IP adres is persoonsgegeven volgens AVG, onzin of toch niet?

Nováccent

Voor mijn functie als CTO binnen Nováccent doe ik regelmatig onderzoek naar nieuwe oplossingen binnen het werkveld IT-Security. Of het nu gaat om DLP tools, Vulnerability Management of SIEM, het maakt eigenlijk niets uit. Wil gewoon weten wat er te koop is. Daarnaast bezoek ik ook de nodige websites waar artikelen en blogs zijn te lezen over bepaalde onderwerpen. Heel soms laat ik mijn gegevens achter als ik een bepaalde whitepaper interessant vindt om te lezen en het noodzakelijk is om minimaal mijn email adres achter te laten. In de meeste gevallen echter lees ik alleen de webpagina's en laat ik verder niets achter.

Waar ik echter in toenemende mate tegen aan loop is het feit dat ik door allerlei bedrijven wordt benaderd waarvan ik de website heb bezocht, maar waar ik er zeker van ben dat ik geen gegevens heb achtergelaten. Of heb ik wel wat achtergelaten?

Het is voor bedrijven heel eenvoudig te achterhalen welke IP-adressen de website hebben bezocht. Men kan ook een profiel maken van welke pagina’s er zijn bezocht per IP adres en hoe het klikgedrag is geweest. Een IP-adres hangt aan een bepaald bedrijf, dus men kan zo zien dat er iemand van Nováccent bepaalde pagina’s heeft bezocht en wat het klikgedrag is geweest. Op basis van dit klikgedrag zou men eruit kunnen filteren welke functies dit kunnen zijn. Door Linkedin mee te nemen in de analyse kan men ook snel een persoon koppelen aan het IP-adres en dus op basis hiervan acquisitie gaan doen. Of natuurlijk allerlei gegevens verder te verzamelen die gelieerd zijn aan mijn persoon.

Maar goed wat zeg ik hier eigenlijk:

Mijn conclusie is dat het IP-adres zelf niets zegt over de persoon. Een IP-adres zegt wat over een device, een locatie, maar niets over een individuele gebruiker. Natuurlijk kan een organisaties het IP-adres wel gebruiken als vertrekpunt om te onderzoeken welk persoon er achter dat IP-adres zit via andere bronnen als Linkedin, Facebook e.d. Vervolgens als men dat heeft vastgesteld dan kan men wel heel veel informatie over mij achterhalen en verwerken, zonder dat ik daar expliciet toestemming voor heb gegeven. Maar goed dit gebeurt al dagelijks d.m.v. cookies en daar moet je wel expliciet toestemming voor geven, toch…?

Wilt u meer praktische handvaten omtrent GDPR/ AVG? Kom dan naar de middag met workshops en sessies op 1 juni vanaf 12.00 uur georganiseerd door Nováccent en BeOne.

Stef Liethoff, Managing Partner Nováccent

data-competence security-services managed-ict innovation-center