Duitse rechter verbiedt loggen van IP-adressen en PII
Een Duitse rechter heeft bepaald dat een website van de overheid geen IP-adressen en persoonlijk identificeerbare informatie (PII) langer mag bewaren dan het individu zich op de website bevindt. Volgens de rechter is het eenvoudig om met behulp van derde partijen via het IP-adres de identiteit en het surfgedrag van iemand tot in detail te achterhalen.
Microsoft's Eric Fitzgerald noemt de uitspraak achterhaald, omdat het de provider het recht ontneemt zijn diensten te verbeteren. "Logging is een best practice voor beheeractiviteiten, zoals onderhoud, marketing en security-gerelateerde activiteiten. Alles genereert vandaag de dag logs. Het was beter geweest als er een wet kwam die bepaalt wat er met de logs gedaan wordt, dan logging in z'n geheel te verbieden."
weggegooid als ze klaar zijn :-)
verkeer toch op de loadbalancers, switches, routers, ids,
ips, applicatie servers, databases, etc...
Gaap... Er is vast wel een welwillende hosting partij te
vinden in het buitenland die niet onder de Duitse wet valt...
Lees het boekje Chatter maar eens over het omzeilen van
lokale wetgeving met behulp van collega instellingen in het
buitenland. :)
My two cents,
Carlo
Euh alleen de logs van web sites..... Nou dan loggen we het
verkeer toch op de loadbalancers, switches, routers, ids,
ips, applicatie servers, databases, etc...
Gaap... Er is vast wel een welwillende hosting partij te
vinden in het buitenland die niet onder de Duitse wet valt...
Lees het boekje Chatter maar eens over het omzeilen van
lokale wetgeving met behulp van collega instellingen in het
buitenland. :)
My two cents,
Carlo
Je hebt de uitspraak niet helemaal begrepen,
Die rechter heeft deze uitspraak gedaan omdat er al
dataretentie wetgeving bestaat op basis van EU wetgeving en
van toepassing is op alle EU lidstaten.
derde partijen via het IP-adres de identiteit en het
surfgedrag van iemand tot in detail te achterhalen.
Er is door deze rechter bepaald dat overheden hun systemen
en alles wat daar aan verbonden is niet mogen misbruiken om
bezoekers te identificeren.
Dat moet mogelijk zijn via de bestaande wetgeving.....
De database is een logisch verlengstuk van deze data en dus
verboden, dus ook alle verwante apparatuur als switches etc.
Zie jij een overheid al gebruik maken van een buitenlandse
hostingprovider om de door haar aan de gemeenschap opgelegde
wetgeving te kunnen omzeilen.
Dag Carlo........
waarop de burger inlogt. Hierdoor kan de overheid eenvoudig de naam
aan het ip adres koppelen. Tevens kan dan worden uitgezocht wat burger
(x) uitspookt op het internet (bewaarplicht). In een zekere zin is het
belangeverstrengeling. Ze slaan immers nu alleen je data op en moeten
via de rechterlijke macht je naw gegevens achterhalen. Dat is door logging
niet meer nodig.
Je hebt de uitspraak niet helemaal begrepen,
Die rechter heeft deze uitspraak gedaan omdat er al
dataretentie wetgeving bestaat op basis van EU wetgeving en
van toepassing is op alle EU lidstaten.
Nee. De rechter heeft de uitspraak gedaan omdat er privacy
wetten worden overtreden in het kader van de vrije vergaring
van informatie om een politiek standpunt te bepalen als
burger. Waarbij MOGELIJK het combineren van deze data met de
data vergaring die onder de EU retentie wetgeving valt het
nog erger maakt. Maar de initiele datavergaring zelf is al
een overtreding van de huidige privacy wetgeving...
derde partijen via het IP-adres de identiteit en het
surfgedrag van iemand tot in detail te achterhalen.
Die derde partijen hebben de web logs helemaal niet nodig!
Dat maakt het nou juist een overbodige actie. De betreffende
advocaat is waarschijjnlijk het grondwerk aan het verzetten
om op basis van deze uitspraak de gehele EU data retentie
ter discussie te stellen omdat deze de wettelijke privacy
fundamenten aantast die een democratie nodig heeft.
Er is door deze rechter bepaald dat overheden hun systemen
en alles wat daar aan verbonden is niet mogen misbruiken om
bezoekers te identificeren.
Dat moet mogelijk zijn via de bestaande wetgeving.....
De bestaande wetgeving omtrent privacy bij politieke
standpunt bepaling is nou juist de hele reden achter de
actie... Maar technisch is dat niet zo maar te realiseren
zonder dat je de EU retentie wetgeving het raam uit gooit.
Dat is nou juist mijn punt. Er wordt op allerlei andere
punten logs verzameld.
De database is een logisch verlengstuk van deze data en dus
verboden, dus ook alle verwante apparatuur als switches etc.
Nee, want de apparatuur buiten de overheidsdiensten valt
niet zonder meer onder deze regelgeving. De hard en software
van de overheid staat los van de overige componenten in het
communicatie proces. Die worden afgedekt door de EU
wetgeving die retentie voorschrijft die dus mogelijkerwijs
in strijd is met grondwettelijke beginselen van de Duitse
staat...
Zie jij een overheid al gebruik maken van een buitenlandse
hostingprovider om de door haar aan de gemeenschap opgelegde
wetgeving te kunnen omzeilen.
Nee. inderdaad daar heb je een punt. Maar er zijn voldoende
voorbeelden te vinden waarbij een Duitse ADSL-er om
peeringredenen qua verkeer over buitenlandse lijnen gaat.
Dus zekerheid heb je niet.
Dag Carlo........
Doe eens wat liever tegen me... ;)
Carlo
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
