IP-adressen zijn niet (per definitie) persoonsgegevens

Jurist Gerrit-Jan Zwenne stelt in een artikel dat IP-adressen niet (per definitie) persoonsgegevens. En als er privacyproblemen zijn met IP-adressen moeten die niet worden opgelost door te doen alsof dat wel het geval zou zijn.

In het artikel IP-adressen zijn niet (per definitie) persoonsgegevens publiceert jurist Gerrit-Jan Zwenne zijn bijdrage aan het liber amicorum van Aernout Schmidt.

De strekking is, zakelijk weergegeven, dat IP-adressen niet (per definitie) persoonsgegevens. En als er privacyproblemen zijn met IP-adressen moeten die niet worden opgelost door te doen alsof dat wel het geval zou zijn.

Zwenne merkt op dat in de loop van de jaren de Artikel 29 Werkgroep en het College Bescherming Persoonsgegevens de beoordeling van IP adressen als persoonsgegevens heeft opgerekt.

Het overlegorgaan van nationale privacytoezichthouders, de Artikel 29 Werkgroep, stelt het onder meer tot zijn taak om de begrippen van de privacyrichtlijn 95/46/EG te verduidelijken. De afgelopen jaren heeft de werkgroep zich verschillende keren uitgelaten over IP-adressen. Uit de desbetreffende werkdocumenten en opinies blijkt dat de opvattingen van de werkgroep zich hebben ontwikkeld. Eerst waren de standpunten nog redelijke genuanceerd en lieten ruimte voor de mogelijkheid dat deze gegevens niet altijd onder het bereik van de richtlijn vallen. Inmiddels is dat veranderd. In zijn latere opinies gaat de werkgroep ervan uit dat IP-adressen eigenlijk altijd en per definitie moeten worden aangemerkt als persoonsgegevens, of in elk geval altijd als zodanig moeten worden behandeld.

De opvattingen van het CBP over IP-adressen hebben eenzelfde ontwikkeling doorgemaakt als die van de werkgroep – niet helemaal onverwacht omdat het CBP een actief deelnemer is aan de werkgroep.

Een precieze motivering is door de twee organisaties nooit gegeven. Zwenne noemt een aantal mogelijke redenen:

Er wordt, zo begrijp ik, enerzijds opgemerkt dat persoonsgegevens kunnen worden verbonden aan IP-adressen, waarmee wordt gesuggereerd dat IP-adressen a priori geen persoonsgegevens hoeven zijn, maar dat kúnnen worden als er een verband wordt gelegd met persoonsgegevens. Anderzijds lijkt te worden gezegd dat IP-adressen, ook als ze eigenlijk geen persoonsgegevens zijn, niettemin onder de werkingssfeer van de Wbp zouden moeten worden gebracht. Dit omdat ze zouden kunnen worden gebruikt om ‘beslissingen’ te nemen over nog niet geïdentificeerde of identificeerbare internetgebruikers.

Er is meer mogelijk. Wat in de online reclamewereld wordt aangeduid als behavourial targeting of profiling – het met onder meer IP-adressen in kaart brengen van de voorkeuren van geïndividualiseerde internetgebruiker – in andere contexten worden toegepast, soms met ernstigere consequenties dan het vertonen van banners. Aangenomen mag worden dat bijvoorbeeld auteursrechtorganisaties belangstelling hebben voor geïndividualiseerde downloaders. En dat niet alleen om deze op enig moment te identificeren, maar ook om alvast het dossier op te bouwen en vast te leggen wat deze geïndividualiseerde internetgebruikers allemaal doen. Ook denkbaa is dat deze rechthebbenden van ISP's gedaan krijgen dat wordt overgegaan tot het afsluiten van de niet door hen geïdentificeerde, maar wel geïndividualiseerde abonnees die gebruik maken van de door hen als verdachte aangemerkte IP-adressen. Ook in deze situatie volstaan IP-adressen en is niet per se nodig dat de identiteit van de abonnees (al?) bekend is. Er is weinig fantasie voor nodig om in het verlengde daarvan andere situaties te bedenken waarin er aanleiding is om internetgebruikers te individualiseren met IP-adressen. Wat te denken van de opsporingsautoriteiten die een zaak "opbouwen" over bijvoorbeeld dierenliefhebbers woonachtig in kraakpanden en met een bijzondere belangstelling voor adressen van politici en de receptuur van (verf)bommen? Wat te zeggen van de wens van sommige regimes om informatieposities op te bouwen tegen de bezoekers van hen onwelgevallige websites, of tegen subversieve bloggers en de lezers van hun blogberichten, enz. Ik wil maar zeggen. Ook als er nog geen sprake is van identificeerbaarheid zijn er talloze goede en minder goede redenen om aan de hand van IPadressen gedetailleerde profielen aan te leggen van geïndividualiseerde maar niettemin ongeïdentificeerde internetgebruikers. In termen van privacy heeft dit implicaties, ook als er volgens de gangbare definitie nog geen sprake is van identificeerbaarheid. Voor een toezichthouder van wie de bevoegdheid is beperkt tot persoonsgegevens, is de begrijpelijke eerste reflex dan om het persoonsgegevensbegrip zo te interpreteren dat IP-adressen hoe dan ook daaronder vallen. En om zodoende individualiseren gelijk te stellen met identificeren. En dat alles waarschijnlijk met als achterliggende gedachte dat een teveel aan privacywaarborgen is te verkiezen boven te weinig.

Zwenne bespreekt daarna de toekomst van de wetgeving:

De gedachte waarmee de vorige paragraaf eindigde is niet onsympathiek. Als het gaat om de bescherming van de persoonlijke levenssfeer is een teveel aan waarborgen te verkiezen boven te weinig. En, gelet op wat er met IPadressen kan, is er wellicht veel voor te zeggen om op de een of andere manier beperkingen te stellen aan het gebruik van IP-adressen en andere gegevens, waarmee internetgebruikers worden geïndividualiseerd – ook als die gegevens nog niet, of nog niet voor iedereen, als persoonsgegevens zijn aan te merken. In dergelijke beperkingen voorziet de Wbp niet, tenzij wordt uitgegaan van een zo extensieve interpretatie van het persoonsgegevensbegrip dat IPadressen per definitie daaronder vallen. De vraag is of daarom de privacywetgeving van de toekomst (zeg: Privacywet 2.0) inderdaad moet uitgaan van een persoonsgegevensbegrip dat vanzelfsprekend ook IP-adressen omvat, en daarmee ook andere identifiers (bijvoorbeeld IMSI of IMEI-nummers, of RFID-nummers enz.). Er zijn verschillende redenen waarom wij dit niet moeten willen. Wat mij betreft ligt de belangrijkste daarvan in het voorkomen dat de Wbp als privacywet betekenis verliest. Een extensieve interpretatie leidt ertoe dat de werkingssfeer van de wet wordt opgerekt tot ver voorbij wat nog werkbaar is. Een dergelijke interpretatie impliceert dat bij de toepassing van het identificeerbaarheidscriterium wordt voorbijgegaan aan zowel de objectivering naar de redelijk toegeruste gegevensverwerker (‘wat in de gegeven situatie redelijkerwijs mag worden verwacht’) als de subjectivering naar diens bijzondere expertise (‘expertise’, ‘contacten’, ‘technische outillage’ enz.). En dat brengt onvermijdelijk met zich mee dat veel (heel erg veel) meer gegevens onder de werkingssfeer van de wet komen te vallen. En, wat belangrijker is, dat er dan géén hanteerbaar criterium meer is waarmee kan worden bepaald wat géén persoonsgegeven (meer) is. Als er al kan worden gesproken van identificeerbaarheid als op enig moment er de mogelijkheid zou kunnen zijn dat een individu wordt geïdentificeerd, verliest identificeerbaarheid als criterium onderscheidend vermogen. Alles wat dan op enig moment kan leiden tot identificatie is daarmee een persoonsgegeven, althans moet als zodanig worden behandeld, wat op hetzelfde neerkomt. Het risico dat ik zie is dat toepassing van de wet dan toevallig wordt, en de naleving en de handhaving willekeurig.

In het laatste hoofdstuk doet Zwenne een voorstel voor het aanpassen van de huidige wetgeving.