Nog maar eens een lezersvraag:
Bij een forum waar ik regelmatig post, wordt het IP-adres van elk bericht bij dat bericht getoond. Nou snap ik dat ze IP-adressen bijhouden in verband met mogelijk misbruik, maar mogen ze het adres zo aan iedere andere bezoeker laten zien?
Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Daarom is een IP-adres een persoonsgegeven.
Forumbeheerders houden wel vaker bij elk bericht bij vanaf welk IP-adres het geplaatst is, en natuurlijk ook wanneer. Dat is volgens de Wet Bescherming Persoonsgegevens een verwerking van persoonsgegevens. En verwerking mag alleen als je dit vooraf aanmeldt bij het College Bescherming Persoonsgegevens.
Specifiek voor dit soort verwerkingen is er een vrijstelling: de controle op en het beveiligen van de computersystemen of computerprogramma’s, en ook verwerking voor het beheer van de systemen of programma’s†hoeft niet te worden aangemeld. Forums hoeven hun logfiles dus niet aan te melden bij het CBP.
Publicatie van het IP-adres is ook een verwerking. Die mag alleen als “de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking”. Het zal dus expliciet in het reglement moeten staan, en liefst ook nog een keertje apart bij het formulier waar je je reactie kunt typen.
Waar heel veel forums (en Wikipedia trouwens ook) de fout in gaan, is dat de wet eist dat je de gegevens na zes maanden verwijdert. Ik ken geen forum waar IP-adressen na zes maanden onzichtbaar worden.
Arnoud
Wikipedia is onderdeel van de Wikimedia Foundation, een Amerikaanse stichting. Moeten die zich ook (op dit gebied) aan Nederlandse regels houden?
En geldt het ook voor “ondoorzichtige” partijen? Wie weet waar Google of Microsoft je IP-adres voor gebruiken (het koppelen van gebruikersdata aan een IP, het opbouwen van een gebruikersprofiel, etc. lijkt mij ook “verwerking”), en voor hoelang?
Het criterium is de vestigingsplaats. Ik weet niet waar de Nederlandse Wikipedia is ondergebracht eigenlijk. Als dat een Nederlandse stichting of iets dergelijks is, dan moeten ze zich aan de Nederlandse wet houden. Staat alles in de VS, dan zijn ze niet gebonden aan onze privacywetgeving.
Arnoud
Als ik de WHOIS-gegevens mag geloven dan zijn ze gezeteld in Rusland 😉
Sinds wanneer ligt “Saint Petersburg, Florida” in Rusland? 🙂
Het is een uitgave van een Amerikaanse stichting, maar veel servers staan in Nederland, als gevolg van een overeenkomst met Kennisnet. Doe maar eens een tracert naar nl.wikipedia.org, dan kom je uit op rr.knams.wikimedia.org [145.97.39.155]. ‘knams’ zal voor Kennisnet Amsterdam staan, en dat IP-nummer is volgens RIPE eigendom van Kennisnet.
In theorie zou de Nederlandse privacy-politie dus die Nederlandse wikipedia-servers in beslag kunnen nemen in verband met overtreding van de Nederlandse regels. Maar IANAL.
De wet noemt twee entiteiten (zie art. 1): * bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt * verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt
De WBP is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland (art. 4).
Maar ook (art. 4 lid 2): Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.
Aangezien de NL.wikipedia.org servers in Nederland staan en gebruikt worden voor meer dan ‘doorvoer’, is deze wet dus van toepassing op Wikipedia.
En volgens art. 4 lid 3 moet Wikipedia dan in Nederland een persoon of instantie aanwijzen die namens hem handelt overeenkomstig de bepalingen van deze wet.
Ik kan nergens op nl.wikipedia.org een aangewezen privacy officer ontdekken.
Arnoud
@Arnoud: Aangezien de NL.wikipedia.org servers in Nederland staan en gebruikt worden voor meer dan ???doorvoer???, is deze wet dus van toepassing op Wikipedia.
Nee, dit is niet zo. De servers in Amsterdam zijn zogenaamde squids: caching proxys die gebruikt worden voor pagina’s die door anonieme gebruikers worden opgevraagd. Dat scheelt wat in de belading van de hoofdservers. ‘Wikipedia’ is trouwens geen organisatie; de achterliggende organisatie is de wikimedia foundation.
Je moet trouwens nog wel even bezig wil je heel Nederland aan deze regels krijgen. Alle gepubliceerde IRC logs moeten blijkbaar ook aangemeld worden bij het CPB… ik zie het nog niet gebeuren.
@valhallasw: dank je, dat van die squid proxies wist ik nog niet. De vraag wordt dan of een caching proxy “slechts wordt gebruikt voor de doorvoer van persoonsgegevens.”
Bij de behandeling van het wetsvoorstel voor de WBP schreef de minister dat “wanneer slechts sprake is van doorvoer van gegevens, deze bepaling niet van toepassing is. In die gevallen is er immers niemand in Nederland die enige feitelijke macht over de gegevens kan uitoefenen. Zodra daarentegen sprake is van opslag van gegevens onder verantwoordelijkheid van iemand van buiten de Unie, dient deze een vertegenwoordiger aan te wijzen in Nederland.”
Daaruit maak ik op dat je “doorvoer” echt moet zien als transport, doorgifte. Bij opslag is er de mogelijkheid om bepaalde dingen tegen te houden. De proxy zou bijvoorbeeld de overleg-pagina’s kunnen blokkeren, waar immers de meeste persoonsgegevens (IP-adres en tijdstip) staan.
Het is inderdaad een open vraag hoe werkbaar deze regels zijn gezien de huidige praktijk op internet.
Arnoud
Volgens mij wordt een ip adres nog altijd toegewezen aan een apparaat, en niet aan een persoon. Aangezien meerdere personen dit apparaat gebruiken, valt het onmogelijk te tracen naar een persoon. Daarbij is al samenwerking van de provider nodig om ?berhaupt achter het desbetreffende apparaat te komen. Valt een ip adres dan wel onder persoonsgegevens?