Een veel voorkomende discussie in onze privacydossiers is de vraag waar persoonsgegevens ophouden en anonieme gegevens beginnen. Termen als “indirect herleidbaar tot een identificeerbare persoon” roepen in de dagelijkse praktijk vaak vragen op. Recent heeft het Europese Hof een uitspraak gedaan die hier wat meer helderheid in brengt.
Wat was het geval: Patrick Breyer, een Duits staatsburger, was van mening dat het vastleggen (logging) van IP-adressen van bezoekers van Duitse overheidswebsites een ongerechtvaardigde verzameling van persoonsgegevens is. Hij is hierover gaan procederen in Duitsland en dit heeft tot prejudiciële vragen aan het Europese Hof geleid.
Eén van de vragen die aan het Europese Hof was gesteld was of dynamische IP-adressen ook persoonsgegevens zijn vanuit het perspectief van een website-exploitant. Van vaste IP-adressen werd door de Europese toezichthouders al lange tijd aangenomen dat deze persoonsgegevens zijn omdat deze een uniek genoeg karakter hebben dat ze herleidbaar zijn tot personen. Van dynamische IP-adressen, die met name voor mobiele apparaten, maar in sommige landen zoals Duitsland ook voor consumenteninternetabonnementen gebruikelijk zijn, was dit niet duidelijk.
De andere vraag was of, als dynamische IP-adressen persoonsgegevens zijn, de registratie van websitebezoeken nu een ongerechtvaardigde verzameling daarvan zou zijn.
Op de eerste vraag nam het Hof van Justitie een wat verrassende koers. In het verleden was in lagere rechtspraak telkens aangeknoopt bij wat redelijkerwijze voorzienbaar te combineren zou zijn door de verantwoordelijke (in dit geval de website-exploitant). Een subjectief perspectief dus. Bijvoorbeeld rondom de OV-chipkaart oordeelde de Rechtbank Amsterdam dat gegevens die door een dochteronderneming verwerkt worden gecombineerd zouden kunnen worden met persoonsgegevens bij een moederonderneming, daarmee ‘voldoende herleidbaar’ zijn tot natuurlijke personen en derhalve als persoonsgegevens aangemerkt dienen te worden. Het Hof van Justitie gaat echter verder: omdat het onder omstandigheden mogelijk is voor een website-exploitant om de NAW-gegevens die bij een IP-adres (op een bepaald tijdstip in het geval van een dynamisch IP-adres) horen te vorderen van een Internet Service Provider (ISP), bijvoorbeeld in het geval van inbraakpogingen, is het redelijkerwijze voorzienbaar dat dynamische IP-adressen op dusdanige wijze met andere gegevens gecombineerd kunnen worden door de website-exploitant dat er sprake is van voldoende herleidbaarheid en daarmee persoonsgegevens.
De logica van deze gedachtegang is op zich wel te volgen, ware het niet dat er allerlei consequenties aan verbonden zijn die voor de dagelijkse praktijk niet makkelijk oplosbaar zijn. Het wordt namelijk ondoorzichtig wanneer door een website-exploitant gelogde IP-adressen nu ophouden persoonsgegevens te zijn. De ene ISP houdt namelijk langer bij welke gebruiker een bepaald IP-adres had dan de andere. Een consequentie is ook dat de betrokkene inzage-, correctie- en verwijderingsverzoeken kan doen ten aanzien van de logbestanden van websites die IP-adressen bewaren. Deze rechten komen echter te vervallen zodra de ISP van de betrokkene zijn eigen logbestanden heeft verwijderd, hetgeen niet kenbaar is voor zowel de gebruiker/betrokkene als de website-exploitant. De uitspraak kent dus rechten en plichten toe aan partijen die niet kunnen weten wanneer die opgehouden zijn te bestaan. Dit is niet goed voor de rechtszekerheid. Website-exploitanten die hun logging vrij basaal hebben gehouden (soms zelfs niet weten dat dit door hun hostingprovider wordt gedaan) en geen gebruik maken van bijvoorbeeld cookies blijken nu alsnog persoonsgegevens te verwerken, met alle plichten van dien, maar deze houden op een onduidelijke wijze op te bestaan.
Overigens heeft het Hof van Justitie met deze zaak eigenlijk nog niet de vraag beantwoord of het ‘singling-out’-criterium nu wel of niet maatstaf voor de vraag of iets persoonsgegevens zijn kunnen zijn. Het zou verdedigbaar zijn dat ‘singling-out’ incompleet is, immers op basis van uitsluitend dynamische IP-adressen is het lastig om een bezoeker van een website anders te behandelen dan andere, terwijl het wel degelijk persoonsgegevens zijn.
Wat de tweede vraag betrof was het Hof van Justitie tamelijk pragmatisch: het exploiteren van een website brengt met zich mee dat er een noodzaak tot beveiliging van de website bestaat. Vanuit informatiebeveiligingsoogpunt is het dan begrijpelijk dat men zicht wil houden op bezoekers en dat moest volgens het Hof van Justitie gezien worden als een gerechtvaardigd belang van de verantwoordelijke (de website-exploitant dus). Vanuit dat perspectief ging het Hof van Justitie dan ook niet mee in het standpunt van Breyer dat dit een ongerechtvaardigde verwerking van persoonsgegevens opleverde.
Ook hier valt wel wat op af te dingen, maar het biedt wel een verduidelijking van wat nu een gerechtvaardigd belang van de verantwoordelijke kan zijn.
Kortom, we weten wat meer over de rechtvaardigingsgrondslagen voor de verwerking van persoonsgegevens en we weten ook dat op zichzelf anonieme data toch persoonsgegevens kunnen zijn als we een theoretisch juridisch dwangmiddel hebben om ze met data van anderen te combineren. Dat dat op zichzelf weer onduidelijkheden schept is jammer, maar we moeten het er voor nu mee doen.