Nieuws
image

XS4ALL openbaart zeven privacyincidenten

woensdag 15 februari 2012, 13:54 door Redactie, 14 reacties

XS4ALL heeft voor de vijfde keer het privacyjaarverslag gepubliceerd, waarin verschillende incidenten worden geopenbaard. De provider openbaart het verslag zodat klanten kunnen zien hoe er aan de privacyverklaring invulling wordt gegeven. "Met deze verklaring maken we duidelijk wat we precies belangrijk vinden in het kader van privacy en hoe we met uw persoonlijke gegevens om willen gaan."

In totaal werden er zeven privacyincidenten in het verslag opgenomen. Daarin beschrijft XS4ALL niet alleen het incident, maar ook welke maatregelen het heeft genomen om herhaling te voorkomen. Het eerst incident betreft een ex-partner van een klant die erin slaagde om een factuuradres te wijzigen.

Telefoongesprekken
In februari wilde het management naast inkomende ook uitgaande telecomgesprekken opnemen, met als doel het coachen van het personeel. Hierdoor zouden ook vertrouwelijke gesprekken tussen personeel of relaties kunnen worden opgenomen, wat in strijd met de wet is. Na beraad werd het opnemen van uitgaande gesprekken nog in februari weer gestopt.

Het onbevoegd verplaatsen van een mailbox zorgde in maart voor een incident. Zonder toestemming van de contractant was één van haar mailboxen verplaatst naar het account van haar ex-partner. Vanwege dit incident moesten alle medewerkers van de klantenservice nogmaals een trainingsmodule doorlopen.

Datalekken
In augustus kwamen twee incidenten voor waarbij gegevens werden gelekt. Zo werden de gegevens van drie klanten naar een andere klant gemaild. Deze klant mailde XS4ALL dat er een foute adressering had plaatsgevonden. "Deze manier van handelen maakt het aannemelijk dat deze klant de gegevens niet verder zal gebruiken", aldus de provider. Die verontschuldigde zich per brief bij de drie klanten voor het lekken van hun XS4ALL loginnaam, domeinnaam, databasenaam, relatienummer, contactpersoon en telefoonnummer.

Bij het tweede incident werd op verzoek van een klant een overzicht van zijn loginsessies op een specifieke dag gemaild. Per ongeluk werden hierbij ook de loginnaam en loginsessies van een andere klant mee gestuurd.

Werkmail
In oktober constateerde XS4ALL dat een aantal medewerkers een forward van het werkaccount naar een persoonlijk account had ingesteld, wat in strijd met het beleid is.

Het laatste incident dat vermeld wordt, ging over het verstrekken van contactgegevens van een aantal zakelijke klanten aan KPN. KPN had om de contactgegevens van scholen gevraagd die klant van KPN waren, maar naar XS4ALL waren overgestapt. Het verzoek werd goedgekeurd en adresgegevens, telefoonnummer en contactpersoon verstrekt.

Reacties (14)
15-02-2012, 13:59 door tomm
Naast het geven van cursussen en werkwijzes blijven human errors lastig uit te sluiten ben ik bang..
15-02-2012, 14:32 door Anoniem
Goed dat Xs4all hier zo open over communiceerd. Kunnen andere bedrijven wel wat van leren.
15-02-2012, 14:44 door Mysterio
Wel verfrissend dat XS4ALL hier gewoon open over is.
15-02-2012, 14:58 door Anoniem
topje van de ijsberg..
maar die blijft als het aan XS/KPN is, nog zo lang mogelijk *illegaal* Onderwater..
Bijvoorbeeld incidenten bij re-sellers van XS accounts, die gehakt zijn, en waar XS helemaal niets mee/aan wil doen, zelfs niet even de gedupeerde gebruikers melden dat ze wellicht een ander passwordje zouden moeten gaan kiezen. Hallo Netco uit haarlem, etc..
15-02-2012, 15:16 door Anoniem
Dit is een van de redenen dat ik blij ben bij XS4All te zitten. Er wordt tenmiste duidelijk gemaakt wat er verkeerd gegaan is. Beter dan de 'cover-up'-sh*t die ik op mijn werk gewend ben.
15-02-2012, 15:29 door Anoniem
XS4ALL is exceptioneel op dit gebied. Ik zie in het openbare Register van Functionarissen voor de Gegevensbescherming van het CBP zo snel verder geen andere ISP's. Zelfs van de Nederlandse gemeentes heeft maar ca. 10% een functionaris voor de gegevensbescherming.
http://www.cbpweb.nl/Pages/ind_reg_fgreg.aspx
15-02-2012, 17:42 door [Account Verwijderd]
[Verwijderd]
15-02-2012, 20:49 door Dev_Null
"In war everything is based on deception"...Het zal mij benieuwen wat er echt is gebeurd ;-)
16-02-2012, 00:59 door Anoniem
Als alles transparant is zie je niets meer.
16-02-2012, 08:12 door Anoniem
[admin] Reactie verwijderd [/admin]
16-02-2012, 08:57 door Anoniem
Tuurlijk zal waarschijnlijk niet alles vermeld worden. Maar dit is al een grote stap in de goede richting!
En niet, zoals vele providers doen, 'we deny everything'.

Xs4all is ook al een positieve uitzondering met uitgebreide storingspagina's. B.v. kabelboeren ontkennen gewoon alles...
16-02-2012, 21:31 door Anoniem
Ach op de shellserver kun je ook een binary van ypcat uploaden (als je een kopie van het commerciele OS hebt) en dan de passwordlist opvragen. gebruiken nis+ maar toch, heb je meteen duizenden email adressen van xs4all

en dit is al sinds jaar en dag mogelijk
17-02-2012, 16:28 door Anoniem
XS4ALL heeft geen commercieel OS op de shellservers, dus je hoeft geen binary van ypcat up te loaden. Kan je gewoon compileren van source, mocht je dat willen. Maar daar schiet je niks mee op, want ypcat is aan de NIS server kant geblokkeerd. Dat is al sinds jaar en dag zo. Dus nee, dat kan niet.
21-02-2012, 23:37 door Anoniem
Kan de CSO van XS iets met de ge-meelde extra info over een van de vele blinde vlekken?
En zie i nu langzaam waarom er wat pijltjes missen in de tf-csirt/meeting34/schuurman-xs4all.pdf gepresenteerde interne structuur?
En waarom de toekomst visie een niet haalbare natte droom is voor CSO's?

Als, nee..
Ask a like minded and he/she will just agree,
Ask a 'loony' who doesn't agree and you might get learn something new ;-)

All truth passes through three stages. First, it is ridiculed. Second, it is violently opposed. Third, it is accepted as being self-evident.

groetjes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure