Privacywaakhond CBP verwerpt kritiek van Thuiswinkel.org
Het College Bescherming Persoonsgegevens heeft fel gereageerd op de stelling van Thuiswinkel.org dat het CBP het privacybeleid zou kapen. Volgens het CBP willen organisaties als Thuiswinkel.org juist carte blanche krijgen voor het omgaan met persoonsgegevens.
Thuiswinkel.org, de brancheorganisatie voor webwinkels, gaf woensdag kritiek op zowel het College Bescherming Persoonsgegevens als zijn Europese zusterorganisaties die zijn verenigd in de zogenaamde Artikel 29 Werkgroep. Zij zouden volgens de webwinkeliers een te streng privacybeleid uitvoeren op basis van eigen interpretaties van Europese privacywetgeving. Daarnaast zouden zij zelfs op eigen houtje nieuwe regelgeving instellen, terwijl dat niet hun wettelijke taak is als toezichthouder.
Wijnand Jongen, directeur van Thuiswinkel.org, verwijst in zijn kritiek onder andere naar het gelijkstellen van een ip-adres aan een persoonsgegeven. Deze maatregel zou het bedrijfsleven onnodig veel geld kosten. Ook had de brancheorganisatie kritiek op de mate van inspraak: de toezichthouders zouden eigenhandig reageren.
Jacob Kohnstamm, voorzitter van privacywaakhond CBP, laat aan Tweakers weten dat hij de kritiek van Thuiswinkel.org verwerpt. Volgens Kohnstamm blijkt uit de amendementen die de brancheorganisatie ondersteunt dat Thuiswinkel.org het grondrecht tot ‘bescherming van persoonsgegevens’ ter discussie stelt: "Het grondrecht op bescherming van persoonsgegevens moet omgezet worden in een carte blanche voor het bedrijfsleven om met betrekking tot persoonsgegevens te doen en te laten wat het bedrijfsleven goed dunkt", zo stelt Kohnstamm.
Kohnstamm reageert ook op de aantijgingen ten opzichte van de interpretatie van de regelgeving door de toezichthouder. De CBP-voorzitter stelt: "de nieuwe verordening moet net als de uit vorige eeuw stammende thans geldende Richtlijn, technologieneutraal en daarom bestand zijn tegen de tand des tijds. De keuze is: ofwel open normen stellen die in concrete gevallen tijd- en plaatsafhankelijk geïnterpreteerd moeten worden en uiteindelijk door de rechters getoetst worden, ofwel de belachelijke keuze om nieuwe technologische toepassingen te verbieden; aan Thuiswinkel de keuze."
Bij de kwestie rondom de vraag of ip-adressen gezien kunnen worden als een persoonsgegeven, verwijst het CBP naar een uitspraak van het Europese Hof van Justitie. Deze heeft bepaald dat in de meeste gevallen ip-adressen als persoonsgegeven gezien kunnen worden. Verder wijst de privacywaakhond erop dat het wel degelijk met diverse maatschappelijke en commerciële belanghebbenden overleg voert. Zo heeft het CBP naar eigen zeggen geregeld contact met de voorzitter van VNO/NCW en de commissie privacy van dezelfde brancheorganisatie.
Reacties (40)
Mijns inziens terecht dat een ipadres als persoonsgegeven wordt gezien. Stel dat er een grote webwinkel is waar in het klantenbestand tevens ipadressen worden opgeslagen. Op het moment dat deze database lekt om de een of andere reden (vaak genoeg gebeurd lijkt mij), dan liggen er dus behalve de andere gevoelige gegevens zoals telefoonnummers en adressen ook de ipadressen op straat... gekoppeld aan een naam!
Het feit dat de meeste ipadressen niet interessant genoeg zijn wil nog niet zeggen dat het in potentie een groot gevaar oplevert voor de privacy
edit: @ reacties hieronder:
Dat een ipadres variabel kan zijn (danwel vanwege dynamisch, danwel vanwege spoofing) en niet noodzakelijk tot een persoon of specifiek apparaat herleidbaar hoeft te zijn (en dan laten we voor het gemak de consequenties van invoering van IPv6 achterwege), doet weinig afbreuk aan het feit dat een ipadres in de meeste gevallen wel degelijk een sterke relatie heeft tot een bepaald adres/computer/huishouden/persoon. Een telefoonnummer of een adres kan evengoed wijzigen gedurende het leven van een persoon. Moeten mensen daarom maar regelmatig van adres of telefoonnummer wijzigen (of altijd valse waarden opgeven), omdat wij er maar van uit moeten gaan dat bedrijven hier niet zorgvuldig mee om zullen gaan?
En het gaat ook helemaal niet om het wel of niet opslaan van het ip adres. Het gaat erom dat het CPB wil erkennen dat een ipadres een persoonsgegeven is en dat winkels hier dus gewoon net zo zorgvuldig mee om moeten gaan als met de overige persoonsgegevens!
Het feit dat de meeste ipadressen niet interessant genoeg zijn wil nog niet zeggen dat het in potentie een groot gevaar oplevert voor de privacy
edit: @ reacties hieronder:
Dat een ipadres variabel kan zijn (danwel vanwege dynamisch, danwel vanwege spoofing) en niet noodzakelijk tot een persoon of specifiek apparaat herleidbaar hoeft te zijn (en dan laten we voor het gemak de consequenties van invoering van IPv6 achterwege), doet weinig afbreuk aan het feit dat een ipadres in de meeste gevallen wel degelijk een sterke relatie heeft tot een bepaald adres/computer/huishouden/persoon. Een telefoonnummer of een adres kan evengoed wijzigen gedurende het leven van een persoon. Moeten mensen daarom maar regelmatig van adres of telefoonnummer wijzigen (of altijd valse waarden opgeven), omdat wij er maar van uit moeten gaan dat bedrijven hier niet zorgvuldig mee om zullen gaan?
En het gaat ook helemaal niet om het wel of niet opslaan van het ip adres. Het gaat erom dat het CPB wil erkennen dat een ipadres een persoonsgegeven is en dat winkels hier dus gewoon net zo zorgvuldig mee om moeten gaan als met de overige persoonsgegevens!
[Reactie gewijzigd door Eskimo0O0o op woensdag 27 februari 2013 20:26]
Dat klinkt voor mij als hetzelfde als wat er met de "kopschoppers" en de jongens in Oosterhout gebeurt..."Het grondrecht op bescherming van persoonsgegevens moet omgezet worden in een carte blanche voor het bedrijfsleven om met betrekking tot persoonsgegevens te doen en te laten wat het bedrijfsleven goed dunkt"
Open en bloot met naam en toenaam, vrij om te beveroordelen...
Brr...
Om het even in een correcter daglicht te plaatsen: Gegevens beschikbaar maken met tegengestelde belangen dan degene van wie de gegevens zijn lijkt mij niet juist. Dat is net zoiets als een slachtoffer een verdachte laten veroordelen...
[Reactie gewijzigd door Nas T op woensdag 27 februari 2013 17:39]
ip adressen zijn bijna nooit vast.
mensen die snachts hun modem uitzetten hebben in de ochtend hoogstwaarschijnlijk een nieuw ip die giter nog van ienand anders was.
ip adresses kunnen gewoon niet aan een persoon gekoppeld worden als je dat niet zou wilen.
ik kan binnen 5 minuten een ander ip adres opvragen door simpelweg de modem uit te zetten mac adres te veranderen in de router en de modem weer aan te zetten.
mensen die snachts hun modem uitzetten hebben in de ochtend hoogstwaarschijnlijk een nieuw ip die giter nog van ienand anders was.
ip adresses kunnen gewoon niet aan een persoon gekoppeld worden als je dat niet zou wilen.
ik kan binnen 5 minuten een ander ip adres opvragen door simpelweg de modem uit te zetten mac adres te veranderen in de router en de modem weer aan te zetten.
Dat hangt van je abbonement af. Ik ken mensen die hebben elke dag een nieuw IP adres, maar ik ken ook mensen die al 3 tot 5 jaar het zelfde IP adres hebben..
Leuk voor jou. Mijn ip-adres is wel vast, heb al jaren hetzelfde ip-adres. Net als heel veel andere Nederlanders.ip adressen zijn bijna nooit vast.
ik kan binnen 5 minuten een ander ip adres opvragen door simpelweg de modem uit te zetten mac adres te veranderen in de router en de modem weer aan te zetten.
Mijn ouders met een KPN ADSL abo hebben anders al meer dan 8 jaar hetzelfde IP. Nooit om gevraagd, maar in de praktijk wel zo gebleken.
IP-adressen zijn bijna nooit vast? Waar haal je die onzin vandaan? Tele2 en Ziggo en zeker menige andere ISPs hanteren wel degelijk vaste IPs voor consumenten.
Ik heb op mijn Ziggo Abo al zeker 6 jaar hetzelfde IP en op mijn Tele2 inmiddels ook al meer dan een jaar.
Ik heb op mijn Ziggo Abo al zeker 6 jaar hetzelfde IP en op mijn Tele2 inmiddels ook al meer dan een jaar.
[Reactie gewijzigd door Darkstriker op donderdag 28 februari 2013 00:01]
Onzin. IP-adressen zijn vaker vast dan je denkt. Zeker zakelijk heeft een bedrijf vaak vaste IP's, maar ook consumenten hebben lange tijd hetzelfde IP. Hoeveel mensen zetten overigens 's nachts hun modem uit volgens jou? Volgens mij is dat maar een heel klein deel van de Nederlanders. Ik heb thuis al jaren hetzelfde IP en ben dus op basis van mijn IP te identificeren.
En dan nog is het onzin om te zeggen dat een IP geen persoonsgegeven is, omdat het niet altijd vast is. Dat is net als zeggen: een telefoonnummer kan ook een telefooncel zijn, dus een telefoonnummer is niet terug te leiden tot een persoon. Dat er uitzonderingen bestaan wil niet zeggen dat een groot deel van de mensen (zonder overdrijven miljoenen Nederlanders) _wel_ via hun IP te identificeren is. Voor die mensen is dat IP dus WEL een persoonsgegeven. En aangezien je dat aan het IP-adres zelf niet kunt zien, is ieder IP-adres een potentieel persoonsgegeven en moet daar ook als zodanig mee worden omgegaan.
En dan nog is het onzin om te zeggen dat een IP geen persoonsgegeven is, omdat het niet altijd vast is. Dat is net als zeggen: een telefoonnummer kan ook een telefooncel zijn, dus een telefoonnummer is niet terug te leiden tot een persoon. Dat er uitzonderingen bestaan wil niet zeggen dat een groot deel van de mensen (zonder overdrijven miljoenen Nederlanders) _wel_ via hun IP te identificeren is. Voor die mensen is dat IP dus WEL een persoonsgegeven. En aangezien je dat aan het IP-adres zelf niet kunt zien, is ieder IP-adres een potentieel persoonsgegeven en moet daar ook als zodanig mee worden omgegaan.
[Reactie gewijzigd door Grrrrrene op donderdag 28 februari 2013 08:39]
Als je er verstand van heb weet je zeker dat je _nooit_ IP adressen mag kopelen aan prive gegevens omdat iets simpels als spoofing dmv VM je makkelijk een IP adres kan maken met betreffende mac adres .
Er zijn ook moederborden die het flashen van MAC adres ook toelaten.
Het is dus erg simpel om te denken dat het een waardige koppeling zou betekenen, zelfs met dynamische ip adressen heb je hetzelfde.
Dat een of andere bureaucraat naar een rechter verwijst laat juist zien dat hij op de verkeerde plek zit en maar wat aan ratelt.
Er zijn ook moederborden die het flashen van MAC adres ook toelaten.
Het is dus erg simpel om te denken dat het een waardige koppeling zou betekenen, zelfs met dynamische ip adressen heb je hetzelfde.
Dat een of andere bureaucraat naar een rechter verwijst laat juist zien dat hij op de verkeerde plek zit en maar wat aan ratelt.
Als je statistisch onderzoek naar het surfgedrag van een gebruiker wil doen dat valt die nihil kleine gedeelte gebruikers die hun mac-adres geregeld spoofen en om het uur van ip-adres veranderen in het niet bij de grote meerderheid gebruikers die dit niet doen en bij wie de ip gewoon vast staat vanuit de provider.
En als iemand kwaad wil krijg je het dus wel voor je kiezen als consument want er wordt niet serieus naar gekeken.
Ongeveer de zelfde insteek wat de banken hebben en de pinpas. Dat verhaal was zo ongelofelijk dat iemand anders er met je pin code er van door ging......
Je gaat hetzelfde krijgen in deze verhouding als het IP maar als ruggengraat wordt "misbruikt".
Ongeveer de zelfde insteek wat de banken hebben en de pinpas. Dat verhaal was zo ongelofelijk dat iemand anders er met je pin code er van door ging......
Je gaat hetzelfde krijgen in deze verhouding als het IP maar als ruggengraat wordt "misbruikt".
[Reactie gewijzigd door Athlon-pv op donderdag 28 februari 2013 11:53]
Want het gaat volgens jouw om het IPV4 adress van je computer... en niet die van je modem/router die direct in verbinding met het internet staat?
Uit jouw reactie leid ik af dat je denkt dat omdat een ipadres een persoonsgegeven is, dat deze niet opgeslagen zou worden. Maar het feit dat het een persoonsgegeven is, maakt helemaal niet dat hij niet opgeslagen wordt.
De webwinkels moeten er zorgvuldig mee om te gaan maar slaan het dus wel op, bij de rest van de klantgegevens.
Dat lekken is dus nog steeds mogelijk, ondanks deze uitspraak.
Edit: Waarom komt mijn reactie niet direct onder die van Eskimo0O0o te staan, waar ik op reageerde?
De webwinkels moeten er zorgvuldig mee om te gaan maar slaan het dus wel op, bij de rest van de klantgegevens.
Dat lekken is dus nog steeds mogelijk, ondanks deze uitspraak.
Edit: Waarom komt mijn reactie niet direct onder die van Eskimo0O0o te staan, waar ik op reageerde?
[Reactie gewijzigd door Crazy Harry op woensdag 27 februari 2013 19:25]
Een ip-adres is geen persoonsgegeven zoals zoveel data dat niet is. Een ip-adres dat gekoppeld wordt aan een naam is daarentegen juist wel een persoonsgegeven. Er moet een koppeling zijn met een persoon en dat is bij een ip-adres lang niet altijd zo. Diverse netwerkcomponenten hebben ook een ip-adres en er zijn een aantal ranges voor speciaal gebruik (denk alleen al aan 10.x.x.x, 192.168.x.x). Die leiden dus niet naar een persoon. Zo uit het hoofd is dat ook het oordeel van het Europees Hof geweest. Je moet dus naar het totaalplaatje kijken en dat gebeurd vaak niet.
Correcte reactie ppl, maar daar gaat het in het geval van online winkels dus ook om: koppeling van ip-adres aan naam en overige persoonsgegevens. Een los telefoonnummer of een los woonadres is in dat opzicht ook geen persoonsgegeven maar slechts een los gegeven.
Kern van dit artikel is dat er onenigheid bestaat tussen enerzijds het CPB en anderzijds de online winkelbranche.
En laat nou net laatstgenoemde de partij zijn die behalve overige persoonsgegevens nou ook altijd toegang heeft tot een ip-adres waarmee een bestelling wordt gedaan. Dit wil niet zeggen dát alle webwinkels dit doen of dat dit nut heeft, maar het gaat er om dat winkels zich dus moeten realiseren dat wannéér dit gebeurt, dezelfde zorgvuldigheidsregels zouden moeten gelden als voor een postcode of een telefoonnummer.
En daar wringt de schoen op de een of andere manier.
Kern van dit artikel is dat er onenigheid bestaat tussen enerzijds het CPB en anderzijds de online winkelbranche.
En laat nou net laatstgenoemde de partij zijn die behalve overige persoonsgegevens nou ook altijd toegang heeft tot een ip-adres waarmee een bestelling wordt gedaan. Dit wil niet zeggen dát alle webwinkels dit doen of dat dit nut heeft, maar het gaat er om dat winkels zich dus moeten realiseren dat wannéér dit gebeurt, dezelfde zorgvuldigheidsregels zouden moeten gelden als voor een postcode of een telefoonnummer.
En daar wringt de schoen op de een of andere manier.
de webwinkels zien jouw 192.168.x.x adres niet. het gaat hier om het externe IP adres dat je modem/router gebruikt om het internet mee op te komen. De ranges die jij aangeeft zijn niet eens routable op het internet
Het CBP kan zeggen wat ie wil, maar bij een geschil zal toch echt de rechter uitspraak moeten doen, of zie ik dit verkeerd?
Dat klopt. Maar bij duidelijke regelgeving en richtlijnen, zo mogelijk in consensus tussen de betrokken partijen, is de kans op geschillen geringer. Daarbij, het is vaak een kostbare zaak, qua tijd, energie en geld, om een geschil via de rechter uit te vechten.
In het kader van bescherming van persoonsgegevens dient er vooral duidelijkheid te zijn. Met een duidelijke nadruk op Bescherming van de persoonsgegevens.
In het kader van bescherming van persoonsgegevens dient er vooral duidelijkheid te zijn. Met een duidelijke nadruk op Bescherming van de persoonsgegevens.
Gelukkig geldt (in Nederland tenminste) dit ook nog voor bedrijven als Thuiswinkel, anders zag het er wat minder mooi uit nu.
Ik snap sowieso niet wat een webwinkel in hemelsnaam met mijn IP moet en al helemaal niet waarom deze opgeslagen moet worden. Naam, factuuradres en aflever adres is meer dan voldoende.
Bij de Mediamarkt vragen ze tenminste nog netjes of ze m'n postcode mogen noteren, maar er is nog geen enkele webshop geweest die vroeg of ze m'n IP mochten opslaan.
Wat mij betreft kan thuiswinkel.org de pot op met hun kritiek.
Bij de Mediamarkt vragen ze tenminste nog netjes of ze m'n postcode mogen noteren, maar er is nog geen enkele webshop geweest die vroeg of ze m'n IP mochten opslaan.
Wat mij betreft kan thuiswinkel.org de pot op met hun kritiek.
Mag ik dan als eigenaar van de betreffende al-dan-niet-persoonsgegevens daar zélf nog een stem in krijgen? In dat geval geef ik namelijk het CBP gewoon groot gelijk - een IP adres is met de juiste machtigingen terug te leiden op een persoon en dus inderdaad een persoonsgegeven. Het CBP heeft dus gewoon een punt dat ze dit zo interpreteren.
Leuk dus dat de thuiswinkelclub hier tegenin gaat, maar hiermee is in ieder geval duidelijk van welke kant hun inkomsten komen.
Leuk dus dat de thuiswinkelclub hier tegenin gaat, maar hiermee is in ieder geval duidelijk van welke kant hun inkomsten komen.
Probleem is alleen dat zodra je een IP adres als persoonsgegeven ziet dat je ook een probeem hebt met bijvoorbeeld de logfiles op de server. En dat geld overigens niet alleen voor webwinkels, maar ook voor een site als Tweakers.In dat geval geef ik namelijk het CBP gewoon groot gelijk - een IP adres is met de juiste machtigingen terug te leiden op een persoon en dus inderdaad een persoonsgegeven. Het CBP heeft dus gewoon een punt dat ze dit zo interpreteren.
Kun je toch anonymiseren op een manier dat IP --> Anonyniem uniek nummer wel gaat en Anoniem nummer --> IP niet meer gaat? Dan kun je loggen wat je wil zonder opslag van persoonsgegevens.
Overigens is het verwerken (en bewaren) van persoonsgegevens niet verboden of zo. Het helpt als het binnen de EU gebeurt en de klant recht heeft op inzage en correctie.
Overigens is het verwerken (en bewaren) van persoonsgegevens niet verboden of zo. Het helpt als het binnen de EU gebeurt en de klant recht heeft op inzage en correctie.
Uit privacyoogpunt lijkt me dat wenselijk. Echter, als blijkt dat 99% van je serverload door een anonyniem uniek nummer wordt veroorzaakt, kun je het bijbehorende IP niet blokkeren, want die weet je niet.
Dat is inderdaad simpel op te lossen met een hash. Het verwerken en bewaren van persoonsgegevens is niet verboden, maar er is wetgeving aan verbonden. Je kan niet zonder toestemming iets met een persoonlijk gegeven doen. Zo simpel is het. Dit is om doorverkoop van persoonlijke gegevens te voorkomen, of ongewest gerichte advertenties tegen te gaan (hoewel we hier toch beter adblock en donottrackme kunnen gebruiken).
Een IP in een serverlog is natuurlijk wel iets anders als een IP in je klantendatabase opslaan.
Loggegevens zijn noodzakelijk voor het beheer van systemen en applicaties. Dat deze gegevens inzichtelijk worden gemaakt voor de business is ook al discutabel en mag in de meeste gevallen niet.
Zoals ik ergens hierboven al opmerkte is het, in principe dynamische, IP adres van de KPN ADSL abo van mijn ouders al 8+ jaar hetzelfde. In die periode zijn er een hoop websites die dit IP adres aan allerlei accounts en bestellingen op naam van mijn ouders hebben kunnen koppelen.
Mocht iemand deze informatie "verzamelen" dan hij kan dus met vrijwel 100% zekerheid bepalen dat het mijn ouders zijn die op een zeker moment een bepaalde website bezoeken. Dit zonder enige informatie van de Internet provider. In dit geval is, en het is denk ik geen uniek geval, is het IP adres absoluut een persoonsgegeven.
Mocht iemand deze informatie "verzamelen" dan hij kan dus met vrijwel 100% zekerheid bepalen dat het mijn ouders zijn die op een zeker moment een bepaalde website bezoeken. Dit zonder enige informatie van de Internet provider. In dit geval is, en het is denk ik geen uniek geval, is het IP adres absoluut een persoonsgegeven.
Net als een telefoonnummer of een postcode een manier is om mij te bereiken, is een ip-adres dat ook. Groot gelijk dus. Zeker met de static-ip waar ik achter zit.
Ik ben niet zeker van het ondemocratische karakter. De toezichthouder moet toezien op bescherming van persoonsgegevens van consumenten die online shoppen. De Europese rechter heeft bepaald dat een IP-adres wordt gezien als een persoonsgegeven. Nu stelt de toezichthouder in haar beleid dat een IP-adres evenals de bekende persoonsgegevens gewaarborgd moet worden. Niet zo vreemd eigenlijk.
Vind het erg raar om IP adressen als iets persoonlijk te zien. Je mag er namelijk nooit, maar dan ook nooit vanuit gaan dat een IP adres een bepaald persoon is.
Allereerst omdat sommige mensen een dynamisch IP adres hebben. Kijk nu eens naar de belgen, die hebben vaak een dynamisch IP adres. Dat wordt dus constant gewijzigd en dan is er een kans dat iemand anders het IP adres krijgt waarmee jij zojuist bent geregistreerd.
Maar het is ook onbetrouwbaar omdat als ik mij bijvoorbeeld in een bibliotheek ga zitten registreren dan kan het niet zo zijn dat "ik" de bibliotheek wordt.
Dit betreft enkel de het IP gedeelte. Zo heeft denk ik het CBP nog wat te leren. Echter daartegenover staat vind ik inderdaad dat privacy beter beveiligd moet worden en vermeld moet worden wat er bewaard wordt. Naar mijn weten zijn hier ook privacy documenten voor. Denk dat het daarom eens goed zal zijn als alle belanghebbende is een gesprek aangaan met een ICT adviseur die daadwerkelijk kennis heeft en eens alles is goed doornemen en opnieuw gaan regelen. Hierbij doel ik op zowel organisaties als CPB en Thuiswinkel, maar ook dat consumenten en webwinkel eigenaren bijvoorbeeld mee kunnen praten.
Allereerst omdat sommige mensen een dynamisch IP adres hebben. Kijk nu eens naar de belgen, die hebben vaak een dynamisch IP adres. Dat wordt dus constant gewijzigd en dan is er een kans dat iemand anders het IP adres krijgt waarmee jij zojuist bent geregistreerd.
Maar het is ook onbetrouwbaar omdat als ik mij bijvoorbeeld in een bibliotheek ga zitten registreren dan kan het niet zo zijn dat "ik" de bibliotheek wordt.
Dit betreft enkel de het IP gedeelte. Zo heeft denk ik het CBP nog wat te leren. Echter daartegenover staat vind ik inderdaad dat privacy beter beveiligd moet worden en vermeld moet worden wat er bewaard wordt. Naar mijn weten zijn hier ook privacy documenten voor. Denk dat het daarom eens goed zal zijn als alle belanghebbende is een gesprek aangaan met een ICT adviseur die daadwerkelijk kennis heeft en eens alles is goed doornemen en opnieuw gaan regelen. Hierbij doel ik op zowel organisaties als CPB en Thuiswinkel, maar ook dat consumenten en webwinkel eigenaren bijvoorbeeld mee kunnen praten.
Uit jouw reactie leid ik dus af omdat er -SOMS- sprake kan zijn dat een ipadres niet terug te leiden is tot een persoon we hierom maar helemaal niet zorgvuldig om hoeven te gaan met dergelijke gegevens?
Er zijn telefoonnummers die niet herleidbaar zijn tot een enkel persoon (maar bijvoorbeeld een afdeling of bedrijf). Er zijn e-mailadressen die door meerdere personen worden gebruikt (info@winkel.com) en hierom nooit herleidbaar zijn tot de persoon die een specifieke e-mail leest of verstuurt.
Bij deze redenering hoeven bedrijven dus eigenlijk ook niet voorzichtig te zijn met telefoonnummers of e-mailadressen, ook al zou een instantie als het CBP dat wel willen.
En waarom zouden ze met een ICT adviseur die daadwerkelijk kennis heeft moeten praten? Het gaat er hier niet om dat ze niet weten wat de technische implicaties zijn van hun standpunten, maar het gaat er om dat CPB regels opstelt waardoor webwinkels extra kosten moeten maken en de winkels hier tegen protesteren (bijvoorbeeld omdat ze vinden dat de noodzakelijke maatregelen amper privacywinst oplevert). Het is een politieke onenigheid. Als de Europese ministers van Financiën er op een topoverleg niet uitkomen is dat ook heus niet omdat er geen bankier of econoom met daadwerkelijk kennis van zaken bij betrokken is.
Er zijn telefoonnummers die niet herleidbaar zijn tot een enkel persoon (maar bijvoorbeeld een afdeling of bedrijf). Er zijn e-mailadressen die door meerdere personen worden gebruikt (info@winkel.com) en hierom nooit herleidbaar zijn tot de persoon die een specifieke e-mail leest of verstuurt.
Bij deze redenering hoeven bedrijven dus eigenlijk ook niet voorzichtig te zijn met telefoonnummers of e-mailadressen, ook al zou een instantie als het CBP dat wel willen.
En waarom zouden ze met een ICT adviseur die daadwerkelijk kennis heeft moeten praten? Het gaat er hier niet om dat ze niet weten wat de technische implicaties zijn van hun standpunten, maar het gaat er om dat CPB regels opstelt waardoor webwinkels extra kosten moeten maken en de winkels hier tegen protesteren (bijvoorbeeld omdat ze vinden dat de noodzakelijke maatregelen amper privacywinst oplevert). Het is een politieke onenigheid. Als de Europese ministers van Financiën er op een topoverleg niet uitkomen is dat ook heus niet omdat er geen bankier of econoom met daadwerkelijk kennis van zaken bij betrokken is.
Mijn IP adres is een vast IP. Daar heb ik ooit mijn ISP een schamel bedrag voor betaald als compensatie voor administratieve kosten.
Mijn IP is dus weldegelijk terug te leiden naar mijn huishouden en daar mee een privacy gevoelig gegeven, dat niet zomaar mag worden opgeslagen of gedeeld met derden.
Bovendien, een Neckermann Versand AG kon in de jaren 60, 70 en 80 prima werken zonder dat er nog maar iemand gehoord had van een IP adres. Er is simpelweg geen enkele noodzaak voor een webwinkel of ander postorderbedrijf om IP adressen op te slaan.
Ik vind dus dat het CPB gelijk heeft, om de simpele reden dat er geen reden is voor een webwinkel om een IP op te slaan die betrekking heeft op hun core-business en omdat een IP adres weldegelijk device- en daarmee persoongebonden kan zijn.
Het gegeven dat er een mogelijk privacy bezwaar bestaat bij het opslaan van gegevens die niet noodzakelijk zijn voor het uitvoeren van de core-business is al meer dan genoeg reden om het toestaan van het opslaan van die gegevens sterk aan banden te leggen.
Mijn IP is dus weldegelijk terug te leiden naar mijn huishouden en daar mee een privacy gevoelig gegeven, dat niet zomaar mag worden opgeslagen of gedeeld met derden.
Bovendien, een Neckermann Versand AG kon in de jaren 60, 70 en 80 prima werken zonder dat er nog maar iemand gehoord had van een IP adres. Er is simpelweg geen enkele noodzaak voor een webwinkel of ander postorderbedrijf om IP adressen op te slaan.
Ik vind dus dat het CPB gelijk heeft, om de simpele reden dat er geen reden is voor een webwinkel om een IP op te slaan die betrekking heeft op hun core-business en omdat een IP adres weldegelijk device- en daarmee persoongebonden kan zijn.
Het gegeven dat er een mogelijk privacy bezwaar bestaat bij het opslaan van gegevens die niet noodzakelijk zijn voor het uitvoeren van de core-business is al meer dan genoeg reden om het toestaan van het opslaan van die gegevens sterk aan banden te leggen.
Een IP adres kan niet met 100% zekerheid aan een persoon gekoppeld worden en dat zorgt er misschien voor het niet als absoluut bewijs in een rechtszaak gebruikt kan worden. Dat neemt echter niet weg dat de gebruiker van een IP adres vaak met redelijke waarschijnlijkheid vastgesteld kan worden.
Ik kan van te voren uitzoeken hoe ISP's hun IP adressen uitdelen. (Statisch, dynamisch, dynamisch met een X uren lease aan het MAC adres, etc.) Een bepaald IP is voor mij dus misschien waardeloos en zal ik negeren. Een ander IP kan ik echter met redelijke zekerheid van vastellen welke persoon erachter schuilgaat. Dit maakt het een persoonsgegeven.
Een vergelijkbare situatie geld overigens voor telefoonnummers. Dat er mensen met anonieme prepaid kaartjes rondlopen betekend niet dat het opeens geen persoonsgegeven meer is en dat andere bellers dan ook maar een anoniem prepaid kaartje moeten kopen willen ze een beetje bescherming genieten.
Het feit dat iets vaak (vaak genoeg volgens de rechter) herleid kan worden tot een persoon maakt het een persoonsgegeven. Dat het niet altijd en niet met 100% zekerheid herleid kan worden doet daar niks aan af.
Ik kan van te voren uitzoeken hoe ISP's hun IP adressen uitdelen. (Statisch, dynamisch, dynamisch met een X uren lease aan het MAC adres, etc.) Een bepaald IP is voor mij dus misschien waardeloos en zal ik negeren. Een ander IP kan ik echter met redelijke zekerheid van vastellen welke persoon erachter schuilgaat. Dit maakt het een persoonsgegeven.
Een vergelijkbare situatie geld overigens voor telefoonnummers. Dat er mensen met anonieme prepaid kaartjes rondlopen betekend niet dat het opeens geen persoonsgegeven meer is en dat andere bellers dan ook maar een anoniem prepaid kaartje moeten kopen willen ze een beetje bescherming genieten.
Het feit dat iets vaak (vaak genoeg volgens de rechter) herleid kan worden tot een persoon maakt het een persoonsgegeven. Dat het niet altijd en niet met 100% zekerheid herleid kan worden doet daar niks aan af.
Vind het erg raar om IP adressen als iets persoonlijk te zien. Je mag er namelijk nooit, maar dan ook nooit vanuit gaan dat een IP adres een bepaald persoon is.
In plaats van nerdy uit proberen te leggen dat IP adressen dynamisch kunnen zijn (iets wat uiteraard zo'n beetje iedere tweaker al weet), probeer nu eens te begrijpen dat het niet gaat om de vraag of een 'los' IP adres per se een persoonsgegeven is (dat te allen tijde teruggevoerd zou kunnen worden op de persoon erachter), maar dat de combinatie van een IP adres met andere opgeslagen persoonsgegevens (zoals naam, huisadres, etc), zoals dat in het bestand van een winkelier kan gebeuren, het betreffende IP adres tot een mede-persoonsgegeven kan maken.
In plaats van nerdy uit proberen te leggen dat IP adressen dynamisch kunnen zijn (iets wat uiteraard zo'n beetje iedere tweaker al weet), probeer nu eens te begrijpen dat het niet gaat om de vraag of een 'los' IP adres per se een persoonsgegeven is (dat te allen tijde teruggevoerd zou kunnen worden op de persoon erachter), maar dat de combinatie van een IP adres met andere opgeslagen persoonsgegevens (zoals naam, huisadres, etc), zoals dat in het bestand van een winkelier kan gebeuren, het betreffende IP adres tot een mede-persoonsgegeven kan maken.
ik denk dat het komt omdat mensen het verband niet zin waarin het gelegd wordt,
neem nu het lijstje blaak kalverstraat neude dorpsstraat .... een leuk lijstje met straten van het monopolie en dus erg nietszeggen....
TOT het moment dat er in de database van de een of ander, toevallig staat WIE je er op tijdstip x mee in verband kunt brengen.
je ip is danwel iets verandelijks maar wel deel van het patroon, en als dat pratroon maar simpel genoeg is kun je het gaan herkennen... zie het als de manier waarop verkrachters jonge meisjes spotten... 1x om 7uur savonds op op dat verlaten weggetjes is nog een ding, elke week om dezelfde tijd op dat weggetje schept kansen... hele verdomd enge kansen..
neem nu het lijstje blaak kalverstraat neude dorpsstraat .... een leuk lijstje met straten van het monopolie en dus erg nietszeggen....
TOT het moment dat er in de database van de een of ander, toevallig staat WIE je er op tijdstip x mee in verband kunt brengen.
je ip is danwel iets verandelijks maar wel deel van het patroon, en als dat pratroon maar simpel genoeg is kun je het gaan herkennen... zie het als de manier waarop verkrachters jonge meisjes spotten... 1x om 7uur savonds op op dat verlaten weggetjes is nog een ding, elke week om dezelfde tijd op dat weggetje schept kansen... hele verdomd enge kansen..
Dan zou je adressen ook niet als persoonlijk mogen zien volgens jouw logica.
Hoe vaak ik niets iets bestel en laat leveren op mijn werk ipv thuis is echt niet meer op 2 handen te tellen. Maar omdat IK dat op deze manier doe, betekent niet dat meteen het hele adres voor iedereen niet iets persoonlijks is. En naam overigens ook niet want die is 9/10 keer ook niet echt bij mijn bestellingen.
Hoe vaak ik niets iets bestel en laat leveren op mijn werk ipv thuis is echt niet meer op 2 handen te tellen. Maar omdat IK dat op deze manier doe, betekent niet dat meteen het hele adres voor iedereen niet iets persoonlijks is. En naam overigens ook niet want die is 9/10 keer ook niet echt bij mijn bestellingen.
thuiswinkel bestaat enkel en alleen om geld te verdienen. Webshops betalen grof geld en moeten aan de leuke regeltjes voldoen welke thuiswinkel heeft verzonnen. Vervolgens mogen ze dan het leuke logotje op de site zetten. Om ook echt een image te krijgen dat ze hun best doen voor de consument gaan ze maar elk jaar wat nieuwe regeltjes verzinnen en kritiek uiten terwijl op de achtergrond de totale focus ligt op zoveel mogelijk geld innen van de shops en zich te "binden" aan steeds meer shops.
Helaas zijn er veel van dit soort clubs. Ben er zelf eens ingetuind en heb dik betaald voor een McAfee logo op onze website. Afgezien van wat simpele en automatische poortscans van McAfee stelde het niks voor. Bovendien waren eventuele slechte resultaten eenvoudig te onderdrukken door op de website te verklaren dat een bepaalde open poort bekend was en geen kwaad kon.
Jammer dat de discussie er nu over gaat of een IP wel of niet een persoonsgegeven is. Ja, CBP en thuiswinkel staan lijnrecht tegenover elkaar wat betreft persoonsgegevens. Ik hecht ook veel waarde aan mijn (online) privacy, maar dat neemt niet weg dat Thuiswinkel gehoord moet worden als CBP zich dictatoriaal gedraagt.Thuiswinkel.org, de belangenorganisatie voor webwinkels, is van mening dat het College Bescherming Persoonsgegevens en zijn Europese zusterorganisaties teveel macht naar zich toetrekken door naast hun toezichthoudende functie ook eigen regels op te stellen.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
