Juridische vraag: is een IP-adres een persoonsgegeven?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Wanneer mag je nou een IP-adres gebruiken voor securitydoeleinden? Ik hoor allerlei verhalen dat het onder de privacywet zou vallen en dus nooit gebruikt of gelogd mag worden zonder toestemming.
Antwoord: Of een IP-adres een persoonsgegeven is, is juridisch een heel moeilijke. Een persoonsgegeven is elk gegeven dat direct of indirect te herleiden is naar een persoon. Een IP-adres identificeert in principe een computer (of router, denk netwerk met NAT) maar het is vaak wel zo dat achter die computer een mens zit. Dus indirect identificeert dat IP-adres die persoon.
"Identificeren" wil daarbij niet zeggen "de naam en adres te weten komen" maar "we kunnen deze persoon nu op individueel niveau in zekere mate onderscheiden van andere personen". En dát kan wel met een IP-adres, in ieder geval binnen een zekere tijdsspanne. Ik kan in de logs van mijn website het klikpad volgen dat vanaf een IP-adres is afgelegd, en daaruit conclusies trekken over wat de persoon achter dat adres wilde weten op mijn site. Die conclusies zijn persoonsgegevens, want ze zeggen iets over die persoon.
Als een IP-adres een persoonsgegeven is, dan is de hoofdregel uit de Wet bescherming persoonsgegevens ("de privacywet") inderdaad dat je toestemming nodig hebt van die persoon om het IP-adres te verwerken. Maar er zijn twee relevante uitzonderingen op deze hoofdregel. Allereerst mag je zonder nadere toestemming een IP-adres verwerken als dat nodig is om een dienst te leveren die hij aanvroeg. En ten tweede mag je op grond van een eigen dringende noodzaak zonder toestemming het IP-adres gebruiken, mits jouw noodzaak zwaarder weegt dan zijn privacy én je de inbreuk op de privacy zo veel mogelijk beperkt.
Onder de eerste uitzondering kun je bijvoorbeeld rechtvaardigen dat je het IP-adres van de klant bewaart om bij een later bezoek te matchen met een authenticatiecookie. Zo hoeft de gebruiker niet steeds opnieuw in te loggen zolang zijn IP-adres gelijk blijft. Of gewoon simpel dat een load balancer het IP-adres doorgeeft van de eindgebruiker naar een contentserver zodat die de gevraagde content kan uitleveren.
De tweede uitzondering is waar de meeste securitymaatregelen onder vallen. Security is in principe een eigen noodzaak. Als je dus kunt hardmaken dat het IP-adres nodig is voor security, én je zorgt dat de privacy van de persoon daarachter zo veel mogelijk gewaarborgd blijft, dan mag je IP-adressen gebruiken in je securitymaatregelen.
Een IP-adres loggen in combinatie met een HTTP-opvraging is bijvoorbeeld prima om achteraf te kunnen reconstrueren waar een inbraakpoging vandaan kwam. Inbrekers identificeren is een duidelijk zwaarwegend eigen belang. En door de logs alléén voor security te gebruiken, bescherm je de privacy van legitieme bezoekers. Je mag dus niet die logs integraal delen met de marketingjongens die geïndividualiseerde aanbiedingen willen doen (geen idee hoe ze dat willen met alleen IP-adres maar het mag niet).
Een blacklist hanteren van IP-adressen is een bijzonder geval, want zwarte lijsten zijn onder de privacywet verdacht. Je sluit dan mensen uit op basis van een geautomatiseerd proces, en "computer says no" is onder de Wbp niet acceptabel. Er moet een bezwaarprocedure zijn voor het geval mensen ten onrechte geblokt zijn. En mensen die wél terecht geblokt zijn, moeten er op zeker moment ook weer af.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Met andere woorden, er moet een bezwaarprocedure zijn tegen deny regels in de access control lists van routers, firewalls en dergelijke ? En een beheerder van een botnet moet ook in de gelegenheid gesteld worden om bezwaar te maken tegen een blokkade van zijn malware op basis van het IP adres van een command & control server ? ;)
Stel er is sprake van een NAT setup of/en aangesloten AP; iemand komt via jou AP (beveiligd met WEP, gemakkelijk gekraakte key, zelfs wpa2 enzo) en gaat kloten via jou IP ben jij dat dan? of heb jij dan niets ondernomen om je netwerk af te sluiten voor ongeautoriseerd gebruik?
Dit soort onzin verbergt slechts dat een groot deel van de commerciele wereld en ons bestuur in feite haar incompentie aangaande acceptatie van zowel NADELEN als voordelen bij (het implementeren van) de techniek over de rug van de burgers trekt.
Alles behalve verantwoordelijkheid die samen kan gaan (of niet) met autoriteit in trias politica, ondermijning van de rechtsstaat en staatsgevaarlijk gedrag.
Er zijn wel mogelijkheden alleen er zijn minder mogelijkheden mbt tot zekerheid omtrent persoon dan dat er mogelijkheden zijn mbt onzekerheid omtrent persoon. De fundamentele fout in dit artikel. Met name waar dit allang bekend is, vraag maar aan Tanenbaum.
Nou ja, je hoeft het niet te vragen, je komt er wel achter. Inclusief firewalletje van de us of eu zelfs. Kijk naar banking fraude, en zie het vooralsnog maar verminderen. LOL.
Ennuh, er worden inmiddels in toenemende mate mensen onschuldig veroordeeld, opgepakt, gehinderd en geschaadt omtrent deze misvatting. dankzij zoveel 'professionals' in de wereld als fox-it.
Nou nou wat een mooie totaal context nietwaar? Een vrije wereld verdedigen door je gebrek van begrip daaromtrent te verbergen door die wereld minder vrij te maken waar in de eerste instantie meer problemen uit voortkomen dan opgelost worden. Wow, wat een kenniseconomie. Die bestuurders en professionals zullen dadelijk wel mooi in de geschiedenisboeken terecht komen, nietwaar? mensen als hitler dachten ook dat ze de wereld redden, deden ze dat ook werkelijk als we wat teruglezen? Het is natuurlijk wachten op een professional die opstaat in een land waar ze naar m willen luisteren (en die zijn er genoeg), dan is het genieten van een arrogant kaartenhuis wat in elkaar klapt. Tja, dat konden ze zelf ook wel verzinnen in het kader van kenniseconomie en vrije markt, nietwaar?
Doet me denken aan een advocaat die mij laatst probeerde wijs te maken de zaak slechts te verdedigen waar hij kans tot slagen zag. Zozo, wat een rechtvaardigheidsgevoel om dmv jurisprudentie de situatie te verbeteren. Zozo wat een goeie advocaat die zijn klant/client die hem betaald even voorkauwd wat de waarheid is van de context omtrent mijn zaak.
ZOZO GING DIE VENT ONDERUIT TOEN IK MET EEN HOOGLERAAR RECHTSWETENSCHAPPEN EN EEN DUITSE RECHTER, ALSMEDE TWEE ONDERNEMERS EVEN NADERHAND MET M KWAM KLETSEN. HET HUILEN STOND HEM NADER DAN HET LACHEN, VANONDER DE TAFEL. WAT EEN BIKKEL IN HET KADER VAN KENNISECONOMIE EN RECHTSSTAAT, DIE ADVOCAAT. EN NU IS IE OOK NOG ZIJN CLIENT/KLANT EN GELD KWIJT!
oh sorry, ff in het kader van int. caps lock day die ik gister was vergeten. krijg ik nou geen ruzie?
lol alsof ruzie met babies mij waar dan ook raakt. je klikt maar op ignore als je dat niet kan tiepen. this is my truthful, honest admittance to the discussion. you asked for it.
Een C&C server is geen persoon en die kun je dus wel prima bannen. Het gaat echt op persoonsgerichte bans.
http://blog.iusmentis.com/2011/02/15/mag-ik-klanten-weigeren/
Er zijn diverse systemen met rode kaarten bij horeca, ook daar zie je steeds terugkomen dat iemand levenslang de horeca in 't centrum ontzeggen voor één of twee overtredingen echt niet proportioneel is.
Verder moet een blacklist worden gemeld bij het Cbp. Men is zelfs zo streng dat er vaak een voorafgaand onderzoek wordt uitgevoerd, en pas nadat dat afgerond is mag jij je zwarte lijst
http://www.cbpweb.nl/Pages/zwarte-lijsten-persoonsgegevens.aspx
@Anoniem: Kan, als jij kunt uitleggen waarom je zo moet werken. Het lijkt mij onwerkbaar trouwens bij wat grotere getallen. Maar je zit dan met hetzelfde probleem: waarom weiger je X op de whitelist te zetten?
Regel 1, never talk about fightclub.. Oh wacht, da's de verkeerde...
De beheerder behoudt zich het recht voor om, zonder opgave van reden, de toegang tot deze site, voor onbepaalde tijd, te weigeren.
Ik ben lid geweest van een snr game clan. Leeftijd eis 25 jaar of ouder.
En je moest door de balotage heen.
Grappig, er zijn toch aardig wat mensen veroordeelt wegens criminele activiteiten, waarbij hun IP adres werd herleid tot hun persoon. Denk bijvoorbeeld aan grote kinderporno zaken. Je uitspraak is dan ook onzinnig.
"Een C&C server is geen persoon en die kun je dus wel prima bannen. Het gaat echt op persoonsgerichte bans."
Nee, het gaat om IP-gerichte bans. Achter een IP kunnen meerdere personen schuil gaan, als ook geautomatiseerde processen. Het koppelen van een IP adres aan een enkel persoon is een aanname welke je moet maken.
Een bot, tuurlijk. Een persoon, nee.
Voor mij is het zeer duidelijk; een IP adres kan geen persoonsgegeven zijn vanwege:
- dynamishe IP adressen
- access points met users die eigenlijk niet toegelaten zijn
- tor achtige constructies
- vpn verbindingen
- transparante proxy's
- gespoofde IP adressen
- zelfs als je logs hebt van een user i.c.m. een IP adres kan niet onomstotelijk worden aangenomen dat de persoon waarvan de account is, ook daadwerkelijk achter de computer zit.
Dit brengt een ander interessant vraagstuk met zich mee. Is de dataretentiewetgeving eigenlijk wel legaal? Deze richt zich op het opsporen van natuurlijke personen via bezochte websites vanaf een IP adres. Maar zoals je ziet kan dit IP adres ook door anderen worden gebruikt en daarmee kan een onschuldig persoon als verdachte worden aangetekend.
Je kan dan stellen dat die persoon net als een eigenaar van een voertuig verantwoordelijk is voor zijn IP adres; maar in dit geval is het onmogelijk voor de eigenaar om misbruik volledig te voorkomen. Het zou hetzelfde zijn als dat iemand jouw auto steelt en hiermee op een terras vol mensen inrijdt en jij verantwoordelijk wordt gehouden voor alle doden en gewonden. Dat zou wel erg scheef zijn. Het principe is echter hetzelfde.
En met het aankomende hackplan van de VVD kan dus ook een medewerker van de overheid 'legaal' van jouw IP adres gebruik maken en hiermee foute dingen doen (zoals weer andere systemen hacken), die dan onder jouw IP adres worden gelogd onder de dataretentiewetgeving. Dit kun jij niet bewijzen als men het hacken van je computer niet bekend maakt. Met andere woorden je kan je niet juridisch verdedigen.
Hoe zit het met dit scenario Arnoud?
Een bot, tuurlijk. Een persoon, nee.
Maar goed, je krijgt eerst een paar waarschuwingen, daarna een tijdelijke ban en als je je dan nog niet weet te gedragen krijg je toch echt een permanente ban. Ik wens diegene veel succes met het zoeken naar een advocaat om weer toegang te krijgen. En dan veranderen we die permanente ban gewoon naar een ban van een week (die wekelijks stilzwijgend verlengt wordt).
De ipranges die je toestaat zo opknippen dat ongewenste ip's er net buiten vallen moet met een beetje scripting wel te doen zijn. Iets in de trand van "allow 0.0.0.0-10.10.10.10, 10.10.10.12-255.255.255.255" waarbij 10.10.10.11 net pech heeft.
mijn uitspraak is in het geheel niet onzinnig. er zal best wel eens mogelijkheid bestaan een ip adres aan een persoon te verbinden, alleen niet snel en al HELEMAAL NIET alleen met een ip. Daar komt behoorlijk wat meer bij kijken.
bovendien wil ik je graag herinneren aan het feit dat de rechterlijke macht wel meer uitspraken (direct of indirect gerelateerd aan digitale techniek) heeft gedaan (in alle gevallen meer wel dan niet) waaruit behoorlijke incompetentie blijkt. het is dus niet meer dan onzinnig je daarop te baseren.
Ik gebruik altijd de vergelijking met het bezoeken van een winkel in real life. Iedereen ziet je binnen komen of naar buiten gaan. Iedereen ziet je, maar ze weten verder nog niets van je. Als je iets koopt met je pinpas hebben ze al wat meer informatie, maar dan nog hebben ze niet je naw gegevens.
Dat is volgens mij net zo iets als een IP adres.
Voor security redenen mag je iemand op basis van IP adres weigeren of jouw website blokkeren.
Denk aan een Forum (Misdraging, misbruik of je niet houden aan de regels), of bij een contractueel vastgelegde eis dat bijvoorbeeld een bezoeker uit een ander land de content niet mag zien.
Net zo iets als het niet toe laten van iemand die tot de tanden toe gewapend is in een winkel. (Of dat slim is of niet)
Achja, je kan natuurlijk alles verdedigen door de rechterlijke macht als incompetent te bestempelen. Het enkele feit dat een IP adres niet altijd te herleiden is tot een persoon wil nog niet zeggen dat daarmee generiek gezegd kan worden dat een IP adres juridisch niet te herleiden tot een persoon. Dat hangt van de situatie af.
Slechts je provider kan deze koppeling leggen, dus internetgebruikers kunnen die link helemaal niet (zomaar) leggen.
[/quote]En zo ja hoe zit het dan met de privacy op Internet. Heb begrepen dat alleen je provider beschikt over je persoonsgegevens. Mag iemand zomaar om je NAW gaan vragen bij welke instantie dan ook![/quote]
Dat kunnen ze wel doen, maar NL providers zullen dan reageren met het antwoord dat ze die gegevens niet zullen verstrekken. Die gegevens mogen slechts opgevraagd worden door bevoegde personen mbv officiele formulieren.
Het IP adres is naar mijn mening in deze context ook niet perse een persoonsgegeven. Het is meer zoals een kenteken van een auto. Jij kan aan een kenteken van een auto ook niet zelf opzoeken van wie deze auto is. Je kan wel vinden of hij gekeurd is en of het gekoppeld is aan het juiste type auto. Maar zowel het type auto als een kentekenplaat kun je gewoon aflezen van een passerende auto op de openbare weg. Ter vergelijking: je kan op internet natuurlijk ook veel IP adressen voorbij zien komen, maar die zeggen je niet meer dan bij welke provider/land ze horen.
Aanvullende vraag van mij dan ook aan de experts hier in deze topic: stel dat een provider aan (bijvoorbeeld Google) vraagt om een IP adres te verstrekken van een bepaald bericht wat via Google (gmail) werd verzonden, vraagt een provider dan persoonsgegevens op? Naar mijn mening niet, ook al kan de provider vervolgens een eigen IP adres wel koppelen aan een gebruiker, mocht Google het al verstrekken. Google zal het niet verstrekken waarschijnlijk, maar tegelijkertijd krijgt een provider natuurlijk dagelijks klachten binnen over misbruik (spam, ddos etc) met als 'identificatie', jawel, IP adressen.
Gr.
Peter.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
