Bezoekers website loggen verboden in Duitsland

Afgelopen voorjaar blijkt een Duitse rechtbank het bewaren van IP-adressen van website-bezoekers verboden te hebben, zo meldt heise. Het vonnis is nu pas gepubliceerd. Het bewaren van deze IP-adressen is een verwerking van persoonsgegevens, omdat ze (met enige moeite) terug te herleiden zijn tot individuele personen. En dan moet je een wettelijk toegelaten grondslag hebben, of toestemming vragen aan de Duitse broer van het College Bescherming Persoonsgegevens. Dat was niet gebeurd, dus de verwerking werd verboden.

Ook in Nederland is een IP-adres een persoonsgegeven. Weliswaar kun je niet meteen zien wie er achter een adres zit, maar als het theoretisch kan, gegeven IP-adres en tijdstip, dan heb je te maken met persoonsgegevens.

Toch denk ik dat de Nederlandse wet het niet verbiedt om bezoekers van je website te loggen. De Wet Bescherming Persoonsgegevens zegt dat persoonsgegevens zoals IP-adressen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld mogen worden. Daarbij moet de betrokkene ondubbelzinnig toestemming geven, wat ook via algemene voorwaarden kan gebeuren. Wel moet de bezoeker dan natuurlijk weten dat er gelogd wordt. Dit zou in de privacy-statement van de site moeten worden uitgelegd.

Een verwerking van persoonsgegevens moet normaal worden aangemeld bij het College Bescherming Persoonsgegevens. Verwerkingen die vallen onder de vrijstelling computersystemen, zijn legaal en hoeven niet te worden aangemeld. Eén van de toegestane verwerkingen van deze vrijstelling is “de controle op en het beveiligen van de computersystemen of computerprogramma’s”, en ook verwerking voor “het beheer van de systemen of programma’s” hoeft niet te worden aangemeld.

Het zal dus afhangen van het doel van het bijhouden van de logfile. Wie de logs of clickstream gebruikt om meer te doen dan de goede werking van de site of server te verzekeren, zal waarschijnlijk moeten aanmelden. Of op zijn minst de gegevens moeten anonimiseren door het IP-adres te wissen.

Dat past ook bij de specifiek hiervoor geschreven bepaling van artikel 11.5 van de Telecommunicatiewet:

De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst verwijderen dan wel anonimiseren de door hen verwerkte en opgeslagen verkeersgegevens met betrekking tot abonnees of gebruikers, zodra deze verkeersgegevens niet langer nodig zijn ten behoeve van de overbrenging van communicatie, onverminderd het tweede, derde en vijfde lid.

Een website is een “openbare elektronische communicatiedienst”, dus is een website verplicht om verkeersgegevens (IP-adressen) zo snel mogelijk te verwijderen of te anonimiseren. Dat zou bijvoorbeeld kunnen door de gegevens tot statistieken te verwerken en daarna de logfile te verwijderen. Uit statistieken blijkt niet meer wie wat bezoekt tenslotte.Ik zat te slapen: een website is een “dienst van de informatiemaatschappij” en daarmee per definitie geen electronische communicatiedienst.

ISPam.nl merkt nog op dat dit consequenties kan hebben voor de dataretentie verplichting:

Naast de implicaties die dit vonnis mogelijk zal hebben voor zoekmachines en portals, laat dit ook zien hoe bizar de dataretentie verplichting voor ISP’s is. Volgens de Duitse privacywetgeving, die op de zelfde Europese richtlijn als de Nederlandse is gebaseerd, is het bewaren IP-adressen van website bezoekers niet toegestaan, terwijl de dataretentie wetgeving het verplicht stelt dat, elk gebeld telefoonnummer, bezochte website en verstuurde e-mail moet worden geregistreerd en voor lange tijd moet worden bewaard.

Dat gaat me te ver. Artikel 8 sub b van de WBP bepaalt dat opslaan en verwerken mag als “de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is”. Een dataretentie-plicht is natuurlijk zo’n wettelijke verplichting.

Als er dus een wet komt die eist dat providers deze gegevens twee jaar(!) bewaart, dan is dat geen conflict met de Wet Bescherming Persoonsgegevens.

Arnoud

6 reacties

  1. Arnoud, met mijn opmerking over de privacywetgeving versus de aankomende dataretentiewetgeving op ISPam.nl, stel ik niet dat beide wetten elkaar bijten, maar enkel hoe bizar de dataretentiewetgeving is in het licht van de privacywetgeving. Het is dus meer een morele dan een juridische opmerking.

  2. “[…] Verwerkingen die vallen onder de vrijstelling computersystemen, zijn legaal en hoeven niet te worden aangemeld. Eén van de toegestane verwerkingen van deze vrijstelling is […]”

    Dat verwerkingen zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens, wil geenszins zeggen dat deze verwerkingen legaal ofwel toegestaan zijn.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.