Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen, nou nou nou
02/05
De basis lijkt me niet controversieel: wie profielen op sociale media en andere dergelijke data binnenharkt, zal gewoonlijk persoonsgegevens verwerken en moet zich dan aan de AVG houden. Dat betekent dus dat je die mensen moet melden dat je hun gegevens binnenhaalt en ze gelegenheid moet geven te protesteren en/of correcties dan wel verwijdering te laten uitvoeren.
De insteek van de AP is echter fundamenteler: het is “bijna altijd illegaal”. Daarmee bedoelen ze “rechtmatig” (art. 5(1)(a) AVG), wat ze dan baseren op drie specifieke problemen:
grondslagen en doelbinding
bijzondere persoonsgegevens
strafrechtelijke persoonsgegevens
Allereerst de grondslag. Als dataharker ben je zelf verwerkingsverantwoordelijke, dus je moet zelf een grondslag kiezen en onderbouwen. (Je kunt niet meefietsen op bijvoorbeeld de grondslag van Linkedin en dan redeneren dat jouw hergebruik daar slechts een variant op is.)
Die grondslag zal vrijwel altijd het “eigen gerechtvaardigd belang” (art. 6(1)(f) AVG) zijn van de partij die de gegevens binnenharkt. En dan komen we bij het eigenlijke punt dat de AP wil maken: een “zuiver commercieel belang” mag niet tellen als “belang” in de zin van de AVG. Daar is inderdaad al de nodige herrie over geweest en de zaak ligt nu voor bij het Hof van Justitie.
De AP stelt zich op het standpunt dat iets alleen als “belang” kan tellen als het tot een wet te herleiden is. En “zuiver commercieel handelen” staat nergens in een wet en dus is het geen belang onder de AVG. Ik heb daar enorme moeite mee, gezien het feit dat artikel 16 Handvest de “vrijheid van ondernemerschap” expliciet erkent. Geld willen verdienen is dus een grondrecht en daarmee een rechtens te respecteren belang. Daarnaast is er de vrijheid van informatie (art. 11 Handvest), die ook toeziet op het binnenharken van informatie. En je oogmerk doet er niet toe; informatievrijheid geldt ook voor bedrijven.
Dat wil natuurlijk niet zeggen dat alles mág als je Eurotekens er achter zet. De belangenafweging van de AVG is nadrukkelijk in het voordeel van de betrokkenen geformuleerd. De handreiking gaat hier niet verder op in, maar adviseert mensen om “zorgvuldig” na te denken wat de afweging moet zijn. Wel noemt men een aantal factoren, zoals omvang van de dataset en op welke criteria deze doorzoekbaar is: een statistisch model met algemene uitspraken is iets heel anders dan een kopie van geheel Nederlands Linkedin waar je op persoonsnaam in zoekt.
Dit haakt in op de twee andere factoren: het is goed mogelijk dat je ook bijzondere persoonsgegevens (zoals etnische afkomst, seksuele voorkeur of religie) meeharkt of zelfs de vaak vergeten strafrechtelijke persoonsgegevens. En dat is echt problematisch, omdat je als harker eigenlijk nooit een legitieme reden hebt om dat te doen.
De AP trekt daarbij een harde lijn, die volgens mij de enige juiste is:
Slaat u zowel gewone als bijzondere persoonsgegevens op in één database, dan is het beschermingsregime voor bijzondere persoonsgegevens van toepassing op alle gegevens in deze database. Kunt u niet uitsluiten dat u (ook) bijzondere persoonsgegevens verwerkt? Dan geldt het (zwaardere) beschermingsregime voor bijzondere persoonsgegevens.
Hierbij geldt dat alleen een actieve handeling van de betrokkene zelf als excuus kan gelden. Een voorbeeld: op Linkedin kun je je voornaamwoorden instellen. Daaruit kun je een seksuele gerichtheid afleiden, wat dus problematisch is maar omdat dit een actieve en bewuste keuze is (je hóeft het niet te doen) valt dat buiten het verbod.
De uitspraak dat het “bijna altijd illegaal” is, is dus vooral gebaseerd op het gegeven dat je bijzondere persoonsgegevens verwerkt en dat je daarbij niet kunt zeggen dat men dit alles zelf openbaar gemaakt heeft. De AP merkt in de handreiking zelf al op dat hier redelijkerwijs vraagtekens bij te stellen zijn en dat alleen het Hof van Justitie die kan beantwoorden. Het is dus wel nogal een aanname die hier wordt genomen.
Een meer algemeen bezwaar is de juistheid. Naast dat je mensen moet informeren dat jij hun gegevens binnenhaalt (ja, dat moet jij doen en wel actief, dus met een mail of pb), moet je mensen gelegenheid geven hun gegevens te corrigeren. Je zal net gehackt zijn en een cryptoscam op je Facebook krijgen op de dag dat zo’n hark langskomt: dan zullen toekomstige werkgevers je nog lang associëren met dubieuze cryptoverkoop.
Ik zie de handreiking alles bij elkaar vooral als een signaal: er is nog héél veel cowboygedrag in dataharkland, en dat moet maar eens afgelopen zijn. Als jij je processen op orde hebt, weet welke data je binnenhaalt en waarom, bijzondere gegevens wegfiltert en zorgt voor transparantie (inclusief rechten uitoefenen), dan is er verder weinig aan de hand. Als.
Leuk detail nog: wie een AI bouwt die op basis van dataharken is getraind, moet in zijn conformiteitsverklaring (Annex V AIA) expliciet verklaren volledig AVG compliant te zijn. Een aansprakelijkheidsbeperking is daarbij niet mogelijk, en onder de binnenkort te verwachten AI Liability Directive geldt zelfs een omgekeerde bewijslast. Inkopers van AI kunnen dus sturen op dit logo.
Arnoud
Het bericht Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen, nou nou nou verscheen eerst op Ius Mentis.
Datum: donderdag 2 mei 2024, 08:21
Bron: Iusmentis Blog
Categorie: Internet en ICT
Gerelateerde berichten:
- Aftappen op `s werelds grootste Internet Exchange (08/07/13 11:58)
- Ik wil niet in het smoelenboek! (27/12/10 08:54)
- “Zo laat je de data van miljoenen openbare profielen in jouw voordeel werken” (02/04/24 08:19)
- Houden datahandelaren zich aan de wet? (09/03/16 11:09)
- KPN en XS4ALL verbeteren privacy televisiekijkers (15/08/16 13:37)
Reacties:
Er zijn nog geen reacties op dit bericht.