Door de invoering van de algemene verordening gegevensbescherming staat de bescherming van persoonsgegevens weer volop in de belangstelling. Niet alleen omdat een aantal eisen aangescherpt worden in de verordening, maar vooral ook omdat de sancties op niet-naleving nogal drastisch verhoogd worden.

Als je het hebt over bescherming van persoonsgegevens, dan is de eerste en misschien wel belangrijkste vraag: wat is een persoonsgegeven nu eigenlijk? De verordening geeft daar het volgende antwoord op: “ iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ,betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit;”. Dat is een hele mond vol. Je zou dit als volgt kunnen samenvatten:

“Informatie over een direct of indirect identificeerbare persoon”.

Dat klinkt overzichtelijk. Maar, wanneer is iemand nu ‘indirect identificeerbaar”? Daarover heeft het hoogste Europese gerecht afgelopen maand een opvallende uitspraak gedaan. Wat was er aan de hand?

De Duitse staat verzamelt dynamische IP adressen van bezoekers van zijn websites. Ze doen dat, om bij cyberaanvallen bij het openbaar ministerie (OM) een bevel te vragen aan de Internet Service Provider (ISP) om gegevens beschikbaar te maken aan de staat, zodat de dynamische IP adressen gekoppeld kunnen worden aan personen, waarmee vervolgens de cyberaanvallers geïdentificeerd kunnen worden. De hoogste rechter had al veel eerder statische IP adressen (dus vast aan een computer verbonden) al als persoonsgegeven benoemd, omdat je er de eigenaar/gebruiker van de computer mee kunt identificeren. Maar, om van een dynamisch IP adres een persoonsgegeven te kunnen maken moet de Duitse staat de medewerking ven het OM en van de ISP hebben. De hoogste rechter heeft daarover nu gezegd dat het dynamische IP adres “ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust”. De Staat kan over die wettige middelen beschikken, dus is het voor de Staat een persoonsgegeven.

Dus, zodra identificatie van een natuurlijke persoon in beginsel tot de realistische mogelijkheden behoort, dan is een gegeven een persoonsgegeven.

Klik hier voor de uitspraak van het HvJ EU

Frank van ’t Geloof (fvtg@bdmadvocaten.nl)

14 november 2016

Meer informatie?

Neem vrijblijvend contact op met onze advocaat