In een arrest van 19 oktober 2016 (C-582/14) sprak het Hof van Justitie zich uit over het bewaren van dynamische IP-adressen door websites in de strijd tegen cyberaanvallen. Het arrest is om twee redenen interessant. Enerzijds spreekt het arrest zich uit over de draagwijdte van het begrip "persoonsgegeven". Anderzijds bevestigt het arrest dat het beschermen van een website tegen cyberaanvallen een gerechtvaardigd belang vormt en onder bepaalde voorwaarden een rechtsgrond biedt voor het bewaren van persoonsgegevens zoals dynamische IP-adressen.
Waarom is dit arrest relevant voor u?
Samengevat is dit arrest om twee redenen relevant voor u:
Ten eerste wordt het begrip "persoonsgegeven" zeer ruim ingevuld. Dit arrest bevestigt dat u er niet zomaar kan van uitgaan dat u geen persoonsgegevens verwerkt wanneer u zelf niet in staat ben om personen te identificeren. Hoewel het arrest het enkel heeft over de combinatie met gegevens van één welbepaalde derde, namelijk de internet provider, is het niet ondenkbaar dat de interpretatie ook voor informatie van andere derden geldt. Als derden, die u redelijkerwijze kan aanspreken, over extra informatie beschikken die gecombineerd met uw gegevens een persoon kunnen identificeren, bent u dus mogelijk persoonsgegevens aan het verwerken.
Ten tweede wordt vastgesteld dat het beschermen van uw website tegen cyberaanvallen een gerechtvaardigd belang kan zijn op grond waarvan u (mits ook aan andere voorwaarden is voldaan) gegevens van bezoekers van uw website kan bewaren.
Breyer bezoekt een website en stelt vast dat zijn gegevens worden bijgehouden
Het arrest beslecht een betwisting tussen Patrick Breyer en de Duitse overheid. Breyer bezocht verschillende websites van Duitse federale instellingen. Hij stelde daarbij vast dat die websites logbestanden van alle bezoekers bijhielden en vorderde de staking daarvan. De websites in kwestie bewaarden allerlei gegevens (waaronder de opgevraagde pagina's, de ingegeven zoektermen en het IP-adres van de bezoeker) om cyberaanvallen af te weren en strafvervolging van de aanvallers mogelijk te maken.
Internet providers kennen aan elke computer een IP-adres toe om de communicatie met een website mogelijk te maken. Dit adres wordt doorgegeven aan de server waar de bezochte website is opgeslagen. Op basis van dit adres is het mogelijk de computer van de bezoeker te identificeren. Internet providers kunnen dynamische IP-adressen toekennen. Dergelijke IP-adressen wijzigen bij elk bezoek aan het internet (bijvoorbeeld voor het bezoek aan een website). Internet providers kunnen ook statische IP-adressen toekennen, die bij elke verbinding steeds hetzelfde blijven (bijvoorbeeld voor een vaste mailserver).
Bijzonder aan dynamische IP-adressen is dat de aanbieder van een online dienst (zoals een website) de bezoeker niet zelf rechtstreeks kan identificeren. Daarvoor heeft de aanbieder meer informatie nodig waarover alleen de internet provider beschikt. De internet provider mag die informatie niet zonder wettelijke basis doorgeven aan een aanbieder van een online dienst.
Dynamische IP-adressen kunnen persoonsgegevens zijn voor aanbieders van websites, ook al kunnen zij aan de hand daarvan niet zelf rechtstreeks bezoekers identificeren
De aanbieder van de website in dit verhaal beschikte dus enkel over gegevens (dynamische IP-adressen) waarmee hij niet zelf rechtstreeks websitebezoekers kon identificeren. Dat zou hij pas kunnen doen, indien hij zijn gegevens zou combineren met de extra gegevens waarover de internet provider beschikt.
Het Hof van Justitie moest in deze zaak uitmaken of websitebezoekers (zoals Breyer) in die omstandigheden identificeerbaar zijn en of dynamische IP-adressen bijgevolg als persoonsgegevens zijn te beschouwen ten aanzien van de aanbieder van de website.
Met die vraag kreeg het Hof de kans standpunt in te nemen in een debat waarin er twee zienswijzen rond het begrip identificeerbaarheid gangbaar zijn. De ene zienswijze gaat uit van een objectief criterium waarbij gegevens persoonsgegevens zijn zelfs indien enkel een derde in staat is de identiteit van de natuurlijke persoon te achterhalen. Deze zienswijze geeft een zeer ruime draagwijdte aan het begrip persoonsgegevens, zodat dynamische IP-adressen van bezoekers ook voor de aanbieder van de website een persoonsgegeven zijn. De andere zienswijze gaat uit van een relatief criterium waarbij gegevens maar persoonsgegevens zijn indien diegene die toegang tot de gegevens heeft, in staat is met eigen middelen een natuurlijk persoon te identificeren. In dit geval zouden de dynamische IP-adressen van bezoekers voor de aanbieder van de website geen persoonsgegevens zijn.
Het Hof sloot zich aan bij de eerste zienswijze. Het besliste dat dynamische IP-adressen persoonsgegevens zijn voor de aanbieder van een website omdat hij, via de extra informatie die hij aan de internet provider kan vragen, over wettige middelen beschikt waarmee identificatie van de bezoekers mogelijk wordt. Het Hof voegde daaraan toe dat zulks niet het geval is wanneer (i) de identificatie van een persoon bij wet verboden is, of (ii) in de praktijk ondoenlijk is omdat zij – gelet op de vereiste tijd, kosten en mankracht – een excessieve inspanning vergt, zodat het gevaar voor identificatie in werkelijkheid onbeduidend wordt.
Websites mogen dynamische IP adressen verwerken om zich tegen cyberaanvallen te beschermen
De Europese wetgeving inzake gegevensbescherming laat websites in een beperkt aantal gevallen toe persoonsgegevens zonder toestemming van de betrokkene te verwerken. Dit is onder andere mogelijk indien dit noodzakelijk is om een gerechtvaardigd belang te beschermen van de aanbieder van de website of van een derde aan wie deze gegevens zijn toevertrouwd, en zolang dit geen onevenredige inbreuk uitmaakt op de fundamentele rechten en vrijheden van de bezoeker.
Breyer meende dat de Duitse overheid zijn recht op gegevensbescherming onevenredig schond door zijn gegevens bij te houden voor andere doeleinden dan het louter herstellen van storingen. Breyer verwees daarbij naar een Duitse wet die aanbieders van websites in de gevallen waar er geen toestemming is van de bezoeker, enkel toelaat om gegevens te bewaren voor zover en zolang dit nodig is voor het concrete gebruik van deze dienst door de bezoeker of de facturatie ervan.
De Duitse overheid bracht daartegen in dat die wetgeving het verwerken van gegevens voor andere gerechtvaardigde belangen verhinderde. Een voorbeeld van een ander gerechtvaardigd belang is volgens de Duitse overheid precies het in stand houden van de goede werking van de website. Deze werking komt in gevaar indien de website het slachtoffer wordt van cybercriminaliteit. Daarbij denken we bijvoorbeeld aan de vele DDoS-aanvallen die niet meer uit de media zijn weg te denken. Bij een DDoS-aanval maken heel veel computers op hetzelfde moment een verbinding met de website waardoor de verbinding verstopt raakt. De website zal dan ook niet meer bereikbaar zijn. Op dat moment verzwakt bovendien de beveiliging van de site, waardoor hackers eenvoudiger de achterliggende database kunnen binnendringen en er gegevens aan ontfutselen.
Het Europese Hof van Justitie gaf de Duitse overheid gelijk en koos voor een brede kijk op het belang van verwerkingsverantwoordelijke (in dit geval de aanbieder van de website). Het bevestigde dat de bescherming van een website tegen cyberaanvallen een gerechtvaardigd belang kan zijn. Dit is zonder meer een belangrijk arrest voor een betere cybersecurity in de Europese Unie.