Statistieken website openbaar? - Internet en hosting

maandag 27 april 2009 16:24

Acties:

0 Henk 'm!

Topicstarter

Mijn websites zijn voor een deel gehost bij een bedrijf dat met awstats werkt. Deze statistieken zijn openbaar; in principe kan elke internetgebruiker de gegevens opvragen.

Nu vraag ik me af of dit normaal is (veel voorkomt) en wat de wettelijke implicaties ervan zijn. Immers, een IP-adres kan bijvoorbeeld via de registratie van je e-mailadres op een (andere) website gekoppeld worden aan je e-mailadres en misschien aan je naam/persoon.

Ik vermoed dat dit een grote (maar verborgen) markt is: het matchen van e-mailadressen aan IP-adressen, en daarmee weer met personen. Via profielsites en dergelijke kan extra informatie opgezocht worden. Het is niet onmogelijk dat er al bedrijven zijn met een vrijwel compleet overzicht van wie welke internetverbinding (IP-adres) heeft. Dit is een aanslag op de privacy, maar ook een potentieel gevaar.

Onlangs maakte een kennis van me het volgende mee: hij bezocht een site over een bepaald merk A3-kleurenprinters; korte tijd later werd hij gebeld door een bedrijf dat deze apparaten aanbiedt. Hij had zich niet geregistreerd op de site. Toeval? Denk het niet. (Omwille van privacyredenen zal ik het merk niet noemen...;))

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

maandag 27 april 2009 16:26

Acties:

0 Henk 'm!

Anoniem: 204528

pinockio schreef op maandag 27 april 2009 @ 16:24:
Onlangs maakte een kennis van me het volgende mee: hij bezocht een site over een bepaald merk A3-kleurenprinters; korte tijd later werd hij gebeld door een bedrijf dat deze apparaten aanbiedt. Hij had zich niet geregistreerd op de site. Toeval? Denk het niet. (Omwille van privacyredenen zal ik het merk niet noemen...;))

Dit vind ik dan weer een erg dubieuze uitspraak van je, waarschijnlijk bedoelt om je 'waarschuwing' kracht bij te zetten maar op geen enkele wijze te simuleren

maandag 27 april 2009 16:27

Acties:

0 Henk 'm!

Coach4All

I'm a Coach 4 All

pinockio schreef op maandag 27 april 2009 @ 16:24:
Mijn websites zijn voor een deel gehost bij een bedrijf dat met awstats werkt. Deze statistieken zijn openbaar; in principe kan elke internetgebruiker de gegevens opvragen.

Wellicht vragen of je hoster wat beter zijn huiswerk wil doen, normaliter heb je een account nodit om dit te kunnen bekijken. (bij de meeste hosters hetzelfde als je FTP account.)

--- Systeembeheerdersdag --- Voedselintolerantie ---

maandag 27 april 2009 16:35

Acties:

0 Henk 'm!

Johnny

ondergewaardeerde internetguru

Het komt inderdaad veel voor dat websites onbedoeld hun statistieken openbaar maken. Wettelijk gezien mag dat gewoon, zolang er geen persoonsgegevens in staan. Dat is meestal niet zo tenzij de website dusdanig brak is dat die uit de opgevraagde URL's zijn te halen of de statistieken linken naar pagina's die eigenlijk afgeschermd horen te zijn.

Het openbaar maken of delen van persoonsgegevens mag ook gewoon zolang de persoon in kwestie maar vooraf een redelijke kans heeft om daar kennis van te nemen en er vanaf te zien.

Het koppelen van emailadressen aan IP-adressen via openbare statistieken zal misschien wel mogelijk zijn, maar dusdanig complex en onbetrouwbaar dat ik niet denk dat het op grote schaal wordt toegepast, alleen misschien als je een stalker, hacker of internetdetective bent die een bepaald individu onderzoekt. Voor reclamedoeleinden zijn er makkelijkere manieren. Het verhaal over de printers lijkt me ook onwaarschijnlijk, misschien is het geen toeval, maar om nu meteen een bepaalde conclusie er aan te verbinden gaat een beetje ver.

Het beste is om je awstats directory te beveiligen met een wachtwoord, een functionaliteit die vrijwel alle hostingproviders wel standaard aanbieden.

Aan de inhoud van de bovenstaande tekst kunnen geen rechten worden ontleend, tenzij dit expliciet in dit bericht is verwoord.

maandag 27 april 2009 17:26

Acties:

0 Henk 'm!

Anoniem: 55170

Johnny schreef op maandag 27 april 2009 @ 16:35:
Het komt inderdaad veel voor dat websites onbedoeld hun statistieken openbaar maken. Wettelijk gezien mag dat gewoon, zolang er geen persoonsgegevens in staan.

En daar gaat het dan fout, omdat zowel de Europese Privacy waakhond als het NL CBP van mening zijn dat een ip-adres een persoonsgegeven is (edit: want volgens mij toont AWstats altijd de ips).

Het openbaar maken of delen van persoonsgegevens mag ook gewoon zolang de persoon in kwestie maar vooraf een redelijke kans heeft om daar kennis van te nemen en er vanaf te zien.

Die quote is niet juist.
Voor het verzamelen van persoonsgegevens is voorafgaand [de] uitdrukkelijke toestemming van de personen nodig. Met "redelijke kans" kom je er dus niet.
Voor wat betreft de publicatie van de gegevens en de verwerking.
Ook hiervoor gat de "redelijke kans" niet op (als je dat al bedoeld zou hebben) En er zijn gegevens die je helemaal niet mag opslaan. Denk hierbij aan wat heet de bijzondere persoonsgegevens. Dat zijn gegevens aan de hand waarvan je een beeld krijgt van iemands geaardheid, kerkelijke of politieke voorkeur dan wel lichamelijke / geestelijke conditie.

Het beste is om je awstats directory te beveiligen met een wachtwoord, een functionaliteit die vrijwel alle hostingproviders wel standaard aanbieden.

Daar ben ik het dan wel weer volkomen mee eens.

Het CBP heeft trouwens in 2007/2008 een brochure gepubliceerd over dit onderwerp
"Publicatie van persoonsgegevens op internet".
OK het is geen stripverhaal, maar desondanks meer dan de moeite van het lezen waard als je met dit soort vragen geconfronteerd wordt.

maandag 27 april 2009 17:41

Acties:

0 Henk 'm!

GiantLeap

One GiantLeap for mankind

Inhakend op het verhaal over je kennis:

Om ook nog iets te noemen wat ik opzich ook raar vind, en inbreuk op de privacy maakt: Soms heb je van die sites waar je voor moet betalen. Je hebt het betalscherm open staan op je PC met de instructie dit en dit nummer te bellen, je belt het nummer en vervolgens als je ophangt verspringt het scherm en wordt er op je scherm gemeld dat je betaling is ontvangen. Betekent dat dan dat het bedrijf toch mijn IP en telefoonnummer hebben weten te matchen? Hoe zit dit?

[ Voor 4% gewijzigd door GiantLeap op 27-04-2009 17:42 ]

Mario Kart Tour: 211982902522
Rockstar Games Social Club (PC): GiantLeap

RC spul:
Traxxas Nitro Rustler
Hubsan X4 H107D
DJI Phantom 2 Vision+

maandag 27 april 2009 20:42

Acties:

0 Henk 'm!

Johnny

ondergewaardeerde internetguru

Anoniem: 55170 schreef op maandag 27 april 2009 @ 17:26:
[...]

En daar gaat het dan fout, omdat zowel de Europese Privacy waakhond als het NL CBP van mening zijn dat een ip-adres een persoonsgegeven is (edit: want volgens mij toont AWstats altijd de ips).

AWStats toont bij mij alleen IP-adressen van internetproviders, niet van personen. Er is ook een heel subtiel verschil, een IP-adres op zich is geen persoonsgegeven, net zoals een huisadres of postcode dat niet is, pas als je ze gaat koppelen met een persoon is het een persoonsgegeven.

Die quote is niet juist.
Voor het verzamelen van persoonsgegevens is voorafgaand [de] uitdrukkelijke toestemming van de personen nodig. Met "redelijke kans" kom je er dus niet.
Voor wat betreft de publicatie van de gegevens en de verwerking.
Ook hiervoor gat de "redelijke kans" niet op (als je dat al bedoeld zou hebben) En er zijn gegevens die je helemaal niet mag opslaan. Denk hierbij aan wat heet de bijzondere persoonsgegevens. Dat zijn gegevens aan de hand waarvan je een beeld krijgt van iemands geaardheid, kerkelijke of politieke voorkeur dan wel lichamelijke / geestelijke conditie.

Mijn term "redelijke kans" is misschien een beetje slecht gekozen, maar daarmee doelde ik op het daadwerkelelijk lezen van pivacyverklaring, niet het geven van toestemming voor het gebruik van persoonsgegevens. Daarbij wordt vaak naar de privacyverklaring verwezen, maar in de praktijk kijken mensen daar vaak niet eens voordat ze doorgaan, maar men krijgt wel de mogelijkheid.

Aan de inhoud van de bovenstaande tekst kunnen geen rechten worden ontleend, tenzij dit expliciet in dit bericht is verwoord.

maandag 27 april 2009 21:01

Acties:

0 Henk 'm!

robdejongNL

Bite me

Indien het om DirectAdmin controlpanel gaat kun je een vinkje aan of uit zetten bij "Set selected domains to be publicly viewable from "
Dit kan onder "Site Summary / Statistics / Logs"

En mocht het een Plesk omgeving zijn, dan staan deze vrijwel altijd via een SSL versleuteld ter beschikking (plesk login vereist) maar kan wel uitgezet zijn door je hoster.

Uiteraard kun je de stats map wijzigingen in iets anders of deze map beveiligen zoals Johnny zegt.

I'm a big fan of the Mars Bar Diet. Stick it up your arse and let a rottweiler chase you home

maandag 27 april 2009 21:30

Acties:

0 Henk 'm!

pinockio

Topicstarter

Anoniem: 204528 schreef op maandag 27 april 2009 @ 16:26:
[...]

Dit vind ik dan weer een erg dubieuze uitspraak van je, waarschijnlijk bedoelt om je 'waarschuwing' kracht bij te zetten maar op geen enkele wijze te simuleren

Hoezo dubieus?

Het is bedoeld om aan te geven wat iemand met die data zou kunnen doen --- onder bepaalde voorwaarden. En het is echt gebeurd. Ik zou nog moeten navragen welke andere activiteiten die persoon op internet heeft uitgevoerd in die periode.

Even gegoogled en een paar sites gevonden waarvan de stats (incl. IP-adressen of hostnames) onbeschermd online staan:

http://home.wiredhouse.nl/stats/index.php
http://www.lowesoft.com/s...&show=path&sort=2&lang=en

Er zullen er vast meer te vinden zijn.

Ik heb mijn provider al gevraagd of dit afgeschermd kan worden maar hier is nog niet op gereageerd (niet vreemd ook, dit is aan het eind van de middag gebeurd). In dit geval kan ik niet zelf iets instellen; de stats pagina is een algemene waarbij de domeinnaam de variabele is van een php-script.

Het is bijvoorbeeld denkbaar dat iemand (of bepaalde groepen) matches maken tussen IP-adressen en personen (het is mogelijk van alle mensen die ooit met mij gemaild hebben het IP-adres te achterhalen, zoals men weet). Als ik vervolgens die mensen ook op mijn website heb gehad, kan ik een database opbouwen. Natuurlijk is die data onbetrouwbaar, maar tegenwoordig (met ADSL-lijnen, dus vaste IP-adressen) valt dat erg mee. Het is zeker denkbaar dat daar misbruik van kan worden gemaakt.

[ Voor 23% gewijzigd door pinockio op 27-04-2009 21:33 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

maandag 27 april 2009 23:13

Acties:

0 Henk 'm!

Anoniem: 55170

Johnny schreef op maandag 27 april 2009 @ 20:42:
[...]

AWStats toont bij mij alleen IP-adressen van internetproviders, niet van personen. Er is ook een heel subtiel verschil, een IP-adres op zich is geen persoonsgegeven, net zoals een huisadres of postcode dat niet is, pas als je ze gaat koppelen met een persoon is het een persoonsgegeven.

Het gegeven is herleidbaar tot een natuurlijke persoon en is daarmee een persoonsgegeven. Hoe er herleid gaat worden, database analyses, telefoonboeken overschrijven is daarmee niet eens meer relevant.
En die strikte benadering kent o.a. zijn herkomst bij WorkingParty29 dat in Opinion 4/2007 heeft aangegeven dat een IPadres wel een persoongegeven is. Inmiddels delen rechters in de verschillende lidstaten die deze mening.

Zie ook Opinion 6/2007: on data protection issues related to the Consumer Protection Cooperation System
"... unless the Internet Service Provider is in a position to distinguish with absolute certainty that the data correspond to users that cannot be identified, it will have to treat all IP information as personal data, to be on the safe side...."

dinsdag 28 april 2009 17:23

Acties:

0 Henk 'm!

Foamy

Fulltime prutser

Anoniem: 55170 schreef op maandag 27 april 2009 @ 17:26:
En daar gaat het dan fout, omdat zowel de Europese Privacy waakhond als het NL CBP van mening zijn dat een ip-adres een persoonsgegeven is (edit: want volgens mij toont AWstats altijd de ips).

[...]

Voor het verzamelen van persoonsgegevens is voorafgaand [de] uitdrukkelijke toestemming van de personen nodig. Met "redelijke kans" kom je er dus niet.

Mwah, op het moment dat je een website wilt bezoeken vind ik (mening, geen feit) dat je er vanuit moet gaan dat hierdoor in ieder geval je IP adres gelogd zal zijn. Misschien wel meer. Wil je dat niet? Bezoek die site dan gewoon niet...

blub

dinsdag 28 april 2009 17:40

Acties:

0 Henk 'm!

PowerSp00n

There is no spoon

MHz schreef op maandag 27 april 2009 @ 17:41:
Om ook nog iets te noemen wat ik opzich ook raar vind, en inbreuk op de privacy maakt: Soms heb je van die sites waar je voor moet betalen. Je hebt het betalscherm open staan op je PC met de instructie dit en dit nummer te bellen, je belt het nummer en vervolgens als je ophangt verspringt het scherm en wordt er op je scherm gemeld dat je betaling is ontvangen. Betekent dat dan dat het bedrijf toch mijn IP en telefoonnummer hebben weten te matchen? Hoe zit dit?

Dit zijn de nummers waar je vervolgens een unieke code moet invoeren? In ieder geval: je moet uiteindelijk de toegang krijgen. Op welke manier je dit ook doet, de aanbieder heeft de mogelijkheid om deze gegevens aan elkaar te koppelen. Jij bezoekt bijvoorbeeld zo'n site, je krijgt een telefoonnummer en unieke code voorgeschoteld, je vult deze code in tijdens het gesprek en je krijgt toegang. Het is goed mogelijk dat ze bij het maken van een dergelijke code je IP-adres opslaan en zodra er iemand belt met een gegeven code hier het telefoonnummer bij opslaan.

Dat je ze automatisch vermelden dat je betaling ontvangen is komt doordat ze mogelijk op de achtergrond regelmatig blijven controleren of jouw code al de status betaald heeft.

Verder geen ervaring met dit soort bel/code opzetten. Zoals ik het beschrijf is een redelijk simpele opzet maar mogelijk zijn er nog andere varianten...