Add to collection(s) Add to saved
  1. Engineering
  2. Webdesign

Dynamische IP-adressen kunnen persoonsgegevens zijn

advertisement 
Spotlights - december 2016
Dynamische IP-adressen kunnen persoonsgegevens zijn en
mogen soms worden bewaard in de strijd tegen
cyberaanvallen
In een arrest van 19 oktober 2016 (C-582/14) sprak het Hof van Justitie zich uit over het bewaren van
dynamische IP-adressen door websites in de strijd tegen cyberaanvallen. Het arrest is om twee redenen
interessant. Enerzijds spreekt het arrest zich uit over de draagwijdte van het begrip "persoonsgegeven".
Anderzijds
bevestigt
het
arrest
dat
het
beschermen
van
een
website
tegen
cyberaanvallen
een
gerechtvaardigd belang vormt en onder bepaalde voorwaarden een rechtsgrond biedt voor het bewaren van
persoonsgegevens zoals dynamische IP-adressen.
Waarom is dit arrest relevant voor u?
Samengevat is dit arrest om twee redenen relevant voor u:
Ten eerste wordt het begrip "persoonsgegeven" zeer ruim ingevuld. Dit arrest bevestigt dat u er niet zomaar kan van
uitgaan dat u geen persoonsgegevens verwerkt wanneer u zelf niet in staat ben om personen te identificeren. Hoewel het
arrest het enkel heeft over de combinatie met gegevens van één welbepaalde derde, namelijk de internet provider, is het
niet ondenkbaar dat de interpretatie ook voor informatie van andere derden geldt. Als derden, die u redelijkerwijze kan
aanspreken, over extra informatie beschikken die gecombineerd met uw gegevens een persoon kunnen identificeren, bent
u dus mogelijk persoonsgegevens aan het verwerken.
Ten tweede wordt vastgesteld dat het beschermen van uw website tegen cyberaanvallen een gerechtvaardigd belang kan
zijn op grond waarvan u (mits ook aan andere voorwaarden is voldaan) gegevens van bezoekers van uw website kan
bewaren.
Breyer bezoekt een website en stelt vast dat zijn gegevens worden bijgehouden
Het arrest beslecht een betwisting tussen Patrick Breyer en de Duitse overheid. Breyer bezocht verschillende websites van
Duitse federale instellingen. Hij stelde daarbij vast dat die websites logbestanden van alle bezoekers bijhielden en vorderde
de staking daarvan. De websites in kwestie bewaarden allerlei gegevens (waaronder de opgevraagde pagina's, de
ingegeven zoektermen en het IP-adres van de bezoeker) om cyberaanvallen af te weren en strafvervolging van de
aanvallers mogelijk te maken.
Internet providers kennen aan elke computer een IP-adres toe om de communicatie met een website mogelijk te maken.
Dit adres wordt doorgegeven aan de server waar de bezochte website is opgeslagen. Op basis van dit adres is het mogelijk
de computer van de bezoeker te identificeren. Internet providers kunnen dynamische IP-adressen toekennen. Dergelijke
IP-adressen wijzigen bij elk bezoek aan het internet (bijvoorbeeld voor het bezoek aan een website). Internet providers
kunnen ook statische IP-adressen toekennen, die bij elke verbinding steeds hetzelfde blijven (bijvoorbeeld voor een vaste
mailserver).
© Copyright Eubelius
Page 1 of 3
Bijzonder aan dynamische IP-adressen is dat de aanbieder van een online dienst (zoals een website) de bezoeker niet zelf
rechtstreeks kan identificeren. Daarvoor heeft de aanbieder meer informatie nodig waarover alleen de internet provider
beschikt. De internet provider mag die informatie niet zonder wettelijke basis doorgeven aan een aanbieder van een online
dienst.
Dynamische IP-adressen kunnen persoonsgegevens zijn voor aanbieders van websites, ook al kunnen zij aan
de hand daarvan niet zelf rechtstreeks bezoekers identificeren
De aanbieder van de website in dit verhaal beschikte dus enkel over gegevens (dynamische IP-adressen) waarmee hij niet
zelf rechtstreeks websitebezoekers kon identificeren. Dat zou hij pas kunnen doen, indien hij zijn gegevens zou combineren
met de extra gegevens waarover de internet provider beschikt.
Het Hof van Justitie moest in deze zaak uitmaken of websitebezoekers (zoals Breyer) in die omstandigheden
identificeerbaar zijn en of dynamische IP-adressen bijgevolg als persoonsgegevens zijn te beschouwen ten aanzien van de
aanbieder van de website.
Met die vraag kreeg het Hof de kans standpunt in te nemen in een debat waarin er twee zienswijzen rond het begrip
identificeerbaarheid gangbaar zijn. De ene zienswijze gaat uit van een objectief criterium waarbij gegevens
persoonsgegevens zijn zelfs indien enkel een derde in staat is de identiteit van de natuurlijke persoon te achterhalen. Deze
zienswijze geeft een zeer ruime draagwijdte aan het begrip persoonsgegevens, zodat dynamische IP-adressen van
bezoekers ook voor de aanbieder van de website een persoonsgegeven zijn. De andere zienswijze gaat uit van een relatief
criterium waarbij gegevens maar persoonsgegevens zijn indien diegene die toegang tot de gegevens heeft, in staat is met
eigen middelen een natuurlijk persoon te identificeren. In dit geval zouden de dynamische IP-adressen van bezoekers voor
de aanbieder van de website geen persoonsgegevens zijn.
Het Hof sloot zich aan bij de eerste zienswijze. Het besliste dat dynamische IP-adressen persoonsgegevens zijn voor de
aanbieder van een website omdat hij, via de extra informatie die hij aan de internet provider kan vragen, over wettige
middelen beschikt waarmee identificatie van de bezoekers mogelijk wordt. Het Hof voegde daaraan toe dat zulks niet het
geval is wanneer (i) de identificatie van een persoon bij wet verboden is, of (ii) in de praktijk ondoenlijk is omdat zij – gelet
op de vereiste tijd, kosten en mankracht – een excessieve inspanning vergt, zodat het gevaar voor identificatie in
werkelijkheid onbeduidend wordt.
Websites mogen dynamische IP adressen verwerken om zich tegen cyberaanvallen te beschermen
De Europese wetgeving inzake gegevensbescherming laat websites in een beperkt aantal gevallen toe persoonsgegevens
zonder toestemming van de betrokkene te verwerken. Dit is onder andere mogelijk indien dit noodzakelijk is om een
gerechtvaardigd belang te beschermen van de aanbieder van de website of van een derde aan wie deze gegevens zijn
toevertrouwd, en zolang dit geen onevenredige inbreuk uitmaakt op de fundamentele rechten en vrijheden van de
bezoeker.
Breyer meende dat de Duitse overheid zijn recht op gegevensbescherming onevenredig schond door zijn gegevens bij te
houden voor andere doeleinden dan het louter herstellen van storingen. Breyer verwees daarbij naar een Duitse wet die
aanbieders van websites in de gevallen waar er geen toestemming is van de bezoeker, enkel toelaat om gegevens te
bewaren voor zover en zolang dit nodig is voor het concrete gebruik van deze dienst door de bezoeker of de facturatie
ervan.
De Duitse overheid bracht daartegen in dat die wetgeving het verwerken van gegevens voor andere gerechtvaardigde
belangen verhinderde. Een voorbeeld van een ander gerechtvaardigd belang is volgens de Duitse overheid precies het in
stand houden van de goede werking van de website. Deze werking komt in gevaar indien de website het slachtoffer wordt
van cybercriminaliteit. Daarbij denken we bijvoorbeeld aan de vele DDoS-aanvallen die niet meer uit de media zijn weg te
© Copyright Eubelius
Page 2 of 3
denken. Bij een DDoS-aanval maken heel veel computers op hetzelfde moment een verbinding met de website waardoor de
verbinding verstopt raakt. De website zal dan ook niet meer bereikbaar zijn. Op dat moment verzwakt bovendien de
beveiliging van de site, waardoor hackers eenvoudiger de achterliggende database kunnen binnendringen en er gegevens
aan ontfutselen.
Het Europese Hof van Justitie gaf de Duitse overheid gelijk en koos voor een brede kijk op het belang van
verwerkingsverantwoordelijke (in dit geval de aanbieder van de website). Het bevestigde dat de bescherming van een
website tegen cyberaanvallen een gerechtvaardigd belang kan zijn. Dit is zonder meer een belangrijk arrest voor een
betere cybersecurity in de Europese Unie.
Catherine Van de Heyning
Anneleen Van de
Meulebroucke
Copyright
Eubelius bezit het exclusieve copyright van deze website, zijn design en de volledige inhoud ervan. Gebruik van deze website, of
delen ervan, in welke vorm dan ook, is verboden zonder de voorafgaande schriftelijke toestemming van Eubelius.
Disclaimer
De informatie over juridische onderwerpen die u in deze Spotlights aantreft, zijn louter informatieve, algemene besprekingen en
kunnen in geen geval als juridisch advies worden beschouwd. Eubelius aanvaardt geen aansprakelijkheid voor enige schade die
iemand zou lijden door voort te gaan op deze informatie. Als u juridisch advies wenst, dient u contact op te nemen met een
gekwalificeerde advocaat die u zal adviseren op basis van uw persoonlijke situatie. Eubelius is niet verantwoordelijk voor de content
op externe websites die via deze Spotlights te bereiken zouden zijn.
© Copyright Eubelius
Powered by TCPDF (www.tcpdf.org)
Page 3 of 3
Related documents
Information Ethics
Information Ethics
1.1. Vastleggen en verwerking van gegevens 1.2
1.1. Vastleggen en verwerking van gegevens 1.2
Modelbrief uitoefening recht van verzet
Modelbrief uitoefening recht van verzet
Bijzondere aansprakelijkheid van zaakvoerders van
Bijzondere aansprakelijkheid van zaakvoerders van
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
Betalingsvoorwaarden PSYTRAIN - Psychologiepraktijk Den Helder
Betalingsvoorwaarden PSYTRAIN - Psychologiepraktijk Den Helder
Dienstenwijzer
Dienstenwijzer
University of Groningen DNA-based drug carriers and dynamic
University of Groningen DNA-based drug carriers and dynamic
Privacy statement
Privacy statement
Toelichting bij schema inventarisatie verwerking
Toelichting bij schema inventarisatie verwerking
Privacy clientenbrochure - Regionaal Autisme Centrum!
Privacy clientenbrochure - Regionaal Autisme Centrum!
Bussystemen
Bussystemen
Download
advertisement