Tag: Beveiliging

About Beveiliging

Subscribe Feeds

Waarom wordt mijn embedded Android niet geupdate?

Geplaatst op in Ondernemingsvrijheid, Security, 16 reacties

android-open-source.pngEen lezer vroeg me:

Steeds meer apparatuur bevat Android als operating system, en daarvan is bekend dat er van tijd tot tijd gaten in worden ontdekt. Maar die software wordt eigenlijk nooit geupdate. Is dat niet tegen de wet? Hoe kan ik afdwingen dat deze software bijgewerkt wordt?

De wet zegt niets over security of het bijwerken van software. Een gemiste kans bij de wetsupdate van 2014, wat mij betreft. Je moet dus terugvallen op algemene regels en daaruit proberen te beredeneren dat het anno 2015 impliceert dat embedded software moet worden geupdate.

Een hoofdregel uit de wet is dat een product moet voldoen aan de redelijkerwijs gewekte verwachtingen (art. 7:17 BW). Als dat niet zo is, moet de winkelier dat herstellen of een vervangend product verschaffen. Wil je het hiermee rondkrijgen, dan moet je dus aantonen dat je redelijkerwijs mag verwachten dat een product veilig is en/of dat ontdekte gaten

Dat een product veilig is, is helaas nog steeds geen gebruikelijke situatie. (Ik erger me daar al tijden aan.) Bovendien worden gaten ook tijdens de levensduur van het product ontdekt, dus is het denk ik ook niet realistisch te verwachten dat producten binnenkort veilig worden en blijven. Updaten is de enige manier om daaraan tegemoet te komen.

Zijn updates an sich dan een redelijke verwachting? Nou, bij Android wel. Iedereen weet dat Android regelmatig met security- en andere updates komt, dus je mag verwachten dat dat ook bij jouw apparaat gaat gebeuren als gemeld is dat er Android in zit. Die verwachting komt dan mee.

De per 1 januari in werking tredende meldplicht datalekken + beveiligingsplicht gaat daar niets aan veranderen. Die geldt namelijk voor zakelijke partijen die persoonsgegevens van anderen opslaan. Een consument met een Androidapparaat voldoet niet aan die omschrijving en heeft dus niets te maken met die wet. Ook niet als door een gat in zijn OS zijn telefoonboek of ander bestand met persoonsgegevens lekt.

Een praktisch punt is nog wel, kúnnen die apparaten wel eenvoudig geupdate worden? Bij een telefoon lukt dat nog wel, maar bij een simpele dvd-speler zonder netwerkmogelijkheid is dat al wat ingewikkelder. Eisen dat je de firmware moet kunnen flashen is denk ik niet redelijk. Bovendien, als het apparaat geen netwerkmogelijkheid heeft, hoe wordt het dan gehackt van buitenaf?

Arnoud

Tiradeweek: Oh, en iemand wijzen op een vulnerability is dus géén strafbaar feit

Geplaatst op in Security, 10 reacties

cant-hear-you-epo-eob-software-patent-octrooi.pngKondig je een tiradeweek aan, krijg je allemaal tips van mensen met dingen waar je tenen van gaan krullen: Stop checking our code for vulnerabilities, aldus de (inmiddels ex-) Chief Security Officer van Oracle. Het doet me denken aan de standaardreactie van wel meer bedrijven: je meldt een probleem, en de reactie is niet “oh dat was stom, het wordt gefixt” maar “uw handelen is strafbaar ex art. 138ab Strafrecht” en vervolgens niets doen met de melding.

Een bekend probleem ja, en iets dat met responsible disclosure opgelost zou moeten zijn. Maar het blijft rondzingen. En wat me vooral zo frustreert, is het onbegrip voor die mensen die met zo’n tip aan komen zetten. Alsof het normaal is om te zeggen “rot op met je tip, jij bent strafbaar”.

Kijk. Natuurlijk is het ergens gek dat iemand aan je raam rammelt en dan zegt “joh, weet je dat dat raam van je heel gammel is”. Of ineens in de keuken staat en zegt “jij moet écht een beter slot op je achterdeur nemen hoor, hier zijn trouwens je koekjes, je kelderluik moet ook nodig gepatcht”. In het normale leven gebeuren die dingen niet, afgezien van een enkele buurman die je erop wijst dat je deur open staat.

Dit is echter een van die weinige situaties waarin het internet écht anders is dan de echte wereld en vergelijkingen niet opgaan, ook niet met auto’s.

En de reden dát het anders is, is dat internetdiensten van de software aan elkaar hangen. En iedereen weet: software, dat is kwetsbare ellende die je elke dag moet bijwerken. Dat doet niemand, en daardoor hebben we steeds die puinhoop met hacks, datalekken, DDOS aanvallen en ga zo maar door. Er is ook – waarom mag Joost weten – geen wet die zegt dat je je systemen veilig moet inrichten zodat je geen digitale overlast aanricht.

Het is dus legaal om een lekke puinzooi online te zetten, er nul kwaliteitscontrole op te doen, gevaar voor jezelf en anderen te scheppen. En dan heb je mensen die als ze daar een tip over krijgen, reageren met dat de kláger strafbaar is. Sorry maar daar zakt mijn broek van af. Wat mij betreft is het vanaf nu verboden te dreigen met aangifte of rechtszaken tenzij je kunt aantonen je veiligheidszaakjes op orde te hebben.

Arnoud

Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

Geplaatst op in Privacy, Security, 20 reacties

disc-data-weg-bewaren-kruis.jpgOp 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden opgelegd. En als je die wet goed leest, dan zie je dat er óók boetes kunnen worden opgelegd voor wie de beveiliging überhaupt niet op orde had.

Veel mensen denken bij de term ‘datalek’ aan een grootschalige inbraak waarbij alle klantgegevens worden gedownload, of een publicatie op een Russische hackersite van patiëntdossiers. De wettelijke definitie is echter veel breder. Iedere inbreuk op de beveiliging van persoonsgegevens wordt gezien als een datalek. En de wet (art. 13 Wbp) noemt “verlies of enige vorm van onrechtmatige verwerking” als een inbreuk. Ook wanneer gegevens binnen een organisatie dus op te vragen zijn door ongeautoriseerde medewerkers, is strikt gesproken sprake van een datalek. Voor webwinkels of sites met online inschrijf- of bestelformulieren zou al sprake zijn van een datalek wanneer deze formulieren niet over een beveiligde verbinding (SSL) worden verzonden.

Wie data op deze manier lekt, moet dat melden bij de toezichthouder en vaak ook bij de getroffen consument. Een datalek moet bij de toezichthouder worden gemeld wanneer deze “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen” of daadwerkelijk die gevolgen heeft, en bij de betrokkene als het lek “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. Dit zijn vrij vage criteria, en dat is dan meteen een zwak punt: een bedrijf kan met een stalen gezicht volhouden dat die diefstal van 200.000 patiëntgegevens toch niet een aanzienlijke kans heeft op nadelige gevolgen, laat staan op ernstige. Maar dat is dan iets waar de rechter of het Cbp al dan niet met giecheltoets wat van kan vinden.

De boetebevoegdheid van de toezichthouder wordt uitgebreid – of eigenlijk ingevoerd want die hebben ze nu in de praktijk niet. Onder het nieuwe regime kunnen boetes tot in theorie acht ton worden opgelegd voor het ten onrechte niet melden van een datalek. Maar niet alleen dat: de boetebevoegdheid geldt voor zo ongeveer elke serieuze plicht die je hebt onder de Wet bescherming persoonsgegevens: verwerken zonder grondslag (art. 8) of op onzorgvuldige manier (art. 6-10), het niet nakomen van informatieplichten (art. 33 en 35) en misbruik van het BSN (art. 24). En tot mijn vreugde ook: het niet hebben van een passende beveiliging (art. 13 Wbp). Een brakke beveiliging hebben is dus vanaf 1 januari wel degelijk strafbaar (pardon: sanctioneerbaar met een bestuursrechtelijke boete).

Wel moet het Cbp in principe eerst een bindende aanwijzing geven voordat boetes mogen worden opgelegd. Maar daar is dan weer een uitzondering op voor het geval men opzettelijk of ernstig verwijtbaar handelt. Dat is een vage norm, maar in de praktijk zal zich dat wel wijzen denk ik.

Ja, hier word ik wel een beetje vrolijk van. Ik snap alleen niet waarom het vrijwel nergens in het nieuws gaat over die boetebevoegdheid op beveiliging maar alleen over het al dan niet moeten melden van datalekken?

Arnoud

Mogen persoonsgegevens per mail worden verstuurd?

Geplaatst op in Privacy, Security, 11 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Is het toegestaan om persoonsgegevens zoals namen en adressen, maar ook bv. een kopie van je paspoort met BSN en foto, per mail te versturen? Dat is toch veel te onveilig!

De wet bescherming persoonsgegevens bepaalt dat wie persoonsgegevens verwerkt, een adequate beveiliging moet toepassen. En verwerken omvat zo ongeveer alles: inscannen, overtypen, versturen, opslaan, delen of zelfs verwijderen daarvan.

Wat is adequaat? De wet geeft daar geen antwoord op, en er is geen uitvoerende regeling die specifiek securitynormen voorschrijft of een toets waarmee je kunt bepalen of je gegarandeerd compliant bent met de wet.

De reden hiervoor is dat dat ‘adequaat’ geen absolute term is maar gemeten moet worden in de omstandigheden. Met een patiëntendossier van een ziekenhuis moet je zorgvuldiger omgaan dan een e-mailadres op een visitekaartje, zeg maar. Dus zou het raar zijn als de beveiligingseisen voor die twee sets persoonsgegevens hetzelfde zou zijn.

De vraag is dus hier in ieder geval eerst, hoe wordt er gemaild, naar wie en waarom. Dan zoek je de (redelijke) beveiligingsrisico’s en ga je na of die kunnen worden opgelost. En pas als je merkt dat dát niet kan, dan kom je bij de conclusie “misschien dan maar géén e-mail” of “laten we maar encryptie op de mail gaan zetten”.

Ik vraag me bij zulke vragen altijd wel af waarom niemand zich zorgen maakt bij eenzelfde communicatie per brief.

Arnoud

Een brakke beveiliging hebben, waarom is dat niet strafbaar?

Geplaatst op in Regulering, Security, 28 reacties

brakke-beveiligingRecent was ik bij het responsible-disclosure event van hackerclub Revspace. Bij die avond kwam nog een intrigerend puntje langs: het is strafbaar om een brakke beveiliging te kraken, maar het is niet strafbaar om een brakke beveiliging te hébben. Althans, wij konden geen wetsartikel bedenken tijdens de discussie. Heel merkwaardig.

Het is strafbaar om binnen te dringen in een geautomatiseerd werk, zoals een computer of een netwerk. Daarbij hóef je geen beveiliging te doorbreken; het is genoeg dat je weet dat je niet mocht zijn op de plek in dat werk waar je bent. Net zoals je bij erfvredebreuk in overtreding bent zodra je een bordje “Verboden toegang art. 461 WvSr” passeert, ook al sloop je geen slot. Maar toelaten dat er wordt binnengedrongen is niet strafbaar.

Daarnaast is het strafbaar om gegevens te vernielen (=veranderen, wissen, onbruikbaar of ontoegankelijk maken, of gegevens eraan toevoegen). Hiervan is ook wat juristen noemen een culpose variant: “Hij aan wiens schuld te wijten is dat” er gegevens worden vernield, oftewel hij die nalatig was in het voorkomen van vernieling is ook strafbaar. Maar gegevensovername of gegevensdiefstal wordt hier niet genoemd.

Dus stel ik zet mijn klantenbestand online zonder adequate beveiliging en een Chinees kopieert de hele boel na het raden van het wachtwoord. De Chinees schendt 138ab, maar is niet te vervolgen. Maar wat valt mij te verwijten? Er is niets “veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt” en ik heb geen beveiliging doorbroken. Ik was ook niet op onbevoegd terrein.

Ook in andere wetgeving kom ik geen regels over beveiligingsplichten tegen. Ja, artikel 13 Wbp eist “adequate beveiliging” als het gaat om persoonsgegevens. Maar dat is formeel bestuursrecht: het Cbp kan bij overtreding een last onder dwangsom opleggen, maar overigens geen boetes (art. 61 Wbp). Strafbaar is het niet, want artikel 75 Wbp (dat bepaalt wat er persoonsgegevenstechnisch strafbaar is) noemt artikel 13 niet. Heel merkwaardig.

Sinds enige tijd hebben telecomproviders een meldplicht bij datalekken waarbij persoonsgegevens op straat komen (art. 11.3a Tw). Maar ook dat is bestuursrecht, hoewel de OPTA wel boetes kan opleggen bij overtreding. Alleen, denk ik dan pietluttig: er staat “een inbreuk op de beveiliging die nadelige gevolgen heeft voor de bescherming van persoonsgegevens” en wat nou als ik geen beveiliging héb?

Heel merkwaardig dus.

Misschien dat het te maken heeft met de moeilijkheid een adequate definitie te vinden? Of dat er onbedoelde bijeffecten optreden als je bv. zegt “hij aan wiens nalatigheid/schuld het te wijten is dat persoonsgegevens worden verkregen/misbruikt”?

Arnoud

Mijn mailbox is gehackt!

Geplaatst op in Privacy, Security, 10 reacties

Nee, niet die van mezelf, maar van menig vraagsteller die wil weten wat hij of zij eraan kan doen. Meestal lijkt het te gaan om derden die het wachtwoord geraden hebben maar ongewijzigd laten, zodat het slachtoffer zelf niets doorheeft. De meeste mensen wijzigen hun wachtwoord immers zelden, en kijken ook niet in de map Verzonden items om te zien of iemand anders mee zit te mailen.

Nou ja, dat is dus ook precies wat je regelmatig moet doen. Ik raad aan wachtwoorden te maken met Strong password generator (maar er zijn er vast meer) en deze niet met anderen te delen. Als je je browser het wachtwoord laat onthouden, zet dan een schermbeveiliging met slotje op je computer. Of installeer iets als Keepass om wachtwoorden veilig te onthouden.

Ook regelmatig kijken of er gekke mails ontvangen of verzonden zijn is geen gek idee. Maar goed, je moet ook elke maand kijken of er rare afboekingen van je bankrekening zijn geweest en dat doet ook vrijwel geen hond.

Kun je juridisch iets doen? Ja, in theorie wel. Het is strafbaar als computervredebreuk om binnen te dringen in iemands mailbox, dus je kunt aangifte doen. Maar zonder IP-adres of andere bron van de dader is het wel héél lastig opsporen. Bovendien, als er niets stukgemaakt of gekopieerd is dat waarde heeft, zal het weinig prioriteit krijgen. Zeker omdat ook een rechtshulpverzoek naar de VS nodig is om Google of Hotmail te bewegen IP-adressen of andere login-informatie af te geven.

Ik vraag me al een tijd af waarom je niet bij zulke systemen gewoon ergens het IP-adres van de laatste vijf logins zou kunnen inzien. Zo moeilijk moet dat toch niet te maken zijn?

Jullie nog tips?

Arnoud

Overheid wil verdachten cybercrime kunnen hacken

Geplaatst op in Security, 12 reacties

De overheid wil bij verdenking van ernstige cybercrime-misdrijven op afstand een computer kunnen binnendringen, las ik bij Tweakers. De huidige wetgeving is verouderd, aldus minister Opstelten. Ze gaan er vanuit dat je gewoon de serverruimte binnen kunt lopen en de computer kunt afkoppelen en doorzoeken, en dat geldt vandaag de dag met cloud en SaaS en hype niet meer. Er moet dus meer ruimte komen voor opsporingsambtenaren< om binnen te dringen in computers elders ter wereld, en om met aftapsoftware op afstand waar te nemen wat daar gebeurt.

Op grond van de huidige wet (art. 125i Sv) mag men computers doorzoeken. Maar dat is nadrukkelijk alleen bedoeld voor situaties dat je fysiek in het datacenter bent. Er is dus een lacune in de wet als de computer fysiek op een onbekende plaats is, terwijl je een redelijke verdenking hebt dat daar gegevens staan die op een ernstig misdrijf wijzen. Dan moet je, aldus de minister, toch op afstand daar kunnen binnendringen en doorzoeken of aftappen wat daar gebeurt.

De minister voorziet meteen een wapenwedloop:

Criminelen weten dat de politie probeert om toegang te krijgen tot hun netwerken en gegevens en treffen daartegen maatregelen. Doorgaans worden de desbetreffende gegevens snel over het internet (wereldwijd) verplaatst c.q. de paden daartoe aangepast. Ook worden door criminele groeperingen dikwijls maatregelen getroffen om vast te stellen of derden, waaronder de politie, proberen zich toegang te verschaffen tot hun bestanden. Indien zij dergelijke signalen opvangen of vermoeden verplaatsen zij hun bestanden zo snel mogelijk en schuwen niet om indringers met digitale middelen te bestrijden.

En met dat verplaatsen is het risico reëel dat er ineens servers in een ver buitenland worden ingezet. Dat is een juridisch probleem, want onze politie mag alleen in Nederland optreden. Bij buitenlandse servers moet er een rechtshulpverzoek worden gedaan, maar dat kost natuurlijk tijd. Plus, bij wie moet je zijn als je de fysieke locatie van de server niet kunt achterhalen? Daarom stelt de minister een constructie voor waarbij men bij een onbekende serverlocatie mág hacken en gegevens ophalen. Is de locatie bekend, dan alsnog rechtshulpverzoek.

Ook een nieuwe gewenste bevoegdheid is het op afstand ontoegankelijk maken van gegevens. Stel je bent als agent binnengedrongen in een computernetwerk ergens diep in een duister stukje van de cloud (een regenwolk? sorry, flauw) en je treft daar strafbare gegevens aan. Dan moet je die toch kunnen wissen, is de gedachte. De Robert M-affaire en de via hem op TOR aangetroffen kinderporno is de situatie die moet bewijzen dat het op afstand wissen bij elk ernstig misdrijf gerechtvaardigd is.

Verder wordt het helen van digitale gegevens strafbaar. Gestolen persoonsgegevens of gekraakte creditcardgegevens in je bezit hebben is nu niet aan te pakken; pas het gebruik daarvan kan als fraude, oplichting of iets dergelijks worden vervolgd. Het deed me denken aan het onzalige plan van Hirsch Ballin als reactie op de Manon Thomas-zaak, waarin bleek dat het verspreiden van gestolen foto’s niet strafbaar was. Ik hoop dat dát buiten scope blijft.

De bevoegdheden kunnen niet zomaar worden ingezet: de machtiging van de rechter-commissaris zal elke keer nodig zijn, en het moet gaan om ernstige misdrijven (kort gezegd: minstens vier jaar cel). Dat dekt dus precies de drie ruiters en de voetganger van de Internetapocalyps: terrorisme, kinderporno, drugshandel en inbreuk op auteursrechten.

Ook is natuurlijk proces-verbaal opmaken verplicht, en moet alles worden gelogd en bewaard zodat dit achteraf raadpleegbaar is. Hopelijk ook door geïnteresseerde derden – maar de krampachtige houding bij inzage in tapgegevens belooft niet veel goeds.

Tsja, pfoe. Ik snáp het wel, en ik zou ook niet weten wat je anders moet doen als je alleen een serveradres hebt en je wéét dat daar strafbare zaken gebeuren. Maar het klínkt gewoon eng, een inbraakbevoegdheid. En er kan natuurlijk aardig wat misgaan: wat als je de verkeerde server hackt (of wist?), of wat als je achterdeurtje exploiteerbaar blijkt door criminelen?

Arnoud

Heeft het nut om IMEI’s van gestolen telefoons te blokkeren?

Geplaatst op in Security, 27 reacties

change-imei.jpgKPN, Vodafone en T-Mobile gaan vanaf volgend jaar op verzoek van de politie gestolen telefoons mogelijk onbruikbaar maken, las ik bij Tweakers. Elke telefoon heeft een zogeheten International Mobile Equipment Identity of IMEI nummer, dat meegestuurd wordt naar het netwerk als je je aanmeldt of wilt bellen. Door dit nummer bij de telefonieprovider te checken tegen een zwarte lijst, kun je dus verhinderen dat gestolen telefoons nog gebruikt worden. Dat zou diefstal toch af moeten schrikken. Nou ja, in theorie dan.

Een dergelijk systeem werkt natuurlijk alleen als de IMEI van een telefoon niet wijzigt. In Engeland, waar deze antidiefstalaanpak is uitgevonden, is het dan ook expliciet strafbaar gesteld om de IMEI te wijzigen (Section 1 van de Mobile Telephones (Re-programming) Act 2002), want als het strafbaar is dan doet een crimineel dat niet. Ahem.

In Nederland hebben we zo’n regel niet, en het lijkt er ook niet op dat deze er gaat komen. In 2011 werd nog in antwoord op Kamervragen gemeld dat dit niet zinnig leek, omdat IMEI nummers eenvoudig te wijzigen zijn, zelfs voor domme mobieltjesdieven. Om dezelfde reden is de politie gestopt met sms-bommen sturen (elke drie minuten een sms met “Deze telefoon is gestolen”) naar gestolen telefoons.

De enige echte optie om dit werkbaar te krijgen lijkt me om de IMEI verplicht hardcoded in de telefoon vast te leggen, zodat ze niet meer te wijzigen zijn. Ik heb eigenlijk geen idee waaróm een IMEI wijzigbaar zou moeten zijn. Jullie wel?

(Oh, en natuurlijk moet de IMEI-blokkade Europabreed uitgerold zodat je ook in Finland of Roemenië niet kunt bellen met een gestolen telefoon.)

Arnoud

Mag je cameratoezicht op de openbare weg richten?

Geplaatst op in Privacy, Security, 29 reacties

Een veelgestelde vraag in de categorie cameratoezicht: mag je de openbare weg filmen met een vaste camera? Menig buurman blijkt camera’s op te hangen om de auto te filmen of het gemeenschappelijke achterpad te bewaken. Of om de buren te pesten.

Bij cameratoezicht spelen er twee wetten. Allereerst heb je het wetboek van strafrecht: het filmen met een aangebrachte camera is strafbaar tenzij dit duidelijk is aangekondigd (art. 441b Strafrecht). Dat wetsartikel geldt overal in de openbare ruimte, dus net zo goed voor een particulier die de stoep voor zijn deur filmt net zo goed als voor de exploitant van een bedrijventerrein die zo dertig panden en een parkeerterrein wil bewaken.

De eerste stap is dus zorgen dat je camera óf duidelijk zichtbaar is opgehangen, óf dat er een duidelijk bordje hangt (leesbaar voordat je in beeld bent) zodat mensen weten waar ze aan toe zijn. Beiden zullen niet meevallen als je de openbare weg gaat filmen, maar in theorie is hieraan te voldoen.

Lastiger is de Wet bescherming persoonsgegevens. Wie camerabeelden vastlegt (in digitaal, doorzoekbaar formaat) valt daarmee onder de Wbp. En deze heeft als hoofdregel dat je alleen persoonsgegevens (camerabeelden) mag vergaren en gebruiken als dat noodzakelijk is voor het door jou beoogde doel. Als dat doel beveiliging is van je eigendommen, dan mag je uiteraard alleen je eigendommen filmen en de onvermijdelijk daarbij in beeld komende omgeving. De openbare weg kán onvermijdelijk deel zijn van die omgeving (de auto die voor de deur bij de stoep staat) maar verder dan dat mag je niet gaan.

En dáár is volgens mij de hele discussie op gebaseerd of je de openbare weg mag filmen. Op zich niet dus, tenzij je een goed doel weet waarom het wel mag én het filmen van de openbare weg daarvoor noodzakelijk is. Ik kan er -behalve beveiliging dus- geen bedenken.

Wel vraag ik me nu af wat ik moet denken van artikel 2 sub 2 Wbp: “Deze wet is niet van toepassing op verwerking van persoonsgegevens: ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden”. Idee hierachter is dat je een privépersoon niet moet lastigvallen als ‘ie bijvoorbeeld een online adresboek aanlegt voor zijn privécorrespondentie.

Maar wie filmt voor uitsluitend zijn persoonlijke/huishoudelijke beveiligingsdoeleinden, zou langs dit artikel óók buiten de Wbp kunnen komen te staan. En dat zou betekenen dat particulieren dus cameratoezicht mogen toepassen op de openbare weg, maar bedrijven niet. Dat klopt ergens niet helemaal maar het tegenargument kan ik niet bedenken..

Arnoud

Mag IP-adressen loggen van de privacywet?

Geplaatst op in Security, 63 reacties

Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 🙂 Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door!

Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch niet zomaar verwerken zonder toestemming? Bij sommige vraagstellers bespeurde ik een trollerige achtergrond (“ik wil ze terugpakken want ze hebben me geband”) maar het is natuurlijk een serieuze vraag.

Ja, een IP-adres is een persoonsgegeven. Meestal dan; een IP-adres identificeert een computer (ok, netwerkinterface) maar vaak is die computer door één persoon in gebruik, zodat het adres net zo persoonlijk wordt als een telefoonnummer. Het IP-adres van een server is natuurlijk geen persoonsgegeven.

Als je niet zeker weet of een IP-adres een persoon identificeert, maar je weet dat dit váák wel het geval zal zijn, dan kun je het beste op safe spelen als je privacytechnisch correct wilt zijn. Daarom (en omdat niet alleen de auteurswet last heeft van permanente expansie) wordt veelal aangeraden om IP-adressen altijd als persoonsgegeven te behandelen.

En dat betekent inderdaad dat je als hoofdregel alleen mag werken met een IP-adres als je toestemming hebt van de gebruiker daarvan.

Als hoofdregel, want er zijn wel degelijk uitzonderingen op die regel. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)

Loggen van IP-adressen en met name het hebben van blacklists met IP-adressen vallen natuurlijk niet onder die “uitvoeren van een overeenkomst” uitzondering. Maar er is er nog eentje: als jouw gebruik van persoonsgegevens absoluut noodzakelijk is voor een legitiem doel én toestemming vragen is zinloos én jouw belang weegt op tegen de privacy van de wederpartij, dan mag het ook zonder toestemming.

Dit zijn drie hoge eisen maar het lijkt me dat een blacklist van structureel irritante personen wel voldoet aan deze eis. Het weren van zulke types is een legitiem doel, dat móet eigenlijk wel op basis van IP-adres en toestemming vragen aan trollen is waanzin.

Wel vraag ik me af hoe je dan om moet gaan met dynamische IP-adressen. Het overkwam mij ook laatst dat ik ineens geband was op Wikipedia: de vorige UPC-klant met dat IP-adres had kennelijk nogal huisgehouden. Een goede site heeft een bezwaarprocedure voor blokkades die irrelevant zijn geworden vanwege verlopen IP-adressen. Alleen, hoe ga je dan weer om met trollen die drie dagen niks zeggen en dan roepen dat ze tegen de ban van hun voorganger zijn aangelopen?

Arnoud