ALL heeft zich bij de drie klanten per brief verontschuldigd en heeft benoemd welke persoonsgegevens onbewust zijn gedeeld. Het betreft XS4ALL loginnaam, domeinnaam, databasenaam, relatienummer, contactpersoon, telefoonnummer. Dit incident heeft geleid tot het overdenken van mogelijkheden om dit te voorkomen en tot een voorstel om hiervoor een project op te starten. Waarschijnlijk hangt dit incident samen met een bug in een applicatie die XS4ALL gebruikt voor mailinglists. De verwachting is dat een geplande update begin 2012 dit zal oplossen.

Loginpogingen klant gemaild naar andere klant

Een medewerker van XS4ALL heeft op verzoek van een klant een overzicht van zijn loginsessies op een specifieke dag gemaild. Abusievelijk zijn hierbij ook de loginnaam en loginsessies van een andere klant mee gestuurd. Na analyse door experts van XS4ALL meent XS4ALL dat dit geen gevolgen heeft voor deze klant. Toch vinden wij het van belang om het onbewust delen van deze gegevens bij deze klant per brief te melden. Om herhaling te voorkomen, is de betrokken medewerker aangesproken en is de betrokken afdeling op de hoogte gesteld. Daarnaast heeft dit incident geleid tot het onderzoeken van een technische maatregel die helpt dit te voorkomen. De verwachting is dat deze in 2012 wordt gerealiseerd.

Oktober

Sommige medewerkers sturen werk e-mail door naar persoonlijke account

De beheerafdeling constateert dat een aantal medewerkers een forward van het werkaccount naar een persoonlijk account heeft ingesteld. Dit is niet in lijn met het beleid van XS4ALL dat alleen e-mail adressen binnen het XS4ALL kantoornetwerk gebruikt mogen worden. Dit voorkomt dat eventuele klant- en bedrijfsinformatie buiten de invloedssfeer van XS4ALL raakt. De betrokken medewerkers worden hierop gewezen en er wordt besloten dat de beheerafdeling regelmatig de e-mail instellingen zal controleren.Daarnaast zullen er stappen ondernomen worden bij medewerkers die e-mail blijven doorsturen.

Verstrekking contactgegevens aantal zakelijke klanten aan KPN

In haar privacyverklaring stelt XS4ALL dat persoonsgegevens van XS4ALL-klanten aan KPN kunnen worden verstrekt. XS4ALL beoordeelt van geval tot geval of het verstrekken van klantgegevens aan KPN in het belang van de klant, danwel in het bedrijfsbelang van XS4ALL is. KPN vraagt XS4ALL om de contactgegevens van scholen die klant waren bij KPN en inmiddels klant zijn bij XS4ALL. Doel is om na te gaan of het aanbod richting scholen verbeterd kan worden. XS4ALL heeft dit verzoek goedgekeurd en besloten om adresgegevens, telefoonnummer en contactpersoon te verstrekken. De eerste twee gegevens zijn publiekelijk beschikbaar.


7. Aanbevelingen

1. De inzageverzoeken van klanten en ex-klanten worden nu op dezelfde wijze behandeld. Het verdient aanbeveling om een proces en werkinstructies voor de behandeling van inzageverzoeken van ex-klanten op te stellen.

2. In het nieuwe jaar zal de Privacy Officer de werkoverleggen van verschillende afdelingen bijwonen om het privacybeleid toe te lichten. Deze sessies kunnen ook gebruikt worden om de werknemers opnieuw te wijzen op zorgvuldige omgang met persoonsgegevens intern en met derde partijen.

3. De vastgelegde procedure voor het terugdraaien van toegang en faciliteiten van medewerkers die XS4ALL verlaten, wordt niet altijd nageleefd. In 2012 zal dit formeel opgepakt worden. In 2011 heeft XS4ALL wel al stappen genomen om incidenten te voorkomen. Zo heeft XS4ALL een distributiepartij verzocht om een restrictie te implementeren, zodat inloggen alleen mogelijk is vanaf het XS4ALL-kantoornetwerk. Hiermee wordt uitgesloten dat oud-medewerkers vanaf een willekeurige locatie in kunnen loggen op deze interface met een ongewijzigd rol account en persoonsgegevens van klanten kunnen inzien. Bij een rol account zijn loginnaam en wachtwoord bij een aantal medewerkers met eenzelfde rol bekend.

4. Het verdient aanbeveling om de module Security & Veilig werken op het gebied van informatiedragers aan te scherpen. De module is onderdeel van het inwerkprogramma voor alle nieuwe medewerkers van XS4ALL.