IP-adressen en de cookiewet: een analyse van de EDPB opinie
De EDPB stelt in recente richtlijnen dat de cookiewet van toepassing is op IP-adressen. Dit heeft directe gevolgen voor zowel gebruikers als ontwikkelaars van websites en online diensten. Maar dit is technisch gezien wat te kort door de bocht. In dit artikel volgt een analyse van de techniek en daarmee de toepasselijkheid van de cookiewet.
In Nederland is artikel 5.3 E-Privacyrichtlijn (ePR) omgezet in artikel 11.7a Telecommunicatiewet, die beter bekendstaat als de “cookiewet”. De opinie gaat eigenlijk over artikel 5.3 ePR, maar voor de leesbaarheid verwijs ik in dit artikel dan ook naar deze wet als de 'cookiewet'. Lees meer over de technische reikwijdte van de cookiewet in mijn eerdere blog over dit onderwerp.Het is alweer even geleden dat de EDPB EDPB staat voor de European Data Protection Board. De EDPB bestaat uit alle nationale toezichthouders en brengt onder meer adviezen en opinies over de AVG uit. wat over de cookiewet heeft geschreven. Het is volgens hen dan ook hoog tijd, want de ‘tracking technieken’ zijn het afgelopen decennium behoorlijk geëvolueerd. Volgens de EDPB zijn er naast cookies nieuwe methodes bijgekomen, zoals gehashte emails (uit inlogformulieren), url-parameter tracking en webpixels. In dit artikel zoomen we zoals gezegd in op het IP-adres wat ook als 'tracking techniek' wordt genoemd Note: ik ga niet in op de toepasselijkheid van de AVG op IP-adressen, want dit staat buiten kijf!.In dit artikel zal ik de volgende aspecten behandelen:
- Waar gaat de cookiewet ook alweer over?
- Belangrijkste punten uit de EDPB opinie
- IP-adressen: drie redenen waarom de EDPB ernaast zit
- Slotsom
Waar gaat de cookiewet ook alweer over?
De cookiewet, hoewel primair gefocust op cookies, is ook ook van toepassing op vergelijkbare technieken. De EDPB legt in haar opinie uit welke technieken ook onder de cookiewet vallen. Dit is belangrijk, want er is toestemming vereist voor het gebruik van dit soort technieken (die vergelijkbaar zijn met cookies). Er is alleen geen toestemming vereist voor cookies en vergelijkbare technieken die:- technisch of functioneel noodzakelijk zijn, zoals taalinstellingen en de technologie die wordt gebruikt om een bestelling te plaatsen.
- worden gebruikt om de kwaliteit en effectiviteit van de website te meten, waaronder technieken die gebruikt worden voor analytics, affiliate en a/b testen.
Belangrijkste punten uit de EDPB opinie
De EDPB opinie gaat dus over het technische bereik van de cookiewet. Meer concreet gaat het om een verduidelijking van deze zin in artikel 5.3 ePR: “[red. de ‘cookieregels’ zijn van toepassing op] de opslag van informatie of voor het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een abonnee of gebruiker.” Als we de EDPB moeten geloven, dan vallen er behoorlijk wat webtechnieken onder artikel 5.3 ePR, oftewel de cookiewet. De belangrijkste punten die mij opvielen:(1) Het draait om het begrip ‘randapparaten van de gebruiker’
De cookiewet is van toepassing op een breed scala aan 'randapparaten van de gebruiker’, waaronder smartphones, laptops, smart tv’s, maar ook ‘connected cars’.(2) Er is al snel sprake van ‘toegang verkrijgen’ (tot opgeslagen informatie), want…
- Het ligt voor de hand dat de cookiewet van toepassing is op het opslaan van informatie, zoals het cookie met naam 'customerid' en de waarde ‘123’.
- Er is echter ook sprake van ‘toegang verkrijgen’ tot de cookie wanneer deze steeds met de server wordt gedeeld. En dit gebeurt, want dit is nu eenmaal hoe het technische (HTTP) webprotocol werkt. Bij dit soort automatische handelingen zal er dus steeds moeten zijn voldaan aan de cookiewet.
- Een website kan ook gebruik maken van Javascript, API’s en andere actieve instructies om toegang te verkrijgen tot informatie. De EDPB omschrijft dit als technieken waarmee instructies kunnen worden gegeven aan het randapparaat van de gebruiker om informatie terug te sturen. Dit zijn allemaal handelingen die onder de reikwijdte van de cookiewet vallen.
(3) ‘Opslag’ en ‘opgeslagen informatie’ moeten heel ruim worden opgevat
De cookiewet ziet niet alleen toe op het opslaan van informatie (zoals in een cookie), maar ook op toegang verkrijgen tot reeds opgeslagen informatie. Bij opslag moet je niet alleen denken aan informatie op een harde schijf, maar ook in het tijdelijke (RAM) geheugen of CPU. Het gaat dus om een zeer ruime opvatting van ‘opslag’ en ‘opgeslagen informatie’.…dus breed toepassingsgebied op allerlei technieken
Met de voorgaande richtlijnen in de hand komt de EDPB vrij eenvoudig tot de conclusie dat web-pixels, lokale verwerkingen (aan de hand van Javascript), slimme producten (‘internet of things’) en gehashte klantgegevens ook onder de cookiewet vallen. De meest opmerkelijke conclusie is naar mening echter dat IP-adressen óók afkomstig zijn van het randapparaat van de gebruiker. Daar wil ik wat dieper op ingaan.IP-adressen: drie redenen waarom de EDPB ernaast zit
Om de discussie rond IP-adressen en privacy goed te begrijpen, moeten we eerst een duik nemen in de basis van internetcommunicatie. Elk apparaat dat verbinding maakt met het internet heeft een 'Internet Protocol' (IP) adres nodig. Dit is vergelijkbaar met een postadres, maar dan voor computers. Het zorgt ervoor dat gegevens op het internet hun bestemming kunnen vinden. Hier zijn drie belangrijke redenen waarom de EDPB's standpunt over IP-adressen en de cookiewet tekortschiet.(1) IP-adressen zijn niet uniek voor apparaten in een netwerk
Thuisnetwerken zijn een bijzonder geval. De buitenwereld ziet slechts één adres (het openbare IP-adres), maar in een thuisnetwerk bevinden zich (meestal) meerdere apparaten zoals je laptop, smartphone, en smart-TV. Deze apparaten delen allemaal hetzelfde openbare IP-adres om met het internet te communiceren. Dit is mogelijk door iets wat we 'Network Address Translation' (NAT) noemen. NAT werkt als een receptie van een gebouw die weet welk intern verzoek van welk apparaat komt en waar de antwoorden naartoe moeten.Het belangrijkste punt hier is dat, hoewel het openbare IP-adres uniek is voor jouw thuisnetwerk, het niet uniek is voor elk apparaat binnen dat netwerk. Dit betekent dat, als een externe server alleen jouw IP-adres ziet, het niet kan bepalen of de communicatie van je laptop, je telefoon, of een ander apparaat in je huis komt. Dit principe, waarbij meerdere apparaten hetzelfde IP-adres delen, is vaak ook van toepassing op mobiele netwerken. Dit roept vragen op over de conclusie van de EDPB dat het IP-adres afkomstig is van ‘een apparaat van een gebruiker’.(2) IP-adressen worden niet ‘opgeslagen’
De EDPB hanteert een te brede definitie van 'opslag' in relatie tot de cookiewet. Het begrip 'opslag' betekent niet alleen de gebruikelijke opslagmedia zoals harde schijven (HDD) en solid-state drives (SSD), maar ook minder typische technieken zoals flash drives en random-access memory (RAM), magnetische tapes of CPU-caches. Dit betekent dat vrijwel elke vorm van digitale opslag - maar ook on-device verwerking Laat de 'on-device verwerkingen' nu juist een aspect zijn die wel in het voorstel van de ePrivacy verordening zou zijn geregeld, maar dit is geen geldende regelgeving. - kan worden beschouwd als ‘opslag’ of ‘toegang tot opgeslagen informatie’ op het ‘randapparaat van de gebruiker’. Dit is van belang omdat het de reikwijdte van de bescherming van gebruikersgegevens uitbreidt tot bijna alle mogelijke manieren waarop informatie kan worden opgeslagen en verwerkt, ongeacht of deze opslag intern, extern of via een netwerkprotocol is verbonden. De uitgebreide interpretatie versterkt de bescherming van gebruikersgegevens, maar roept ook vragen op over de haalbaarheid en praktische implementatie van dergelijke regelgeving in een steeds complexer wordende technologische wereld. Dit is te meer interessant in een NAT-omgeving, waarin het publieke IP-adres in principe niet bekend is op de verbonden laptops en andere apparaten. En nee, het IP-adres is ook niet bekend in het RAM, CPU of een ander obscuur deel van het apparaat.(3) Het router is geen ‘randapparaat van de gebruiker’
Een ander belangrijk punt in de EDPB-richtlijnen is de definitie van 'randapparaat van de gebruiker'. Niet elk (rand)apparaat in een communicatieketen wordt beschouwd als ‘randapparaat van de gebruiker’. Een apparaat dat enkel functioneert als een doorgeefluik van informatie, zonder deze informatie te wijzigen, wordt niet beschouwd als randapparaat. Dit betekent dat apparaten die alleen als communicatie-interface dienen niet onder deze definitie vallen. De EDPB suggereert hiermee dat de cookiewet zich meer richt op de apparaten waarop de communicatie eindigt of begint (zoals smartphones, laptops) en niet op de tussenliggende apparatuur die de gegevens slechts doorstuurt. Gek genoeg past de EDPB het 'doorgeefcriterium' niet toe op het IP-adres. Naar mijn mening zit de EDPB dus fout wanneer ze het IP-adres onder de cookiewet schaart. Het IP-adres is niet afkomstig van het randapparaat van de gebruiker, maar van de router in de NAT-omgeving waarvan het 'randapparaat van de gebruiker' slechts een onderdeel is. Dit betekent dat een router als doorgeefluik moet worden beschouwd, welke de communicatie niet beïnvloedt, met als gevolg dat de cookiewet niet van toepassing is op het IP-adres.Slotsom
Mijn conclusie is dus dat de EDPB er flink naast zit met IP-adressen, want de meeste ‘randapparaten’ zijn vanwege NAT niet direct verbonden met het internet. Dit heeft als gevolg dat:- IP-adressen zijn niet uniek voor apparaten in een netwerk
- IP-adressen worden niet ‘opgeslagen’ op het 'randapparaat van de gebruiker'
- Het router is geen ‘randapparaat van de gebruiker’, maar slechts een doorgeefluik