Stel u raadpleegt een site van de gemeente voor het aanvragen van uw nieuwe rijbewijs of uitkering en deze site slaat uw bezoekgedrag op. Handig voor later veronderstellen de meeste mensen. Maar is dit wel toegestaan?
In een uitspraak van 19 oktober 2016 heeft het Europese Hof van Justitie zich uitgelaten over de vraag of het voor exploitanten van websites is toegestaan om gegevens van bezoekers op te slaan. Het ging met name om de vraag of IP-adressen mochten worden bewaard.
In Duitsland had een internetgebruiker bij de Duitse rechter geklaagd dat de door hem bezochte websites van de Duitse federale instellingen ten onrechte zijn IP-adressen registreerden en bewaarden. Het Duitse Bundesgerichtshof wendde zich vervolgens tot het Europese Hof van Justitie en legde een tweetal vragen voor. Allereerst wilde het Bundesgerichtshof weten of een dynamisch IP-adres moet worden gezien als een persoonsgegeven, wat inhoudt dat het IP-adres dezelfde bescherming geniet als andere persoonsgegevens. Daarnaast werd de vraag voorgelegd of de exploitant van een website de mogelijkheid moet hebben om persoonsgegevens van bezoekers op te slaan en achteraf te benutten voor een goede werking van zijn website.
Een dynamisch IP-adres houdt in dat de gegevens bij elke nieuwe verbinding met het internet worden gewijzigd. Het Europese Hof oordeelt dat dit dynamische IP-adres voor de exploitant telkens als een persoonsgegeven moet worden beschouwd als zijn (voor het publiek toegankelijke) website wordt bezocht. De exploitant moet dan wel in staat zijn om via wettige middelen de identiteit van de bezoeker te achterhalen, bijvoorbeeld door zijn internetprovider te raadplegen. Een overheidsinstelling zal makkelijker in staat zijn om via wettige middelen gegevens los te krijgen van een internetprovider, zodat door hen dynamische IP-adressen dus snel moeten worden beschouwd als persoonsgegevens.
Op de tweede vraag antwoord het Europese Hof dat het de exploitant in beginsel toegestaan is gegevens op te slaan en achteraf te gebruiken om zo een goede werking van de aangeboden diensten te kunnen waarborgen. Als hij daartoe gerechtvaardigde belangen heeft, kan de exploitant persoonsgegevens opslaan en verwerken. Daarbij mogen de fundamentele rechten en vrijheden van de bezoekers echter niet in het geding komen. Die afweging moet dus altijd worden gemaakt.
Het Europese Hof concludeert in deze zaak dat federale instellingen een dergelijke gerechtvaardigd belang kunnen hebben, zodat het hen toegestaan is om de dynamische IP-adressen (en eventuele andere persoonsgegevens) te bewaren en achteraf te benutten.
Een (dynamisch) IP-adres is dus aan te merken als een persoonsgegeven. De afweging die elke exploitant van een website aldus moet maken is of hij een gerechtvaardigd belang heeft bij het opslaan en benutten van de betreffende persoonsgegevens. Als dat het geval is, is het hem toegestaan de persoonsgegevens op te slaan. Wel moet hij altijd de fundamentele rechten en vrijheden van de mens in ogenschouw nemen teneinde na te gaan of die mogelijk prevaleren boven het opslaan en verwerken van de gegevens.
Of dit in de praktijk echter vaak zal gaan gebeuren, is nog maar de vraag. Wie zal het maken van voornoemde afweging immers op scherp houden? De consument vindt de techniek veelal te ingewikkeld en privacy (in deze kwesties) doorgaans niet (echt) interessant.
Heeft u na het lezen nog vragen over bovenstaande blog, dan kunt u telefonisch contact met ons kantoor opnemen en vragen naar één van onze advocaten via telefoonnummer: 040 – 244 76 08.