image

Juridische vraag: Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

woensdag 14 februari 2018, 13:43 door Arnoud Engelfriet, 35 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?

Antwoord: Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting "kenteken alleen voor RDW persoonsgegeven" gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op (pdf), met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip 'identificeerbaar' bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Die 'online identificator' kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet "deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1" maar "deze persoon héét 192.168.1.1". Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (35)
14-02-2018, 14:08 door Anoniem
O jee, 192.168.1.1 is mijn adres. Wat nu.
14-02-2018, 14:26 door wabrandsma
IP adres informatie is ontworpen voor het routeren van verkeer op het internet, niet als een identificatie voor andere doeleinden. IP-adressen informatie is niet hetzelfde als fysieke adressen of kentekenplaten die een exacte locatie kunnen identificeren of een bepaalde persoon kunnen identificeren. Simpel gezegd: er is geen uniforme manier om systematisch fysieke locaties op basis van IP-adressen in kaart te brengen of een telefoonboek te maken van bepaalde IP-adressen voor het opzoeken van bepaalde gebruikers.

Het IP-adres is geen betrouwbare informatiebron (voor onderzoek), en dient altijd vergezeld te gaan van aanvullende informatie om een persoon te kunnen identificeren.

Bron: Whitepaper van Amerikaanse burgerrechten organisatie Electronic Frontier Foundation (EFF)
https://www.eff.org/files/2016/09/22/2016.09.20_final_formatted_ip_address_white_paper_0.pdf
14-02-2018, 14:39 door Anoniem
Door wabrandsma: IP adres informatie is ontworpen voor het routeren van verkeer op het internet, niet als een identificatie voor andere doeleinden. IP-adressen informatie is niet hetzelfde als fysieke adressen of kentekenplaten die een exacte locatie kunnen identificeren of een bepaalde persoon kunnen identificeren. Simpel gezegd: er is geen uniforme manier om systematisch fysieke locaties op basis van IP-adressen in kaart te brengen of een telefoonboek te maken van bepaalde IP-adressen voor het opzoeken van bepaalde gebruikers.

Het IP-adres is geen betrouwbare informatiebron (voor onderzoek), en dient altijd vergezeld te gaan van aanvullende informatie om een persoon te kunnen identificeren.

Bron: Whitepaper van Amerikaanse burgerrechten organisatie Electronic Frontier Foundation (EFF)
https://www.eff.org/files/2016/09/22/2016.09.20_final_formatted_ip_address_white_paper_0.pdf

Zoals er in de bijgesloten PDF staat vermeld: een IP nummer kan worden gebruikt om onderscheidt te maken tussen entiteiten (in dit geval gebruikers) en daarom wordt het als privacy gevoelig bestempeld..

"Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus."

Ik ben veel benieuwder naar de adressen van binnen een DHCP bedrijfsnetwerk. De lease vervalt (bij ons) na vier dagen. Het is niet direct traceerbaar naar een gebruiker maar er kan wel onderscheid gemaakt worden.

Eminus
14-02-2018, 14:43 door Anoniem
Dat een kenteken wel degelijk een persoonsgegeven is, bleek wel op 30 april 2009, toen de heer Karst T. met zijn Suzuki Swift inreed op de bus met de Koninklijke familie. Ik heb nog nooit zo snel vanuit diverse bronnen dezelfde naam zien opduiken vanwege van het kenteken dat op TV zichtbaar was.
https://nl.wikipedia.org/wiki/Aanslag_op_Koninginnedag_2009
14-02-2018, 15:22 door buttonius - Bijgewerkt: 14-02-2018, 15:23
Betekent dit dat ik de log files van mijn web server (die IP nummers van de bezoekers bevatten) moet zien als bestanden met persoonsgegevens die ik vreselijk goed moet beveiligen?
Dat zou niet fijn zijn...
14-02-2018, 15:28 door Anoniem
Zou ik dan ook de persoonsgegevens op mijn auto onherkenbaar mogen maken of naar buiten toe mogen publiceren als een ander nummer (VPN voor kentekenplaat)?
14-02-2018, 15:40 door Anoniem
Door buttonius: Betekent dit dat ik de log files van mijn web server (die IP nummers van de bezoekers bevatten) moet zien als bestanden met persoonsgegevens die ik vreselijk goed moet beveiligen?
Dat zou niet fijn zijn...

Dat denk ik wel. Afhankelijk van de inhoud van je site zijn het misschien zelfs bijzondere persoonsgegevens.... Niemand heeft ooit gezegd dat de AVG fijn is.
14-02-2018, 15:44 door Anoniem
Door Anoniem: Dat een kenteken wel degelijk een persoonsgegeven is, bleek wel op 30 april 2009, toen de heer Karst T. met zijn Suzuki Swift inreed op de bus met de Koninklijke familie. Ik heb nog nooit zo snel vanuit diverse bronnen dezelfde naam zien opduiken vanwege van het kenteken dat op TV zichtbaar was.
https://nl.wikipedia.org/wiki/Aanslag_op_Koninginnedag_2009

Nee hoor, dat kenteken leidde niet tot de naam maar alleen tot de voertuig gegevens (merk, type, kleur, gewicht
datum eerste gebruik, cylinderinhoud enzo)
Dat er ook mensen snel de naam wisten dat had niets met het door het publiek te raadplegen kentekenregister te maken!

Tegenwoordig gaat het meestal nog sneller omdat iedereen tegenwoordig met elkaar en het publiek kan communiceren.
Als iemand toevallig weet "hee dat is de auto van mijn buurman!" dan kan hij die naam makkelijk openbaar maken.
14-02-2018, 15:48 door Anoniem
Door buttonius: Betekent dit dat ik de log files van mijn web server (die IP nummers van de bezoekers bevatten) moet zien als bestanden met persoonsgegevens die ik vreselijk goed moet beveiligen?
Dat zou niet fijn zijn...
Merk op dat het bij de AVG niet alleen gaat over hoe goed je die gegevens moet beveiligen.
Je moet altijd je gegevens goed beveiligen. Waar het om gaat is dat je ze niet zonder noodzaak mag verwerken en
dat je moet kunnen aangeven wat je verwerkt en de gegevens op aanvraag moet kunnen verwijderen.
Dus als iemand jou vraagt "wat voor persoonsgegevens verwerk je van mij" dan moet je daar een antwoord op hebben.
Bijvoorbeeld "ik verwerk jouw IP adres".
Als de vraagsteller dan vervolgens vraagt "verwijder mijn IP adres omdat het niet meer nodig is" dan moet je dat doen.

Het is duidelijk dat dit totaal onpraktisch is. Maar daar gaat de wetgever niet over.
14-02-2018, 16:15 door Anoniem
Door Anoniem: Zou ik dan ook de persoonsgegevens op mijn auto onherkenbaar mogen maken of naar buiten toe mogen publiceren als een ander nummer (VPN voor kentekenplaat)?

Ja hoor, zoek een katvanger :-)
14-02-2018, 16:58 door Anoniem
Door wabrandsma: IP adres informatie is ontworpen voor het routeren van verkeer op het internet, niet als een identificatie voor andere doeleinden. IP-adressen informatie is niet hetzelfde als fysieke adressen of kentekenplaten die een exacte locatie kunnen identificeren of een bepaalde persoon kunnen identificeren. Simpel gezegd: er is geen uniforme manier om systematisch fysieke locaties op basis van IP-adressen in kaart te brengen of een telefoonboek te maken van bepaalde IP-adressen voor het opzoeken van bepaalde gebruikers.

Het IP-adres is geen betrouwbare informatiebron (voor onderzoek), en dient altijd vergezeld te gaan van aanvullende informatie om een persoon te kunnen identificeren.

Bron: Whitepaper van Amerikaanse burgerrechten organisatie Electronic Frontier Foundation (EFF)
https://www.eff.org/files/2016/09/22/2016.09.20_final_formatted_ip_address_white_paper_0.pdf
Een IP-adres kan dynamisch of statisch zijn. Daarom is het van de ene kant niet geschikt als betrouwbare informatiebron om een persoon te identificeren (want dynamisch), maar het kán wel degelijk dezelfde persoon zijn (want statisch).

Door buttonius: Betekent dit dat ik de log files van mijn web server (die IP nummers van de bezoekers bevatten) moet zien als bestanden met persoonsgegevens die ik vreselijk goed moet beveiligen?
Dat zou niet fijn zijn...
Is de webserver voor "de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit"? Dan valt de verwerking buiten de AVG. Zo niet, is de AVG van toepassing en moet voor die logs "een op het risico afgestemd beveiligingsniveau" gewaarborgd worden. Of die logs "vreselijk goed" of gewoon "normaal" beveiligd moeten worden hangt af van het soort website (homepage van een voetbalclub vs homepage van een arts), welke informatie gelogd wordt (URL vs exacte invoer in contactformulier), etc.

Door Anoniem: Zou ik dan ook de persoonsgegevens op mijn auto onherkenbaar mogen maken of naar buiten toe mogen publiceren als een ander nummer (VPN voor kentekenplaat)?
Nee, aangezien hier andere wetten van toepassing zijn die dit verbieden.
14-02-2018, 17:12 door Anoniem
Door Anoniem: O jee, 192.168.1.1 is mijn adres. Wat nu.

hee buurman !
14-02-2018, 17:18 door karma4
Nieuw met de GDPR is een hele lijst met omschrijving van de woorden als begrip.
http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
Juristen moeten geen eigen interpretatie meer doen maar zich daar naar richten.

(26) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.


(30) Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.
..
Artikel 4
Definities

Voor de toepassing van deze verordening wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

----------

Daarmee veranderd nauwelijks iets aan de bestaande praktijk. Een auto kenteken dat je kan koppelen aan de bestuurder is een persoonsgegeven. Kan dat niet dat is het dat niet. Kan het ip-adress herleid worden naar een persoon dan is dat een persoonsgegeven anders niet.
Opletten: het pseudonimiseren heft het gegeven van een persoonsgegeven niet zo maar op.
14-02-2018, 19:08 door Anoniem
Door buttonius: Betekent dit dat ik de log files van mijn web server (die IP nummers van de bezoekers bevatten) moet zien als bestanden met persoonsgegevens die ik vreselijk goed moet beveiligen?
Dat zou niet fijn zijn...
Dat vraag ik me ook af. B.v. in context van DNSBL's. Of mail, http, ntp, etc.

IP-adressen zie ik niet als een persoonsgegeven. Een gebruiker maakt geen verbinding met een e-mail server (dat doet de verzendende mailserver), dus het IP is enkel ter identificatie van de mailserver. Echter zit in de email ook from headers verwerkt. In principe publiceert een mailserver dus het IP van de verzender.

IP-adressen worden ook gebruikt om visitor-counters (awstats, etc) te produceren.

Ik denk dat we hier als IT-sector tegen moeten vechten. Anders is er geen security te leveren (IDS, IPS, Fail2ban, auth.log, syslog etc, etc), zonder gezeik...
Ik ben voorstander van privacy. Maar uit beveiligings-oogpunt is een IP-adres enkel een routable adres, en geen persoonsgegeven (een spammende source-IP is geen mens)!

Vragen, vragen. Hoe moet ik deze wetgeving interpreteren?
14-02-2018, 20:25 door Briolet
Door Anoniem: O jee, 192.168.1.1 is mijn adres. Wat nu.

Iemand snapt hier iets niet door juist dit IP adres als voorbeeld te gebruiken. Dit is gegarandeerd géén persoonsgegeven ondanks dat dit IP een "Private IP" genoemd wordt.

https://en.wikipedia.org/wiki/Private_network
14-02-2018, 20:53 door Anoniem
Door Briolet:
Door Anoniem: O jee, 192.168.1.1 is mijn adres. Wat nu.

Iemand snapt hier iets niet door juist dit IP adres als voorbeeld te gebruiken. Dit is gegarandeerd géén persoonsgegeven ondanks dat dit IP een "Private IP" genoemd wordt.

https://en.wikipedia.org/wiki/Private_network

Snap jij het Wel?!

In een bedrijf die aan de AVG voldoet is monitoring en logging in place. Dat gegeven is daardoor (indorect) herleidbaar tot een persoon of beter een betrokkene en dus wel degelijk een persoonsgegeven!

Ook thuis met een beetje router in het logboek te vinden en dat is dan te koppelen aan een device en daar staat weer een log wie ingelogd was op tijdstip x. Dus ook hier is dat privé adres herleidbaar, echter valt familie/gezin doel buiten de AVG dus zal dat dan geen consequentie hebben.
14-02-2018, 21:00 door Anoniem
Door Anoniem:
Door wabrandsma: IP adres informatie is ontworpen voor het routeren van verkeer op het internet, niet als een identificatie voor andere doeleinden. IP-adressen informatie is niet hetzelfde als fysieke adressen of kentekenplaten die een exacte locatie kunnen identificeren of een bepaalde persoon kunnen identificeren. Simpel gezegd: er is geen uniforme manier om systematisch fysieke locaties op basis van IP-adressen in kaart te brengen of een telefoonboek te maken van bepaalde IP-adressen voor het opzoeken van bepaalde gebruikers.

Het IP-adres is geen betrouwbare informatiebron (voor onderzoek), en dient altijd vergezeld te gaan van aanvullende informatie om een persoon te kunnen identificeren.

Bron: Whitepaper van Amerikaanse burgerrechten organisatie Electronic Frontier Foundation (EFF)
https://www.eff.org/files/2016/09/22/2016.09.20_final_formatted_ip_address_white_paper_0.pdf

Zoals er in de bijgesloten PDF staat vermeld: een IP nummer kan worden gebruikt om onderscheidt te maken tussen entiteiten (in dit geval gebruikers) en daarom wordt het als privacy gevoelig bestempeld..

"Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus."

Ik ben veel benieuwder naar de adressen van binnen een DHCP bedrijfsnetwerk. De lease vervalt (bij ons) na vier dagen. Het is niet direct traceerbaar naar een gebruiker maar er kan wel onderscheid gemaakt worden.

Eminus

Indirect herleidbaar... je hebt toch een dhcp log of in elk geval een log met wie op welk ip zat. Daarom dus indirect herleidbaar tot ofwel een persoonsgegeven.
14-02-2018, 21:33 door [Account Verwijderd]
Door Briolet:
Door Anoniem: O jee, 192.168.1.1 is mijn adres. Wat nu.

Iemand snapt hier iets niet door juist dit IP adres als voorbeeld te gebruiken. Dit is gegarandeerd géén persoonsgegeven ondanks dat dit IP een "Private IP" genoemd wordt.

https://en.wikipedia.org/wiki/Private_network
Baited on a free local IP address.
Dat je niet doorhebt dat dat een troll was, lmao :)
15-02-2018, 08:28 door Anoniem
Door Anoniem:
Door buttonius: Betekent dit dat ik de log files van mijn web server (die IP nummers van de bezoekers bevatten) moet zien als bestanden met persoonsgegevens die ik vreselijk goed moet beveiligen?
Dat zou niet fijn zijn...
Dat vraag ik me ook af. B.v. in context van DNSBL's. Of mail, http, ntp, etc.

IP-adressen zie ik niet als een persoonsgegeven. Een gebruiker maakt geen verbinding met een e-mail server (dat doet de verzendende mailserver), dus het IP is enkel ter identificatie van de mailserver. Echter zit in de email ook from headers verwerkt. In principe publiceert een mailserver dus het IP van de verzender.

IP-adressen worden ook gebruikt om visitor-counters (awstats, etc) te produceren.

Ik denk dat we hier als IT-sector tegen moeten vechten. Anders is er geen security te leveren (IDS, IPS, Fail2ban, auth.log, syslog etc, etc), zonder gezeik...
Ik ben voorstander van privacy. Maar uit beveiligings-oogpunt is een IP-adres enkel een routable adres, en geen persoonsgegeven (een spammende source-IP is geen mens)!

Vragen, vragen. Hoe moet ik deze wetgeving interpreteren?
Het doet er niet toe hoe jij IP-adressen ziet. De wetgever zegt heel duidelijk IP-adres = persoonsgegeven.
Natuurlijk kan het IP-adres van een mailserver van een groot bedrijf zijn (dan is het niet direct een persoon), maar het kan ook de eigen mailserver van een hobbyist zijn en dan is het dus wel een persoonsgegeven. Omdat dat verschil van buitenaf niet te zien is, moet een IP-adres altijd als persoonsgeven worden gezien.

En er valt niets te vechten en dat is ook helemaal niet nodig. "Veiligheid van mijn systemen garanderen" is een prima doel waarvoor IP-adressen onder Wbp en/of AVG mogen worden verwerkt. Ik moet dan alleen mijn logs veilig bewaren (doe ik sowieso, anders heeft het geen zin), zodra ik de gegevens niet meer nodig heb deze verwijderen (log rotation) en ik mag deze logs niet voor andere doeleinden gebruiken (IP-adres uit logs vissen en voor tracking en persoonlijke advertenties gebruiken bijvoorbeeld). Waar is dan het probleem?
15-02-2018, 10:37 door Anoniem
Door Anoniem:
En er valt niets te vechten en dat is ook helemaal niet nodig. "Veiligheid van mijn systemen garanderen" is een prima doel waarvoor IP-adressen onder Wbp en/of AVG mogen worden verwerkt. Ik moet dan alleen mijn logs veilig bewaren (doe ik sowieso, anders heeft het geen zin), zodra ik de gegevens niet meer nodig heb deze verwijderen (log rotation) en ik mag deze logs niet voor andere doeleinden gebruiken (IP-adres uit logs vissen en voor tracking en persoonlijke advertenties gebruiken bijvoorbeeld). Waar is dan het probleem?

Nou een probleem is bijvoorbeeld dat je je logs ook niet mag backuppen, althans niet op een zodanige manier dat je niet
later al die backups langs kunt gaan om dat ene IP adres waarvan de gebruiker vraagt dit te verwijderen hieruit te halen.
Als je bijvoorbeeld VM snapshots maakt met speciale software die alleen wijzigingen opslaat, en je hebt daar een flinke
historie van je server op staan, en die ene klant wil verwijderd worden, hoe ga je dan precies zijn IP adres verwijderen
uit al die snapshot images op je backup storage? Daar zal weer nieuwe support voor nodig zijn in de software die daar
voor ingezet wordt (bijvoorbeeld VMware disaster recovery, Veeam Backup & Replication, e.d.).
Over het gebruik van write-once storage voor backups hebben we het dan nog niet eens...
15-02-2018, 13:19 door Anoniem
Door Anoniem:
Door Anoniem:
En er valt niets te vechten en dat is ook helemaal niet nodig. "Veiligheid van mijn systemen garanderen" is een prima doel waarvoor IP-adressen onder Wbp en/of AVG mogen worden verwerkt. Ik moet dan alleen mijn logs veilig bewaren (doe ik sowieso, anders heeft het geen zin), zodra ik de gegevens niet meer nodig heb deze verwijderen (log rotation) en ik mag deze logs niet voor andere doeleinden gebruiken (IP-adres uit logs vissen en voor tracking en persoonlijke advertenties gebruiken bijvoorbeeld). Waar is dan het probleem?

Nou een probleem is bijvoorbeeld dat je je logs ook niet mag backuppen, althans niet op een zodanige manier dat je niet
later al die backups langs kunt gaan om dat ene IP adres waarvan de gebruiker vraagt dit te verwijderen hieruit te halen.
Als je bijvoorbeeld VM snapshots maakt met speciale software die alleen wijzigingen opslaat, en je hebt daar een flinke
historie van je server op staan, en die ene klant wil verwijderd worden, hoe ga je dan precies zijn IP adres verwijderen
uit al die snapshot images op je backup storage? Daar zal weer nieuwe support voor nodig zijn in de software die daar
voor ingezet wordt (bijvoorbeeld VMware disaster recovery, Veeam Backup & Replication, e.d.).
Over het gebruik van write-once storage voor backups hebben we het dan nog niet eens...

Ja klopt. Dat is het gevolg van het feit dat je persoonsgegevens verwerkt.
De AVG is bedoeld om consumenten een beter gevoel te geven bij het door bedrijven verwerken van hun gegevens over de hele EU heen. Met als uiteindelijk doel dat dit de bedrijven ten goede komt, want meer consumentenvertrouwen is meer klanten, en ook makkelijker over de landen heen.

Als jij mijn IP nummer opslaat en verwerkt, dan vind ik het prettig dat ik jou kan vragen waarom je dat doet, wat je er vervolgens nog meer mee gaat doen en of je het weer weg wil halen als het doel mij niet aanstaat of de toegestane opslagtijd verlopen is. Het is immers nog altijd MIJN IP-nummer (uitgangspunt AVG: persoon is en blijft eigenaar van zijn gegevens).

Dat jij loggegevens in je write-once backup gooit moet jij weten, maar dan los je het zelf ook maar op als het op verwijderen/corrigeren aankomt. Daar kun je over mopperen maar het is nu eenmaal de nieuwe regelgeving, die er al even aan zat te komen. Dus dat vraagt soms om enige creativiteit. Troost je, je bent niet de enige.
15-02-2018, 15:46 door Anoniem
Door Anoniem:
Nou een probleem is bijvoorbeeld dat je je logs ook niet mag backuppen, althans niet op een zodanige manier dat je niet
later al die backups langs kunt gaan om dat ene IP adres waarvan de gebruiker vraagt dit te verwijderen hieruit te halen.
Het recht op gegevenswissing is enkel en alleen van toepassing, als tenminste één van de gevallen uit Artikel 17 lid 1 AVG van toepassing is. Als het doeleinde voor de verwerking het gerechtvaardige belang "veiligheid van mijn systemen garanderen" is, zal over het algemeen niet aan de voorwaarden uit Artikel 17 lid 1 zijn voldaan (er zijn vast theoretische situaties te bedenken waarbij dit wel het geval is, maar in de praktijk zal het niet vaak voorkomen). Het verwijderen van de gegevens is daarom niet nodig, zelfs als de betrokkene dat zou willen.

Het is maar goed ook dat het recht op gegevenswissing niet absoluut is, anders zouden er hele rare situaties ontstaan. Een hacker zou kunnen eisen, dat je al het bewijs uit je logs moet gaan verwijderen. Of iemand die te snel is gereden zou de foto (kenteken) + zijn NAW-gegevens bij het CJIB kunnen laten verwijderen. Enz. enz. enz.
15-02-2018, 16:35 door User2048
Door Anoniem: O jee, 192.168.1.1 is mijn adres. Wat nu.
De verwerking van dat persoonsgegeven is toegestaan, want:
"de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt" (AVG artikel 9, lid 2 sub e)
15-02-2018, 18:09 door T. Kennis - Bijgewerkt: 15-02-2018, 18:10
Doordat volgens de AVG IP-adressen als persoonsgegevens worden erkend, dient men dus bij gebruik van Google Analytics op de website nu ook een Verwerkersovereenkomst met Google af te sluiten.

https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_2.pdf
16-02-2018, 08:15 door Anoniem
Door T. Kennis: Doordat volgens de AVG IP-adressen als persoonsgegevens worden erkend, ...
IP-adressen zijn al op 19 oktober 2016 door het Europese Hof van Justitie als persoonsgegevens aangemerkt. Dus die verwerkersovereenkomst met Google moet er bij het gebruik van Google Analytics al lang zijn...
16-02-2018, 10:34 door Anoniem
Door karma4:Daarmee veranderd nauwelijks iets aan de bestaande praktijk. Een auto kenteken dat je kan koppelen aan de bestuurder is een persoonsgegeven. Kan dat niet dat is het dat niet. Kan het ip-adress herleid worden naar een persoon dan is dat een persoonsgegeven anders niet.
Opletten: het pseudonimiseren heft het gegeven van een persoonsgegeven niet zo maar op.

Ik ben in het verleden nog persoonlijk naar (toen nog) CBP geweest vanwege een verschil van mening over IP adressen. Ook zij onderkenden dat sommige IP adressen geen persoonsgegevens zijn omdat je die op geen enkele wijze zou kunnen herleiden tot een natuurlijk persoon.
Maar.....
Als je een database hebt met IP adressen en sommige kun je, op de een of andere manier, herleiden tot een natuurlijk persoon, dan heb je dus herleidbare (persoons)gegevens in die database en is die database dus een register van persoonsgegevens.

Door Anoniem:Nou een probleem is bijvoorbeeld dat je je logs ook niet mag backuppen, althans niet op een zodanige manier dat je niet
later al die backups langs kunt gaan om dat ene IP adres waarvan de gebruiker vraagt dit te verwijderen hieruit te halen.
Als je bijvoorbeeld VM snapshots maakt met speciale software die alleen wijzigingen opslaat, en je hebt daar een flinke
historie van je server op staan, en die ene klant wil verwijderd worden, hoe ga je dan precies zijn IP adres verwijderen
uit al die snapshot images op je backup storage? Daar zal weer nieuwe support voor nodig zijn in de software die daar
voor ingezet wordt (bijvoorbeeld VMware disaster recovery, Veeam Backup & Replication, e.d.).
Over het gebruik van write-once storage voor backups hebben we het dan nog niet eens...

Jij hebt het niet over write-once storage, maar gelukkig de AP wel. Die geeft aan dat verwijderen uit dergelijke back-up sniet nodig is, maar je hebt wel een procedure nodig waarmee je garandeert dat gegevens die je hebt moeten verwijderen, ook verwijdert als je de back-up herstelt.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/rechten-van-betrokkenen#vallen-back-ups-ook-onder-het-recht-op-vergetelheid-6233

Peter
16-02-2018, 11:49 door Anoniem
De discussie omtrent IP adressen gaat leuk worden wanneer een ISP bijvoorbeeld over gaat tot de implementatie van Carrier Crade NAT ;)
16-02-2018, 17:39 door Anoniem
Door Anoniem: O jee, 192.168.1.1 is mijn adres. Wat nu.
Bij instellingen werken duizenden mensen een private ip adres, maar er kan
prima gezien worden met welk account ze wanneer zijn ingelogd, waar naartoe gebrowsed wordt,
enz.
Thuis worden die private-ip's ge-nat naar je router adres, dus ook voor je ISP te
herleiden naar de klant, voor Brein is dat echt wel voldoende om de te weten door
welke brievenbus die vordering moet, en daarna is het omgekeerde bewijslast
(oftewel toon jij maar overtuigend aan dat je het niet gedaan hebt).
18-02-2018, 08:11 door Anoniem
Door karma4: Nieuw met de GDPR is een hele lijst met omschrijving van de woorden als begrip.
http://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
Juristen moeten geen eigen interpretatie meer doen maar zich daar naar richten.

(26) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

Op grond van het bovenstaande, is het anonimiseren van persoonsgegevens, een methode die bij enquêtes, niet meer voldoende ontkoppeling geeft naar de ondervraagde personen. Immers wat wel 'ns is aangetoond dat een combinatie van de resultaten van drie verschillende enquêtes gemakkelijk herleid kan worden naar één persoon en dus onder een "identificeerbaar natuurlijk persoon" valt.
18-02-2018, 10:32 door Briolet
Door NedFox:
Door Briolet:
Door Anoniem: O jee, 192.168.1.1 is mijn adres. Wat nu.

Iemand snapt hier iets niet door juist dit IP adres als voorbeeld te gebruiken. Dit is gegarandeerd géén persoonsgegeven ondanks dat dit IP een "Private IP" genoemd wordt.

https://en.wikipedia.org/wiki/Private_network
Baited on a free local IP address.
Dat je niet doorhebt dat dat een troll was, lmao :)
Dus jij noemt Arnoud Engelfriet een troll? Want Arnout gebruikt dit private IP als voorbeeld.
18-02-2018, 13:06 door karma4
Door Anoniem:08:11

Op grond van het bovenstaande, is het anonimiseren van persoonsgegevens, een methode die bij enquêtes, niet meer voldoende ontkoppeling geeft naar de ondervraagde personen. Immers wat wel 'ns is aangetoond dat een combinatie van de resultaten van drie verschillende enquêtes gemakkelijk herleid kan worden naar één persoon en dus onder een "identificeerbaar natuurlijk persoon" valt.
Interessante conclusie waar ik het mee eens ben (geen politiek voorbehoud) .
Als ik hoor dat de detailrecords betreffende personen als avg eis opelost gaan worden door sleutelgegevens te anonimiseren dan zie ik dat als een faal in wording door onvoldoende de avg te begrijpen.

Je moet het zien op te lossen door:
1- doelbinding afstemming met de bron eigenaren bij een gecombineerd gebruik vanuit meerdere bronnen
waardoor er een nieuwe dataopbouw situatie ontstaat.
Zoiets gaat als concept tegen de gangbare DWH datalakes die ieder voor zichtzelf bouwt in.
Dat hele gedoe met een dwh datalake is helaas ontstaan vanuit de misconceptie bij ICT nerds.
2- dataminimalisatie
3- afscherming tot de data gecontroleerd gemonitored en een beperkte groep
19-02-2018, 10:41 door Anoniem
Dan zijn domeinen ook persoonsgegevens, immers worden domeinen omgezet naar IP nummers? Mag je dan nog wel webstats verwerken en publiceren? Mag referrer informatie nog wel doorgegeven worden?
20-02-2018, 09:42 door Anoniem
Door Anoniem: Dan zijn domeinen ook persoonsgegevens, immers worden domeinen omgezet naar IP nummers?
Niet per se. Veel domeinen identificeren enkel een bedrijf en dus geen natuurlijke persoon. Dit zijn dan ook geen persoonsgegevens. Als het domein echter van een enkele persoon is (privé of 1-manszaak), dan weer wel.

Door Anoniem: Mag je dan nog wel webstats verwerken en publiceren?
In dit geval zullen er weinig persoonsgegevens bij de domeinen zijn, omdat het vooral (grotere) bedrijfen zijn die veel bezoekers hebben. En anders zou men de nieuwswaarde als belang kunnen zien en is het (denk ik) ook okay.

Door Anoniem: Mag referrer informatie nog wel doorgegeven worden?
Dat is een interessante vraag. Het domein is volgens mij niet zo kritisch (zie boven), maar de volledige URL (incl. GET-parameters) kan vaak wél persoonsgegevens bevatten, zoals bijvoorbeeld de zoekopdracht. Mozilla wil dit in Firefox in ieder geval voor Private Browsing veranderen [1], of de andere browserbouwers hier iets mee doen weet ik niet. Is denk ik wel nodig, omdat dit voor de gebruiker niet transparent is en wel degelijk AGV-relevant.


[1] https://www.security.nl/posting/548339/Firefox+gaat+datalekken+voorkomen+door+referrers+te+strippen
21-02-2018, 19:54 door Anoniem
Door Anoniem: Dan zijn domeinen ook persoonsgegevens, immers worden domeinen omgezet naar IP nummers? Mag je dan nog wel webstats verwerken en publiceren? Mag referrer informatie nog wel doorgegeven worden?
Ik denk wel dat je fout zit als je op je website zo'n kadertje hebt met daarin "onze meest recente bezoekers kwamen
van deze IP adressen:" en dan een stuk of 10 IP adressen van bezoekers.
Zeker ook als dit dan vervolgens weer geindexeerd kan worden door een zoekmachine. Soms kom je op dat soort sites
terecht (waar dan inmiddels weer andere adressen staan natuurlijk) als je in Google zoekt naar een IP adres, en dat geeft
wel duidelijk het probleem aan.
28-02-2018, 15:10 door blip
Het anoniemer maken van dit 'persoonsgegeven' en tegelijkertijd ook het automatisch blokkeren van advertenties & Trackers is tegenwoordig echt heel makkelijk.

Voor nog geen $10,- per jaar heb je een http://windscribe.nl account en kun je eenvoudig surfen zonder dat dat vanuit je persoonlijke ip adres gaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.