“U krijgt geen logs van hackpogingen want dat is strijdig met de privacy”

ip-adres-logfile-logbestandEen lezer vroeg me:

Mijn account bij AirBNB was gekaapt, en alleen met heel veel moeite heb ik de toegang terug kunnen krijgen. Nu wil ik achter de kaper aan, en daarvoor heb ik IP-adressen en tijdstippen van inlogpogingen nodig. AirBNB wil me die echter niet geven, omdat dit onder de privacywet niet zou mogen. Ik moet een gerechtelijk bevel halen, zeggen ze. Maar het gaat toch om mijn account?

Het voelt een beetje als een gemakzuchtig standaardantwoord, zo’n reutelzin over dat men de privacy serieus neemt en alleen met een gerechtelijk bevel IP-adressen afgeeft.

In het algemeen snap ik het, je gaat niet Jan en alleman IP-adressen geven omdat ze erom vragen. Maar specifiek bij deze situatie doet het wat gek aan: het betreft hier de accounteigenaar die wil weten wie zijn account heeft gebruikt. Dus wiens privacy wordt er dan beschermd?

Een inbreker kan bij het begaan van zijn activiteiten geen privacy verwachten, dus ligt het niet voor de hand om op die grond afgifte van IP-adressen te weigeren. Maar niet iedere login van een ander is automatisch van een inbreker. Een partner, assistent of werknemer kan ook ingelogd hebben, en dan wordt het ineens iets genuanceerder of de vrager de IP-adressen en logintijden mag hebben. Je zou dat (in theorie) kunnen gebruiken voor oneigenlijke doelen zoals die persoon lastigvallen. Maar toegegeven, dat voelt nogal theoretisch. (Hoewel? Wil je iemand opsporen, leg dan een telefoon met in zijn/haar auto en vraag een week later aan de provider waar die telefoon allemaal langs geweest is. Scheelt weer een dure GPS-doorbelverbinding.)

Wat vinden jullie? Mag de beheerder van een account altijd de IP-adressen et cetera van alle inlogs? Of zijn er situaties dat hij dat niet behoort/hoeft te weten?

Arnoud