Haha, dat filmpje is wel het toppunt van jaren 90 CGI en terminologie
Gezien je vraag ben ik nog wat dieper in de juridische kant van de materie gedoken. Misschien dat we in combinatie met jouw kennis van de infra tot een soort van antwoord komen.
Ik ga er even vanuit dat we het erover eens zijn dat IP-adressen persoonsgegevens zijn, of althans dat
kunnen zijn. In de
handleiding Algemene Verordening Gegevensbescherming van het ministerie van justitie staat:
Personen kunnen ook geïdentificeerd worden op basis van andere, minder directe identificatoren. Denk hierbij aan uiterlijke kenmerken (lengte, postuur en haarkleur), sociale en economische kenmerken (beroep, inkomen of opleiding) en online identificatoren zoals IP-adressen. Hoewel deze gegevens op zichzelf ons meestal nog niet in staat stellen om een persoon te identificeren, kunnen zij door hun onderlinge samenhang of door koppeling aan andere gegevens alsnog leiden tot identificatie. We spreken daarom van indirect identificerende gegevens.
De vraag is dan of het voor de verwerker redelijkerwijs mogelijk is die IP-adressen te herleiden tot een natuurlijk persoon door deze te koppelen aan andere gegevens, maar de consensus lijkt te zijn dat je er bij twijfel maar beter van uit kunt gaan dat het persoonsgegevens zijn.
Nu zijn er
6 grondslagen op basis waarvan je persoonsgegevens mag verwerken. In het geval van het verwerken van IP-adressen zijn de meest voordehandliggende grondslagen:
- Op basis van toestemming. Dus door expliciet toestemming te vragen aan de bezoeker.
- Als de gegevensverwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen.
Wanneer je zo op internet kijkt wat er gezegd wordt over de rechtmatigheid van het verwerken van IP-adressen in access-logs, dan wordt voornamelijk de tweede grondslag als basis genoemd. Het loggen wordt, zoals jij ook al noemt unezra, beschouwd als een belangrijk onderdeel van de beveiliging en dat is dan weer een gerechtvaardigd belang.
Sterker nog, in de GDPR is hier een aparte notitie over gemaakt,
Recital 49The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. 2This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.
Nu is mijn punt dat de toepasselijkheid van dit gerechtvaardigd belang, je niet vrijpleit van alle verdere plichten en voorschriften van de AVG. Je hoeft geen toestemming te vragen, maar je moet wel informeren:
Wanneer u een verwerking baseert op uw gerechtvaardigde belang, dan moet u transparant zijn over dit gerechtvaardigde belang. U moet dan onder andere duidelijk maken voor welke doelen u persoonsgegevens verwerkt, welke persoonsgegevens u verwerkt, of u de gegevens deelt met andere partijen en hoe lang u de persoonsgegevens bewaart. Ook moet u de door u nagestreefde gerechtvaardigde belangen benoemen.
Betrokkenen moeten ten slotte altijd de mogelijkheid hebben om bezwaar aan te tekenen tegen het verwerken van persoonsgegevens wanneer dit op grond van het gerechtvaardigde belang gebeurt. Dit bezwaar moet wel betrekking hebben op de specifieke situatie van de betrokkene. U dient dan de verwerkingen te staken, tenzij er dwingende gerechtvaardigde gronden zijn die zwaarder wegen dan de rechten, vrijheden en belangen van de betrokkene. Ook als u de persoonsgegevens moet verwerken voor het instellen, uitoefenen of onderbouwen van een rechtsvordering, kunt u de persoonsgegevens blijven verwerken. Zie hiervoor verder hoofdstuk 7.
(
Handleiding AVG)
En hier zit precies mijn persoonlijke bezwaar. Ik verwerk verder op geen enkele manier persoonsgegevens, en er is een gerechtvaardigd belang voor de verwerking van deze gegevens, maar ik moet de bezoekers van mijn website daar wel over informeren. Dat betekend, als ik de wet echt op de letter volg, dat ik op iedere vage subsite en pagina onder mijn domein waarop bezoekers mogelijk binnen kunnen komen, een linkje naar een privacyverklaring moet plaatsen. Alleen maar voor die access logs.
Voor de verwerking in de Webalizer statistieken is in mijn optiek geen gerechtvaardigd belang, en zal ik bezoekers dus zelfs om toestemming moeten vragen.
En nu jouw punt, unezra, over dat er wel meer plekken zijn waar IP-adressen gelogd worden. Ik denk dat dit een heel interessant punt is. Mijn (eenvoudige) kijk hierop is dit (en corrigeer en vul alsjeblieft aan).
De hops (devices, servers, routers) tussen een bezoeker en een website zijn grofweg in te delen in drie groepen:
1) De hops behorende bij de internet provider van de bezoeker, en de backbone providers waar zij weer een contract mee hebben.
2) De hops behorende bij de hosting provider, en de backbone/colo waar zij een contract mee hebben.
3) Eventuele tussenliggende exchanges.
Ik denk dat het hier een kwestie is van follow the money. Als Ziggo een backbone provider betaald voor connectiviteit, dan is Ziggo
denk ik verantwoordelijk voor de verwerking die de backbone provider doet op de persoonlijke data van de klanten van Ziggo. Ziggo is dan de Data Controller en de backbone provider de Data Processor. Ziggo heeft dan de verplichting haar klanten te informeren over het feit dat de backbone provider mogelijk IP-adressen logt. En omgekeerd, in de situatie met mijn hostingprovider, ben ik Data Controller, en is mijn hostingprovider Data Processor. Eventuele partijen waar mijn hostingprovider dan weer connectiviteit 'koopt' zijn dan volgens mij weer Data Processor voor de hostingprovider.
Zoals gezegd, omdat de IP-adressen verwerkt worden op basis van de grondslag gerechtvaardigd belang, is de AVG nog steeds van toepassing en zal ik formeel dus een verwerkingsovereenkomst moeten sluiten met mijn hostingprovider waarin expliciet wordt genoemd dat IP-adressen worden gelogt, wie er toegang toe heeft, hoe lang ze bewaard worden, hoe ze beveiligt zijn, etc, etc.
De vraag is nu hoe het zit met eventuele tussenliggende exchanges, die peering overeenkomsten hebben gesloten. Onder wiens verantwoordelijkheid vallen die?
En een vraag die ik ook oprecht heb: Ik snap dat het technisch mogelijk is dat de core routers van AMS-IX IP-adressen loggen. Maar gebeurt dit in de praktijk ook? Hebben we het hier niet over veel te veel data om logging zinnig te maken?
/u/3626/front-kabels.png?f=community)
:strip_icc():strip_exif()/u/333229/Logo%2520RFixIT%2520Tweakers.jpg?f=community)
/u/4024/burne.png?f=community)
/u/8830/crop5df8eadcd55ca_cropped.png?f=community)
:strip_icc():strip_exif()/u/572004/fox.jpg?f=community)
:strip_exif()/u/8825/tweakersNEW.gif?f=community)
/u/420081/droopy.png?f=community)
/u/161953/crop65956496527a9_cropped.png?f=community)
:strip_icc():strip_exif()/u/279447/crop593f3db0b456b_cropped.jpeg?f=community)
/u/407403/WAhack.png?f=community)
:strip_icc():strip_exif()/u/236421/crop5dde45be97ee2_cropped.jpeg?f=community)
/u/102469/crop60633f8b439f1_cropped.png?f=community)
/u/35916/crop5bd9a0086d0e1.png?f=community)
:strip_exif()/u/53522/crop583d477015a24.gif?f=community)