27/05/2016

Moeten (dynamische) IP-adressen beschouwd worden als een persoonsgegeven?

269_detail.jpg

In het arrest van 24/11/2011 in de zaak Scarlet vs. Sabam - een zaak die in IP en IT-middens destijds veelvuldig becommentarieerd werd, zo ook in deze post en deze post op deze blog - oordeelde het Hof van Justitie van de Europese gemeenschappen reeds eerder dat een IP-adres als een persoonsgegeven onder de Europese Privacyrichtlijn, en a fortiori onder de Belgische Privacywet, moet worden beschouwd.

De omstandigheden de aanleiding gaven tot dit oordeel was het verwerken van IP-adressen door Scarlet Extended NV, als internet access provider. Het bijhouden en koppelen van IP-adressen aan bepaalde abonnees is technisch noodzakelijk om diensten inzake internet acces te kunnen aanbieden. Elke modem van een bedrijf of particuliere woning heeft immers een eigen IP-adres, en het is aan de hand van dit IP adres dat de internet provider de juiste webpagina's of bestanden naar de juiste abonnee stuurt. Aangezien de internet provider ook andere gegevens over deze abonnee bijhoudt - minstens om hem of haar maandelijks een factuur te kunnen richten, zijn of haar verbruik te meten, enz. - ging het Hof er in 2011 terecht van uit dat een IP-adres een persoonsgegeven uitmaakt voor de internet service provider, aangezien deze adressen hem de precieze identificatie van die gebruikers mogelijk maken.

Maar wat indien dergelijke IP-adressen niet door een internetprovider worden verzameld, maar door een internet content provider (de uitbater van een website, een filesharingplatform, een e-commercesite, enz.)?

  • Vormt het bijhouden van IP-adressen in dat geval ook een persoonsgegeven?
  • En wat met dynamische IP-adressen, die door een internet service provider om de zoveel dagen, weken of maanden worden veranderd? *
Deze vragen liggen thans voor in een zaak die hangende is voor het Hof van Justitie van de EU. Het Duitse Bundesgerichtshof werd geconfronteerd met een zaak waarbij diverse Duitse overheidssites dynamische IP-adressen van bezoekers bijhielden, en deze combineerden met andere data (naam, adres, e-mail, enz.). Een Duitse burger tekende daar bezwaar tegen aan. In de aanhangig gemaakte zaak wenst het Duitse Bundesgerichtshof van het Hof van Justitie te vernemen of een dergelijke praktijk - bijhouden van dynamische IP-adressen door content providers - ook als een verwerking van persoonsgegevens moet worden beschouwd, en zo ja, of die toegelaten is.

In een uitgebreid en gemotiveerd advies aan het Hof is de Advocaat-Generaal bij het Hof - die gebruikelijk een voorafgaand advies geeft aan het Hof - van oordeel dat "een dynamisch IP‑adres waarmee een gebruiker toegang heeft gekregen tot de website van een aanbieder van elektronische mediadiensten voor deze laatste een ‚persoonsgegeven' [is], wanneer een internetprovider beschikt over de aanvullende gegevens die het, samen met het dynamische IP‑adres, mogelijk maken de gebruiker te identificeren.". Bovendien preciseert de Advocaat-Generaal wel meteen dat de verwerking van IP-adressen met het uitsluitend, minstens hoofdzakelijk doel om de goede werking van de internetdienstverlening te waarborgen, onder de privacywetgeving wel legitiem kan zijn, mits dat belang prevaleert boven het belang of de fundamentele rechten van de betrokkene.

Het Hof zal vervolgens soeverein oordelen over deze zaak, maar in de praktijk wordt het advies van de Advocaat-Generaal doorgaans gevolgd.

Indien het Hof deze zienswijze zou bijtreden, betekent dit dat de verwerking van (dynamische) IP-adressen door internet content providers aan de principes van de privacywetgeving is onderworpen, en dat de verwerking dus eerlijk, doelmatig, proportioneel, enz. moet gebeuren, met respect voor de rechten van de betrokkene, enz..

Het bijhouden van (dynamische) IP-adressen door de internet content provider nádat de bezoeker zijn internetsessie heeft beëindigd zal m.i. overigens in de meeste omstandigheden als strijdig moeten worden beschouwd met de het belang of de fundamentele rechten van de betrokkene. Deze zijn dan voor de dienstverlening immers niet langer noodzakelijk.

Conclusie: indien u als website-, e-commerce- of internetdienstuitbater IP-adressen verwerkt én na de dienstverlening bijhoudt, omwille van technische redenen die niet voldoende verantwoord kunnen worden in het licht van het het belang of de fundamentele rechten van de betrokkene, dan begeeft u zich privacymatig op glad ijs en doet u er goed aan om dergelijke verwerking te staken. Zeker wanneer de nieuwe Privacyverordening in voege zal treden, en daadkrachtiger zal optreden tegen privacy-inbreuken (inclusief het opleggen van boetes).

* dynamische IP-adressen laten internet access providers toe om het IP-adres van een bepaalde particuliere abonnee op periodieke tijdstippen te wijzigen. Naar het surfen op internet toe ondervindt de particuliere internetgebruiker daar geen hinder van, maar het gebruik van dynamische IP-adressen verhindert dat de internetgebruiker een eigen server (bijv. m.o.o. filesharing) kan uitbaten via zijn internetabonnement. Daarvoor is een statisch  IP-adres nodig. Op die manier kan de internet access provider bijv. hoge dataverbruiken vermijden.