IP-adres een persoonsgegeven?

maandag, 2 maart 2015

Het College Bescherming Persoonsgegevens (CBP) acht een IP-adres een persoonsgegeven, waardoor de verwerking daarvan in overeenstemming moet zijn met de Wet bescherming persoonsgegevens (Wbp). De Wbp is een implementatie van de Europese Privacyrichtlijn 95/46/EG. Dat betekent dat het Hof van Justitie EU (HvJ EU) de bevoegdheid heeft de begrippen uit de Europese Privacyrichtlijn 95/46/EG uit te leggen. In dat kader heeft het Duitse Bundesgerichtshof het HvJ EU op 17 december 2014 verzocht antwoord te geven op de vraag of een IP-adres een persoonsgegeven is in de zin van de Europese Privacyrichtlijn 95/46/EG. Het antwoord op die vraag zal ook gelden voor Nederland.

Patrick Beyer heeft een vordering ingesteld tegen Duitsland tot staking van de opslag van zijn IP-adres. Hij maakte bezwaar tegen het opslaan van zijn IP-adres na afloop van zijn bezoek aan diverse websites van federale instellingen.

Het Ambtsgericht heeft de vorderingen van Beyer afgewezen, maar in hoger beroep wordt hij gedeeltelijk in het gelijk gesteld. Het hof oordeelt dat het bewaren van het IP-adres niet is toegestaan als het IP-adres wordt opgeslagen samen met andere gegevens die de bezoeker tijdens zijn bezoek aan de website heeft verstrekt en waarmee hij kan worden geïdentificeerd, zoals een e-mailadres.

Tegen deze beslissing is een zogenoemde Revision ingesteld bij het Bundesgerichtshof. Op grond van artikel 2 onder a van de Privacyrichtlijn 95/46/EG wordt onder persoonsgegeven verstaan iedere informatie betreffende een geïdentificeerde of identificeerbare persoon. Een opgeslagen IP-adres kan volgens het Bundesgerichtshof niet worden aangemerkt als persoonsgegeven indien de websitebezoeker bij het gebruik van de website niet zijn eigen naam opgeeft. Aan de hand van enkel het IP-adres kan door de websitehouder immers niet eenvoudig de identiteit van de websitebezoeker worden vastgesteld zonder de hulp van bijvoorbeeld een internet service provider die wel over de naam van de websitebezoeker beschikt. De vraag die het Bundesgerichthof stelt aan het HvJ EU is of een IP-adres dat wordt opgeslagen zonder dat de gebruiker andere informatie op de website achterlaat valt onder het begrip persoonsgegeven. Daarnaast heeft het Bundesgerichthof nog een vraag gesteld in verband met de verenigbaarheid van de Duitse wetgeving met de Privacyrichtlijn. Omdat in Nederland niet een dergelijke regel geldt, zal deze vraag buiten beschouwing blijven.

De vraag die het Bundesgerichtshof aan het HvJ EU heeft gesteld over het IP-adres luidt:

1. Dient artikel 2 richtlijn betreffende gegevensbescherming – aldus te worden uitgelegd dat een internetprotocoladres (IP-adres) dat een aanbieder van diensten in verband met de toegang tot zijn internetsite opslaat, voor deze aanbieder reeds dan een persoonsgegeven vormt, wanneer een derde beschikt over de bijkomende kennis die nodig is om de betrokken persoon te identificeren?

Het is nu afwachten wat het antwoord zal zijn van het HvJ EU. In Nederland wordt er van uitgegaan dat een IP-adres kwalificeert als een persoonsgegeven. Ook de Artikel 29 Werkgroep, het overlegorgaan van de Europese privacy toezichthouders, beschouwt een IP-adres als persoonsgegeven. Dat betekent dat in Nederland in ieder geval nog tot de uitspraak van het HvJ EU bij het opslaan van een IP adres voldaan moet worden aan de voorwaarden van de Wbp.

Een vertaling van het verzoek om een prejudiciële beslissing kan hier worden geraadpleegd.