Een lezer vroeg me:
Veel IT transit providers houden zogeheten sampled netflow data bij van alle data door hun netwerk. Ze kunnen daarmee DDOS aanvallen en andere problemen in het netwerk detecteren. Hierin staat echter metadata zoals source/destination IP addressen. Sampled betekent dat niet alle verbindingen worden opgeslagen maar alleen een fractie hiervan. Dit lijkt een standaardpraktijk te zijn binnen de netwerk-wereld, maar ik vroeg me toch af hoe dat zit onder de AVG? IP-adressen zijn toch persoonsgegevens?De vraag of IP-adressen persoonsgegevens zijn, is een buitengewoon complexe omdat ze uitgaat van een kwalificatie die de techniek overstijgt. Het korte antwoord is: een IP-adres is een persoonsgegeven als je het, gebruikmakend van context, kunt koppelen aan een levend mens. Het lange antwoord gaat in op het hoe dan.
In veel gevallen gaat die discussie over zaken waarin een partij wil weten wie er ‘achter’ een IP-adres zit, zoals bij schadeclaims wegens auteursrechtinbreuk of opsporing van criminaliteit door Justitie. Die IP-adressen zijn dan meestal in beheer bij internetproviders, die uit eigen logs kunnen zien tussen welke tijdstippen deze bij welke klant in gebruik was, en vervolgens de NAW gegevens van die klant kunnen afgeven.
Sinds het Breyer-arrest uit 2014 (C-582/14) is voor juristen vaststaand dat IP-adressen persoonsgegevens zijn, zelfs als alleen een derde partij (die ISP dus) ze aan nadere identificerende gegevens kan verbinden. De vraag voor jou is of het redelijkerwijs haalbaar is dat jij die derde over kunt halen om dat te doen.
Natuurlijk ligt dat anders bij IP-adressen die niet aan abonnees te verbinden zijn, zoals dat van zakelijke routers of machines. Alleen: hoe wéét je wie of wat er achter een IP-adres zit? Veilig is daarom er van uit te gaan dat het IP-adres door een persoon wordt gebruikt. Oftewel, inderdaad: ‘ieder IP-adres is te allen tijde een persoonsgegeven’ is het enige veilige standpunt vanuit compliance perspectief.
Betekent dit dat de AVG het gebruik van persoonsgegevens verbiedt? Zeer zeker niet.
De in de vraag geschetste techniek is inderdaad een verwerking van persoonsgegevens, maar past duidelijk in de AVG via de route van het eigen gerechtvaardigd belang. “De verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging” is expliciet in de AVG genoemd (overweging 49) als een voorbeeld van zo’n belang. Dat mag dus, mits je kunt onderbouwen dat je gegevensgebruik “strikt noodzakelijk en evenredig” is. Oftewel: je kunt deze analyse niet met minder data doen zonder je niveau fors omlaag te laten gaan.
In dit specifieke geval lijkt me de uitkomst positief. Je moet voor een beetje adequate security echt meer weten dan enkel op hoofdlijnen wat er langs komt op je netwerk. Het gaat daarbij feitelijk alleen om actueel verkeer, informatie over flows die stil komen te liggen worden uit het systeem verwijderd. En het doel is niet het volgen van de personen die via dat IP adres opereren, maar het analyseren van netwerkverkeer en het identificeren van netwerkbedreigingen.
Arnoud
Helaas wordt de netflow data geagregeerd, witgewassen en inzichtelijk gemaakt. 90% van al deze data wereldwijd komt uit bij Team Cyru, die het doodleuk doorverkoopt.
Daar ga je dan met je rechtvaardig belang. Zie je steeds meer trouwens; misschien moet er een wet tegen witwassen van persoonsgegevens komen, Maar daar hebben vooral ook overheden belang bij, zo kunnen ze wat euro’s ruilen voor gegevens die ze anders wettelijk niet mogen verzamelen.
https://www.ivpn.net/privacy-guides/isp-netflow-surveillance-and-vpn/
Using the puzzle analogy again, Team Cymru has access to most of the puzzle pieces. While a single piece doesn’t hold enough information in the context of using a VPN, having many of them could potentially expose your Internet usage if they receive NetFlow exports from both your ISP and your VPN provider ISP. For example, traffic correlation using the packets timing becomes a lot easier when you know the delay between the user and their VPN provider acting as a proxy.
In 2024, the NSA stated to a U.S. senator that they were buying NetFlow exports from ISPs as long as it involves traffic to or from the United States.
Netflowgegevens zijn inderdaad cruciaal om het internet veilig te houden en moeten dus ook met enige historie bewaard kunnen worden zodat misbruik opgespoord kan worden. Het gerechtvaardigd belang is hier zeker op zijn plaats.
Er is een breed belang om het internet veilig te houden dat verder gaat dan een enkel individu, omdat het internet een groot verbonden systeem is. Jouw kwetsbare netwerk is een actieve bedreiging is voor anderen – het kan een bron zijn van DDoS, of besmettingen, of ander wangedrag faciliteren (ook onbewust – dwz bij het nalaten om op te treden tegen kwetsbaarheden).
Beste Thijs, eens dat “netflow” (een statistische bemonstering van het verkeer) kan helpen om misbruik van het Internet te detecteren (en daarna te blokkeren). Maar dan zou ik wel willen weten welke informatie wordt bijgehouden. Het maakt verschil of alleen de IP headers worden opgeslagen, of daarbij ook TCP en UDP headers.
En dan zeg jij enige historie; wat bedoel je hier mee? Waarom zouden ruwe samples meer dan een week bewaard moeten worden? Hoe is de afweging tussen privacy van de gebruikers en aanpak van de misbruikers gemaakt?
NetFlow allows the storage and efficient processing of network information including:
Is dat alles of worden er ook zaken als “TCP-vlaggen”, “TCP sequence numbers” en/of pakketgrootte opgeslagen?
Mijn eigen vraag beantwoorden (dank aan Wikipedia): NetFlow bevat ook informatie over aantal verstuurde pakketten en aantal verstuurde bytes.
Met de combinatie van webserver IP en omvang van html plus (individuele) illustraties kan gereconstrueerd worden welke webpagina een individu bekeken heeft. Dit maakt dat NetFlow als privacy-gevoelige informatie beschouwd dient te worden.
Moet je op IP adressen die je publiekelijk verzameld hebt met bv een crawler security toepassen die hoger is dan de security van de publiek verzamelde informatie?
Je moet een beveiligingsniveau hanteren dat past bij de privacygevoeligheid van de verzamelde (bewerkte) persoonsgegevens.
Ik denk dat je er van uit moet gaan dat je zelfstandig een beslissing moet maken. Het feit dat een bron slecht beveiligd is, of onder een andere jurisdictie valt is geen argument.
En de vraag is natuurlijk of je wel een crawler had mogen gebruiken om het te verzamelen.
Ik denk dat ook de grondslag overeenkomst van toepassing is.
Bij een ISP “koop” je een verbinding die daadwerkelijk bruikbaar is en niet vervuild is met o.a. DDOS verkeer. Om dat te leveren moet de ISP dus daadwerkelijk security maatregelen toepassen op jouw verbinding. (je vraag er tenslotte om)
Mogelijk hoeft de belangenafweging dan zelfs minder zwaar gedaan worden. Als ik een brief stuur naar mijn ouders dan impliceert dat ook dat zowel mijn (afzender) als mijn ouder’s (ontvanger) persoonsgegevens verwerkt worden door postNL gewoon om de brief te bezorgen. En als je dus een veilige internet verbinding levert dan moet je dus doen wat nodig is om die overeenkomst uit te voeren.
Hoezo moet de post informatie over de afzender verwerken?
Post moet terug als deze onbestelbaar blijkt, en dat weet je niet altijd op basis van een adres op het poststuk. Het afzender/retouradres is dus vereiste metadata.