Om je 1e vraag te beantwoorden: de wet op bewaarplicht verplicht providers je gegevens een jaar lang op te slaan. Voor de afhandeling ben je afhankelijk van de privacywetgeving en de voorwaarden in het contract met je provider.

Om je 2e vraag te beantwoorden: Encryptie versleutelt het verkeer tussen jou en een website. Mensen ertussen kunnen dus niets zien, tenzij ze zelf met zowel jou als de website een verbinding opzetten en daartussen het verkeer afluisteren, daar zijn dan ook beveiligingscertificaten voor zodat niet iemand kan doen alsof hij/zij een bepaalde website is. De website zelf kan natuurlijk wel naar goeddunken omgaan met je data.

Niet.
Als een ISP dit zegt te kunnen, kun je denk ik een aardige schadevergoeding claimen bij een rechter. Je werkgever mag dit onder specifieke omstandigheden als ik me niet vergis.
Jouw ISP moet o.a. adresgegevens en tijdstippen opslaan (zie bijv. http://nl.wikipedia.org/wiki/Wet_bewaarplicht_telecommunicatiegegevens) maar die gegevens mogen formeel alleen aan justitie worden gegeven. Overigens weet Google (via andere methodes zoals google-analytics) waarschijnlijk wel heel nauwkeurig wanneer je welke websites hebt bezocht.
Niet de zoekterm zelf, maar wel het feit dat je verbinding hebt gehad met Google wordt opgeslagen (maar met die info mag de ISP volgens de privacywetgeving niet zomaar wat doen).
En, als je Firefox gebruikt en "Network.Prefetch-Next" niet hebt uitgezet, kunnen er, nog voordat je ergens op hebt geklikt, verbindingen met sites gerelateerd aan je zoekterm worden gemaakt (te beginnen met DNS requests die op DNS servers van je provider uitkomen en gelogd zouden kunnen worden) waar vaak wel het e.e.a. uit kan worden afgeleid.
Ja.

Als je daarmee bedoelt dat SSL verbindingen zijn af te luisteren (zie http://www.security.nl/artikel/32871/1/SSL_niet_bestand_tegen_afluisteren_overheid.html), dan lijkt me dat in Nederland een nogal theoretisch verhaal. En als het al gebeurt dan alleen door justitie, en alleen als je onder zware verdenking staat. Het is heus niet zo dat alle ISP's over de mogelijkheid beschikken om on-the-fly certificaten te genereren (die door jouw browser als legitiem worden beschouwd) en zo al jouw SSL verkeer te decrypten, en dan ook nog eens al die data op te slaan.

Dat bedoel ik ook met "zodat niet iemand kan doen alsof hij/zij een bepaalde website is"; als iemand zonder legitiem certificaat ertussen gaat zitten krijg je een waarschuwing voor een certificaatfout te zien.

Met andere woorden, het IP-adres wordt opgeslagen. Als het IP alleen in gebruik is voor https://docs.google.com dat weet men dus dat je naar Google Docs surfde, maar als het IP voor meerdere websites geldt, bijvoorbeeld https://example.com, https://www.example.com, https://nl.example.com, https://example.nl, https://webmail.example.com, https://sharepoint.example.com, dan weten ze niet met welke van die websites je verbinding maakt. De headers van je packet vermelden namelijk het IP-adres, maar de request en alle andere headers die de browser stuurt zijn versleuteld en dus niet zomaar te lezen.

Vroeger had ik eens een probleem met mijn internetverbinding, maar de meneer aan de telefoon wist mij precies te vertellen welke sites er regelmatig werden bezocht en wat we hadden gedownload. Ik was jong (dus het is echt lang geleden) en stond met een mond vol tanden. Toen was ik allang blij dat de internetverbinding weer hersteld werd, maar het is me altijd bij gebleven dat die knakker zo veel van ons wist.

Hoe het nu is weet ik niet. Ik vermoed dat de regels aangescherpt zijn. Maar ja, kunnen en mogen loopt wel eens scheef van elkaar.

al het verkeer loopt over de ISP, dus ,ja, er wordt helaas alles gelogt.

Volgens mij is het wel degelijk heel eenvoudig om je surfgeschiedenis bij te houden...

Als jij naar www.google.nl surft zal je aan je DNS server (meestal een server in beheer van je ISP als je dit niet veranderd hebt) vragen op welk IP adres je www.google.nl kunt vinden. Als dit gelogt wordt dan is het natuurlijk eenvoudig achterhalen waar jij heen gesurft hebt...

Of het daadwerkelijk gebeurd weet ik niet.

Ik blokkeer een hele hoop analyse sites,met een bepaalde plugin.
Volgens een security site ben ik veilig,en klopt er geen barst van van wat ik opvraag als ik mijn surfgedrag op internet wil bekijken.
Dus heb mijn computer redelijk dichtgetimmerd.

Al voor de invoering van de bewaarplicht konden de providers (in elk geval Casema) al zien hoe vaak je verbinding maakte met het (hun) internet (verbinding). Eigenlijk kan dat ook niet anders want het is in principe een beveiligd systeem waar mensen op in moeten loggen. Iedereen met een eigen netwerk doet dat als het goed is, al is het maar om het netwerk in de lucht te houden.

Dit betekend overigens niet dat iemand van de klantenservice meteen kan zien waar je laatste webbezoeken naar toe zijn geweest, je moet hiervoor wel toegang hebben tot de log bestanden.

Er is sinds de invoering wat dat betreft eigenlijk weinig veranderd. Wat wel in grote mate veranderd is is de bewaartermijn en de bewaarplicht op de e-mails. Daarvan moet nu de header gegevens opgeslagen worden zonder de inhoud weer te geven.

Wat je intypt is helemaal niet belangrijk om te weten. De link naar de pagina die je daarmee krijgt wordt opgeslagen. Daar blijkt vanzelf je zoekterm uit. Voor Google en co houdt je dat soort gegevens verborgen, maar je provider kan dat soort dingen wel degelijk zien. Het is niet voor niets dat ze de provider zo belangrijk vinden.

Ja en nee, het ligt aan de website waar je naar toe surft.

Heel veel websites hebben in al hun webpages (meestal onderaan) een instructies om een stukje javascript vanaf google-analytics.com op te halen en uit te voeren. Ik heb er nooit goed naar gekeken maar kan me niet voorstellen dat die code niet een google-analytics cookie gebruikt op jouw PC om vast te stellen wie "jij bent" - waarbij Google wellicht niet jouw absolute identiteit kent, maar wel de naamloze eigenaar van dat betreffende cookie met de bijbehorende surfgeschiedenis.

Als Google ooit de kans krijgt om die identiteit aan persoonsgegevens te koppelen (bijv. als je een GMail account hebt en bij het aanmaken daarvan eerlijk naamsgegevens hebt ingevuld) zullen ze dat vast niet nalaten.

Adviesje:

Gebruik een versleutelde VPN verbinding van een deugdelijke VPN provider en zorg ervor dat je de DNS servers van je ISP niet gebruikt. Gebruik die van opendns bijvoorbeeld (is gratis).

De VPN versleuteling zorgt ervoor dat je provider (ook niet met DPI) de inhoud van je surfen kan analyseren en de DNS server van open dns gaat buiten je ISP om zodat die niet weet waar je bent geweest met je browser.

Wellicht dat in de huidige klimaat "verdacht" lijkt maar goed het gaat om je privacy waar je recht op hebt. Staat in het VN verklaring van de rechten van de mens. (Universal Declaration of Human Rights: artikel 12).

Problem solved.

Mike