Rejo Zenger schreef op 2018-12-27 10:36:
Hey Jurrian,
Hoewel ik totaal geen kennis en ervaring met statistieken heb, lijkt het me lastig om zulke conclusies te trekken. Immers, zulke conclusies kun je alleen trekken als je ook kijkt naar andere randvoorwaarden, zoals het volume van het adres space in elk van de branches en dergelijke. Toch? Ik ben met je eens dat je het het aantal ip-adressen per type provider mee moet nemen om een goed beeld te krijgen. Echter zijn de verhoudingen die ik zie dusdanig groot (factor 500 tot 1000) dat ik die conclusie wel durf te trekken.
Het is ook precies wat Alex eerder zei, dat is wat ik bedoelde. Ik denk dat het lastig om misschien zelfs wel onverstandig is om conclusies te trekken als je niet meer contextuele gegevens meeneemt.
Ik wil er geen welles-niets discussie van maken; ik heb vooraf gemeld dat het een relatief klein dataset was, dus de statistici zullen daar genoeg op aan te merken hebben. Je kunt je echter afvragen in hoeverre het in context plaatsen van de gegevens het geheel niet nog onbetrouwbaarder maakt. Je kunt het aantal IP-adressen per ASN wel achterhalen, maar dan weet het nog niet of deze ook echt in gebruik zijn en waarvoor. Er zijn genoeg ISP's die een mix van access en hosting aanbieden. Naast ISP's met een hoop ongebruikte IP-space zijn er ook die gebruik maken van Carrier-Grade NAT, wat goede context nog lastiger maakt. En hoe deel je bv. een bedrijf in dat zijn IT-infra gewoon op kantoor host op een lijn met een flinke IP-range? Zie je dit dan als hosting, terwijl de IP-range onder het ASN van een access-provider valt? En moet je eigenlijk niet het aantal machines achter een IP-adres meenemen voor een goede context? En in welke groep plaatsen we bv. IoT-devices als camera's, slimme thermostaten, enz.? Ga je de absolute aantallen dus in context plaatsen m.b.v. aantallen IP-adressen, waarbij de manier van tellen van de IP-adressen al discutabel is, dan worden de relatieve cijfers dus nog onbetrouwbaarder. Ik maak daarom liever gebruik van de absolute aantallen, die naar mijn mening zuiverder en betrouwbaarder zijn. Een ieder mag deze aantallen dan zelf relativeren binnen de context die volgens hem/haar juist is. In zowel de hosting- als de access-sector heb je grote en kleine spelers; ik denk dat het aantal gebruikers per sector uiteindelijk wel redelijk gelijk zal zijn. Als de top-10 dan volledig door hosting-partijen gevormd wordt, en de absolute aantallen tussen de hosting- en access-ISP's zich zo sterk verhouden denk ik dat mijn voorzichtige conclusie wel stand houdt.
Kun je dat nader toelichten? Ik denk namelijk dat je wel gelijk hebt als het gaat om de bescherming van persoonsgegevens, maar niet als het gaat om, zeg maar, "AVG-proof" te zijn. [...] Nu ben ik geen expert op het gebied van de AVG, maar volgens mij wordt er in deze wet (vrij vertaald) ook gezegd dat je er zo veel mogelijk aan doet om persoonsgegevens te beschermen. De boel 24 tot 48 uur open laten staan lijkt mij niet "zoveel mogelijk aan doen". Ik zou deze periode flink verkorten of
De reden dat ik dit vraag: of de AVG relevant is in dit context hangt sterk samen met de partij die je aanspreekt. Als je als provider je klanten de ruimte geeft om iets naar eigen inzicht te hosten (colocatie, shared hosting, etc), dan is het die klant die verantwoordelijk is voor een verantwoorde omgang met de persoonsgegevens op die server of in dat shared hosting account. [1] Het is niet de provider die de infrastructuur biedt. Met andere woorden: hoewel die provider wel een rol heeft in de bescherming van persoonsgegevens, volgt dat niet of niet direct uit de AVG.
[1] Hier ontbreekt wat nuance, ik ben me daarvan bewust.
Zoals gezegd ben ik geen AVG-expert en al helemaal geen jurist, maar volgens mij kun je als ISP vaak wel bij de gegevens komen (zeker fysiek, je zou gewoon een disk uit een server kunnen trekken). Een verwerkersovereenkomst lijkt mij dus van toepassing. Ben je dan als ISP niet mede-verantwoordelijk voor de bescherming van de gegevens? Bij een VPS of colocatie kun je misschien het probleem (de besmetting die een potentieel lek vormt) niet makkelijk verhelpen, maar de machine afsluiten (firewall, nullrouting, etc.) tot de beheerder aangeeft dat het allemaal veilig is kan natuurlijk wel. Nogmaals, ik ben geen expert op het gebied van de AVG en geen jurist, maar ik denk dat je als ISP de verantwoordelijkheid niet 100% op de klant kunt afschuiven omdat je het admin-account niet hebt. Misschien hebben we hier een mooie suggestie voor een zomer-event van NLNOG te pakken? Een mooie panel-discussie tussen technici aan de ene kant en juristen (bv. iemand van ICT-recht) en handhavers (bv. Autoriteit Persoonsgegevens) aan de andere kant? Om samen tot een aantal concrete oplossingen te komen voor vraagstukken als deze?