Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 40, views: 13.179 •

Het College Bescherming Persoonsgegevens heeft fel gereageerd op de stelling van Thuiswinkel.org dat het CBP het privacybeleid zou kapen. Volgens het CBP willen organisaties als Thuiswinkel.org juist carte blanche krijgen voor het omgaan met persoonsgegevens.

Thuiswinkel.org, de brancheorganisatie voor webwinkels, gaf woensdag kritiek op zowel het College Bescherming Persoonsgegevens als zijn Europese zusterorganisaties die zijn verenigd in de zogenaamde Artikel 29 Werkgroep. Zij zouden volgens de webwinkeliers een te streng privacybeleid uitvoeren op basis van eigen interpretaties van Europese privacywetgeving. Daarnaast zouden zij zelfs op eigen houtje nieuwe regelgeving instellen, terwijl dat niet hun wettelijke taak is als toezichthouder.

Wijnand Jongen, directeur van Thuiswinkel.org, verwijst in zijn kritiek onder andere naar het gelijkstellen van een ip-adres aan een persoonsgegeven. Deze maatregel zou het bedrijfsleven onnodig veel geld kosten. Ook had de brancheorganisatie kritiek op de mate van inspraak: de toezichthouders zouden eigenhandig reageren.

Jacob Kohnstamm, voorzitter van privacywaakhond CBP, laat aan Tweakers weten dat hij de kritiek van Thuiswinkel.org verwerpt. Volgens Kohnstamm blijkt uit de amendementen die de brancheorganisatie ondersteunt dat Thuiswinkel.org het grondrecht tot ‘bescherming van persoonsgegevens’ ter discussie stelt: "Het grondrecht op bescherming van persoonsgegevens moet omgezet worden in een carte blanche voor het bedrijfsleven om met betrekking tot persoonsgegevens te doen en te laten wat het bedrijfsleven goed dunkt", zo stelt Kohnstamm.

Kohnstamm reageert ook op de aantijgingen ten opzichte van de interpretatie van de regelgeving door de toezichthouder. De CBP-voorzitter stelt: "de nieuwe verordening moet net als de uit vorige eeuw stammende thans geldende Richtlijn, technologieneutraal en daarom bestand zijn tegen de tand des tijds. De keuze is: ofwel open normen stellen die in concrete gevallen tijd- en plaatsafhankelijk geïnterpreteerd moeten worden en uiteindelijk door de rechters getoetst worden, ofwel de belachelijke keuze om nieuwe technologische toepassingen te verbieden; aan Thuiswinkel de keuze."

Bij de kwestie rondom de vraag of ip-adressen gezien kunnen worden als een persoonsgegeven, verwijst het CBP naar een uitspraak van het Europese Hof van Justitie. Deze heeft bepaald dat in de meeste gevallen ip-adressen als persoonsgegeven gezien kunnen worden. Verder wijst de privacywaakhond erop dat het wel degelijk met diverse maatschappelijke en commerciële belanghebbenden overleg voert. Zo heeft het CBP naar eigen zeggen geregeld contact met de voorzitter van VNO/NCW en de commissie privacy van dezelfde brancheorganisatie.

Reacties (40)

Mijns inziens terecht dat een ipadres als persoonsgegeven wordt gezien. Stel dat er een grote webwinkel is waar in het klantenbestand tevens ipadressen worden opgeslagen. Op het moment dat deze database lekt om de een of andere reden (vaak genoeg gebeurd lijkt mij), dan liggen er dus behalve de andere gevoelige gegevens zoals telefoonnummers en adressen ook de ipadressen op straat... gekoppeld aan een naam!

Het feit dat de meeste ipadressen niet interessant genoeg zijn wil nog niet zeggen dat het in potentie een groot gevaar oplevert voor de privacy

edit: @ reacties hieronder:
Dat een ipadres variabel kan zijn (danwel vanwege dynamisch, danwel vanwege spoofing) en niet noodzakelijk tot een persoon of specifiek apparaat herleidbaar hoeft te zijn (en dan laten we voor het gemak de consequenties van invoering van IPv6 achterwege), doet weinig afbreuk aan het feit dat een ipadres in de meeste gevallen wel degelijk een sterke relatie heeft tot een bepaald adres/computer/huishouden/persoon. Een telefoonnummer of een adres kan evengoed wijzigen gedurende het leven van een persoon. Moeten mensen daarom maar regelmatig van adres of telefoonnummer wijzigen (of altijd valse waarden opgeven), omdat wij er maar van uit moeten gaan dat bedrijven hier niet zorgvuldig mee om zullen gaan?

En het gaat ook helemaal niet om het wel of niet opslaan van het ip adres. Het gaat erom dat het CPB wil erkennen dat een ipadres een persoonsgegeven is en dat winkels hier dus gewoon net zo zorgvuldig mee om moeten gaan als met de overige persoonsgegevens!

[Reactie gewijzigd door Eskimo0O0o op 27 februari 2013 20:26]

Onzin. IP-adressen zijn vaker vast dan je denkt. Zeker zakelijk heeft een bedrijf vaak vaste IP's, maar ook consumenten hebben lange tijd hetzelfde IP. Hoeveel mensen zetten overigens 's nachts hun modem uit volgens jou? Volgens mij is dat maar een heel klein deel van de Nederlanders. Ik heb thuis al jaren hetzelfde IP en ben dus op basis van mijn IP te identificeren.

En dan nog is het onzin om te zeggen dat een IP geen persoonsgegeven is, omdat het niet altijd vast is. Dat is net als zeggen: een telefoonnummer kan ook een telefooncel zijn, dus een telefoonnummer is niet terug te leiden tot een persoon. Dat er uitzonderingen bestaan wil niet zeggen dat een groot deel van de mensen (zonder overdrijven miljoenen Nederlanders) _wel_ via hun IP te identificeren is. Voor die mensen is dat IP dus WEL een persoonsgegeven. En aangezien je dat aan het IP-adres zelf niet kunt zien, is ieder IP-adres een potentieel persoonsgegeven en moet daar ook als zodanig mee worden omgegaan.

[Reactie gewijzigd door Grrrrrene op 28 februari 2013 08:39]

Mag ik dan als eigenaar van de betreffende al-dan-niet-persoonsgegevens daar zélf nog een stem in krijgen? In dat geval geef ik namelijk het CBP gewoon groot gelijk - een IP adres is met de juiste machtigingen terug te leiden op een persoon en dus inderdaad een persoonsgegeven. Het CBP heeft dus gewoon een punt dat ze dit zo interpreteren.

Leuk dus dat de thuiswinkelclub hier tegenin gaat, maar hiermee is in ieder geval duidelijk van welke kant hun inkomsten komen.
Vind het erg raar om IP adressen als iets persoonlijk te zien. Je mag er namelijk nooit, maar dan ook nooit vanuit gaan dat een IP adres een bepaald persoon is.

Allereerst omdat sommige mensen een dynamisch IP adres hebben. Kijk nu eens naar de belgen, die hebben vaak een dynamisch IP adres. Dat wordt dus constant gewijzigd en dan is er een kans dat iemand anders het IP adres krijgt waarmee jij zojuist bent geregistreerd.

Maar het is ook onbetrouwbaar omdat als ik mij bijvoorbeeld in een bibliotheek ga zitten registreren dan kan het niet zo zijn dat "ik" de bibliotheek wordt.

Dit betreft enkel de het IP gedeelte. Zo heeft denk ik het CBP nog wat te leren. Echter daartegenover staat vind ik inderdaad dat privacy beter beveiligd moet worden en vermeld moet worden wat er bewaard wordt. Naar mijn weten zijn hier ook privacy documenten voor. Denk dat het daarom eens goed zal zijn als alle belanghebbende is een gesprek aangaan met een ICT adviseur die daadwerkelijk kennis heeft en eens alles is goed doornemen en opnieuw gaan regelen. Hierbij doel ik op zowel organisaties als CPB en Thuiswinkel, maar ook dat consumenten en webwinkel eigenaren bijvoorbeeld mee kunnen praten.
Uit jouw reactie leid ik dus af omdat er -SOMS- sprake kan zijn dat een ipadres niet terug te leiden is tot een persoon we hierom maar helemaal niet zorgvuldig om hoeven te gaan met dergelijke gegevens?

Er zijn telefoonnummers die niet herleidbaar zijn tot een enkel persoon (maar bijvoorbeeld een afdeling of bedrijf). Er zijn e-mailadressen die door meerdere personen worden gebruikt (info@winkel.com) en hierom nooit herleidbaar zijn tot de persoon die een specifieke e-mail leest of verstuurt.

Bij deze redenering hoeven bedrijven dus eigenlijk ook niet voorzichtig te zijn met telefoonnummers of e-mailadressen, ook al zou een instantie als het CBP dat wel willen.

En waarom zouden ze met een ICT adviseur die daadwerkelijk kennis heeft moeten praten? Het gaat er hier niet om dat ze niet weten wat de technische implicaties zijn van hun standpunten, maar het gaat er om dat CPB regels opstelt waardoor webwinkels extra kosten moeten maken en de winkels hier tegen protesteren (bijvoorbeeld omdat ze vinden dat de noodzakelijke maatregelen amper privacywinst oplevert). Het is een politieke onenigheid. Als de Europese ministers van Financiën er op een topoverleg niet uitkomen is dat ook heus niet omdat er geen bankier of econoom met daadwerkelijk kennis van zaken bij betrokken is.
Mijn IP adres is een vast IP. Daar heb ik ooit mijn ISP een schamel bedrag voor betaald als compensatie voor administratieve kosten.

Mijn IP is dus weldegelijk terug te leiden naar mijn huishouden en daar mee een privacy gevoelig gegeven, dat niet zomaar mag worden opgeslagen of gedeeld met derden.

Bovendien, een Neckermann Versand AG kon in de jaren 60, 70 en 80 prima werken zonder dat er nog maar iemand gehoord had van een IP adres. Er is simpelweg geen enkele noodzaak voor een webwinkel of ander postorderbedrijf om IP adressen op te slaan.

Ik vind dus dat het CPB gelijk heeft, om de simpele reden dat er geen reden is voor een webwinkel om een IP op te slaan die betrekking heeft op hun core-business en omdat een IP adres weldegelijk device- en daarmee persoongebonden kan zijn.
Het gegeven dat er een mogelijk privacy bezwaar bestaat bij het opslaan van gegevens die niet noodzakelijk zijn voor het uitvoeren van de core-business is al meer dan genoeg reden om het toestaan van het opslaan van die gegevens sterk aan banden te leggen.
Een IP adres kan niet met 100% zekerheid aan een persoon gekoppeld worden en dat zorgt er misschien voor het niet als absoluut bewijs in een rechtszaak gebruikt kan worden. Dat neemt echter niet weg dat de gebruiker van een IP adres vaak met redelijke waarschijnlijkheid vastgesteld kan worden.

Ik kan van te voren uitzoeken hoe ISP's hun IP adressen uitdelen. (Statisch, dynamisch, dynamisch met een X uren lease aan het MAC adres, etc.) Een bepaald IP is voor mij dus misschien waardeloos en zal ik negeren. Een ander IP kan ik echter met redelijke zekerheid van vastellen welke persoon erachter schuilgaat. Dit maakt het een persoonsgegeven.

Een vergelijkbare situatie geld overigens voor telefoonnummers. Dat er mensen met anonieme prepaid kaartjes rondlopen betekend niet dat het opeens geen persoonsgegeven meer is en dat andere bellers dan ook maar een anoniem prepaid kaartje moeten kopen willen ze een beetje bescherming genieten.

Het feit dat iets vaak (vaak genoeg volgens de rechter) herleid kan worden tot een persoon maakt het een persoonsgegeven. Dat het niet altijd en niet met 100% zekerheid herleid kan worden doet daar niks aan af.

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Tablets Luchtvaart Samsung Crash Smartphones Microsoft Apple Games Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013