Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen

Scrapen van informatie op internet is in vrijwel alle gevallen illegaal, stelt de Autoriteit Persoonsgegevens. De Nederlandse privacytoezichthouder zegt dat bij scrapen 'al snel' persoonlijke data wordt verzameld en dat mag alleen met een duidelijk omschreven doel.

De Autoriteit Persoonsgegevens heeft een 'handreiking' geschreven voor organisaties die zich bezighouden met scrapen van data van internet. Daarin is de AP streng. "Een wijdverbreid misverstand is dat scrapen zou mogen omdat alles wat op internet staat, toch al voor iedereen is in te zien", schrijft de toezichthouder. "Maar dat informatie over jou openbaar is, betekent niet automatisch dat jij ook toestemming geeft voor scraping."

In de handreiking wordt beschreven wat organisaties moeten doen om gescrapete gegevens van internet te gebruiken, zoals welke grondslag ze daarvoor moeten hebben. De AP stelt dat het 'al snel het geval is' dat bij scraping persoonsgegevens worden verzameld. In dat geval moeten scrapers voldoen aan een van de zes grondslagen die daarvoor in de AVG worden genoemd. Volgens de AP kan dat er praktisch maar een zijn: het gerechtvaardigd belang, waarbij een organisatie moet uitleggen dat ze zo'n belang heeft bij het verzamelen van de gegevens. De AP waarschuwt daar meteen bij: "De specifieke kenmerken van scraping maken het vaak lastig of zelfs onmogelijk om te voldoen aan de voorwaarden voor deze grondslag." De AP stelt al jaren dat alleen een commercieel doel nooit een gerechtvaardigd belang kan zijn. Juristen vinden dat een bijzonder strenge interpretatie en de Europese Commissie is het daar deels mee eens.

De AP zegt nu feitelijk dat het voor bedrijven amper is toegestaan om websites te scrapen. "Scraping zal bijna altijd een overtreding van de AVG zijn", schrijft de toezichthouder. Het gerechtvaardigd belang kan bijna nooit worden ingezet: "Het is bijna nooit mogelijk om bij scraping aan deze voorwaarden te voldoen."

De toezichthouder zegt dat scrapen onder bepaalde voorwaarden wel mag en noemt als mogelijkheden huishoudelijk gebruik of het 'zeer gericht' inzetten van scraping. "Bijvoorbeeld wanneer een organisatie de websites van nieuwsmedia scrapet om relevant nieuws over het eigen bedrijf in beeld te krijgen." De handreiking die de AP nu heeft geschreven, geldt overigens alleen voor particulieren en bedrijven, en niet specifiek voor overheden. Ook die moeten opletten met scrapen, maar omdat daarvoor andere regels kunnen gelden, zoals een andere wet die de overheid kan gebruiken als grondslag, zal de AP daarvoor in de toekomst een andere handreiking opstellen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 01-05-2024 13:00
79 • submitter: wildhagen

01-05-2024 • 13:00

79

Submitter: wildhagen

Lees meer

Overheid NL wil api's voor delen overheidsdata van burgers met private partijen
Overheid NL wil api's voor delen overheidsdata van burgers met private partijen Nieuws van 7 november 2024
Vinted krijgt privacyboete van bijna 2,4 miljoen euro wegens AVG-overtredingen
Vinted krijgt privacyboete van bijna 2,4 miljoen euro wegens AVG-overtredingen Nieuws van 3 juli 2024
AP: pakketpunten mogen QR-code op ID-kaart en paspoort niet uitlezen
AP: pakketpunten mogen QR-code op ID-kaart en paspoort niet uitlezen Nieuws van 13 mei 2024
Supermarktketen Dirk rust winkelpersoneel uit met bodycams
Supermarktketen Dirk rust winkelpersoneel uit met bodycams Nieuws van 25 april 2024
Nederlandse overheid moet mogelijk stoppen met Facebook na advies van AP
Nederlandse overheid moet mogelijk stoppen met Facebook na advies van AP Nieuws van 19 april 2024
Toezichthouders: Meta mag gebruikers niet dwingen om te betalen voor privacy
Toezichthouders: Meta mag gebruikers niet dwingen om te betalen voor privacy Nieuws van 18 april 2024
AP: wegbeheerders denken niet goed na over privacyrisico’s volgverkeerslichten
AP: wegbeheerders denken niet goed na over privacyrisico’s volgverkeerslichten Nieuws van 17 april 2024
AP: gehackte bedrijven schatten privacyrisico's in 7 van 10 gevallen te laag in
AP: gehackte bedrijven schatten privacyrisico's in 7 van 10 gevallen te laag in Nieuws van 10 april 2024
Autoriteit Persoonsgegevens: Booking.com meldt datalekken nu wel op tijd
Autoriteit Persoonsgegevens: Booking.com meldt datalekken nu wel op tijd Nieuws van 3 april 2024
Politie mag gezichtsherkenning gebruiken ondanks kritiek van AP, zegt Yeşilgöz
Politie mag gezichtsherkenning gebruiken ondanks kritiek van AP, zegt Yeşilgöz Nieuws van 12 maart 2024
AP krijgt steeds meer vragen over videodeurbellen, hekelt houding van politie
AP krijgt steeds meer vragen over videodeurbellen, hekelt houding van politie Nieuws van 23 februari 2024
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens

Reacties (79)

-Moderatie-faq
79
79
34
1
0
37
Wijzig sortering

Sorteer op:

Weergave:
Polderviking 1 mei 2024 13:11
Ik mis een beetje een exacte technische omschrijving van wat ze scrapen vinden.
In de eerste alinea van de handreikingspagina van AP zelf zie ik "Scraping is het automatisch verzamelen en opslaan van informatie van het internet.", maar dat lijkt me veel te breed.
Deze omschrijving valt bijvoorbeeld praktisch gezien elke zoekmachine onder.

Het is leuk dat je eventueel vind dat dat niet mag maar hoe ziet AP internet dan functioneren?

[Reactie gewijzigd door Polderviking op 22 juli 2024 15:20]

Helium-3 @Polderviking1 mei 2024 13:17
> Hier valt bijvoorbeeld praktisch gezien elke zoekmachine onder.

En daar is dan juist weer het concept doelbinding voor; als jij een uit te leggen doel hebt kan je mogelijk weer wél legitiem het schrapen doen.
Polderviking @Helium-31 mei 2024 13:31
Ik denk dat er weinig bedrijven zijn die zonder doel zomaar gaan scrapen.
Kost immers gewoon geld om dat te doen dus als je er niks mee gaat doen hoef je er ook niet aan te beginnen.
Dus dat impliceert dan dat AP een waardeoordeel gaat hechten aan het doel waarmee je scraped?
Wordt het toch niet duidelijker op?

[Reactie gewijzigd door Polderviking op 22 juli 2024 15:20]

watercoolertje @Polderviking1 mei 2024 13:44
In de handreiking wordt beschreven wat organisaties moeten doen om gescrapete gegevens van internet te gebruiken, zoals welke grondslag ze daarvoor moeten hebben.
https://autoriteitpersoon...rivate%20organisaties.pdf
hoeksmarp @Helium-31 mei 2024 13:25
Maar volgens de AP mag dat doel dan weer niet louter commercieel zijn.
jochemd @hoeksmarp1 mei 2024 13:35
En daar heeft de AP niet het laatste woord in. Dat hebben ze verloren bij de rechter en in hoger beroep.
pookie79 @jochemd1 mei 2024 14:00
Voetbal tv heeft gegevens nodig voor het leveren van een dienst. De gegevens zijn niet de dienst an sich. Ik vermoed dat daar (als ik zo snel lees) een stuk van het verschil zit.

[Reactie gewijzigd door pookie79 op 22 juli 2024 15:20]

andries98 @jochemd1 mei 2024 14:07
Die rechtszaken zijn een beetje een zooitje... Zoals ik het uiteindelijke hogere beroep lees wordt de boete weerlegd omdat de AP twee fouten heeft gemaakt. Vormfouten (niet correct geformuleerde redenen) in combinatie met dat ze door hun vormfouten niet zelf die boetebeslissing/bedrag mochten nemen zonder gedegen onderzoek (van hunzelf en/of het bedrijf). Ze hebben eigenlijk te vroeg/met te weinig onderzoek de boete opgelegd voor dit type boete... Had het AP boete opgelegd voor dat het bedrijf geen (gedegen) onderzoek had gedaan (en eventueel ook niet tijdig ging doen) was er wrs geen probleem.
Betekent dus helaas geen vrijbrief voor andere bedrijven aangezien het een vrij specifieke samenloop is van omstandigheden. Het laat wel zien dat die avg nog niet goed genoeg gespecificeerd is waardoor de bewijslast van het AP erg hoog ligt momenteel, waar bedrijven dan mogelijk weer gebruik van kunnen maken.
zxiss @andries982 mei 2024 18:10
Ben het niet helemaal met je eens. De redenering van de AP is min of meer als volgt: VoetbalTV gebruikt persoonsgegevens voor hun bedrijfsuitoefening (namelijk het aanbieden van de dienst). Deze bedrijfsuitoefening heeft een commercieel oogmerk, dus VoetbalTV heeft een commercieel belang.
De rechter zegt: VoetbalTV stelt vast wat het (gerechtvaardigd) belang is, en de AP mag slechts 1) nagaan of dit belang gerechtvaardigd is en, zo ja, 2) of dit belang door de verwerking wordt gerealiseerd. De AP is bij 1) de fout in te gaan door te stellen dat VoetbalTV met de verwerking "winst" nastreeft, terwijl het helemaal niet aan de AP is om vast te stellen wat het belang van de verwerking is.

Geeft dit een vrijbrief voor andere bedrijven? Ik meen ook van niet. Maar ter context: deze interpretatie van de AP vloeit voort uit een veel bredere discussie. De AP meent dat alleen belangen mogen worden nagestreefd die in de wet erkend zijn (bijvoorbeeld: bescherming van eigendom), omdat zij anders niet "gerechtvaardigd" zijn. Bij mijn weten wordt door iedere andere toezichthouder, en door de rechter in eerste aanleg, omarmt dat een belang "gerechtvaardigd" is als het niet in strijd is met de wet.

[Reactie gewijzigd door zxiss op 22 juli 2024 15:20]

andries98 @zxiss2 mei 2024 22:08
Dank je wel voor de reactie en uitleg. Ik heb altijd geleerd dat je een uitspraak nooit breder moet trekken dan wat er in de uitspraak staat, de rest (inclusief delen van andere rechtszaken waar niet naar verwezen wordt) moet je negeren want die waren schijnbaar niet van belang voor deze uitspraak. Als er meerdere bronnen waren gebruikt en men het los van elkaar als argumentative gebruikt had was het anders geweest.

Grotendeels ben ik het met je eens ;)

De hoogste rechtbank geeft een echter een andere reden dan jij formuleert, hij geeft duidelijk aan geen antwoord te hoeven geven op de vraag rond "pure" winst omdat dit hier niet van toepasssing is (er zijn ook andere belangen, waar hij ook geen uitspraak over doet want daar is dit hoger beroep niet voor. Lees mag niet, hoger beroep dient zich te beperken tot of het deel van de uitspraak waarover beroep is getekent en de originele vraag/redenering mag niet gewijzigd worden)(zie onderstaande uit h8 uitspraak)
Met de rechtbank wordt geoordeeld dat in dit geval, gelet op de door VoetbalTV genoemde andere belangen, die niet van commerciële aard zijn, geen sprake is van een louter commercieel belang. De vraag of een uitsluitend commercieel belang op zichzelf een gerechtvaardigd belang in de zin van artikel 6, eerste lid, aanhef en onder f, van de AVG kan zijn, hoeft daarom niet te worden beantwoord. De AP heeft ten onrechte bij de beoordeling van de eerste voorwaarde de door VoetbalTV gestelde belangen, zoals hiervoor onder 7.2 weergegeven, niet meegewogen. Gelet op de aard van de activiteiten van VoetbalTV - het maken van beelden van voetbalwedstrijden en deze ter beschikking stellen aan derden, waaronder degenen die in beeld gebracht willen worden - is de verwerking van persoonsgegevens noodzakelijk voor meer dan alleen de commerciële belangen van VoetbalTV. De AP heeft dan ook op onjuiste gronden vastgesteld dat VoetbalTV in strijd met artikel 6, eerste lid, aanhef en onder f, van de AVG heeft gehandeld
Wat in mijn ogen puur een vormfout/onjuiste geformuleerde reden is, het AP gebruikt dat het een louter commercieel belang is (en daarmee geen rechtsvaardig belang) en bouwt daarop verder zonder naar andere belangen te kijken. De hoogste rechter zegt dat ze geen correct reden gebruiken en dat daardoor het proces halverwege stap 1 al hangt. Waardoor er nog steeds geen duidelijkheid is of een louter commercieel belang of het gemixte belang van voetbaltv een rechtsvaardig belang is. De rechter geeft simpelweg aan daar niet naar te hoeven kijken omdat de basis achter de redenering al niet goed is (niet genoeg onderzoek naast het commercieel belang en de invloed daarvan). Zover ik het begrijp zegt de hoogste rechter verder niks. Dus voetbaltv kon nog steeds fout zitten, maarja dat zullen we nooit weten door foute formulering/redenering AP (nieuwe rechtszaak kan niet zomaar over zelfde onderwerp).

Ik zie in de uitspraak nergens staan dat het niet aan het AP is om "winst" vast te stellen, alleen dat ze niet (ook) naar andere belangen hebben gekeken. In mijn ogen (puur deze rechtsspraak) is dat iets dat mensen zelf invullen.

De AVG is ook een wet, wat het beetje gek maakt. En de avg is juist een van de weinige wetten over privacy, en zover ik weet de enige wet die aangeeft dat de belangen van het bedrijf groter moeten zijn dan (ongevraagde) individuen. Maar dat is waar de hoogste rechter volgens mij op zint, dat die controle op belangen niet correct is gedaan en geformuleerd door het AP. Hoe die wel had gemoeten wordt nog niet echt duidelijk, maar wel dat dit te weinig was van het AP.

Dus terug bij waar ik origineel op reageerde: we weten nog helemaal niet of het AP hierover mag beslissen, we weten adv de gelinkte hoogste rechtszaak alleen dat het AP in deze specifieke zaak niet voldoende onderzoek heeft gedaan en daardoor in deze zaak niet de juiste redenering gebruikte. De rest is in mijn ogen met zo weinig hoge uitspraken pure speculatie.

[Reactie gewijzigd door andries98 op 22 juli 2024 15:20]

watercoolertje @hoeksmarp1 mei 2024 13:38
Het scrapen heeft zelf geen commercieel doel. Het is de reclame (die niet gescapred is) die een zoekmachine commercieel maakt.
hoeksmarp @watercoolertje1 mei 2024 16:04
Dus (bijvoorbeeld) Tweakers is geen commerciële website?
watercoolertje @hoeksmarp1 mei 2024 16:17
Waarom niet dan? Ik zeg letterlijk dat die ads (die tweakers ook heeft) de zoekmachine commercieel maken. Dat gaat voor Tweakers toch net zo goed op dat het commercieel is door (oa) ads?

[Reactie gewijzigd door watercoolertje op 22 juli 2024 15:20]

hoeksmarp @watercoolertje1 mei 2024 18:19
Jij zegt
Het scrapen heeft zelf geen commercieel doel.
Ik bedoel te zeggen dat de hele website commercieel is en het doel van het scrapen is de website mogelijk maken, dus heeft het een commercieel doel.
Cyberpuppy @hoeksmarp1 mei 2024 14:20
Ik begrijp het grotere plaatje wel, maar heb toch enige moeite om een ander dan een commerciëel doel te bedenken bij een zoekmachine.
TweakerCarlo @hoeksmarp1 mei 2024 20:21
https://account.shodan.io/billing

Dit is imo toch ook commercieel?
Niet specifiek 'onze' data maar dit is ook een vorm van scrapen vind ik
  • Ik heb een printscreen van deze post opgeslagen. Dan heb ik iig bewijs dat mijn berichten verwijderd worden van tweakers
Steyn_E @Helium-31 mei 2024 13:24
Precies. Google of Bing hebben een legitiem doel voor wat betreft scraping; Meta heeft dat niet (want die bieden geen zoekmachine aan).
Tweakez @Steyn_E1 mei 2024 13:27
Die zullen dus binnenkort ook een zoekmachine hebben :+
watercoolertje @Tweakez1 mei 2024 13:36
Ja maar dan mag je het alsnog alleen voor dat doel gebruiken...
closefuture @watercoolertje1 mei 2024 13:42
De vraag is of Google die data dan ook weer enkel voor dat doel gebruikt en niet voor bijvoorbeeld advertenties.
watercoolertje @closefuture1 mei 2024 13:45
Dat geldt toch voor iedereen? Niet enkel voor Google. Dus snap niet helemaal waarom die er bij gehaald wordt als het om meta gaat...

[Reactie gewijzigd door watercoolertje op 22 juli 2024 15:20]

Thekilldevilhil @watercoolertje1 mei 2024 14:10
Ik snap het wel. Omdat de vraag was of Meta zich daar aan zou houden en het niet alsnog voor z'n advertentie markt gebruikt. Een van de bedrijven die nu die mogelijkheid heeft is Google, dus het is wel een goede om daar eens over na te denken.
watercoolertje @Thekilldevilhil1 mei 2024 14:26
Alle bedrijven hebben die mogelijkheid om te scrapen, niet specifiek Google. Mijn opmerking gaat ook gewoon over alle bedrijven (want die regel geldt voor iedereen) en daar hoort Google ook gewoon bij. Het voegt in een discussie die gevoerd wordt vanuit 'meta gaat een zoekmachine beginnen om te mogen scrapen' imo dus gewoon niks toe om over andere bedrijven te beginnen.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 15:20]

Thekilldevilhil @watercoolertje1 mei 2024 17:53
Google is de grootste in dit rijtje dus lijkt me prima om daar even bij stil te staan. Daarbij is het in realiteit wat Meta beschreven wordt mogelijk te worden... Dus het hypothetische naar het praktische vertalen. Dus dat het niets aan het gesprek zou toevoegen is geheel jouw mening, eentje die ik absoluut niet deel. Want een whataboutism is het bijvoorbeeld absoluut niet.

[Reactie gewijzigd door Thekilldevilhil op 22 juli 2024 15:20]

TheMak @Tweakez1 mei 2024 22:06
Dan mogen ze de data gebruiken voor de zoekmachine. Maar als een nieuw doel hebben, dan hebben ze pech.
kodak
@Steyn_E1 mei 2024 13:45
Een bedrijf als Google of Microsodt hebben bij hun zoekmachines niet zomaar een legitiem doel. Dat zal aantoonbaar moeten zijn, wat ook niet zomaar van toepassing is. Bedenk daarbij dat de bedrijven zich niet duidelijk beperken om geen persoonsgegevens te scrapen maar er ondertussen wel in meerdere opzichten aan verdienen. Daarbij zijn doelen niet hetzelfde als de praktijk. Dat is juist bij bedrijven als Google en Microsoft al meerdere keren gebleken terwijl ze persoonlijke gegevens verwerken. Per bedrijf verschilt dan bijvoorbeeld de reputatie of aantal gebreken, maar dat maakt niet zomaar dat ze dus voldoen aan de wettelijke bescherming die de personen horen te hebben.
RAAF12 @Steyn_E1 mei 2024 13:48
Iedereen die zoekt is een mini zoekmachine ik zie het verschil niet zo. Bing en Google is groot, wij zijn klein.
Sissors @Helium-31 mei 2024 13:28
Maar elk bedrijf heeft een uit te leggen doel om te scrapen. Of dat doel iets is waar wij blij mee zijn is een tweede. Maar dat ze een doel ermee hebben zegt heel weinig. Wat je wil weten is wanneer dat doel volgens het AP legitiem is. Want zoals het hier staat is het eigenljik nooit legitiem, en mag een zoekmachine dus ook niet functioneren.
Xander2 @Helium-31 mei 2024 18:29
> Hier valt bijvoorbeeld praktisch gezien elke zoekmachine onder.

En daar is dan juist weer het concept doelbinding voor; als jij een uit te leggen doel hebt kan je mogelijk weer wél legitiem het schrapen doen.
Scrapen om het scrapen?

Hoe kan een zoekmachine een legitiem doel hebben door op meerdere plekken persoonsgegevens te scrapen en te agreggeren als scrapen om het scrapen voor een enkele site niet toegestaan is?
kodak
@Polderviking1 mei 2024 13:21
De handreiking heeft de bedoeling om uit te leggen hoe men met de automatsche verwerking om hoort te gaan. Het geeft geen uitzondering op alle andere vormen van verkrijgen van gegevens of verdere verwerking. En het is niet zomaar te breed omdat we bijvoorbeeld hopen dat een zoekmachine er niet onder valt. Ook bedrijven met zoekmachines hebben zich namelijk aan de wet te houden.
Mit-46 @Polderviking1 mei 2024 14:54
Een oprechte vraag. Is dat wel zo? Lijkt mij toch niet dat bijvoorbeeld Google of Duckduckgo van het "hele" internet alles opslaat? Werkt een zoekmachine op die manier?

Kan mij meer voorstellen dat zij het allemaal "zien" en "weergeven" aan jou wanneer jij iets zoekt. Tenzij er natuurlijk eigen belang is bij het opslaan van zulke informatie.
andredeen @Polderviking1 mei 2024 14:55
Ik denk dat het er niet zozeer om gaat wat ze precies onder scrapen verstaan, lees gewoon "verzamelen", maar als je dingen verzameld en het gaat over mensen moet je goed weten wat er mag op dat gebied, en dat is zonder toestemming niet veel.
djwice 1 mei 2024 15:57
@TijsZonderH Ik heb simpelweg een pattern detector geschreven die persoonsgegevens herkent en deze gegevens classificeert en identificeert in elk gedownload html bestand.
Die gegevens gebruik ik dan weer om de data te ontdoen van persoonsgegevens voordat deze voor andere doelen worden gebruikt.

De pattern detector is onderandere getraind op databronnen van OpenSteetMap, het Meertens Instituut en documenten van het Internet Engineering Task Force, niet perfect maar over het algemeen goed genoeg.

[Reactie gewijzigd door djwice op 22 juli 2024 15:20]

peter___ @djwice1 mei 2024 19:19
Interessant @djwice. Staat jouw pattern detector toevallig op iets als Github? :) En is deze aanpak wat jou betreft juridisch dicht of denk je dat er nog een kans is dat het verwijderen van die data en de stap ervoor alsnog kunnen worden gezien als (onrechtmatig) verwerken van persoonsgegevens?
djwice @peter___1 mei 2024 23:24
Ik ben geen jurist. Dus kan geen juridisch advies geven.

Ik heb de patterns niet op GitHub staan, ik heb voor verschillende landen vergelijkbare bronnen als het Meertens gevonden, zodat nagenoeg alle namen te detecteren zijn en zelfs te herleiden tot landen waar die naam voorkomt.
Als uitgangspunt heb ik genomen dat ik minimaal alle data wil kunnen detecteren van alle data typen die FakerJS kan genereren (dat was in 2018).
Zodat je het origineel uit de databron kan verwijderen en indien nodig (bijvoorbeeld verplichte invoervelden) ze kunt vervangen door fake data.

Dat was voor een ander proces ( waarin ik automatisch voor elke databron een fake dataset genereer met vergelijkbare statistische eigenschappen ).

Voor crawling post processing laat ik het vervangen achterwegen.
The Zep Man
1 mei 2024 13:01
OK. Er is nu een handreiking. En verder?
De handreiking die de AP nu heeft geschreven, geldt overigens alleen voor particulieren en bedrijven, en niet specifiek voor overheden. Ook die moeten opletten met scrapen, maar omdat daarvoor andere regels kunnen gelden, zoals een andere wet die de overheid kan gebruiken als grondslag, zal de AP daarvoor in de toekomst een andere handreiking opstellen.
De AP geeft al voldoende aandacht aan de Nederlandse overheid, wat resulteert in vestzak-broekzak boetes. Ga eens achter grote commerciële partijen aan.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 15:20]

Joost1981_2 1 mei 2024 14:19
Wordt eens tijd dat ze die 'recruiters' aan gaan pakken die je telefoonnummer hebben omdat "met een collega een aantal maanden geleden contact met hebt gehad". Daar wordt volgens mij een hoop gescraped danwel gegevens doorverkocht.
RobbieB 1 mei 2024 13:02
Ga handhaven dan. Altijd maar zeggen wat niet mag, maar handhaven ho maar.
jvda7512 @RobbieB1 mei 2024 13:09
Dit is een eerste stap ik de goede richting. Eindelijk duidelijkheid over wat wel en niet wordt geaccepteerd. Laat de handhaving nu inderdaad maar komen.
kodak
@jvda75121 mei 2024 14:27
Er staat niets anders dan dat er al uit de wetgeving opgemaakt kon worden. Dat bedrijven ook menen andere mogelijkheden in de wet te lezen in hun eigen voordeelnis niet waarom de wetgever uitzonderingen heeft gegeven. En ondertussen zijn er ook al tal van uitspraken geweest dat de bescherming waarvoor de wet bestaat in principe boven de vermeende uitzonderingen gaat. Alleen negeren bedrijven dat vaak. Dat de toezichthouder na jaren eens met een extra verduidelijking komt is daarmee een zoveelste vorm van uitstellen van handhaving. Men had allang duidelijknmoeten ingrijpen bij bedrijven die aan scrapen doen. Maar in plaats daarvan zet te toezichthouder in op zelfregulering, die niet werkt. Wat ook al jaren duidelijknwad voor de toezichthouders er kwamen. We zijn allang het punt voorbij dat de toezichthouder er goed aan doet uitleg te geven en zo min mogelijk te onderzoeken of doelen wel legitiem zijn en zo laat mogelijk te gaan handhaven. Men geeft de bedrijven die scrapen alleen maar langer en langer en langer gelegenheid er mee weg te komen. Dat is geen beschermen van wie bescherming nodig heeft en dat ks geen tijdig toezicht en handhaven waarom ze bestaan.
gimbal @RobbieB1 mei 2024 13:26
Het is de overheid, of in dienst van de overheid. Heb je nooit gehad dat er in je straat een gat gegraven moet worden om onderhoud te plegen aan een leiding ofzo?

Bedrijf A graaft het gat.
Bedrijf B doet het onderhoud
Bedrijf C controleert het
Bedrijf D maakt het gat dicht

A en D zijn niet noodzakelijkerwijs hetzelfde bedrijf.

Het is onrealistisch om tegen bedrijf A te roepen "Ga onderhoud plegen dan!". Zo werkt het niet.
Orangelights23 @gimbal1 mei 2024 14:34
Leuk metafoortje, maar de AP is ook de autoriteit die boetes kan opleggen. Punt is dat zij dat amper doen door te lage budgetten.
RobbieB @gimbal1 mei 2024 15:56
Je vergelijking gaat echter mank, want de AP is een autoriteit die belast is met de handhaving van de privacy wet- en regelgeving.
Swerfer 1 mei 2024 13:03
Goodby Google 8)7
lenwar
@Swerfer1 mei 2024 15:36
Zoals in het Artikel staat gaat dit over de AVG. Binnen de AVG kun je 'uitzonderingen' krijgen als je aan één van zes grondslagen voldoet. In dit geval de grondslag "Gerechtvaardigd belang".

https://autoriteitpersoon...ag-gerechtvaardigd-belang

Subsidiariteit van noodzakelijkheid. Er is redelijkerwijs geen andere manier om een zoekmachine te voeden zonder te scrapen.
Binnen dit kader volgt Google ook de 'verzoeken' om bepaalde delen niet te scrapen (robots.txt) - opt-out.
Google 'indexeert niets dat niet publiekelijk beschikbaar is'. De privacy-inbreuk is effectief dus minimaal.
PageFault @Swerfer1 mei 2024 13:13
Mijn eerste gedachte: dan worden zoekmachines toch ook heel lastig in gebruik.....
_eLMo_ @Swerfer1 mei 2024 13:13
Dat inderdaad....

AP meent hier dus dat scraping (kopieren en opslaan) niet onder de "openbaar maken" opt-in valt.
Daar kan ik me ergens in vinden, denk bijvoorbeeld aan als je er toe bent verplicht bent zoals ZZP'ers en het KVK, maar....

Dit sloopt wel veel use cases idd.

Dan zou het voor Google een opt-in in plaats van opt-out moeten worden via de robots.txt?

Of Google zou moeten herkennen of het persoons- of bedrijfsgegevens zijn in dit geval? Bijna onmogelijk natuurlijk als je bijvoorbeeld een forum indexeert / scraped.

[Reactie gewijzigd door _eLMo_ op 22 juli 2024 15:20]

THETCR @_eLMo_1 mei 2024 13:18
De terminologie "persoonlijke data" is niet onderhevig aan eigendom, maar of het terug te leiden is, al dan niet in combinatie, naar een natuurlijk persoon.

Wie het op het internet heeft gezet maakt dus geen verschil.
djwice @Swerfer1 mei 2024 16:13
Recent heeft Google zijn beeldzoekmachine aangepast, je krijgt niet meer makkelijk zoekresultaten over een persoon op basis van een plaatje van die persoon.

Wellicht dat je straks ook niet meer op andere persoonskenmerken of identificerende informatie kunt zoeken, als de persoon zelf daar niet vooraf toestemming voor gegeven heeft.
A. Bloem 1 mei 2024 13:11
Mogen bedrijven wel het KvK register scrapen?
jochemd @A. Bloem1 mei 2024 13:29
Ja. Allereerst zijn veel gegevens die in het KvK register staan geen persoonsgegveens, dus die mogen zeker gescraped worden. Daarnaast zal er al snel sprake zijn van doelbinding: het KvK register is bedoeld om een openbaar register te zijn, dus een bedrijf dat een kopie-register aanlegt door te scrapen doet precies waar het register voor bedoeld is. (Onder voorbehoud van specifieke wetgeving die dit specifieke register beschermt.)

Interessanter is de vraag wat een bedrijf vervolgens met haar kopie-register mag. Er ligt een zaak bij het Europees Hof waar die vraag expliciet gesteld is: mag een bedrijf dat iets weet van iemand daar ook gebruik van maken. Daar is nog geen uitspraak over, maar in het recente advies van de AG wordt duidelijk aangegeven dat dat wederom afhangt van het doel van originele bekendmaking. Dus als de KvK netjes meepubliceert dat de gegevens bedoeld zijn om contact te krijgen, maar niet voor direct marketing, dan zal het bedrijf haar kopie-register waarschijnlijk alleen zo mogen gebruiken. We zullen het zien als de uiteindelijke uitspraak komt.
JDx @jochemd1 mei 2024 13:36
Staat toch echt mijn prive adres op sites van een KvK die allang niet meer bestaat.
evers97 @JDx1 mei 2024 14:04
Gewoon melding van maken aan de beheerders van die websites. Uit eigen ervaring blijkt dat ze dit snel oppakken. Wat ik onderandere bij mijn partner heb gedaan is om de resultaten uit Google te laten verwijderen (hij had een relatie met een bn'er aantal jaren terug) en gezien zijn huidige beroep kan dit zijn imago schaden, en Google heeft dit goed opgeppakt en de links die ik aan ze had doorgeven binnen één week verwijderd. Heb op deze manier ook veel van mijn zaken en die familie en vrienden uit Google weten te verwijderen.
watercoolertje @jochemd1 mei 2024 13:47
Ja. Allereerst zijn veel gegevens die in het KvK register staan geen persoonsgegveens, dus die mogen zeker gescraped worden.
Die staan daar juist ook/wel. eigenlijk elke zzper of eenmanszaak die zijn persoonlijke woonadres gebruikt dus.
het KvK register is bedoeld om een openbaar register te zijn, dus een bedrijf dat een kopie-register aanlegt door te scrapen doet precies waar het register voor bedoeld is.
Dat is dus een uitzondering voor KVK zelf niet voor 3den lijkt mij.
kodak
@jochemd1 mei 2024 14:11
Van de gegevens die in het register staan is erkend dat er ook persoonsgegevens in verwerkt worden. Dus doen alsof ze er niet in staan is geen relevant argument.
Daarbij kan er sprake van doelbinding zijn, maar de openbaarheid van de gegevens van het register is niet volledig of onbeperkt. De openbaarheid is er namelijk voor duidelijke specifieke doelen, niet voor het openbaar zijn zelf. En dit is precies waarom het niet de bedoeling is om te doen alsof de uitleg van de toezichthouder maar selectief opgevat kan worden alsof er duidelijkheid mee is dat het scrapen toch maar mag.

Bedrijven zullen de uitleg van de toezichthouder niet kunnen negeren bij gemaakte keuzes. Want de toezichthouder geeft deze uitleg niet omdat het zo goed gaat met hoe bedrijven de technische mogelijkheden en vermeende vrijheden zijn gaan interpreteren.
MneoreJ 1 mei 2024 13:17
Detecteren dat een bedrijf aan het scrapen is zal vrijwel onmogelijk zijn als er niet iemand van een website actief in de logs kijkt en in actie komt met het tracen van IP adressen en whatnot (de kans dat in de user agent "bedrijf XYZ" staat is natuurlijk niet heel groot...) en zelfs dan weet die site niet welke informatie er opgeslagen wordt en met welk doel, dus de kans dat de AP ingelicht wordt is niet zo groot. De enige manier waarop dit iets van impact zou kunnen hebben is wanneer een bedrijf openheid moet geven over waar ze persoonsgegevens vandaan hebben gehaald, en dat komt weer alleen naar voren als ze daadwerkelijk dingen vrijgeven die naar een persoon te herleiden zijn.

Al met al vind ik het heel moeilijk om een scenario te bedenken waarin dit een bedrijf zou moeten beperken, anders dan wellicht een klokkenluider.
DdeM @MneoreJ1 mei 2024 13:23
Grotere bedrijven die actief scrapen gebruiken in veel gevallen een specifieke user-agent, bijvoorbeeld Google en OpenAI

Nu kan je dat natuurlijk niet van iedereen verwachten, maar iedereen die publieke informatie op hun eigen site publiekelijk deelt kan natuurlijk verplicht worden dit wel te doen. Dan wordt het een stuk simpeler ook om aan te tonen als ze dat niet doen.

Betekend alleen wel dat AP proactief zou moeten gaan checken, maar dat zie ik niet zo snel gebeuren.
MneoreJ @DdeM1 mei 2024 13:35
Jawel, maar de echt grote en algemene jongens als Google zullen ook wel hard maken dat ze geen persoonsgegevens opslaan, of dit met een legitiem doel doen. Mocht de richtlijn dan alsnog van toepassing zijn dan zal het duidelijk zijn dat we de richtlijn aan moeten passen, want de meesten van ons willen de zoekmachines niet kwijt.
iedereen die publieke informatie op hun eigen site publiekelijk deelt kan natuurlijk verplicht worden dit wel te doen.
Ja, dat is natuurlijk de truc: als ik ergens Jan Jansen met naam en toenaam noem zou ik in theorie aan moeten kunnen geven waar ik dat vandaan heb, en als dat niet met toestemming van Jan Jansen gebeurd is ben ik in theorie verkeerd bezig en zou ik boetes kunnen krijgen. Dat weerhoudt me er echter niet gelijk van om een complete database over Jan Jansen op te bouwen, als ik die maar niet rechtstreeks publiceer (maar wel gebruik om Jan Jansen te benaderen met interessante aanbiedingen).

Je komt dan wel uit op een redelijk filosofische discussie: als Jan Jansen niet merkt dat ik zijn gegevens aan het scrapen ben omdat hij dat nooit ergens terug ziet, maakt het dan uit? En als ik ze wel gebruik op zo'n manier dat Jan Jansen het merkt is het duidelijk dat ik de regels aan het overtreden ben.
kodak
@MneoreJ1 mei 2024 15:35
als Jan Jansen niet merkt dat ik zijn gegevens aan het scrapen ben omdat hij dat nooit ergens terug ziet, maakt het dan uit?
De wet stelt niet dat die vraag redelijk is. Eerder juist niet, omdat niet alleen het scrapen maar hoe dan ook het verwerken om te beginnen verboden is tenzij er een legitiem uitzondering is. Daarbij zit de legitimiteit van het scrapen al niet in het gemak van geen verantwoording tonen. Dus een zoekmachine is niet legitiem omdat niemand het bedrijf ter verantwoording roept of omdat je vermoed dat ze hard kunnen maken legitiem bezig te zijn.
MneoreJ @kodak1 mei 2024 15:45
De vraag was dan ook niet of het legaal of legitiem was, maar wie of wat ze wat gaat maken.

De AP op zichzelf in ieder geval zeker niet. Fijn dat ze aangeven dat het toch echt niet mag, maar eer zoiets in de praktijk aan de kaak gesteld kan worden ben je wel even verder. Het enige dat dit in de praktijk toevoegt is dat bedrijven die nu gedachteloos scrapen zonder het doel te hebben persoonsgegevens te verwerken zich wellicht nog een keer achter de oren krabben om dat proces te herzien. Dat is niet niks, maar ook niet veel.
Verwijderd 1 mei 2024 13:25
Ap kan dat wel vinden, maar kan er toch niks tegen doen.
Ik koop een bedrijf met server in Nigeria die alles scraped, en die data verkoop ik lekker aan een nl bedrijf? En dan? Krijgt dat bedrijf in Nigeria een boze brief of boete?
sambalbaj @Verwijderd1 mei 2024 13:31
Tsja de AP gaat er streng in zitten en de EU vindt al dat ze er te streng in zitten.
Dan geldt het uiteindelijk alleen voor Nederland wat door elke overtreder wordt aangevochten omdat het binnen de EU regelgeving wel mag.
En de internationale big tech zal er al helemaal niks mee doen.

Leuk dus dat er in Nederland nu een paar mensen zichzelf op de borst kunnen kloppen dat ze zo streng zijn en goed voor de burger.
JoHnnY-Btm 1 mei 2024 13:27
gewoon zorgen dat dergelijk kanalen niet via zoekmachines vindbaar zijn zo is dat met enige social media accounts in te stellen.

echter nog slimmer is om meerdere e-mail accounts te gebruiken die je voor social media gebruikt die vervolgens niet gebruikt wordt voor bedrijven die 'scrapen' en accounts etc. in te stellen dat alles niet zichtbaar is is voor openlijk publiek.

bedrijven hebben en mogen niks met info die op internet staat zoals meningen, hobby's etc. want dat is verkregen zonder toestemming

[Reactie gewijzigd door JoHnnY-Btm op 22 juli 2024 15:20]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq