Net op tijd voor de Dag van de Privacy 2024 op 28 januari vroeg de Europese Commissie om bewijs om te begrijpen hoe de General Data Protection Regulation (GDPR) van de EU heeft gefunctioneerd nu het bijna 6 jaar geleden is dat de regelgeving van kracht werd.
We zijn blij dat ze die vraag hebben gesteld, want wij hebben zo onze ideeën. En hoe kunnen we privacydag beter vieren dan door te discussiëren over de vraag of de toepassing van de GDPR daadwerkelijk iets heeft gedaan om de privacy van mensen te verbeteren?
Het antwoord op deze vraag is meestal ja, maar op een paar belangrijke manieren – nee.
Over het algemeen wordt de GDPR terecht gezien als de wereldwijde gouden standaard voor privacybescherming. Het heeft als model gediend voor hoe gegevensbeschermingspraktijken er wereldwijd uit zouden moeten zien, het legt rechten vast voor betrokkenen die in verschillende rechtsgebieden zijn overgenomen en toen het van kracht werd, creëerde het een standaard voor het soort privacybescherming dat mensen wereldwijd zouden moeten kunnen verwachten en eisen van de entiteiten die met hun persoonlijke gegevens omgaan. Per saldo is de GDPR zeker een stap in de goede richting om mensen meer controle te geven over hun persoonlijke gegevens en hun privacy te beschermen.
Op een paar belangrijke gebieden zijn we echter van mening dat de manier waarop de GDPR is toegepast op gegevens die op het Internet worden uitgewisseld, niets heeft bijgedragen aan de privacy en zelfs de bescherming van persoonlijke gegevens in gevaar kan brengen. Het eerste gebied waar we dit zien is met betrekking tot grensoverschrijdende gegevensoverdracht. Locatie is in de hoofden van veel EU-regelgevers voor gegevensbescherming een proxy voor privacy geworden en wij denken dat dit het verkeerde resultaat is. Het tweede gebied is een te ruime interpretatie van wat “persoonsgegevens” zijn door sommige regelgevers, met betrekking tot Internet Protocol of “IP”-adressen. Wij zijn van mening dat IP-adressen niet altijd als persoonsgegevens moeten worden beschouwd, vooral wanneer de entiteiten die IP-adressen verwerken niet in staat zijn om deze IP-adressen aan individuen te koppelen. Dit is belangrijk omdat de mogelijkheid om een aantal toonaangevende cyberbeveiligingsmaatregelen te implementeren, afhankelijk is van de mogelijkheid om dreigingsinformatie te verzamelen over metadata van internetverkeer, waaronder IP-adressen.
Locatie mag geen vervanging zijn voor privacy
In principe moet het met goede praktijken op het gebied van gegevensbeveiliging en privacy mogelijk zijn om persoonlijke gegevens te beschermen, ongeacht waar die verwerking of opslag plaatsvindt. Niettemin is de GDPR gebaseerd op het idee dat er wettelijke bescherming moet gelden voor persoonlijke gegevens op basis van de locatie van de gegevens - waar ze worden gegenereerd, verwerkt of opgeslagen. Artikel 44 tot en met 49 stellen de voorwaarden vast waaraan moet worden voldaan om gegevens te kunnen overdragen naar een rechtsgebied buiten de EU, met het idee dat zelfs als de gegevens zich op een andere locatie bevinden, de door de GDPR vastgestelde privacybescherming de gegevens moet volgen. Ongetwijfeld werd deze aanpak beïnvloed door politieke ontwikkelingen rond surveillancepraktijken van de overheid, zoals de onthullingen in 2013 van geheime documenten die de relatie beschrijven tussen de Amerikaanse NSA (en haar ‘Five Eyes’ partners) en grote Internetbedrijven, en dat inlichtingendiensten gegevens ophaalden van choke points op het Internet. En toen de GDPR eenmaal van kracht was, waren veel gegevenstoezichthouders in de EU van mening dat als gevolg van de beperkingen van de GDPR op grensoverschrijdende gegevensoverdracht, Europese persoonlijke gegevens eenvoudigweg niet in de Verenigde Staten konden worden verwerkt op een manier die in overeenstemming zou zijn met de GDPR.
Deze kwestie kwam aan het licht in juli 2020, toen het Europees Hof van Justitie (HvJEU) in zijn “Schrems II” beslissing, 1 de EU-VS Privacy Shield adequaatheidsnorm ongeldig verklaard heeft en de geschiktheid van de standaard contractuele clausules van de EU in twijfel getrokken heeft (een mechanisme dat entiteiten kunnen gebruiken om ervoor te zorgen dat GDPR-beschermingen worden toegepast op persoonsgegevens uit de EU, zelfs als deze buiten de EU worden verwerkt). De uitspraak gaf toezichthouders op het gebied van gegevensbescherming in sommige opzichten weinig speelruimte met betrekking tot kwesties over trans-Atlantische gegevensstromen. Maar terwijl sommige toezichthouders de Schrems II uitspraak uitlegden op een manier die het nog steeds mogelijk zou maken om persoonlijke gegevens uit de EU te verwerken in de Verenigde Staten, zagen andere toezichthouders de beslissing als een kans om te volharden in hun standpunt dat persoonlijke gegevens uit de EU niet kunnen worden verwerkt in de VS in overeenstemming met de GDPR, waardoor velen ten onrechte gingen denken dat localisatie van gegevens vanzelf leidt tot gegevensbescherming.
Wij beweren zelfs dat het tegenovergestelde het geval is. Uit onze eigen ervaring en volgens recent onderzoek2 weten we dat localisatie van gegevens een bedreiging vormt voor het vermogen van een organisatie om een geïntegreerd beheer van cyberbeveiligingsrisico's te realiseren en het vermogen van een organisatie beperkt om state-of-the-art cyberbeveiligingsmaatregelen die afhankelijk zijn van grensoverschrijdende gegevensoverdracht zo effectief mogelijk in te zetten. Bijvoorbeeld: Cloudflare’s Bot Management product wordt alleen nauwkeuriger bij voortdurend gebruik op het wereldwijde Internet: het detecteert en blokkeert verkeer dat afkomstig is van bots voordat het leerervaringen terugleidt naar de modellen die het product ondersteunen. Meer diverse signalen en een hoger volume aan gegevens op een wereldwijd platform zijn van cruciaal belang om ons te helpen onze botdetectietools te blijven ontwikkelen. Als het Internet gefragmenteerd zou zijn –waardoor gegevens van de ene jurisdictie niet gebruikt zouden kunnen worden in een andere – zouden steeds meer signalen gemist worden. We zouden bijvoorbeeld niet in staat zijn om lessen uit bottrends in Azië toe te passen op het verhelpen van problemen met bots in Europa. En als het vermogen om botverkeer te identificeren wordt belemmerd, wordt het ook moeilijker om deze schadelijke bots te blokkeren voor diensten die persoonsgegevens verwerken.
De behoefte aan toonaangevende cyberbeveiligingsmaatregelen spreekt voor zich, en het is niet alsof gegevensbeschermingsautoriteiten zich dit niet realiseren. Als je kijkt naar een handhavingsactie tegen een entiteit die getroffen is door een datalek, zie je dat toezichthouders erop aandringen dat de getroffen entiteiten steeds robuustere cyberbeveiligingsmaatregelen implementeren, in lijn met de verplichting die artikel 32 van de GDPR oplegt aan voor de verwerking verantwoordelijken en verwerkers om "passende technische en organisatorische maatregelen te ontwikkelen om beveiligingsniveau te waarborgen dat is afgestemd op het risico", "rekening houdend met de stand van de techniek". Bovendien ondermijnt het localiseren van gegevens het delen van informatie binnen het bedrijfsleven en met overheidsinstanties voor cyberbeveiligingsdoeleinden, wat algemeen wordt erkend als essentieel voor effectieve cyberbeveiliging.
Terwijl de GDPR zelf een solide kader biedt voor het beveiligen van persoonlijke gegevens om de privacy ervan te waarborgen, heeft de toepassing van de GDPR-bepalingen voor grensoverschrijdende gegevensoverdracht het doel van de GDPR verdraaid en vervormd. Het is een klassiek voorbeeld van door de bomen het bos niet meer zien. Als de GDPR zo wordt toegepast dat de prioriteit van het lokaliseren van gegevens wordt verheven boven de prioriteit van het privé houden en beveiligen van gegevens, dan lijdt de bescherming van de gegevens van gewone mensen daaronder.
Regels voor gegevensoverdracht toepassen op IP-adressen kan leiden tot versplintering van het Internet
De andere belangrijke manier waarop de toepassing van de GDPR ten koste is gegaan van de privacy van persoonsgegevens heeft te maken met de manier waarop de term "persoonsgegevens" is gedefinieerd in de context van het internet en specifiek met betrekking tot Internet Protocol Adressen of "IP-adressen". Een wereld waarin IP-adressen altijd worden behandeld als persoonsgegevens en dus onderworpen zijn aan de GDPR-regels voor gegevensoverdracht, is een wereld die gevaarlijk dicht in de buurt zou kunnen komen van een ommuurd Europees Internet. En zoals hierboven vermeld, kan dit ernstige gevolgen hebben voor de privacy van gegevens, om nog maar te zwijgen van het feit dat het de EU waarschijnlijk zou afsluiten van een aantal wereldwijde markten, informatie-uitwisselingen en sociale mediaplatforms.
Dit is een ingewikkeld argument, dus laten we het nader bekijken. Zoals de meesten van ons weten, zijn IP-adressen het adresseringssysteem voor het internet. Wanneer je een verzoek verstuurt naar een website, een e-mail stuurt of op een andere manier online communiceert, verbinden IP-adressen je verzoek met de bestemming die je probeert te bereiken. Deze IP-adressen zijn de sleutel om ervoor te zorgen dat Internetverkeer wordt afgeleverd waar het naartoe moet. Aangezien het Internet een wereldwijd netwerk is, betekent dit dat het heel goed mogelijk is dat Internetverkeer - dat noodzakelijkerwijs IP-adressen bevat - landsgrenzen overschrijdt. Het is zelfs goed mogelijk dat de bestemming die je probeert te bereiken zich in een ander rechtsgebied bevindt. Zo werkt het wereldwijde Internet nu eenmaal.
Maar als IP-adressen worden beschouwd als persoonsgegevens, dan vallen ze onder de beperkingen voor gegevensoverdracht onder de GDPR. En met de manier waarop deze bepalingen de afgelopen jaren zijn toegepast, kwamen sommige toezichthouders gevaarlijk dicht in de buurt van de uitspraak dat IP-adressen de grenzen van rechtsgebieden niet mogen passeren wanneer dat betekent dat de gegevens mogelijk naar de VS gaan. Met de recente goedkeuring door de EU van het EU-VS Data Privacy Framework is adequaatheid vastgesteld voor Amerikaanse entiteiten die het raamwerk certificeren, dus deze grensoverschrijdende gegevensoverdracht is momenteel geen probleem. Maar als het Data Privacy Framework ongeldig zou worden verklaard, zoals gebeurde met het EU-VS Privacy Shield in de Schrems II, dan zouden we in een situatie terecht kunnen komen waarin de GDPR wordt toegepast om te zorgen dat IP-adressen die ogenschijnlijk gekoppeld zijn aan inwoners van de EU niet in de VS kunnen worden verwerkt, of mogelijk zelfs de EU niet mogen verlaten.
In dat geval zouden providers moeten beginnen met het ontwikkelen van netwerken die alleen voor Europa zijn bedoeld om ervoor te zorgen dat IP-adressen nooit de grenzen van jurisdicties overschrijden. Maar hoe zouden mensen in de EU en de VS communiceren als IP-adressen uit de EU niet naar de VS kunnen gaan? Zouden EU-burgers geen toegang hebben tot data die in de VS is opgeslagen? Het is een toepassing van de GDPR die tot een absurd resultaat zou leiden, wat zeker niet de bedoeling was van de initiatiefnemers. En toch, in het licht van de Schrems II -zaak en de manier waarop de GDPR is toegepast, bevinden we ons nu in deze situatie.
Een mogelijke oplossing zou zijn om IP-adressen niet altijd als “persoonsgegevens” te beschouwen die onder de GDPR vallen. In 2016 – nog voordat de GDPR in werking trad, ontwikkelde de Court of Justice of the European Union (CJEU) het perspectief in Breyer v. Bundesrepublik Deutschland dat zelfs dynamische IP-adressen, die bij elke nieuwe verbinding met het Internet veranderen, persoonsgegevens zijn als een entiteit die het IP-adres verwerkt, de IP-adressen kan koppelen aan een individu. Hoewel de beslissing van de rechtbank niet stelde dat dynamische IP-adressen altijd persoonsgegevens zijn onder de Europese wetgeving inzake gegevensbescherming, is dat precies hoe de EU-regelgevers voor gegevens het besluit hebben geïnterpreteerd, zonder na te gaan of een entiteit daadwerkelijk een manier heeft om het IP-adres aan een echte persoon te koppelen. 3
De vraag wanneer een identificatiemiddel kwalificeert als “persoonsgegevens” ligt opnieuw voor bij het HvJEU: In april 2023 oordeelde het lagere Gerecht van de EU in de zaak SRB v EDPS4 dat doorgegeven gegevens kunnen worden beschouwd als anoniem gemaakt en dus niet als persoonsgegevens indien de ontvanger van de gegevens niet beschikt over aanvullende informatie waarvan redelijkerwijs mag worden aangenomen dat die hem in staat stelt de betrokkenen opnieuw te identificeren, en geen juridische middelen heeft om toegang te krijgen tot dergelijke informatie. De appellant - de Europese Toezichthouder voor gegevensbescherming (EDPS) - is het hier niet mee eens. De EDPS, die voornamelijk toezicht houdt op de naleving van de privacyregels door EU-instellingen en -organen, gaat in beroep tegen de beslissing en stelt dat een unieke identificatiecode als persoonsgegevens moet worden aangemerkt als die code op enig moment wordt gekoppeld aan een individu, ongeacht of de entiteit die de identificatiecode bezit daadwerkelijk de middelen had om een dergelijke koppeling te maken.
Als de common-sense uitspraak van de lagere rechtbank standhoudt, zou men kunnen beargumenteren dat IP-adressen geen persoonsgegevens zijn wanneer deze IP-adressen worden verwerkt door entiteiten zoals Cloudflare, die geen middelen hebben om een IP-adres aan een individu te koppelen. Als IP-adressen dan niet altijd persoonsgegevens zijn, dan vallen IP-adressen niet altijd onder de GDPR-regels voor grensoverschrijdende gegevensoverdracht.
Hoewel het contra-intuïtief lijkt, zou een norm waarbij een IP-adres niet noodzakelijkerwijs "persoonsgegevens" is, een positieve ontwikkeling zijn voor de privacy. Als IP-adressen vrij over het Internet kunnen circuleren, kunnen entiteiten in de EU cyberbeveiligingsaanbieders van buiten de EU inzetten om hen te helpen hun persoonlijke gegevens te beveiligen. Geavanceerde Machine Learning/predictive AI-technieken die naar IP-adressen kijken om bescherming te bieden tegen DDoS-aanvallen, bots te voorkomen of op een andere manier bescherming te bieden tegen inbreuken op persoonsgegevens, zullen gebruik kunnen maken van aanvalspatronen en informatie over bedreigingen uit de hele wereld ten voordele van entiteiten en inwoners van de EU Maar geen van deze voordelen kan worden gerealiseerd in een wereld waar IP-adressen altijd persoonsgegevens zijn onder de GDPR en waar de regels voor gegevensoverdracht van de GDPR zodanig worden geïnterpreteerd dat IP-adressen gekoppeld aan inwoners van de EU nooit naar de Verenigde Staten kunnen worden overgedragen.
Privacy in het oog houden
Op deze Dag van de Privacy dringen we er bij EU-beleidsmakers op aan om goed te kijken naar hoe de GDPR in de praktijk werkt en om de gevallen ter kennis te nemen waarin de GDPR wordt toegepast op een manier die privacybescherming boven alle andere overwegingen stelt - zelfs passende beveiligingsmaatregelen die verplicht worden gesteld door artikel 32 van de GDPR en die rekening houden met de stand van de technologie. Wanneer dit gebeurt, kan het schadelijk zijn voor de privacy. Als deze benadering tot het uiterste wordt doorgevoerd, zou dat niet alleen negatieve gevolgen hebben voor de cyberveiligheid en gegevensbescherming, maar zelfs het functioneren van de wereldwijde Internetinfrastructuur als geheel in gevaar brengen, die afhankelijk is van grensoverschrijdende gegevensstromen. Wat kunnen we doen om dit te voorkomen?
Ten eerste geloven we dat EU-beleidsmakers richtlijnen (zo niet wettelijke verduidelijking) zouden kunnen aannemen voor toezichthouders dat IP-adressen niet als persoonsgegevens moeten worden beschouwd wanneer een entiteit ze niet aan een echte persoon kan koppelen. Ten tweede moeten beleidsmakers duidelijk maken dat bij de toepassing van de GDPR rekening moet worden gehouden met de voordelen van gegevensverwerking voor de cyberbeveiliging. Voortbouwend op de bestaande overweging 49 van de GDPR, waarin cyberbeveiliging terecht wordt erkend als een legitiem belang voor verwerking, moeten persoonsgegevens die buiten de EU moeten worden verwerkt voor cyberbeveiligingsdoeleinden worden vrijgesteld van de GDPR-beperkingen voor internationale gegevensoverdracht. Dit zou een aantal van de ergste effecten vermijden van de mentaliteit die momenteel localisatie van gegevens ziet als een substituut voor gegevensprivacy. Een dergelijke verschuiving zou een echte pro-privacy toepassing van de GDPR zijn.
1 Case C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems.
2 Swire, Peter and Kennedy-Mayo, DeBrae and Bagley, Andrew and Modak, Avani and Krasser, Sven and Bausewein, Christoph, Risks to Cybersecurity from Data Localization, Organized by Techniques, Tactics, and Procedures (2023).
3 Different decisions by the European data protection authorities, namely the Austrian DSB (December 2021), the French CNIL (February 2022) and the Italian Garante (June 2022), while analyzing the use of Google Analytics, have rejected the relative approach used by the Breyer case and considered that an IP address should always be considered as personal data. Only the decision issued by the Spanish AEPD (December 2022) followed the same interpretation of the Breyer case. In addition, see paragraphs 109 and 136 in Guidelines by Supervisory Authorities for Tele-Media Providers, DSK (2021).
4 Single Resolution Board v EDPS, Court of Justice of the European Union, April 2023.