Achter de schermen bij Freedom

FreedomBot · 20 oktober 2021 om 14:26

Er komt van alles en nog wat voorbij op onze interne chat. Zo werd onlangs een bericht van nu.nl gepost door een collega over een Netflix serie. In de serie kwam een telefoonnummer in beeld dat daadwerkelijk door iemand in gebruik was. Deze persoon werd vervolgens plat gebeld door nieuwsgierige fans en deed daarvan beklag.

Het is niet de eerste keer dat zoiets gebeurt.

Feit dat een telefoonnummer is toegekend aan een consument maakt het een persoonsgegeven. Bij ons rijst daarom de vraag: is het mobiele nummer dat wij als standaard gebruiken eigenlijk ook een persoonsgegeven? (En waarom gebruiken we nou juist dat nummer?)

Waarom 06-12345678?

Dit specifieke nummer staat als standaard Nederlands mobiel nummer op internet gepubliceerd. Het staat in een stuk code dat door iedereen kan worden gebruikt. Dit stuk code helpt je bij het valideren van een telefoonnummer op een online formulier. Het bepaalt de vorm van het nummer dat kan worden ingevoerd. Dat komt in dit geval neer op een combinatie van 10 cijfers beginnend met 06.

Het nummer is gepubliceerd in de Google open source library als libphonenumber.

Aan de achterkant wordt 06-12345678 dus gebruikt als placeholder. Daarbij wordt het - in onze ervaring - ook aan de voorkant vaak gebruikt. Bijvoorbeeld door mensen die hun eigen nummer niet willen geven. Wij zijn ervan overtuigd dat het voor een consument of een bedrijf daarom ondoenlijk zou zijn om dit nummer in gebruik te hebben.

Maar zeker weten doen we het dus niet: is het nou wel of niet een persoonsgegeven? Tijd voor een onderzoekje!

Even bellen met ACM en COIN

Volgens het bericht op nu.nl zou de ACM (autoriteit consument en markt) over het verlossende antwoord beschikken. In ieder geval voor Nederlandse regisseurs die een Nederlands telefoonnummer veilig in beeld zouden willen brengen in hun producties.

Na een aantal belletjes met de ACM blijkt dat dat niet het geval is. Ze hebben geen nep nummer paraat dat iedereen zonder probleem voor publicatie kan gebruiken. Evenmin kan de ACM bevestigen dat het nummer 06-12345678 niet in gebruik is door een consument. Ze weten ons wel te vertellen dat het nummer in 2002 aan KPN is toegekend en daarom een persoonsgegeven kan zijn.

Het bericht op nu.nl was de ACM ook al ter ore gekomen. De medewerker van de ACM die wij spraken zei dat deze vraag al een aantal keer eerder voorbij was gekomen binnen de organisatie. De vraagstelling heeft alleen niet eerder geleid tot een sluitend antwoord.

Omdat we benieuwd waren naar wat COIN van deze kwestie weet, hebben we hen ook gebeld. COIN bevestigt dat wat de ACM zegt en kan daar niets aan toevoegen.

We moeten dus contact zoeken met de enige partij die hier nog iets over kan zeggen: KPN.

KPN bevestigt!

Van de FG (functionaris gegevensbescherming) van KPN horen we uiteindelijk dat het nummer op dit moment niet door een klant wordt gebruikt. Het nummer wordt apart gehouden en zal ook in de toekomst niet in gebruik worden gegeven aan een klant.

Daarmee is de kous af. Wij (en iedereen met ons) kunnen het nummer blijven publiceren want er is geen sprake van een persoonsgegeven.

Heb jij in dit kader nog een vraagstuk dat uitgezocht moet worden? Neem vooral contact met ons op via privacy@freedomnet.nl. Of bespreek het op onze community!

Zie het oorspronkelijke bericht op https://freedom.nl/nieuwsartikel/achter-de-schermen-bij-freedom

anon0224 · 20 oktober 2021 om 15:07

Leuk stuk.

Ik meen dat telefoonnummers onder privacywetgeving vallen als het nummer onlosmakelijk een persoon gaat (of kan) identificeren. Of andere telefoonnummers wel mogen worden gebruikt in publicaties, hangt naast toestemming, af van het doel en toepassing.

Zelf vul ik trouwens ook 06-12345678 in als ik een nummer moet achterlaten dat verder geen functie vervuld. Net zoals ik het adres/postcode van het gemeentehuis invul als ik redeloos een adres moet achterlaten. Verder inzake Freedom maak ik graag gebruik van blackhole adressen en/of de anonieme alias.

Ik zoek alleen nog een manier dat ik ook anoniem(er) mail kan versturen. Bij Freedom kan je weliswaar emailadressen maken die echter qua (op/eigen) domeinnaam wat minder anoniem zijn.
In specifieke gevallen, gebruik ik dan (alias identity) mailaccounts die ik na gebruik dan wegmieter. Voorwaarde is natuurlijk om geen catchall toe te passen.

Edward · 20 oktober 2021 om 15:31

Tik eens in “10 minute mail” in een zoekmachine en je kan anoniem mails versturen.
Als je ook nog een VPN daarbij gebruikt , b.v. Protonvpn, anoniemer kan volgens mij niet.

Drs_W · 20 oktober 2021 om 17:08

Bij het ontwerpen van IPv4 werd meteen een serie gedefinieerd die nooit op het wereldwijde web zal komen (al heeft Micro$oft dat soms wèl toegelaten),
denk aan de ranges als 192.168.1xx.yyy en 10.0.0.zzz

Het zou handig zijn als ook op andere gebieden meteen mèt het ontwerpen ook unieke exemplaren worden ontworpen die nooit in de buitenwereld kunnen worden gebruikt,
bijvoorbeeld :

0123-456 789 en 0987-654321
06-12345678 en 06-98765432
NL99 BANK 1234 5678 90
Sesamstraat 23 , 9876 XY Wad 'n Zee
Ge-Bruiker@Meel-Bestaat-Niet.NL

voor de Freedom-ideeënbus : Retourtje ? ! ?
Vroeger gebruikte de PTT telefoonnummers, die jou na 1 minuut terugbelden, en bij contact meteen weer neerlegden (een terugbel-test om lijnen te testen).

Stel je eens voor dat je als Freedom-klant het volgende “cadeau” zou krijgen:

je mailt naar een test-mail-adres en krijgt een reply met daarin route- en mail-detail- gegevens, de gestuurde mail wordt “bewaard” in de prullenbak, die meteen wordt geleegd (ofwel weggegooid)
Handig voor mensen, die hun eigen mail instellen en willen testen
je belt naar het nummer 08378-3733366 (“test-Freedom”) , hoort een piep, en wordt na 30 seconden teruggebeld op het bellende nummer, waarna weer een piep en verbinding wordt verbroken
je sms-t naar nummer 08378-3733366 (“test-Freedom”) , en krijgt een retour-smsje met daarin de detail-gegevens zoals de ontvanger het ziet. De sms zèlf wordt bij de voorgaande mail bewaard, dus: meteen weggegooid.
enzovoort …

't Is maar een gedachtensprongetje naar aanleiding van de Botte melding,
sorry, ik bedoel de melding van (freedom-) Bot.

( edit )
Tegen misbruik kun je het aantal pogingen vanaf een bepaald adres/nummer beperken; helpt tegen DDoS …

subbink · 20 oktober 2021 om 19:52

Dat zijn wel adressen (RFC1918) die niet via het internet routeerbaar (zouden moeten) zijn, maar die zijn niet bedoeld voor documentatie. Daarvoor is namelijk RFC5737 gemaakt:

Ook bij IPv6 is er ook gewoon een documentatie prefix (2001:0db8::/32) beschikbaar.

En ik ben het met je eens dat dit voor andere zaken ook zou moeten.

anon0224 · 21 oktober 2021 om 00:18

Hier IBAN Voorbeelden
bv. ABNANL2A NL02ABNA0123456789

Noci · 21 oktober 2021 om 08:58

De oorzaak van deze IP adressen (IPv4) is dat SUN 192.0.2.x al in documentatie gepubliceerd had.
En dat is toen maar vastgesteld.

In de US is het gebruik van een dummy nummer al veel langer in gebruik al vanaf de jaren 60 oid.
(555-…) zijn vziw niet gebruikte nummers.

Erik · 21 oktober 2021 om 09:29

Voor mail heb je tld zoals .invalid en .example
PostNL heeft speciale postcodes, die voor test doeleinden zijn.

Wat is de meerwaarde t.o.v. het testen naar jezelf?

Als we het toch over IP adressen hebben, wat gebeurt er eigenlijk met 240.0.0.0/4 ?

Noci · 21 oktober 2021 om 09:31

240.0.0.0/4 wordt niet normaal gerouteerd.
Alle routers kennen dit als multicast en het wordt uitsluitend via een Multicast routing engine volgens de regels ervan verspreid.
Zonder dat je een RV-point inricht zal er verder niets meer gebeuren.

anon0224 · 21 oktober 2021 om 11:52

Handig om zonder - keer op keer - een ander te betrekken, om te kunnen controleren of je - of bv bij VOIP of mail - bereikbaar bent.

Zelf heb ik bv een (obscuur) mailadres op standaard Out of office staan zodat ik direct antwoord krijg als ik er een mail naartoe stuur. Met voip is dat wat lastiger, ooit wel 's met Asterisk een retour-terugbeltest ingeregeld, met name om zo direct voip2voip bellen (dwz niet pots-nummer & zonder provider) te kunnen testen.