Op 19 oktober 2016 oordeelde het Europese Hof van Justitie (HvJ EU) in het Breyer, Duitsland arrest (IT 2155, red.) dat dynamische IP adressen persoonsgegevens kunnen zijn in de zin van de Privacyrichtlijn 95/46. Deze richtlijn is geimplementeerd in onze Wet bescherming persoonsgegevens (Wbp).  Hieronder zal kort uiteengezet worden hoe het HvJ EU tot haar oordeel is gekomen en wat dit voor de praktijk betekent (lees meer, red.)

Wat zijn persoonsgegevens?

Volgens artikel 2 van de Privacyrichtlijn is een persoonsgegeven:

Iedere informatie betreffende een geidentificeerde of identificeerbare natuurlijke persoon (…). Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geidentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.  

Het begrip persoonsgegeven moet dus ruim worden opgevat. Ook gegevens die iemand indirect identificeren vallen eronder, indien deze gegevens door combinatie met andere gegevens toch met een bepaalde persoon in verband kunnen worden gebracht. Zo werd eerder bijvoorbeeld geoordeeld dat telefoonnummers, postcodes met huisnummers en kentekens van auto s als persoonsgegevens kunnen worden aangemerkt. 

Statische- en dynamische IP-adressen

In onderhavige zaak was de vraag aan de orde of dynamische IP-adressen onder bepaalde omstandigheden (welke hierna besproken zullen worden) als persoonsgegeven gekwalificeerd kunnen worden.

Deze versturen we 3-4x per jaar.