Duitse rechtbank: ip-adres is geen persoonsgegeven

Medewerkers bij ISP's die namen van hun klanten vrijgeven zijn uitermate laakbaar bezig. Ze schenden daarmee privacy regels en daar kunnen flinke straffen op staan, ik denk zelfs dat het als een misdrijf gezien kan worden.

Als dit inderdaad zaak is, dan denk ik dat een stuk heropvoeding en bewustwording van de consequenties van dergelijke acties bij de werknemers van deze ISP's wel eens aan de orde kan zijn.

Wat is er zo bijzonder aan die uitspraak dat Skype met zijn telefoon de GPL heeft geschonden? Het was gewoon een onomstotelijk feit dat ze zich niet aan die licentie hebben gehouden.

Nu was die rechtzaak welliswaar een hoop muggenzifterij, maar daar was Skype c.q. SMC zelf debet aan, door de boel te frustreren.

Twee puntjes.

1: er zijn mensen die van hun provider een vast IP adres krijgen, dat komt al heel dicht bij een ID met een beetje loggen.
2: de hackers zijn normaal gesproken de goeden, je bedoelt waarschijnlijk de crackers en spammers met hun botjes die van IP naar IP hoppen in hun botnet of andere omtrekkende bewegingen.

Hackers (de slechte) zijn zeer goed in het spoofen van een ip-adres. Of ze nemen een server elders over, en werken vandaaruit. Je maakt het lastiger voor de kleine crimineel, maar de grote jongens laten zich hierdoor niet tegenhouden.

Net zoals fysieke winkels onderzoek doen naar het gedrag van mensen (welke schappen met welke producten in welke mate de interesse van klanten hebben), en dat zonder de identiteit van klanten noodzakelijkerwijs te hoeven weten, moet een website dat ook kunnen.

En als een winkel weer eens met een vasteklanten-kaart op de proppen komt kan ik nog altijd NEEEEE zeggen. Het is immers je privacy verkopen in ruil voor een aantal (schijn)aanbiedingen (kijk eens hoeveel de AH-bonus kaart tegenwoordig nog oplevert, of de airmiles).

Nee Wouter, had jij in het verleden niet erg veel vriendschappelijke contacten met BREIN? Ook een groepje die erg graag aan de NAW gegevens wil komen. Is dat de werkelijke reden van je bovenstaande reactie?

Ik ben het helemaal met deze rechter eens. Op de een of andere manier loggen eigenlijk alle websites IP-adressen, maar dat wil nog niet zeggen dat ze daarmee de identiteit van mensen vastleggen. Je kunt immers geen bericht sturen aan een IP-adres dat uit een database met IP-adressen komt.

<knip>

IP-adressen zijn verder een belangrijk gegeven bij het omgaan met bezoekers met kwaadaardige bedoelingen. Als je die niet zou mogen loggen hebben hackers gewoon vrij spel.

Dus IP-adressen zeggen niets over de identiteit van mensen, maar je kunt er wel hackers mee opsporen? Een IP-adres is per definitie een identificatiemiddel. Een beetje raar om net te doen alsof dat niet zo is.

Als je die niet zou mogen loggen hebben hackers gewoon vrij spel.

Als iets een persoonsgegeven is, wil dat nog niet zeggen dat je er niets mee mag doen. De discussie over wat je ermee mag doen, volgt na de vaststelling dat iets een persoonsgegeven is.

Ik vind het vergelijkbaar met dat als je iemand op straat ziet, je die persoon aan bepaalde kenmerken kunt herkennen. Met behulp van die kenmerken (kleding, haarkleur, waar die persoon zich precies op straat bevindt, etc.) is het misschien wel mogelijk die persoon te identificeren, maar daar moet je toch echt moeite voor doen. De identiteit, in de zin van persoonsgegevens van een willekeurige persoon op straat wordt niet bepaald door die kenmerken.

Het is je goed recht om dat te vinden. Het is alleen geen wet. En daar gaat het hier toch om?

Het is mij eens uitgelegd, dat het aspect "herleidbaar tot de persoon" ook betekende dat je in Duitsland daarom van voren geflitst wordt, en de foto je snufferd toont. Bij hen is het kenteken van je auto niet voldoende voor een verkeersboete.

minstens 10 reaguurders zijn die binnen 5 minuten mijn identiteit kunnen achterhalen
complete onzin

Google moet mij nog es uitleggen waarom ze een IP adres nodig hebben om hun service zogenaamd te verbeteren. Wie controleerd Google dat ze na 9 mnd hun gegevens dumpen?....is niet te controleren want het bewaren van persoonsgegevens is voor Google een miljarden business.

http://www.groene.nl/2007/25/De_totalitaire_ambities_van_Google

doc over Google. Hierin krijg je een heel ander beeld van Google en hoe ze met privacy omgaan.

Duitsland en privacy afschaffen......

Waarom klinkt mij dit bekend in de oren? ;)

Ik vind dat je uitbaters websites niet kunt verbieden om data te loggen, in de vorm van IP nummers. Ik vind echter ook dat je ze niet kunt verplichten dit te doen. De logs waarin IP nummers staan opgenomen zijn vaak van groot belang voor de uitbaters van sites, ondermeer voor statistieken, maar ook het bestrijden van misbruik.

Als gebruiker van het Internet dien je te weten wat voor sporen je achterlaat bij het gebruik van jouw verbinding. Als je daar een probleem mee hebt, zijn er twee mogelijkheden:
- Maak geen gebruik van die resources als je er iets op tegen hebt
- Gebruik een methode om je verbinding zo veel mogelijk te anonymiseren, ondanks allerlij akelige wetgevingen die in de maak zijn, is dit nog steeds volkomen legaal.

Verder vind ik, dat een provider niet het recht heeft om mijn persoonlijke gegevens aan derden te geven, zonder dat hier een rechter aan te pas is gekomen. Wel heeft een provider het recht en misschien zelfs wel de plicht om bepaalde berichten m.b.t. misbruik bijvoorbeeld door te spelen naar de gebruiker. Je privacy zou dus niet in het geding mogen komen en heb je in dit geval zelf in de hand.

In dit geval geef ik de rechter dus gelijk.

En RBLs dan? Logs? Firewall rulesets?

Het is lastig omdat een IP adres een standaard is. Een klant, een server, 10 jarige kleindochter van tante Truus, de 90-jarige man van tante Truus, de AIVD, een crimineel, een koningin; ze hebben allen een uniek IP adres. Dat kun je van localhost niet zeggen, al waant hij zich wel uniek. Punt is, met een paar simpele tools of commandos kun je de eigenaar van een IP adres wel achterhalen.

$ host -t ptr a.b.c.d
$ whois blah.aha

Klaar. Vervolgens heb je de eigenaar van het domein. Dat is dus al redelijk publieke informatie. Maar bij een gemiddelde ISP is dat niet zo. Daar heb je blahblah.isp.nl dus val je onder hun domein. Een IP adres is dan 1 van de elementen die je kan helpen de persoon achter die verbinding te achterhalen, maar niet met weinig moeite; behalve voor de polizei of BKA.

Toen had je nog geen DHCP-servers ;-)

Dat is dan ook precies waar de schoen wringt. De definitie van een persoonsgegeven volgens de rechtbank staat lijnrecht tegenover de definitie volgens de Europese privacytoezichthouders (artikel 29-werkgroep).

Volgens Europese privacytoezichthouders:
"whereas to determine whether a person is identifiable account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person."

Dus iets is een persoonsgegeven als de identiteit van de persoon waartoe de gegevens behoren, achterhaald kan worden als je rekening houdt met alle mogelijke middelen die redelijkerwijs gebruikt kunnen worden door een willekeurig iemand (bijv. hacker, agent, miljonair, president).

Zie: CBP - Verdere harmonisering definitie persoonsgegevens

De artikel 29-werkgroep is niet over een nacht ijs gegaan. Ze hebben de wettekst, hoe deze tot stand is gekomen en wat het beoogde doel was ten tijde dat de wettekst geschreven is, goed bestudeerd. Ik vraag me af of de rechter ook zo grondig te werk is gegaan.