Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 
Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door!
Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch niet zomaar verwerken zonder toestemming? Bij sommige vraagstellers bespeurde ik een trollerige achtergrond (“ik wil ze terugpakken want ze hebben me geband”) maar het is natuurlijk een serieuze vraag.
Ja, een IP-adres is een persoonsgegeven. Meestal dan; een IP-adres identificeert een computer (ok, netwerkinterface) maar vaak is die computer door één persoon in gebruik, zodat het adres net zo persoonlijk wordt als een telefoonnummer. Het IP-adres van een server is natuurlijk geen persoonsgegeven.
Als je niet zeker weet of een IP-adres een persoon identificeert, maar je weet dat dit váák wel het geval zal zijn, dan kun je het beste op safe spelen als je privacytechnisch correct wilt zijn. Daarom (en omdat niet alleen de auteurswet last heeft van permanente expansie) wordt veelal aangeraden om IP-adressen altijd als persoonsgegeven te behandelen.
En dat betekent inderdaad dat je als hoofdregel alleen mag werken met een IP-adres als je toestemming hebt van de gebruiker daarvan.
Als hoofdregel, want er zijn wel degelijk uitzonderingen op die regel. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)
Loggen van IP-adressen en met name het hebben van blacklists met IP-adressen vallen natuurlijk niet onder die “uitvoeren van een overeenkomst” uitzondering. Maar er is er nog eentje: als jouw gebruik van persoonsgegevens absoluut noodzakelijk is voor een legitiem doel én toestemming vragen is zinloos én jouw belang weegt op tegen de privacy van de wederpartij, dan mag het ook zonder toestemming.
Dit zijn drie hoge eisen maar het lijkt me dat een blacklist van structureel irritante personen wel voldoet aan deze eis. Het weren van zulke types is een legitiem doel, dat móet eigenlijk wel op basis van IP-adres en toestemming vragen aan trollen is waanzin.
Wel vraag ik me af hoe je dan om moet gaan met dynamische IP-adressen. Het overkwam mij ook laatst dat ik ineens geband was op Wikipedia: de vorige UPC-klant met dat IP-adres had kennelijk nogal huisgehouden. Een goede site heeft een bezwaarprocedure voor blokkades die irrelevant zijn geworden vanwege verlopen IP-adressen. Alleen, hoe ga je dan weer om met trollen die drie dagen niks zeggen en dan roepen dat ze tegen de ban van hun voorganger zijn aangelopen?
Arnoud
IP Logging vind ik commercieel gezien toch wel erg belangrijk, in ieder geval in onze branche waar er abonnementen een rol spelen binnen een “mijn account” omgeving. Zo kun je fraude en ongeoorloofd toegang eerder signaleren en bestrijden maar ook naar je klant toe verantwoorden.
@Maurice Hoe doe je dat dan met de grote kabelboeren zoals Ziggo en UPC die werken met dynamische IP-adressen?
Wij gebruiken het overigens ook, voor blacklisting van bekende (forum) spammers. Die houden wij buiten de deur door te checken op eerdere registraties (Spamhaus, SFS, PH). Niet ideaal voor dynamische IP’s maar die kunnen we desgewenst toestaan in een whitelist. 90% van de IP-adressen die “rommel” sturen is overigens afkomstig uit Azië. Gaat allemaal geheel automatiek, maar wel aardig in het kader van privacy en persoonsgegevens. Want daar spelen we dan wel mee.
Bij ons worden acties/aanpassingen voornamelijk gelogd, dus b.v. een abonnement aanpassing door IP “x” op tijdstip “x”
Indien er dan ongeoorloofd aanpassingen zijn geweest kunnen wij aantonen aan de klant indien zover komt hoe en wat en waar en wanneer.
Blokkades uitvoeren doen we niet enkel op IP, hier zijn meer methodes voor die gezamenlijk een sterk systeem maken.
@Maurice: Als het een veiligheidsmaatregel is, dan zal het toch wel geoorloofd zijn om dezelfde reden dat een IP-adres opslaan om in te loggen mag?
Een lokale bank heeft momenteel een actie waarbij je via internet kunt stemmen op een lokaal goed doel die dan een bepaald geld bedrag wint; de voetbalclub, scouting, kinderboerderij, etc.
Een collega wilde graag zijn goede doel laten winnen, maar liep tegen een IP blokkade aan. Hij kwam erachter dat elke keer als hij z’n mobiele telefoon uit en weer aan zette hij opnieuw kon stemmen.
Zijn goede doel staat dik bovenaan.
Je beschrijft dit nogal laconiek: hoe weet je dit?
IP-adressen zijn tamelijk identificerend voor sessies of gebruikers – en daarom een persoonsgegeven – maar zijn om verschillende redenen fundamenteel niet toereikend om die identificatie betrouwbaar te doen, en daarvoor zijn betere alternatieven. Je kunt dus zeker niet zeggen dat IP-adressen daarvoor nodig zijn.
Wel kun je ze als extra check gebruiken: als een ander mechanisme je vertelt dat je met dezelfde sessie of gebruiker te maken hebt terwijl het IP-nummer verschilt, is er iets heel vreemds, resp. ongewoons aan de hand, en die informatie kun je nuttig gebruiken bij problemen, bv. als een gebruiker zegt niet in te kunnen loggen.
Iets dergelijks geldt voor andere redenen om IP-adressen bij te houden: het is nuttig, maar niet nodig.
Op grond waarvan precies mag het nu (zonder toestemming te vragen)?
@Reinier: het mag omdat dit valt onder artikel 8 sub b Wbp: de verwerking is nodig voor het uitvoeren van een overeenkomst. Vaststellen dat je nog steeds met dezelfde klant correspondeert, is een vrij essentieel deel hiervan.
De wet zegt (helaas?) niet dat alleen de allerbeste methode voor authenticatie/beveiliging/etc legaal is. Waar ht om gaat is dat jij een overeenkomst uitvoert en meent daarbij die gegevens nodig te hebben. Is dat objectief gezien redelijk, dan mag het. Je mag Post.nl de adressen van je klanten geven, hoewel je ook best zelf bij de klant langs kunt gaan of ze het kunt laten afhalen.
Interessant… Ik heb thuis namelijk een mini-PC staan die dienst doet als webserver. Een tweede computer gebruik ik om thuis mee te werken. Beide PC’s zitten achter dezelfde router en dan is het dus de vraag of mijn IP adres nu wel of geen persoonsgegeven is…
Stel voor dat ik voor ieder IP adres een “reverse DNS lookup” uitvoer om te zien of er een domeinnaam is gekoppeld aan dit IP adres. Als dat het geval is, bewaar ik het IP adres en de gevonden domeinnamen. En dat mag, want dit zijn toch servers?
Okay, de meeste mensen hebben geen domeinnaam aan hun prive-IP adres gekoppeld maar mensen die vanaf hun werk inloggen kan ik dus terugkoppelen aan hun werkgever. Ik heb dus moeite met de bewering dat een server IP adres dus geen persoonsgegeven is.
Misschien heb je dit al eens eerder geschreven, maar hoe zit het met simpele access logs van de webserver? Apache houdt standaard logs bij van iedere oproep met daarbij een IP-adres.
@7: Arnoud: Ik probeerde uit te leggen dat ik je interpretatie van nodig helemaal niet voor de hand vind liggen, en ik vraag me af waar je aan ontleent dat die terecht is.
@MartijnV: Ik denk dat je het kort bewaren (bijv. via logrotate), hooguit een paar dagen, van accesslogs kunt verdedigen als strikt noodzakelijk, omdat je daarmee diverse vormen van misbruik van de server kunt constateren. Wil je de logs daarna nog bewaren moet je daar de IP-adressen en andere persoonsgegevens uithalen; wellicht is het dan wel toegestaan om eventueel het land van herkomst te bewaren.
@Wim: Het lijkt me dat als je thuis een webserver hebt staan je bijv. via URLs het IP-adres via de hostname actief zelf openbaar maakt. Zelfs als het IP-adres als persoonsgegeven wordt beschouwd, lijkt het me dat je de ‘bezoeker’ impliciet toestemming geeft om dat IP-adres te bewaren, tenminste gedurende de TTL van je DNS-registraties.
Hoe zit het trouwens met van die online teller-diensten zoals statcounter.com ?
Ik kom regelmatig sites van twijfelachtig allooi tegen die een publiek zichtbaar linkje “View my Stats” bieden, die verwijst naar publiek toegankelijke statistieken, inclusief IP adressen en zelfs met functie om op IP adressen te zoeken.
Dat is toch ook totaal in strijd met alle privacy-wetgeving?
Maar valt deze lijst dan als een database die gemeld moet worden bij het College onder de WPB? Of zijn dergelijke zwarte lijsten vrijgesteld van de meldingsplicht?
@Arnoud, hoe zit dat met “thuis” ip adressen.
Woon je alleen dan is dit, meestal, een persoon.
Heb je een gezin met kinderen dan heb je al vaak een dozijn mensen/devices achter dat ip (gezin plus de nodige vriendjes/vriendinetjes/bezoekers die ook even op het wifi gaan omdat de deking van provider x zo slecht is.
Is de regel (nu nog) je weet het niet dus persoonsgegeven. Of altijd omdat iemand, een persoon, “eigenaar” is van die verbinding.
Hoe zit dat met een kenteken/auto? Lijkt me vergelijkbaar want in de auto kan ook een ander gereden hebben.
@Marc: Een zwarte lijst moet altijd worden aamgemeld, maar niet elke log is een zwarte lijst. Er is een vrijstelling voor het beheren van IT-systemen, ik denk dat je met enige goede wil daar ook wel een serverlog van een internetdienst onder kunt rekenen.
@Franc: Het is inderdaad goedmogelijk dat een IP-adres dat door een hele familie wordt gebruikt, geen persoonsgegeven is. Net zoals een straatnaam dat niet is, tenzij er één huis aan die straat staat en daar één persoon woont. Maar mééstal zijn IP-adressen (in combinatie met tijdstip) te koppelen aan één persoon.
@Reinier: in de privacywet betekent “noodzakelijk” niet “technisch onvermijdelijk” maar “redelijkerwijs vereist”. Het gaat erom of je maatregel dus redelijkerwijs nodig is bij het proces van uitvoering van je contract. Of hij effectief is (en een IP-check is dat niet per se inderdaad) staat daar los van. Het is dus niet “IP-checks werken niet dus artikel 8 sub b is geen grondslag” maar “zonder IP-check werkt mijn dienst minder goed dus mag ik dit doen van artikel 8 sub b”.
@Bastiaan, goed punt…
Maar wat indien ik niet thuis, maar vanaf een werkplek het Internet op ga? Mijn werkgever heeft daarbij zijn IP adres gekoppeld aan een (sub)domeinnaam omdat dat b.v. handiger is bij het “remote inloggen”. Wat je dan krijgt is dat jij mijn IP adres even met een reverse DNS weet op te sporen naar het domein van mijn werkgever, waarop jij dus mijn account met IP adres en werkgever kunt opslaan binnen je systeem!
Wow! En dat terwijl mijn werkgever dus ook een persoonsgegeven is. Vandaar dat ik dus moeite heb met de bewering van Arnoud dat het IP adres van een server dus openbaar is.
Het kan nog twijfelachtiger worden indien een reverse DNS opdracht niet mij maar mijn ISP als domein oplevert. Een reverse DNS op mijn IP adres thuis levert namelijk dhcp-xxx-xxx-xxx-xxx.chello.nl als domeinnaam op. (De xxx zijn mijn IP adres.) Het IP adres van mijn werk levert xxxxxxxx.static.ziggozakelijk.nl als domeinnaam. Als ik dan ook IIS op mijn PC heb staan (of Apache of andere webserver software) dan is mijn computer dus een server.
En veel web developers zullen op hun systeem web server software hebben staan. Net als veel hobbyisten, overigens, die bij installatie van Windows of Linux gewoon IIS/Apache mee hebben geinstalleerd omdat ze het leuk vonden en het betreffende vinkboxje hebben aangevinkt.
Naar mijn mening is het IP adres van een server dus nog steeds een persoonsgegeven, ten minste indien je deze aan een gebruiker verbindt.
Wat ik dus vrees is dat de wet via een truuk omzeild kan worden door gewoon via een reverse DNS lookup de bijbehorende domeinnamen op te slaan. Je bewaart dan geen IP adressen meer maar deze domeinnamen die je aan de gebruiker koppelt. En zolang providers ook automatisch subdomeinen aanmaken voor hun clienten is deze truuk mogelijk.
Je kan met ‘whois’ sowieso altijd de eigenaar van het netblock achterhalen. Daar is geen reverse DNS voor nodig. Het IP adres van mijn werk levert zelfs mijn eigen naam op (aangezien ik RIPE contact ben).
Wim, je maakt het er wel ingewikkeld mee. Ik kan de situatie die je schetst niet helemaal volgen.
Ik denk dat IP-adressen die verwijzen naar een server in een datacentre (of een kantoorgebouw) geen persoonsgegevens zijn. Je bent daar niet zomaar mee te identificeren. Als je een thuisserver gebruikt, maar het IP-adres niet openbaar maakt, dan lijkt het me dat het IP-adres van jouw server een persoonsgegeven is.
Jouw werkgever mag jouw thuis-IP-adres niet zomaar openbaarmaken. Hetzelfde geldt voor jouw andere persoonsgegevens.
Maar dat is niet zo interessant. Wat je wilt weten is of er een domeinnaam hangt aan een IP adres. Zo ja, dan bewaar je de domeinnaam in plaats van het IP adres. Domeinnamen zijn namelijk geen privegegevens, toch? En zolang internet providers hun IP adressen aan subdomeinnamen koppelen en gebruikers zelf ook domeinnamen registreren op hun eigen adres kun je zo zonder problemen best veel persoonsgegevens ophalen die kennelijk geen persoonsgegevens zijn.
Nee, maar als jij reageert op een forum zoals dit blog, en daarbij zowel op je werk als thuis reacties plaatst, zoals ik wel eens doe, dan is dat best identificeerbaar tot een enkele persoon. Als mijn werkgever daarbij een domeinnaam heeft geregistreerd op hetzelfde IP adres en mijn internet provider thuis ook nog eens een domeinnaam voor mij heeft gegenereerd dan kan dit blog twee domeinnamen aan mijn account koppelen. En daarmee ben ik aardig uniek te identificeren!
Klopt. Maar als je je eigen prive-adres aan een domeinnaam koppelt omdat je dan b.v. vanaf je werk makkelijker in kunt loggen op je remote desktop dan is je adres opeens weer publiekelijk. Het is wat vager indien je internet-provider automatisch domeinnamen aanmaakt voor hun klanten. Dus ook voor thuisgebruikers!
Om te zien of je IP adres aan een domeinnaam gekoppeld is, kun je bij RobTex je IP adres invoeren en dan een reverse DNS uitvoeren. Denk dat de meeste bezoekers hier wel een (sub)domein aan hun IP adres hebben hangen…
Voor websites die zo willen onthouden van welk adres een bezoeker afkomstig is, is het bewaren van een domeinnaam of zelfs een lijst van domeinnamen mogelijk best lastig. De reverse DNS vraagt namelijk wel wat extra tijd van de server. Maar als (sub)domeinnamen geen privegegevens zijn en IP adressen wel dan kun je zo de wet alsnog omzeilen…
Dit alles lezende en in aansluiting op Wim zijn opmerking over reacties plaatsen, kan ik er niet een eenduidig antwoord uit ventileren over de opslag van IP adressen bij geplaatste reacties.
Functioneel gezien voegt het IP-adres niets toe, maar technisch gezien kun je het gebruiken tegen spam / als security mechanisme.
Normaal gesproken staat nergens dat je IP adres wordt geregistreerd bij plaatsen van reacties.
Is het dan nu voldoende om het te melden in je privacy verklaring of dien je toestemming te verkrijgen aangezien je een letterlijke koppeling Naam, mailadres en IP-adres krijgt?
Als, en ik zeg als, je het IP-adres gebruikt tegen spam of als securitymaatregel of blokkeren gebruikers dan is dat legaal zolang je het maar meldt in je privacyverklaring. Je hoeft geen toestemming van de spammer om hem te blokkeren, want kom nou.
De formele grond is artikel 8 sub f, de eigen noodzaak die zwaarder weegt dan de privacy. Het IP-adres is niet héél identificerend, het is algemeen bekend dat websites die weten en die ook gebruiken. Daarmee is het privacybelang klein. De site-eigenaar heeft weinig middelen om mensen te weren, het IP-adres is zo ongeveer het enige authentieke element waarmee dat kan. Dus daarmee is het eigen belang groot.
Dit betekent dan weer niet dat je dus IP-adressen voor elk doel mag gebruiken mits je daar maar “security” op plakt. Ik ken grapjassen die namelijk na zo’n uitleg zeggen “oh maar ik moet wel elke week een nieuwsbrief versturen om te valideren of iemands e-mailadres nog werkt, dus dat is functioneel noodzakelijk”. Of “een schandpaal is ook security, dus ik mag IP-adressen op een openbare zwarte lijst knallen”. Nee.
Als ik ip adressen wil loggen, dan log ik ip adressen, geen hond die daar iets aan kan doen en gene hond die het iets aan gaat. klaar uit. Moet je maar het internet niet op gaan, laat je ook geen ip nummer achter. Alleen mensen met kwade bedoelingen willen niet dat hun ip adres achterhaald wordt.
Net zolang dat je een keer een boete krijgt of dat je voor een rechter uitleg kan geven. Je dient naar de wet te handelen als je daar op ze Hollands gezegd schijt aan heb dan zijn de consequenties voor jezelf.
Foute aanname! Niet alleen mensen met kwade bedoelingen willen dat niet, maar ook mensen met goede bedoelingen die hun privacy enorm op prijs stellen willen niet dat jij zonder hun toestemming IP adressen verzamelt.
Het excuus “mensen met goede bedoelingen hebben niets te verbergen” is enorm achterhaald. Mede ook omdat er genoeg kwaadwillenden zijn die gegevens verzamelen met als doel deze te misbruiken. In hoeverre een IP adres misbruikt kan worden? Hangt af van hoe creatief de persoon is die dit wil misbruiken maar in theorie is misbruik mogelijk. (Vooral indien aan het IP adres ook andere data wordt gekoppeld, zoals de sites waar dit IP adres is aangetroffen.)
In plaats van het IP nummer zelf kan je ook een hash van het IP nummer loggen. Dit is veel veiliger, behoud de privacy en voor 9 van de 10 toepassingen voldoet het perfect (het gaat in bijna alle gevallen namelijk om het opnieuw kunnen identificeren van eenzelfde IP nummer, daarvoor is een hash meer dan voldoende; alleen als je de eigenaar van het IP nummer zou willen traceren heb je het IP nummer zelf nodig; lijkt me behalve voor justitiële doeleinden eerlijk gezegd nooit van belang).
Voor IPv4 is een hash op IP nummer onzin. Je hoeft maar 2^32 mogelijkheden te proberen, dus daar kun je zo een tabelletje van in elkaar draaien, en dan heb je de reverse hash te pakken.
Klopt. Onkraakbaar is het niet. Maar de wet eist niet onkraakbare beveiliging. De beveiliging moet “adequaat” zijn. En het kan best adequaat zijn dat een moderator op een forum alleen ziet “het IP-adres van Jantje is identiek aan dat van gebande gebruiker Pietje, wilt u Jantje ook verbannen”. Dat je dan met admin-privileges in de database het IP-adres kunt achterhalen of de hash kunt terugvertalen vind ik dan een minder belangrijk punt.
Ligt er maar net aan welk hashing algoritme wordt gebruikt. Bij diverse algoritmes kan je bijv. ook een ‘salt’ opgeven; zonder die salt te kennen zijn er oneindig veel tabellen mogelijk..
Jammer alleen dat dit niet zal werken, omdat ook de hash herleid kan worden tot een persoonsgegeven. Of je nou registreert dat iemand met adres 192.168.0.1 je websites om 11:00, 13:30, 17:15 en 20:00 bezoekt, of met hash xxx.xxx maakt weinig uit. Je houdt van die bezoeker zijn bezoektijden bij. Je identificeert dan niet meer de computer vanwaar het bezoek kwam, maar nog steeds wel wanneer een specifieke bezoeker je website bezoekt. En dan heb je toch weer een persoonsgegeven in handen…
Maar het is niet verboden om persoonsgegevens te verwerken zonder toestemming! Als je je op de dringende noodzaak beroept, dan mag het mits je het verwerken zo beperkt mogelijk doet. Hashen zodat niemand de ‘rauwe’ adressen ziet, is een prima manier om die beperking aan te brengen.
Een IP nummer wordt an sich als persoonsgegeven gezien, omdat het – in geval prive internet aansluiting – zonder verdere informatie tot een persoon is te herleiden. Met een goed gehashte versie kan dat niet. Anonieme statistieken lijken mij geen persoonsgegevens (hoe wil je bepaalde bezoektijden tot een persoon herleiden?). Pas wanneer die gekoppeld kunnen worden aan een IP nummer, welke weer tot een persoon te herleiden is, worden ze dat wel. Zo zijn voor zover ik op internet kan vinden ook de Europese regels:
“[..] naar Europese regels is die koppeling met IP-adres genoeg om onder de privacywet te vallen.”
(deze uitspraak gaat over waarom Analytics wel onder de cookiewet valt; als ze geen IP nummers zouden opslaan viel het daar dus niet onder)
Dat is natuurlijk niet onmogelijk, indien meerdere websites allemaal hetzelfde hash-mechanisme gebruiken zonder salt. De hash op site X komt dan overeen met die op site Y. Als de beheerder van site X tevens moderator (maar geen beheerder) is op site Y dan kan hij op zijn eigen website een hash aan een IP adres verbinden en op de andere website de bezoeker ook volgen.
Hoe waarschijnlijk is het dat meerdere websites dezelfde beveiliging zullen gebruiken? Die is redelijk groot omdat veel websites van standaard software gebruik maken. Denk hierbij aan WordPress, maar ook andere open-source projecten voor forums, fotogallerijen enz.
In hoeverre valt `fingerprinting` onder de persoonsgegevens? In principe is dit (zonder ip-adres) niet te herleiden naar een privé-persoon maar kan wel een unieke gebruiker identificeren.
Een persoonsgegeven hoeft niet ‘herleidbaar’ te zijn in die zin dat je weet welke persoon het is. Het is genoeg dat je gegevens vastlegt op het niveau van individuele, unieke gebruikers. Zodra je gedrag van bezoeker 327 kunt onderscheiden van bezoeker 684, verwerk je persoonsgegevens. Ook al weet je niet méér van ze dan het bezoekgedrag op je site.