EU-Hof: dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

Het Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn. Dit is het geval als de eigenaar van een website de juridische middelen heeft om de gebruiker achter het ip-adres te identificeren met aanvullende informatie van de isp.

Koppeling ip-adres, telefoonnummerDe uitspraak is het gevolg van vragen van een Duitse rechter in een zaak die is aangespannen door Patrick Breyer, een politicus van de Duitse Piratenpartij, tegen de Duitse overheid. De rechter wilde van het EU-Hof weten of een dynamisch ip-adres gezien kan worden als persoonsgegeven op het moment dat een website dit registreert. Het Hof omschrijft een dynamisch ip-adres als een adres dat bij elke nieuwe verbinding verandert, in tegenstelling tot een statisch ip-adres.

De Europese rechter legt uit dat de websitehouder in de betreffende zaak de juridische middelen heeft om een gebruiker achter een dergelijk ip-adres te identificeren, namelijk in het geval dat een internetaanval plaatsvindt. Dan is de informatie namelijk nodig om een strafrechtelijke procedure op te kunnen starten. Het verdedigen tegen internetaanvallen is dan ook een geldige reden voor een websitehouder om persoonsgegevens, waaronder ip-adressen, op te slaan, aldus het EU-Hof. Daarmee volgt het Hof het eerdere advies van de advocaat-generaal.

Frederik Zuiderveen Borgesius, onderzoeker aan het Amsterdamse IViR, legt aan Tweakers uit: "In feite wisten we al sinds 2011 dat ip-adressen in handen van isp's persoonsgegevens zijn, omdat zij de middelen hebben om personen achter de adressen te identificeren." Deze zaak maakt volgens hem duidelijk dat een ip-adres ook in handen van een andere partij als persoonsgegeven gezien kan worden. De onderzoeker stelt dat de uitspraak daarnaast gevolgen kan hebben voor de verwerking van persoonsgegevens door bijvoorbeeld 'big data'-bedrijven. Dit omdat het verwerken van gegevens gezien kan worden als verwerking van persoonsgegevens, ook al is alleen een derde partij in staat tot identificatie.

"Tot nu toe gingen deze bedrijven er vaak van uit dat, zolang je de naam van een persoon maar uit opgeslagen gegevens haalt, er geen sprake is van verwerking van persoonsgegevens", zegt hij. "Nu is duidelijk dat als een andere partij in staat is om de persoon achter de gegevens te identificeren, er sprake kan zijn van persoonsgegevens en daarmee van toepasselijkheid van de privacywetgeving." Dat maakt de verwerking niet meteen illegaal, maar zorgt ervoor dat het bedrijf aan bepaalde wettelijk eisen moet voldoen, bijvoorbeeld op het gebied van beveiliging en opslag.

De Nederlandse privacytoezichthouder en de Artikel 29-werkgroep zijn al langer van mening dat ip-adressen persoonsgegevens zijn.

Update, 13:00: De uitspraak is inmiddels ook in het Nederlands te raadplegen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 19-10-2016 12:41 33

19-10-2016 • 12:41

33

Lees meer

Ancilla van de Leest verlaat positie bij Piratenpartij
Ancilla van de Leest verlaat positie bij Piratenpartij Nieuws van 6 april 2017
EU-Hof: lidstaten mogen geen lager btw-tarief hanteren bij e-books
EU-Hof: lidstaten mogen geen lager btw-tarief hanteren bij e-books Nieuws van 7 maart 2017
'EU wil privacyregels voor providers op internetcommunicatiediensten toepassen'
'EU wil privacyregels voor providers op internetcommunicatiediensten toepassen' Nieuws van 13 december 2016
Facebook verbiedt gedragsanalyse in ruil voor korting door Britse verzekeraar
Facebook verbiedt gedragsanalyse in ruil voor korting door Britse verzekeraar Nieuws van 2 november 2016
'Dynamische ip-adressen zijn persoonsgegevens'
'Dynamische ip-adressen zijn persoonsgegevens' Nieuws van 12 mei 2016
Meer producten en artikelen
Politiek en recht Privacy Europese unie Ip adres

Reacties (33)

-Moderatie-faq
33
33
29
4
0
4
Wijzig sortering
26779 19 oktober 2016 12:51
Aan een kant terecht dat een (dynamisch)IP adres nu formeel als persoonsgegeven wordt gezien. Aan de andere kant valt het creëren van een website met interactie van welke vorm dan ook al snel een onder wbp. Ik vraag me af of de huidige software (denk aan de vele CMSen) hier rekening mee houdt of aan voldoet.
CAPSLOCK2000
@2677919 oktober 2016 13:03
Die vraag kan ik wel beantwoorden: nee, de meeste software is daar totaal niet mee bezig.
Vrijwel alle software die aan internet hangt verwerkt persoonsgegevens. In NL is er al langer concensus dat ip-adressen persoonsgegevens zijn maar ik heb dat nog nooit ergens gevolgen zien hebben.

Behalve webservers maken ook vrijwel alle websites gebruik van persoonsgegevens. Iedere site waar je je kan registeren bevat persoonsgegevens. Een nickname als robb_nl of CAPSLOCK2000 is ook een persoonsgegeven.

Veel organisaties hebben een centrale logserver waar alle logs naar toe worden gestuurd. Het is heel verleidelijk om die logs voor altijd te blijven bewaren, je weet nooit wat je in de toekomst nog nodig hebt. Dat mag dus niet zomaar, je zal moeten voldoen aan de wet.
Mijn advies is daarom om zo min mogelijk rauwe logs te bewaren. Als je data niet hebt dan kun je er ook geen fouten mee maken. In veel gevallen is het voldoende om aan het einde van de dag een samenvatting te maken die geen persoonsgegevens bevat en alleen die op te slaan.
Tukkertje-RaH @CAPSLOCK200019 oktober 2016 13:46
Dit lijkt me verstrekkende gevolgen hebben voor iedereen die ook maar iets aan het internet hangt - niet alleen een webserver waarbij elke GET gelogged wordt (IP + timestamp), maar ook elke firewall en mogelijk elke router die een beetje bijhoudt wat er aan de 'buitenkant' gebeurt.

Volgens de WBP:
  • Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  • Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  • De gegevensverwerking moeten op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.
Als eigenaar van een modem/router die in de firewall logs bijhoudt wie er probeert bij je in te loggen zul je dus vooraf moeten documenteren wat je met die gegevens gaat doen, hoe lang je ze bewaart en waarom...

En dan die je meteen een conflict bij puntje 3: als "hacker" of port-scanner moet jij vooraf weten van wie het IP adres is, anders mag de eigenaar van dat adres niks loggen, dan overtreedt 'ie de wet...

https://autoriteitpersoon...cherming-persoonsgegevens

[Reactie gewijzigd door Tukkertje-RaH op 24 juli 2024 03:53]

Gyzome @Tukkertje-RaH19 oktober 2016 14:52
Deze wet is niet van toepassing op verwerking van persoonsgegevens:
a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden

Dit gedeelte suggereert dat een thuis-server die logs bijhoudt wel vrijgewaard wordt van de vereisten. Een grote commerciële organisatie, daarintegen, zal er zich van moeten verzekeren dat door hun verzamelde logs wel aan de vereisten voldoen.
Yogghii @Tukkertje-RaH20 oktober 2016 09:01
In principe niet zo verstrekkend als je zou denken.

Volgens het WBP is ene persoongsgegeven alleen een persoonsgegeven als er met redelijke inspanning een natuurlijk persoon gehecht kan worden aan de gegevens. Je gebruikersnaam is geen persoonsgegeven zolang je er geen echte naam achter hoeft te hangen. Vaak is ook een geboortedatum nodig zodat je daadwerkelijk te achterhalen bent als een enkel persoon.

Vervolgens stelt het WBP dat je 'behoorlijk" en "zorgvuldig" met gegevens om gaat. Deze termen zijn expres vaag gehouden omdat het open is voor interpretatie. Er zijn geen vaste minimumeisen. Het gaat er hier om dat je de gegevens verdedigd voor zover dat van je verwacht kan worden. Je hoeft dus bijvoorbeeld geen absolute verdediging in te zetten die je een groot deel van je geld gaat kosten als webshop, maar een verdediging die past bij je budget.

En inderdaad persoonlijke en huishoudelijke bewerkingen worden uitgesloten.
Evdpol @Tukkertje-RaH26 oktober 2016 15:23
dan hebben vanaf heden alle webhosters een probleem daar alles dan met ssl moet gedaan worden, en tevens liggen er dan nog zogenaamde persoonsgegevens opstraat.
namelijk meeste websites hebben wel een stats functie (www.domein.nl/stats)
o.a. Webalizer
daar staan ook gewoon publiekelijk ip's in
hiermee zou iemand alsnog dingen mee kunnen doen op afstand.
wat gaan ze daar dan op verzinnen?
a fly @2677919 oktober 2016 12:55
Dat geldt dus alleen als je de mogelijkheid hebt om het IP-adres weer te koppelen aan een persoon.
Voor de meeste statistieksoftware zal het dus niet uitmaken, het is een vrij exclusieve groep die dit kan/mag doen.

Ik vind de uitspraak vooral interessant vanwege de raakvlakken van een dynamisch IP en meta-data: Dit is vaak ook tot een persoon herleidbaar, zeker als je er genoeg van verzameld.
90710 @a fly19 oktober 2016 12:57
"Nu is duidelijk dat als een andere partij in staat is om de persoon achter de gegevens te identificeren, er sprake kan zijn van persoonsgegevens en daarmee van toepasselijkheid van de privacywetgeving."
Elk IP adres kan wel ergens achterhaald worden. En er is altijd wel een andere partij (ISP) die een persoon adv. een ipadres kan identificeren.
jvdmeer @9071019 oktober 2016 13:03
Weet niet of je dat zo direct kunt stellen. Een persoon bij een dynamisch IP-adres is alleen vast te stellen indien je ook de datum/tijd hebt geregistreerd. Zonder datum/tijd is er niet te achterhalen wie het adres had.

Moeilijkheid hierbij is alleen dat aan de website kant niet vast te stellebn is of iemand een dynamisch of een statisch ip-adres heeft. Zonder de datum/tijd erbij zal dus een deel van je data een persosonsgegeven zijn(de statische adressen) en een deel niet (de dynamische).
Maar omdat je geen onderscheid kan maken, zul je inderdaad moeten behandelen alsof het persoonsgegevens zijn. (denk ik)
Rudie_V @9071019 oktober 2016 14:46
Bijvoorbeeld VPN providers claimen geen logs bij te houden, volgens mij wordt het dan onmogelijk het ip-adres aan een persoon toe te kennen, helemaal met shared ip's.
CAPSLOCK2000
@a fly19 oktober 2016 13:07
Dat geldt dus alleen als je de mogelijkheid hebt om het IP-adres weer te koppelen aan een persoon.
Ja en nee. Voorheen was ook wel duidelijk dat IP-adressen persoonsgegevens zijn als je ze kan koppelen aan personen. Nieuw is dat deze koppeling niet rechtstreeks hoeft te zijn. Als iemand anders informatie heeft die je kunt combineren met je eigen informatie om zo tot een koppeling te komen dan telt dat ook.
Concreet telt het dus altijd, want de ISPs hebben de data en iedereen kan die opvragen. Je moet misschien even langs de rechter maar dat doet er niet toe, de data is er en kan in principe gebruikt worden.
xbeam @CAPSLOCK200019 oktober 2016 13:31
wat denk je van facebook die kan jou thuis ip rechtstreeks koppelen aan hun gebruikers database ( wat ze waarschijnlijk al gedaan hebben )
90710 19 oktober 2016 12:54
Feitelijk valt nu elke website onder de wet persoonsgegevens. Gezien elke webserver alleen al een log bijhoudt waarin staat vanaf welk IPadres er met de server verbonden is.
buzzin @9071019 oktober 2016 13:00
Dat kun je uitzetten natuurlijk :)
Maar inderdaad, de vraag is dan wanneer je echt aan die wet moet voldoen. Bij verwerking van de gegevens, of ook al bij loggen.
tom.cx @buzzin19 oktober 2016 13:27
Zelf heb ik dit uit staan. Tenzij ik problemen ondervind dan gaat het weer even aan. Maja. Dan zit het log na een paar minuten bom en bom vol. Dus om ruimte te bewaren zet ik het alleen aan als ik moet troubleshooten.

Val ik toch nog buiten de wet :-D
Tukkertje-RaH @tom.cx19 oktober 2016 13:58
Theoretisch gezien zul je op het moment dat je je logs aanzet moeten documenteren waarom je het aanzet, en zal je aan eenieder die bij jou aanklopt je identiteit moeten aangeven...
  • Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
Ed Vertijsment @Tukkertje-RaH19 oktober 2016 14:25
En afaik ook nog is het log na 24 uur verwijderen...
Bitage @9071019 oktober 2016 13:00
Lezen:
Dit is het geval als de eigenaar van een website de juridische middelen heeft om de gebruiker achter het ip-adres te identificeren met aanvullende informatie van de isp.
Dit is dus lang niet altijd het geval.
WhatsappHack
@Bitage19 oktober 2016 14:18
Dat is in principe altijd het geval. Of je juridische claim ook wordt toegewezen is iets anders, maar de middelen zijn er altijd.
DakuGosuto @9071019 oktober 2016 13:07
Nee, niet iedere website valt onder de de Wbp. Alleen partijen die persoonsgegevens (in dit geval dus IP-adressen) verwerken en niet vallen onder de groepen genoemd in artikel 2 lid 2 Wbp.

Met name de eerste categorie is dus van belang als je 'alleen' een blogje host, immers is dan de verwerking van de IP-adressen (en dus persoonsgegevens) iets met een uitsluitend persoonlijk karakter.
Tukkertje-RaH @DakuGosuto19 oktober 2016 13:56
Kopje twee lees ik toch anders:

Deze wet is niet van toepassing op verwerking van persoonsgegevens:
a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;

Een blogje op het internet overschrijdt het persoonlijke of huishoudelijke en op het moment dat zo'n blog een apache-daemon heeft die logt wie er je blog leest verwerk je dus persoonsgegevens:

verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
harriekie 19 oktober 2016 13:10
"Het verdedigen tegen internetaanvallen is dan ook een geldige reden voor een websitehouder om persoonsgegevens, waaronder ip-adressen, op te slaan, aldus het EU-Hof."

Tja, alleen als je te maken hebt met scriptkiddies. Je denkt toch niet dat de ervaren hackers op hun eigen IP-adres de aanval uitvoeren. Die maken er juist een kunst van om verborgen te blijven, wat te denken van proxy-chains of IP spoofing.
mashell @harriekie19 oktober 2016 13:33
Tuurlijk. Maar dat IP is wel de eerste stap in de opsporing. Dus van IP naar botnet PC van BotNet PC naar C&C server en van server naar beheerder.
Ed Vertijsment @harriekie19 oktober 2016 14:39
Als je anti-abuse analyse doet op logs pak je alle informatie. Je kijkt dan niet alleen naar het exacte ip adres maar bijvoorbeeld ook de netwerken waar deze toe behoren. Natuurlijk in combinatie met andere factoren, en dat kan van alles zijn zoals:

- User agent
- Interval in requests
- Type requests
- Andere requests (veel 404, scanning)

Je kunt niet zomaar zeggen dat een ip adres dan niet nuttig is.
WhatsappHack
19 oktober 2016 14:23
"Het verdedigen tegen internetaanvallen is dan ook een geldige reden voor een websitehouder om persoonsgegevens, waaronder ip-adressen, op te slaan, aldus het EU-Hof."

Mooi. Dan mag iedereen dus sowieso gewoon vrolijk blijven loggen. :)
stresstak @WhatsappHack19 oktober 2016 17:05
Mooi. Dan mag iedereen dus sowieso gewoon vrolijk blijven loggen. :)
Dat scheelt inderdaad een hele hoop gesteggel over artikelen en interpretatie.
Ik bescherm en verdedig me tegen internetaanvallen, zelfs al ben ik geen websitehouder.
WhatsappHack
@stresstak19 oktober 2016 18:33
Ja daar kom je ook niet echt onderuit. Als je pas gaat monitoren/loggen als er iets mis is ben je te laat, heb je geen bewijs of kan je niet zien wat er gebeurt is/hoe iemand (bijna/deels) binnen is gekomen. Daarnaast moet je firewall zaken kunnen tracken natuurlijk.
ongekend41 @WhatsappHack20 oktober 2016 00:04
Natuurlijk mag je gewoon blijven loggen met die reden. Je moet alleen (info uit) de logs gaan behandelen als persoonsgegevens, waardoor je bijvoorbeeld rekening moet houden met de max bewaartijd, manier van bewaren, leestoegang, etc..

[Reactie gewijzigd door ongekend41 op 24 juli 2024 03:53]

djs909 19 oktober 2016 13:00
"Het Hof omschrijft een dynamisch ip-adres als een adres dat bij elke nieuwe verbinding verandert, in tegenstelling tot een statisch ip-adres."

Klopt dus niet. Het is heel goed mogelijk dat bij een nieuwe "verbinding" (het is maar net wat je daar onder verstaat) hetzelfde IP adres toegewezen wordt.
mashell @djs90919 oktober 2016 13:31
Als je 2 keer achter elkaar met een dobbelsteen gooit en je gooit 2 keer een 6. Heb je dan wel 2 keer gegooid? Natuurlijk wel. Wat ik bedoel te zeggen is dat als je bij nieuwe verbinding een nieuw adres kunt krijgen dit ook als een nieuw adres beschouwd moet worden, zelfs als het identiek is aan de vorige.

[Reactie gewijzigd door mashell op 24 juli 2024 03:53]

canonball 19 oktober 2016 13:11
Betekent dit nu ook dat je op je webserver ip-addressen zijn "gestolen" je dit moet melden? het lijkt me niet, maar ik vind het niet zo.

https://autoriteitpersoon...den/meldplicht-datalekken
Kunt u aannemelijk maken dat betrokkenen waarschijnlijk geen last zullen hebben van een datalek? Dat wil zeggen: dat het onwaarschijnlijk is dat het datalek ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer? Dan hoeft u het datalek niet aan de betrokkenen te melden. Maar u moet het datalek mogelijk wél melden bij de Autoriteit Persoonsgegevens (AP).
Yogghii @canonball20 oktober 2016 09:11
Datalekken moeten tegenwoordig gemeld worden als je ze hebt kunnen detecteren. Als jij echter jezelf redelijkerwijs hebt beveiligd (je wachtwoorden zijn gehashed en salted enz. zoals een WordPress o.i.d. al doet), dan zijn er geen problemen. Echter kun je aannemen dat, als je een kleine website hebt, dat diefstal van de persoonsgegevens die jij verzameld geen grote impact zal hebben.

De wet is nog een beetje vaag en nieuw, en geld vooral voor grote bedrijven. Een Ashley Madison die zijn gegevens lekt heeft veel meer gevolgen dan een webshopje of blogje die IP adressen lekt. Het is ongeveer hetzelfde als dat veel kleine websites zich ook niet aan de cookiewet houden en geen rechtstreekse boete krijgen.
Evdpol 26 oktober 2016 15:22
dan hebben vanaf heden alle webhosters een probleem daar alles dan met ssl moet gedaan worden, en tevens liggen er dan nog zogenaamde persoonsgegevens opstraat.
namelijk meeste websites hebben wel een stats functie (www.domein.nl/stats)
o.a. Webalizer
daar staan ook gewoon publiekelijk ip's in
hiermee zou iemand alsnog dingen mee kunnen doen op afstand.
wat gaan ze daar dan op verzinnen?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq