GC bij Tros Radio online

Vanmiddag vanaf ongeveer kwart over vijf zal GeenCommentaar te gast zijn in het programma Tros Radio online. Het zal – verrassing – gaan over onze GeenStijlChecker. Het College Bescherming Persoonsgegevens zal in dezelfde uitzending ook aan bod komen.

GeenCommentaar zal vertegenwoordigd worden door Christian.

Voor de live stream verwijzen we u graag door naar de officiële player.

  1. 1

    Goed gedaan, wat mij betreft. Die dame van het CBP had ook een duidelijk verhaal. Overigens had ze ook gelijk betreffende die Europese richtlijn wat betreft ip-adressen en dat dat persoonsgegevens zijn. Die bestaat. Maar dat deze “unaniem” wordt onderschreven valt wel mee. De Duitse rechter heeft immers recentelijk gezegd dat een IP-adres geen persoonsgegeven is.

    Daarnaast stelde ze dat elke site die voor zichzelf ip-adressen bijhoudt dat moet melden en een emailadres EN fysiek adres op de site moet plaatsen. Dat is onjuist. De richtsnoeren stellen dat een emailadres voldoende is (volgens Arnoud Engelfriet).

    Maar mocht het CBP daaraan vasthouden, dan zijn zo’n beetje alle weblogs, waaronder GeenStijl, Sargasso, retecool in overtreding.

  2. 2

    Ja, de vraag of een ip-adres een persoonsgegeven is zal de komende jaren wel gaan schuiven. Ik hoop dat er ook iets van zelfregulering ontstaat, want anders krijgen we met z’n allen een internetpaspoort en dan heeft het CBP helemaal het nakijken.

    Ik vond de dame van het CBP een beetje verongelijkt klinken, terwijl ze toch netjes gelijk kreeg. Maar misschien past dat in het nieuwe blaffen en bijten beleid.

  3. 5

    Goed gedaan Christian. Wel jammer dat de achterliggende reden niet zo in beeld kwam maar dat is te begrijpen. Het CBP zegt in feite: experimentjes zitten we niet op te wachten, lees gewoon het richtsnoer.

  4. 8

    Niemand van de weldenkende bezoekers van dit weblog struikelt snoeihard over de kromme en volstrekt onjuiste redenatie van die mevrouw.

    Ik wel.

    Zij zegt: “Het IP is een persoonsgegeven. Dat erkent GeenCommentaar, want de database was aangelegd om individuen te weren, en ‘dus’ is het IP een persoonsgegeven.”

    En dat is, voorzichtig uitgedrukt, stierenpoep. Dampende stierenpoep.

    Het IP wordt/werd door GC _gebruikt_ om individuen te weren. Daarmee _is_ het IP nog geen persoonsgegeven, het is slechts de énige manier om iemand de toegang te ontzeggen, bij gebrek aan specifiekere informatie van die persoon.

    Een IP kan dat van het hoofdkantoor van een groot bedrijf zijn, waardoor 1500 individuen, op basis van de uitsluiting van dat ene IP (vanwege wangedrag van één van de werknemers in dat kantoor) worden uitgesloten. Dat zijn dus 1499 onschuldig geweerden, maar GC heeft geen _persoonsgegevens_ beschikbaar en dient dus gebruik te maken van de enige kenmerkende factor die zij heeft: het IP dat de wangedrager gebruikte.

    Op geen enkele wijze is door de eigenaar van een website te achterhalen wie er achter dat IP zit. Nooit. Een internetprovider kan hooguit zeggen dat dat IP hoort bij abonnee Jansen, Tulpstraat 5 in Weetikveel. Maar NIEMAND kan keihard bewijzen WIE er op dat moment achter die PC heeft gezeten. Dat kan een huisgenoot zijn, een buurman die even wat wilde opzoeken, een familielid dat op bezoek was, noem maar op.

    Kortom: een IP is NOOIT een persoonsgegeven. En dan kan het mij niet schelen wat die verongelijkte mevrouw van het CBP op hoge toon zit te verkondigen; als er afspraken zijn gemaakt dat een IP wél een persoonsgegeven is, dan is die afspraak gemaakt door domme stoffige sukkels die niet begrijpen hoe de techniek in elkaar zit.

  5. 9

    @Venema: ik heb begrepen dat daar nog wel verschillend over wordt gedacht? Europees wordt het als een persoonsgegeven beschouwd, een Duitse rechter vond onlangs van niet.

  6. 10

    @Mark:
    Die Duitse rechter snapt het dan. Een persoonsgegeven is pas een persoonsgegeven als het gegeven an sich onomstotelijk kan worden gekoppeld aan één (en niet meer dan één) persoon. Dus je rijbewijs. Je paspoortnummer. Je burger-servicenummer (ook wel gewoon SOFI genoemd). Dát zijn persoonsgegevens. Je volledige naam + adres.

    Kijk, het CBP roept wel van alles, en iedereen knikt wel braaf ja en amen, maar dat wil nog niet zeggen dat de soms bespottelijke beweringen van die tent niet gierend van het lachen onderuit kunnen worden geschopt.

  7. 11

    @10: Ik ben het eens met je stelling, maar dat neemt niet weg dat dit in Nederland wel als persoonsgegeven wordt gezien. Zo bezien zaten we fout.

    Helaas hebben wij niet de tijd en het geld om een proces uit te lokken.

  8. 12

    @11: Een beetje goed is dat natuurlijk ook wel. Er zijn genoeg zaken die niet onder de defenitie van #8 vallen, die wel met redelijk weinig kans op fouten te herleiden zijn tot 1 persoon. Daar mag wel voorzichtig mee omgesprongen worden. Ik vond de oplossing van GC overigens behoorlijk netjes (je moest zelf al een “verdacht” IP-adres kennen, om te kunnen achterhalen of het om een internet-vandaal ging). Verder jammer dat het CPB niet in wil gaan op andere situaties waaronder IP-adressen bewaard worden (want dat het gebeurt zouden zij toch ook moeten weten).

  9. 13

    @Mark en Venema:
    De Duitse rechter gaat uit van dezelfde Europese richtlijn als het CBP en een Europese privacywerkgroep. Het CBP volgt die werkgroep in haar opvatting dat een IP-adres een persoonsgegeven is. De Duitse rechter ziet het anders. Wie gelijk heeft kan eigenlijk alleen door het Hof van Justitie van de EG in Luxemburg worden bepaald.

    Ik vind zelf dat de Duitse rechter sterke argumenten heeft. Met alleen een IP-adres is het voor een willekeurig persoon in principe niet mogelijk om te achterhalen wie er achter dat adres zit. Het CBP zegt dat de provider waar het adres onder valt dat wel kan, en vindt dat voldoende. De Duitse rechter daarentegen vindt dat niet voldoende, juist omdat die provider niet (zonder goede reden) aan een willekeurige derde mag vertellen wie er achter dat IP adres zit.

    De redenering van Venema lijkt me een beetje te star. Het klopt op zich dat een IP adres geen 100% bewijs oplevert van de identiteit van de internetgebruiker, maar 100% bewijs lijkt me ook niet nodig. Of zie het zo: wie voor een internetverbinding betaalt, krijgt daarvoor op donderdag 23 oktober om 20:20 een adres toegewezen. Aan de hand van het IP-adres en het tijdstip, kan worden afgeleid (weliswaar alleen met medewerking van de provider, maar dat negeer ik nu even) welke persoon voor de verbinding heeft betaald. Misschien is dat niet de persoon die de verbinding heeft gebruikt, maar het is WEL een persoon die aan de hand van IP-adres en tijd kan worden geïdentificeerd. En dan voldoe je aan de definitie in de richtlijn.

  10. 14

    En zoals ik onder Arnoud’s blogpost (op iusmentis) over het rapport van het CBP heb opgemerkt bevat dat rapport wel meer redeneringen die zeer aanvechtbaar (of beter: krom) zijn.

    (Klopt het dat je als gast hier geen link kunt plaatsen?)