Noot bij ECLI:EU:C:2008:54 - bewaring en bekendmaking van bepaalde verkeersgegevens

Samenvatting

Informatiemaatschappij - Verplichtingen van serviceproviders - Bewaring en bekendmaking van bepaalde verkeersgegevens - Verplichting tot bekendmaking - Grenzen - Bescherming van vertrouwelijkheid van elektronische communicaties - Verenigbaarheid met bescherming van auteursrecht en naburige rechten - Recht op doeltreffende bescherming van intellectuele eigendom. 

Tekst noot

Het internet biedt vele gelegenheden om weer eens ten principale uit te zoeken hoe het staat met voor de hand liggende concepten. Zo vindt de communicatie op het internet veelal plaats via ‘unieke’IP-adressen. Een gebruiker krijgt van zijn internettoegangsaanbieder een dergelijk adres toegekend, dat vervolgens de basis vormt voor de vindbaarheid van, communicatie met of herkenning van de gebruiker. Aldusspelen IP-adressen een rol bij marketingactiviteiten en het tot stand komen van transacties. Eigenlijk zijn er veel overeenkomsten met klassieke telefoonnummers of huisadressen. Echter, IP-adressen zijn niet altijd ‘uniek’, maar kunnen ook door de internettoegangsaanbieder op tijdelijke basis – voor de duur van een bezoek op het internet – worden toegekend. Men spreekt dan van dynamische IP-adressen. Deze zijn maar voor een bepaalde tijd ‘uniek’ en kunnen vervolgens weer aan een andere gebruiker worden toegekend.[1]

Vanuit het privacyrecht is er een bijzondere reden om duidelijkheid te krijgen over de status van IP-adressen, en in het bijzonder deze dynamische IP-adressen.[2] Wanneer dynamische IP-adressen beschouwd kunnen worden als een persoonsgegeven, zijn op het gebruik ervan de strikte regels uit het privacyrecht van toepassing. Deze zijn met name neergelegd in twee richtlijnen, de Algemene privacyrichtlijn (Richtlijn 95/46/EG) en de e-Privacyrichtlijn (Richtlijn 2002/58/EG). De eerste richtlijn is inmiddels vervangen door de Algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), die vanaf 25 mei 2018 geldend recht wordt. Het is de bedoeling om de e-Privacyrichtlijn eveneenste vervangen door een verordening. Een voorstel daartoe isin behandeling.[3] Voor de zaak die hier aan de orde is, maakt het bestaan van de twee richtlijnen niet veel uit omdat ze gebaseerd zijn op hetzelfde begrippenkader.

De strikte privacyregels omvatten veel waarborgen die hun basis vinden in klassieke beginselen van het consumentenrecht. Daartoe behoren informatieverplichtingen, het in voorkomende gevallen daadwerkelijk verkrijgen van toestemming voor het gebruik en de verwerking van persoonsgegevens, waarborgen met betrekking tot de zorgvuldige omgang met en gebruik van de gegevens zoals de verstrekking ervan aan derden. Er staan dus grote belangen op hetspel.Is een IP-adres geen persoonsgegeven, dan zijn de bijzondere privacyregels niet van toepassing.

Er is een duidelijke richtingenstrijd: aan de ene kant zijn er auteurs die hun bedenkingen hebben bij het automatisch als een persoonsgegeven bestempelen van een IPadres. Zwenne geeft in zijn oratie De verwaterde privacywet een overzicht van de diverse opvattingen en betuigt zich geen voorstander van het al te gemakkelijk oprekken van het begrip ‘persoonsgegevens’.[4] Anderzijds hebben de Europese privacytoezichthouders, verenigd in de zogenaamde Artikel 29-werkgroep, zich voor een meer open interpretatie uitgesproken.[5] Zuiderveen Borgesius zit op eenzelfde lijn.[6]

Het Hof van Justitie hakt nu de knoop door in een overzichtelijk arrest.[7] Het geeft een uitleg van de definitie van persoonsgegevens zoals neergelegd in artikel 2 onderdeel a van de Privacyrichtlijn, waarin wordt gesteld dat het bij persoonsgegevens gaat om ‘iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna “betrokkene” te noemen; alsidentificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit’.[8] De directe identificatie van een persoon aan de hand van een IP-adres is niet mogelijk, zoals het Hof ook al eerder vaststelde, maar naar de opvatting van het Hof kan er bij dynamische IPadressen welsprake zijn van een ‘identificeerbaar natuurlijke persoon’.[9] Voor deze kwalificatie is van belang dat aan een redelijkheidstoets wordt voldaan, namelijk dat gekeken moet worden naar ‘alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de werking verantwoordelijk is, dan wel door enige andere persoon, kunnen worden ingezet om voornoemde personen te identificeren’. Er mag geen excessieve inspanning worden verlangd om de identiteit te achterhalen.[10] In het concrete geval zou de onlinedienstenaanbieder in samenspraak met de bevoegde autoriteit en internetprovider in staat moeten zijn om de identiteit te achterhalen. Daarbij kunnen zich wel beperkingen voordoen, zoals een verbod met betrekking tot toegang of gebruik van gegevens. Dit vinden we dan ook terug in het finale oordeel van het Hof: ‘Artikel 2, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet aldus worden uitgelegd dat een dynamisch internetprotocoladres dat door een aanbieder van onlinemediadiensten wordt geregistreerd telkens als een persoon een website bezoekt die door deze aanbieder toegankelijk wordt gemaakt voor het publiek, ten aanzien van die aanbieder een persoonsgegeven in de zin van voormelde bepaling vormt, wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust.’ De ‘wettige middelen’ geven hier deze beperking aan.

Het arrest geeft aanleiding tot ten minste twee observaties. In de eerste plaats zal door technologische en andere ontwikkelingen, zoals het steeds grootschaliger verzamelen van data, het steeds eenvoudiger worden om te spreken van situaties die conform het criterium van de richtlijn leiden tot het identificeren van personen. Enerzijds betekent dit goed nieuws: de betreffende personen kunnen aanspraak maken op de bescherming zoals neergelegd in de privacyregels. Anderzijds is dit slecht nieuws: de mogelijkheden om anoniem te zijn en blijven op het internet nemen verder af. Dit kan betekenen dat zogenaamde ‘chilling effects’ toenemen: gebruikers passen hun gedrag aan vanwege de vrees dat hun informatie wordt gebruikt voor zaken die zij niet wenselijk achten. Daarmee neemt de noodzaak toe om – als gebruiker en aanbieder – zorgvuldig te zijn met het gebruiken en delen van tot natuurlijke personen herleidbare gegevens. In andere uitspraken heeft het Hof al aangegeven dat het delen van gebruikersgegevens onderwerp moet zijn van een bredere belangenafweging, waarbij ook fundamentele rechten een rol moeten spelen.[11]

Een tweede observatie betreft de positie van natuurlijke personen vanuit een consumentenperspectief. De uitspraak maakt het privacyrecht nog verder deel van het recht dat door consumenten mogelijk kan worden ingeroepen ter bescherming van hun belangen. De vraag kan worden gesteld of dat wel de rol van het privacyrecht moet zijn c.q. hoe het privacyrecht zich verhoudt tot meer algemeen consumentenrecht dat vergelijkbare waarborgen biedt, zoals het recht met betrekking tot oneerlijke handelspraktijken.[12]

Voetnoten

1. Ook bij telefoonnummers en huisadressen is eigenlijk sprake van een vergelijkbare situatie: telefoonnummers kunnen vrijvallen en opnieuw worden uitgegeven. Huizen worden verlaten en krijgen nieuwe bewoners. De dynamiek van dynamische IP-adressen – de naam zegt het al – is natuurlijk wel anders.

2. Zie over privacy in relatie tot het consumentenrecht: F.J. Zuiderveen Borgesius, ‘Privacy van consumenten’, in: E.H. Hondius & G.J. Rijken (red.), Handboek Consumentenrecht, Zutphen: Uitgeverij Paris 2015, p. 483-497.

3. Proposal for a Regulation on Privacy and Electronic Communications, Digital Single Market, European Commission, 10 January 2017.

4. Zie prof.mr. Gerrit-Jan Zwenne, De verwaterde privacywet, (oratie Universiteit Leiden), Universiteit Leiden, 2013.

5. O.a. in: Article 29 Data Protection Working Party, Opinion 4/2007 on the concept of personal data, 01248/07/EN, WP 136, 20 juni 2007.

6. F.J. Zuiderveen Borgesius, Mensen aanwijzen maar niet bij naam noemen: behavioural targeting, persoonsgegevens en de nieuwe Privacyverordening, TvC 2016, afl. 2, p. 54-66. 

7. Het Hof oordeelde ook nog over een andere bepaling van de Privacyrichtlijn (artikel 7, onder f), waar het gaat om het verzamelen van gebruikersgegevens. Dit aspect blijft buiten deze bespreking van het arrest. Ook laten we het achterliggende feitencomplex hier onbesproken aangezien dit niet relevant is voor de in het geding zijnde rechtsvraag.

8. Aangezien de definitie van persoonsgegevens tussen de Privacyrichtlijn en de Algemene verordening gegevensbescherming (AVG) voor wat betreft het onderwerp van de zaak niet wezenlijk verschilt, zal het oordeel van het Hof relevant blijven na mei 2018.

9. R.o. 42.

10. R.o. 46.

11. Het Promusicae-arrest (HvJ EG 29 januari 2008, C-275/06, ECLI:EU:C:2008:54) wordt gezien als de eerste zaak waar een dergelijke belangenafweging in relatie tot het internettijdperk werd aangegeven.

12. E. Kannekens & N.A.N.M. van Eijk, Oneerlijke handelspraktijken: alternatief voor privacyhandhaving, Mediaforum 2016, afl. 4, p. 102- 109.

Titel, auteur en bron

Titel

Noot bij ECLI:EU:C:2008:54 - bewaring en bekendmaking van bepaalde verkeersgegevens

Permanente link

Huidige versie

https://www.openrecht.nl?jcdi=JCDI:ALT39:1