IT-jurist Peter van Schelven over...

Het drieluik van IP-adres, privacy en security

Wie bij Wikipedia bij het trefwoord ‘IP-adres’ kijkt, leest dat IP-adressen op zichzelf geen persoonsgegevens zijn, maar door een combinatie met andere gegevens dat wel kunnen worden. Die gedachte klopt. Een IP-adres zegt uiteraard niets over mensen. IP-adressen worden in kringen van privacydeskundigen daarom wel aangeduid als indirect identificerende gegevens.

Door een IP-adres te combineren met aanvullende gegevens die in het bezit van een Internet Service Provider (ISP) zijn, kan de houder van een computer worden achterhaald. In zo’n geval is de privacywetgeving – in ons land vastgelegd in de Wet bescherming persoonsgegevens – van toepassing op IP-adressen.

Breyer-case
Vorige week heeft het Europees Hof van Justitie te Luxemburg in de zogeheten Breyer-case die gedachte ten aanzien van dynamische IP-adressen bevestigd. Het Hof continueert daarmee de sinds jaar en dag heersende ruime uitleg die aan het begrip persoonsgegevens in de Europese privacywetgeving wordt gegeven. De redenering van het Hof is de volgende: als een bepaalde partij een website in de lucht houdt en IP-adressen van de bezoekers van die site vastlegt, en deze informatie bovendien gecombineerd kan worden met aanvullende informatie die door de politie bij een ISP opvraagbaar is, dan maakt dàt het IP-adres tot een persoonsgegeven. Dus: zelfs als de twee bronnen van de gecombineerde gegevens in verschillende handen liggen, dan nog is, aldus het Hof, het IP-adres herleidbaar tot een mens van vlees en bloed. En daarmee komen ook voor dynamische IP-adressen de spelregels van het privacyrecht in het vizier.

Gerechtvaardigd doel
De uitspraak noodzaakt houders van een website stil te staan bij de vraag hoe met IP-adressen wordt omgegaan. De wet vereist namelijk een behoorlijke en zorgvuldige omgang met persoonsgegevens. Zo vloeit uit de privacywetgeving voort dat IP-adressen alleen mogen worden verzameld en bewaard als er voor de houder van een website een gerechtvaardigd doeleinde is. De vraag is dus: wat is in relatie tot IP-adressen nou eigenlijk een ‘gerechtvaardigd doel’?

Wat die vraag betreft, spreekt het uiteraard voor zich dat IP-adressen primair bedoeld zijn om het mogelijk te maken dat computers elkaar kunnen vinden en identificeren. Ik moet bijvoorbeeld met de website van mijn gemeente kunnen communiceren en de computer van mijn gemeente moet mij online kunnen antwoorden, bijvoorbeeld door opgevraagde informatie naar mijn computer te sturen. Vanzelfsprekend is dit de kernfunctie van een IP-adres.

Maar heeft de gemeente een nog verdergaand gerechtvaardigd doel? Oftewel, mag de gemeente ook na mijn bezoek aan hun site mijn IP-adres nog langer vasthouden? Zo nee, moet de gemeente mijn IP-adres dan terstond wissen? Deze vragen stonden in wezen centraal in de Breyer-case. Zij zijn van belang omdat een van de hoofdregels van het privacyrecht luidt dat persoonsgegevens niet langer bewaard mogen worden dan strikt noodzakelijk is voor de realisatie van het gerechtvaardigde doel.

Cyberaanvallen
Anders gezegd: schendt de gemeente mijn privacy door mijn IP-adres ook na mijn bezoek te bewaren? Het Hof beantwoordt die vraag ontkennend. De uitspraak zegt dat de houder van een website een gerechtvaardigd belang kan hebben om IP-adressen te bewaren ter bescherming tegen cyberaanvallen. Zo kan het voor de houder van een site belangrijk zijn om met het oog op security nog gedurende enige tijd te kunnen checken vanuit welke IP-adressen de website bezocht is. Immers, er kan sprake zijn van keurig net bezoek, maar ook van gespuis – cybercriminelen – met minder oorbare bedoelingen. De houder van een site moet, zo ligt in het oordeel van het Hof besloten, de gelegenheid hebben om achteraf het bezoek van de site te kunnen controleren.

Bewaartermijn IP-adressen
De uitspraak betekent uiteraard niet dat IP-adressen van bezoekers tot in het oneindige mogen worden bewaard. Het Hof laat zich begrijpelijkerwijs niet uit over wat een aanvaardbare bewaartermijn is. Houders van websites zullen daarom primair zelf hun eigen redelijke afweging, afgestemd op het risicoprofiel van de desbetreffende site, moeten maken. De ene website is wat dat betreft de andere eenvoudigweg niet. Redelijke belangen rondom security vormen bij die afweging een leidend uitgangspunt.


Lees meer over