Dynamische IP-adressen kunnen persoonsgegevens zijn

1.    Wat zijn Dynamische IP-adressen?

In tegenstelling tot een statisch IP-adres, maken dynamische IP-adressen het in principe niet mogelijk om aan de hand van bestanden die voor het publiek toegankelijk zijn, een verband te leggen tussen een bepaalde computer en de fysieke aansluiting op het netwerk. Een dynamisch IP-adres wijzigt immers bij elke nieuwe verbinding met het internet.

Een dynamisch IP-adres wijzigt bij elke nieuwe verbinding met het internet

Het is echter in bepaalde omstandigheden, en mits behulp van extra informatie, niet onmogelijk om via een dynamisch IP-adres de identiteit van de eigenaar te achterhalen van de computer waaraan het IP-adres gekoppeld is.

De vraag stelde zich dan ook of een dynamisch IP-adres niet moet beschouwd worden als een persoonsgegeven in de zin van de Privacyrichtlijn.

2. De procedure voor het Bundesgerichthof

Het Duitse Bundesgerichthof had deze kwestie via prejudiciële vragen voorgelegd aan het Hof.

De aanleiding hiervan was een procedure ingeleid door een Duitse burger tegen de Bondsrepubliek Duitsland naar aanleiding van zijn bezoek aan websites van een Duitse federale instelling.

De burger in kwestie eiste dat het de Duitse overheid verboden werd om het IP-adres van het hostsysteem, vanwaar hij de websites van Duitse federale instellingen raadpleegde, te bewaren of door derden te laten bewaren, na zijn bezoek.

Het bleek immers dat de IP-adressen bewaard werden in de logbestanden van de website. 

Om zich te beschermen tegen cyberaanvallen en strafvervolging van mogelijke aanvallers, wordt bij de meeste van deze websites elk bezoek in logbestanden geregistreerd. Deze logbestanden bevatten dus na afloop van het bezoek het IP-adres van de computer vanwaar de website bezocht werd.

Aangezien de Duitse burger hier niet mee akkoord was, heeft hij beroep aangetekend tegen deze vorm van bewaring.

Zijn beroep strekte ertoe om aan de Bondsrepubliek Duitsland een verbod op te leggen om na het bezoek van voor het publiek toegankelijke websites voor online media van Duitse federale instellingen, het IP-adres van het hostsysteem vanwaar de internetgebruiker toegang heeft gekregen tot deze websites, te bewaren of door derden te doen bewaren, voor zover de bewaring van dat IP-adres niet nodig is om de beschikbaarheid van die media te herstellen in geval van storing.

In eerste instantie werd het beroep afgewezen. De rechter in graad van beroep heeft daarentegen het verzoek wel gedeeltelijk toegekend.

De rechter verplichtte de Bondsrepubliek Duitsland om zich te onthouden van het bewaren of doen bewaren van IP-adressen na afloop van de sessie, indien dit adres samen wordt bewaard met het tijdstip van het bezoek dat via dit adres heeft plaatsgevonden, en indien de gebruiker tijdens zijn bezoek zijn identiteit heeft bekend gemaakt.

De rechter in graad van beroep oordeelde met andere woorden dat een dynamisch IP-adres als een persoonsgegeven kan beschouwd worden, indien dat samen met het tijdstip van bezoek via dit adres bewaard wordt en indien de gebruiker tijdens zijn bezoek zijn identiteit heeft kenbaar gemaakt.

Dit zorgt er net voor dat de exploitant van een website de bezoeker kan identificeren door de naam van de bezoeker en zijn IP-adres aan elkaar te koppelen.

3. Prejudiciële vragen van het Bundesgerichthof

Ook tegen deze beslissing werd hoger beroep aangetekend. De Duitse burger vond dat de beslissing van de rechter in beroep niet ver genoeg ging en de Duitse Bondsrepubliek was van oordeel dat deze beslissing veel te ver ging.

Het Bundesgerichthof verduidelijkte dat de dynamische IP-adressen van de computer van een gebruiker, die door de aanbieder van online mediadiensten worden bewaard, samen met overige opgeslagen logbestanden, specifieke gegevens vormen over de zakelijke omstandigheden van een bezoeker.

Deze gegevens verstrekken immers informatie over het feit dat de bezoeker via het internet op bepaalde tijdstippen bepaalde websites bezocht heeft, of bepaalde bestanden heeft opgevraagd.

Deze gegevens maken het in principe echter niet mogelijk om een persoon rechtstreeks te identificeren.

Identificatie van de bezoeker in kwestie lukt enkel wanneer de aanbieder van de website of online mediadienst informatie ontvangt van de internetprovider omtrent de identiteit van de gebruiker.

Het Bundesgerichthof stelde vervolgens een prejudiciële vraag aan het Europees Hof van Justitie omtrent de uitlegging van de bepalingen van de Privacyrichtlijn.

Artikel 2, a) van de Privacyrichtlijn definieert persoonsgegevens als: "iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit."

Het Hof diende te antwoorden op de vraag of ingevolge dit artikel 2, a) een dynamisch IP-adres dat door een aanbieder van een online mediadienst wordt geregistreerd, telkens als een persoon een website bezoekt, een persoonsgegeven is, wanneer enkel een derde, zoals een internetprovider, beschikt over de extra informatie die nodig is om die persoon te identificeren.

4.    Hoe oordeelt het Hof van Justitie ?

Het Hof merkte op dat een dynamisch IP-adres op zich geen persoonsgegeven is, aangezien uit een dergelijk adres niet rechtstreeks blijkt wat de identiteit is van de persoon die eigenaar is van de computer vanwaar de website werd bezocht.

Echter moest het Hof eveneens nagaan of een dynamische IP-adres als persoonsgegeven kan beschouwd worden wanneer het betrekking heeft op identificeerbare personen en de extra informatie die nodig is voor de identificatie van die persoon bij een derde berust.

Het begrip "identificeerbaar" veronderstelt niet enkel directe identificatie maar ook indirecte identificatie

Het begrip "identificeerbaar" veronderstelt immers niet enkel directe identificatie maar ook indirecte identificatie. Uit het feit dat de definitie van persoonsgegevens de term "indirect" gebruikt, leidt het Hof af dat het voor de kwalificatie van een gegeven als persoonsgegeven niet nodig is dat dit gegeven het op zichzelf mogelijk maakt om een persoon te identificeren.

Om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokkene te identificeren door degene die voor de verwerking verantwoordelijk is of door enige andere persoon.

Het Hof stelde hierbij dat het niet vereist is dat alle informatie aan de hand waarvan de betrokken kan worden geïdentificeerd, bij een en dezelfde persoon bewaard wordt.

Dit betekent dat het feit dat de extra informatie die nodig is om de gebruiker van een website te identificeren niet berust bij de aanbieder van de website zelf, niet verhindert dat dynamische IP-adressen, geregistreerd door de aanbieder, als persoonsgegevens worden beschouwd.

Voor het Hof lijkt het vast te staan dat de mogelijkheid om een dynamisch IP-adres te combineren met extra informatie waarvan de internetprovider in het bezit is, een middel vormt waarvan mag worden aangenomen dat het redelijkerwijs kan worden ingezet om de betrokken persoon te identificeren.

Een dynamisch IP-adres vormt in deze omstandigheden dan ook een persoonsgegeven.

5. Conclusie

Op grond van dit arrest bestaat er geen twijfel meer over de kwalificatie van dynamische IP-adressen. Het Hof heeft expliciet geoordeeld dat dynamische IP-adressen als persoonsgegevens gekwalificeerd worden, ondanks dat de extra informatie die nodig is om tot de identificatie van de betrokkene over te gaan bij een derde berust.

Dit heeft als gevolg dat de aanbieders van websites, die in hun logbestanden de dynamische IP-adressen bewaren, de bepalingen van de Privacyrichtlijn en binnenkort de GDPR dienen te respecteren.