Gepubliceerd op woensdag 2 november 2016
IT 2162

Bijdrage ingezonden door: Huub de Jong en Lisa Molenaars, Louwers IP|Technology Advocaten

Europese Hof van Justitie: Dynamisch IP-adres is persoonsgegeven

Op 19 oktober 2016 oordeelde het Europese Hof van Justitie (HvJ EU) in het Breyer/ Duitsland arrest (IT 2155, red.) dat dynamische IP-adressen persoonsgegevens kunnen zijn in de zin van de Privacyrichtlijn 95/46. Deze richtlijn is geïmplementeerd in onze Wet bescherming persoonsgegevens (Wbp). 
Hieronder zal kort uiteengezet worden hoe het HvJ EU tot haar oordeel is gekomen en wat dit voor de praktijk betekent ('lees meer', red.)

Wat zijn persoonsgegevens?
Volgens artikel 2 van de Privacyrichtlijn is een persoonsgegeven:

iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (…). Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.”  

Het begrip persoonsgegeven moet dus ruim worden opgevat. Ook gegevens die iemand indirect identificeren vallen eronder, indien deze gegevens door combinatie met andere gegevens toch met een bepaalde persoon in verband kunnen worden gebracht. Zo werd eerder bijvoorbeeld geoordeeld dat telefoonnummers, postcodes met huisnummers en kentekens van auto's als persoonsgegevens kunnen worden aangemerkt. 

Statische- en dynamische IP-adressen
In onderhavige zaak was de vraag aan de orde of dynamische IP-adressen onder bepaalde omstandigheden (welke hierna besproken zullen worden) als persoonsgegeven gekwalificeerd kunnen worden.

Voor een goed begrip van de uitspraak van het HvJ EU is het noodzakelijk om te weten wat een IP-adres is. De afkorting IP-adres staat voor Internet Protocol adres. Het Internet Protocol is een techniek die gebruikt wordt om computers in een netwerk (zoals het internet) met elkaar te laten communiceren. In dat netwerk krijgt elke computer een unieke code toegewezen. Deze code bestaat uit een numerieke reeks die er bijvoorbeeld zo uitziet: 192.168.0.10. Wanneer een computer over een statisch c.q. vast IP-adres beschikt is dat altijd dezelfde code. Maar als een IP-adres bij elke nieuwe verbinding met het internet wijzigt is sprake van een dynamisch IP-adres. 

Eerder oordeelde het HvJ EU in het Scarlet Extended arrest al dat een statisch IP-adres in handen van een internet service provider (ISP) een persoonsgegeven vormt. 

Onderhavige zaak verschilt echter op twee belangrijke punten van dat eerdere arrest, want i) het gaat nu specifiek om dynamische IP-adressen en ii) de desbetreffende IP-adressen zijn niet in handen van een ISP, maar in handen van de Bondsrepubliek Duitsland (de aanbieder van de online mediadiensten). 

De casus

Patrick Breyer heeft verschillende websites van Duitse federale instellingen bezocht. Op deze voor het publiek toegankelijke sites staat actuele informatie. Om cyberaanvallen af te weren en strafvervolging van de aanvallers mogelijk te maken, wordt bij de meeste van deze sites elk bezoek in logbestanden geregistreerd. In deze logbestanden wordt na afloop van het bezoek aan die sites onder meer het IP‑adres opgeslagen van de computer van waaraf de site bezocht is. Breyer is in dit kader een juridische procedure tegen de Bondsrepubliek Duitsland gestart en heeft onder meer gevorderd om de opslag van zijn IP-adres na zijn bezoek aan de websites te verbieden, voor zover de bewaring niet is bedoeld om de beschikbaarheid van de website te herstellen in geval van een storing.

Deze vordering is gebaseerd op het feit dat de IP-adressen van Breyer een persoonsgegeven is in de zin van artikel 2 van de Privacyrichtlijn en dat de verwerking daarvan door de Bondsrepubliek Duitsland niet op een wettelijke grondslag berust. De Bondsrepubliek Duitsland is echter van oordeel dat dit IP-adres geen persoonsgegeven is en dat zij daarom ook niet aan de privacywetgeving hoeft te voldoen.  

De Duitse appelrechter oordeelde dat een dynamisch IP-adres samen met het tijdstip van bezoek enkel een persoonsgegeven vormt wanneer de websitebezoeker zijn identiteit tijdens zijn bezoek bekend heeft gemaakt, door bijvoorbeeld zijn naam of e-mail adres in te voeren. Alleen dan kan de exploitant van de website de gebruiker in kwestie identificeren door zijn naam en het IP-adres aan elkaar te koppelen. Zowel Breyer als Duitsland hebben tegen dit oordeel cassatie ingesteld bij het Duitse Bundesgerichtshof. Het Bundesgerichtshof heeft het HvJ EU vervolgens gevraagd of de dynamische IP-adressen van Breyer persoonsgegevens zijn in de zin van de Privacyrichtlijn en of de bewaring van deze IP-adressen na het bezoek aan de websites wel is toegestaan.

De uitkomst 

Voor de beantwoording van deze vragen heef het HvJ EU eerst gespecificeerd van welke twee uitgangspunten zij is uitgegaan, namelijk dat:

i)    er door de Bondsrepubliek Duitsland dynamische IP-adressen, in combinatie met de datum en het uur waarop de website is bezocht, worden opgeslagen; en 
ii)    de Bondsrepubliek Duitsland zelf niet beschikt over extra informatie waarmee de gebruiker geïdentificeerd kan worden, maar de ISP wel. 

Het HvJ EU stelt vast dat het IP-adres in elk geval niet direct herleidbaar is tot een persoon, maar dat onderzocht moet worden of een persoon indirect kan worden geïdentificeerd met dit dynamische IP-adres. Daarvoor dient gekeken te worden naar alle middelen die redelijkerwijs kunnen worden ingezet door zowel de Bondsrepubliek Duitsland als enig ander persoon. Voor de kwalificatie van een gegeven als persoonsgegeven is dus niet vereist dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd bij een en dezelfde persoon berust. 

Vervolgens dient vastgesteld te worden of de extra informatie die in het bezit is van de ISP redelijkerwijs kan worden ingezet om de betrokken persoon te identificeren. Dit is volgens het HvJ EU niet het geval als de identificatie van de betrokkene bij wet verboden wordt of in de praktijk ondoenlijk is, bijvoorbeeld omdat zij – gelet op de vereiste tijd, kosten en mankracht – een excessieve inspanning vergt. Dit betekent dus dat hetzelfde gegeven in het ene geval wel een persoonsgegeven is en in het andere geval niet, afhankelijk van het feit door wie dat gegeven verwerkt wordt. 

Vervolgens stelt het HvJ EU vast dat de ISP, die over de naam en het adres van de persoon achter het IP-adres beschikt, deze gegevens niet zomaar mag doorgeven aan de Bondsrepubliek Duitsland. Maar er bestaan wel juridische mogelijkheden voor de Bondsrepubliek om zich, met name in geval van cyberaanvallen, te wenden tot het Duitse Openbaar Ministerie, zodat zij vervolgens de nodige stappen kan ondernemen om die informatie van de ISP te verkrijgen om strafvervolging in te stellen.

Het HvJ EU concludeert dat de Bondsrepubliek Duitsland hiermee over middelen beschikt waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokken persoon met behulp van derden – namelijk het Duitse OM en deISP– te identificeren aan de hand van de bewaarde dynamische IP-adressen. Kortom, in dit geval zijn de dynamische IP-adressen van Breyer persoonsgevens! 

Mogen de IP-adressen na het bezoek worden bewaard? 

De Duitse regeling waarop de opslag van de IP-adressen na het websitebezoek is gebaseerd houdt in dat het enkel is toegestaan om persoonsgegevens van een gebruiker van online mediadiensten zonder diens toestemming te verzamelen en te benutten voor zover dit nodig is om het concrete gebruik van de website door deze gebruiker mogelijk te maken en te factureren. De doelstelling is niet om de goede werking van de website in het algemeen te waarborgen. 

Het HvJ EU oordeelt dan ook dat de opslag van IP-adressen onder deze Duitse regeling niet gerechtvaardigd is omdat de regeling onvoldoende ruimte biedt voor een afweging van de tegengestelde rechten en belangen van de betrokkenen in een concreet geval. Het HvJ EU onderstreept daarentegen wel dat opslag van IP-adressen door aanbieders van online mediadiensten toegestaan kan zijn als sprake is van een gerechtvaardigd belang van de Bondsrepubliek Duitsland of een derde. Dit gerechtvaardigd belang zou erin kunnen bestaan dat de goede werking van de overheidswebsites na elk concreet gebruik ervan in stand wordt gehouden. Volgens het HvJ EU kan het dus mogelijk zijn om de IP-adressen ook na het bezoek aan de website te bewaren, maar niet onder de huidige Duitse regeling. 

Wat betekent dit arrest in de praktijk? 

Dit arrest betekent dat het begrip persoonsgegeven nog veel ruimer dient te worden opgevat dan wel werd aangenomen. Zelfs als degene die de desbetreffende gegevens verzameld twee andere partijen (het OM en de ISP) nodig heeft om extra informatie te verkrijgen, die gecombineerd met het IP-adres tot identificatie van de persoon leiden, kan er sprake zijn van een persoonsgegeven. 

Maar waarom is het nu zo belangrijk of iets wel of niet als persoonsgegeven gekwalificeerd kan worden? Dit betekent dat de privacywetgeving van toepassing is op de verwerking van die gegevens. Dat houdt onder meer in dat er een wettelijke grondslag moet zijn voor de verzameling van die gegevens, dat deze niet zomaar bewaard mogen worden en dat er een aantal verplichtingen op de verantwoordelijke (degene die de zeggenschap over de verwerking van persoonsgegevens heeft) rusten. Hieronder volgt een kort overzicht: 

1.    Wettelijke grondslag 
Deze grondslag kan bestaan uit toestemming van de betrokkene, maar bijvoorbeeld ook uit een gerechtvaardigd belang van de verantwoordelijke of de uitvoering van een publiekrechtelijke taak. 

2.    Doelbinding en bewaartermijn 
De verzamelde persoonsgegevens mogen niet verder gebruikt worden voor onverenigbare doeleinden en niet langer bewaard worden dan noodzakelijk voor de doelen waarvoor zij zijn verzameld. 

3.    Informatieplicht 
De verantwoordelijke moet de betrokkene vooraf mededelen wat zijn identiteit is en wat de doeleinden van verwerking zijn. 

4.    Meldplicht
De verantwoordelijke dient de verwerking van persoonsgegevens bij de toezichthouder – de Autoriteit Persoonsgegevens – te melden. 

5.    Beveiliging
De verantwoordelijke dient technische en organisatorische beveiligingsmaatregelen te nemen zodat de persoonsgegevens voldoende beschermd zijn tegen verlies of enige vorm van onrechtmatige verwerking.

6.    Meldplicht datalekken 
De verantwoordelijke dient een datalek onverwijld te melden bij de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de betrokkenen. Er is sprake van een datalek als een inbreuk op de beveiliging heeft plaatsgevonden, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens.

7.    Bewerkersovereenkomst 
De verantwoordelijke is wettelijk verplicht om de uitvoering van verwerkingen van persoonsgegevens door een bewerker te regelen in een overeenkomst. 

Geschreven door: Huub de Jong en Lisa Molenaars (Louwers IP|Technology Advocaten)