Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

shirt-127-0-0-1-ip-adresHet Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is.

De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar: als hij zich op de website had geïdentificeerd (bijvoorbeeld door in te loggen) dan zou na de bezoeksessie er geen reden meer zijn om zijn IP-adres te bewaren. En wat niet nodig is, moet weg onder de privacywet. Nee, aldus de instantie: dat IP-adres is geen persoonsgegeven als u niet inlogt want wij weten niet dan wie u bent. Dus niks privacywet.

Dit lijkt een wat gezocht argument en dat is het natuurlijk ook, maar het raakt wel aan een heel fundamenteel punt. Namelijk, hoe ver ga je met iets persoonsgegeven verklaren? De literatuur is daarover verdeeld in de objectieven en de relatieven, zeg maar de preciezen en de rekkelijken. De objectieven/preciezen vinden dat een gegeven een persoonsgegeven is als de koppeling naar de betrokkene met redelijke moeite te maken is, ook als je daarvoor een derde (zoals de isp, in dit geval) nodig hebt en ook als die daar niet perse aan mee werkt. De relatieven/rekkelijken vinden dat iets alleen een persoonsgegeven is voor wie de koppeling kan maken, in dit geval dus alleen de isp.

Het Hof pakt de wet er nog eens bij en constateert dat de objectieven gelijk hebben: de wet spreekt ook van “indirect identificeerbaar” zijn, dus iets is niet alleen maar een persoonsgegeven voor wie zélf de koppeling kan leggen. Dus de vraag is alleen nog, hoe moeilijk is het om de identificatie ui te voeren, oftewel hoe moeilijk is het die isp’s mee te krijgen?

Redelijk moeilijk, want in Duitsland gaat het opvragen van NAW-gegevens bij een IP-adres altijd via Justitie. Maar dat is genoeg:

Hoewel de verwijzende rechter in zijn verwijzingsbeslissing preciseert dat de internetprovider de extra informatie die noodzakelijk is voor de identificatie van de betrokken persoon, naar Duits recht niet rechtstreeks mag doorgeven aan de aanbieder van onlinemediadiensten, lijken er – onder voorbehoud van de door de verwijzende rechter in dit verband te verrichten verificaties – voor de aanbieder van onlinemediadiensten juridische mogelijkheden te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en om strafvervolging in te stellen. … De aanbieder van onlinemediadiensten lijkt dan ook te beschikken over middelen waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokken persoon met behulp van derden, te weten de bevoegde autoriteit en de internetprovider, te identificeren aan de hand van de bewaarde IP-adressen.

Als dát al genoeg is, dan zijn we er. In Nederland ligt de lat lager dankzij het Lycos/Pessers-arrest, zodat ik er geen enkele twijfel over heb dat in Nederland aan het vereiste is voldaan dat het Hof hier oplegt.

Gelukkig voor de Duitse overheidssites mogen zij wel gewoon doorgaan met loggen. Dit is namelijk te rechtvaardigen onder een “eigen dringende noodzaak” (bij ons art. 8 sub f Wbp), zonder ip-adressen is het lastig aanvallen en dergelijke te herkennen. Maar dat is dus wel het kader waarbinnen élk gebruik van een IP-adres zal moeten worden bekeken vanaf nu. Hoe groot is de noodzaak dat gegeven te gebruiken, en hoe groot is het privacybelang van de websitebezoeker?

Arnoud

8 reacties

  1. Als de website de login koppelt aan de gebruikte ip-adressen, dan ben je (tijdelijk bij wisselend ip) ook direct identificeerbaar.

    Dat koppelen valt niet zomaar onder “eigen dringende noodzaak”. Maar het loggen voor analyse van webverkeer kan, en zou dus ook vaak móeten, los staan van de web applicatie. Volgens mij is dat niet zo snel/vaak gekoppeld. Maar het is wel iets om op te letten natuurlijk.

  2. Dit lijkt me een goede uitspraak: het gaat er (voorzover ik begrepen heb) niet om dat degene die logt al weet wie je bent, maar dat iemand misschien ooit uit de logs kan halen wie je was. Die kans is reëel.

    Webservers loggen alle bezoeken met IP-adres. Ik heb nog geen webserver gezien die het niet deed. Die logs worden vaak gebruikt om achteraf problemen te diagnostiseren, niet alleen misbruik maar ook performanceproblemen of gebruikersproblemen. Voorbeeldje: een bezoeker klaagde dat het niet lukte een bepaald softwarepakket te downloaden. Na twee weken kwam die klacht bij mij terecht. Ik kijk of ik zelf die software kan downloaden. Blijkt geen probleem. En dan kijk ik in de logs of er twee weken geleden downloadpogingen van dat softwarepakket zijn geweest en of die gelukt zijn.

    Verder maken we ook allerlei samenvattingen van het gebruik.

    Mogen we dat nu omdat het noodzakelijk is?

    Naar mijn gevoel heeft het antwoord daarop te maken met het verschil tussen een stuk software laten draaien (een webserver) en een dienst verlenen (webhosting). Bij dienstverlening hoort dat je beheer doet, waaronder ook valt dat je storingen opspoort, verhelpt en voorkomt, en nagaat hoe de dienst gebruikt wordt om daarmee de dienst te kunnen optimaliseren. De logs bewaren is niet nodig om de software te laten draaien, die gebruikt ze niet; maar wel om dat beheer goed te kunnen doen.

    1. Je zult gebruikers sowieso moeten gaan informeren wat je bijhoudt (gebruikte browser?), voor hoelang gegevens worden bewaard, en met welk doel. Daarnaast dien je de gegevens goed te beveiligen. Als de gegevens buiten de EU worden verwerkt, geldt er een meldingsplicht bij de Autoriteit Persoonsgegevens.

      1. Hoeveel van de mensen die een website draaien doet dat? Laat ik eens optimistisch zijn en het op 0,01% schatten. Misschien eens een enquête onder de top 100 websites van Nederland houden? (Onder wie het percentage overigens een stuk hoger zal zijn.)

    1. Fraude detectie lijkt dus juist zo’n voorbeeld van een rechtvaardiging onder eigen dringende noodzaak. En als bijvoorbeeld iemand een klacht heeft dat zijn rekeningnummer bij het UWV onterecht is gewijzigd dan is het wel handig als het UWV kan aantonen dat rekeningnummer via DigID gewijzigd is via het IP adres van die persoon

      1. Het rapport staat hier. Van wat ik op pagina 126 lees, gaat het om het combineren van “bsn, tijdstip en tijdsduursessie, opgevraagde webpagina’s op werk.nl en klantgegevens zoals header, http statuscode en ip-adres” om te zien “in hoeverre de klant [voldoet] aan de inspanningsverplichtingen die samenhangen met de uitkering”. Hier is dus absoluut sprake van persoonsgegevens, ook zonder de uitspraak waar dit blog over gaat. Bij het UWV zal het daarom niet gaan om een “eigen dringende noodzaak”, maar om een “goede vervulling van een publiekrechtelijke taak”. Daar zijn wel vrij strikte grenzen voor. Bij een zaak over het automatisch bijhouden van kentekens door De Belastingdienst merkte de A-G op:

        Bovendien stelt het EHRM strenge eisen aan wetgeving die een inbreuk maakt aan het recht op privacy: deze wetgeving moet ‘sufficiently clear’ zijn en ‘accessible to the person concerned’. Ook moet deze wetgeving adequate en effectieve waarborgen bevatten tegen ongeoorloofde inbreuken. Dit is met name het geval bij automatische verwerking van persoonsgegevens (zie HvJ EU 8 april 2014, nr. C-293/12 en C-594/12).
        Die wettelijke bepalingen over gebruik van big data ontbreken in het geheel bij het UWV. Ik meen daarom dat de verwerking door het UWV ongeoorloofd is. Maar ja, “men” doet maar, en ziet wel wanneer “men” wordt teruggefloten.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.