Tag: Ip adres

About Ip adres

Subscribe Feeds

Wat mag er nu de cookiewet wordt versoepeld?

Geplaatst op in Privacy, 21 reacties

cookie-bril.jpgHet voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk op de privacy maken. Dus ook analytics, en tot mijn verrassing zélfs Google Analytics.

Al sinds de invoering heeft iedereen een hekel aan de cookiewet. Jammer ergens, want het was een goed idee, ze hadden alleen cookies uit moeten zonderen. Het principe is namelijk best sympathiek: geen data zetten op mijn apparatuur zonder mijn toestemming, en geen data uitlezen ook niet. Maar toen kreeg iemand het in zijn hoofd dat cookies ook ‘data’ zijn en toen zei iemand, dat is handig want cookies zijn privacyschendend en spyware en tracking en OMGWTFWBP daar moeten we wat mee. Vandaar.

Het idee was daarbij ook nog eens dat iedereen door de cookiewet zou denken “oei, toestemming vragen is moeilijk, laten we maar zonder tracking en zonder Analytics gaan werken”. Niet dus: dat werd de bekende domme oplossing van het de gebruiker vragen terwijl die geen idee heeft waar het over gaat. Binnen een mum van tijd stond het web vol met popups waar je een door een jurist opgestelde tekst (“Deze website wenst ‘cookies’ te plaatsen, conform artikel 11.7a Telecommunicatiewet is daarvoor specifieke, vrije en geïnformeerde toestemming nodig”) moest lezen en dan “ja” of “nee” kon kiezen. Hoewel vaker je alleen “ja” of je Back-button kon kiezen – de cookiemuur.

Na veel ophef, met name over cookiemuren bij de publieke omroep, is er dan toch gekozen voor een wettelijk compromis: je mag nu zonder toestemming cookies plaatsen die de privacy niet of slechts een klein beetje schenden én je dat doet voor het doel “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.” Analytics dus.

Ook die van Google? Nee, dacht ik altijd: Google is eng-Amerikaans en doet niet aan privacy, dus dat is meer dan “geringe gevolgen” voor de privacy. Bij dit wetsvoorstel is daar verder niet op ingegaan, maar recent publiceerde het Cbp een handreiking over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Je moet vier stappen nemen:

  1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  2. Blokkeer het meezenden van volledige IP-adressen (ga('set', 'anonymizeIp', true);) en forceer als je toch bezig bent even SSL (ga('set', 'forceSSL', true););
  3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Hiermee is je gebruik van Google Analytics zo privacyvriendelijk mogelijk, en onder de Wbp is het dan oké via de “eigen dringende noodzaak”-uitzondering. En kennelijk vinden we het in die situatie dan ook oké om te spreken van een “geringe inbreuk op de privacy”, zodat je je popup weg kunt laten als je daarmee werkt.

Ga je mensen over meerdere sites heen tracken dan blijft de cookiewet van kracht: dat valt buiten het doel “informatie over kwaliteit of effectiviteit” en bovendien is dat écht wel een meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adresgebonden informatie logt en analyseert.

Oh, en als je een instelling bent die op grond van de wet is opgericht dan mag je geen toestemming eisen voordat mensen op je site mogen. De Publieke Omroep werd hier een tijdje terug nog voor beboet, maar nu geldt het dus formeel voor álle openbare instellingen. Private bedrijven en organisaties mogen wel cookiemuren hanteren, omdat daar concurrentie voor bestaat.

Afijn. Ik ben benieuwd hoe dit in de praktijk gaat uitpakken.

Arnoud

“U krijgt geen logs van hackpogingen want dat is strijdig met de privacy”

Geplaatst op in Privacy, Security, 15 reacties

ip-adres-logfile-logbestandEen lezer vroeg me:

Mijn account bij AirBNB was gekaapt, en alleen met heel veel moeite heb ik de toegang terug kunnen krijgen. Nu wil ik achter de kaper aan, en daarvoor heb ik IP-adressen en tijdstippen van inlogpogingen nodig. AirBNB wil me die echter niet geven, omdat dit onder de privacywet niet zou mogen. Ik moet een gerechtelijk bevel halen, zeggen ze. Maar het gaat toch om mijn account?

Het voelt een beetje als een gemakzuchtig standaardantwoord, zo’n reutelzin over dat men de privacy serieus neemt en alleen met een gerechtelijk bevel IP-adressen afgeeft.

In het algemeen snap ik het, je gaat niet Jan en alleman IP-adressen geven omdat ze erom vragen. Maar specifiek bij deze situatie doet het wat gek aan: het betreft hier de accounteigenaar die wil weten wie zijn account heeft gebruikt. Dus wiens privacy wordt er dan beschermd?

Een inbreker kan bij het begaan van zijn activiteiten geen privacy verwachten, dus ligt het niet voor de hand om op die grond afgifte van IP-adressen te weigeren. Maar niet iedere login van een ander is automatisch van een inbreker. Een partner, assistent of werknemer kan ook ingelogd hebben, en dan wordt het ineens iets genuanceerder of de vrager de IP-adressen en logintijden mag hebben. Je zou dat (in theorie) kunnen gebruiken voor oneigenlijke doelen zoals die persoon lastigvallen. Maar toegegeven, dat voelt nogal theoretisch. (Hoewel? Wil je iemand opsporen, leg dan een telefoon met in zijn/haar auto en vraag een week later aan de provider waar die telefoon allemaal langs geweest is. Scheelt weer een dure GPS-doorbelverbinding.)

Wat vinden jullie? Mag de beheerder van een account altijd de IP-adressen et cetera van alle inlogs? Of zijn er situaties dat hij dat niet behoort/hoeft te weten?

Arnoud

Is het verboden om (via Tor of proxies) je IP-adres te verbergen?

Geplaatst op in Regulering, Security, 22 reacties

Een lezer vroeg me:

Met het anonieme netwerk TOR maar ook met allerhande proxies kun je je IP-adres verbergen. Nu hoorde ik laatst dat dat illegaal zou zijn omdat de politie je dan niet kan opsporen. Lijkt me sterk, maar is dat misschien toch zo?

Er is geen algemene regel in het recht die je verplicht opspoorbaar te zijn. In specifieke situaties soms wel: zo moet je als automobilist een nummerbord op je auto hebben zodat verkeersovertredingen op te sporen zijn naar de eigenaar van het voertuig.

Hoewel een IP-adres soort van dezelfde identificerende functie heeft als een nummerbord (en bij ICT vergelijkingen met auto’s wettelijk verplicht zijn), is er geen regel die je verplicht op internet je IP-adres zichtbaar te laten zijn. Het is dus legaal om met het Tor-netwerk te werken, een proxy te gebruiken of iets anders te doen waardoor je IP-adres niet zichtbaar is. Dat mensen dat wantrouwig kunnen bekijken of zelfs je kunnen weren omdat ze je IP-adres niet weten, is hun (ook weer legale) keuze.

Een risico bij zulke netwerken en diensten is dat wie ze aanbiedt, ineens aansprakelijk gesteld kan worden voor rare dingen via de proxy of Tor exit node. Of hij krijgt de politie aan de deur omdat het IP-adres van de proxy of exit node opdook bij een misdrijf. Strikt gesproken ben je niet aansprakelijk (straf noch civiel) als je enkel een doorgeefluik bent, maar praktisch gezien heb je dan best wel een probleem. En hoe dát op te lossen, daar ben ik nog niet uit.

Arnoud

Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

Geplaatst op in Security, 11 reacties

blog-ip-adres.pngVia een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?

De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.

Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).

De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)

Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.

Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.

(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)

Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?

Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?

Arnoud

Mag je met ‘lead forensics’ websitebezoekers opsporen en nabellen?

Geplaatst op in Privacy, 25 reacties

blog-ip-adres.pngEen lezer vroeg me:

Onlang werden wij benaderd door een bedrijf dat “Lead forensics” aanbood. Daarmee kon je heel gedetailleerd (met naam adres en telefoonnummer) zien welke bezoekers er op je site komen, zodat je concreet geïnteresseerden (leads) kon nabellen of mailen als ze direct wat bestelden. Klinkt interessant maar mag dat wel van de privacywet?

Ik had er nog nooit van gehoord, maar Lead Forensics is een dure naam voor het opzoeken van contactgegevens op basis van bezoekersgegevens. Men kan bv. aan een IP-adres zien dat de bezoeker van een bepaald bedrijf afkomstig is, als het bedrijf surft vanaf een IP-range waar de bedrijfsnaam aan gekoppeld is. Vervolgens is het een kwestie van bedrijfsgegevens opvragen bij bijvoorbeeld de Kamer van Koophandel of gewoon de WHOIS en dat tonen.

Uiteraard is een voorwaarde dat de klant afkomstig is van zo’n bedrijfs-IP-adres (Ruud, help, hoe schrijf je dat?). Bij mijn bedrijf is dat niet zo, wij hebben gewoon een generiek UPC IP-adres (upcipadres? argh!) maar bij grote clubs (bv. Philips of Shell) is dat wel zo. Dus daar kan deze technologie nuttige informatie opleveren.

Afijn, dan heb je zo’n IP-adres en dan zoek je de bedrijfsnaam erbij. Daarna gaat men spitten in de KVK of andere openbare bronnen om tot contactgegevens te komen, en dan kun je gaan bellen of mailen om een concreet geïnteresseerde te benaderen met een interessant voorstel. “Dag, ik zag u rondkijken op onze site, met name onze FAQ las u met interesse, en nu heb ik een whitepaper dat alles in één keer beantwoordt, mag ik dat toesturen”. Of zoiets. Ik zou er redelijk van opkijken als ik dat hoorde.

Of dit mag, betwijfel ik. Het combineren is één ding, mensen gaan bellen iets anders. Je mag in Nederland niet ongevraagd mensen commercieel bellen, in ieder geval niet zonder het Bel-me-niet register te raadplegen. Maar dat geldt alleen voor natuurlijke personen, niet voor bedrijven. (Hoewel ik me wel afvraag hoe ver je komt als je een philips.com IP-adres ziet en dan 0900-2021177 gaat bellen om de lead binnen te halen.)

Bedrijven máilen is een groter probleem. Zo’n leadmailtje heeft een duidelijk commercieel oogmerk, en dat stuur je ongevraagd naar een persoon of bedrijf. Dat mag niet van de spamwet (art. 11.7 Telecommunicatiewet) aangezien je geen specifieke toestemming hebt gekregen om dat te doen. Het bezoeken van je website* is niet genoeg om als specifieke toestemming voor reclamemailings te tellen.

(*Off-topic: reclamemailtoestemming is juridisch hetzelfde als cookietoestemming. Iedereen die dus pleit voor “mijn site bezoeken is toestemming voor cookies” pleit dus ook voor “iemands site bezoeken is toestemming voor reclame mailen als men dat in datgrijze balkje erbij zet”.)

Maar oké, als je het enkel gebruikt om te zien welke bedrijven langssurfen en je gaat niemand contacteren, dan is het denk ik legaal. Maar waarom zou je?

Arnoud

Hoe bewijs je van wie een bommelding afkomstig is?

Geplaatst op in Regulering, Security, 20 reacties

webmail-mail-email-valsBewijs leveren over wat er langs digitale weg is gebeurd, is niet eenvoudig. Het is heel simpel om tooltjes en webdiensten in te zetten zoals proxies, waardoor bijvoorbeeld een e-mail met een bommelding niet snel tot de dader te herleiden is. Met dit probleem zag ROC De Sumpel zich in juni vorig jaar geconfronteerd: men ontving e-mails met de melding dat het pand de volgende dag met twee bommen zou worden opgeblazen. Het IP-adres liep dood bij een online maildienst waar je zelf je afzenderadres mag invullen. Wat nu?

Uit het vonnis wordt helaas niet precies duidelijk hoe men bij de verdachte is uitgekomen die uiteindelijk voor de strafrechter mocht verschijnen. Het lijkt erop dat men is nagegaan wie de schoolwebsite heeft bezocht, en bij de hoster van de e-maildienst heeft nagevraagd of deze IP-adressen ook zijn gebruikt voor het versturen van de dreigmails. Dat voelt een tikje kort door de bocht, hoewel het wel een creatieve is want wie wil gaan dreigmailen, wil waarschijnlijk eerst even het e-mailadres van de school opzoeken.

Er bleek slechts één IP-adres te zijn dat op de bewuste datum de contactpagina van de school bezocht had. Vervolgens heeft het hostingbedrijf bevestigd dat dit IP-adres via de e-maildienst van hun klant is gebruikt, en dat IP-adres bleek aan een leerling van de school te koppelen. Genoeg reden om eens met deze heer te gaan praten, lijkt me.

Deze kwam echter met een verklaring: een kennis had met zijn toestemming met het programma ‘TeamViewer’ de besturing van zijn computer overgenomen en zo de e-mailberichten geschreven en verstuurd. Giecheltoets, anyone? Zeker omdat hij pas tijdens de zitting met die verklaring komt. Dat lijkt dan niet echt geloofwaardig meer. Nog afgezien van wie anderen laat teamviewen op zijn computer en toelaat dat die dan dreigmails gaat sturen.

Hoewel? Tijdens het verhoor kwam hij met het verhaal dat een kennis met “zijn VPN” de mails had verstuurd. Teamviewer is geen VPN maar beide verhalen wijzen erop dat hij iemand anders via zijn IP-adres een bericht liet sturen. Ook zie ik opmerkingen over TOR voorbij komen. Dus is dit nu een consequent verhaal waarbij de ICT-details vermangeld zijn in de juridische procedure, of verzon hij hier ter plekke smoesjes om een onbekende derde naar voren te kunnen schuiven?

De rechtbank is niet overtuigd: de verdachte krijgt 240 uur taakstraf plus drie maanden voorwaardelijke celstraf.

Arnoud

Wifi-tracking: winkels volgen je voetsporen

Geplaatst op in Innovatie, Privacy, 68 reacties

wifi-satelliet-draadloos-auto.pngSteeds meer Nederlandse winkels volgen klanten via unieke signalen uit hun smartphone, meldde Nu.nl gisteren. Dit op basis van een mooie longread bij Tweakers over het onderwerp: “Winkels die dat willen, kunnen precies zien waar je loopt en hoe lang je stilstaat. Het wordt mogelijk gemaakt door een technologie die sinds de afgelopen anderhalf à twee jaar aan populariteit wint: het tracken van telefoons.” Maar, eh, ja, mág dat dan?

Elke telefoon zendt signalen uit: in ieder geval gsm (om bereikbaar te blijven voor telefoontjes), meestal ook wifi (op zoek naar een netwerk, of communicerend daarmee) en ook Bluetooth hoewel dat niet vaak aanstaat. Met name wifi is interessant: wanneer een telefoon een wifi netwerk zoekt, stuurt hij onversleuteld zijn mac adres mee in de hoop dat een netwerk zegt “kom erbij, hier is een ip-adres”.

Het opvangen van die signalen is op zich niet verboden. Het opvangen van vrije signalen uit de ether is een grondrecht, deel van de informatievrijheid waar ook de vrijheid van meningsuiting onder valt (art. 10 EVRM). Je mag informatie en ideeën verzamelen en verspreiden. Ook in het strafrechtartikel dat aftappen van datacommunicatie verbiedt (art. 139c Strafrecht), staat dit als uitzondering genoemd.

Mac-adressen zijn persoonsgegevens. Ze zijn te herleiden tot een mobiele telefoon (in deze context) en mobieltjes hebben vrijwel altijd een 1-op-1 relatie tot een persoon, hun eigenaar. Alle gegevens die worden verkregen in combinatie met een mac-adres zijn dan ook persoonsgegevens, en deze gegevens mogen dan alleen worden verwerkt (binnengehaald, opgeslagen, aangepast, geanalyseerd of wat je maar wilt doen) binnen de context van de Wet bescherming persoonsgegevens.

Ik lees bij Retecool dat het mac-adres gehasht wordt, maar of dat de boel verandert? Ook het gehashte nummer is uniek voor de telefoon. En zodra een nummer uniek is voor een persoon, is het een persoonsgegeven.

Hoofdregel uit de Wbp is dat je toestemming nodig hebt van de telefooneigenaar. Dat gebeurt hier niet, en ik zou ook niet weten hoe je dat werkbaar kunt maken. Je kunt immers moeilijk een popup tonen op een telefoon wanneer je iemands mac-adres uit een bak wifi-signalen vangt.

Als exploitant van zo’n dienst* heb je dus maar één manier om dit privacytechnisch legaal te kletsen: de eigen dringende noodzaak. Wanneer toestemming vragen niet kan, de gegevens noodzakelijk zijn voor jouw belang én je de privacy van de betrokkenen maximaal beschermt, dan handel je legaal ook zonder toestemming.

*Let wel: dat is de wínkel die het apparaatje aanzet. Tenzij de apparaatjesleverancier zelf de gegevens verzamelt en exploiteert.

We weten uit de Google Streetview-zaak dat het sniffen van wifi netwerken en daar persoonsgegevens uit halen in principe mag, mits je maar een opt-out aanbiedt en duidelijk aankondigt dat je dit doet. Een winkel (de exploitant) moet dus een bordje ophangen en moet eigenlijk ook nog eens zorgen dat geen wifi signalen van buiten het pand worden opgevangen. En er moet een opt-out worden aangeboden, oftewel een plek waar je je mac-adres mag invullen zodat je niet meer gevolgd wordt.

Bij die Streetview-zaak herinner ik me veel opmerkingen in de trant van “je zendt je SSID toch al uit, wat is het probleem”. Hoewel het hier technisch-juridisch hetzelfde is volgens mij, krijg ik hier toch een heel ander gevoel bij. Zit hem dat in het gevolgd worden ipv een statisch access point? In dat een telefoon persoonlijker voelt dan een router? In dat je de Streetview-auto nooit ziet maar de Albert Heijn niet te vermijden is?

Arnoud

De strafbaarheid van het omzeilen van een IP-ban

Geplaatst op in Security, 10 reacties

bannedEen ander IP-adres aannemen of een proxy gebruiken om zo een IP-ban op een website te omzeilen is in de VS een strafbaar feit, meldde Ars Technica vorige week. In het eerste vonnis over deze vraag bepaalde de district court in Californië dat een gebande bezoeker dan “intentionally accesses a computer without authorization or exceeds authorized access” en dat is strafbaar als computervredebreuk naar Amerikaans recht. En hoe zit dat in Nederland?

Het bedrijf 3taps haalde periodiek met een scraper data op van de bekende advertentiesite Craigslist. Craigslist reageerde met een ip-ban en een schriftelijk toegangsverbod (cease and desist letter), waarop 3taps andere ip-adressen inzette en proxies gebruikte om zo toch bij de advertentiedata van Craigslist te kunnen. Daarop stapte Craigslist naar de rechter, en die bevestigt nu dat 3taps computervredebreuk had gepleegd. Hoewel Craigslist voor het publiek toegankelijk is, betekent dat niet dat Craigslist niemand mag weren van zijn site. Toestemming kan worden ingetrokken en dan moet je wegblijven. Kom je dan toch terug, dan is dat strafbaar.

In Nederland lijkt me dit niet veel anders te liggen. Ook hier geldt: je mag niet willens en wetens een geautomatiseerd werk gebruiken waarvan je weet dat je daar niet mag zijn – dat is de definitie van computervredebreuk. En toegegeven, dat is discutabel bij publieke URL’s en dergelijke situaties waarin er geen beveiliging omzeild gaat worden. Maar als iemand je specifiek per brief zegt “blijf wég van mijn site” en je IP-adressen blokkeert, dan lijkt het me toch niet zo gek dat we dan spreken van computervredebreuk. In de analogie met huis- en erfvredebreuk is een dergelijke brief óók genoeg. “Tegen de verklaarde wil van de eigenaar zich bevinden op”, heet dat dan.

Het lijkt me alleen vrij onwaarschijnlijk dat Justitie zal gaan vervolgen in zo’n situatie. Het voelt als iets dat je zelf ook prima kunt oplossen met een burgerlijke rechtszaak. Het begaan van een strafbaar feit is ook een onrechtmatige daad, dus je kunt dan een verbod met dwangsom bij de rechter gaan halen. En proxy’t meneer dan toch nog een keer terug, dan kun je de dwangsom incasseren. (Mits je kunt bewijzen dat hij het was, wat bij een proxy wat lastig is.)

Specifiek bij scrapers is schending van het databankrecht ook nog een route. Je kunt dan als site een dwangsom laten zetten op verder scrapen, en je krijgt natuurlijk je vollédige advocaatkosten vergoed. Dit werkt niet altijd: je moet wel een en natuurlijk beschermde databank hebben en schade lijden door de inbreuk.

Weet je niet wie het is, dan is dagvaarden lastiger. En hoewel je dan op een verstekzaak zou kunnen aansturen (die je automatisch wint, niet komen == verliezen immers) heb je dan nog geen mogelijkheid om dat af te dwingen. Dus wat moet je dan?

Arnoud

Geen uitspraak over IP-bevriesbevel, dat schiet niet op natuurlijk

Geplaatst op in Security, 20 reacties

Grmbl. Weet u nog, die zaak uit 2011 waarin IP-beheersclub RIPE een rechtszaak begon tegen het OM vanwege een IP-adresbevriesbevel? Het vonnis is er, maar wat een teleurstelling: géén inhoudelijke uitspraak of het mag maar een afwijzing op de formele grond dat RIPE “onvoldoende belang” heeft bij de ingestelde eis.

In 2011 werd RIPE bevolen een aantal IP-adressen te “bevriezen”, omdat deze gebruikt zouden worden bij een crimineel botnet. Klinkt nobel, alleen: waar staat in het wetboek dat de politie zo’n bevel mag geven? Een specifiek artikel dat hierover gaat, is er niet, dus de byte_fightende officier van Justitie gooide het op artikel 2 Politiewet. Dit artikel omschrijft in algemene bewoordingen de taak van de politie: zorgen voor de daadwerkelijke handhaving van de rechtsorde.

Ja, dat is heel generiek en het was dan ook terecht dat RIPE zich afvroeg of daarmee wel een rechtsgeldig bevel gegeven kan worden om IP-adressen te blokkeren. We hebben immers voor iets andere categorieën van data bevriezen hele specifieke regelingen (artikel 126ni Strafvordering en nog een paar). En zo’n specifieke regeling is belangrijk, omdat de politie (waar het gaat om grondrechten) alléén dingen mag bevelen met zo’n specifieke regeling. Dus hoezo kan het dan juist voor IP-adressen zonder regeling, gewoon met de kapstok van artikel 2?

De rechtbank wijst de eis af vanwege een formeel argument: je moet als eiser wel “voldoende belang” hebben bij je eis, een theoretisch interessante maar niet direct dringende kwestie is niet genoeg. RIPE had op zeker moment de bevriezing eraf gehaald, en hoewel de officier enige boze piepgeluiden had gemaakt, werd er niet daadwerkelijk vervolgd noch was daar een reële dreiging voor. Zonder zo’n dreiging kun je niet preventief naar de rechter rennen en vragen of deze wil verklaren of de officier je wel mág vervolgen. En omdat er dus geen reële, concrete aanleiding (meer) is dat de officier iets gaat doen dat hij misschien niet mag, wil de rechter niet nader ingaan op de vragen van RIPE.

Buitengewoon frustrerend dit. En nee, het betekent niet dat de officier dit soort bevelen dus wél mag geven (of dat het niet mag) maar alleen dat de rechtbank het een té theoretisch verhaal vindt. De volgende keer moet RIPE dus bij de eerste wapper met zo’n bevel de agent in kwestie de deur wijzen, hopen dat de officier dan concreet gaat dreigen met dwangmiddelen en dán snel opnieuw de procedure opstarten.

Arnoud

Mag IP-adressen loggen van de privacywet?

Geplaatst op in Security, 63 reacties

Zo, ik ben weer terug van vakantie. Leuk om te zien dat de gastblogs zo populair zijn 🙂 Tijdens mijn vakantie bleven de vragen binnenstromen. Ga zo door!

Een veel voorkomend onderwerp betrof het al dan niet mogen loggen of vastleggen voor allerlei doeleinden van IP-adressen. IP-adressen zijn immers persoonsgegevens, en die mag je toch niet zomaar verwerken zonder toestemming? Bij sommige vraagstellers bespeurde ik een trollerige achtergrond (“ik wil ze terugpakken want ze hebben me geband”) maar het is natuurlijk een serieuze vraag.

Ja, een IP-adres is een persoonsgegeven. Meestal dan; een IP-adres identificeert een computer (ok, netwerkinterface) maar vaak is die computer door één persoon in gebruik, zodat het adres net zo persoonlijk wordt als een telefoonnummer. Het IP-adres van een server is natuurlijk geen persoonsgegeven.

Als je niet zeker weet of een IP-adres een persoon identificeert, maar je weet dat dit váák wel het geval zal zijn, dan kun je het beste op safe spelen als je privacytechnisch correct wilt zijn. Daarom (en omdat niet alleen de auteurswet last heeft van permanente expansie) wordt veelal aangeraden om IP-adressen altijd als persoonsgegeven te behandelen.

En dat betekent inderdaad dat je als hoofdregel alleen mag werken met een IP-adres als je toestemming hebt van de gebruiker daarvan.

Als hoofdregel, want er zijn wel degelijk uitzonderingen op die regel. Zo is er de regel dat je geen toestemming nodig hebt als het gebruik nodig is voor het uitvoeren van een overeenkomst met die gebruiker. Wil men een IP-sessie met jou, dan is het vrij logisch dat je het IP-adres gebruikt om die sessie op te zetten en te onderhouden. Wil men ingelogd blijven, dan mag je het IP-adres opslaan in je database om na te gaan of het nog steeds dezelfde persoon is. (Of dat slim is, is wat anders; het mag.)

Loggen van IP-adressen en met name het hebben van blacklists met IP-adressen vallen natuurlijk niet onder die “uitvoeren van een overeenkomst” uitzondering. Maar er is er nog eentje: als jouw gebruik van persoonsgegevens absoluut noodzakelijk is voor een legitiem doel én toestemming vragen is zinloos én jouw belang weegt op tegen de privacy van de wederpartij, dan mag het ook zonder toestemming.

Dit zijn drie hoge eisen maar het lijkt me dat een blacklist van structureel irritante personen wel voldoet aan deze eis. Het weren van zulke types is een legitiem doel, dat móet eigenlijk wel op basis van IP-adres en toestemming vragen aan trollen is waanzin.

Wel vraag ik me af hoe je dan om moet gaan met dynamische IP-adressen. Het overkwam mij ook laatst dat ik ineens geband was op Wikipedia: de vorige UPC-klant met dat IP-adres had kennelijk nogal huisgehouden. Een goede site heeft een bezwaarprocedure voor blokkades die irrelevant zijn geworden vanwege verlopen IP-adressen. Alleen, hoe ga je dan weer om met trollen die drie dagen niks zeggen en dan roepen dat ze tegen de ban van hun voorganger zijn aangelopen?

Arnoud