AP: scraping bijna altijd illegaal

Scraping is het automatisch verzamelen en opslaan van informatie van het internet. Scraping door private partijen en particulieren is vrijwel nooit toegestaan. Dat stelt de Autoriteit Persoonsgegevens (AP) in een nieuwe handreiking. Die partijen kunnen in de praktijk scraping alleen legaal inzetten als ze dat zeer gericht doen.

Autoriteit Persoonsgegevens

1 mei 2024

Regie op data

Data

Privacy

Toezichthouders

Bij scraping ‘schraapt’ een computerprogramma automatisch gegevens van het internet. Bijvoorbeeld door sociale media te scannen. Met scraping worden bijna altijd persoonsgegevens verzameld. Daardoor ontstaan privacyrisico’s. Met scraping kunnen in korte tijd persoonsgegevens van heel veel mensen worden verzameld. De informatie die bij het scrapen wordt vastgelegd, kan over tal van aspecten van iemands leven gaan. Ook kan de informatie allerlei bijzondere persoonsgegevens en strafrechtelijke persoonsgegevens bevatten, die meestal niet mogen worden verzameld en gebruikt.

Overtreding AVG

Scraping zal bijna altijd een overtreding van de Algemene verordening gegevensbescherming (AVG) zijn. In een aantal gevallen mag scraping sowieso niet. Bijvoorbeeld:

het internet scrapen om profielen van mensen te maken, om die vervolgens door te verkopen;
informatie scrapen van afgeschermde socialemedia-accounts of besloten fora;
gegevens scrapen van openbare socialemediaprofielen, met als doel te bepalen of die mensen een aangevraagde verzekering al dan niet krijgen.

De handreiking van de AP is niet gericht op de overheid. Maar ook scraping door de overheid kent grote privacyrisico’s en is aan strenge regels gebonden. De AP werkt ook aan een handreiking voor scraping door de overheid.

Openbaarheid is geen toestemming

Een wijdverbreid misverstand is dat scrapen zou mogen, omdat alles wat op internet staat toch al voor iedereen is in te zien. ‘Maar dat informatie over jou openbaar is, betekent niet automatisch dat jij ook toestemming geeft voor scraping’, zegt AP-voorzitter Aleid Wolfsen. ‘Ook wanneer jij zelf op je socialemedia-account zet dat je laatst de loterij hebt gewonnen of een operatie hebt gehad, geef je daarmee geen toestemming om die gegevens te scrapen. Toestemming voor het verzamelen van persoonsgegevens geef je alleen als het jou van tevoren netjes is gevraagd. Dat is bij scraping meestal niet te doen.’

Bijna nooit mogelijk

In de praktijk is scraping door private organisaties en particulieren alleen mogelijk op basis van de grondslag gerechtvaardigd belang. Voor die grondslag gelden strenge voorwaarden. Bijvoorbeeld dat scraping niet mag worden gebruikt met als enige belang om er geld aan te verdienen. Het is bijna nooit mogelijk om bij scraping aan deze voorwaarden te voldoen.

Uitzonderingen

In uitzonderlijke gevallen kan scraping wel toegestaan zijn. Bijvoorbeeld bij ‘huishoudelijk gebruik’: wanneer een particulier voor een hobbyproject scraping inzet en de resultaten alleen deelt met wat vrienden, geldt de AVG niet en mag het. Ook kan scraping toegestaan zijn wanneer het zeer gericht wordt ingezet. Bijvoorbeeld wanneer een organisatie de websites van nieuwsmedia scrapet, om relevant nieuws over het eigen bedrijf in beeld te krijgen.

Gerelateerd nieuws

Nieuwe Wet bevorderen samenwerking en rechtmatige zorg maakt aanpak zorgfraude makkelijker

17 mei 2024

Binnenkort treedt wetgeving in werking die de gegevensuitwisseling in het kader van de zorgfraude mogelijk maakt; de ‘Wet bevorderen samenwerking en rechtmatige zorg’. Privacyjurist Corrie Ebbers analyseert en duidt de wet.

Data & Privacy

Het IAB oordeel uiteengezet: Is IAB Europe verwerkingsverantwoordelijke? (2/2)

15 mei 2024

In het arrest van het Hof van Justitie van de Europese Unie (“het Hof”) in de zaak van IAB Europe tegen de Belgische Gegevensbeschermingsautoriteit (“GBA”) stonden twee prejudiciële vragen centraal (1). Over het antwoord van het Hof op de eerste prejudiciële vraag, of een Transparency and Consent String (“TC-string”) een persoonsgegeven is in de zin van de Algemene Verordening Gegevensbescherming (“AVG”), schreven wij een eerste blog . Het antwoord van het Hof op tweede prejudiciële vraag, of een normerende sectororganisatie als (gezamenlijk) verwerkingsverantwoordelijke moet worden gekwalificeerd, staat in dit blog centraal.

Data & Privacy

Denk mee over het ontwerp van de BIO2

15 mei 2024

Deel je feedback: het ministerie van BZK nodigt informatiebeveiligingsexperts uit om mee te denken over het ontwerp van de BIO2, ook wel Baseline Informatiebeveiliging Overheid. De BIO2 wordt het nieuwe kader voor de overheid rondom informatiebeveiliging.

Data & Privacy

College voor de Rechten van de Mens maakt zich zorgen over algoritmen in het onderwijs: ‘Stel strengere eisen’

14 mei 2024

In een verkennend onderzoek naar het gebruik van algoritmen in het Nederlands onderwijs zet van het College voor de Rechten van de Mens vraagtekens bij de inzet van bepaalde vormen van onderwijssoftware. In haar aanbevelingen stelt het College dat de overheid moet ingrijpen en landelijke eisen moet stellen aan onderwijstoepassingen, om te voorkomen dat mogelijk discriminatoire algoritmes worden ingezet.

Data & Privacy

Meer nieuws