Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Wanneer mag je nou een IP-adres gebruiken voor securitydoeleinden? Ik hoor allerlei verhalen dat het onder de privacywet zou vallen en dus nooit gebruikt of gelogd mag worden zonder toestemming.
Antwoord: Of een IP-adres een persoonsgegeven is, is juridisch een heel moeilijke. Een persoonsgegeven is elk gegeven dat direct of indirect te herleiden is naar een persoon. Een IP-adres identificeert in principe een computer (of router, denk netwerk met NAT) maar het is vaak wel zo dat achter die computer een mens zit. Dus indirect identificeert dat IP-adres die persoon.
"Identificeren" wil daarbij niet zeggen "de naam en adres te weten komen" maar "we kunnen deze persoon nu op individueel niveau in zekere mate onderscheiden van andere personen". En dát kan wel met een IP-adres, in ieder geval binnen een zekere tijdsspanne. Ik kan in de logs van mijn website het klikpad volgen dat vanaf een IP-adres is afgelegd, en daaruit conclusies trekken over wat de persoon achter dat adres wilde weten op mijn site. Die conclusies zijn persoonsgegevens, want ze zeggen iets over die persoon.
Als een IP-adres een persoonsgegeven is, dan is de hoofdregel uit de Wet bescherming persoonsgegevens ("de privacywet") inderdaad dat je toestemming nodig hebt van die persoon om het IP-adres te verwerken. Maar er zijn twee relevante uitzonderingen op deze hoofdregel. Allereerst mag je zonder nadere toestemming een IP-adres verwerken als dat nodig is om een dienst te leveren die hij aanvroeg. En ten tweede mag je op grond van een eigen dringende noodzaak zonder toestemming het IP-adres gebruiken, mits jouw noodzaak zwaarder weegt dan zijn privacy én je de inbreuk op de privacy zo veel mogelijk beperkt.
Onder de eerste uitzondering kun je bijvoorbeeld rechtvaardigen dat je het IP-adres van de klant bewaart om bij een later bezoek te matchen met een authenticatiecookie. Zo hoeft de gebruiker niet steeds opnieuw in te loggen zolang zijn IP-adres gelijk blijft. Of gewoon simpel dat een load balancer het IP-adres doorgeeft van de eindgebruiker naar een contentserver zodat die de gevraagde content kan uitleveren.
De tweede uitzondering is waar de meeste securitymaatregelen onder vallen. Security is in principe een eigen noodzaak. Als je dus kunt hardmaken dat het IP-adres nodig is voor security, én je zorgt dat de privacy van de persoon daarachter zo veel mogelijk gewaarborgd blijft, dan mag je IP-adressen gebruiken in je securitymaatregelen.
Een IP-adres loggen in combinatie met een HTTP-opvraging is bijvoorbeeld prima om achteraf te kunnen reconstrueren waar een inbraakpoging vandaan kwam. Inbrekers identificeren is een duidelijk zwaarwegend eigen belang. En door de logs alléén voor security te gebruiken, bescherm je de privacy van legitieme bezoekers. Je mag dus niet die logs integraal delen met de marketingjongens die geïndividualiseerde aanbiedingen willen doen (geen idee hoe ze dat willen met alleen IP-adres maar het mag niet).
Een blacklist hanteren van IP-adressen is een bijzonder geval, want zwarte lijsten zijn onder de privacywet verdacht. Je sluit dan mensen uit op basis van een geautomatiseerd proces, en "computer says no" is onder de Wbp niet acceptabel. Er moet een bezwaarprocedure zijn voor het geval mensen ten onrechte geblokt zijn. En mensen die wél terecht geblokt zijn, moeten er op zeker moment ook weer af.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.