Een ip-adres kan een persoonsgegeven zijn - oh nee, wat nu!?

Door Vincent Schönau, 24 January 2008

Via verschillende internationale bronnen bereikt ons het nieuws dat Peter Scharr, de Duitse privacy-toezichthouder, vindt dat een ip-adres een persoonsgegeven kan zijn.

Dit is in Nederland niet nieuw; het College Bescherming Persoonsgegevens, toen nog Registratiekamer, schreef al in 2001 dat een volledig IP-adres in veel gevallen als een persoonsgegeven beschouwd moet worden.

Let wel: noch Peter Scharr, noch ons CBP, zeggen dat een ip-adres altijd als persoonsgegeven moet worden beschouwd.

Betekent dit nu, zoals Ewald Smits in de kop van zijn stukje op sync.nl schrijft, het ‘Einde van content op maat’? Nee, dat betekent het niet.

Het betekent namelijk niet dat het plotseling verboden is ip-adressen op te slaan, of dat die gegevens plotseling ‘geheim’ zijn.

Maar als je een website maakt waarbij je (mede) op basis van het ip-adres individuele gebruikers identificeert, is je database een persoonsregistratie, en die database valt daarom onder de privacy-regelgeving.

Voor de gebruikers van die website is dat prima, want het betekent dat de beheerders van die website bijvoorbeeld de verplichting hebben je desgevraagd inzage te geven in de gegevens die ze over je hebben verzameld, en dat je het recht hebt die gegevens te laten verwijderen. Dat lijkt me een goede zaak.

Voor critici van dit standpunt (zoals Google) betekent het dat ze zich niet kunnen onttrekken aan de Europese privacy-regelgeving met het argument ‘dat ze geen persoonsgegevens verzamelen’. Dat maakt de bezwaren die Google heeft tegen dit standpunt wel begrijpelijk, maar niet terecht.