Als we het hebben over netneutraliteit, gaat het meestal over de vraag of providers jouw internet mogen beperken. Eén aspect wat daarbij onderbelicht blijft, is de privacy van internetgebruikers. In hoeverre mogen providers jouw verkeer eigenlijk analyseren? De Europese Toezichthouder voor Gegevensbescherming brengt daar verandering in. Hij heeft deze maand een stevige opinie gepubliceerd waarin de privacy-aspecten van netneutraliteit besproken worden. Wij vatten de opinie voor je samen.

Verschillende inspectietechnieken

De Europese toezichthouder gaat eerst in op de technische aspecten van internetcommunicatie. Data op internet wordt verzonden in kleine pakketjes. Hoewel dat onderscheid niet altijd even makkelijk te maken is, bestaat een pakketje uit  grofweg twee delen: in de header staan gegevens over bron en bestemming van het pakketje, en in de payload is de inhoud van de communicatie opgenomen.

Internetverkeer kan op verschillende niveau’s worden geanalyseerd. Er kan bijvoorbeeld alleen worden gekeken naar de afkomst of bestemming van pakketjes, of er kan gekeken worden naar de inhoud van de pakketjes. Die laatste vorm van analyse wordt ook wel deep packet inspection (DPI) genoemd. DPI is een vergaande techniek waarmee communicatie van internetgebruikers tot in detail kan worden gecontroleerd.

Voor aflevering diensten, bescherming van de veiligheid en beperken van gevolgen van congestie

De toezichthouder concludeert dat het verwerken van internetverkeer vrijwel altijd een verwerking van persoonsgegevens is. Uit de Europese regelgeving volgt dat er een rechtvaardigingsgrond moet bestaan voor het verwerken van die gegevens. Hiervan kan bijvoorbeeld sprake zijn als dit noodzakelijk is voor het afleveren van de dienst, of het beschermen van de veiligheid van het netwerk, mits proportioneel toegepast. Ook het beperken van de gevolgen van congestie van het netwerk kan een rechtvaardigingsgrond zijn, maar de toezichthouder houdt daar wel wat slagen om de arm.

Praktische invulling van de vereiste toestemming

Voor de verwerking van persoonsgegevens voor andere doeleinden volgt uit de Europese regelgeving dat toestemming van de gebruiker noodzakelijk is. Daarbij is van belang dat de betrokkene die uit vrije wil geeft. In de praktijk betekent dit volgens de toezichthouder, dat toestemming niet vrijwillig is gegeven als het internetabonnement slechts kan worden afgenomen met monitoring. Dit geldt in het bijzonder wanneer alle ISPs diezelfde eis zouden stellen.

De gebruiker moet bovendien van tevoren goed geïnformeerd zijn, zodat hij weet waarvoor hij toestemming geeft. Omdat het gaat om complexe materie, is het zaak dat de informatie zo duidelijk en begrijpelijk mogelijk aangeboden wordt. Het is bijvoorbeeld niet voldoende om dit in de algemene voorwaarden op te nemen. Maar het betekent ook dat je precies moet uitleggen aan een klant wat de privacy-implicaties zijn.

Een praktisch probleem is dat de ISP wel toestemming kan krijgen van de abonnee, maar dat wil nog niet zeggen dat hij ook toestemming krijgt van degene met wie die abonnee communiceert. De toezichthouder schrijft dat dat wel moet, en komt tot de conclusie dat providers zonder die toestemming dan maar geen internetverkeer moeten monitoren (paragraaf 66). De Europese Commissie en de werkgroep van nationale gegevensbeschermingtoezichthoudrs zouden hierover verder beleid moeten ontwikkelen.

Deep packet inspection bijna altijd disproportioneel

Het verwerken van persoonsgegevens mag alleen voor zover dit proportioneel is ten opzichte van het doel van de gegevensverwerking. Deep packet inspection is bijvoorbeeld niet toegestaan als inspectie van IP headers voldoende informatie oplevert.  En monitoren op de diepste niveau’s zal vrijwel altijd illegaal en disproportioneel zijn, aldus de toezichthouder (par. 66). Dit geldt in het bijzonder omdat de meeste mensen niet weten dat hun verkeer gemonitord wordt en hoe dit gebeurt.

Toezicht

De toezichthouder is van mening dat de huidige Europese regelgeving, mits op de juiste wijze geïnterpreteerd en toegepast,  in principe voldoende bescherming biedt. Op nationaal niveau moeten de verantwoordelijke instanties hier toezicht op houden. In Nederland zijn dat de OPTA en het College Bescherming Persoonsgegevens. Op Europees niveau zou er een groep van experts moeten komen om standpunten en ervaringen met elkaar te delen en om de aanpak van de verschillende lidstaten te harmoniseren.