Privacybescherming gegarandeerd
Deelnemers van govroam moeten er op kunnen vertrouwen dat hun privacy gegarandeerd is. We krijgen regelmatig vragen over manier waarop govroam de privacybescherming georganiseerd heeft. Stichting govroam bewaart eindgebruikersgevens in logbestanden, gedurende zes maanden. Welke gegevens, waarom, waar en waarom zes maanden? En wat is het wettelijk kader?
Welke data bewaart govroam?
Bij het gebruik van de govroam-dienst worden krijgt de gebruiker te maken met achtereenvolgens de Service provider, de Roaming operator en de Identity provider. Wanneer een eindgebruiker govroam gebruikt in de eigen organisatie dan vervult de eigen organisatie zowel de rol van Identity provider, Service provider én Roaming operator. Per rol worden grotendeels dezelfde gegevens gebruikt.
- Roaming operator: Govroam vervult de rol van Roaming Operator. Bovendien is Stichting govroam verantwoordelijk voor de nationale RADIUS-server die nodig is voor de authenticatie. Naast de verwerking van gegevens ten behoeve van de dienstverlening houdt Stichting govroam logbestanden bij.
- Identity provider: De thuisorganisatie verzorgt de authenticatie van de eindgebruiker. Wanneer de eindgebruiker te gast is bij een andere organisatie, worden de inloggegevens van de eindgebruiker (end-to-end) versleuteld verstuurd (via de centrale RADIUSproxy van de Stichting govroam) naar de authenticatieserver van de thuisorganisatie.
- Service provider: Een eindgebruiker bij een gastorganisatie krijgt toegang tot het netwerk door middel van govroam. De gastorganisatie stuurt de versleutelde inloggegevens van de eindgebruiker via de Roaming operator (Stichting govroam) naar de authenticatieserver van de Identity provider. Nadat de Identity provider gecontroleerd heeft of de inloggegevens van de eindgebruiker valide zijn, meldt deze dit terug aan de Service provider. De Service provider draagt zorg voor autorisatie van de eindgebruiker voor het gebruik van govroam.
Gegevens die daarbij bewaard worden:
- Unieke apparaatgegevens (MAC-adres) van de eindgebruikers.
- Identiteit van de Identity provider en Service provider.
- Tijdstip van het authenticatieverzoek.
- Authenticatiegegevens: De gebruiker heeft de mogelijkheid om bij een juiste configuratie het in te loggen zonder dat de username van de eindgebruiker door de Roaming operator of gastorganisatie via de logfiles achterhaald of ingezien kan worden. De Roaming operator en de Service provider zien dan alleen ‘anonymous@organisatie.nl’, de zogenoemde ‘outer identity’. De ‘inner identity’ wordt (net als het wachtwoord) geëncrypt en kan alleen worden ingezien door de Identity provider.
- Identiteit van het toegangspunt (wifi-accesspoint/netwerkswitch). Deze gegevens worden alleen door de Service provider en de Identity provider opgeslagen
Waarom?
Naast de verwerking van gegevens ten behoeve van de dienstverlening slaan we gegevens op ten behoeve van het beheer van de dienst, interne controle van de processen, beveiliging en eventueel het behandelen van geschillen in geval van misbruik (doelbinding).
Hierbij zijn er verschillende wettelijke verplichtingen en juridische kaders van belang.
Telecomwet [1]
Om te bepalen in hoeverre er een wettelijke verplichting op Stichting govroam rust is het relevant om te weten of de Stichting kwalificeert als aanbieder van een openbaar elektronische communicatiedienst of -netwerk in de zin van de Telecommunicatiewet. Wie internettoegang aanbiedt aan “het publiek”, moet zich registreren bij de ACM en heeft allerlei plichten zoals het aftapbaar maken van het netwerk. Een besloten netwerkaanbieder, zoals bijvoorbeeld een bedrijfsnetwerk, hoeft dat niet.
TOELICHTING BEWAARPLICHT Telecomwet De bewaarplicht ex art. 13.2a Tw die het aanbieders van openbare telecommunicatienetwerken of -diensten verplicht om internetgegevens zes maanden te bewaren, is komen te vervallen. Deze bewaarplicht is door de rechtbank Den Haag buiten werking gesteld naar aanleiding van de uitspraak van het Hof van Justitie over de dataretentierichtlijn (nieuwsbericht). Een nieuw wetsvoorstel uit 2016 is momenteel aanhangig. Hierin omvat de bewaarplicht niet langer verkeers- en locatiegegevens, maar enkel nog gebruikersgegevens (gegevens ter identificatie van gebruikers, zoals bijv. een IP-adres). De bewaartermijn blijft in het voorstel onveranderd. Het wetsvoorstel heeft meerdere keren vertraging opgelopen (oa. door latere uitspraken van het Hof van Justitie (Tele2/Watson) en moet nog voor advies naar de Raad van State (status oktober 2020). |
Tot nu toe heeft Stichting govroam zich – net als SURFnet – op het standpunt gesteld dat zij geen aanbieder van een openbaar elektronische communicatiedienst en -netwerk is. govroam is immers een kopie van eduroam (dat wordt aangeboden door SURFnet). Het College van Beroep voor het bedrijfsleven (CBb) heeft op 22 juni 2012 uitspraak gedaan en bepaald dat SURFnet geen aanbieder van een openbaar elektronische communicatiedienst en -netwerk is. Uit de samenvatting van de site van ACM:
- De rechtbank oordeelde in 2009 dat SURFnet haar diensten en netwerk aanbiedt aan een beperkte groep en dat die groep niet toegankelijk is voor het algemene publiek. Daarom is volgens de rechtbank geen sprake van het aanbieden van een openbare elektronische communicatiedienst en -netwerk.
- Het College van Beroep voor het bedrijfsleven heeft de uitspraak van de Rechtbank Rotterdam bevestigd. Gelet op de door SURFnet aangeboden dienst en netwerk en de afgebakende kring van potentiële afnemers, is het CBb van oordeel dat het aanbod van SURFnet niet beschikbaar is voor het publiek.
Aangezien Stichting govroam in een vergelijkbare situatie verkeert kunnen we concluderen dat zij geen aanbieder is van openbare telecommunicatie diensten.
Deelt govroam gegevens met anderen?
Een belangrijk punt: govroam deelt met niemand informatie uit logbestanden. Met één uitzondering: wanneer een opsporingsdienst of de wet ons hiertoe dwingt bij een onderzoek. In dat geval zal de gebruiker (dus niet de opsporingsdienst zelf) een onderbouwd verzoek bij govroam moeten doen en dit verzoek zal vervolgens juridisch getoetst worden. Hierbij wordt het volgende afwegingskader gebruikt:
Artikel 6 lid 4 AVG:
- Hoe nauw is het verband tussen het nieuwe en het oorspronkelijke doel, dus tussen het bijhouden van logfiles door de Stichting en de reden voor het verstrekken daarvan aan derden? Wanneer de verstrekking bijvoorbeeld plaatsvindt in het kader van een incidentenonderzoek naar een medewerker van een gebruiker, sluit dit enigszins aan bij het eigen gebruik van de logfiles door de Stichting om ‘geschillen te behandelen in geval van misbruik’ (govroam privacy notice, onder 3). Een eerste stap hier is om de verzoeker te vragen aan te geven voor welk doeleinde deze de logfiles gebruikt worden.
- Wat is de context waarin de persoonsgegevens zijn verzameld? Hierbij moet met name worden gekeken naar de relatie tussen govroam en de betrokkene in kwestie en de redelijke verwachting die de betrokkene heeft ten aanzien van het verdere gebruik van zijn persoonsgegevens. Is voor eindgebruikers van govroam voldoende duidelijk dat de logfiles voor dit doel gebruikt zouden kunnen worden? Blijkt dit bijvoorbeeld uit de Responsibilities of govroam Users in The Netherlands en de acceptable use policies van de gebruikers.
- Wat is de aard van de persoonsgegevens in de logfiles? In de govroam privacy notice wordt vermeld welke gegevens in logfiles worden opgeslagen. Hoewel het hier niet om bijzondere persoonsgegevens (zoals gegevens over etnische afkomst, politieke opvattingen of gezondheid) gaat, kan met de gegevens mogelijk toch in vergaande mate een beeld over het leven van de betrokkene geschetst worden. Dit gevoelige karakter wordt in de afweging meegenomen.
- Wat zijn de gevolgen van het delen van de logfiles voor de betrokkene? Als deze bijvoorbeeld verstrekt worden in het kader van een fraudeonderzoek door een gemeente, dan kunnen de gevolgen daarvan voor de medewerker mogelijk verstrekkender zijn dan wanneer deze bijvoorbeeld gedeeld worden in verband met een onderzoek naar vanaf een bepaald IP-adres verzonden phishing mails.
- Zijn er passende waarborgen? Denk in dit verband bijvoorbeeld terug aan het beginsel van dataminimalisatie. Ook kan de Stichting bekijken in hoeverre het mogelijk is (een gedeelte van) de logfiles te versleutelen of te pseudonimiseren.
Waar worden de gegevens bewaard?
De logbestanden worden bewaard in twee datacenters in Nederland.
Waarom 6 maanden?
De verwerking van persoonsgegevens moet op grond van de AVG voldoen aan het beginsel van opslagbeperking. Dit beginsel houdt in dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel van de verwerking van die gegevens[2]. De AVG geeft zelf geen concrete bewaartermijn. Onder de voormalige Wet bescherming persoonsgegevens (Wbp) werd ook wel aansluiting gezocht bij het toen geldende Vrijstellingsbesluit.
De AVG koppelt de bewaartermijn dus aan het doel waarvoor de persoonsgegevens verwerkt worden. Eén van de doelen van het bewaren van logbestanden volgens Stichting govroam is om – in geval van incidenten – onderzoek te kunnen doen. Bij afwezigheid van een wettelijke bewaarplicht, heeft govroam, in licht van dit doel, de termijn gesteld op zes maanden. Dit gebaseerd op de volgende aanknopingspunten:
- De Informatiebeveiligingsdienst van de VNG (IBD) heeft een Handreiking Aanwijzing Logging opgesteld ten behoeve van de Baseline Informatiebeveiliging Overheid (BIO). Hierin staat[3]: Logging dient minimaal een half jaar beschikbaar te zijn voor onderzoek. In geval van een (vermoed) informatiebeveiligingsincident is de bewaartermijn van de gelogde incidentinformatie minimaal drie jaar.
- De artikelen 32-36 van het Vrijstellingsbesluit gaan over Beheer en Beveiliging. Daarin wordt een maximale bewaartermijn van zes maanden genoemd voor ‘interne controle en beveiliging’ en ‘controle op en de beveiliging van de computersystemen of computerprogramma’s’.
- Het Retention and Disposal Schedule van de Britse toezichthouder ICO. Zij hanteren zelfs een bewaartermijn van twaalf maanden voor ‘Documents relating to IT system integral to their running and long term use’ en ‘system audit logs’.
En na zes maanden?
Na zes maanden worden logbestanden vernietigd.
[1] Advies tot stand gekomen i.s.m. Project Moore
[2] Zie artikel 5 lid 1 sub e AVG
[3] paragraaf 2.4
versie 1, oktober 2020