Mag IP-adressen loggen van de privacywet?

Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 🙂 Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door!

Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch niet zomaar verwerken zonder toestemming? Bij sommige vraagstellers bespeurde ik een trollerige achtergrond (“ik wil ze terugpakken want ze hebben me geband”) maar het is natuurlijk een serieuze vraag.

Ja, een IP-adres is een persoonsgegeven. Meestal dan; een IP-adres identificeert een computer (ok, netwerkinterface) maar vaak is die computer door één persoon in gebruik, zodat het adres net zo persoonlijk wordt als een telefoonnummer. Het IP-adres van een server is natuurlijk geen persoonsgegeven.

Als je niet zeker weet of een IP-adres een persoon identificeert, maar je weet dat dit váák wel het geval zal zijn, dan kun je het beste op safe spelen als je privacytechnisch correct wilt zijn. Daarom (en omdat niet alleen de auteurswet last heeft van permanente expansie) wordt veelal aangeraden om IP-adressen altijd als persoonsgegeven te behandelen.

En dat betekent inderdaad dat je als hoofdregel alleen mag werken met een IP-adres als je toestemming hebt van de gebruiker daarvan.

Als hoofdregel, want er zijn wel degelijk uitzonderingen op die regel. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)

Loggen van IP-adressen en met name het hebben van blacklists met IP-adressen vallen natuurlijk niet onder die “uitvoeren van een overeenkomst” uitzondering. Maar er is er nog eentje: als jouw gebruik van persoonsgegevens absoluut noodzakelijk is voor een legitiem doel én toestemming vragen is zinloos én jouw belang weegt op tegen de privacy van de wederpartij, dan mag het ook zonder toestemming.

Dit zijn drie hoge eisen maar het lijkt me dat een blacklist van structureel irritante personen wel voldoet aan deze eis. Het weren van zulke types is een legitiem doel, dat móet eigenlijk wel op basis van IP-adres en toestemming vragen aan trollen is waanzin.

Wel vraag ik me af hoe je dan om moet gaan met dynamische IP-adressen. Het overkwam mij ook laatst dat ik ineens geband was op Wikipedia: de vorige UPC-klant met dat IP-adres had kennelijk nogal huisgehouden. Een goede site heeft een bezwaarprocedure voor blokkades die irrelevant zijn geworden vanwege verlopen IP-adressen. Alleen, hoe ga je dan weer om met trollen die drie dagen niks zeggen en dan roepen dat ze tegen de ban van hun voorganger zijn aangelopen?

Arnoud

63 reacties

  1. IP Logging vind ik commercieel gezien toch wel erg belangrijk, in ieder geval in onze branche waar er abonnementen een rol spelen binnen een “mijn account” omgeving. Zo kun je fraude en ongeoorloofd toegang eerder signaleren en bestrijden maar ook naar je klant toe verantwoorden.

  2. @Maurice Hoe doe je dat dan met de grote kabelboeren zoals Ziggo en UPC die werken met dynamische IP-adressen? Wij gebruiken het overigens ook, voor blacklisting van bekende (forum) spammers. Die houden wij buiten de deur door te checken op eerdere registraties (Spamhaus, SFS, PH). Niet ideaal voor dynamische IP’s maar die kunnen we desgewenst toestaan in een whitelist. 90% van de IP-adressen die “rommel” sturen is overigens afkomstig uit Azië. Gaat allemaal geheel automatiek, maar wel aardig in het kader van privacy en persoonsgegevens. Want daar spelen we dan wel mee.

  3. Bij ons worden acties/aanpassingen voornamelijk gelogd, dus b.v. een abonnement aanpassing door IP “x” op tijdstip “x” Indien er dan ongeoorloofd aanpassingen zijn geweest kunnen wij aantonen aan de klant indien zover komt hoe en wat en waar en wanneer.

    Blokkades uitvoeren doen we niet enkel op IP, hier zijn meer methodes voor die gezamenlijk een sterk systeem maken.

  4. Een lokale bank heeft momenteel een actie waarbij je via internet kunt stemmen op een lokaal goed doel die dan een bepaald geld bedrag wint; de voetbalclub, scouting, kinderboerderij, etc.

    Een collega wilde graag zijn goede doel laten winnen, maar liep tegen een IP blokkade aan. Hij kwam erachter dat elke keer als hij z’n mobiele telefoon uit en weer aan zette hij opnieuw kon stemmen. Zijn goede doel staat dik bovenaan.

  5. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)

    Je beschrijft dit nogal laconiek: hoe weet je dit?

    IP-adressen zijn tamelijk identificerend voor sessies of gebruikers – en daarom een persoonsgegeven – maar zijn om verschillende redenen fundamenteel niet toereikend om die identificatie betrouwbaar te doen, en daarvoor zijn betere alternatieven. Je kunt dus zeker niet zeggen dat IP-adressen daarvoor nodig zijn.

    Wel kun je ze als extra check gebruiken: als een ander mechanisme je vertelt dat je met dezelfde sessie of gebruiker te maken hebt terwijl het IP-nummer verschilt, is er iets heel vreemds, resp. ongewoons aan de hand, en die informatie kun je nuttig gebruiken bij problemen, bv. als een gebruiker zegt niet in te kunnen loggen.

    Iets dergelijks geldt voor andere redenen om IP-adressen bij te houden: het is nuttig, maar niet nodig.

    Op grond waarvan precies mag het nu (zonder toestemming te vragen)?

  6. @Reinier: het mag omdat dit valt onder artikel 8 sub b Wbp: de verwerking is nodig voor het uitvoeren van een overeenkomst. Vaststellen dat je nog steeds met dezelfde klant correspondeert, is een vrij essentieel deel hiervan.

    De wet zegt (helaas?) niet dat alleen de allerbeste methode voor authenticatie/beveiliging/etc legaal is. Waar ht om gaat is dat jij een overeenkomst uitvoert en meent daarbij die gegevens nodig te hebben. Is dat objectief gezien redelijk, dan mag het. Je mag Post.nl de adressen van je klanten geven, hoewel je ook best zelf bij de klant langs kunt gaan of ze het kunt laten afhalen.

  7. Het IP-adres van een server is natuurlijk geen persoonsgegeven.
    Interessant… Ik heb thuis namelijk een mini-PC staan die dienst doet als webserver. Een tweede computer gebruik ik om thuis mee te werken. Beide PC’s zitten achter dezelfde router en dan is het dus de vraag of mijn IP adres nu wel of geen persoonsgegeven is…

    Stel voor dat ik voor ieder IP adres een “reverse DNS lookup” uitvoer om te zien of er een domeinnaam is gekoppeld aan dit IP adres. Als dat het geval is, bewaar ik het IP adres en de gevonden domeinnamen. En dat mag, want dit zijn toch servers? 🙂 Okay, de meeste mensen hebben geen domeinnaam aan hun prive-IP adres gekoppeld maar mensen die vanaf hun werk inloggen kan ik dus terugkoppelen aan hun werkgever. Ik heb dus moeite met de bewering dat een server IP adres dus geen persoonsgegeven is.

  8. @MartijnV: Ik denk dat je het kort bewaren (bijv. via logrotate), hooguit een paar dagen, van accesslogs kunt verdedigen als strikt noodzakelijk, omdat je daarmee diverse vormen van misbruik van de server kunt constateren. Wil je de logs daarna nog bewaren moet je daar de IP-adressen en andere persoonsgegevens uithalen; wellicht is het dan wel toegestaan om eventueel het land van herkomst te bewaren.

    @Wim: Het lijkt me dat als je thuis een webserver hebt staan je bijv. via URLs het IP-adres via de hostname actief zelf openbaar maakt. Zelfs als het IP-adres als persoonsgegeven wordt beschouwd, lijkt het me dat je de ‘bezoeker’ impliciet toestemming geeft om dat IP-adres te bewaren, tenminste gedurende de TTL van je DNS-registraties.

  9. @Arnoud, hoe zit dat met “thuis” ip adressen. Woon je alleen dan is dit, meestal, een persoon.

    Heb je een gezin met kinderen dan heb je al vaak een dozijn mensen/devices achter dat ip (gezin plus de nodige vriendjes/vriendinetjes/bezoekers die ook even op het wifi gaan omdat de deking van provider x zo slecht is.

    Is de regel (nu nog) je weet het niet dus persoonsgegeven. Of altijd omdat iemand, een persoon, “eigenaar” is van die verbinding.

    Hoe zit dat met een kenteken/auto? Lijkt me vergelijkbaar want in de auto kan ook een ander gereden hebben.

  10. @Marc: Een zwarte lijst moet altijd worden aamgemeld, maar niet elke log is een zwarte lijst. Er is een vrijstelling voor het beheren van IT-systemen, ik denk dat je met enige goede wil daar ook wel een serverlog van een internetdienst onder kunt rekenen.

    @Franc: Het is inderdaad goedmogelijk dat een IP-adres dat door een hele familie wordt gebruikt, geen persoonsgegeven is. Net zoals een straatnaam dat niet is, tenzij er één huis aan die straat staat en daar één persoon woont. Maar mééstal zijn IP-adressen (in combinatie met tijdstip) te koppelen aan één persoon.

    @Reinier: in de privacywet betekent “noodzakelijk” niet “technisch onvermijdelijk” maar “redelijkerwijs vereist”. Het gaat erom of je maatregel dus redelijkerwijs nodig is bij het proces van uitvoering van je contract. Of hij effectief is (en een IP-check is dat niet per se inderdaad) staat daar los van. Het is dus niet “IP-checks werken niet dus artikel 8 sub b is geen grondslag” maar “zonder IP-check werkt mijn dienst minder goed dus mag ik dit doen van artikel 8 sub b”.

  11. @Bastiaan, goed punt…

    Het lijkt me dat als je thuis een webserver hebt staan je bijv. via URLs het IP-adres via de hostname actief zelf openbaar maakt.
    Maar wat indien ik niet thuis, maar vanaf een werkplek het Internet op ga? Mijn werkgever heeft daarbij zijn IP adres gekoppeld aan een (sub)domeinnaam omdat dat b.v. handiger is bij het “remote inloggen”. Wat je dan krijgt is dat jij mijn IP adres even met een reverse DNS weet op te sporen naar het domein van mijn werkgever, waarop jij dus mijn account met IP adres en werkgever kunt opslaan binnen je systeem! Wow! En dat terwijl mijn werkgever dus ook een persoonsgegeven is. Vandaar dat ik dus moeite heb met de bewering van Arnoud dat het IP adres van een server dus openbaar is. Het kan nog twijfelachtiger worden indien een reverse DNS opdracht niet mij maar mijn ISP als domein oplevert. Een reverse DNS op mijn IP adres thuis levert namelijk dhcp-xxx-xxx-xxx-xxx.chello.nl als domeinnaam op. (De xxx zijn mijn IP adres.) Het IP adres van mijn werk levert xxxxxxxx.static.ziggozakelijk.nl als domeinnaam. Als ik dan ook IIS op mijn PC heb staan (of Apache of andere webserver software) dan is mijn computer dus een server. En veel web developers zullen op hun systeem web server software hebben staan. Net als veel hobbyisten, overigens, die bij installatie van Windows of Linux gewoon IIS/Apache mee hebben geinstalleerd omdat ze het leuk vonden en het betreffende vinkboxje hebben aangevinkt.

    Naar mijn mening is het IP adres van een server dus nog steeds een persoonsgegeven, ten minste indien je deze aan een gebruiker verbindt.

    Wat ik dus vrees is dat de wet via een truuk omzeild kan worden door gewoon via een reverse DNS lookup de bijbehorende domeinnamen op te slaan. Je bewaart dan geen IP adressen meer maar deze domeinnamen die je aan de gebruiker koppelt. En zolang providers ook automatisch subdomeinen aanmaken voor hun clienten is deze truuk mogelijk.

  12. Wat je dan krijgt is dat jij mijn IP adres even met een reverse DNS weet op te sporen naar het domein van mijn werkgever, waarop jij dus mijn account met IP adres en werkgever kunt opslaan binnen je systeem!

    Je kan met ‘whois’ sowieso altijd de eigenaar van het netblock achterhalen. Daar is geen reverse DNS voor nodig. Het IP adres van mijn werk levert zelfs mijn eigen naam op (aangezien ik RIPE contact ben).

  13. Wim, je maakt het er wel ingewikkeld mee. Ik kan de situatie die je schetst niet helemaal volgen.

    Ik denk dat IP-adressen die verwijzen naar een server in een datacentre (of een kantoorgebouw) geen persoonsgegevens zijn. Je bent daar niet zomaar mee te identificeren. Als je een thuisserver gebruikt, maar het IP-adres niet openbaar maakt, dan lijkt het me dat het IP-adres van jouw server een persoonsgegeven is.

    Jouw werkgever mag jouw thuis-IP-adres niet zomaar openbaarmaken. Hetzelfde geldt voor jouw andere persoonsgegevens.

  14. Je kan met ‘whois’ sowieso altijd de eigenaar van het netblock achterhalen.
    Maar dat is niet zo interessant. Wat je wilt weten is of er een domeinnaam hangt aan een IP adres. Zo ja, dan bewaar je de domeinnaam in plaats van het IP adres. Domeinnamen zijn namelijk geen privegegevens, toch? En zolang internet providers hun IP adressen aan subdomeinnamen koppelen en gebruikers zelf ook domeinnamen registreren op hun eigen adres kun je zo zonder problemen best veel persoonsgegevens ophalen die kennelijk geen persoonsgegevens zijn.

    Ik denk dat IP-adressen die verwijzen naar een server in een datacentre (of een kantoorgebouw) geen persoonsgegevens zijn.
    Nee, maar als jij reageert op een forum zoals dit blog, en daarbij zowel op je werk als thuis reacties plaatst, zoals ik wel eens doe, dan is dat best identificeerbaar tot een enkele persoon. Als mijn werkgever daarbij een domeinnaam heeft geregistreerd op hetzelfde IP adres en mijn internet provider thuis ook nog eens een domeinnaam voor mij heeft gegenereerd dan kan dit blog twee domeinnamen aan mijn account koppelen. En daarmee ben ik aardig uniek te identificeren!

    Als je een thuisserver gebruikt, maar het IP-adres niet openbaar maakt, dan lijkt het me dat het IP-adres van jouw server een persoonsgegeven is.
    Klopt. Maar als je je eigen prive-adres aan een domeinnaam koppelt omdat je dan b.v. vanaf je werk makkelijker in kunt loggen op je remote desktop dan is je adres opeens weer publiekelijk. Het is wat vager indien je internet-provider automatisch domeinnamen aanmaakt voor hun klanten. Dus ook voor thuisgebruikers!

    Om te zien of je IP adres aan een domeinnaam gekoppeld is, kun je bij RobTex je IP adres invoeren en dan een reverse DNS uitvoeren. Denk dat de meeste bezoekers hier wel een (sub)domein aan hun IP adres hebben hangen…

    Voor websites die zo willen onthouden van welk adres een bezoeker afkomstig is, is het bewaren van een domeinnaam of zelfs een lijst van domeinnamen mogelijk best lastig. De reverse DNS vraagt namelijk wel wat extra tijd van de server. Maar als (sub)domeinnamen geen privegegevens zijn en IP adressen wel dan kun je zo de wet alsnog omzeilen…

  15. Dit alles lezende en in aansluiting op Wim zijn opmerking over reacties plaatsen, kan ik er niet een eenduidig antwoord uit ventileren over de opslag van IP adressen bij geplaatste reacties.

    Functioneel gezien voegt het IP-adres niets toe, maar technisch gezien kun je het gebruiken tegen spam / als security mechanisme.

    Normaal gesproken staat nergens dat je IP adres wordt geregistreerd bij plaatsen van reacties.

    Is het dan nu voldoende om het te melden in je privacy verklaring of dien je toestemming te verkrijgen aangezien je een letterlijke koppeling Naam, mailadres en IP-adres krijgt?

  16. Als, en ik zeg als, je het IP-adres gebruikt tegen spam of als securitymaatregel of blokkeren gebruikers dan is dat legaal zolang je het maar meldt in je privacyverklaring. Je hoeft geen toestemming van de spammer om hem te blokkeren, want kom nou.

    De formele grond is artikel 8 sub f, de eigen noodzaak die zwaarder weegt dan de privacy. Het IP-adres is niet héél identificerend, het is algemeen bekend dat websites die weten en die ook gebruiken. Daarmee is het privacybelang klein. De site-eigenaar heeft weinig middelen om mensen te weren, het IP-adres is zo ongeveer het enige authentieke element waarmee dat kan. Dus daarmee is het eigen belang groot.

    Dit betekent dan weer niet dat je dus IP-adressen voor elk doel mag gebruiken mits je daar maar “security” op plakt. Ik ken grapjassen die namelijk na zo’n uitleg zeggen “oh maar ik moet wel elke week een nieuwsbrief versturen om te valideren of iemands e-mailadres nog werkt, dus dat is functioneel noodzakelijk”. Of “een schandpaal is ook security, dus ik mag IP-adressen op een openbare zwarte lijst knallen”. Nee.

  17. Als ik ip adressen wil loggen, dan log ik ip adressen, geen hond die daar iets aan kan doen en gene hond die het iets aan gaat. klaar uit. Moet je maar het internet niet op gaan, laat je ook geen ip nummer achter. Alleen mensen met kwade bedoelingen willen niet dat hun ip adres achterhaald wordt.

    1. Foute aanname! Niet alleen mensen met kwade bedoelingen willen dat niet, maar ook mensen met goede bedoelingen die hun privacy enorm op prijs stellen willen niet dat jij zonder hun toestemming IP adressen verzamelt. Het excuus “mensen met goede bedoelingen hebben niets te verbergen” is enorm achterhaald. Mede ook omdat er genoeg kwaadwillenden zijn die gegevens verzamelen met als doel deze te misbruiken. In hoeverre een IP adres misbruikt kan worden? Hangt af van hoe creatief de persoon is die dit wil misbruiken maar in theorie is misbruik mogelijk. (Vooral indien aan het IP adres ook andere data wordt gekoppeld, zoals de sites waar dit IP adres is aangetroffen.)

  18. In plaats van het IP nummer zelf kan je ook een hash van het IP nummer loggen. Dit is veel veiliger, behoud de privacy en voor 9 van de 10 toepassingen voldoet het perfect (het gaat in bijna alle gevallen namelijk om het opnieuw kunnen identificeren van eenzelfde IP nummer, daarvoor is een hash meer dan voldoende; alleen als je de eigenaar van het IP nummer zou willen traceren heb je het IP nummer zelf nodig; lijkt me behalve voor justitiële doeleinden eerlijk gezegd nooit van belang).

      1. Klopt. Onkraakbaar is het niet. Maar de wet eist niet onkraakbare beveiliging. De beveiliging moet “adequaat” zijn. En het kan best adequaat zijn dat een moderator op een forum alleen ziet “het IP-adres van Jantje is identiek aan dat van gebande gebruiker Pietje, wilt u Jantje ook verbannen”. Dat je dan met admin-privileges in de database het IP-adres kunt achterhalen of de hash kunt terugvertalen vind ik dan een minder belangrijk punt.

    1. Jammer alleen dat dit niet zal werken, omdat ook de hash herleid kan worden tot een persoonsgegeven. Of je nou registreert dat iemand met adres 192.168.0.1 je websites om 11:00, 13:30, 17:15 en 20:00 bezoekt, of met hash xxx.xxx maakt weinig uit. Je houdt van die bezoeker zijn bezoektijden bij. Je identificeert dan niet meer de computer vanwaar het bezoek kwam, maar nog steeds wel wanneer een specifieke bezoeker je website bezoekt. En dan heb je toch weer een persoonsgegeven in handen…

      1. Maar het is niet verboden om persoonsgegevens te verwerken zonder toestemming! Als je je op de dringende noodzaak beroept, dan mag het mits je het verwerken zo beperkt mogelijk doet. Hashen zodat niemand de ‘rauwe’ adressen ziet, is een prima manier om die beperking aan te brengen.

      2. Een IP nummer wordt an sich als persoonsgegeven gezien, omdat het – in geval prive internet aansluiting – zonder verdere informatie tot een persoon is te herleiden. Met een goed gehashte versie kan dat niet. Anonieme statistieken lijken mij geen persoonsgegevens (hoe wil je bepaalde bezoektijden tot een persoon herleiden?). Pas wanneer die gekoppeld kunnen worden aan een IP nummer, welke weer tot een persoon te herleiden is, worden ze dat wel. Zo zijn voor zover ik op internet kan vinden ook de Europese regels: “[..] naar Europese regels is die koppeling met IP-adres genoeg om onder de privacywet te vallen.” (deze uitspraak gaat over waarom Analytics wel onder de cookiewet valt; als ze geen IP nummers zouden opslaan viel het daar dus niet onder)

        1. Pas wanneer die gekoppeld kunnen worden aan een IP nummer, welke weer tot een persoon te herleiden is, worden ze dat wel.
          Dat is natuurlijk niet onmogelijk, indien meerdere websites allemaal hetzelfde hash-mechanisme gebruiken zonder salt. De hash op site X komt dan overeen met die op site Y. Als de beheerder van site X tevens moderator (maar geen beheerder) is op site Y dan kan hij op zijn eigen website een hash aan een IP adres verbinden en op de andere website de bezoeker ook volgen.

          Hoe waarschijnlijk is het dat meerdere websites dezelfde beveiliging zullen gebruiken? Die is redelijk groot omdat veel websites van standaard software gebruik maken. Denk hierbij aan WordPress, maar ook andere open-source projecten voor forums, fotogallerijen enz.

          1. Een persoonsgegeven hoeft niet ‘herleidbaar’ te zijn in die zin dat je weet welke persoon het is. Het is genoeg dat je gegevens vastlegt op het niveau van individuele, unieke gebruikers. Zodra je gedrag van bezoeker 327 kunt onderscheiden van bezoeker 684, verwerk je persoonsgegevens. Ook al weet je niet méér van ze dan het bezoekgedrag op je site.

  19. Hi Arnoud!

    Hoe zit het met het cookiebestand waarin je IPadressen opslaat om te weten of iemand toestemming heeft gegeven om cookies te plaatsen? Hiervoor is geen toestemming vereist, toch?

    Indien je dit bestand echter extern opslaat, omdat je bijvoorbeeld gebruikt maakt van een externe tool, dien je hiervoor dan nog een bewerkersovereenkomst af te sluiten met deze externe partij, of volstaat een vermelding in je cookieverklaring/privacyverklaring dat je gebruikt maakt van deze service?

    Dank alvast voor je antwoord.

    Gr. Noelle

    1. Er is geen toestemming nodig om een cookie te plaatsen waarin je cookietoestemming (of -weigering) registreert. Dat cookie implementeert uitsluitend een door de gebruiker gewenste functie en doet niet aan tracking of profiling.

      Een bewerkersovereenkomst is nodig met een derde die bij jou tracking komt doen. Echter specifiek voor deze cookies hoeft dat niet aangezien cookietoestemmingscookies sowieso buiten de cookiewet vallen. Dus stel je hebt Google Analytics en je gebruikt een cookietoestemmingplugin van een ander (bv. van Synovite, onze partner). Dan hoef je met Synovite géén bewerkersovereenkomst te sluiten. Met Google moet dat dan wel, want zij tracken gebruikers in jouw opdracht.

  20. Hi Arnoud,

    Dank voor je snelle reactie. Ik begrijp hem nog niet helemaal. Mijn vraag is of je een bewerkersovereenkomst moet sluiten met de partij bij wie wij het cookiebestand wordt opgeslagen. Dus het bestand met de IPadressen. Dit betreffen immers persoonsgegevens, en indien je persoonsgegevens bij derden opslaat, dient hier normaliter een bewerkersovereenkomst voor worden afgesloten.

    Hoe zie jij dit?

    Gr. Noelle

    1. @Noelle, IP adressen opslaan op je server van personen die cookies accepteren is de foute methode! Een IP adres kan namelijk dynamisch zijn en de volgende keer aan iemand anders zijn toegewezen. Ook kunnen er meerdere personen achter hetzelfde IP adres zitten (families, bedrijven) en dan is de toestemming van iedereen nog steeds noodzakelijk. Kortom, deze methode garandeert niets. Als iemand dan gaat klagen over jouw cookies dan hebben ze een terecht punt omdat een IP adres niet aan een persoon te koppelen is! Gewoon op de client een cookie plaatsen met daarin ‘Ja’ of ‘Nee’ is een betere oplossing… Geen cookie? Dan toestemming vragen!

  21. Volgens mij begrijpen wij elkaar verkeerd. Wat ik bedoel; wij gebruiken een consent cookie tool waarmee wij middels een logbestand bijhouden of iemand akkoord is gegaan. Dit logbestand wordt opgeslagen bij de partij die de tool aan ons levert. Moeten wij met die partij een bewerkersovereenkomst sluiten ?

    1. Je hebt dus een tool van een derde. Die derde logt IP-adres en tijdstip van mensen die zeggen “ik wil cookies” dan wel “ik wil geen cookies” middels die tool. Dergelijke IP-adressen zijn persoonsgegevens, en de toolleverancier verwerkt die in jouw opdracht. Dus ja dan is er een bewerkersovereenkomst nodig.

      Waarom doet die tool dat? Je hebt er niets aan qua bewijs, over zes maanden heeft de provider de koppeling IP-adres/NAW-gegevens geschrapt (Wet bewaarplicht) dus traceren naar een klager is onmogelijk.

  22. Het is makkelijker om een licentie te kopen van een reeds bestaande tool dan er zelf een te bouwen. We hebben meerdere websites en op deze manier wordt dit makkelijk gekoppeld. Minpunt is dus dat t logbestand ook bij hen wordt opgeslagen. We zullen contractueel afspreken dat t aan de wettelijke bewaartermijn moet voldoen.

    1. Volgens mij voldoe je op deze manier niet aan de wet. Je baseert je namelijk op het feit dat een IP adres persoonsgebonden is en dat is het dus niet. Het is echter wel een persoonsgegevens omdat het in combinatie met gegevens van een provider herleid kan worden aan een adres, en op dat adres kunnen meerdere personen wonen of werken. Sowieso heb je ook problemen met mobiele bezoekers die her en der van Wifi gebruik maken. Zeker nu enkele providers overal in Nederland gratis Wifi aanbieden aan hun abonnees is het IP adres gewoon niet voldoende. Het opslaan van het IP adres is om die reden dan ook overbodig. Ik neem zelfs aan dat die derde partij naast het IP adres ook een cookie bij de bezoeker plaatst. Sowieso mag hij het IP adres niet eens opslaan als de bezoeker cookies weigert. Nee is nee. Door IP adressen te bewaren, ook van hen die weigeren, ben je dus in overtreding. En ja, jij bent in overtreding, ook al laat je het door een derde partij regelen. Het is jouw website en dus jouw verantwoording.

    1. Het idee van een cookie is juist dat deze niet op de server wordt opgeslagen maar bij de bezoeker. Het kan wel zijn dat een derde partij de cookie plaatst maar dit soort cookies mogen geplaatst worden. Waarom zou deze 3e partij de IP adressen opslaan? Ze hebben daar toch niets aan? De toestemming moet gelden per gebruiker of zelfs per apparaat en niet per IP.

  23. We begrijpen elkaar nog steeds niet :-). De cookie wordt gewon geplaatst bij de bezoeker. Slechts het logbestand waarin staat of er wel of geen toestemming is gegeven (de bewijslast) wordt opgeslagen bij een derde (de aanbieder van de cookie toestemming plugin)

    1. Wat jij over het hoofd ziet is dat je niet mag opslaan dat de gebruiker geen cookies wil. De gebruiker kiest namelijk om geen IP-sessie te hebben, en door het IP adres op de server op te slaan negeer je die wens. Omdat jij verder niet kunt aangeven waarom je deze IP adressen moet bewaren tegen de wens van de bezoekers in, is het dus niet toegestaan. Of er toestemming is gegeven kun je namelijk afleiden uit het cookie, wat tevens de meest betrouwbare methode is. Want als je bezoekers allemaal achter dezelfde router zitten (binnen een huishouden, binnen een bedrijf, in een internet-cafe.) dan heb je niets aan dat logbestand omdat de bezoekers elkaar kunnen tegenspreken. De een zegt ja, de ander nee. En dat staat dan in je logbestand. Ik moet dus concluderen dat je gewoon IP adressen aan het loggen bent, zelfs als de bezoeker dit niet wil. Ik zie geen geldig excuus…

  24. Maar je hebt toch bewijs nodig of een bezoeker al dan niet toestemming gegeven heeft? Het zogenaamde “cookiebestand”. Dat doe je dat zo’n logbestand. Lijkt mij op geen andere manier te kunnen.

    1. Je hebt bewijs nodig inderdaad. Maar een cookiebestand is meestal niet bruikbaar als bewijs, omdat een IP-adres van 2 jaar oud niet meer te vertalen is naar een persoon. Mijn advies is al geruime tijd om een screencast of serie screenshots te maken van je site waarin je demonstreert hoe er cookies worden gezet. Gebruik Ghostery of iets dergelijks dat dan live laat zien welke cookies je zet en wanneer. Dan heb je het proces gedocumenteerd.

      En zou je alsjeblieft willen reageren onder de reacties waar je op reageert? Het is lastig te volgen zo. Gebruik “Reageer op deze reactie” rechts onder bij de reactie in kwestie.

      1. Dus een screencast van de procedure van het plaatsen van cookies zou een voldoende bewijs kunnen opleveren? Dan heb je toch niet van de individuele bezoekers een bewijs of ze al dan niet toestemming hebben gegeven?

        1. Het is onmogelijk om per gebruiker bewijs te verzamelen, tenzij je ze laat inloggen en dan toestemming verzamelt. Een lijst met IP-adressen en tijdstippen is geen bewijs, omdat na zes maanden het onmogelijk wordt om het IP-adres te koppelen aan een gebruiker.

          Stel ik meld me over twee jaar bij jou met een klacht over een cookie dat je vandaag zet. Ik heb géén idee welk IP-adres ik destijds had. Hoe bewijs jij nu met jouw systeem dat ik daar op 8 juni 2014 toestemming voor heb gegeven?

          1. Je maakt een valide punt. Een dergelijk logbestand is dan eigenlijk niets waard en geeft je alleen maar kopzorgen (opslag en privacy issues). Toch doen veel mensen het op deze manier..

          2. Arnoud, kan je hier niet een audit laten doen op je systeem. Een accountantsverklaring dat ze jouw systeem hebben geaudit en dat het alleen een cookie plaatst nadat er toestemming is gegeven? In plaats van individueel te bewijzen dat je toestemming hebt gekregen, bewijs je dan voor het geheel dat de cookies niet geplaatst worden wanneer er geen toestemming is. Daarbij laat je de acountant ook opnemen hoe om toestemming wordt gevraagd dat het systeem duidelijk om toestemming vraagt , zodat daar ook geen discussie over komt.

    1. Oh, maar als iemand “Ja” zegt dan mag je dus wel hun IP adres registreren, in combinatie met andere gegevens plus het cookie in hun browser. Als het cookie verloren gaat dan moeten ze weer opnieuw toestemming geven. Maar je hebt dan toestemming van de bezoeker om hun gegevens op te slaan. Als een bezoeker “Nee” zegt, dan mag je dus niets opslaan, behalve het cookie in de browser. En dat zou ook voldoende moeten zijn. Het artikel op CookieRecht gaat over de noodzaak of je ook moet registreren voor het verwerken van persoonsgegevens. Je mag daarbij vastleggen wat je nodig hebt om een dienst te leveren, zelfs als de bezoekers cookies weigert. Maar deze gegevens mogen dan ook alleen maar gebruikt worden om een service te leveren en niet voor andere doeleinden. Wil je gaan dataminen om b.v. leuke aanbiedingen aan te bieden aan specifieke gebruikers dan mag dat alleen voor die bezoekers die akkoord zijn gegaan met cookies. Je logbestand moet zich dan ook alleen beperken tot diegenen die akkoord gingen…

        1. Wie zegt dat bewijs waterdicht moet zijn? Als het om een civielrechtelijke kwestie gaat dan is waterdicht bewijs geen voorwaarde om je gelijk te krijgen. Je moet het meest overtuigende bewijs kunnen leveren.

          De werking van de website (Plaats een cookie in de browser met de keuze van de gebruiker, sla alleen IP adres op als de gebruiker akkoord ging) zou duidelijk moeten maken dat gebruikers altijd het cookie gezien moeten hebben, tenzij ze cookies op hun systeem hebben uitgeschakeld. (En ook dan mag je dus geen IP adressen opslaan.)

          Maar welk doel heeft dat logbestand uiteindelijk? Tja, aantonen dat jij toestemming hebt om de gegevens van een bezoeker te registreren. Dat doe je dus door middel van je logbestand waarin alleen diegenen staan die akkoord zijn gegaan. Maar dat is niet 100% waterdicht omdat er meerdere gebruikers achter een IP adres kunnen zitten. Je kunt daarbij ook de datum/tijd bewaren toen het cookie werd gezet. Als je dit aan nog verdere gegevens van de bezoeker kunt gebruiken (b.v. een login account) dan heb je het goed opgelost. Overigens, als gebruikers inloggen mag je wel hun cookie-instellingen aan hun account koppelen, ook al zijn ze niet akkoord gegaan met cookies. Het is dan een technische noodzaak omdat je deze gebruikers niet mag verwerken als je gaat dataminen in je gebruikers-bestand. Daar is de cookiewet ook voor bedoeld: om te voorkomen dat bedrijven gaan dataminen met bezoekersgegevens voor allerlei statistieken en doelgerichte reclames.

  25. Denk dat Piet Puk/google een goed argument heeft. Het is IP adres valt te herleiden, echter dit vervalt o.a. wanneer men gebruik maakt van dynamische IP’s oftewel een VPN provider. Ik ben mij er in gaan verdiepen en er is veel over te lezen meestal in Engels maar soms ook in Nederlands een leuke site is bijv. http://www.debesteVPN.nl (veel info, veel geteste providers) of http://www.vpnvergelijken.com ( basis info) dan is Around blog ook leuk om te lezen.

    Kan iemand mij uitleggen hoe het zit met “logs” in de Nederlandse wetgeving. Moeten VPN providers logs bijhouden en mogelijk over te dragen aan de overheid ect… Ik denk het niet aangezien er op NL bodem veel servers staan, echter kan er nog niets over vinden op internet…..

  26. Interessant, ik hoop dat dit artikel nog geldig is? Heb nog een vraag. Laatst contacteerde ik een immobedrijf voor meer info betreffende een koophuis. Via hun online formulier. Ik kreeg een automatische mail met bevestiging van goede ontvangst van mijn vraag en de belofte binnenkort te antwoorden. Maar in de metadata van die auto reply, stonden mijn moeders naam en (ouders) tussen haakjes. Ik verzond de vraag via mijn GSM, maar bij mijn moeder thuis, op haar wifi. Zou dat immokantoor via IP mijn moeders gegevens hebben getraced? En mag dat zomaar?

    Bedankt en mvg, Johan

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.