Juridische vraag: mag ik WiFi-verkeer afluisteren?
woensdag 19 december 2012, 10:29 door Arnoud Engelfriet, 20 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Stel ik bied een open draadloos netwerk aan waar iedereen op mag. Mag ik dan in detail het netwerkverkeer sniffen en analyseren? Als ik toestemming nodig heb, kan ik die dan gewoon in de voorwaarden opeisen?
Antwoord: Netwerkverkeer sniffen loopt al heel snel tegen de Wet bescherming persoonsgegevens aan. Dit is immers gekoppeld aan IP- of MAC-adressen en dat zijn meestal persoonsgegevens (als ze gebruikt worden door een persoon).
Hoofdregel is dat je toestemming nodig hebt. En nee, die kun je niet opeisen via algemene voorwaarden of een privacyverklaring. Je moet "duidelijk" toestemming vragen, en dat betekent dus een apárte zin bij het aanmeldscherm zelf, niet een vage juridische frase diep in artikel 18.3 van de gebruiksvoorwaarden.
Gelukkig is er een wél werkbare uitzondering op de toestemmingseis, namelijk de "eigen dringende noodzaak". Als jij niet om toestemming kúnt vragen en bovendien de privacyinbreuk gering is, dan mag je ook zonder toestemming werken. Op die grond mag je bijvoorbeeld MAC-adressen en netwerkgebruiksgegevens loggen voor securitydoeleinden. Security is een eigen dringende noodzaak en loggen van zulke
gegevens is geen ernstige inbreuk op de privacy.
Bij een verwerking oner die uitzondering moet je wel zorgen dat je zo terughoudend mogelijk werkt. Liever werk je dus met automatische scripts in plaats van met handmatige controles door mensen. Je zou bv. rapportages altijd anoniem (geaggregeerd) kunnen tonen en pas bij concrete problemen een mens laten inzoomen op individuele logs.
Loggen met als doel er leuke stukjes op Security.nl over te schrijven (met sappige citaten uit gesnifte mails) is natuurlijk géén eigen dringende noodzaak.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (20)
Als ik dus thuis voor test doeleinden een open accesspoint aanzet en iemand komt daar ongevraagd over internetten, dan mag ik niet snifferen?
Lijkt mij een beetje vreemd omdat ik de meesurfer niet heb uitegnodigd.
Lijkt mij een beetje vreemd omdat ik de meesurfer niet heb uitegnodigd.
19-12-2012, 13:54 door
[Account Verwijderd]
[Verwijderd]
19-12-2012, 14:06 door
Orion84
Sowieso is ontvangen wat anders dan verzamelen en verwerken natuurlijk.
Naast dat dit snel valt onder de WBP, is er niet ook voor gewone mensen een verantwoordelijkheid om hun persoonlijke gegevens niet over straat te gooien. In het geval dat ik iedereen random IPs uitdeel dan is dat geen persoonsgegeven. Maar gebruikers hebben toch zelf de verantwoordelijkheid om geen persoonsgegevens over onversleutelde verbindingen te sturen?
Een beetje gerelateerd aan de vraag over radio verkeer: je mag het zeker ontvangen, of je het mag verwerken is een andere vraag.
Een beetje gerelateerd aan de vraag over radio verkeer: je mag het zeker ontvangen, of je het mag verwerken is een andere vraag.
Door Anoniem: Hoe zit het dan met het vrij ontvangen van radio verkeer?
Sinds de radardetector verboden is (is gewoon een radio in de radiogolven frequentie) is dat al niet meer vanzelfsprekend.
20-12-2012, 08:50 door
Arnoud Engelfriet
Door Anoniem:
Sinds de radardetector verboden is (is gewoon een radio in de radiogolven frequentie) is dat al niet meer vanzelfsprekend.
Juridisch gezien zijn radarsignalen geen informatie (aldus onze Hoge Raad) en dus geldt de vrijheid van informatiegaring niet voor radarsignalen. Er zit niets in dat je als mens kunt bekijken of beluisteren, grofweg wat "informatie" zou moeten betekenen. Sinds de radardetector verboden is (is gewoon een radio in de radiogolven frequentie) is dat al niet meer vanzelfsprekend.
In LJN BC4284:
Het middel berust op de opvatting dat het ontvangen van uitgezonden elektromagnetische golven die uitsluitend dienen tot registratie van te snel rijdende voertuigen, valt onder de bescherming van art. 10 EVRM. Deze opvatting is onjuist. Zulke golven bevatten immers geen inlichtingen of denkbeelden – in de authentieke verdragstalen: “information and ideas” onderscheidelijk “des information et des idées” – i.d.z.v. art. 10.1 EVRM.
Het middel berust op de opvatting dat het ontvangen van uitgezonden elektromagnetische golven die uitsluitend dienen tot registratie van te snel rijdende voertuigen, valt onder de bescherming van art. 10 EVRM. Deze opvatting is onjuist. Zulke golven bevatten immers geen inlichtingen of denkbeelden – in de authentieke verdragstalen: “information and ideas” onderscheidelijk “des information et des idées” – i.d.z.v. art. 10.1 EVRM.
Als ik dus thuis voor test doeleinden een open accesspoint aanzet en iemand komt daar ongevraagd over internetten, dan mag ik niet snifferen?
Lijkt mij een beetje vreemd omdat ik de meesurfer niet heb uitegnodigd.
Lijkt mij een beetje vreemd omdat ik de meesurfer niet heb uitegnodigd.
Als ik de situatie mag omdraaien: het is je eigen AP dat zijn signaal broadcast buiten je eigen terrein wat door iedereen is op te vangen (of je nou een SSID uitzend of niet). Als jij mij ongevraagd een signaal doet toekomen, waarom zou ik er geen gebruik van mogen maken?
Door Anoniem: Naast dat dit snel valt onder de WBP, is er niet ook voor gewone mensen een verantwoordelijkheid om hun persoonlijke gegevens niet over straat te gooien. In het geval dat ik iedereen random IPs uitdeel dan is dat geen persoonsgegeven. Maar gebruikers hebben toch zelf de verantwoordelijkheid om geen persoonsgegevens over onversleutelde verbindingen te sturen?
Je zult altijd het MAC-adres opvangen en kunnen bewaren.
Dat is bijvoorbeeld de manier waarop momenteel in Enschede gekeken wordt naar hoe de mensen zich door de stad bewegen om tijdig maatregelen te nemen.
En voor iedereen nu schande spreekt:
Een hoogleraar privacy en security is van mening dat de manier waarop het in Enschede gebeurt, zonder koppeling aan andere gegevensbestanden, is toegestaan.
Vanwege het ontbreken van die koppeling onderschrijf ik het ook.
Peter
20-12-2012, 11:15 door
Erik van Straten
Door Arnoud Engelfriet: Netwerkverkeer sniffen loopt al heel snel tegen de Wet bescherming persoonsgegevens aan. Dit is immers gekoppeld aan IP- of MAC-adressen en dat zijn meestal persoonsgegevens (als ze gebruikt worden door een persoon).
Dan zou ik ook geen foto's meer mogen maken op plaatsen waar auto's voorbijrijden, want de kentekens daarvan zijn natuurlijk ook tot personen herleidbaar. Maar dat is niet zo; de WBP maakt enkele uitzonderingen, waaronder: Uit http://wetten.overheid.nl/BWBR0011468/ Artikel 2 punt 2: Deze wet is niet van toepassing op verwerking van persoonsgegevens:
a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;
ena. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;
Uit http://wetten.overheid.nl/BWBR0011468/ Artikel 3 punt 1: Deze wet is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden, behoudens de overige bepalingen van dit hoofdstuk, alsmede de artikelen 6 tot en met 11, 13 tot en met 15, 25 en 49.
Wat volgens de WBP in elk geval niet mag is het publiceren van verzamelde gegevens zonder expliciete toestemming van de eigenaren. Zo lijkt mij het tonen van allerlei live scheepsgegevens (verkregen via AIS) op o.a. http://vtslite.siitech.com/VTSLite/AView.aspx en http://www.marinetraffic.com/ais/ volstrekt illegaal, maar in de meeste landen wordt hier simpelweg niet op gehandhaafd; scheepsnamen, IMO (zeevaart) en ENI (binnenvaart) scheepsidentificatienummers en AIS zender MMSI nummers zijn tot personen herleidbare gegevens. Dit nog allemaal even los van het zakelijke belang dat schippers en agenten erbij hebben dat hun concullega's wel heel erg makkelijk kunnen bijhouden waar schepen zich bevinden, waar ze naartoe gaan en of ze geladen zijn.IANAL, en ik kan zo gauw het wetsartikel niet vinden waarin staat dat ISP's moeten bijhouden wie er van hun netwerk gebruik maakt. Echter, in dezelfde lijn zit bijv. http://www.om.nl/organisatie/beleidsregels/overzicht/opsporing/@159215/aanwijzing/ waaruit je zou kunnen afleiden dat, ook eigenaren van publiek toegankelijk WiFi netwerken, in het kader van de opsporing van misbruikers wel eens de plicht zouden kunnen hebben om, voor zover redelijkerwijs mogelijk, bij te houden "wie" (welke min-of-meer identificeerbare devices) er van dat netwerk gebruik maken en hebben gemaakt. Dat lijkt me compleet in tegenspraak met de stelling van Arnoud. Wel lijkt het me noodzakelijk om gebruikers in een welkomstscherm ten minste op "ik heb de voorwaarden gelezen en ga akkoord" te laten klikken.
20-12-2012, 12:15 door
Arnoud Engelfriet
Door Erik van Straten:
Inderdaad, een particulier die zonder enig commercieel oogmerk en zonder gegevens te delen ze verzamelt, valt buiten de Wbp. Maar een bedrijf dat kentekens fotografeert, valt wel degelijk onder de Wbp.Uit http://wetten.overheid.nl/BWBR0011468/ Artikel 2 punt 2: Deze wet is niet van toepassing op verwerking van persoonsgegevens:
a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;
a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;
Uit http://wetten.overheid.nl/BWBR0011468/ Artikel 3 punt 1: Deze wet is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden, behoudens de overige bepalingen van dit hoofdstuk, alsmede de artikelen 6 tot en met 11, 13 tot en met 15, 25 en 49.
Let op: De "behoudens" artikelen laten precies de kern van de Wbp intact. Toestemming is immers artikel 7/8/9 Wbp. Je mag ook als journalist niet zonder grondslag in artikel 8 namen noemen of foto's publiceren.Wat volgens de WBP in elk geval niet mag is het publiceren van verzamelde gegevens zonder expliciete toestemming van de eigenaren.
Inderdaad, tenzij je een dringende noodzaak tot publicatie kunt aantonen. Dat zou de vrijheid van meningsuiting kunnen zijn. Een journalistiek stuk over een bij naam genoemd persoon valt hier meestal wel onder (zie Kleintje Muurkrant-arrest over de afweging).Bij scheepsgegevens kun je je afvragen of sprake is van persoonsgegevens, want een schipnummer lijkt mij niet per se herleidbaar tot een natuurlijk persoon. Dat zal eerder een bedrijf zijn, dat de eigenaar van het schip is. Als het direct tot bv. de kapitein herleidbaar is dan geldt wél de Wbp en moet je maar hopen dat je het via een rechtvaardigingsgrond kunt goedpraten.
IANAL, en ik kan zo gauw het wetsartikel niet vinden waarin staat dat ISP's moeten bijhouden wie er van hun netwerk gebruik maakt.
Dat wetsartikel is er niet. De bewaarplicht uit artikel 13.2a Tw bepaalt dat je moet bewaren wat je bijhoudt, maar niet dat je gegevens moet verzamelen. Log jij geen MAC-adressen van online komende klanten, dan hoef je dat niet te bewaren.
Ik zie niet hoe je zo'n plicht kunt halen uit die Aanwijzing. Kun je naam & vers citeren?
20-12-2012, 12:30 door
Orion84
Door Anoniem:
Als ik de situatie mag omdraaien: het is je eigen AP dat zijn signaal broadcast buiten je eigen terrein wat door iedereen is op te vangen (of je nou een SSID uitzend of niet). Als jij mij ongevraagd een signaal doet toekomen, waarom zou ik er geen gebruik van mogen maken?
Een signaal opvangen is heel wat anders dan zelf actief gebruik maken van dat netwerk.Als ik dus thuis voor test doeleinden een open accesspoint aanzet en iemand komt daar ongevraagd over internetten, dan mag ik niet snifferen?
Lijkt mij een beetje vreemd omdat ik de meesurfer niet heb uitegnodigd.
Lijkt mij een beetje vreemd omdat ik de meesurfer niet heb uitegnodigd.
Als ik de situatie mag omdraaien: het is je eigen AP dat zijn signaal broadcast buiten je eigen terrein wat door iedereen is op te vangen (of je nou een SSID uitzend of niet). Als jij mij ongevraagd een signaal doet toekomen, waarom zou ik er geen gebruik van mogen maken?
Het zonder toestemming gebruikmaken van privé wifi netwerken (ook al zijn ze niet beveiligd) is sinds een wetswijziging in 2006 niet toegestaan. Zie ook: http://www.iusmentis.com/beveiliging/draadloosinternetten/
20-12-2012, 15:03 door
Erik van Straten
Door Arnoud Engelfriet: Inderdaad, een particulier die zonder enig commercieel oogmerk en zonder gegevens te delen ze verzamelt, valt buiten de Wbp. Maar een bedrijf dat kentekens fotografeert, valt wel degelijk onder de Wbp.
Dat lijkt me dan ook gelden voor de AIS websites die ik noem; zijn die volgens jou legaal?Door Arnoud Engelfriet: Let op: De "behoudens" artikelen laten precies de kern van de Wbp intact. Toestemming is immers artikel 7/8/9 Wbp. Je mag ook als journalist niet zonder grondslag in artikel 8 namen noemen of foto's publiceren.
Okay, helder!Door Arnoud Engelfriet: Bij scheepsgegevens kun je je afvragen of sprake is van persoonsgegevens, want een schipnummer lijkt mij niet per se herleidbaar tot een natuurlijk persoon. Dat zal eerder een bedrijf zijn, dat de eigenaar van het schip is. Als het direct tot bv. de kapitein herleidbaar is dan geldt wél de Wbp en moet je maar hopen dat je het via een rechtvaardigingsgrond kunt goedpraten.
Het MMSI nummer is gekoppeld aan een zendvergunning en die is op naam gesteld, vaak gaat het daarbij om de eigenaar van het schip.IANAL...wetsartikel waarin staat dat ISP's moeten bijhouden wie er van hun netwerk gebruik maakt...
Door Arnoud Engelfriet: Dat wetsartikel is er niet.
De bewaarplicht uit artikel 13.2a Tw bepaalt dat je moet bewaren wat je bijhoudt, maar niet dat je gegevens moet verzamelen. Log jij geen MAC-adressen van online komende klanten, dan hoef je dat niet te bewaren.
Ik zie niet hoe je zo'n plicht kunt halen uit die Aanwijzing. Kun je naam & vers citeren?
Ik schreef dan ook "IANAL" - ik ben geen jurist, daar hebben "we" jou voor ;)De bewaarplicht uit artikel 13.2a Tw bepaalt dat je moet bewaren wat je bijhoudt, maar niet dat je gegevens moet verzamelen. Log jij geen MAC-adressen van online komende klanten, dan hoef je dat niet te bewaren.
Ik zie niet hoe je zo'n plicht kunt halen uit die Aanwijzing. Kun je naam & vers citeren?
In https://ictrecht.nl/factsheets/draadloos-internet-wifi-aanbieden-aan-anderen/ (overigens behoorlijk on-topic) las ik onder meer:
Door ICTRECHT over Draadloos internet (wifi) aanbieden aan anderen: Telecommunicatiewet
Het aanbieden van internettoegang aan anderen valt in principe onder de Telecommunicatiewet. Deze wet bepaalt dat mensen die “in het openbaar” internet aanbieden, zich moeten registreren. Ook moeten ze dan aan allerlei eisen voldoen, zoals het aftapbaar maken van hun netwerk en zorgen dat ze aan de Wet bewaarplicht voldoen. Het maakt hierbij niet uit of men geld vraagt voor de toegang tot internet of niet.
In principe, want deze wet stelt eigenlijk alleen regels voor partijen die “openbaar” toegang tot internet aanbieden. Daarvan is pas sprake wanneer iedereen, zonder nadere eisen (behalve eventueel betaling) toegang kan krijgen tot het internet. Als daarentegen de toegang beperkt wordt tot een duidelijk afgebakende groep, zoals studenten op een onderwijsinstelling of gasten in een hotel, dan is geen sprake van “openbare toegang”. Cafés, bibliotheken, bedrijvengebouwen, verenigingen en de meeste andere aanbieders hebben dus niets te maken met deze strenge wetgeving.
Mijn indruk -maar die is kennelijk onjuist- was dat die bewaarplicht die voor partijen geldt die "openbaar" toegang tot internet aanbieden, impliciet betekent dat zij gegevens moeten verzamelen om ze vervolgens te kunnen bewaren. Mag ik hieruit afleiden dat er geen verplichting bestaat voor ISP's om bijv. connecties die klanten met derden maken te montitoren en (deels) te loggen?Het aanbieden van internettoegang aan anderen valt in principe onder de Telecommunicatiewet. Deze wet bepaalt dat mensen die “in het openbaar” internet aanbieden, zich moeten registreren. Ook moeten ze dan aan allerlei eisen voldoen, zoals het aftapbaar maken van hun netwerk en zorgen dat ze aan de Wet bewaarplicht voldoen. Het maakt hierbij niet uit of men geld vraagt voor de toegang tot internet of niet.
In principe, want deze wet stelt eigenlijk alleen regels voor partijen die “openbaar” toegang tot internet aanbieden. Daarvan is pas sprake wanneer iedereen, zonder nadere eisen (behalve eventueel betaling) toegang kan krijgen tot het internet. Als daarentegen de toegang beperkt wordt tot een duidelijk afgebakende groep, zoals studenten op een onderwijsinstelling of gasten in een hotel, dan is geen sprake van “openbare toegang”. Cafés, bibliotheken, bedrijvengebouwen, verenigingen en de meeste andere aanbieders hebben dus niets te maken met deze strenge wetgeving.
Zelf heb ik bijv. bij xs4all een fixed IP adres met, als ik me niet vergis, een onbeperkt aantal bytes/betaalperiode die ik mag uitwisselen, xs4all zou er dus voor kunnen kiezen om niets van mijn netwerkverkeer te loggen (dus ook niet:
2012-12-21 14:56:00: Klant Erik met [80.101.256.257] zet https verbinding op naar secure.security.nl met [213.156.0.140]).
Aanvulling, ik heb al een antwoord van jou op mijn vraag gevonden! In https://secure.security.nl/artikel/39366/1/Juridische_vraag%3A_Wie_is_aansprakelijk_voor_open_WiFi%3F.html lees ik:
30-11-2011,10:39 doorArnoud Engelfriet Juridische vraag: Wie is aansprakelijk voor open WiFi?
...
Voor partijen die aan "het publiek" internet aanbieden, geldt de Telecommunicatiewet en daarmee ook de regels rond de bewaarplicht. Maar ook die regels eisen niet dat je weet wie je gebruikers zijn. Je moet bewaren wat je bij je bedrijfsvoering genereert, maar de Wet bewaarplicht eist niet dat je gegevens gaat maken om die vervolgens te bewaren.
...
Voor partijen die aan "het publiek" internet aanbieden, geldt de Telecommunicatiewet en daarmee ook de regels rond de bewaarplicht. Maar ook die regels eisen niet dat je weet wie je gebruikers zijn. Je moet bewaren wat je bij je bedrijfsvoering genereert, maar de Wet bewaarplicht eist niet dat je gegevens gaat maken om die vervolgens te bewaren.
20-12-2012, 15:07 door
Arnoud Engelfriet
Door Erik van Straten: [
Dat lijkt me dan ook gelden voor de AIS websites die ik noem; zijn die volgens jou legaal?
Nee, want publicatie is per definitie niet "persoonlijk" of "huishoudelijk".Dat lijkt me dan ook gelden voor de AIS websites die ik noem; zijn die volgens jou legaal?
In https://ictrecht.nl/factsheets/draadloos-internet-wifi-aanbieden-aan-anderen/ (overigens behoorlijk on-topic) las ik onder meer:
Er staat alleen dat je aan de Wet bewaarplicht moet voldoen en dat je jezelf als aanbieder moet registreren. XS4All is dus geregistreerd en bewaart wat ze logt. Maar wat ze niet logt, hoeft ze ook niet te bewaren.
Bekendste voorbeeld is prepaid telefonie of internet. Het is volstrekt legaal onder bewaarplicht om mensen anoniem internet of telefonie te laten doen. Anders zouden die prepaiddiensten niet tegen contant geld en zonder legitimatie verkocht mogen worden, toch?
Door ICTRECHT over Draadloos internet (wifi) aanbieden aan anderen:
Doe eens gokken wie die tekst geschreven heeft ;)Er staat alleen dat je aan de Wet bewaarplicht moet voldoen en dat je jezelf als aanbieder moet registreren. XS4All is dus geregistreerd en bewaart wat ze logt. Maar wat ze niet logt, hoeft ze ook niet te bewaren.
Bekendste voorbeeld is prepaid telefonie of internet. Het is volstrekt legaal onder bewaarplicht om mensen anoniem internet of telefonie te laten doen. Anders zouden die prepaiddiensten niet tegen contant geld en zonder legitimatie verkocht mogen worden, toch?
Zelf heb ik bijv. bij xs4all een fixed IP adres met, als ik me niet vergis, een onbeperkt aantal bytes/betaalperiode die ik mag uitwisselen, xs4all zou er dus voor kunnen kiezen om niets van mijn netwerkverkeer te loggen (dus ook niet:
2012-12-21 14:56:00: Klant Erik met [80.101.256.257] zet https verbinding op naar secure.security.nl met [213.156.0.140]).
Dat valt sowieso buiten de bewaarplicht. De lijst bij artikel 13.2 Tw noemt alleen het online/offline gaan (dus MAC adres 1 -> IP-adres 2 ontvangen van klant Erik) en niet elke HTTP sessie.2012-12-21 14:56:00: Klant Erik met [80.101.256.257] zet https verbinding op naar secure.security.nl met [213.156.0.140]).
Door Arnoud Engelfriet:
Zelf heb ik bijv. bij xs4all een fixed IP adres met, als ik me niet vergis, een onbeperkt aantal bytes/betaalperiode die ik mag uitwisselen, xs4all zou er dus voor kunnen kiezen om niets van mijn netwerkverkeer te loggen (dus ook niet:
2012-12-21 14:56:00: Klant Erik met [80.101.256.257] zet https verbinding op naar secure.security.nl met [213.156.0.140]).
Dat valt sowieso buiten de bewaarplicht. De lijst bij artikel 13.2 Tw noemt alleen het online/offline gaan (dus MAC adres 1 -> IP-adres 2 ontvangen van klant Erik) en niet elke HTTP sessie. 2012-12-21 14:56:00: Klant Erik met [80.101.256.257] zet https verbinding op naar secure.security.nl met [213.156.0.140]).
De vraag bij een vast IP adres is hoe je daar aan komt. Als je het zelf instelt, dan weet xs4all waarschijnlijk niet eens dat je online komt. Als je DHCP doet en dan een vast IP adres krijgt toegewezen, houden ze misschien wel de DHCP logs bij. iets wat voor storingzoeken verstandig is. Als je PPPoA/E gebruikt, weten ze waarschijnlijk ook wanneer je online komt, maar niet zo gemakkelijk als je afhaakt. Iets wat met DHCP dus weer wel (binnen de grenzen van de leasetime) mogelijk is.
Peter
20-12-2012, 16:12 door
prikpost
Hoe verhoudt e.e.a zich tot dit:
http://www.nu.nl/internet/2980841/upc-wil-internetmodem-als-wifi-hotspot-inzetten.html
Ik bied dan ongewild wifi via aan voor iedereen.
http://www.nu.nl/internet/2980841/upc-wil-internetmodem-als-wifi-hotspot-inzetten.html
Ik bied dan ongewild wifi via aan voor iedereen.
20-12-2012, 16:34 door
Erik van Straten
Door Arnoud Engelfriet:
Helder, die zijn fout bezig dus.Door Erik van Straten:
Dat lijkt me dan ook gelden voor de AIS websites die ik noem; zijn die volgens jou legaal?
Nee, want publicatie is per definitie niet "persoonlijk" of "huishoudelijk".Dat lijkt me dan ook gelden voor de AIS websites die ik noem; zijn die volgens jou legaal?
...https://ictrecht.nl/factsheets/draadloos-internet-wifi-aanbieden-aan-anderen/...
Doe eens gokken wie die tekst geschreven heeft ;)
Ah, heb ik per ongeluk reclame voor jouw werkgever gemaakt....Er staat alleen dat je aan de Wet bewaarplicht moet voldoen en dat je jezelf als aanbieder moet registreren. XS4All is dus geregistreerd en bewaart wat ze logt. Maar wat ze niet logt, hoeft ze ook niet te bewaren.
Okay, goed om dit te weten. Weer wat geleerd!Bekendste voorbeeld is prepaid telefonie of internet. Het is volstrekt legaal onder bewaarplicht om mensen anoniem internet of telefonie te laten doen. Anders zouden die prepaiddiensten niet tegen contant geld en zonder legitimatie verkocht mogen worden, toch?
Het IMEI nummer van zo'n telefoon is redelijk te vergelijken met een MAC-adres, met dien verstande dat het een koud kunstje is voor opsporingsdiensten om uit te vinden waar een telefoon zich ongeveer bevindt (mits deze aan staat). Bovendien wordt elke opgezette GSM/GPRS/UMTS connectie gelogd en bewaard. Vergelijkbaar is een anonieme OV chipkaart die je in een pinautomaat opwaardeert, en/of een camera boven de in/uitcheck automaat, natuurlijk lang niet zo anoniem als het woord "anoniem" zou kunnen doen vermoeden.Dan is een MAC adres, waarvan je het zelf in de hand hebt of je het "publiceert" door je WiFi kaart aan te zetten (en wat je bovendien relatief eenvoudig kunt wijzigen) toch een stuk anoniemer. Maar ik begrijp jouw argument.
Door Arnoud Engelfriet:
Ik denk dat het niet klopt wat je hier zegt. De ISP ziet nooit MAC-adressen van PC's bij mij in huis, hooguit een ID van mijn modem (dat een MAC-adres zou kunnen zijn, maar er hoeft geen sprake te zijn van ethernet) en het IP-adres dat ze zelf aan de internetzijde van mijn modem hebben uitgedeeld. Daarbij bestaat de verbinding tussen mijn modem en mijn ISP 24x7 aan en heeft dus niets te maken met de momenten waarop huisgenoten of ik PC's aan/uit zet of "online/offline" ga.Door Erik van Straten: Zelf heb ik bijv. bij xs4all een fixed IP adres met, als ik me niet vergis, een onbeperkt aantal bytes/betaalperiode die ik mag uitwisselen, xs4all zou er dus voor kunnen kiezen om niets van mijn netwerkverkeer te loggen (dus ook niet:
2012-12-21 14:56:00: Klant Erik met [80.101.256.257] zet https verbinding op naar secure.security.nl met [213.156.0.140]).
Dat valt sowieso buiten de bewaarplicht. De lijst bij artikel 13.2 Tw noemt alleen het online/offline gaan (dus MAC adres 1 -> IP-adres 2 ontvangen van klant Erik) en niet elke HTTP sessie. 2012-12-21 14:56:00: Klant Erik met [80.101.256.257] zet https verbinding op naar secure.security.nl met [213.156.0.140]).
Opsporingsdiensten willen ten minste weten wanneer vanaf IP adres X met IP adres Y is gecommuniceerd (met bijbehorende source en destination ports). In de praktijk doe je dat door te monitoren op TCP pakketjes met de "SYN" vlag gezet, en dat leidt tot het soort logregels als ik noemde. Mocht dit toch niet zo zijn, dan ben ik helemaal verkeerd geïnformeerd...
20-12-2012, 16:51 door
Arnoud Engelfriet
Ik denk dat het niet klopt wat je hier zegt. De ISP ziet nooit MAC-adressen van PC's bij mij in huis, hooguit een ID van mijn modem (dat een MAC-adres zou kunnen zijn, maar er hoeft geen sprake te zijn van ethernet) en het IP-adres dat ze zelf aan de internetzijde van mijn modem hebben uitgedeeld.
Dat zal afhangen van je hardware denk ik, maar ik snap je punt.De bijlage spreekt formeel van "het inbellende nummer voor een inbelverbinding" of "de digital subscriber line (DSL) of ander eindpunt van de initiatiefnemer van de communicatie". Het nummer dus waarmee je terug kunt tracen tot de gebruiker. En nog wat meer, maar níet de TCP sessie ("de gebruikte internetdienst" gaat over wat anders, staat ergens diep in de parlementaire stukken).
http://opmaatmobiel.nl/index.php?cat=content&action=76609&node=10121324
En ja klopt, maar dérgelijke monitoring is zeer data-intensief dus dat is onmogelijk in combinatie met een jaar bewaren van die logs. Vandaar dat gekozen is voor alleen logon/logoff en e-mail van/naar het provideradres bij internet, niet voor elke TCP sessie. Dit maakt de bewaarplicht inderdaad een Zwitserse gatenkaas waar een vrachtwagen doorheen kan, maar wetten zijn niet altijd logisch.
20-12-2012, 19:48 door
Orion84
Door prikpost: Hoe verhoudt e.e.a zich tot dit:
http://www.nu.nl/internet/2980841/upc-wil-internetmodem-als-wifi-hotspot-inzetten.html
Ik bied dan ongewild wifi via aan voor iedereen.
Jij biedt (in mijn ogen) helemaal niks aan. UPC biedt, via hun apparatuur (modem is immers huur/bruikleen), die 'toevallig' in jouw meterkast staat en via hun netwerk (het gaat immers buiten jouw netwerk om) een dienst aan.http://www.nu.nl/internet/2980841/upc-wil-internetmodem-als-wifi-hotspot-inzetten.html
Ik bied dan ongewild wifi via aan voor iedereen.
27-12-2012, 10:50 door
yobi
Nee, het mag niet. Het is echter niet te bewijzen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
