EU-lov sætter dynamiske IP-adresser i samme bås som statiske

EU-domstol afgør, at dynamiske IP-adresser rummer personlig data. De må kun indsamles til beskyttelse mod angreb.

Dynamiske IP-adresser indeholder personlig data præcis ligesom statiske IP-adresser. Derfor skal dynamiske IP-adresser af privacy-hensyn beskyttes mod at blive opsamlet og gemt af de hjemmesider, man besøger. Fuldstændig ligesom det gælder de statiske.

Det har EU-Domstolen (CJEU) fastslået, skriver arstechnica.com

Der er dog et men. For hjemmesider har lov til at gemme de dynamiske IP-adresser, hvis det handler om, at hjemmesiderne prøver at beskytte sig selv mod cyberangreb.

Sagen blev indbragt for domstolen af den tyske forbundsdomstol, efter en sag anlagt af det tyske Piratpartiet var blevet fremstillet i Tyskland.

Patrick Breyer, der er medlem af Piratpartiet, havde bedt de tyske domstole om at forhindre hjemmesider, der drives af føderale tyske organer, i at indsamle og opbevare dynamiske IP-adresser.

Patrick Breyers bekymring går på, at hvis de dynamiske IP-adresser bliver indsamlet og opbevaret, ville de tyske myndigheder være i stand til at danne sig et billede af hans personlige interesser.

Operatørernes argumenter for at gemme IP-adresserne er, at de er nødt til at gemme adresserne for at kunne dæmme op for eventuelle cyberangreb og efterfølgende kunne bringe de ansvarlige for en domstol.

Rettigheder må ikke tilsidesættes

EU-Domstolen fastslog i sin dom, at dynamiske IP-adresser kan betragtes som personlig data, selvom de ikke konsekvent refererer til én bestemt person.

Forudsat at en hjemmeside har de juridiske midler, samt at oplysninger fra den besøgendes internetudbyder gør det muligt at identificere den besøgende.

Da dette generelt er tilfældet i Tyskland, afgjorde retten altså, at dynamiske IP-adresser derfor går under kategorien personlig data.

Ifølge den gældende EU-lovgivning vedrørende behandling af personoplysninger er det kun lovligt at indsamle og gemme disse, hvis det er nødvendigt for at nå et legitimt mål, der samtidig forfølges af den registeransvarlige eller den tredjepart, som data overføres til.

Det er desuden forudsat, at de grundlæggende rettigheder og frihedsrettigheder ikke tilsidesættes for at opnå målet.

I den specifikke sag afgjorde EU-Domstolen, at de føderale tyske institutioner, der kører hjemmesiderne, har en legitim interesse i at indsamle og opbevare IP-adresser til beskyttelse mod cyberangreb – statiske eller ej.

Alt peger derfor i retningen af, at Patrick Breyer ikke får medhold i sin sag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Rune Jensen

" I den specifikke sag afgjorde EU-Domstolen, at de føderale tyske institutioner, der kører hjemmesiderne, har en legitim interesse i at indsamle og opbevare IP-adresser til beskyttelse mod cyberangreb – statiske eller ej. "

Hvis man er interesseret i sikkerhed, så er man NØDT til at lave logging.

Jeg er dybt modstander af EU generelt, men deres begrundelse her er jeg enig i.

Kigger man på de simple botnet, så agerer de ofte sådan, at visse IPer indsamler oplysninger om en hjemmeside, og andre udfører selve angrebene baseret på de indsamlede oplysninger.

Jeg kan ikke se, hvordan man kan beskytte sig imod angreb, hvis man ikke må indsamle oplysninger og bevare de oplysninger, til når der kommer et angreb.

  • 0
  • 0
#4 Benjamin Balder

Selvfølgelig skal man indsamle IP-adresser i logs for at beskytte sin server mod selv de mest banale angreb. Det kan næppe være det, som Piratpartiet har været efter.

Det er vel nærmere et hul i cookie-direktivet? Man kan nemlig uden at oplyser herom høste en IP-adresse og benytte den til at sammenligne en internetbrugers adfærd på tværs af registreringer på en enkelt server. Ganske uden cookies. At man har en hjemmesidetæller, der tæller unikke IP er en ting, men så snart man benytter den til analyse af adfærd og at krydse IP-adressen med andre data (f.eks. beliggenhed eller besøg på andre sites), kan man vel godt sige, at brugeren bør informeres om denne aktivitet på samme måde som med cookies?

  • 0
  • 0
#6 Rune Jensen

I hvert fald jeg taler udelukkende om sikkerhed og derfor ikke om interesse i egentlig brugersporing. Det er for exempel fuldstændigt irrelevant, om en bruger har klikket på en vare et eller andet sted eller søgt på en bestemt pris. Dette er hamrende uinteressant sikkerhedsmæssigt. Det er alene, om den bruger viser en adfærd, som kan betyde en sikkerhedstrussel.

Det var nu også mit indtryk, at det var dette, som var formålet, beskrevet i artiklen, og også det eneste, jeg vil forsvare. At udøve egentlig spionage på brugerne vil jeg ikke have noget med at gøre.

  • 0
  • 0
#7 Mogens Bluhme

Som jeg forstår det er det begrænset til føderale organers hjemmesider da de har adgang til krydsinformation - sidstnævnte kunne man jo overveje at forbyde.

Men både WHOIS og weblog er jo indlysende nødvendigt til dataindsamling både i abuse-sammenhæng men så sandelig også for adfærdsanalyse af brugernes trafik, geofense (lokation), tidspunkt sammen med cookies.

  • 0
  • 0
Log ind eller Opret konto for at kommentere