“U krijgt geen logs van hackpogingen want dat is strijdig met de privacy”

| AE 7171 | Privacy, Security | 15 reacties

ip-adres-logfile-logbestandEen lezer vroeg me:

Mijn account bij AirBNB was gekaapt, en alleen met heel veel moeite heb ik de toegang terug kunnen krijgen. Nu wil ik achter de kaper aan, en daarvoor heb ik IP-adressen en tijdstippen van inlogpogingen nodig. AirBNB wil me die echter niet geven, omdat dit onder de privacywet niet zou mogen. Ik moet een gerechtelijk bevel halen, zeggen ze. Maar het gaat toch om mijn account?

Het voelt een beetje als een gemakzuchtig standaardantwoord, zo’n reutelzin over dat men de privacy serieus neemt en alleen met een gerechtelijk bevel IP-adressen afgeeft.

In het algemeen snap ik het, je gaat niet Jan en alleman IP-adressen geven omdat ze erom vragen. Maar specifiek bij deze situatie doet het wat gek aan: het betreft hier de accounteigenaar die wil weten wie zijn account heeft gebruikt. Dus wiens privacy wordt er dan beschermd?

Een inbreker kan bij het begaan van zijn activiteiten geen privacy verwachten, dus ligt het niet voor de hand om op die grond afgifte van IP-adressen te weigeren. Maar niet iedere login van een ander is automatisch van een inbreker. Een partner, assistent of werknemer kan ook ingelogd hebben, en dan wordt het ineens iets genuanceerder of de vrager de IP-adressen en logintijden mag hebben. Je zou dat (in theorie) kunnen gebruiken voor oneigenlijke doelen zoals die persoon lastigvallen. Maar toegegeven, dat voelt nogal theoretisch. (Hoewel? Wil je iemand opsporen, leg dan een telefoon met in zijn/haar auto en vraag een week later aan de provider waar die telefoon allemaal langs geweest is. Scheelt weer een dure GPS-doorbelverbinding.)

Wat vinden jullie? Mag de beheerder van een account altijd de IP-adressen et cetera van alle inlogs? Of zijn er situaties dat hij dat niet behoort/hoeft te weten?

Arnoud

Is het verboden om (via Tor of proxies) je IP-adres te verbergen?

| AE 7165 | Regulering, Security | 22 reacties

Een lezer vroeg me:

Met het anonieme netwerk TOR maar ook met allerhande proxies kun je je IP-adres verbergen. Nu hoorde ik laatst dat dat illegaal zou zijn omdat de politie je dan niet kan opsporen. Lijkt me sterk, maar is dat misschien toch zo?

Er is geen algemene regel in het recht die je verplicht opspoorbaar te zijn. In specifieke situaties soms wel: zo moet je als automobilist een nummerbord op je auto hebben zodat verkeersovertredingen op te sporen zijn naar de eigenaar van het voertuig.

Hoewel een IP-adres soort van dezelfde identificerende functie heeft als een nummerbord (en bij ICT vergelijkingen met auto’s wettelijk verplicht zijn), is er geen regel die je verplicht op internet je IP-adres zichtbaar te laten zijn. Het is dus legaal om met het Tor-netwerk te werken, een proxy te gebruiken of iets anders te doen waardoor je IP-adres niet zichtbaar is. Dat mensen dat wantrouwig kunnen bekijken of zelfs je kunnen weren omdat ze je IP-adres niet weten, is hun (ook weer legale) keuze.

Een risico bij zulke netwerken en diensten is dat wie ze aanbiedt, ineens aansprakelijk gesteld kan worden voor rare dingen via de proxy of Tor exit node. Of hij krijgt de politie aan de deur omdat het IP-adres van de proxy of exit node opdook bij een misdrijf. Strikt gesproken ben je niet aansprakelijk (straf noch civiel) als je enkel een doorgeefluik bent, maar praktisch gezien heb je dan best wel een probleem. En hoe dát op te lossen, daar ben ik nog niet uit.

Arnoud

Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

| AE 7117 | Security | 11 reacties

blog-ip-adres.pngVia een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?

De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.

Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).

De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)

Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.

Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.

(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)

Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?

Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?

Arnoud

Mag je met ‘lead forensics’ websitebezoekers opsporen en nabellen?

| AE 7039 | Privacy | 24 reacties

Een lezer vroeg me: Onlang werden wij benaderd door een bedrijf dat “Lead forensics” aanbood. Daarmee kon je heel gedetailleerd (met naam adres en telefoonnummer) zien welke bezoekers er op je site komen, zodat je concreet geïnteresseerden (leads) kon nabellen of mailen als ze direct wat bestelden. Klinkt interessant maar mag dat wel van de… Lees verder

Wifi-tracking: winkels volgen je voetsporen

| AE 6325 | Innovatie, Privacy | 67 reacties

Steeds meer Nederlandse winkels volgen klanten via unieke signalen uit hun smartphone, meldde Nu.nl gisteren. Dit op basis van een mooie longread bij Tweakers over het onderwerp: “Winkels die dat willen, kunnen precies zien waar je loopt en hoe lang je stilstaat. Het wordt mogelijk gemaakt door een technologie die sinds de afgelopen anderhalf à… Lees verder

De strafbaarheid van het omzeilen van een IP-ban

| AE 5871 | Security | 10 reacties

Een ander IP-adres aannemen of een proxy gebruiken om zo een IP-ban op een website te omzeilen is in de VS een strafbaar feit, meldde Ars Technica vorige week. In het eerste vonnis over deze vraag bepaalde de district court in Californië dat een gebande bezoeker dan “intentionally accesses a computer without authorization or exceeds… Lees verder

Geen uitspraak over IP-bevriesbevel, dat schiet niet op natuurlijk

| AE 5121 | Security | 20 reacties

Grmbl. Weet u nog, die zaak uit 2011 waarin IP-beheersclub RIPE een rechtszaak begon tegen het OM vanwege een IP-adresbevriesbevel? Het vonnis is er, maar wat een teleurstelling: géén inhoudelijke uitspraak of het mag maar een afwijzing op de formele grond dat RIPE “onvoldoende belang” heeft bij de ingestelde eis. In 2011 werd RIPE bevolen… Lees verder

Mag IP-adressen loggen van de privacywet?

| AE 4478 | Security | 63 reacties

Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 🙂 Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door! Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch… Lees verder

Wat zegt een A-klasse IP-adres over stalking?

| AE 2825 | Ondernemingsvrijheid, Security | 20 reacties

Wat heeft een A-klasse IP-adres te maken met cyberstalking? Ik dacht dat IP-adresklassen waren afgeschaft, maar de term dook ineens op in een recent arrest waarbij de vraag was of vanaf een bepaald IP-adres mails waren verstuurd. Het ging om een geval van cyberstalking, via sms en e-mail, waarbij op zeker moment werd gedreigd naaktfoto’s… Lees verder