Blog

Is een dynamisch IP-adres wel of geen persoonsgegeven? Het HvJ oordeelt!

Aangezien de privacyweken deze week zijn begonnen op NPO3, zal vandaag een zaak worden besproken waarin persoonsgegevens (en dus privacy) centraal staan. Op woensdag 19 oktober 2016 heeft het Hof van Justitie van de Europese Unie (hierna: HvJ) in de zaak Patrick Breyer tegen Bundesrepublik Deutschland antwoord gegeven op de (prejudiciële) vraag of dynamische IP-adressen persoonsgegevens (kunnen) zijn in de zin van artikel 2 van de Privacyrichtlijn (Richtlijn 95/46/EG). Deze vraag is relevant, omdat voor de verwerking van persoonsgegevens regels zijn opgesteld om zo het recht op persoonlijke levenssfeer (ook wel: recht op privacy) van personen te waarborgen. De feiten van de zaak waren als volgt.

Feiten

Patrick Breyer heeft meerdere websites van Duitse federale instellingen bezocht. Om cyberaanvallen tegen te gaan en cyberaanvallers strafrechtelijk te vervolgen, houden de meeste van deze websites logbestanden bij van ieder bezoek aan de website. Van ieder bezoek worden de volgende gegevens bewaard: de naam van de opgevraagde website, de termen die in de zoekvelden werden ingevoerd, het tijdstip van de opvraging, de hoeveelheid overgedragen gegevens, het bericht of de opvraging is gelukt, en het IP‑adres van de computer van waaraf de opvraging heeft plaatsgevonden.

Breyer komt in deze zaak op tegen het feit dat de Bondsrepubliek Duitsland – na zijn bezoek aan websites van Duitse federale instellingen – het dynamische IP-adres van zijn hostsysteem bewaart.

Onderscheid statische en dynamische IP-adressen

Om deze zaak goed te begrijpen dient een onderscheid te worden gemaakt tussen een dynamisch en een statisch IP-adres, Een dynamisch IP-adres is een IP-adres dat bij elke nieuwe verbinding met het internet verandert. Een statisch IP-adres is – zoals de naam al doet vermoeden – een IP-adres dat niet elke keer wijzigt en onveranderlijk is. Gevolg hiervan is dat het aan de hand van een dynamisch IP-adres – vanwege het tijdelijke karakter – lastiger is om de persoon achter dit adres te identificeren.

Oordeel HvJ

Het HvJ oordeelt dat een dynamisch IP-adres in beginsel geen gegeven is welke direct is te herleiden naar een persoon. Echter, is een persoonsgegeven in de zin van artikel 2 van de Privacyrichtlijn ook elk gegeven, waarmee een persoon indirect kan worden geïdentificeerd. Deze indirecte identificatie aan de hand van het dynamische IP-adres kan plaatsvinden als extra informatie beschikbaar is.

Of een dynamisch IP-adres een persoonsgegeven is hangt dus af van de vraag of de verwerker deze extra informatie tot zijn beschikking heeft of op een wettige manier kan verkrijgen. Als de verwerker de mogelijkheid heeft deze extra informatie te verkrijgen, dan is het dynamische IP-adres een persoonsgegeven in de zin van artikel 2 van de Privacyrichtlijn.

Concreet

Het HvJ constateert dat de Duitse overheid in enkele gevallen – met name bij een cyberaanval – de wettige mogelijkheid heeft om de (voor identificatie benodigde) extra informatie bij de provider op te vragen. Volgens Duits recht is het dus mogelijk om een persoon aan de hand van een dynamisch IP-adres te identificeren (met behulp van de wettig verkregen extra informatie) en dus moet het dynamische IP-adres in dit geval worden gezien als een persoonsgegeven.

Gerechtvaardigd belang

In het tweede gedeelte van de uitspraak oordeelt het HvJ dat een exploitant van een website een gerechtvaardigd belang zou kunnen hebben om (deze) persoonsgegevens te bewaren als dit de goede werking van de websites na in stand houdt. Een belang waar aan kan worden gedacht is misschien het beschermen tegen cyberaanvallen. Indien dit belang daadwerkelijk bestaat, is het de website toegestaan persoonsgegevens te verwerken en dus om dynamische IP-adressen te bewaren.

Gerelateerde berichten