Uw gasten-WiFi en de GDPR (AVG)
Ik heb al eerder een blog geschreven over het veilig gebruik maken van publiek WiFi maar wat staat er te gebeuren met de GDPR voor u als aanbieder van WiFi voor uw klanten?
De GDPR legt sterke beperkingen op aan bedrijven voor het opvragen, analyse en gebruik van persoonlijke informatie. Gegevens die gebruikt worden moeten noodzakelijk zijn voor de dienst die verleend wordt. Nu wordt het gratis WiFi van betaald met gebruiksgegeven zoals de browser geschiedenis, soort data of soms zelfs een facebook login met bijbehorende data.
Openbaar WiFi vs Gasten WiFi
Als men “openbaar” WiFi aanbiedt valt dit onder de telecommunicatie wet, de aanbieder moet dan ook geregistreerd worden, de dienst moet dan ook beschikbaar worden gemaakt voor de aftapwet, er geld een bewaarplicht etc. Het maakt hierbij niet uit of de dienst gratis is of er voor betaald moet worden.
Is de dienst voor een afgebakende groep zoals bijvoorbeeld gasten in een hotel, klanten in een winkel dan is er geen sprake van “openbare toegang” en gelden de strenge regels van de telecomwet niet.
Actief vs Passief
Een aanbieder van WiFi en internet kan alles monitoren en controleren wat er het netwerk gebeurd. Dit is echter in strijd met de privacywetgeving. Privacy is een grondrecht en mag alleen geschonden worden als daar een gegronde reden voor is. Ook de Wbp (Wet bescherming persoonsgegevens) staat het zomaar monitoren van personen niet toe. Wil je als aanbieder van WiFi dan toch inzicht in het gebruik van je netwerk dan moet er op zijn minst een regelement zijn waarin dit is vastgelegd. Dit regelement moet ook makkelijk te verkrijgen zijn, dus naast een captive portal is een pdf wel wenselijk.
Wat wel mag is passief monitoren of filteren. Als er niemand meekijkt en de computersystemen net werk doen kan er van privacy schending geen sprake zijn. Het blokkeren van bepaalde soorten websites zoals porno of illegale activiteiten is toegestaan. Het beperken van bepaalde diensten om misbruik tegen te gaan valt hier ook onder.
Toestemming
Voor het gebruik van persoonsgegevens is na 25 mei 2018 toestemming nodig en in de meeste gevallen voldoen de voorwaarden in een captive portal niet. Kort gezegd er is geen noodzaak voor het gebruik van persoonlijke gegevens voor de werking van het netwerk. WiFi provider Purple is naar eigen zeggen de eerste provider die GDPR-compliant is met aangepaste voorwaarden en een gebruikersaccount systeem waar mensen kunnen aangeven wat ze willen delen.
Beveiliging
Als laatste wordt WiFi ook nog indirect benoemd in de nieuwe GDPR regels.
bedrijven moeten “gepaste technische en organisatorische maatregelen treffen om een voldoende beveiligingsniveau te waarborgen voor de dienst die ze aanbieden”. Met andere woorden het toepassen van WiFi’s best practices zoals:
- Het gebruik van WPA2-AES en straks WPA3 voor gebruikers te authentiseren.
- Gebruik van client isolation
- Geen gebruik maken van de standaard wachtwoorden van routers en accespoints.
- Het monitoren van het WiFi netwerk tegen inbreuk en aanvallen van buitenaf.
Meer info over veilig gasten WiFi? Neem dan contact met ons op!