Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Het Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn. Dit is het geval als de eigenaar van een website de juridische middelen heeft om de gebruiker achter het ip-adres te identificeren met aanvullende informatie van de isp.

Koppeling ip-adres, telefoonnummerDe uitspraak is het gevolg van vragen van een Duitse rechter in een zaak die is aangespannen door Patrick Breyer, een politicus van de Duitse Piratenpartij, tegen de Duitse overheid. De rechter wilde van het EU-Hof weten of een dynamisch ip-adres gezien kan worden als persoonsgegeven op het moment dat een website dit registreert. Het Hof omschrijft een dynamisch ip-adres als een adres dat bij elke nieuwe verbinding verandert, in tegenstelling tot een statisch ip-adres.

De Europese rechter legt uit dat de websitehouder in de betreffende zaak de juridische middelen heeft om een gebruiker achter een dergelijk ip-adres te identificeren, namelijk in het geval dat een internetaanval plaatsvindt. Dan is de informatie namelijk nodig om een strafrechtelijke procedure op te kunnen starten. Het verdedigen tegen internetaanvallen is dan ook een geldige reden voor een websitehouder om persoonsgegevens, waaronder ip-adressen, op te slaan, aldus het EU-Hof. Daarmee volgt het Hof het eerdere advies van de advocaat-generaal.

Frederik Zuiderveen Borgesius, onderzoeker aan het Amsterdamse IViR, legt aan Tweakers uit: "In feite wisten we al sinds 2011 dat ip-adressen in handen van isp's persoonsgegevens zijn, omdat zij de middelen hebben om personen achter de adressen te identificeren." Deze zaak maakt volgens hem duidelijk dat een ip-adres ook in handen van een andere partij als persoonsgegeven gezien kan worden. De onderzoeker stelt dat de uitspraak daarnaast gevolgen kan hebben voor de verwerking van persoonsgegevens door bijvoorbeeld 'big data'-bedrijven. Dit omdat het verwerken van gegevens gezien kan worden als verwerking van persoonsgegevens, ook al is alleen een derde partij in staat tot identificatie.

"Tot nu toe gingen deze bedrijven er vaak van uit dat, zolang je de naam van een persoon maar uit opgeslagen gegevens haalt, er geen sprake is van verwerking van persoonsgegevens", zegt hij. "Nu is duidelijk dat als een andere partij in staat is om de persoon achter de gegevens te identificeren, er sprake kan zijn van persoonsgegevens en daarmee van toepasselijkheid van de privacywetgeving." Dat maakt de verwerking niet meteen illegaal, maar zorgt ervoor dat het bedrijf aan bepaalde wettelijk eisen moet voldoen, bijvoorbeeld op het gebied van beveiliging en opslag.

De Nederlandse privacytoezichthouder en de Artikel 29-werkgroep zijn al langer van mening dat ip-adressen persoonsgegevens zijn.

Update, 13:00: De uitspraak is inmiddels ook in het Nederlands te raadplegen.

Moderatie-faq Wijzig weergave

Reacties (33)

Aan een kant terecht dat een (dynamisch)IP adres nu formeel als persoonsgegeven wordt gezien. Aan de andere kant valt het creŽren van een website met interactie van welke vorm dan ook al snel een onder wbp. Ik vraag me af of de huidige software (denk aan de vele CMSen) hier rekening mee houdt of aan voldoet.
Die vraag kan ik wel beantwoorden: nee, de meeste software is daar totaal niet mee bezig.
Vrijwel alle software die aan internet hangt verwerkt persoonsgegevens. In NL is er al langer concensus dat ip-adressen persoonsgegevens zijn maar ik heb dat nog nooit ergens gevolgen zien hebben.

Behalve webservers maken ook vrijwel alle websites gebruik van persoonsgegevens. Iedere site waar je je kan registeren bevat persoonsgegevens. Een nickname als robb_nl of CAPSLOCK2000 is ook een persoonsgegeven.

Veel organisaties hebben een centrale logserver waar alle logs naar toe worden gestuurd. Het is heel verleidelijk om die logs voor altijd te blijven bewaren, je weet nooit wat je in de toekomst nog nodig hebt. Dat mag dus niet zomaar, je zal moeten voldoen aan de wet.
Mijn advies is daarom om zo min mogelijk rauwe logs te bewaren. Als je data niet hebt dan kun je er ook geen fouten mee maken. In veel gevallen is het voldoende om aan het einde van de dag een samenvatting te maken die geen persoonsgegevens bevat en alleen die op te slaan.
Dit lijkt me verstrekkende gevolgen hebben voor iedereen die ook maar iets aan het internet hangt - niet alleen een webserver waarbij elke GET gelogged wordt (IP + timestamp), maar ook elke firewall en mogelijk elke router die een beetje bijhoudt wat er aan de 'buitenkant' gebeurt.

Volgens de WBP:
  • Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  • Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  • De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
Als eigenaar van een modem/router die in de firewall logs bijhoudt wie er probeert bij je in te loggen zul je dus vooraf moeten documenteren wat je met die gegevens gaat doen, hoe lang je ze bewaart en waarom...

En dan die je meteen een conflict bij puntje 3: als "hacker" of port-scanner moet jij vooraf weten van wie het IP adres is, anders mag de eigenaar van dat adres niks loggen, dan overtreedt 'ie de wet...

https://autoriteitpersoon...cherming-persoonsgegevens

[Reactie gewijzigd door Tukkertje-RaH op 19 oktober 2016 13:50]

Deze wet is niet van toepassing op verwerking van persoonsgegevens:
a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden


Dit gedeelte suggereert dat een thuis-server die logs bijhoudt wel vrijgewaard wordt van de vereisten. Een grote commerciŽle organisatie, daarintegen, zal er zich van moeten verzekeren dat door hun verzamelde logs wel aan de vereisten voldoen.
In principe niet zo verstrekkend als je zou denken.

Volgens het WBP is ene persoongsgegeven alleen een persoonsgegeven als er met redelijke inspanning een natuurlijk persoon gehecht kan worden aan de gegevens. Je gebruikersnaam is geen persoonsgegeven zolang je er geen echte naam achter hoeft te hangen. Vaak is ook een geboortedatum nodig zodat je daadwerkelijk te achterhalen bent als een enkel persoon.

Vervolgens stelt het WBP dat je 'behoorlijk" en "zorgvuldig" met gegevens om gaat. Deze termen zijn expres vaag gehouden omdat het open is voor interpretatie. Er zijn geen vaste minimumeisen. Het gaat er hier om dat je de gegevens verdedigd voor zover dat van je verwacht kan worden. Je hoeft dus bijvoorbeeld geen absolute verdediging in te zetten die je een groot deel van je geld gaat kosten als webshop, maar een verdediging die past bij je budget.

En inderdaad persoonlijke en huishoudelijke bewerkingen worden uitgesloten.
dan hebben vanaf heden alle webhosters een probleem daar alles dan met ssl moet gedaan worden, en tevens liggen er dan nog zogenaamde persoonsgegevens opstraat.
namelijk meeste websites hebben wel een stats functie (www.domein.nl/stats)
o.a. Webalizer
daar staan ook gewoon publiekelijk ip's in
hiermee zou iemand alsnog dingen mee kunnen doen op afstand.
wat gaan ze daar dan op verzinnen?
Dat geldt dus alleen als je de mogelijkheid hebt om het IP-adres weer te koppelen aan een persoon.
Voor de meeste statistieksoftware zal het dus niet uitmaken, het is een vrij exclusieve groep die dit kan/mag doen.

Ik vind de uitspraak vooral interessant vanwege de raakvlakken van een dynamisch IP en meta-data: Dit is vaak ook tot een persoon herleidbaar, zeker als je er genoeg van verzameld.
"Nu is duidelijk dat als een andere partij in staat is om de persoon achter de gegevens te identificeren, er sprake kan zijn van persoonsgegevens en daarmee van toepasselijkheid van de privacywetgeving."
Elk IP adres kan wel ergens achterhaald worden. En er is altijd wel een andere partij (ISP) die een persoon adv. een ipadres kan identificeren.
Weet niet of je dat zo direct kunt stellen. Een persoon bij een dynamisch IP-adres is alleen vast te stellen indien je ook de datum/tijd hebt geregistreerd. Zonder datum/tijd is er niet te achterhalen wie het adres had.

Moeilijkheid hierbij is alleen dat aan de website kant niet vast te stellebn is of iemand een dynamisch of een statisch ip-adres heeft. Zonder de datum/tijd erbij zal dus een deel van je data een persosonsgegeven zijn(de statische adressen) en een deel niet (de dynamische).
Maar omdat je geen onderscheid kan maken, zul je inderdaad moeten behandelen alsof het persoonsgegevens zijn. (denk ik)
Bijvoorbeeld VPN providers claimen geen logs bij te houden, volgens mij wordt het dan onmogelijk het ip-adres aan een persoon toe te kennen, helemaal met shared ip's.
Dat geldt dus alleen als je de mogelijkheid hebt om het IP-adres weer te koppelen aan een persoon.
Ja en nee. Voorheen was ook wel duidelijk dat IP-adressen persoonsgegevens zijn als je ze kan koppelen aan personen. Nieuw is dat deze koppeling niet rechtstreeks hoeft te zijn. Als iemand anders informatie heeft die je kunt combineren met je eigen informatie om zo tot een koppeling te komen dan telt dat ook.
Concreet telt het dus altijd, want de ISPs hebben de data en iedereen kan die opvragen. Je moet misschien even langs de rechter maar dat doet er niet toe, de data is er en kan in principe gebruikt worden.
wat denk je van facebook die kan jou thuis ip rechtstreeks koppelen aan hun gebruikers database ( wat ze waarschijnlijk al gedaan hebben )
Feitelijk valt nu elke website onder de wet persoonsgegevens. Gezien elke webserver alleen al een log bijhoudt waarin staat vanaf welk IPadres er met de server verbonden is.
Dat kun je uitzetten natuurlijk :)
Maar inderdaad, de vraag is dan wanneer je echt aan die wet moet voldoen. Bij verwerking van de gegevens, of ook al bij loggen.
Zelf heb ik dit uit staan. Tenzij ik problemen ondervind dan gaat het weer even aan. Maja. Dan zit het log na een paar minuten bom en bom vol. Dus om ruimte te bewaren zet ik het alleen aan als ik moet troubleshooten.

Val ik toch nog buiten de wet :-D
Theoretisch gezien zul je op het moment dat je je logs aanzet moeten documenteren waarom je het aanzet, en zal je aan eenieder die bij jou aanklopt je identiteit moeten aangeven...
  • Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
En afaik ook nog is het log na 24 uur verwijderen...
Lezen:
Dit is het geval als de eigenaar van een website de juridische middelen heeft om de gebruiker achter het ip-adres te identificeren met aanvullende informatie van de isp.
Dit is dus lang niet altijd het geval.
Dat is in principe altijd het geval. Of je juridische claim ook wordt toegewezen is iets anders, maar de middelen zijn er altijd.
Nee, niet iedere website valt onder de de Wbp. Alleen partijen die persoonsgegevens (in dit geval dus IP-adressen) verwerken en niet vallen onder de groepen genoemd in artikel 2 lid 2 Wbp.

Met name de eerste categorie is dus van belang als je 'alleen' een blogje host, immers is dan de verwerking van de IP-adressen (en dus persoonsgegevens) iets met een uitsluitend persoonlijk karakter.
Kopje twee lees ik toch anders:

Deze wet is niet van toepassing op verwerking van persoonsgegevens:
a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;


Een blogje op het internet overschrijdt het persoonlijke of huishoudelijke en op het moment dat zo'n blog een apache-daemon heeft die logt wie er je blog leest verwerk je dus persoonsgegevens:

verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
"Het verdedigen tegen internetaanvallen is dan ook een geldige reden voor een websitehouder om persoonsgegevens, waaronder ip-adressen, op te slaan, aldus het EU-Hof."

Tja, alleen als je te maken hebt met scriptkiddies. Je denkt toch niet dat de ervaren hackers op hun eigen IP-adres de aanval uitvoeren. Die maken er juist een kunst van om verborgen te blijven, wat te denken van proxy-chains of IP spoofing.
Tuurlijk. Maar dat IP is wel de eerste stap in de opsporing. Dus van IP naar botnet PC van BotNet PC naar C&C server en van server naar beheerder.
Als je anti-abuse analyse doet op logs pak je alle informatie. Je kijkt dan niet alleen naar het exacte ip adres maar bijvoorbeeld ook de netwerken waar deze toe behoren. Natuurlijk in combinatie met andere factoren, en dat kan van alles zijn zoals:

- User agent
- Interval in requests
- Type requests
- Andere requests (veel 404, scanning)

Je kunt niet zomaar zeggen dat een ip adres dan niet nuttig is.
"Het verdedigen tegen internetaanvallen is dan ook een geldige reden voor een websitehouder om persoonsgegevens, waaronder ip-adressen, op te slaan, aldus het EU-Hof."

Mooi. Dan mag iedereen dus sowieso gewoon vrolijk blijven loggen. :)
Mooi. Dan mag iedereen dus sowieso gewoon vrolijk blijven loggen. :)
Dat scheelt inderdaad een hele hoop gesteggel over artikelen en interpretatie.
Ik bescherm en verdedig me tegen internetaanvallen, zelfs al ben ik geen websitehouder.
Ja daar kom je ook niet echt onderuit. Als je pas gaat monitoren/loggen als er iets mis is ben je te laat, heb je geen bewijs of kan je niet zien wat er gebeurt is/hoe iemand (bijna/deels) binnen is gekomen. Daarnaast moet je firewall zaken kunnen tracken natuurlijk.
Natuurlijk mag je gewoon blijven loggen met die reden. Je moet alleen (info uit) de logs gaan behandelen als persoonsgegevens, waardoor je bijvoorbeeld rekening moet houden met de max bewaartijd, manier van bewaren, leestoegang, etc..

[Reactie gewijzigd door ongekend41 op 20 oktober 2016 00:08]

"Het Hof omschrijft een dynamisch ip-adres als een adres dat bij elke nieuwe verbinding verandert, in tegenstelling tot een statisch ip-adres."

Klopt dus niet. Het is heel goed mogelijk dat bij een nieuwe "verbinding" (het is maar net wat je daar onder verstaat) hetzelfde IP adres toegewezen wordt.
Als je 2 keer achter elkaar met een dobbelsteen gooit en je gooit 2 keer een 6. Heb je dan wel 2 keer gegooid? Natuurlijk wel. Wat ik bedoel te zeggen is dat als je bij nieuwe verbinding een nieuw adres kunt krijgen dit ook als een nieuw adres beschouwd moet worden, zelfs als het identiek is aan de vorige.

[Reactie gewijzigd door mashell op 19 oktober 2016 13:32]

Betekent dit nu ook dat je op je webserver ip-addressen zijn "gestolen" je dit moet melden? het lijkt me niet, maar ik vind het niet zo.

https://autoriteitpersoon...den/meldplicht-datalekken
Kunt u aannemelijk maken dat betrokkenen waarschijnlijk geen last zullen hebben van een datalek? Dat wil zeggen: dat het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer? Dan hoeft u het datalek niet aan de betrokkenen te melden. Maar u moet het datalek mogelijk wťl melden bij de Autoriteit Persoonsgegevens (AP).
Datalekken moeten tegenwoordig gemeld worden als je ze hebt kunnen detecteren. Als jij echter jezelf redelijkerwijs hebt beveiligd (je wachtwoorden zijn gehashed en salted enz. zoals een WordPress o.i.d. al doet), dan zijn er geen problemen. Echter kun je aannemen dat, als je een kleine website hebt, dat diefstal van de persoonsgegevens die jij verzameld geen grote impact zal hebben.

De wet is nog een beetje vaag en nieuw, en geld vooral voor grote bedrijven. Een Ashley Madison die zijn gegevens lekt heeft veel meer gevolgen dan een webshopje of blogje die IP adressen lekt. Het is ongeveer hetzelfde als dat veel kleine websites zich ook niet aan de cookiewet houden en geen rechtstreekse boete krijgen.
dan hebben vanaf heden alle webhosters een probleem daar alles dan met ssl moet gedaan worden, en tevens liggen er dan nog zogenaamde persoonsgegevens opstraat.
namelijk meeste websites hebben wel een stats functie (www.domein.nl/stats)
o.a. Webalizer
daar staan ook gewoon publiekelijk ip's in
hiermee zou iemand alsnog dingen mee kunnen doen op afstand.
wat gaan ze daar dan op verzinnen?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True