Een veilige en beschermde omgeving voor iedereen
Het aantal internetgebruikers neemt elk jaar alleen maar toe. Met wereldwijd 4,7 miljard gebruikers en 6,3 miljard GB aan dataverbruik per dag, wordt de rol van telecomproviders in het beschermen van de samenleving alleen maar groter. Onze klanten moeten veilig en onbezorgd kunnen internetten en communiceren, en zij moeten erop kunnen vertrouwen dat hun data en persoonsgegevens bij ons 100% veilig zijn. Bij VodafoneZiggo stellen we elke dag alles in het werk om de privacy van onze klanten te garanderen en hen te beschermen tegen fraude en misbruik.
"VodafoneZiggo staat midden in de samenleving. Als gevolg daarvan krijgen we te maken met veel wet- en regelgeving. Dat loopt uiteen van de Telecomwet tot aan gemeentelijke verordeningen. Tal van vraagstukken vragen hierbij aandacht, zoals privacy, cybercriminaliteit en big data. De bewustwording rondom deze vraagstukken groeit: bij de bevolking, in de politiek, in de pers. Om deze ontwikkelingen mede vorm te geven, onderhouden we goede relaties met overheden en andere instanties."
Barbara de Ridder - Jongerden
Executive Director External & Legal Affairs
We zien het als onze maatschappelijke verantwoordelijkheid om de online en digitale veiligheid van onze klanten te waarborgen. We moeten de juiste veiligheidsmaatregelen implementeren om te voorkomen dat, en tijdig te detecteren als, onze klanten slachtoffer lijken te worden van (cyber)criminaliteit.
Blijvend voldoen aan wet- en regelgeving
VodafoneZiggo heeft als telecomprovider een wettelijke verplichting om medewerking te verlenen aan informatieverzoeken indien daartoe bevoegde autoriteiten (bijvoorbeeld politie of opsporingsdiensten) dit volgens geldende procedures opvragen. Het gaat dan bijvoorbeeld om klant-informatie als een klant verdacht wordt van criminele- of terroristische activiteiten. Alleen in dergelijke gevallen verstrekken we informatie, bijvoorbeeld aan politie en justitie. Dit vindt altijd plaats middels voorafgaande toetsing door VodafoneZiggo aan de geldende procedures. Vodafone Group publiceert geregeld een rapport over wetshandhaving met een aanpak per land.
Voor de bescherming van informatie houden we ons aan internationale richtlijnen en lokale wet- en regelgeving en volgen we best practices in de sector. Sinds 2017 hebben we een certificering voor ISO 27001, de internationale standaard voor informatieveiligheidsmanagementsystemen. Alle collega's, het management en andere betrokken partijen zijn verplicht om gebreken of verstoringen van de beveiligingsmaatregelen te melden.
Hoe we de veiligheid voor klanten garanderen
Waar netwerken en systemen steeds complexer en geavanceerder worden, vinden cybercriminelen ook steeds nieuwe routes om te frauderen of gegevens te misbruiken. Denk bijvoorbeeld aan spoofing (identiteitsfraude), phishing (internetfraude), of smishing (een nieuwe vorm van phishing waarbij gebruik gemaakt wordt van sms). Bij VodafoneZiggo werken we - samen met sectorpartijen en andere partijen in de markt zoals banken - voortdurend aan de bescherming van onze klanten tegen dit soort bedreigingen. De verantwoordelijkheid hiervoor ligt bij onze veiligheidsteams. Deze teams borgen de veiligheid van onze klantsystemen, applicaties, datacentra en IT-infrastructuur. Interne veiligheidsexperts adviseren onze mensen bij de totstandkoming van nieuwe producten en diensten.
Zogenoemde Cyber Defence Operations-afdelingen houden toezicht op de infrastructuur en de online activiteiten van VodafoneZiggo. Dit doen ze zeven dagen in de week, 24 uur per dag. Incidenten worden geautomatiseerd gemonitord en gerapporteerd naar onze afdeling Technical Security. De veiligheidsteams van VodafoneZiggo sporen samen met hen potentiële dreigingen op en werken gezamenlijk aan oplossingen. Voortdurend worden tests en risicoanalyses uitgevoerd om gevaren te voorspellen en te detecteren.
Samenwerken met partners voor een veilige samenleving
We voeren de strijd tegen cybercriminaliteit niet alleen. We verenigen onze kennis en ervaringen met die van andere grote spelers door structureel in dialoog te blijven met overheden, gemeentes, justitie, sectorpartijen en andere branches. Het doel is de samenwerking tussen branches op veiligheidsgebied te intensifiëren om met elkaar toe te werken naar een landelijke aanpak en registratie van cybercriminaliteit. Zo zetten wij ons niet alleen in voor onze klanten maar ook voor een veilige samenleving als geheel. In 2020 hebben we een aantal samenwerkingsverbanden verder uitgebouwd. VodafoneZiggo is aangesloten bij het COIN-fraude convenant, een samenwerkingsverband binnen de telecombranche gericht op het tegengaan en nog sneller kunnen detecteren en opvolgen van fraude en misbruik. We namen actief deel aan TechScam, een initiatief dat zich richt op bestrijding van Microsoft-scamming en we zijn lid van de Veilig Email Coalitie, waarin bedrijfsleven en overheid zich verenigen om het vertrouwen in en de veiligheid van e-mail te vergroten.
Voorkomen van interne fraude
We zijn niet alleen scherp op fraude van buitenaf. Ook het risico op interne fraude heeft onze aandacht. Binnen VodafoneZiggo is een team van vijf medewerkers actief bezig om interne fraude, diefstal en wangedrag te voorkomen. Indien medewerkers of leveranciers een vorm van fraude plegen, kan in lijn met de VZ Investigations Policy, een disciplinaire maatregel worden opgelegd in overleg met de betreffende afdelingen. In ernstige gevallen verzamelen we bewijsmateriaal tegen de personen in kwestie, zodat we maatregelen tegen hen kunnen nemen. Waar nodig lichten we de politie of autoriteiten in.
Alle data en informatie van onze klanten moet beschermd worden. VodafoneZiggo draagt daarmee een grote maatschappelijke verantwoordelijkheid die we heel serieus nemen. Het beschermen van de privacy van onze klanten is een cruciaal onderdeel van ons beleid en speelt een belangrijke rol bij de keuzes die we als organisatie maken.
Blijvend voldoen aan wet- en regelgeving
Natuurlijk zijn we als een van de grootste spelers op de Nederlandse telecommarkt onderhevig aan allerlei wet- en regelgeving omtrent privacy, en voldoet ons privacy beleid aan de regels van de Algemene Verordening Gegevensbescherming (AVG). Zo is het bijvoorbeeld bij wet verboden om de inhoud van bel-, sms- en internetverkeer in te zien. Dat we ons daaraan houden, is een vanzelfsprekendheid. Wel kunnen we – met toestemming van klanten – gerichte adviezen doen aan de hand van verbruik, interesses en demografische gegevens. Persoonsgegevens delen we vanzelfsprekend zonder toestemming niet met anderen. Wel moeten we volgens de wet medewerking verlenen aan verzoeken om inlichtingen vanuit overheidsinstanties.
Voor VodafoneZiggo gaat privacy verder dan het naleven van wet- en regelgeving. Een speciaal privacy-team van vier medewerkers werkt dag in dag uit aan het waarborgen en beschermen van de gegevens van onze klanten. Wanneer collega's nieuwe plannen hebben met persoonsgegevens, moeten ze dit voorleggen aan het privacy team en/of de Data Usage Board die het effect op de privacy beoordeelt en onder welke voorwaarden de verwerking plaats kan vinden. Daarnaast kijken we verder dan onze eigen organisatie en onderzoeken we bijvoorbeeld ook eventuele risico's op dit gebied bij onze nieuwe leveranciers. We besteden aandacht aan het creëren van bewustwording door medewerkers training en richtlijnen aan te bieden. In ons privacy statement informeren we onze klanten of medewerkers over hoe we omgaan met persoonsgegevens. Om de effectiviteit van deze activiteiten te monitoren worden er steekproeven uitgevoerd door onze Privacy Officer, vinden er interne audits plaats en bespreken we verbetermogelijkheden in geval van data breaches.
Integreren van privacy in nieuwe producten en diensten
Bij het ontwikkelen van nieuwe producten en diensten houden we rekening met privacy. Nieuwe projecten, systemen en toepassingen moeten vooraf getoetst worden op privacy risico’s, zodat maatregelen genomen kunnen worden als er inderdaad risico’s geïdentificeerd worden. Dit is verplicht volgens de privacywetgeving. Deze controle gebeurt met een online privacy management-tool. In 2020 werden hiermee een paar honderd nieuwe initiatieven getest op privacy risico’s. Als teams nieuwe datatoepassingen bedenken, dan laten zij hun idee toetsen door onze Data Usage Board: een groep interne deskundigen die elke twee weken samenkomt om te bepalen onder welke voorwaarden teams ideeën verder mogen uitwerken. Centrale vragen die worden getoetst, zijn: kunnen we dit, mogen we dit, moeten we dit willen?
Klanten behouden regie over hun gegevens
Bij ons bepalen klanten zelf welke gegevens van hen wel en niet worden vastgelegd. Onze klanten hebben toegang tot een zogenoemd privacy dashboard, een beveiligde online omgeving waar zij zien welke gegevens we van hen bijhouden. Ze kunnen hier een overzicht opvragen van hun persoonlijke gegevens, contactgegevens wijzigen, en wel of geen toestemming geven voor gebruik van de gegevens. Afgelopen jaar hebben we het overzicht uitgebreid voor Ziggo klanten met data over tv-kijkgedrag en profielen die zijn opgesteld op basis van surfgedrag op de Ziggo website. Dit geldt uiteraard alleen voor klanten die hiervoor hun toestemming hebben gegeven. Gemiddeld ontvingen wij in het afgelopen jaar meer dan duizend verzoeken per maand van klanten. Naar aanleiding van klantvragen en aanvullende verzoeken verbeteren we het privacy dashboard geregeld.
Verantwoord omgaan met de kansen en uitdagingen van data
De rol van data binnen onze organisatie groeit explosief. Met behulp van data kunnen we onze diensten en producten beter laten aansluiten op de wensen en behoeftes van onze klanten. We kunnen onze processen efficiënter inrichten en onze klanten nog beter en sneller helpen. Het helpt ons bijvoorbeeld om te voorspellen wanneer bepaalde netwerkapparatuur of randapparatuur kan uitvallen of wanneer slecht wifibereik optreedt, waardoor we sneller preventieve maatregelen kunnen nemen en storingen voor klanten kunnen voorkomen. Tegelijkertijd moeten we bij de ontsluiting van zoveel data heel goed opletten waar het de persoonsgegevens van klanten raakt. We willen de mogelijkheden van data benutten en tegelijkertijd de privacy van klanten en medewerkers beschermen. Dit doen we door data zoveel mogelijk anoniem te verwerken of bepaalde data alleen met expliciete toestemming te gebruiken zodat we relevantere communicatie kunnen uitsturen.
Verantwoord omgaan met klachten en incidenten
Misstanden of incidenten worden indien nodig gemeld bij de Autoriteit Persoonsgegevens. Heeft een incident ongunstige gevolgen voor de klant, dan informeren we hen zo snel mogelijk over hoe zij negatieve consequenties kunnen beperken. Klanten kunnen met klachten terecht bij onze klantenservice of rechtstreeks bij ons Privacy Office. Een klant kan ook een klacht indienen bij de Autoriteit Persoonsgegevens. Deze neemt in dat geval contact op met onze Data Protection Officer. De incidenten die plaatsvinden en de klachten die we binnenkrijgen worden intern besproken om te achterhalen wat er precies is gebeurd. Hiermee proberen we zorg te dragen voor eventuele herstelmaatregelen om dergelijke incidenten en klachten in de toekomst te voorkomen.
Resultaat 2020 | Resultaat 2019 | |
Individuele rechten & vrijheden kunnen uitoefenen (Recht op Inzage, Verwijdering en Bezwaar) | 17.500 | n.v.t. |
Data Usage Requests (verzoeken vanuit de eigen organisatie om data te mogen gebruiken) | 120 | 100 |
Privacy Quickscans | 298 | n.v.t. |
Data Protection Impact Assessments (DPIA) | 59 | 60 |
Privacy by Design assessments (PIA's) | 34 | 40 |
Leverancierscheck op Privacy & Security | 67 | 30 |
% medewerkers die de privacy e- learning heeft gevolgd | 100% | 100% |
% klantenservice medewerkers die de data breach e-learning hebben gevolgd | 65% | n.v.t. |
% datalekken welke we aan de Autoriteit Persoonsgegevens hebben gemeld (na ontrafeling en afweging aard/ omvang) | 70% | 80% |
Werken aan maatschappelijke bewustwording over privacy en online veiligheid
We zien het als onze taak om het kennisniveau over privacy en veiligheid in de maatschappij te vergroten en mensen voor te lichten over mogelijke online risico’s. Daarom voeren we zowel intern als extern campagnes om mensen bewust te maken van de veiligheidsrisico's die online of op de werkplek bestaan.
Werken aan bewustwording bij kinderen en ouderen
Kwetsbare doelgroepen zoals kinderen en ouderen zijn over het algemeen gevoeliger voor fraude en online criminaliteit. Met onze lesprogramma’s Online Masters (gericht op kinderen) en Welkom Online (gericht op ouderen) willen we hun bewustzijn en vaardigheden rondom deze thema’s vergroten. In het Online Masters lesprogramma leren we kinderen wat privacy inhoudt, hoe ze veilig apps gebruiken en veilig gebruik kunnen maken van het internet. En ook in het Welkom Online programma zijn veiligheid en privacy belangrijke thema’s. Lees meer over onze lesprogramma’s in het hoofdstuk omtrent gelijke kansen in de samenleving. Ook in ons beleid en onze marketingactiviteiten houden we rekening met de kwetsbaarheid van deze maatschappelijke groepen. Zo sluiten we alleen abonnementen af met personen van 18 jaar en ouder en richten we onze marketinguitingen niet op mensen onder deze leeftijd.
Werken aan interne bewustwording middels trainingen
Interne bewustwording draagt bij aan het sneller opsporen en verhelpen van fraude en misbruik. Elke nieuwe VodafoneZiggo-medewerker volgt tijdens zijn of haar onboarding-programma een training over omkoping, fraude en onveilig gedrag. Deze training wordt vervolgens elk jaar herhaald. Ook communiceren we gedurende het jaar met onze mensen over privacy- en veiligheid gerelateerde onderwerpen. Via intranet, management updates, en door medewerkers te adviseren bij data-initiatieven. Alle medewerkers hebben in 2020 een e-learningmodule over privacy gevolgd. Klantenservicemedewerkers hebben een specifieke module gevolgd over datalekken en het voorkomen hiervan. Op verzoek gaven we maatwerktrainingen aan teams en afdelingen. Hierin leerden zij over de privacywetgeving en in hoeverre die van invloed is op hun werkzaamheden. Om ervoor te zorgen dat privacy intern breed gedragen wordt, zijn inmiddels 50 Privacy Champions aangesteld. Dit zijn medewerkers die opgeleid zijn om anderen te helpen bij privacy gerelateerde vragen. Alle Privacy Champions werd in 2020 de gelegenheid geboden hun kennis bij te spijkeren en via e-learning een IAPP-accreditatie te verwerven.
In november 2020, werd tijdens het People Planet Progress festival een webinar over dit onderwerp georganiseerd, in totaal hebben 128 collega’s deelgenomen aan een van de sessies over privacy tips & tricks en over de big data paradox: privacy en/of personalisatie.
Doelstelling 2021 | Resultaat 2020 | Resultaat 2019 | |
% nieuwe medewerkers die training module over Code of Conduct omtrent veiligheid en security heeft doorlopen | n.v.t | 100% | n.v.t. |
% medewerkers dat privacy e-learning heeft doorlopen | 100% | 100% | 16% |
# medewerkers dat heeft deelgenomen aan privacysessies PPP-festival | n.v.t | 128 | n.v.t. |