Het monitoren van internetverkeer, bijvoorbeeld door werkgevers, komt veel voor. De vraagstukken die daarbij spelen zijn veelal ook al wel bekend (privacy, medezeggenschap, etc.). De opkomst van steeds geavanceerdere vormen van monitoring plaatst oude vragen echter wel deels in een nieuw daglicht. Dat zit met name het grootschalig en langdurig opslaan en analyseren van de met monitoring verkregen informatie. In deze blog sta ik hier kort bij stil.
Spanningsveld monitoren internetverkeer
Het is begrijpelijk dat wie een internetverbinding aan anderen ter beschikking stelt, daarover nog enige controle wil uitoefenen. Dat kan om heel verschillende redenen zijn, uiteenlopend van het beheersen van de capaciteit van de verbinding, het voorkomen dat de verbinding niet voor oneigenlijke doeleinden wordt gebruikt of zelfs het voorkomen van misdrijven.
Aan de andere kant geldt voor de betrokkene die gebruik maakt van de verbinding dat deze in de basis mag verwachten dat zijn internetverkeer niet wordt afgeluisterd. Zo ligt in de regels omtrent e-privacy als uitgangspunt vast dat communicatie vertrouwelijk is en is strafbaar gesteld het onrechtmatig en opzettelijk aftappen van internetverkeer. Overigens zit in die strafbaarstelling al een uitzondering voor de ‘eigenaar’ van de aansluiting, zij het dat die uitzondering niet opgaat bij misbruik daarvan.
Vormen monitoring
Het monitoren van internetverkeer bestaat in diverse varianten.
Een simpele variant is het simpelweg blokkeren van het bezoek aan bepaalde sites of servers. Wanneer het bij sec die blokkade blijft, zonder enige registratie dat een verboden site bezocht is, zal die vorm van monitoring niet zo veel juridische vragen oproepen. Wellicht speelt nog mee de vrijheid van meningsuiting en informatievergaring (in de zin dat de blokkade te verstrekkend is), maar in private verhoudingen zal dat toch niet snel opspelen.
Wanneer, in een kleine variatie op het voorgaande, wel wordt bijgehouden dat geblokkeerde sites zijn bezocht, of zelfs welke sites dit dan waren, wordt het juridisch gezien complexer. In die gevallen zal namelijk al snel sprake zijn van het verwerken van persoonsgegevens. Een dergelijke registratie is immers, zelfs als er niet direct een naam bij de gegevens wordt vermeld, in de regel vrij eenvoudig wel te herleiden tot een bepaalde persoon. Het logboek zal immers veelal wel een IP-adres, MAC-adres van de apparatuur of ander tot de gebruiker te herleiden kenmerk bevatten.
Een nog verderstrekkende vorm is dat eenvoudig al het internetverkeer van de betrokkene wordt bijgehouden. Er ontstaat daarmee een enorm logboek aan bezochte websites en ander gedrag dat de betrokkene op internet heeft verricht.
Betere beveiliging, meer logging vereist?
Het hiervoor beschreven spanningsveld wordt met name goed zichtbaar bij deze laatst, en meest verstrekkende, vormen van monitoring. Door de opbouw van een enorm logboek met alle bezochte sites kan immers – mede afhankelijk van de periode waarover dat logboek bewaard - een behoorlijk indringend beeld van de persoonlijkheid van betrokkene worden opgebouwd.
Daar staat tegenover dat juist moderne vormen van IT-beveiliging bestaan bij de gratie van analyse van dergelijke logboeken. IT-beveiliging gaat al lang niet meer alleen over het herkennen van een virus conform de ‘signature’ daarvan in een virusdatabase, maar het breder analyseren en voortdurend monitoren van gedrag op netwerken en afwijkingen daarop. Onder namen als Advanced Threat Detection worden zodoende door allerlei aanbieders allerlei oplossingen op de markt gebracht die juist o.m. functioneren bij het kunnen detecteren van afwijkingen op patronen. Om een afwijking te kunnen detecteren moet er immers eerst een patroon zijn (en moeten dus logboeken langdurig worden opgeslagen).
Privacywetgeving: algemeen
Het opslaan van gegevens over al het internetverkeer in een logboek vormt, zoals hiervoor al aangegeven, in principe een verwerking van persoonsgegevens. Dit betekent dat de verwerking zal moeten voldoen aan de eisen uit Algemene Verordening Gegevensbescherming (AVG of ook wel GDPR).
Nu staat in overweging 49 van die AVG dat de “verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging” een gerechtvaardigd belang kan vormen. De crux hierbij zit natuurlijk o.m. in de woorden “strikt”, “noodzakelijk” en “evenredig”. Anders gezegd: dat er netwerkbeveiliging wordt toegepast is (in abstracto) wel gerechtvaardigd (sterker nog: uit andere wetgeving verplicht), de kunst is die beveiliging zodoende in te richten dat een goede balans met de privacy wordt gevonden.
Dat zal dus minimaal met zich brengen dat zo min mogelijk persoonsgegevens zo kort mogelijk worden bewaard en dat overigens kan worden verantwoord waarom de resterende (wel bewaarde) persoonsgegevens daadwerkelijk noodzakelijk zijn.
Overigens zal dat ook onderdeel zijn van de DPIA die bij ingebruikname van dergelijke faciliteiten verplicht is (alleen al vanwege monitoring werknemers). Gelijk zo zal aan de ondernemingsraad moeten worden verantwoord dat het systeem voldoende privacyvriendelijk is ingericht, nu de OR immers instemmingsrecht heeft.
Privacywetgeving en puzzel van bijzondere persoonsgegevens
Een bijzonder aandachtspunt bij URL-logging vormen de verwerking van zogenaamde bijzondere persoonsgegevens. Op grond van artikel 9 AVG worden daaronder verstaan “persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid”.
Bij URL logging is de kans (zeer) groot dat er ook dergelijke bijzondere persoonsgegevens worden verwerkt. Zo is iemand die inlogt op het ledendeel van een politieke partij kennelijk lid van die partij, is iemand die de pagina voor bezorgklachten van het Reformatorisch Dagblad bezoekt kennelijk abonnee van die krant en daarmee kennelijk van die kerkelijke gezindte (vergelijk eerdere handhaving van de AP), is een medewerker die de website van een patiëntenvereniging bezoekt vermoedelijk zelf drager van die ziekte of kent iemand die dat is, zegt het bezoeken van websites die op bepaalde seksuele voorkeuren gericht zijn vermoedelijk iets over de seksuele voorkeur van de betreffende bezoeker en zegt het inloggen op de ledenpagina van de vakbond dat iemand vakbondslid is.
Voor de verwerking van bijzondere persoonsgegevens geldt de systematiek dat er ofwel een wettelijke uitzondering moet zijn, of uitdrukkelijke toestemming van de betrokkene. In andere gevallen is de verwerking van die persoonsgegevens verboden.
De AVG noch de UAVG bevat echter een wettelijke uitzondering die van toepassing kan zijn op dergelijke verwerkingen.
Toestemming vragen is om meerdere redenen geen optie. Een praktische reden is dat URL logging voor netwerkbeveiliging staat of valt bij het loggen van het gehele internetverkeer. Het niet-monitoren van een medewerker omdat deze geen toestemming heeft gegeven leidt tot niet-gemonitorde verbinding en daarmee tot een zwakke plek in de beveiliging. Een juridisch-technisch argument is dat toestemming in de werkgever/werknemer verhouding door de toezichthouders al jaren als problematisch wordt gezien (vanwege de vermeende gebrekkige ruimte om nee te kunnen zeggen, zie bijv. de guidelines over consent).
Er is dus sprake van een verboden verwerking van bijzondere persoonsgegevens bij dergelijke vormen van URL-logging, waarvoor geen oplossing lijkt te bestaan.
Verplichte raadpleging toezichthouder, geen oplossing
Sterker nog, uit de DPIA die moet worden gedaan (zie hiervoor) zal – juist vanwege deze verwerking van bijzondere persoonsgegevens – volgen dat er een verwerking met hoog risico plaatsvindt, namelijk een systematische doch verboden verwerking van bijzondere persoonsgegevens. Gelet daarop is het op grond van artikel 36 lid 1 AVG verplicht om daarover de toezichthouder te raadplegen voorafgaand aan de eigenlijke verwerking.
De toezichthouder kan vervolgens “advies” geven over hoe om te gaan met de verwerking (artikel 36 lid 2 AVG). Dat advies zal echter vermoedelijk alsdan inhouden om te stoppen met de verwerking van de bijzondere persoonsgegevens.
De Autoriteit Persoonsgegevens heeft in eerdere kwesties namelijk al te kennen gegeven geen ontheffing te willen verlenen voor structurele verwerkingen van bijzondere persoonsgegevens (vgl. bij de procedure over het prostitutieregister). De AP stelt zich in feite op het standpunt dat het aan de wetgever is dergelijke situaties te regelen.
Omdenken: zijn het wel bijzondere persoonsgegevens?
Uit het voorgaande volgt dus dat URL-logging al snel vastloopt op het verbod van de verwerking van bijzondere persoonsgegevens. Is er wellicht nog een oplossing om het begrip bijzondere persoonsgegevens iets minder streng te interpreteren?
In de beleidsregels cameratoezicht van de AP uit 2016 wordt een doelgerichte/relatieve benadering van het begrip “bijzondere persoonsgegevens” gehanteerd. De AP geeft in die beleidsregels in par. 2.11 drie criteria om onder omstandigheden beeldmateriaal niet aan te merken als bijzondere persoonsgegevens. Het komt er op neer dat de verwerking van bijzondere persoonsgegevens een onbedoeld neveneffect van de verwerking moet zijn en dat er ook geen onderscheid op bijzondere persoonsgegevens wordt gemaakt.
Die redenering zou ook bij URL logging wellicht gehanteerd kunnen worden: het doel is immers de netwerkveiligheid te waarborgen, er is geen enkel oogmerk om te filteren op bijzondere persoonsgegevens. Sterker nog, de analyse die plaatsvindt bij Advanced Threat Detection vindt juist volledig geautomatiseerd en zonder aanzien des persoons plaats. Het zou dus in zoverre heel goed passen om het begrip bijzondere persoonsgegevens ook bij dergelijke situaties wat meer doelgericht te interpreteren.
Het lastige van de parallel is echter dat ook bekend is dat de AP in de Abrona-kwestie al heeft geoordeeld dat deze contextgerichte benadering niet op andere kwestie dan beeldmateriaal mag worden toegepast (zie pagina 7 beslissing bovenaan). De AP is dus vooralsnog zeer terughoudend om de eigen leer breder toe te passen. Bovendien volgt uit de beleidsregels ook dat de AP ‘terloopse’ verwerkingen dus in de basis wel als ‘verwerking’ ziet (doch daar een beperkte uitzondering op toepast).
Wetgever of AP is aan zet
Het komt er eigenlijk op neer dat ofwel de wetgever een uitzondering zou moeten vastleggen in de wet, of de AP zelf met formeel gedoogbeleid (hoe Nederlands…) zou moeten komen.
De wetgever lijkt het vooralsnog niet op te pikken. In de Verzamelwet gegevensbescherming – de wet met aanstaande wijzigingen voor de UAVG – is hierover niets opgenomen. Sterker nog, de internetconsultatie voor die wet is alweer bijna een jaar geleden gestart en het formele wetsvoorstel laat nog op zich wachten. Ook overigens lijken geen wijzigingen op komst.
Gedoogbeleid van de AP ligt echter ook niet bepaald in de rede. Zoals hiervoor al gesignaleerd is het juist het standpunt van de AP dat het aan de wetgever is om dit soort structurele verwerkingen van bijzondere persoonsgegevens te regelen. Wel zou de AP wellicht, liefst in Europees verband, net wat flexibeler kunnen omspringen met de interpretatie van het begrip bijzondere persoonsgegevens (zie ook eerder in de blog).
Ten slotte
De problematiek van URL-logging laat goed zien dat privacy bijna altijd wel in een spanningsveld functioneert. Er is bijna nooit louter een privacybelang. Er zullen immers weinig mensen betwisten dat veiligheid van computernetwerken ook relevant is. Die beide belangen moeten met elkaar in balans worden gebracht. Dit zijn genuanceerde discussies en die nuance loopt soms stuk op wat meer grofmazig geformuleerde wettelijke verboden. Wellicht dat de nieuwe regering na formatie, of de nieuwe Tweede Kamer in een meer dualistische rol, het onderwerp mee kan oppakken bij het agenderen van de Verzamelwet gegevensbescherming.
Heeft u in de tussentijd vragen over dit soort kwesties? Neemt u dan gerust contact op.
