Privacy Policy

With much discussion, FUD and concern about GDPR and the Right to Privacy on the Internet, I thought it appropriate to set out the steps I’ve taken on this site to maximise the privacy of people who choose to visit my little corner of the internet. This isn’t a legal document, more a note of the technical choices I’ve made and implemented here, and I hope that someone finds it all useful.

Cookies and Tracking

This site does not use cookies, nor does it attempt to fingerprint users in any way.

Log files

All logs are anonymized, using the following regex and log_format in nginx.conf

    map $remote_addr $anon_remote_addr {
        ~(?P<ip>\d+\.\d+)\.         $ip.0.0;
        ~(?P<ip>[^:]+:[^:]+):       $ip::;
        default                     0.0.0.0;
    }
    log_format combined_anon '$anon_remote_addr - $remote_user [$time_local] '
                                 '"$request" $status $body_bytes_sent '
                                 '"$http_user_agent"';

As a result, all ip addresses in the logs just show the first two bytes of an ipv4 address, and the first two hextets of an ipv6 address’ Global Prefix. In addition, all log files are deleted after 10 days. I chose 10 days as this is the logging level used by the EFF’s DNT Guide.

Data Transfer

This site exclusively serves all data over the HTTPS protocol, encrypting all data between the browser and the server. Your network provider will still be able to see that you are downloading data from ascraeus.org, but they will not be able to see the content.

Do Not Track

If your browser’s Do Not Track flag is set, then this site doesn’t log your visit at all. In addition, this site uses the LetsEncrypt Certificate Authority, which is itself DNT-compliant and does not log your browser checking the validity of this site’s HTTPS certificate.

Analytics

This site does not use any analytics, at all. The reasons why are better set out in this post of mine: Tracks in the Dust.

Referrer Header

This site’s webserver, nginx, has been configured to set a Referrer Policy Header as follows (again, in nginx.conf):

##
# Referrer Policy
##

add_header Referrer-Policy "no-referrer";

This means that any time you follow a link to an external site from this one, that external site does not know that you have arrived there from here. This is a simple improvement to privacy on the internet which is trivial to implement.

Webmentions

When you send a webmention to this site, you are explicitly providing metadata in your site’s markup, and this information is used to display your comment/reply on this site. This information consists of:

  • Your name, or username
  • A profile picture or avatar, if you have set one on your site
  • The url of your site, and the specific url of your comment/reply
  • The content of your comment/reply

All of this is information made public by you, and no information other than information you have made public can be captured by this process.

GDPR

It is my position that all activity on this site is covered by the general exemption of Article 2 (2)© of the GDPR, and by the specific conception of inapplicability contained in Recital 18.2: Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. This is a personal website, an attempt by me to maintain and control my online identity and presence outside the silos and walled gardens of avaricious corporate entities; there is no advertising here, no tracking, no cookies, no corporation.

That said, the principles of natural persons’ rights which underline the GDPR are good ones, and are to be welcomed. As a result, if you wish to obtain information about any data about you which this site might hold, then please make contact, and I shall make every attempt to assist you. Likewise, if you wish to have anything shown on this site, which you regard as personal information, deleted, then please make contact and I shall endeavour to assist you as much as possible. If you are a citizen of the European Union, then you are entitled to register a complaint with your national Data Protection Authority.

Martijn van der VenMartijn van der Ven
@mullvadnet, I just read your new privacy policy! Love that you include the OpenVPN log config, but have you thought about showing your nginx log config too? Good not only for inspection, but also for people to copy! (Prior art example is @_dgoldsmith’s ascraeus.org/page/privacy/.)
2018-05-24
Amit GawandeAmit Gawande
★ Liked ascraeus.org/page/privacy/
2018-07-09
Het moest er dan toch een keer van komen. Een heuze privacy statement op deez’ blog. Want ja. GDPR en van die dingen. De reguliere lezer weet inmiddels al wel hoe het zit hier maar voor de volledigheid zet ik het allemaal nog eens op een rij. Je zou anders zomaar inene de GDPR-politie voor de deur hebben: “Zo meneertje! Wat zijn wij aan het doen op dat vermalijde Internet met uw eigen site?” Je zou er van de weeromstuit je site van offline halen. U wilt duidelijkheid over uw privacy en recht op data-inzage op deze site? Daar gaan we. Wat is dit? Deze privacy verklaring is opgesteld door Frank Meeuwsen, enig eigenaar, Functionaris Gegevensbescherming, CEO, CMO, CTO en Chef Repro van de internetwebsite Digging the Digital te vinden op de Uniforme Resource Locator https://diggingthedigital.com/. Contact email: [email protected] Deze privacy policy is alleen opgesteld voor de site https://diggingthedigital.com/. Voor de duidelijkheid, ik doe sowieso niets geks met de data die hier wordt verzameld. Sterker nog, I don’t care who you are. Ik vind het tof dat je mijn artikelen leest, dat je er iets van vindt (daarover later meer) maar ik heb geen reden om iets met je data te doen, voorzover ik die al heb. Voor de werking van de site maak ik wel gebruik van diensten die enige data opslaan en/of weergeven. Vrijstelling Zoals ik de GDPR nu interpreteer, ben ik vrijgesteld om me hier strikt aan te houden en wel om de volgende redenen: In artikel 2 lees je: “Deze verordening is niet van toepassing op de verwerking van persoonsgegevens…door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit”. Alle persoonsgegevens worden verwerkt voor een puur persoonlijke activiteit. De persoonsgegevens worden niet opgeslagen om er op later moment een commercieel gewin aan te behalen. Artikel 9.2e geeft aan dat de data is vrijgesteld als “de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt.” Zoals ik dit artikel lees: Bijvoorbeeld via een sociaal netwerk als Twitter Grond 18 meldt: “Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit.” Dit blog heeft geen commercieel oogpunt en is bedoeld als persoonlijk archief. Desalniettemin vind ik het geen slecht idee om meer duidelijkheid en transparantie te geven wat ik op mijn site opsla en met welke reden. Daarom dit privacy statement. Creative Commons Sharealike Licentie Deze privacy verklaring is vrijgegeven onder een Creative Commons Sharealike licentie. Je kunt deze tekst copiëren, aanpassen en hergebruiken voor je eigen site. Let er wel op dat je gepubliceerde verklaring daadwerkelijk je gedrag en uitgangspunten weergeeft. Hergebruik van deze privacy verklaring geeft je wel de morele verplichting je eigen verklaring onder dezelfde licentie vrij te geven. Je krijgt karma, kittens en rainbow-unicorns als je credits teruggeeft aan deze site. Welke persoonsgegevens verzamelt mijn site Als je deze site bezoekt, wordt automatisch technische data verzameld door de webserver. Denk aan je IP-adres. Als je een reactie op deze site geeft, kan deze worden weergegeven op de site. Hiervoor maak ik gebruik van webmentions en laat ik alleen publiek beschikbare informatie zien die door je zelf online is gezet. Soms laat ik iets zien van andere sites als Youtube en Spotify. Zij kunnen eveneens data van bezoekers tracken. Statistieken Omdat ik wil weten hoe mijn site wordt bezocht en welke pagina’s worden bezocht vanaf welke andere site, hou ik statistieken bij. Hiervoor gebruik ik de open source software Matomo. Deze software draait op mijn eigen domein op een eigen server, in tegenstelling tot andere (populaire) statistiekensoftware die bij een andere partij in beheer is. Om de software te laten werken draait er een script op deze site die een cookie zet op jouw computer of telefoon. De informatie die hiermee wordt verkregen, wordt verwerkt door Matomo. In de software heb ik de volgende maatregelen getroffen om de data zo anoniem mogelijk te maken zonder verlies aan functionaliteit IP anonimisatie. De laatste 2 bytes van je IP adres worden geanonimiseerd. Ik zie dus niet het IP adres 123.456.78.90, maar 123.456.xxx.xxx Bezoekersdata ouder dan 180 dagen wordt automatisch verwijderd. Tevens hou ik hier geen archieven of copieen van bij. Ik respecteer je Do Not Track keuze in je browser. Webmentions: reacties op artikelen Je kunt reageren met webmentions. Als jij op je eigen blog een reactie achterlaat waarin je het webadres van een artikel van me noemt, dan verschijnt onder het artikel een verwijzing naar jouw artikel. Als je vanaf je eigen site een webmention naar mijn site stuurt, onderneem je zelf expliciet de actie om metadata te delen met me. Deze metadata gebruik ik om je webmention weer te geven. Op dit moment bestaat dat uit: Je naam of alias Je avatar, voor zover ingesteld op je site De URL van je site en de specifieke URL naar je reactie De inhoud van je reactie Als je een webmention verwijdert wilt, neem contact op met me, dan regelen we dat. Webmentions en backfeed Ik maak gebruik van Bridgy die reacties op Twitter, Micro.blog en andere sociale netwerken monitort voor me. Deze worden doorgestuurd naar mijn site, waar alle webmentions worden verzameld en uiteindelijk weergegeven op mijn site. Hierbij wordt alleen publieke informatie verzameld, opgeslagen en weergegeven die door de oorspronkelijke auteur zelf zijn geplaatst: Je naam of alias Je avatar, voor zover ingesteld op je site De URL van je site en de specifieke URL naar je reactie De inhoud van je reactie Je avatar wordt niet bij mij opgeslagen, ik gebruik de avatar die je op Twitter hebt ingesteld. Je naam en tekst wordt eveneens bij jouw bron gehaald. Mijn webmentions tonen alleen publieke informatie die door jou zelf publiek zijn gemaakt. Met wie deel ik de data die op deze site wordt verzameld? Met niemand. Inzagerecht en datalekken Je hebt het recht om inzicht, correctie en verwijdering van jouw gegevens op te vragen. Aangezien dit alleen gebeurt via de Matomo software, kun je via onderstaand formulier je huidige browser uitsluiten van cookies die van deze site komen. Wil je inzicht in je data, neem contact met me op, dan gaan we op zoek naar een oplossing. Neem eveneens contact met me op als je het idee hebt dat er een datalek op deze site is. Opt-out Wil je dat deze site geen data van je bijhoudt en wil je anoniem hier lekker rondklikken? Dat is prima! Hieronder zie je als het goed is een mogelijkheid om jouw bezoek uit te sluiten en je niet te volgen door middel van een cookie. Zie je hieronder een tekst in de trant van “You are not being tracked since your browser is reporting that you do not want to.”, dan is alles al geregeld en trackt de Matomo software je niet. Good bot! Eindgedachte Ik geloof in de onderliggende principes en visie van de GDPR. De rechten van de online burger moeten beter worden beschermd, waarbij ik het standpunt inneem voor een open en inclusief internet. Zoals ik met mijn site stappen neem om meer controle te hebben over mijn online identiteit buiten de silo’s en gesloten netwerken van private bedrijven met eigen wetten en interne regelgeving. Het is eenieders goed recht om zich volledig onder te dompelen in de commercieel gedreven data-surveillance van deze netwerken in ruil voor een goede bereikbaarheid voor vrienden, familie, collega’s en bedrijven. Net zo goed als het ieders recht is om zich hier meer en meer aan te onttrekken zonder verlies van je online identiteit. Deze site is een publieke ontdekkingstocht naar dat recht, zonder winstoogmerk en zonder commerciële inmenging van bedrijven en organisaties. Credits Props en internetkarma aan als Fred Zelders, Ton Zijlstra, Automattic en Ascraeus voor hun privacy policies waar ik rijkelijk van heb mogen lenen en leren.
2019-09-08