Werkt er bij XS4ALL een incompetente privacy officer of heeft het management van de provider bezwaren van tafel geschoven?

Wat moet je, als privacy- en/of security officer, eigenlijk doen als het management jouw bezwaren van tafel veegt?

Compleet ander verhaal dan de uitleg van XS4ALL: https://blog.xs4all.nl/

KPN is de eigenaar van XS4ALL.

Het is allemaal geen nieuwe regelgeving, dus zou men kunnen denken dat dit opzettelijk is gebeurt, en anders hebben we het over incompetentie.

Enige santies...?

Uitleg XS4ALL op hun blog leest geheel anders weg dan wat hier staat.

Misschien dat AP dit beter kan uitleggen?
Hebben de klanten hier hinder van (nu of in toekomst)?

Als de security officer ben je eerst verantwoordelijke en aanspreek punt rondom zoiets. De nieuwe wet rondom datalekken stelt dat dergelijke security lekken gemeld moeten worden bij de Autoriteit Persoonsgegevens, dus zou je dan als Security Officer dan ook moeten doen op het moment dat het plaats heeft. Sta je er als directie lekker op als dan blijkt dat je het door hebt geduwd tegen het advies van de verantwoordelijke in.

Los daarvan ben ik van mening dat als een directie bezwaren van een SecOff over een dergelijke schending van privacy wetgeving van tafel veegt, je daarmee dus niet in staat bent om die functie naar behoren uit te voeren. Ik zou daar - kort door de bocht - dan ook mijn consequenties aan verbinden. Melden van de schending bij de AP en daarna een schrijven naar HR.

Interactieve tv van XS4ALL is voor zover ik kan zien gewoon die van KPN met een ander merk erop geplakt. Die indruk kreeg ik al ooit toen ik de XS4ALL-helpdesk belde over interactieve tv en ze het kennisniveau dat ik van ze gewend was niet bleken te hebben. Niet hun eigen produkt, dacht ik toen. Later zag ik dat mensen die het van KPN afnamen precies dezelfde kastjes, afstandsbediening en user-interface hadden als ik bij XS4ALL had.

Geachte KPN en XS4ALL:

Privacy is niet: Als je onze dienst gebruikt ga je akkoord met wat we in ons privacyregelement omschrijven.

Privacy is: We verzamelen geen data! Punt uit.

En helemaal schunnig is: we kunnen ons reglement ten alle tijden wijziging.

Ook daar geven ze aan verkeerd te zitten, moet je wel tussen de regels door lezen: "Het onderzoek van de Autoriteit Persoonsgegevens vormde voor XS4ALL en KPN aanleiding om in een aantal gevallen de verwerking van persoonsgegevens in lijn te brengen met de Wet Bescherming Persoonsgegevens en was in die zin voor alle partijen leerzaam."

Mogen wij als consumenten ons ook als een van die partijen beschouwen en het dus ook leerzaam vinden? Het vertelt in ieder geval iets over de afwezigingen die ook bij XS4all gemaakt worden: zolang je geen straf krijgt, is het kennelijk toegestaan.
Je hoeft dus niet bijvoorbaat je handelen in lijn te brengen met de vigerende wetgeving, dat hoeft pas na onderzoek van de handhavende instantie.

Security officer heeft zich te houden aan het beleid. Als de heren een waiver hebben getekend dat zij het risico accepteren kan de SecOfficer hoog en laag springen; het gaat gewoon door.

Het beste waar je op kan hopen is een goede waiver procedure.

Het complete bedrijfsleven is risico's (ook security en privacy risico's) afwegen. Als je je daar niet in kan vinden als Security Officer (of uberhaupt iemand die werkzaam is in Information Security & Privacy) dan is het beter om een gezonde mate van pragmatiek te krijgen OF een andere baan te zoeken

Ze geven het wel aan, maar het bevalt me helemaal niet dat ik tussen de regels door moet lezen. Dat is niet het XS4ALL meer waar ik ooit mijn abonnement bij afsloot.

Zelfde ervaring hier. De medewerker die ik aan de lijn had was daar heel duidelijk over: is dienst van KPN die we inkopen. Dus tja, zeuren over Nederland 1 Glas HD op 661 i.p.v. gewoon 1 heeft ook geen nut. Volgens mij zijn ze de dienst nu liever kwijt dan rijk, maar ja, zal wel iets met aandeelhouder niet blij zijn dan.

itv van xs4all = itv van kpn. Het is niet een eigen systeem van xs.

Had begrepen dat ze wel zelf iets wouden maken maar de druk om snel iTV uit te rollen hoog was, omdat klanten weg liepen zonder 3-in-1 aanbod. Dus maar snel de iTV van KPN geïmplementeerd.

Het gaat hier wel om overtredingen van de wet. Vergroot het vergrijp eens uit: in plaats van aan privacyschendingen mee te werken word je gevraagd mee te werken aan iets waarvan je op je vingers kan natellen dat er doden bij gaan vallen. Vind je dan nog steeds dat een medewerker zich aan het beleid te houden heeft? Kan het misschien ook te ver gaan wat een werkgever van je vraagt?

Als je vindt dat het te ver kan gaan dan zitten er dus grenzen aan, en wordt de vraag hoe erg het moet zijn voor het te ver gaat. Dat zal van persoon tot persoon verschillen, maar ik vind het een volkomen terecht als je een grens trekt bij het bewust overtreden van de wet. Geen enkele werkgever zou dat van zijn werknemers mogen vragen.

Xs4all: Ook hebben XS4ALL en KPN aan derden geen kijkcijfergegevens verstrekt die door hen te herleiden waren tot individuele personen.

Dus als er geen naam bij staat wordt het misschien wel verstrekt aan derden?

Xs4all: Daarmee mogen niet zomaar persoonlijke profielen van televisiekijkers worden opgesteld. Dat doen we dus ook niet.

Dat is bijzonder nietszeggend. Er staat niet dat er geen persoonlijke profielen worden opgesteld.

Bah, driewerf bah, voor het politieke taalgebruik en nietszeggende statements.

Dat is volstrekte lariekoek. De wetgeving is nog altijd het uitgangspunt. Is er geen wetgeving dan valt er wat voor te zeggen, maar in het geval van privacy is er zeer duidelijke wetgeving en die blijkt hier ook nog te zijn overtreden. Geen beleid of waiver die daar een pragmatisch een oplossing voor is behalve als het management zich boven de wet acht. Indien een security offiver of privacy officer geen invloed kan uitoefenen op het management, zeker als het om wettelijke verplichtingen gaat, dan is die functie slechts theater.

Zoals elk dilemma: of je er bij neerleggen en hun het laten ondertekenen (kunnen zij de pers gaan voorlichten en evt boetes/sancties krijgen) OF ergens anders je heil zoeken.
Dat laatste is niet zo gek, er zijn tig bedrijven die wel competente security mensen zoeken dus (goed) werk zat.
Xs4all is gewoon een zakelijke onderneming die er baat bij hebben om geld te verdienen en niet je het meest veilige of privacy beschermende netwerk te verlenen.
Hun kosten zijn hoger dan elke andere provider en die gratis AV geeft ook elke ISP nu wel weg.

Vroeger was dat anders gesteld en waren ze baanbrekend en innovatief, nu vooral duur en traag en blijkbaar ook nalatig.

Zoals? Predictive downloaden van vaak gekeken programma's?
Anders is dit, net zoals het cookiegebruik, wederom een bullshit excuus.

In de voorwaarden van Ziggo (voorheen UPC) staat dat de gegevens naar de VS gaan... Maar daar hoor ik dan AP weer nergens over... Iedereen die een horizon box heeft zijn data ligt gewoon bij liberty media op de stoep.

Daarom heb ik geen ziggo tv/internet etc. dat en dat ze 300 euro aansluitkosten willen hebben voor een kabel die er al 15 jaar ligt.

Wie kijkt er tegenwoordig nog tv? Als je al door het oerwoud van reclame heen kunt komen is er verder nog maar weinig soeps te zien. Ik kijk tegenwoordig alleen nog films of een gedownloade (aflevering gemist) serie.

Ach, in juni 2015 had Ziggo/UPC al dezelfde berichten gekregen uit AP, toen nog CBP hetende.

Ja, & die horizontale box staat standaard ook op meekijken...

Ik ben helemaal niet blij met de PR-draaitaal die XS4ALL tegenwoordig hanteert, maar dit is geen bullshit.

Zonder logbestanden kan je, als een klant een crash of ander raar gedrag meldt, maar al te vaak niets verifiëren en niets opsporen of oplossen. Je moet terug kunnen vinden waar die klant het over heeft, wat er precies op de server gebeurd is, en hoe exotischer de fout is hoe belangrijker het wordt dat de informatie waarmee je werkt gedetailleerd en compleet is. Het probleem is dat als je de klant vraagt wat hij precies gedaan heeft voor het misging je er gif op kan innemen dat die iets anders vertelt dan er werkelijk gebeurd is, en vaak genoeg een scenario beschrijft dat helemaal niet gebeurd kán zijn. Niet omdat die klant een sukkel is, maar omdat veruit de meeste mensen (mezelf niet uitgezonderd) een slecht geheugen hebben voor dat soort details en zich vaak iets anders herinneren dan er werkelijk is gebeurd. Wil je storingen kunnen oplossen en klanten kunnen helpen die ergens in vastlopen dan kan je niet om het vastleggen van logbestanden heen, en die bevatten onvermijdelijk privacygevoelige informatie, je moet namelijk de sessie van de klant bij de klacht van die klant kunnen zoeken.

Met name commerciëel ingestelde mensen voelen als ze lucht krijgen van het bestaan van dat soort gegevens een sterke aandrang om erin te gaan neuzen, er analyses op los te laten en dat op de een of andere manier te gelde te maken. Het gaat erom dat dát niet gebeurt.

Jammer dat KPN en XS4ALL de favoriete programma's niet meer algemeen bekend maken, nu moeten de mensen iedere keer weer op Facebook vertellen welke film ze kijken.

Uh bandbreedte bepalen? Zenderaanbod afstemmen? Aanbod van video ons demand afstemmen? Is echt geen bullshit.

Als topprioriteit de overtreffende trap van prioriteit is.
En privacy daarmee de dus ultieme hoge prioriteit heeft.
Waarom worden er dan nog gegevens over klanten van derden ingekocht?

Dit is geen privacy

Dit is geen privacy najagen, ook niet als prioriteit en al helemaal niet als topprioriteit.
Het is een regelrechte uitzondering op privacy van klanten.
Klanten kunnen er dus niet op rekenen dat privacy de hoogste prioriteit heeft als klanten dat zouden willen.

Er is geen gelegenheid om aan te geven voor klanten dat ze geen prijs stellen op een provider die achter hun rug om gegevens inkoopt van minder principiële derde partijen die zeer waarschijnlijk niet met toestemming van de klant aan die gegevens zijn gekomen.
Laat staan dat de klant toestemming aan die partijen heeft gegeven om in die bij elkaar gegraaide persoonsgegevens te handelen.

De data zijn daarmee alles behalve van de klant en allesbehalve inzichtelijk bij een provider die zich vooral heel erg voordoet als privacy minnend bedrijf dat geen vrijwillige keuze is maar een oud gevolg van een contractuele verplichting bij een overname in een ver verleden.

Een pijnlijke misser en of daarmee op zijn minst verhelderend waar deze provider op het gebied van privacy staat is met haar houding in de strijd tegen de bewaarplicht.
Op een cruciaal moment heeft zij waar het kon verstek laten gaan.

http://www.nu.nl/internet/4007876/nederlandse-bewaarplicht-telecomgegevens-geschrapt-rechter.html

De laatste beslissende rechtszaak tegen de bewaarplicht zijn door deze partijen gedaan;
de stichting Stichting Privacy First, 2. de vereniging Nederlands Juristen Comite? voor de Mensenrechten 3. de vereniging Nederlandse Vereniging van Strafrechtadvocaten 4. de vereniging Nederlandse vereniging van Journalisten 5. BIT B.V. 6. SpeakUp B.V. 7. VOYS 8.V..

Xs4aal deed niet mee en liet het bij een vage mededeling zelf eventueel een rechtszaak te overwegen.
Ieder bedrijf heeft het volste recht om een eigen beleid te hanteren, stom was het om verstek te laten gaan op het meest cruciale punt dat de provider kon gaan staan voor haar uitgedragen en gemarketeerde principes.
Niet gedaan en daarmee aan publieke geloofwaardigheid ingeboet.

Deze gang van zaken, samen met de wat verholen manoeuvres en flatterende berichten rondom de eigen privacyverklaringen maken het beeld vanuit eigener beweging werken aan 'nog beter' niet geloofwaardig.
Eerder, ronduit gedwongen waar het moest het iets minder slecht te doen en dat met omgekeerde marketingflair te verkopen.
Dat mag.

Uiteindelijk is het wat simpeler: er bestaat geen halve privacy, privacy heb je wel of heb je niet. Punt!

Biedt iets of iemand halve privacy dan is dat niet beter dan de rest
maar minder slecht dan de rest en blijft het dus een zeer belangrijke privacy-tekortkoming als een provider ongevraagd allerlei onbekende gegevens over jou of je gezin inkoopt.

Maar wat maakt het uit.
Het imago hulp devies is om even stil te zitten als je geschoren wordt.
Morgen weer een nieuwe waan van de dag en overmorgen maalt er geen kraaiende haan meer naar.
Over tot de inkoop orde van de dag onder het begeleidende marketingmom van mooie plaatjes van enthousiast glimlachende mensen.

Dit soort verstoppen tussen de gordijnen gedrag kan je mogelijk cynisch vinden, maar thats how it works nowadays: er is een essentieel verschil van dag en nacht tussen de voorkant en de achterkant van vrijwel elk hedendaags commercieel bedrijf.
Mooie idyllische voorkant scheppen bij een keiharde zakelijke bedrijfscultuur op de achtergrond.

Wees je er tenminste van bewust opdat je geen zaken accepteert die je niet had willen accepteren.

Dat is inderdaad een punt dat me niet lekker zit.

Het is nogal vreemd om enerzijds te pronken met het feit dat ze niet bijhouden welke websites ik bezoek om dan wel via niet nader gespecificeerde derden toch informatie over me te verzamelen. Zeker als ze ook nog als uitgangspunt beweren te hebben dat informatie over mij niet van hun maar van mij is. Daar volgt volgens mij uit dat ik de enige ben bij wie ze kunnen aankloppen voor die informatie, die haal je niet bij derden als je vindt dat die van mij is.

Ik heb nog niet dat hele document doorgelezen en ben ook al een tijd niet in het servicecentrum aangelogd geweest, maar ik overweeg om als ik weer bij ben aan XS4ALL te vragen precies aan te geven wat ze over me weten en van wie ze die informatie hebben ontvangen als het niet van mij is. Ik ben namelijk ook wel benieuwd wat derden voor informatie over me te koop hebben.

Een security officer zorgt voor de informatiebeveiliging. Dus in feite dat de informatie die er is niet gebruikt kan worden dan waarvoor de organisatie het heeft opgeslagen. Hij is niet (in eerste instantie) degenen die moet controleren of het beleid voldoet aan de wet.

De privacy officer, ofwel de Functionaris Gegevensbescherming, is degene die moet controleren of de verwerking van persoonsgegevens voldoet aan de wet. Ik weet niet of xs4all of KPN een FG hebben. Als ze die hebben en die heeft geadviseerd om dit niet te doen en de leiding heeft besloten dat advies niet op te volgen, dan is de boete extra hoog. Zie de verhoging die KPN al een keer heeft gehad t.a.v. de inbraak op hun routersystemen.

Je zou verwachten dat KPN, als recidivist, extra gestraft zou worden. Over de opgelegde straf lees ik echter niets.
Een veel gebruikte methode is analyseren welke series wanneer veel gekeken worden. Als er dan een nieuwe aflevering uitkomt, kun je vantevoren zorgen voor voldoende capaciteit.

Peter