Gisteren kondigde de Autoriteit Persoonsgegevens aan dat de praktijk van het 'scrapen' van websites "vrijwel altijd illegaal" is. Dit zou volgen uit de AVG, en de implicatie is dat iedereen die zich bezighoudt met deze praktijk er maar beter per direct mee kan stoppen. Niets is echter minder waar.
Allereerst betreft deze uitspraak uitsluitend het scrapen van persoonsgegevens. Voor bedrijven die andere data verzamelen (zoals prijzen en gegevens van huizen of supermarktproducten, financiële informatie of metadata van wetenschappelijke artikelen) is deze uitspraak dus in het geheel niet relevant.
Ten tweede is het oordeel van de AP met name gebaseerd op de zorg dat zogeheten bijzondere persoonsgegevens binnengehaald kunnen worden. Dit betreft zaken als etnische afkomst, seksuele gerichtheid, religie, lidmaatschap van een vakbond of strafrechtelijke veroordelingen. Wie gezien de gebruikte bronnen kan uitsluiten dat dergelijke gegevens meekomen, hoeft zich geen grote zorgen te maken.
Ten derde is de uitspraak in de kern gebaseerd op een niet-onderbouwd en zeer bekritiseerde stelling: een "zuiver commercieel belang" zou nooit en te nimmer een grondslag voor verwerken van persoonsgegevens kunnen opleveren. Scrapen is per definitie vrijwel altijd "zuiver commercieel" volgens deze handreiking, en daarom dus vrijwel altijd illegaal.
Dit is wel érg kort door de bocht, zeker omdat precies dit onderwerp op tafel ligt bij het Hof van Justitie van de EU, en het absoluut niet gezegd is dat de AP hierin gelijk gaat krijgen. Scrapen is een vorm van informatiegaring, een onderdeel van de grondwettelijk beschermde informatievrijheid. Ook is commercieel handelen als zodanig een grondrecht (vrijheid van ondernemerschap). Hoewel aan beiden zeker grenzen te stellen zijn, gaat de AP hier in het geheel niet op in.
En als laatste merkt de handreiking zelf al op dat het uiteindelijk een afweging is van belangen en factoren, zoals hoe veel gegevens en voor welk doel. Een generiek statistisch model maken van een berg persoonsgegevens is heel wat anders dan een personenzoekmachine maken, bijvoorbeeld. Wat dat betreft levert de handreiking dus niets op voor de praktijk.
Maak je je toch zorgen? Neem dan contact op met onze Chief Quality Officer Peter Kager.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.