020 3052 980  
  • EN
  • NL

Dynamische IP adressen als Persoonsgegevens

Het Hof van Justitie van de EU heeft in oktober 2016 besloten dat ook dynamische IP adressen persoonsgegevens zijn. In Computer Law Review International heb ik op deze uitspraak ‘Remarks’ gepubliceerd. Op basis van mijn analyse in dat artikel moet de conclusie worden getrokken, dat het Hof heeft bepaald dat, als er een kans is dat gegevens aan een natuurlijke persoon gekoppeld kunnen worden, dat in alle gevallen persoonsgegevens zijn. Hoe ver dat gaat blijkt uit de casus waarom het hier ging.

Een Duitse overheidsinstantie bewaarde dynamische IP adressen met datum en tijd waarop ze gebruikt waren. Het doel daarvan was om, bij een cyber-aanval, een bevel van de officier van justitie te kunnen vragen om van de ISP (Internet Services Provider)  te eisen bekend te maken wie het betreffende IP adres op dat moment gebruikt had. De betreffende overheidsinstantie kon in geen andere omstandigheid iets maken van de dynamische IP adressen dan in deze omstandigheid (althans, uit de casus blijkt dat op geen enkele wijze). Er moest dus aan een hele serie voorwaarden voldaan worden voordat de data werkelijk herleidbaar zouden zijn tot een natuurlijke persoon. Je zou zeggen, dat de logische aanpak zou zijn, om te bepalen dat  de gegevens alleen in die heel specifieke omstandigheden persoonsgegevens zouden zijn. Het Hof zag dat anders.

De kern waarom het gaat in deze uitspraak is uitleg van de volgende zin uit overweging 26 uit de richtlijn bescherming persoonsgegevens: “om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren”. Daarbinnen gaat het dan om wat ‘redelijkerwijs’ betekent. Feitelijk heeft het Hof bepaald dat de betekenis van ‘redelijkerwijs’ is, dat als omstandigheden denkbaar zijn waarin identificatie zou kunnen plaatsvinden, dat identificatie ‘redelijkerwijs’ mogelijk is.

Deze uitspraak is vooral van belang, omdat alle gegevens die onder het begrip ‘persoonsgegevens’ vallen, de bescherming van de richtlijn genieten. Gegevens die er niet onder vallen, genieten geen wettelijke bescherming (tenzij het intellectuele of industriële eigendom betreft). Zodra gegevens ‘persoonsgegevens’ zijn, moet een heel pak aan regelgeving nageleefd worden ten aanzien van die gegevens. Het zou, om overmatige regeldruk te voorkomen, daarom goed zijn juist alleen bij noodzaak van bescherming, die bescherming te bieden. Het Hof ziet dat anders. Het Hof lijkt er van uit te gaan dat, hoe groter de reikwijdte van de richtlijn is, hoe beter het is. In dit geval valt geen nut in te zien van deze bescherming door de richtlijn van deze dynamische IP adressen, maar dat maakt dus niet uit. ‘Redelijkerwijs’ betekent, aldus het Hof,  ‘als er een kans bestaat’. Alleen als er geen kans bestaat, dan is het ‘redelijkerwijs’ niet mogelijk gegevens te koppelen aan natuurlijke personen. Je vraagt je af waarom de wetgever het woord ‘redelijkerwijs’ gebruikt heeft, want in deze uitleg betekent het niets. In andere Unietalen lijkt er verschillende invulling aan gegeven te zijn. In het Engels staat er ‘likely reasonably’. In het Duits is ‘vernünftigerweise’ gebruikt en in het Frans ‘raisonnablement’. ‘Likely reasonably’ impliceert, nog sterker dan in het Nederlands, dat hier bedoeld wordt dat er sprake moet zijn van een reële kans. In het Frans en Duits zou het eerder kunnen worden uitgelegd zoals het Hof dat doet: Die termen zouden in het Nederlands vertaald kunnen worden als ‘denkbaar’. En dan klopt de interpretatie van het Hof in ieder geval tekstueel, hoewel ik van mening blijf dat de reikwijdte van de richtlijn hiermee verder is opgerekt dan nodig is voor een goed beschermingsniveau van persoonsgegevens.

Frank van ’t Geloof