'Klokkenluider' Fons Schirris van Leefbaar Nederland, die onlangs aantoonde hoe makkelijk het is om te frauderen met automatische incasso, ontdekte de fout maandagavond. "We hadden net een adsl-abonnement aangevraagd bij Tiscali", vertelt Schirris.

"We wilden de gegevens online checken door de url die op het bevestigingsformulier stond in te tikken, maar toen we een foutje maakten bij het invoeren van de laatste zes getallen van het adres, stuitten we op gegevens van een andere abonnee."

Bij Tiscali is geschrokken gereageerd op de ontdekking. "Ze hebben inzage gehad in de klantgegevens van de sign-upserver", legt Tiscali-woordvoerster Margaret van Kempen uit. "Het is niet zo dat ze een database zagen met alle adresgegevens erin. Voor elk adres moest een ander adres ingetikt worden."

Paar honderd

Volgens Van Kempen stonden er niet alle gegevens van de adsl-abonnees van de provider in. "Alleen van de afgelopen dagen, dus niet meer dan een paar honderd. Maar we willen het niet bagatelliseren, het is een serieuze slordigheid. We bewaren de klantgegevens al bewust op gescheiden systemen."

De gegevens op de sign-upserver bestaan volgens Tiscali uit naam, adres, e-mailadres en het soort abonnement. Het lek werd maandagavond rond elf uur door de provider gedicht.

De Leefbaar Nederland-penningmeester vindt het een 'ernstig foutje'. "Het wordt tijd dat bedrijven de verantwoordelijkheid nemen voor hun werk. Automatiseren is mooi, maar blijf er dan ook bij nadenken", luidt het advies van Schirris. "Een provider mag niet zo'n domme fout maken."

Schirris denkt dat een sanctiebeleid de bedrijven bewuster kan maken van de risico's die ze nemen met het bewaren van klantgegevens. "Als iemand anders die gegevens was tegengekomen, had die het hele bestand kunnen leegplukken en kunnen verkopen."