Privacyjaarverslag 2012

Door Cynthia Maasbommel

1. Inleiding

Dit is het zesde publieke privacyjaarverslag van XS4ALL. Het brengt verslag uit over de periode 1 januari 2012 tot en met 31 december 2012. Middels het privacyjaarverslag beschrijft de Privacy Officer van XS4ALL de wijze waarop invulling is gegeven aan de afspraken die in de privacyverklaring zijn geformuleerd. De Privacy Officer van XS4ALL is ook Functionaris voor de Gegevensbescherming. Door het aanstellen van een Functionaris voor de Gegevensbescherming heeft XS4ALL een interne toezichthouder die let op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp). Een Functionaris voor de Gegevensbescherming (FG) is aangemeld bij het College Bescherming Persoonsgegevens (CBP) en aldaar opgenomen in een openbaar register. Een van de wettelijke taken van de FG is vastlegging van de verwerking van persoonsgegevens als deze niet standaard zijn. Gezien de bijzondere waarde die XS4ALL aan de bescherming van privacy hecht publiceert ze dit in het privacyjaarverslag op haar website.


2. Inzage- en verwijderingsverzoeken

Het afgelopen jaar heeft XS4ALL drie inzageverzoeken gekregen en behandeld van klanten die een beroep deden op artikel 35 van de Wet bescherming persoonsgegevens.


3. Wijzigingen

In deze paragraaf beschrijft de Privacy Officer de privacykwesties die in 2012 zijn besproken en waarvoor nog geen intern beleid is vastgelegd of waarvoor geen beleid(swijziging) benodigd is.


3.1 Wettelijke bepalingen

3.1.1 Aanpassing Wbp

De Wet bescherming persoonsgegevens (Wbp) is op een aantal punten aangepast. Deze wetswijzigingen zijn op 9 februari 2012 in werking getreden. Wij benoemen er hier twee die van belang zijn voor XS4ALL en haar klanten.

Het eerste punt is dat deze wet de functionaris voor de gegevensbescherming niet langer verplicht stelt om een jaarverslag op te stellen van zijn of haar werkzaamheden en bevindingen. Artikel 63, lid 5 Wbp is hiermee komen te vervallen. De FG heeft evenwel de wettelijke plicht (artikel 30 Wbp) een openbaar en kosteloos te raadplegen register bij te houden van de verwerkingen die bij deze functionaris zijn aangemeld.

Gezien de bijzondere waarde die wij aan de bescherming van privacy hechten, vinden wij het belangrijk om het privacyjaarverslag te blijven maken en publiceren op onze website. Op deze manier geven wij inzage in de verwerkingen van persoonsgegevens, de wijze waarop invulling is gegeven aan de afspraken die in onze privacyverklaring zijn geformuleerd en de manier waarop wij gereageerd hebben op incidenten.

Het tweede punt waarop de Wbp is gewijzigd en gevolgen heeft voor XS4ALL betreft Direct Marketing. De wetswijziging houdt in dat klanten naast verzet aantekenen tegen het gebruik van persoonsgegevens voor reclamedoeleinden nu ook de mogelijkheid moeten krijgen om te vragen welke maatregelen XS4ALL heeft genomen om het gebruik van gegevens te beëindigen. Wij hebben hiervoor een duidelijke en makkelijk vindbare informatiepagina opgezet.

3.1.2 Meldplicht datalekken

Vanaf 5 juni 2012 is de nieuwe Telecomwet van kracht. Dit betekent onder andere dat datalekken verplicht gemeld moeten worden bij de OPTA. In diezelfde maand heeft XS4ALL de Privacy en Security Officer van XS4ALL opgegeven als de contactpersonen die de datalekken kunnen melden via het webformulier van de OPTA.

3.1.3 Cookiewet

Daarnaast is de nieuwe cookiewetgeving in werking getreden. Deze wet verplicht dat een gebruiker van een website duidelijk en volledig geïnformeerd moet worden over het gebruik van cookies. De gebruiker moet hiervoor zijn toestemming verlenen. XS4ALL voldoet sinds 5 september 2012 aan deze verplichtingen. De introductie van deze wet heeft ook binnen XS4ALL geleid tot veel discussie. Het heeft een commercieel voordeel om de wet niet te implementeren. XS4ALL benadeelt mogelijk haar eigen concurrentiepositie door de wet als een van de weinige partijen wel op te volgen. Echter, XS4ALL is van oudsher de partij die over de privacy van haar klanten waakt. We vinden dat internetgebruikers altijd zelf controle moeten houden over hun gegevens en dat er dus niet zomaar zonder toestemming cookies mogen worden geplaatst en uitgelezen. Daarom heeft XS4ALL ervoor gekozen om de wet op de letter op te volgen. Wij hopen dat andere partijen zich ook binnenkort aan de wet gaan houden of gehouden gaan worden. Tot nog toe implementeren concurrenten van XS4ALL de wet niet of informeren wel over het gebruik van cookies, maar vragen geen toestemming.

XS4ALL heeft gezocht naar een implementatie die voldoet aan de wet en de meeste toestemming oplevert. Twee maanden lang heeft XS4ALL daartoe haar bezoekers twee verschillende implementaties van deze wet getoond. De ene helft van onze bezoekers werd verplicht een keuze te maken voordat bezoek aan de site mogelijk was en de andere helft van onze bezoekers kreeg een subtiele banner getoond, waarbij de site gebruikt kon worden en cookies standaard uit stonden. Wij willen van zoveel mogelijk mensen toestemming om cookies te gebruiken, zodat we cookies kunnen inzetten om onze website en diensten beter kunnen afstemmen op de wensen van klanten. Aangezien bij de eerste implementatie meer bezoekers toestemming geven voor het gebruik van cookies, heeft XS4ALL sinds december 2012 het eerste scenario geadopteerd. Daarnaast respecteert onze website de zogenaamde Do Not Track header. Een bezoeker kan in zijn internetbrowser aangeven dat hij niet gevolgd wilt worden. Onze website gedraagt zich bij een dergelijke instelling alsof de bezoeker geen toestemming heeft verleend voor het gebruik van cookies.

3.1.4 'Kopietje paspoort'

In juli publiceert het College Bescherming Persoonsgegevens richtsnoeren voor het gebruik van een ‘kopietje paspoort’. XS4ALL onderneemt hierop actie door na te gaan of het voorkomt dat medewerkers om kopieën vragen aan klanten. Wij hebben vervolgens een authenticatiebeleid met de klantcontactafdelingen afgesproken waarin duidelijk is dat wij geen kopieën vragen aan klanten. Ontvangen kopieën zijn door XS4ALL uit de systemen verwijderd.

3.2 KPN

3.2.1 Inzicht in internetproducten

De NMA heeft omstreeks augustus onderzocht of zij akkoord is met de overname door KPN van vier service providers van Reggeborgh. Het gaat om: Concepts ICT, XMS, Edutel en KickXL. Daartoe heeft XS4ALL als dochteronderneming inzicht moeten geven in de internetproducten die haar klanten afnemen. KPN heeft voor dit doel tijdelijk toegang gekregen tot deze gegevens.

3.2.2 Klantwaardeanalyse

Onze privacyverklaring stelt dat XS4ALL van geval tot geval beoordeelt of het verstrekken van klantgegevens aan KPN in het belang van de klant dan wel in het bedrijfsbelang van XS4ALL is. Eind 2012 zijn XS4ALL en KPN overeengekomen dat productgegevens (breedbandabonnement, iTV, VoIP abonnement) en verkeersgegevens (aantal gebelde minuten buiten het VoIP abonnement) van XS4ALL klanten periodiek zullen worden gedeeld met KPN teneinde analyses te kunnen uitvoeren op klantwaardeontwikkeling en op de resultaten te kunnen acteren.

3.2.3 Audit op marktaandeel DSL

Eind 2012 heeft KPN bij XS4ALL een audit uitgevoerd op het marktaandeel in de DSL-markt. Hiertoe zijn de klantorders in het ordermanagementsysteem, provisioning systeem (dit systeem verzorgt de technische totstandkoming van een dienst en kent bijvoorbeeld een IP-adres toe) en facturatiesysteem vergeleken. XS4ALL heeft hierbij voor dit doel eenmalig klantorderinformatie gedeeld met KPN. Behalve voor klanten die de dienst ADSL van KPN (AvK) bij ons afnemen, zijn er geen persoonsgegevens verstrekt die herleidbaar zijn tot een persoon door diegene die de audit uitvoert. Zo is XS4ALL met KPN overeengekomen dat er geen postcode, huisnummer en toevoeging wordt gedeeld. Voor AvK klanten was dit echter noodzakelijk, omdat een AvK klantorder zonder deze gegevens niet uniek identificeerbaar is in de drie systemen.

3.3 Campagnes

3.3.1 Ambassadeursprogramma

Om potentiële klanten te interesseren voor het nieuwe glasvezelnetwerk, is een ambassadeursprogramma ontwikkeld. Het idee is, dat zowel bestaande als potentiële klanten anderen kunnen interesseren voor de glasvezeldiensten van XS4ALL. Als beloning ontvangen de ambassadeurs bij vijf verworven adresgegevens een premium. Klanten die zich in willen schrijven, dienen wel in een vraagbundelingsgebied te wonen. Op het moment dat 30% van de huishoudens binnen zo’n vraagbundelingsgebied interesse heeft getoond, zal er ook daadwerkelijk glasvezel aangelegd worden door Reggefiber.

Ambassadeurs gaan ermee akkoord dat XS4ALL hen mag benaderen voor promotionele activiteiten in het kader van de werving van registraties voor Glasvezel van XS4ALL. Zij kunnen zich hiervoor afmelden.

Potentiële klanten die door de ambassadeurs geïnteresseerd zijn geraakt, registreren zichzelf via www.xs4all.nl/iedereenglasvezel. Deze potentiële klanten geven aan dat zij bij een specifiek ambassadeur horen door voor hun inschrijving voor Glasvezel van XS4ALL gebruik te maken van de unieke link van deze specifieke ambassadeur. Deze unieke link wordt willekeurig gegenereerd om misbruik te voorkomen. De ambassadeur kan op een persoonlijke beveiligde pagina achterhalen hoeveel geïnteresseerden zich via deze link hebben opgegeven. Hierbij wordt de voornaam van de geïnteresseerde getoond. Tijdens de inschrijving wordt de geïnteresseerde geïnformeerd over het bekend raken van zijn voornaam bij de ambassadeur.

XS4ALL heeft het bouwen van de applicatie waarop ambassadeurs en potentiele klanten zich inschrijven vanwege capaciteitsproblemen uitbesteed aan een derde partij. De naam- en adresgegevens van potentiële klanten die zich inschrijven voor glasvezel worden hierdoor bekend bij deze partij. De verkregen adresgegevens worden dagelijks via een veilige verbinding geautomatiseerd ingevoerd in de standaard applicatie voor het aanvragen van glasvezel. Om deze klantgegevens te beschermen, heeft XS4ALL een aantal afspraken vastgelegd in contracten. Zo wordt de applicatie binnen het domein van XS4ALL uitgevoerd en beheert XS4ALL de applicatie.

XS4ALL maakt voor het versturen van de premiums gebruik van de diensten van een derde partij waar al eerder zaken mee is gedaan. De noodzakelijke klantgegevens worden door XS4ALL op de eerder overeengekomen wijze aan deze partij verstrekt en verwijderd.

3.3.2 iPad Actie

In het voorjaar heeft XS4ALL alle klanten die een tweejarig contract afsloten voor Internet, Bellen en Televisie korting aangeboden op de aanschaf van een iPad. Na oplevering van de diensten ontvangt de klant van XS4ALL per brief een code. De klant kan deze code bij de aanschaf van een iPad online inwisselen bij de derde partij met wie XS4ALL zaken doet. De derde partij controleert of de code bekend is en nog niet is gebruikt. Naar de klant wordt duidelijk gecommuniceerd dat de in te vullen persoonsgegevens worden gedeeld met een derde partij. De in te vullen persoonsgegevens zijn nodig om de iPad naar de klant te kunnen versturen. XS4ALL heeft strenge afspraken gemaakt met deze derde partij om onder andere te borgen dat zij de persoonsgegevens niet gebruiken voor andere doeleinden en deze verwijderen zodra opslag niet meer nodig is.

3.3.3 Klanttevredenheidsonderzoek

Begin dit jaar heeft XS4ALL een pilot gestart waarbij een deel van onze klanten telefonisch wordt benaderd met de vraag of zij tevreden zijn over onze service. Bij eventuele onvrede probeert XS4ALL dit te verhelpen. Als klanten tevreden zijn, kijkt XS4ALL samen met de klant of de mogelijkheden van de huidige dienst duidelijk zijn. Daarnaast doet XS4ALL de tevreden klant een aanbod om de huidige dienst uit te breiden naar een vergelijkbare dienst met meer mogelijkheden of uit te breiden met een andere dienst. Hierbij heeft XS4ALL zich uiteraard gehouden aan de Telecommunicatiewet en de code Telemarketing. Zo hebben wij klanten die hebben aangegeven niet te willen worden benaderd uitgesloten van de pilot en wijzen wij de klant op het recht van verzet en het Bel-me-niet register.

3.3.4 Spotify

XS4ALL biedt haar nieuwe en bestaande klanten die een hoogwaardig internetabonnement afnemen een jaar lang gratis Spotify Premium. Een derde partij verzorgt de interface tussen XS4ALL en Spotify. Via deze interface kunnen klanten hun Spotify Premium account aanmaken en upgraden. De derde partij gebruikt de door de klant verstrekte persoonsgegevens om het account aan te maken dan wel te upgraden. Het betreft alle gegevens die door Spotify verplicht worden gesteld, namelijk gebruikersnaam, wachtwoord, e-mailadres, postcode, geslacht, geboortedatum voor aanmaak en gebruikersnaam voor een upgrade van een account. XS4ALL verstrekt het relatienummer van klanten met recht op een jaar gratis Spotify Premium in versleutelde vorm aan de derde partij bij aanmaak en deactivatie van een account en aan Spotify in maandelijkse rapportages. De derde partij en Spotify kunnen het relatienummer in deze vorm niet herleiden tot een persoon. Als klanten via XS4ALL een Spotify account aanmaken, wordt het account niet automatisch gekoppeld aan Facebook. Spotify verrijkt de persoonsgegevens van haar klanten met gegevens van andere applicaties, zoals Facebook.

3.3.5 HBO

HBO is een content leverancier en via het HBO GO Platform kunnen klanten gemiste afleveringen terugkijken. Klanten die het HBO-pakket afnemen bij Televisie van XS4ALL krijgen gratis een HBO Go gebruikersnaam en wachtwoord, die zij zelf kiezen. Klanten registeren zich zelf op de HBO Go Site en authenticeren zich bij KPN met hun TAN/PIN code die daar reeds bekend is. KPN houdt bij welke TV pakketten de klant afneemt. KPN genereert een unieke code, die teruggekoppeld wordt aan HBO en periodiek door HBO uitgevraagd wordt om vast te stellen of de klant nog steeds het HBO-pakket afneemt. Als dat niet het geval is, heeft de klant geen recht meer op HBO Go. Deze unieke code is door KPN en HBO niet traceerbaar tot persoonsgegevens.

3.3.6 Benadering oud-klanten

Eind 2012 heeft XS4ALL een pilot gestart, waarbij ongeveer 7000 oud-klanten telefonisch worden benaderd die 8 tot 12 maanden geleden bij ons hebben opgezegd. Het is namelijk onze ervaring dat men niet weet dat wij televisie aanbieden en dat zij met een mooi aanbod graag bij ons terug willen komen. De klanten worden geselecteerd op basis van naam, adres, woonplaats en telefoongegevens. Alle manieren waarop de oud-klant heeft aangegeven niet te willen worden benaderd, nemen wij in acht. Deze oud-klanten worden uitgesloten van deze actie.

3.3.7 Outsourcing glascampagne

XS4ALL heeft eind 2012 een campagne gestart, waarbij onze klanten met een DSL-verbinding met een mogelijkheid tot een glasvezelverbinding worden gebeld met een aanbod. Vanwege beperkte capaciteit heeft XS4ALL deze campagne uitbesteed aan een derde partij. Hiertoe heeft XS4ALL de volgende klantgegevens gedeeld: naam, adres, telefoonnummer, huidig product en prijs per maand. De derde partij neemt het telefonische gesprek met de klant gedeeltelijk op. De bellende partij geeft tijdens het gesprek aan dat het gedeelte waarin de klant 'Ja' zegt op specifieke vragen gericht op instemming met de order wordt opgenomen. Uiteraard is XS4ALL een streng contract overeengekomen met deze partij met betrekking tot de omgang met de betreffende persoonsgegevens. Zo mogen deze persoonsgegevens niet voor enig ander doel worden gebruikt en worden deze gegevens na afloop van de campagne vernietigd.

3.3.8 Geotargeting

XS4ALL past online geotargeting toe. Dat houdt in dat XS4ALL met haar partners woonplaatsen en postcodegebieden deelt die wij willen benaderen met een specifieke banner. Een regionaal gerichte website of website waarin een bezoeker woonplaats of een postcode invoert, toont dan de door XS4ALL gewenste banner. Voorheen zette XS4ALL dit in op basis van woonplaats. Begin november 2012 heeft XS4ALL dit uitgebreid op basis van postcodegebieden. Dit maakt het mogelijk dat XS4ALL bezoekers die een postcode invoeren van een gebied waar glasvezel leverbaar is een banner tonen die aangeeft dat de klant glasvezel bij ons kan bestellen.

3.3.9 Online werving klanten via derden

Wij geven in onze privacyverklaring aan dat wij persoonsgegevens van derden verwerven en deze gebruiken om marketingberichten te verzenden aan niet-klanten indien de betrokkene daarvoor toestemming heeft gegeven aan de derde. Dit jaar hebben wij samengewerkt met partijen waarbij personen online hun gegevens kunnen achterlaten en toestemming kunnen geven om telefonisch benaderd te worden door XS4ALL. De gegevens kunnen naam, adres, woonplaats, telefoon, geslacht en geboortedatum betreffen. Deze gegevens worden niet verwerkt in onze klantenadministratie, maar in een afgeschermde omgeving. XS4ALL analyseert de gegevens om te kunnen bepalen welke profielen leiden tot een klant. We bewaren naam, adres, woonplaats, telefoon maximaal twee jaar om personen te kunnen uitsluiten van toekomstige acties.

In het contact met XS4ALL kunnen niet-geïnteresseerden aangeven of zij in de toekomst nogmaals benaderd willen worden.

3.3.10 Werving zakelijke klanten op basis van profiel

XS4ALL heeft in 2012 pro-actief potentiële zakelijke klanten telefonisch benaderd die zij heeft verkregen van een derde partij. Daartoe heeft XS4ALL selectiecriteria opgesteld op basis van de profielen van de zakelijke klanten die wij reeds bedienen. Dit vergroot de kans dat wij potentiële klanten benaderen die bij ons zullen passen. Om een hoogwaardig profiel te krijgen, heeft een derde partij de klantgegevens van onze zakelijke klanten verrijkt met Branche indeling (SBI), Werknemersaantallen (FTE, part- en fulltime), KvK nummer, Indicator ZZP/SOHO/Starter en Concernstructuur. Om eventuele zakelijke klanten onder onze consumenten klanten niet te missen, heeft XS4ALL de gegevens van al haar klanten gedeeld. De derde partij verwijdert de klantgegevens na een maand en de consumentgegevens worden niet verrijkt. XS4ALL bewaart de verrijkte gegevens maximaal vijf jaar. XS4ALL verwerkt ingekochte klantprofielen niet blijvend in de klantenadministratie. Afhankelijk van het vooraf beschreven doel, kunnen data-analisten van XS4ALL klantprofielen koppelen aan postcode/huisnummer combinaties van klanten. De gecreëerde lijsten worden in een afgeschermde omgeving tijdelijk opgeslagen. Alleen de data-analisten zelf, en de beheerders van de databases hebben toegang tot 'gekoppelde' klantinformatie.

3.4 Beveiliging

3.4.1 Tegengaan van spam

XS4ALL houdt haar netwerk voor klanten zo bereikbaar en veilig mogelijk. Een van de maatregelen is het tegengaan van spam. XS4ALL deelt al jaren informatie over spam met antispam software leveranciers. Begin dit jaar heeft XS4ALL besloten deze informatie breder te delen om onze spamfilters en die van andere Internet Service Providers te verbeteren.

XS4ALL stuurt spamklachten geanonimiseerd door naar de verzendende ISP als dit een bij XS4ALL bekende en vertrouwde ISP betreft, waar wij strikte afspraken mee hebben gemaakt. Daarnaast worden de geanonimiseerde spamklachten doorgestuurd naar Return-Path, een wereldwijde organisatie die dergelijke informatie verzamelt om spam beter te kunnen herkennen.

XS4ALL zet zogenaamde spamtraps in om spam en spamverzenders te herkennen. Een spamtrap is een e-mailadres dat alleen bestaat met het doel spamverzenders te verleiden dit adres te gebruiken voor spam. Soms voegt XS4ALL een in onbruik geraakt e-mailadres toe dat publiekelijk bekend is en om die reden aantrekkelijk is voor spamverzenders. In uitzonderlijke gevallen betreft dit per toeval een adres van een oud-klant. De e-mails die worden verzonden naar deze spamtraps deelt XS4ALL met vertrouwde Internet Service Providers.

Tot slot deelt XS4ALL mailvolumestatistieken met partijen zoals Return-Path, met wie wij strikte afspraken hebben gemaakt. XS4ALL heeft toegang tot de database van Return-Path en gebruikt deze om haar spamfilter te verbeteren. De statistieken betreffen een geaggregeerd overzicht van verzendend IP-adres, verzendend domein en aantal ontvangers (totaal, geleverd, geweigerd, onbekend). Het betreft alleen inkomende mailverbindingen van andere domeinen naar het XS4ALL netwerk.

3.4.2 DMARC

In september is XS4ALL een proef gestart waarbij DMARC technologie wordt ingezet om valse e-mails met de afzender @ING.nl naar klanten van XS4ALL te blokkeren. Na zes weken blijkt dat het aantal valse e-mails dat misbruik maakt van het domein ING.nl is gedaald met 71%. XS4ALL stuurt periodiek een automatisch gegenereerd rapport naar de ING met daarin per IP het aantal e-mails die echt of niet echt van de ING kwamen per tijdframe. Het IP adres komt uit de header van mails. De kans dat de ING een IP-adres kan terugvoeren naar een uniek persoon is nagenoeg nul. XS4ALL deelt geen e-mailadressen met de ING of enig andere partij. XS4ALL deelt deze geaggregeerde rapportage met andere DMARC gebruikers in een gezamenlijke strijd tegen internetcriminaliteit.

3.4.3 Bescherming netwerk

VoIP(Bellen)

XS4ALL zet software in die toezicht houdt op het VoIP-netwerk om individuele klachten snel te kunnen behandelen en om de dienstverlening richting haar klanten beter te kunnen waarmaken.

Een zeer selecte groep medewerkers heeft toegang tot deze software om proactief het volume en de kwaliteit van VoIP-gesprekken te monitoren. Dit kan leiden tot een storingsmelding aan onze VoIP-leverancier. Ook bij klachten of vragen van klanten kunnen onze medewerkers de software raadplegen om de oorzaak te bepalen van kwaliteitsverlies of een ander technisch probleem bij de individuele klant. Hierbij kan de medewerker verkeersgegevens en loginnaam inzien. De medewerker stelt de klant hiervan in kennis. Met deze software kunnen zowel historische als actuele verkeersgegevens worden geraadpleegd.

Internet

De Telecommunicatiewet voorziet in netneutraliteit en schrijft voor dat ISP’s verplicht zijn om internetverbindingen en –diensten in principe zonder tussenkomst of filtering aan hun klanten door te geven. De wet voorziet echter in een uitzondering, als (naar het oordeel van de ISP, met inachtneming van het collectieve belang van zijn klanten) de doorstroming op of integriteit van het netwerk in gevaar zou komen.

XS4ALL analyseert het verkeer op haar netwerk om de dienstverlening richting haar klanten beter te kunnen waarmaken. Zo kan de analyse leiden tot het inkopen van meer bandbreedte, maar ook tot het signaleren van een aanval op de integriteit of beschikbaarheid van het netwerk of delen daarvan. Slechts bij aanvallen op een specifieke bestemming (Denial of Service, ofwel DoS) zal XS4ALL overwegen om tijdelijk het daarmee samenhangende ongewenste verkeer richting deze bestemming te blokkeren.

Hiermee verkleinen we de kans dat een specifieke aanval diensten voor onze klanten onbruikbaar maakt. Er bestaat in zulke gevallen een geringe kans dat een beperkt aantal klanten toch hinder ondervindt. XS4ALL zal slechts onder strikte voorwaarden overgaan tot het tijdelijk doorlaten van slechts legitiem verkeer. Zo dient de Security Officer bepaald te hebben dat het risico voor onze klanten de tijdelijke inzet van deze maatregel rechtvaardigt op basis van betrouwbare informatie. Slechts daartoe geautoriseerde netwerkbeheerders van XS4ALL kunnen overgaan tot het in werking stellen van deze tijdelijke maatregel.

XS4ALL legt de inzet van deze maatregel vast en is bereid om dit door daartoe gerechtigde partijen te laten beoordelen. XS4ALL heeft deze en andere voorwaarden in een beleid vastgelegd.

3.5 Wanbetalers

XS4ALL schakelt een incassobureau in om geld te innen bij voormalige klanten die niet reageren op betalingsverzoeken. XS4ALL realiseert hiermee minder aanmaningen dan gewenst. Een mogelijke verklaring is dat XS4ALL niet beschikt over geboortedatum en eventueel KvK-nummer van haar klanten om klanten te lokaliseren. XS4ALL heeft daarom een derde partij gevraagd om een analyse uit te voeren op de inningskansen bij een geselecteerde groep wanbetalers uit de afgelopen twee jaar. Een analist van deze partij tekent een geheimhoudingsverklaring en zal de analyse uitvoeren op kantoor van XS4ALL. De persoonsgegevens van onze klanten blijven intern. De persoonsgegevens betreffen naam, adres, woonplaats, telefoon, e-mailadres, type contract, contractdatum, factuurbedrag, betaalwijze en aard en datum van het laatste contact. Hierbij zal de analist de persoonsgegevens van de betreffende klanten verrijken met geboortedatum en KvK-nummer. Daarnaast koppelt de analist de gegevens aan data die algemeen bekend zijn bij incasso-instanties en aan eigen ervaringscijfers. Vervolgens zal de analist op basis van al deze gegevens de inningskansen inschatten en bepalen hoe een klant benaderd dient te worden. Als blijkt dat XS4ALL inderdaad een groter inningspercentage realiseert, dan zal zij overwegen om de persoonsgegevens van al onze klanten te verrijken met geboortedatum en KvK-nummer.

3.6 Groepsklant

Bij XS4ALL kunnen klanten een groepsabonnement afsluiten, wat het bijvoorbeeld mogelijk maakt dat een werkgever de internet- en telefonieabonnementen vergoedt voor zijn werknemers. In 2012 heeft XS4ALL een dergelijke groepsklant overgenomen van een andere Service Provider en heeft daarbij afspraken gemaakt om de persoonsgegevens van de werkgever en werknemers te beschermen.

Uit privacyoverwegingen heeft deze werkgever zelf haar eigen medewerkers benaderd voor de mogelijke overstap naar XS4ALL. Geïnteresseerden initiëren het contact met XS4ALL en doorlopen de standaard orderaanvraag met een XS4ALL-medewerker. XS4ALL ontvangt maandelijks een versleutelde lijst met medewerkersnummer, postcode, huisnummer en huisnummerextensie om te controleren dat de geïnteresseerde recht heeft op een aansluiting van en dat het opgegeven adres bekend is bij deze werkgever. XS4ALL vervangt de eerder ontvangen lijst door de meest recent ontvangen lijst om zeker te stellen dat alleen gegevens worden bewaard van de personen die op dat moment gebruik kunnen maken van deze secundaire arbeidsvoorwaarden. De interne rapportage bevat alleen aantallen en geen persoonsgegevens. Initieel heeft XS4ALL ook het e-mailadres en het telefoonnummer bij deze werkgever van rechthebbenden ontvangen. Deze gegevens heeft XS4ALL verwijderd. XS4ALL biedt medewerkers die via deze werkgever internet afnemen bij XS4ALL op het moment dat zij niet meer rechthebbend zijn een particulier abonnement aan bij XS4ALL. Deze werkgever wenst haar facturen te controleren op basis van medewerkersnummer. XS4ALL heeft met haar facturatiepartner overlegd en de enige mogelijkheid bleek om het medewerkersnummer te vermelden in het naamveld op de factuur.


4. Incidenten

4.1 Gegevenslek in terugbel-functionaliteit

XS4ALL biedt sinds begin 2012 een terugbelfunctionaliteit aan. Hierbij kunnen klanten die onze website bezoeken en teruggebeld willen worden op onze website middels een formulier hun naam en telefoonnummer achterlaten. Door een melding van een oplettende klant heeft XS4ALL geconstateerd dat als iemand (mogelijk iemand anders) op dezelfde computer het formulier opent binnen vijf minuten nadat het formulier is gebruikt het formulier de laatst ingevulde gegevens toont. XS4ALL heeft dit hersteld en de melder getrakteerd op een welverdiende appeltaart.

4.2 Aanval op UNIX shell server

De media hebben het afgelopen jaar een aantal keren bericht over datalekken bij KPN. Hierbij zijn geen gegevens van XS4ALL klanten gelekt. XS4ALL deelt alleen persoonsgegevens van XS4ALL-klanten met KPN als dit in het belang van de klant, dan wel in het bedrijfsbelang van XS4ALL is. Dit gebeurt onder dezelfde strenge veiligheids- en zorgvuldigheidseisen die XS4ALL aan al haar partners stelt. KPN beschikt, evenals andere partners, niet over de persoonlijke gebruikersnamen en wachtwoorden van klanten van XS4ALL.

Helaas is er eind 2011 ook een systeem van XS4ALL aangevallen. De onderzoeks- en herstelacties zijn begin 2012 afgerond. Om die reden is dit incident opgenomen in het jaarverslag van 2012 en niet in het jaarverslag van 2011. XS4ALL heeft destijds wel een FAQ gepubliceerd. Daarnaast heeft de Security Officer een uitgebreide verklaring gepost in de daarvoor relevante usenet-groep.

Het systeem dat is aangevallen is een UNIX shell server die wordt gebruikt door een zeer beperkt aantal XS4ALL-klanten. Hackers hebben gedurende een bepaalde periode de inlogacties van klanten afgeluisterd. Hierdoor zijn voor dertig klanten de gebruikersnaam en wachtwoord gecompromitteerd. Deze dertig gebruikers zijn onmiddellijk na ontdekking van de hack door ons geïdentificeerd en op de hoogte gebracht van het feit dat hun accountgegegevens zijn gecompromitteerd. De klanten uit die groep die wij niet hebben kunnen bereiken, hebben wij geblokkeerd en hebben dus zodra ze weer wilden inloggen vanzelf contact opgenomen met onze helpdesk. Daarnaast heeft XS4ALL het systeem offline gebracht op het moment dat we de hack geconstateerd hebben.

We hebben enkele maatregelen genomen die een vergelijkbare hack in de toekomst een stuk onwaarschijnlijker moeten maken. Zo is het patchmanagement aangescherpt, hebben we besloten om op een andere, modernere variant van UNIX over te gaan, en zijn we gaan kijken naar mogelijkheden om de authenticatie in de toekomst op een heel andere wijze in te richten, bijvoorbeeld met wachtwoorden die maar eenmaal te gebruiken zijn.

4.3 XS4ALL klachten naar KPN

In juli ontdekt onze klachtenafdeling dat de Consumentenbond ontvangen klachten over XS4ALL aan KPN heeft geleverd. De klachtenafdeling van KPN heeft de drie betreffende klanten benaderd om de klacht op te lossen. Aangezien XS4ALL echter haar eigen privacybeleid hanteert, is dit geen wenselijke situatie. De klachtenafdeling van XS4ALL heeft daarom de gegevens van de betreffende XS4ALL-klanten met klachten opgevraagd bij de Consumentenbond en de Consumentenbond en KPN geïnstrueerd om klachten van XS4ALL-klanten aan XS4ALL door te geven.

4.4 Creditcardorganisatie gehackt

In juni dit jaar claimt een hacker creditcardorganisaties te hebben gehackt. Eén van onze beveiligingsexperts ziet tussen de vrijgegeven persoonsgegevens gegevens van een klant van XS4ALL staan. Hoewel dit niet onze verantwoordelijkheid is, hebben wij telefonisch contact gezocht met deze klant en geadviseerd om contact op te nemen met zijn creditcardmaatschappij.


5. Aanbevelingen

5.1 Periodieke awareness training

Privacy en security maken een belangrijk onderdeel uit van de visie van XS4ALL. XS4ALL heeft daarom een module opgenomen in het inwerkprogramma voor alle nieuwe medewerkers van XS4ALL. Op het gebied van privacy awareness is structurele aandacht raadzaam. Een periodieke awareness training die ook toegankelijk is voor medewerkers die reeds langere tijd bij XS4ALL in dienst zijn, verdient aanbeveling. XS4ALL zal in 2013 de mogelijkheden van e-learning onderzoeken.

5.2 Inzage in en verwijdering van klantdata

XS4ALL heeft in 2011 een project gestart om de systemen beter in te richten zodat het verwijderen van administratieve gegevens goed afgehandeld kan worden. Eind 2013 zijn de aanpassingen aan betreffende systemen gereed en worden klantgegevens geschoond. Hierbij zal inzage in en verwijdering van klantdata ook meegenomen worden.

5.3 Openbaar te raadplegen register

De FG heeft de wettelijke plicht (artikel 30 Wbp) een openbaar en kosteloos te raadplegen register bij te houden van de verwerkingen die bij deze functionaris zijn aangemeld. Momenteel geeft XS4ALL iedereen inzage in de verwerkingen en incidenten via het publieke jaarverslag. Het verdient aanbeveling om te investeren in een openbaar te raadplegen register. XS4ALL zal in 2013 de wensen en mogelijkheden inzichtelijk maken.

5.4 Veilige wachtwoorden

Continue aandacht voor het gebruik van veilige wachtwoorden door onze klanten lijkt nodig. XS4ALL scant namelijk regelmatig de wachtwoorden zoals die, op een veilige manier opgeslagen, in onze gebruikersdatabase voorkomen. Dat doen wij via methodes die ieder ander ook kan toepassen (het simpelweg 'raden' van wachtwoorden en kijken of ze werken). De wachtwoorden die op die manier gekraakt worden, zijn als onveilig te beschouwen. Bij het kraken van wachtwoorden maakt XS4ALL op geen enkele wijze gebruik van mogelijke extra informatie die een willekeurige indringer niet zou kunnen hebben. Bij het wijzigen van wachtwoorden ziet XS4ALL erop toe dat het nieuwe wachtwoord aan de huidige normen voor sterke wachtwoorden voldoet. In 2013 zal XS4ALL onderzoeken op welke andere manieren we kunnen borgen dat veilige wachtwoorden worden gebruikt.

5.5 Beleidsvorming

XS4ALL zal in 2013 voor elk van de behandelde privacykwesties in 2012 nagaan of het zinvol is om afspraken overeen te komen, zodat gelijksoortige onderwerpen op dezelfde wijze behandeld kunnen worden en alleen afwijkingen overlegd hoeven te worden. Uitzonderingen hierop zal zij benoemen in haar jaarverslagen.

Ook rapportages zullen mogelijk in het beleid worden opgenomen. Binnen XS4ALL levert de afdeling Marketing Intelligence namelijk rapportages op aan andere afdelingen, die het gedrag van onze consumenten en het succes van campagnes inzichtelijk maakt. Hierop kunnen wij ons aanbod aanpassen. Deze rapportages worden altijd in geaggregeerde vorm aan de vragende partij binnen XS4ALL verstrekt. De resultaten zijn daarmee nooit herleidbaar tot individuele klanten.