image

Zijn source/destination IP-adressen die IT-transitproviders in sampled netflow data bijhouden ook persoonsgegevens?

woensdag 22 januari 2025, 12:19 door Arnoud Engelfriet, 17 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Veel IT-transitproviders houden zogeheten sampled netflow data bij van alle data door hun netwerk. Ze kunnen daarmee DDoS-aanvallen en andere problemen in het netwerk detecteren. Hierin staat echter metadata zoals source/destination IP-adressen. Sampled betekent dat niet alle verbindingen worden opgeslagen maar alleen een fractie hiervan. Dit lijkt een standaardpraktijk te zijn binnen de netwerkwereld, maar ik vroeg me toch af hoe dat zit onder de AVG? IP- adressen zijn toch persoonsgegevens?

Antwoord: De vraag of IP-adressen persoonsgegevens zijn, is een buitengewoon complexe omdat ze uitgaat van een kwalificatie die de techniek overstijgt. Het korte antwoord is: een IP-adres is een persoonsgegeven als je het, gebruikmakend van context, kunt koppelen aan een levend mens. Het lange antwoord gaat in op het hoe dan.

In veel gevallen gaat die discussie over zaken waarin een partij wil weten wie er 'achter' een IP-adres zit, zoals bij schadeclaims wegens auteursrechtinbreuk of opsporing van criminaliteit door Justitie. Die IP-adressen zijn dan meestal in beheer bij internetproviders, die uit eigen logs kunnen zien tussen welke tijdstippen deze bij welke klant in gebruik was, en vervolgens de NAW gegevens van die klant kunnen afgeven.

Sinds het Breyer-arrest uit 2014 (C-582/14) is voor juristen vaststaand dat IP-adressen persoonsgegevens zijn zelfs als alleen een derde partij (die ISP dus) ze aan nadere identificerende gegevens kan verbinden. De vraag voor jou is of het redelijkerwijs haalbaar is dat jij die derde over kunt halen om dat te doen.

Natuurlijk ligt dat anders bij IP-adressen die niet aan abonnees te verbinden zijn, zoals dat van zakelijke routers of machines. Alleen: hoe wéét je wie of wat er achter een IP-adres zit? Veilig is daarom er van uit te gaan dat het IP-adres door een persoon wordt gebruikt. Oftewel, inderdaad: 'ieder IP-adres is te allen tijde een persoonsgegeven' is het enige veilige standpunt vanuit compliance perspectief.

Betekent dit dat de AVG het gebruik van persoonsgegevens verbiedt? Zeer zeker niet.

De in de vraag geschetste techniek is inderdaad een verwerking van persoonsgegevens, maar past duidelijk in de AVG via de route van het eigen gerechtvaardigd belang. "De verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging" is expliciet in de AVG genoemd (overweging 49) als een voorbeeld van zo'n belang. Dat mag dus, mits je kunt onderbouwen dat je gegevensgebruik "strikt noodzakelijk en evenredig" is. Oftewel: je kunt deze analyse niet met minder data doen zonder je niveau fors omlaag te laten gaan.

In dit specifieke geval lijkt me de uitkomst positief. Je moet voor een beetje adequate security echt meer weten dan enkel op hoofdlijnen wat er langs komt op je netwerk. Het gaat daarbij feitelijk alleen om actueel verkeer, informatie over flows die stil komen te liggen worden uit het systeem verwijderd. En het doel is niet het volgen van de personen die via dat IP adres opereren, maar het analyseren van netwerkverkeer en het identificeren van netwerkbedreigingen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (17)
22-01-2025, 12:28 door Anoniem
De gegevensverwerking moet ook transparant zijn, niet alleen "strikt noodzakelijk en evenredig".
22-01-2025, 12:42 door Anoniem
Netflow telemetry is OSI L4. Er is geen applicatie / user data in aanwezig. Ook doet Netflow niets met payload. Is het dan niet te herleiden naar een persoon? Ja, maar daar heb je meerdere andere bronnen voor nodig. Netflow op zichzelf voldoet niet. Tevens is de sampling rate bepalend voor hoeveel details je ziet. Deze grotere providers gebruiken grote ratings. Iets van 1 flow record op iedere 1000 sessies (Flow records zijn per sessie/timer). Dit maakt het ook heel onwaarschijnlijk om als bron voor PII koppeling te dienen.

We moeten eens stoppen met de gedachte dat een PUBLIEK IP adres een prive dingetje is. Het is net als een telefoonnummer. En die staan ook gewoon online/telefoon directories. En voor de personen die nu heel hard roepen: VPN.... Wees ervan bewust dat jouw VPN provider de koppeling heeft tussen jouw IP adres en dat van de VPN. Dus ook daar ben je traceerbaar.
22-01-2025, 14:09 door Anoniem
Ik zie mijn IP adres niet als een persoonsgegeven. Het weten of kennen van brengt men wel dichter in mijn buurt. Maar over of ik het zelf was bestaat geen sluitend bewijs. Zover als mijn wifi reikt had iedereen het wel kunnen wezen. En ik wijs elke aansprakelijkheid af over wat er via dat IP is gebeurd. Ik weet het natuurlijk wel want al jaren ervaring, maar je kunt het me niet afdwingen. Zelfs als ik het zelf was ben ik vrij om te zeggen dat ik het niet was.

Ik ben geen IP adres net zo goed als dat ik geen mobiele telefoon ben.

In beginsel pleegt iedereen die dat meent laster.
22-01-2025, 14:10 door Anoniem
Bijkomend voordeel voor veel transitproviders is dat het weer een extra verdien model is. Ze verkopen dit aan data brokers die het vervolgens weer aan 3 letter agencies en waarschijnlijk ook onze eigen 4 letters verkopen.

Plus aan allerlei andere geintresseerden natuurlijk.

Voor het verkopen van deze data geld dan ook rechtvaardig belang? Lijkt me niet maar ga dat maar eens enforcen.


https://www.techdirt.com/2021/08/25/isps-give-netflow-data-to-third-parties-who-sell-it-without-user-awareness-consent/
ISPs Give 'Netflow Data' To Third Parties, Who Sell It Without User Awareness Or Consent

Now, sources in the infosec community tell Motherboard ISPs are also (again, via proxies) selling access to “netflow data.” As the name suggests, netflow data details the day to day broader stroke network traffic (pdf), whether that’s overall network loads, which servers are talking to one another, network topology, etc. The data is generally beneficial to researchers to understand network and user behavior, and to security experts to help mitigate network attacks. But it’s also valuable, and increasingly, it’s being offloaded to businesses who are then turning around and selling it

https://techcrunch.com/2024/01/26/national-security-agency-americans-internet-browsing-records-warrantless/

“NSA does buy and use commercially available netflow data related to wholly domestic internet communications and internet communications where one side of the communication is a U.S. Internet Protocol address and the other is located abroad,” Nakasone said in the letter.
22-01-2025, 14:37 door Anoniem
Door Anoniem: We moeten eens stoppen met de gedachte dat een PUBLIEK IP adres een prive dingetje is. Het is net als een telefoonnummer. En die staan ook gewoon online/telefoon directories.

Het één sluit het ander niet uit. Een publiek gegeven kan OOK een persoonsgegeven zijn en ook dan zijn andere verwerkingen alleen toegestaan op basis van toestemming of een wettelijke grondslag. Het kan best zijn dat ik publiekelijk in een telefoongids sta, maar dat betekent niet dat ik automatisch toestemming geef dat een telemarketeer die telefoongids leegtrekt en mij telefonisch lastig gaat vallen.
22-01-2025, 15:48 door Anoniem
Door Anoniem:
Voor het verkopen van deze data geld dan ook rechtvaardig belang? Lijkt me niet maar ga dat maar eens enforcen.
Voor Amerikaanse bedrijven die aan een Amerikaans drie letter agentschap data van Amerikanen verkoopt geldt een grondslag uit Europese wetgeving niet nee, en wordt die dus ook niet gehandhaafd (daar is gewoon een Nederlands woord voor).
22-01-2025, 16:02 door Anoniem
Een IP adres kan geen persoonsgegeven zijn. Helemaal niet als een huishouden uit meerdere personen bestaat, en er ook nog eens regelmatig gasten langs komen die verbinding maken met jouw gasten WiFi.

Dat is hetzelfde als rijden in een paarse fiat 500.. Zoek je een verdachte, dan wordt je zoekgebied kleiner, maar je kan het niet koppelen aan een persoon.
22-01-2025, 17:00 door Anoniem
Door Anoniem:
Door Anoniem:
Voor het verkopen van deze data geld dan ook rechtvaardig belang? Lijkt me niet maar ga dat maar eens enforcen.
Voor Amerikaanse bedrijven die aan een Amerikaans drie letter agentschap data van Amerikanen verkoopt geldt een grondslag uit Europese wetgeving niet nee, en wordt die dus ook niet gehandhaafd (daar is gewoon een Nederlands woord voor).

Er wordt nergens gezegt dat het allleen amerikaanse bedrijven zijn. Team cymru zegt globaal gegevens te verzamelen en hier inzicht in te verlenen

https://www.vice.com/en/article/data-brokers-netflow-data-team-cymru/

Op hun eigen marketing materiaal staan veel duitse vlaggetjes en ook een NL vlaggetje

https://www.vice.com/wp-content/uploads/sites/2/2021/08/1629811548581-team-cymru-marketing.png
23-01-2025, 09:39 door Anoniem
Het gaat er daarnaast om wie er toegang hebben en voor hoe lang tot deze netflow gegevens. Alsmede hoe geloofwaardig de toegang tot deze data is afgeschermd voor onbevoegde personen en voor bevoegde personen die ongeautoriseerde acties uitvoeren. In de praktijk wordt dergelijke data vaak te laat verwijderd en hebben te veel personen toegang buiten een SIEM om bijvoorbeeld. Denk aan storage beheerders, sysops, etc. De noodzaak om netflow te verzamelen en zelf volledige packet caprtues, in geval van verdachte activiteiten, blijft uiteraard bestaan. Maar dat moet onderhevig zijn aan duidelijke regels, volgens forensich correcte procedures, etc. Want onrechtmagtig verkregen bewijs, is niet rechtsgeldig...Daarnaast moet het bewijs sliuitend zijn en moet de netflow data niet te vervalsen zijn. Want onversleutelde data feeds zijn niet integer. Data die onversleuteld is verstuurd heeft wetenschappelijk gezien dezelfde bewijskracht als een krijtbord op de Dam in Amsterdam op zaterdagavond.

In de praktijk gebruiken rechters hier ten onrechte vaak toch dergelijke data als bewijs omdat ze ten onrechte aannemen dat het onwaarschijnlijk is dat de data wel zal kloppen. Hier is door geheime diensten in het verleden al meerdere malen gebruik van gemaakt om mensen erin te luizen. In de wereld van de IT security en forensisch onderzoek lopen veel mensen rond die ten onrechte denken dat ze de wijsheid in pacht hebben. Daar maken echt intelligente hackers / spionnen en geheime diensten al jaren zeer succesvol gebruik van. Uiteraard is dit lang niet in alle situaties het geval maar elke ten onrechte veroordeelde persoon brengt 1984 (lees het boek) in de prakijk.

Wie zich verdiept in de wereld van framing en hacking zal erachter komen dat dit veel vaker gebeurd en niet doorzien wordt dan mensen zich realiseren. Er zijn genoeg voorbeelden te vinden op het darkweb waar mensen vragen om iemand in de val te lokken op allerlei manieren. Het is een dienst die daar gewoon verkocht wordt. Hierdoor verdwijnen mensen achter de tralies die niks misdaan hebben. Puur omdat de meeste mensen het wel goed vinden dat mensen veroordeeld worden op basis van "bewijs" wat domweg in elkaar gedraaid is. Het vind al decenia lang systematisch plaats in de fysieke wereld door de scoringsdrang van sommige mensen...

Dus is netflow geschikt als indicator... Ja... Is het geschikt als bewijs zonder aanvullende waterdicht ander bewijs.. Absoluut niet.
23-01-2025, 12:06 door Anoniem
Door Anoniem:
Ik ben geen IP adres net zo goed als dat ik geen mobiele telefoon ben.

Je verwardt gegevens over een persoon met identiteit.

In beginsel pleegt iedereen die dat meent laster.

Misschien in jouw hoofd, maar niet in de echte wereld.
23-01-2025, 21:32 door Anoniem
In geval van ddos vaak niet bruikbaar omdat dat meestal udp proto’s zijn waarbij het source ip wordt gespoofd.
Heel vaak gebruiken transit providers het om te kunnen cashen. Als je bij een isp een huurlijntje hebt en je moet per GB betalen. Dan is dat gekoppeld aan een natuurlijk persoon.
Netflow kan een mooie tool zijn maar is wel kostbaar voor je infra; neem als voorbeeld dat je op je core 1TBit verstookt met een samplerate van 1:1000 kun je uitrekenen ook al zijn het de srcp_ip, dest_ip src_port en dest_port tuples dan nog is dat erg veel pakketjes, hoeveel data dat is. (Kort door de bocht)
24-01-2025, 13:28 door Anoniem
Door Anoniem: Ik zie mijn IP adres niet als een persoonsgegeven. Het weten of kennen van brengt men wel dichter in mijn buurt. Maar over of ik het zelf was bestaat geen sluitend bewijs. Zover als mijn wifi reikt had iedereen het wel kunnen wezen. En ik wijs elke aansprakelijkheid af over wat er via dat IP is gebeurd. Ik weet het natuurlijk wel want al jaren ervaring, maar je kunt het me niet afdwingen. Zelfs als ik het zelf was ben ik vrij om te zeggen dat ik het niet was.

Ik ben geen IP adres net zo goed als dat ik geen mobiele telefoon ben.

In beginsel pleegt iedereen die dat meent laster.

Hoe jij het ziet is leuk, maar totaal niet relevant. Het gaat erom hoe de wetgever het ziet. En die stelt:
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon

Arnoud legt in zijn post al uit wat de complexiteit van een IP-adres is. Overigens ben ik in de praktijk nog nooit tegen problemen aangelopen omdat de wet ook afdoende voorziet in het verwerken van IP-adressen voor beveiliging. Onder de AVG mag je IP-adressen verwerken als er sprake is van gerechtvaardigd belang. Er wordt in de AVG expliciet vermeld dat de verwerking van persoonsgegevens "met het oog op netwerk- en informatiebeveiliging" is toegestaan.

En beveiliging gaat over Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV), dus je krijgt alle ruimte om maatregelen te nemen om je ICT betrouwbaar en veilig te laten werken.

Er staat weliswaar een juridische toevoeging bij, te weten "voor zover die strikt noodzakelijk en evenredig is", maar dat is vooral bedoeld om misbruik van deze wettelijke mogelijkheid aan banden te leggen. Kort door de bocht: " Als het voor jouw SOC nuttig is, dan is het geen probleem, als de marketingafdeling het handig vindt, ga je (meestal) te ver".
(Handig is geen grondslag heb ik wel eens horen zeggen, misschien wel door Arnoud).
24-01-2025, 15:46 door Anoniem
- Iemand is zijn telefoon kwijt. Dus ik zeg hiero, gebruik de mijne maar even. Enkel uit privacy ga ik daar dan niet eens bij zitten meeluisteren. Wordt er wat afgeluisterd en ik krijg later vragen dan was ik het niet.

- Een boot vluchtelingen spoelt aan, blij dat ze nog leven. Maar hebben wifi nodig om contact met familie hier te zoeken of zo. En een lader. Dan mogen ze zo mijn wachtwoord hebben en een lader heb ik ook nog wel ergens. Die mensen hebben ook recht op privacy (eenmaal geland geldt de wet immers voor iedereen). Wat er dan allemaal geappt of gezegd wordt was ik niet.

- Een bedrijf heeft een router maar is helemaal geen internet bedrijf. Zijn ze ook veel te druk voor. Maar geven uit service het wifi wachtwoord. Leuk voor de klantenbinding. Al gaat er dan een kilo spam uit, dat kun je dat bedrijf niet eens aanrekenen. Als je broodjes bakt kun je niet heel de dag naast die router blijven zitten. Je kunt het zelfs een bedrijf niet aanrekenen.

Wat wel nuttig is, is dat het bij opsporing meer informatie op kan leveren. Voor zover je daar aan mee wenst te werken. Afdwingen kan pas met een dringend belang, maar wel met het besef dat je het zelf mogelijk niet was. Dus netjes vragen en in grote lijnen in elk geval kenbaar maken wat er aan de hand is. Moet er natuurlijk nog wel iemand zin hebben in opsporen maar ik heb de indruk dat die nog bestaan.

Ik kan het wel maar voor de wet ben ik thuis geen systeembeheerder. Ik kan ook echt niet heel de dag op mijn router passen. Want ik zit te werken! Het zelfde geldt voor mijn server trouwens. Ga mijn root password maar raden als je geen fatsoen hebt. De openbare orde is ook in mijn belang. Net zoals van mijn buren die hun teelefoon kwijt zijn (of zomaar iemand in de straat), of die effies zonder wifi zitten of een hele boot met vluchtingen.

Ik ben geen IP adres en ook geen smart phone. Is er wat, gewoon netjes vragen. Want ik ken nog wat juristen en dan ga je huilend de kerk uit. Het staat er zelfs:

"voor zover die strikt noodzakelijk en evenredig is"

Dat zal aangetoond moeten worden net zoals aangetoond moet worden dat ik het was.
27-01-2025, 09:40 door Anoniem
We moeten eens stoppen met de gedachte dat een PUBLIEK IP adres een prive dingetje is. Het is net als een telefoonnummer.

Is het niet handiger om de wet te snappen, dan er met je eigen mening een draai aan te geven. Wat juridisch telt is de wet, niet jouw (of mijn) mening.
27-01-2025, 09:42 door Anoniem
k zie mijn IP adres niet als een persoonsgegeven. Het weten of kennen van brengt men wel dichter in mijn buurt. Maar over of ik het zelf was bestaat geen sluitend bewijs. Zover als mijn wifi reikt had iedereen het wel kunnen wezen. En ik wijs elke aansprakelijkheid af over wat er via dat IP is gebeurd.

De gevangenis zit vol met mensen die schuld ontkennen, of hun aansprakelijkheid afwijzen voor hetgeen zij gedaan hebben. Weinig relevant.
27-01-2025, 16:52 door Anoniem
Door Anoniem:
We moeten eens stoppen met de gedachte dat een PUBLIEK IP adres een prive dingetje is. Het is net als een telefoonnummer.

Is het niet handiger om de wet te snappen, dan er met je eigen mening een draai aan te geven. Wat juridisch telt is de wet, niet jouw (of mijn) mening.

En hier weer hetzelfde. Voor de meeste publieke IP's geldt dat de registrar de eigenaar is. En niet de gebruiker. Als je dan ook in de kleine lettertjes kijkt (en dat doet de wet ook), dan zal je lezen dat dit IP niet jouw eigendom is en in principe zelfs niet eens gegarandeerd wordt. En voor heel veel mensen geldt overigens ook dat het door hun gebruikte IP gedeeld wordt met anderen. Dit is met telefoonnummers niet het geval. Deze zijn altijd uniek. Hierdoor zijn deze te traceren vanuit een enkelvoudig concept. Je kan immers direct communiceren met dit telefoonnummer. Dit gaat niet op voor IP-adressen. Je zal meerdere bronnen moeten hebben om dit te kunnen. Bijvoorbeeld de gegevens van je provider aan welk modem/router dit IP is toegewezen en waar dit apparaat staat. En dan zal je nog steeds een screening laag (Firewall?) tegenkomen die directe communicatie stopt. Tevens geldt dat IP adressen "voorspelbaar" zijn. De reeksen liggen immers vast, en bijna ieder nummer wordt gebruikt. Dit in tegenstelling tot telefoonnummers.

Qua wie de eigenaar is van een IP adres geldt volgens de wetgeving dat je eerst zal moeten bewijzen dat je eigenaar van het IP-adres bent. En dan dus niet de gebruiker van een dienst die in principe op hetzelfde IP adres draait. Dit is dan ook een reden waarom grotere bedrijven hun "eigen" IP reeks hebben.

Dat er in het verleden uitspraken van rechters zijn geweest waarbij, onder die omstandigheden, IP adressen tot PII werden gezien is niet geldig voor het concept IP adressen in het algemeen. Vaak gaat het om wat er nog meer aan PII voorhanden was en hoe men deze gegevens verkregen had en voor welk doel.
10-02-2025, 14:44 door Anoniem
Door Anoniem:
Ik kan het wel maar voor de wet ben ik thuis geen systeembeheerder. Ik kan ook echt niet heel de dag op mijn router passen. Want ik zit te werken! Het zelfde geldt voor mijn server trouwens. Ga mijn root password maar raden als je geen fatsoen hebt. De openbare orde is ook in mijn belang. Net zoals van mijn buren die hun teelefoon kwijt zijn (of zomaar iemand in de straat), of die effies zonder wifi zitten of een hele boot met vluchtingen.

In beginsel ben je natuurlijk wel verantwoordelijk; als er iemand wordt doodgeschoten met jou pistool ben je misschien wel niet de dader; je speelt wel een rol.

Hetzelfde is ook zo voor je telefoon; je internetverbinding en je auto. Die laatste is wel een mooi voorbeeld.
Als jij je auto uitleent; en er is een wet mulder overtreding dat krijg jij die op de deurmat. Dan is het niet voldoende om bezwaar te maken met "ik was het niet", die boete zal betaald moeten worden.
Valt de overtreding niet onder wet mulder heb je een nóg groter probleem, dan zal je moeten aangeven wie er op dat moment wél van je auto gebruik heeft gemaakt. Dat heb ik een keer aan den lijve ondervonden toen ik met iemand auto meer dat 40KM te hard had gereden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.