“Dynamisch IP-adres kan ook een persoonsgegeven zijn”

Terug naar articles

17 mei, 2016

Afgelopen donderdag heeft de Advocaat-Generaal (AG) van het Hof van Justitie van de Europese Unie (HvJEU) in de zaak Breyer t. Duitsland (C-582/14) zijn conclusie gepubliceerd.

Hij concludeert dat in dit specifieke geval dynamische IP-adressen die worden opgeslagen door een websitehouder gekwalificeerd moeten worden als persoonsgegeven.  Zelfs als de websitehouder aanvullende gegevens van een internetprovider nodig heeft om er een persoon mee te kunnen identificeren. De in de praktijk onder toezichthouders heersende gedachte dat (dynamische) IP-adressen per definitie gelden als persoonsgegeven wordt genuanceerd.

De Advocaat-Generaal brengt onafhankelijk advies uit in lopende procedures bij het HvJEU. Het Hof is de hoogste rechterlijke instelling van de EU en verzekert dat het recht van de Europese Unie in iedere lidstaat correct en op dezelfde wijze wordt toegepast. Het HvJEU volgt doorgaans de lijn van de AG, maar hoeft dat niet te doen.

De vraag is of een dynamisch IP-adres voor de aanbieder van een internetdienst (in dit geval de websitehouder) een persoonsgegeven is, wanneer de internetprovider (ISP) aanvullende gegevens bezit die in combinatie met het IP-adres de identificatie mogelijk maken van degene die de website van de websitehouder bezoekt. Een dynamisch IP-adres is een adres dat tijdelijk bij elke internetverbinding wordt toegewezen en later weer wordt gewijzigd. Het adres is voor een websitehouder dus niet direct – zonder aanvullende gegevens – te koppelen aan een persoon.

Volgens de Europese richtlijn 95/46/EG is al sprake van persoonsgegevens wanneer de gegevens redelijkerwijs door de websitehouder zijn te gebruiken om er iemand mee te identificeren. De AG vindt dat in dit concrete geval aan het begrip redelijkerwijs wordt voldaan. Hij beargumenteert als volgt: de ISP is een hoofdrolspeler op het internet, waarvan iedereen, dus ook de websitehouder, weet dat hij over de aanvullende gegevens beschikt die nodig zijn om de persoon achter het IP-adres te identificeren. De websitehouder heeft bovendien wettelijk gezien de mogelijkheid om deze gegevens bij de ISP op te vragen. De ISP mag weigeren de gegevens te verstrekken, en zal dat in de meeste gevallen ook zal doen, maar er is een mogelijkheid dat hij de gegevens wél verstrekt. Hierdoor is het voor de websitehouder redelijkerwijs mogelijk om de aanvullende gegevens te verkrijgen en de persoon achter het dynamische IP-adres te identificeren.

Volgens de AG maakt dat van het dynamisch IP-adres in dit specifieke geval een persoonsgegeven. Dat is anders dan de mening van de WP29, die stelt dat dynamische IP-adressen per definitie een persoonsgegeven zijn. Ongeacht het feit of er een mogelijkheid bestaat om aanvullende gegevens te verkrijgen.

De verwachting is dat het HvJEU binnenkort uitspraak zal doen over deze kwestie. Wij zijn benieuwd of het Hof de lijn van de AG volgt. In de praktijk zal het geen grote gevolgen hebben voor bedrijven.

Wilt u meer weten over hoe om te gaan met IP-adressen en persoonsgegevens binnen uw organisatie? Neem vrijblijvend contact op met de experts van Considerati.

Considerati_Navid
Navid Kamalzadeh

Juridisch Adviseur

Gerelateerde blogs

Jaarverslag Autoriteit Persoonsgegevens | Considerati

Jaarverslag Autoriteit Persoonsgegevens: Een vogelvlucht

Op 18 mei jl. publiceerde de Autoriteit Persoonsgegevens (AP) haar jaarverslag over 2016 aan de...

Lees meer

Justitie toegang tot medische gegevens: paradox of realiteit? | Considerati

Considerati bij het VPR-jaarcongres 2016

Afgelopen vrijdag 16 september waren adviseurs van Considerati aanwezig bij het VPR Jaarcongres...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.