Het IP-adres en de dynamiek van het persoonsgegeven-begrip

Lees de nieuwe blog van de Redactiecommissie hier!

Blog

 

 

 

 

 

Bron foto: wiseGEEK

Alle apparaten die zijn aangesloten op het internet, zoals computers, tablets en telefoons, beschikken over een numerieke reeks waarmee het apparaat online kan worden geïdentificeerd. Dit nummer wordt een internetprotocoladres (IP-adres) genoemd en wordt door een internetprovider (ISP) toegewezen aan apparaten die via de ISP verbinding maken met het internet. Een IP-adres kan statisch of dynamisch zijn. Een statisch IP-adres wordt permanent toegewezen aan een bepaald apparaat. Een apparaat dat gebruik maakt van dynamische IP-adressen krijgt per verbinding met het internet een ander IP-adres toegewezen. De ISP beschikt in beide gevallen over informatie waaruit kan worden opgemaakt welk IP-adres aan welk apparaat is (of was) gekoppeld.

Over de vraag of, en zo ja, onder welke omstandigheden IP-adressen kunnen worden aangemerkt als persoonsgegevens bestaat al geruime tijd discussie. De art. 29-werkgroep (WP29) is van mening dat IP-adressen bijna altijd persoonsgegevens zijn. Dit is volgens de WP29 alleen anders wanneer gebruikers van IP-adressen om ‘technische en organisatorische’ redenen niet kunnen worden geïdentificeerd. Van een dergelijke situatie is bijvoorbeeld sprake wanneer IP-adressen worden toegewezen aan computers in een internetcafé, waar de klanten zich niet hoeven te identificeren alvorens ze van de computers gebruik mogen maken. Deze vrij absolute interpretatie van het persoonsgegeven-begrip kent voor- en tegenstanders, waarvan van de laatste categorie hoogleraar Gerrit-Jan Zwenne een prominent voorbeeld is. In zijn oratie gebruikte Zwenne de ontwikkelingen omtrent de juridische kwalificatie van IP-adressen als illustratie voor de, in zijn optiek, te vergaande verwatering van het persoonsgegeven-begrip.

Patrick Breyer tegen Bondsrepubliek Duitsland
Op 12 mei jl. heeft de Advocaat Generaal (AG) van het Hof van Justitie van de Europese Unie (HvJ EU / Hof) zijn bijdrage aan eerdere genoemde discussie geleverd, door in een conclusie tot een minder ‘absolute’ uitleg van het persoonsgegeven-begrip te komen dan door de WP29 wordt gehanteerd. De lopende procedure bij het Hof betreft een Duitse zaak waarin door het Bundesgerichtshof prejudiciële vragen zijn gesteld. Voor deze bijdrage is met name de beantwoording van de eerste prejudiciële vraag relevant. De AG laat zich in zijn antwoord namelijk uit over de vraag of een dynamisch IP-adres voor de aanbieder van een internetdienst een persoonsgegeven is, wanneer de ISP aanvullende gegevens bezit die in combinatie met het IP-adres de identificatie van de websitebezoeker mogelijk maken.

Feitelijke omstandigheden
Wanneer een internetgebruiker websites van Duitse federale instellingen bezoekt, wordt onder andere het IP-adres van de bezoeker bewaard om zo eventuele internetaanvallen te kunnen afweren en strafvervolging van internetcriminelen mogelijk te maken. De Duitse politicus en jurist Patrick Breyer is het hier niet mee eens en stelt dat het bewaren van de IP-adressen een verwerking van persoonsgegevens inhoudt. Volgens Duitse wetgeving mogen persoonsgegevens in de gegeven situatie alleen worden bewaard om gebruik van internetdiensten en eventuele facturatie mogelijk te maken. Het opslaan van persoonsgegevens voor ‘security-doeleinden’ zou op basis van het voorgaande in strijd zijn met de wet.

Beoordeling AG
Met verwijzing naar overweging 26 van de Europese gegevensbeschermingsrichtlijn, stelt de AG, kort gezegd, dat een IP-adres een persoonsgegeven is, wanneer redelijkerwijs moet kunnen worden aangenomen dat de verantwoordelijke aanvullende gegevens van een derde kan verkrijgen, waardoor identificatie van een websitebezoeker mogelijk wordt. Hiervan is geen sprake, wanneer het verkrijgen van de gegevens ‘heel kostbaar, praktisch ondoenlijk, of bij wet verboden is’. Toegepast op de casus komt de AG tot de conclusie dat het verkrijgen van gegevens door de Duitse federale instellingen bij een ISP ‘redelijkerwijs mogelijk’ is. Een ISP is immers een ‘hoofdrolspeler op het internet’, van wie bekend is dat hij in het bezit is van gegevens waarmee een websitebezoeker kan worden geïdentificeerd. Op basis van de feiten en omstandigheden van het onderhavige geval kan het dynamische IP-adres in handen van de Duitse instellingen dus worden aangemerkt als een persoonsgegeven.

Conclusie
De AG heeft in zijn conclusie een nuance aangebracht op het vrij absolute standpunt van de WP29, dat erop neerkomt dat IP-adressen vrijwel altijd als persoonsgegevens kunnen worden aangemerkt. In zijn conclusie hanteert de AG een strengere toets, die in de Duitse zaak evenwel leidde tot de conclusie dat IP-adressen – in de specifieke situatie van het geval – als persoonsgegevens kunnen worden aangemerkt. In reactie op de conclusie van de AG verschenen recent verschillende nieuwsberichten, waarin enigszins kort door de bocht melding werd gemaakt van het nieuws dat ‘IP-adressen persoonsgegevens zijn’. IP-adressen zullen inderdaad vaak als persoonsgegevens kunnen worden aangemerkt, maar, ontleend aan Zwenne en mijns inziens nu dus bevestigd door de AG van het HvJ EU, soms ook niet.

SViR wordt mogelijk gemaakt door:

  • Brinkhof
  • Van Doorne
  • IViR
  • IE-Forum
  • De Brauw
  • Stibbe
  • DLA
  • Considerati
  • Bird en Bird Coffee Break
  • Simmons Simmons
  • Van Kaam
  • Klos CS
  • HOYNG