Tag: Ip adres

About Ip adres

Subscribe Feeds

Wat zegt een A-klasse IP-adres over stalking?

Geplaatst op in Ondernemingsvrijheid, Security, 20 reacties

class-a-ip-address.pngWat heeft een A-klasse IP-adres te maken met cyberstalking? Ik dacht dat IP-adresklassen waren afgeschaft, maar de term dook ineens op in een recent arrest waarbij de vraag was of vanaf een bepaald IP-adres mails waren verstuurd.

Het ging om een geval van cyberstalking, via sms en e-mail, waarbij op zeker moment werd gedreigd naaktfoto’s op internet te zetten van het slachtoffer. Ook werd het bedrijf van het slachtoffer negatief gerecenseerd op diverse sites en werd op Kinky een seksadvertentie (seksuele massages) gezet met haar telefoonnummer erbij. Maar het was niet alleen cyber: ook het raam van haar woning werd op zeker moment beklad met teksten.

De verdachte werd veroordeeld maar ging in hoger beroep, onder meer met de klacht dat de rechtbank ten onrechte had bepaald dat de berichten door de verdachte waren geplaatst, omdat alleen van het afzenderipadres was uitgegaan. En dat zou nog eens van Hotmailservers zijn geweest en niet de PC van de verdachte.

In het arrest reageert het Hof daar als volgt op:

De rechtbank is er terecht van uitgegaan dat het een feit van algemene bekendheid is dat IP-adressen unieke adressen zijn, die zijn te herleiden tot individuele computers of routers. Dat geldt ook als een IP-adres behoort tot de zogenaamde A-klasse (waarvoor slechts de eerste cijfers indicatief zijn) en (met name) als sprake is van een statisch IP-adres. Feitelijk onjuist is dus de bewering dat een statisch IP-adres dat tot de A-klasse behoort in zijn geheel slechts naar een mailserver of provider kan worden herleid.

Hoe dit nu precies op de klacht ingaat, begrijp ik niet. Sterker nog, ik begrijp niet goed wat A-klassen te maken hebben met de vraag of het IP-adres van de verdachte was, of beter gezegd of de verdachte achter de PC zat en de mails verstuurde. Misschien dat men hier wat details uit de exacte klacht wegliet. In ieder geval is het lastig dat het IP-adres is geanonimiseerd in het vonnis.

Wel juist is het volgende:

vormen de negatieve berichten waar [geïntimeerde] zich op beroept in onderling verband gelezen – en met name ook gelezen in het licht van de onbestreden mails die [appellant] in ieder geval zelf heeft gestuurd – naar het oordeel van het hof sterke aanwijzingen voor het gelijk van [geïntimeerde]. Elke redelijke twijfel daarover is in dit hoger beroep inmiddels weggenomen door de berichten die na het bestreden vonnis zijn verstuurd onder de naam [naam 4]. Zowel het taalgebruik als de inhoud van die berichten rechtvaardigt voorshands de conclusie dat deze van [appellant] afkomstig zijn.

De inhoud en aard van de berichten zijn natuurlijk ook prima bewijs dat het de verdachte moet zijn geweest die ze verstuurde. Natuurlijk, in theorie is er van alles denkbaar met überhackers die iemand te grazen willen nemen, maar dat is bepaald onwaarschijnlijk. En uiterst onwaarschijnlijke opties mag een rechtbank buiten beschouwing laten.

Iemand enig idee waar de verdachte heen zou hebben gewild met het klasse-A-argument?

Arnoud

Wat kun je met een IP-adres?

Geplaatst op in Security, 32 reacties

ip-adres.pngInternetters zijn lastig te identificeren. Namen en e-mailadressen zijn zo vervalst, en ook op andere gegevens kun je nauwelijks afgaan. Het IP-adres is zo ongeveer het enige gegeven dat niet (nou ja, moeilijk) te vervalsen is als je met iemand communiceert. Het opvragen van een IP-adres is dan ook vaak de eerste stap als je juridische maatregelen tegen iemand wilt nemen.

Maar hoe betrouwbaar is zo’n IP-gebaseerde identificatie nu eigenlijk? Voor die lastige technische vraag stonden de raadsheren van het Gerechtshof Den Bosch recent. In een fikse ruzie tussen twee partijen was aangifte gedaan van smaadschrift per e-mail, maar die aangifte was geseponeerd. De benadeelde partij stapte daarop naar het Gerechtshof, want je mag via de zogeheten artikel-12-procedure eisen dat men alsnog vervolging instelt.

De smaadmail was via het contactformulier van de website verstuurd, dus via de logs van de site was het IP-adres van de verzender snel achterhaald. En dat adres bleek op naam te staan van de partij tegen wie hij aangifte had gedaan. (Iedereen die nu over RIPE of IANA begint: ik vermoed dat daarmee wordt bedoeld dat bij een reverse DNS lookup de domeinnaam van de wederpartij boven kwam.) Als bewijs werd daarbij een logfile van websitebezoeken overlegd.

De wederpartij ontkende ten stelligste dat hij het formulier had ingevuld: hij had een open netwerk achter dat IP-adres draaien, waar ook zijn gezin, de buren en diverse vrienden zomaar op konden. Een open netwerk als bewijs van onschuld? Volgens het Hof wel, en niet alleen omdat de logfiles eerder ophielden dan het tijdstip waarop de mail was ontvangen.

Uit de beschikking:

[N]aar het oordeel van het hof onvoldoende wettig en overtuigend bewijs aanwezig dat beklaagde de bewuste e-mail heeft verstuurd, gelet op het aantal personen dat kennelijk toegang had tot zijn computer. Naar het oordeel van het hof mag niet verwacht worden dat verder onderzoek nader bewijs zal opleveren.

In technische zin is het wel terecht: meer dan “vanaf deze computer is het verstuurd” kan men niet concluderen uit een IP-adres. De lijn doortrekken naar een specifieke gebruiker zal verdere omstandigheden vereisen, zoals dat hij de enige is die het wachtwoord weet of dat de PC op een afgesloten kamer staat waarvan alleen hij de sleutel heeft. En die omstandigheden liggen hier nu juist niet.

Maar het voelt ergens wel onrechtvaardig: de smadelijke uiting is zodanig dat eigenlijk alleen de eigenaar van de PC deze gedaan zou kunnen hebben.

Arnoud

De wet op internet – update 2010

Geplaatst op in Iusmentis, 38 reacties

De wet op internetHet wordt tijd voor een update van mijn boek! Dat verscheen in 2008, en sindsdien is er een hoop gebeurd. Ik ben dan ook druk bezig met het updaten van alle hoofdstukken. Streefdatum is 1 september.

Hebben jullie suggesties voor nieuwe inhoud of relevante onderwerpen?

Ik ga in ieder geval al

  • de tekst voorzien van eindnoten met jurisprudentie of andere relevante bronnen

    • <li>genoemde rechtszaken updaten als er hoger beroep is geweest</li>

<li>mijn kronieken (<a href="https://blog.iusmentis.com/2007-kroniek-internetrecht/">2007</a>, <a href="https://blog.iusmentis.com/2008-kroniek-internetrecht/">2008</a> en <a href="https://blog.iusmentis.com/2009-kroniek-internetrecht/">2009</a>) als bijlage toevoegen</li>

<li>alle reeds gemelde taal- en spelfouten aanpassen (hoi Esther!)</li>

<li>een nieuw hoofdstuk toevoegen over de relatie tussen internetprovider en abonnee</li>

maar ik sta natuurlijk open voor alle input. Houd er wel rekening mee dat de doelgroep het algemene internettende publiek is en blijft, dus diepgravende juridische analyses zullen er niet in komen. Om diezelfde reden komen de noten aan het einde en niet onderaan elke pagina: dat verstoort de leesbaarheid.

Iedereen met nuttige suggesties (taal/spelfouten spotten mag ook) krijgt een gratis exemplaar. (Laat je postcode+huisnummer achter in het e-mailadresveld of mail me apart met een postadres.)

Arnoud

Opgelicht op Tweakers, mag ik zijn IP-adres?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 35 reacties

tweakers-vraag-aanbod.pngGisteren werd ik gewezen op een juridisch probleem bij Tweakers: een gebruiker meldde opgelicht te zijn na een aankoop op het Vraag&Aanbod-deel van de communitysite. Hij had betaald (weliswaar een zeer lage prijs, maar goed, het is tweedehands) maar de verkoper liet vervolgens niets meer van zich horen. En als je dan gaat zoeken en de naam van die verkoper op sites als Opgelicht.nl aantreft, dan ga je je toch zorgen maken. Maar wat kun je doen?

Op sites als Tweakers’ Vraag&Aanbod of Marktplaats.nl komt dit helaas vaker voor. Net als bij oplichting in een schimmig achterafsteegje is het vaak heel moeilijk om de oplichter te pakken te krijgen als die eenmaal er vandoor is met het geld. Maar het is hier misschien iets makkelijker, want er is één ding dat die oplichter altijd achterlaat: zijn IP-adres. En aan de hand daarvan zijn in principe zijn NAW-gegevens te achterhalen bij de provider. En daarmee kun je dan weer een civiele procedure starten om je geld terug te krijgen – of aangifte doen, al is mijn ervaring dat dat laatste weinig uithaalt tenzij iemand echt grootschalig bezig is.

Punt is natuurlijk wel dat een Tweakers (of Marktplaats, of Ebay, of…) niet zomaar IP-adressen van gebruikers mag afgeven. Die adressen zijn persoonsgegevens en de site heeft dan een wettelijke plicht om deze geheim te houden. Afgifte aan derden mag in principe alleen als daar een wettelijke basis voor is. Het verbaast dan ook niet dat Tweakers hier streng in is in haar algemene voorwaarden:

Tweakers.net zal geen andere gegevens verstrekken aan partij(en) dan de gegevens die in de advertentie zijn gebruikt, uitgezonderd in gevallen zoals bedoeld in artikel 8. Om die reden is een feedbacksysteem ingevoerd dat door de gebruiker zelf wordt geïnitieerd en dat helpt te bepalen met wie u zaken doet.

Toch zal dit Tweakers niet in alle gevallen helpen. Het kan namelijk soms verplicht zijn om IP-adressen af te geven aan een derde, ook aan een private partij. Dat blijkt immers uit het arrest Lycos/Pessers, waarbij Pessers wilde weten wie smadelijke zaken over hem op een Lycos-website had gezet. Uit die zaak blijkt dat er vier eisen zijn om als gedupeerde persoonsgegevens op te mogen eisen:

  1. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
  2. de gedupeerde heeft een reëel belang bij de verkrijging van de persoonsgegevens;
  3. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de persoonsgegevens te achterhalen;
  4. afweging van de betrokken belangen van de gedupeerde, de tussenpersoon en de betrokken gebruiker (voor zover kenbaar) brengt mee dat het belang van de gedupeerde behoort te prevaleren.

Het is dus geen uitgemaakte zaak dat je een IP-adres kunt opeisen, maar ook geen vanzelfsprekendheid dat het nooit hoeft.

In oktober vorig jaar werd deze eis geherformuleerd in een rechtszaak tegen Gmail:

  1. Het moet voldoende aannemelijk zijn dat sprake is van onrechtmatig handelen van de desbetreffende gebruiker.
  2. Het dient buiten redelijke twijfel te zijn dat degene van wie de gevraagde persoonlijke gegevens ter beschikking dienen te worden gesteld ook daadwerkelijk degene is die zich aan dit handelen schuldig zou hebben gemaakt.

Een groot struikelblok is meteen al de eerste eis. Die is geschreven voor situaties waarin een publicatie op internet zelf onrechtmatig is: een smadelijke website, of een illegaal geüpload muziek- of filmwerk bijvoorbeeld. Dat is nog wel enigszins objectief te beoordelen, hoewel bij smaad lang niet altijd. Maar hier is niet zozeer de advertentie onrechtmatig, maar de afhandeling ervan. En dat is een heel stuk lastiger na te gaan voor Tweakers: wie spreekt er de waarheid? Is deze klagende persoon werkelijk gedupeerd of wil hij om andere redenen dat IP-adres te pakken krijgen?

Ik zou zeggen dat één klacht over een advertentie onvoldoende is. Als Tweakers echter vele klachten van verschillende gedupeerden ontvangt, en die allemaal legitiem overkomen, dan zou zij wel gehouden kunnen zijn het IP-adres af te geven. Maar dan zou ik op zijn minst een stapeltje aangiften willen zien als Tweakers zijnde.

Arnoud

VisitorVille toont bezoekers websites in game-layout

Geplaatst op in Ondernemingsvrijheid, Privacy, nog geen reacties

Dit is wel een hele mooie manier om te laten zien dat IP-adressen persoonsgegevens zijn: een visualisatie in Simcity-stijl van de logfile van je website. Door VisitorVille.

Via Digitaal Inlichtingenwerk Zeeuwse Bibliotheek, dat nog uitlegt:

Er verschijnt een voorstelling van een stad als in Sim City, waarbij de gebouwen alle afzonderlijke pagina’s vertegenwoordigen, de rondrijdende bussen de zoekmachines en alle avatars de bezoekers van dat moment.

De Google-bus is wel een hele grote dan.

Arnoud

Publiceren IP-adres van gebruikers forum

Geplaatst op in Ondernemingsvrijheid, Privacy, 10 reacties

Nog maar eens een lezersvraag:

Bij een forum waar ik regelmatig post, wordt het IP-adres van elk bericht bij dat bericht getoond. Nou snap ik dat ze IP-adressen bijhouden in verband met mogelijk misbruik, maar mogen ze het adres zo aan iedere andere bezoeker laten zien?

Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Daarom is een IP-adres een persoonsgegeven.

Forumbeheerders houden wel vaker bij elk bericht bij vanaf welk IP-adres het geplaatst is, en natuurlijk ook wanneer. Dat is volgens de Wet Bescherming Persoonsgegevens een verwerking van persoonsgegevens. En verwerking mag alleen als je dit vooraf aanmeldt bij het College Bescherming Persoonsgegevens.

Specifiek voor dit soort verwerkingen is er een vrijstelling: de controle op en het beveiligen van de computersystemen of computerprogramma’s, en ook verwerking voor het beheer van de systemen of programma’s” hoeft niet te worden aangemeld. Forums hoeven hun logfiles dus niet aan te melden bij het CBP.

Publicatie van het IP-adres is ook een verwerking. Die mag alleen als “de betrokkene zijn ondubbelzinnige toestemming heeft verleend voor de gegevensverwerking”. Het zal dus expliciet in het reglement moeten staan, en liefst ook nog een keertje apart bij het formulier waar je je reactie kunt typen.

Waar heel veel forums (en Wikipedia trouwens ook) de fout in gaan, is dat de wet eist dat je de gegevens na zes maanden verwijdert. Ik ken geen forum waar IP-adressen na zes maanden onzichtbaar worden.

Arnoud