Kunnen dynamische IP-adressen persoonsgegevens zijn?

Geschreven door Laurens Mommers, PrivacyPerfect, www.privacyperfect.com
Foto:   Christiaan Colen

Er is al jaren een debat gaande over de vraag of dynamische IP-adressen persoonsgegevens zijn in de zin van de Europese privacywetgeving. Een IP-adres is het logische adres van een ‘knooppunt’ op het internet (een computer, een netwerkapparaat of een mobiel apparaat).

Gegeven het beperkte aantal beschikbare IP-adressen onder de ‘oude’ maar nog steeds breed gebruikte IPv4-standaard, wordt een enkel IP-adres door de tijd heen vaak toegewezen aan verschillende apparaten. Het IP-adres dat vandaag in gebruik is voor uw persoonlijke internetverbinding kan dus morgen aan uw buren worden toegewezen.

Toch kunnen internetaanbieders vrij eenvoudig zicht houden op de achtereenvolgende gebruikers van het adres. Hierdoor kan (in dit geval) een huishouden geïdentificeerd worden als gebruiker van het IP-adres voor het bezoeken van andere plaatsen (websites, diensten) op het internet.

Een toonaangevende rechtszaak over de vraag of een dynamisch IP-adres een persoonsgegeven is, is zaak C-582/14 Patrick Breyer vs. Germany. De twee cruciale overwegingen over deze vraag in de beslissing van het Hof van Justitie EU zijn:

C-582/14 overweging 44

"Dat de extra informatie die nodig is om de gebruiker van een website te identificeren, niet berust bij de aanbieder van onlinemediadiensten, maar bij de internetprovider van deze gebruiker, lijkt dan ook niet uit te sluiten dat dynamische IP-adressen die worden geregistreerd door deze aanbieder, voor hem persoonsgegevens vormen in de zin van artikel 2, onder a), van richtlijn 95/46.”

C-582/14 overweging 49

"[...] [A]rtikel 2, onder a), van richtlijn 95/46 [moet] aldus [...] worden uitgelegd dat een dynamisch IP-adres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust."

Dit vonnis werd gewezen onder de ‘oude’ Richtlijn 95/46, die vanaf 25 mei 2018 is vervangen door de Algemene Verordening Gegevensbescherming (AVG). De AVG definieert persoonsgegevens als: "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon [...]” (art. 4(1)). Deze definitie is op zichzelf onvoldoende duidelijk om te bepalen of een dynamisch IP-adres een persoonsgegeven is. Alles hangt hier af van de criteria voor ‘identificeerbaarheid’. Het Hof heeft echter de standaard bepaald door de eerdergenoemde tweestappentest op te leggen voor de identificatie van een gegeven als persoonsgegeven:

  1. Partij A beschikt over het IP-adres, en er is een partij B die het IP-adres kan verbinden met een natuurlijke persoon
  2. Partij A heeft een juridische mogelijkheid om toegang te krijgen tot de verbindende gegevens bij partij B

Er is geen reden om te veronderstellen dat er iets veranderd is in deze test na de inwerkingtreding van de AVG. Technologieën veranderen echter snel. Andere gegevens die door een website-aanbieder worden verzameld, verhogen de kans natuurlijke personen te identificeren. Dit moet u zeker meewegen wanneer u bepaalt of door uw organisatie verzamelde IP-adressen moeten worden beschouwd als persoonsgegevens en dus onderwerp zijn van regulering door de AVG. Als u uw gebruikers laat inloggen met hun mailadres en wachtwoord is het uiteraard glashelder: dan gelden de IP-adressen in combinatie met de inloggegevens zeker als persoonsgegevens.

Maar zelfs als u geen individuele gebruikersaccounts biedt, dan kan het gebruik van ‘tracking pixels’ en het vastleggen van zogenaamde ‘user agent’ gegevens (mac-adres, besturingssysteem, browser-informatie etc.) het risico van identificeerbaarheid verhogen. Hiermee wordt ook de kans verhoogd dat deze gegevens als persoonsgegevens worden aangemerkt.

Standaard wordt door webservers veel data vastgelegd waarvan u wellicht niet afweet, maar waarvoor u wel de verantwoordelijkheid draagt. Een interne inventarisatie van werkelijk verwerkte gegevens kan u helpen compliant te worden met de AVG.