AP: scraping bijna altijd illegaal

Scraping is het automatisch verzamelen en opslaan van informatie van het internet. Scraping door private partijen en particulieren is vrijwel nooit toegestaan. Dat stelt de Autoriteit Persoonsgegevens (AP) in een nieuwe handreiking. Die partijen kunnen in de praktijk scraping alleen legaal inzetten als ze dat zeer gericht doen.

Autoriteit Persoonsgegevens

1 mei 2024

Regie op data

Data

Privacy

Toezichthouders

Bij scraping ‘schraapt’ een computerprogramma automatisch gegevens van het internet. Bijvoorbeeld door sociale media te scannen. Met scraping worden bijna altijd persoonsgegevens verzameld. Daardoor ontstaan privacyrisico’s. Met scraping kunnen in korte tijd persoonsgegevens van heel veel mensen worden verzameld. De informatie die bij het scrapen wordt vastgelegd, kan over tal van aspecten van iemands leven gaan. Ook kan de informatie allerlei bijzondere persoonsgegevens en strafrechtelijke persoonsgegevens bevatten, die meestal niet mogen worden verzameld en gebruikt.

Overtreding AVG

Scraping zal bijna altijd een overtreding van de Algemene verordening gegevensbescherming (AVG) zijn. In een aantal gevallen mag scraping sowieso niet. Bijvoorbeeld:

het internet scrapen om profielen van mensen te maken, om die vervolgens door te verkopen;
informatie scrapen van afgeschermde socialemedia-accounts of besloten fora;
gegevens scrapen van openbare socialemediaprofielen, met als doel te bepalen of die mensen een aangevraagde verzekering al dan niet krijgen.

De handreiking van de AP is niet gericht op de overheid. Maar ook scraping door de overheid kent grote privacyrisico’s en is aan strenge regels gebonden. De AP werkt ook aan een handreiking voor scraping door de overheid.

Openbaarheid is geen toestemming

Een wijdverbreid misverstand is dat scrapen zou mogen, omdat alles wat op internet staat toch al voor iedereen is in te zien. ‘Maar dat informatie over jou openbaar is, betekent niet automatisch dat jij ook toestemming geeft voor scraping’, zegt AP-voorzitter Aleid Wolfsen. ‘Ook wanneer jij zelf op je socialemedia-account zet dat je laatst de loterij hebt gewonnen of een operatie hebt gehad, geef je daarmee geen toestemming om die gegevens te scrapen. Toestemming voor het verzamelen van persoonsgegevens geef je alleen als het jou van tevoren netjes is gevraagd. Dat is bij scraping meestal niet te doen.’

Bijna nooit mogelijk

In de praktijk is scraping door private organisaties en particulieren alleen mogelijk op basis van de grondslag gerechtvaardigd belang. Voor die grondslag gelden strenge voorwaarden. Bijvoorbeeld dat scraping niet mag worden gebruikt met als enige belang om er geld aan te verdienen. Het is bijna nooit mogelijk om bij scraping aan deze voorwaarden te voldoen.

Uitzonderingen

In uitzonderlijke gevallen kan scraping wel toegestaan zijn. Bijvoorbeeld bij ‘huishoudelijk gebruik’: wanneer een particulier voor een hobbyproject scraping inzet en de resultaten alleen deelt met wat vrienden, geldt de AVG niet en mag het. Ook kan scraping toegestaan zijn wanneer het zeer gericht wordt ingezet. Bijvoorbeeld wanneer een organisatie de websites van nieuwsmedia scrapet, om relevant nieuws over het eigen bedrijf in beeld te krijgen.

Download de handreiking hier: https://www.autoriteitpersoonsgegevens.nl/system/files?file=2024-05/Handreiking%20scraping%20door%20particulieren%20en%20private%20organisaties.pdf

Gerelateerd nieuws

Wat leren we van het datalek bij Bevolkingsonderzoek Nederland

19 augustus 2025

Vandaag werd bekend dat er een groot datalek heeft plaatsgevonden bij (onder andere) Bevolkingsonderzoek Nederland. Dit is een instantie in Nederland die belast is het met uitvoeren van bevolkingsonderzoeken naar borstkanker, baarmoederhalskanker en darmkanker. In het kader van deze onderzoeken worden ontzettend veel persoonsgegevens verwerkt, waaronder bijzondere persoonsgegevens (zoals uitslagen van tests) en gevoelige persoonsgegevens (zoals bsn). Nu is gebleken dat gegevens van ongeveer 485.000 Nederlandse vrouwen gestolen zijn via een toeleverancier. Het gaat daarbij onder andere om allerlei soorten persoonsgegevens, zoals adresgegevens, medische gegevens (zoals uitslagen) en burgerservicenummers. Het datalek vond plaats bij het laboratorium dat uitstrijkjes en zelftesten analyseert. Deze gegevens zijn nu dus gestolen en volgens de nieuwsberichten worden deze aangeboden op het dark web. Naar aanleiding van de berichtgeving willen we kort stilstaan bij enkele zaken die opvallen.

Data & Privacy

De Cyberbeveiligingswet: nieuw juridisch fundament voor digitale weerbaarheid

15 augustus 2025

De hack op het Openbaar Ministerie, in juni 2025, toont opnieuw aan hoe kwetsbaar maatschappelijk belangrijke organisaties zijn voor cyberaanvallen. Een dergelijk incident benadrukt daarmee nogmaals de noodzaak voor deze organisaties om hun informatievoorziening goed te organiseren en te beveiligen.

Data & Privacy

Wetsvoorstel versterking waarborgfunctie Awb: een waardevolle stap voor algoritmische besluitvorming

12 augustus 2025

De Kamerbrief van juli 2025 over het reflectiedocument en de internetconsultatie ‘Algoritmische besluitvorming en de Awb’ laat zien dat specifiekere normen ter regulering van algoritmische besluitvorming voorlopig uitblijven; nieuw onderzoek volgt. Gelet op de roep om meer duidelijkheid en waarborgen verkent dit blog of het wetsvoorstel Wet versterking waarborgfunctie Awb in de tussentijd al waardevolle tussenstappen richting betere rechtsbescherming biedt.

Data & Privacy

Een digitale toekomst vraagt bestuurlijk lef

11 augustus 2025

Afgelopen week bezocht ik een congres waar publieke organisaties hun digitaliseringsprojecten presenteerden. Wat me opviel: veel projecten ondersteunen oude processen met nieuwe technologie. Maar de processen zelf? Die bleven wat ze waren: ontworpen in een papieren tijdperk, alleen nu met een digitaal sausje. Een zaal vol digitale beloften, maar weinig echte digitaliteit. Een digitale toekomst vraagt om een digitaal begin — niet om een gedigitaliseerd verleden.

Data & Privacy

Meer nieuws