Dynamische IP-adressen kunnen persoonsgegevens zijn

Jan Baas
Jan Baas Advocaat / partner

Advocaat en partner Jan Baas schrijft een annotatie in Jurisprudentie Bescherming Persoonsgegevens (JBP) over dynamische IP-adressen, die volgens hem ook persoonsgegevens kunnen zijn. Dit naar aanleiding van een verzoek om een prejudiciële beslissing betreft de uitlegging van de artikelen 2, onder a), en 7, onder f), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31). Dit verzoek is ingediend in het kader van een geding tussen P. Breyer en de Bondsrepubliek Duitsland over de registratie en bewaring door de Bondsrepubliek Duitsland van Breyers internetprotocoladres bij zijn bezoek van verschillende websites van Duitse federale instellingen (ECLI:EU:C:2016:779, in zaak C‑582/14)

Samenvatting JBP 2016/82

Breyer heeft verschillende websites van Duitse federale instellingen bezocht. Teneinde cyberaanvallen af te weren en strafvervolging van de aanvallers mogelijk te maken, wordt bij de meeste van deze sites elk bezoek in logbestanden geregistreerd. In deze logbestanden worden na afloop van het bezoek van die sites de volgende gegevens bewaard: de naam van de opgevraagde website of van het opgevraagde bestand, de termen die in de zoekvelden werden ingevoerd, het tijdstip van de opvraging, de hoeveelheid overgedragen gegevens, het bericht of de opvraging is gelukt, en het IP-adres van de computer van waaraf de opvraging heeft plaatsgevonden.

Dynamische IP-adressen

IP-adressen zijn numerieke reeksen die worden toegekend aan computers die met het internet zijn verbonden, teneinde hun onderlinge communicatie via het internet mogelijk te maken. Internetproviders kennen aan computers van internetgebruikers ofwel een ‘statisch IP-adres’ of een ‘dynamisch IP-adres’ toe. Een ‘dynamisch IP-adres’ is een IP-adres dat bij elke nieuwe verbinding met het internet wijzigt. Een ‘statisch IP-adres’ is onveranderlijk en maakt permanente identificatie van het met het internet verbonden apparaat mogelijk.

Breyer heeft bij de Duitse bestuursrechtelijke gerechten een beroep ingesteld dat ertoe strekt dat aan de Bondsrepubliek Duitsland een verbod wordt opgelegd om, na zijn bezoek van voor het publiek toegankelijke websites van Duitse federale instellingen, het IP-adres van zijn hostsysteem van waaraf de toegang tot deze websites heeft plaatsgevonden, te bewaren of door derden te doen bewaren, voor zover de bewaring van dat IP-adres niet nodig is om de beschikbaarheid van die media te herstellen in geval van storing. Naar aanleiding van deze zaak heeft het Bundesgerichtshof twee prejudiciële vragen gesteld aan het Hof.

Eerste prejudiciële vraag

De eerste prejudiciële vraag is of art. 2 sub a richtlijn 95/46 aldus moet worden uitgelegd dat een dynamisch IP-adres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer enkel een derde, in casu de internetprovider van die persoon, beschikt over de extra informatie die nodig is om die persoon te identificeren. Volgens het Hof is het IP-adres in dat geval een persoonsgegeven, mits de aanbieder beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust. Van een persoonsgegeven is immers ook sprake wanneer die persoon indirect kan worden geïdentificeerd. Bovendien vereist art. 2 sub a richtlijn 95/46 verder niet dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust.

Tweede prejudiciële vraag

De tweede prejudiciële vraag is of art. 7 sub f richtlijn 95/46/EG zo moet worden uitgelegd dat het zich verzet tegen een regeling van een lidstaat op grond waarvan een aanbieder van onlinemediadiensten persoonsgegevens van een gebruiker van deze diensten zonder diens toestemming enkel mag verzamelen en benutten voor zover dit nodig is om het concrete gebruik van deze diensten door deze gebruiker mogelijk te maken en te factureren, zonder dat de doelstelling die erin bestaat de goede werking van die diensten in het algemeen te waarborgen, rechtvaardigt dat die gegevens worden benut na afloop van de desbetreffende sessie. De vraag wordt bevestigend beantwoord. Een dergelijke regeling heeft een beperktere reikwijdte dan het in art. 7 sub f richtlijn 95/46/EG vervatte beginsel. Krachtens artikel 5 van de richtlijn 95/46/EG mogen lidstaten geen andere beginselen betreffende de toelaatbaarheid van de verwerking van persoonsgegevens invoeren dan die in artikel 7 worden genoemd. Boven verzet art. 7 sub f zich ertegen dat een lidstaat voor bepaalde categorieën persoonsgegevens categorisch en generiek de mogelijkheid van verwerking uitsluit, zonder ruimte te bieden voor een afweging van de betrokken tegengestelde rechten en belangen in een concreet geval.

Bekijk deze publicatie (.pdf)