Cowboys en persoonsgegevens: de grenzen van datascraping op LinkedIn

Data Protection
Geschreven door Kris Seyen

“Waarom krijg ik deze e-mails?” Je hebt je contactgegevens nooit gegeven, en toch duiken er berichten op in je inbox van bedrijven die je hun product willen verkopen. Het voelt alsof iemand zonder toestemming in jouw LinkedIn-profiel heeft gekeken.

Dit is geen toeval, maar het gevolg van data scraping: een praktijk waarbij bedrijven persoonlijke informatie van sociale media verzamelen. Hoewel sommigen dit rechtvaardigen door te wijzen op de “publieke beschikbaarheid” van de gegevens, heeft de Franse privacytoezichthouder CNIL hier onlangs een stevige lijn in getrokken.

In deze blog ontdek je waarom deze uitspraak belangrijk is, wat dit betekent voor ondernemers, en waar je rekening mee moet houden om zelf compliant te blijven..

Wat is data scraping?

Definitie en methodologie

Data scraping houdt in dat geautomatiseerde tools gegevens van websites verzamelen, vaak zonder toestemming van de eigenaar of de betrokken personen. Denk aan namen, functies, en e-mailadressen die publiekelijk zichtbaar zijn op LinkedIn-profielen. Deze gegevens worden vervolgens gebruikt voor allerlei doeleinden, zoals direct marketing of lead generation.

Waarom wordt het gedaan?

Solution providers die data scraping toepassen, doen dit met een commercieel doel: ze bieden bedrijven toegang tot grote hoeveelheden gegevens om leads te genereren of marketingstrategieën te optimaliseren. Hoewel deze gegevens publiek toegankelijk lijken, betekent dit niet dat ze zomaar gebruikt mogen worden. Onder de AVG zijn namelijk ook publiekelijk beschikbare gegevens beschermd.

De zaak Kaspr: een mijlpaal in privacybescherming

Wat speelde er?

De Franse toezichthouder CNIL onderzocht de praktijken van Kaspr, een bedrijf dat gespecialiseerd is in het scrapen van gegevens van LinkedIn-profielen. Kaspr verzamelde namen, functies, contactgegevens en andere informatie. Voor gegevens die volledig openbaar waren, oordeelde de CNIL dat scraping op zich mogelijk toelaatbaar kon zijn, mits voldaan wordt aan de vereisten van de AVG.

Het probleem ontstond echter bij het verzamelen van gegevens die door gebruikers bewust waren afgeschermd, bijvoorbeeld contactinformatie die alleen zichtbaar was voor directe of tweede graads connecties. In dergelijke gevallen kan de gebruiker redelijkerwijs niet verwachten dat deze gegevens zonder toestemming worden verzameld en gebruikt. Dit bracht de CNIL tot de conclusie dat Kaspr niet voldeed aan de vereisten voor een geldige rechtsgrond.

De drie voorwaarden voor legitiem belang

Kaspr beriep zich op “legitiem belang” als rechtsgrond voor de verwerking van de gegevens. De CNIL benadrukte dat deze rechtsgrond alleen kan worden gebruikt als aan drie cumulatieve voorwaarden wordt voldaan:

  1. Noodzakelijkheid: De verwerking moet noodzakelijk zijn om het legitieme belang te realiseren.

  2. Belangenafweging: Het legitieme belang van de verwerkingsverantwoordelijke moet zwaarder wegen dan de fundamentele rechten en vrijheden van de betrokkenen.

  3. Verwachtingen van betrokkenen: De verwerking mag geen verrassingen opleveren voor de betrokkenen. Gebruikers moeten redelijkerwijs kunnen verwachten dat hun gegevens op deze manier worden verwerkt.

De CNIL oordeelde dat Kaspr faalde op de derde voorwaarde. Gebruikers van LinkedIn die hun gegevens hadden afgeschermd, konden niet verwachten dat deze alsnog werden gescrapet. Voor deze specifieke gevallen was er geen sprake van een legitiem belang.

Overtredingen van de GDPR

In haar oordeel wees de CNIL op meerdere schendingen van de GDPR:

  1. Gebrek aan transparantie: Gebruikers wisten niet dat hun gegevens werden verzameld en verwerkt door Kaspr, en er was geen duidelijke privacyverklaring beschikbaar.

  2. Geen geldige rechtsgrond: Hoewel legitiem belang een mogelijke rechtsgrond is, oordeelde de CNIL dat Kaspr niet voldeed aan de voorwaarden, met name bij afgeschermde gegevens.

  3. Niet naleven van rechten van betrokkenen: Gebruikers hadden geen eenvoudige manier om hun gegevens in te zien, te corrigeren of te verwijderen. Dit is een fundamenteel recht onder de GDPR.

De boete

De CNIL legde een boete van €240.000 op aan Kaspr. Deze boete weerspiegelt niet alleen de ernst van de overtredingen, maar dient ook als waarschuwing voor andere bedrijven die vergelijkbare praktijken overwegen. Het oordeel benadrukt dat de publieke beschikbaarheid van gegevens geen vrijbrief is voor ongecontroleerde verwerking.

Belangrijke lessen uit deze zaak

De beslissing van de CNIL onderstreept enkele cruciale punten:

  • Legitiem belang vereist een strikte toetsing: Alleen gegevens waarvan gebruikers redelijkerwijs kunnen verwachten dat deze worden verwerkt, vallen hier mogelijk onder.

  • Transparantie is essentieel: Bedrijven moeten duidelijk communiceren hoe en waarom zij gegevens verwerken, zelfs als deze gegevens publiekelijk toegankelijk zijn.

  • Naleving van GDPR-principes: Zoals gegevensminimalisatie en rechten van betrokkenen zijn geen formaliteiten, maar essentiële vereisten.

Door deze principes te negeren, riskeren bedrijven niet alleen financiële sancties, maar ook reputatieschade.

Waarom deze praktijken ondernemers raken

De impact op privacy en vertrouwen

Voor ondernemers is LinkedIn een belangrijk platform om te netwerken en relaties op te bouwen. Maar het scrapen van gegevens tast niet alleen hun privacy aan, het kan ook leiden tot een overdaad aan ongevraagde marketingberichten. Dit ondermijnt het vertrouwen in zakelijke netwerken en maakt het moeilijker om authentieke connecties te leggen.

Negatieve gevolgen voor bedrijven die databases inkopen

Bedrijven zoals Kaspr verkopen hun gescrapete databases vaak door aan andere ondernemingen die de gegevens gebruiken voor direct marketing. Deze inkopende bedrijven gaan er meestal vanuit dat de aangeleverde data “clean” is, dus volledig in overeenstemming met de GDPR. Maar wanneer zij deze gegevens inzetten en te maken krijgen met juridische bezwaren van datasubjecten, leidt dit tot grote problemen. Naast mogelijke boetes riskeren ze ook reputatieschade, wat de effectiviteit van hun marketingcampagnes kan ondermijnen en hun commerciële succes in gevaar kan brengen.

Een voorbeeld uit de praktijk

Stel je voor: een ICT-freelancer met expertise in compliance heeft zijn LinkedIn-profiel zorgvuldig ingericht. Hij vermeldt dat hij momenteel voor een grote financiële instelling werkt aan de implementatie van nieuwe Europese regelgeving rond cyberresilience. Zijn profiel wekt vertrouwen bij klanten en potentiële opdrachtgevers. Maar plots begint hij ongevraagde e-mails te ontvangen van aanbieders van complianceplatforms. Deze bedrijven willen hun tools aan hem voorstellen, vaak met verwijzing naar zijn huidige werk bij de financiële instelling. De freelancer voelt zich overspoeld en gefrustreerd. Hij heeft geen idee hoe deze bedrijven aan zijn contactgegevens zijn gekomen en beschouwt dit als een inbreuk op zijn privacy. Het resultaat? Negatieve gevoelens tegenover zowel de tools als de bedrijven die deze promoten.

Wat zegt de GDPR over data scraping?

Hoe de GDPR indirect scraping reguleert

Hoewel de AVG niets specifiek zegt over data scraping, valt scraping onder de brede definitie van “verwerking van persoonsgegevens”. Dit betekent dat bedrijven die scraping inzetten, moeten voldoen aan de AVG-regels. Denk aan verplichtingen zoals rechtmatigheid, transparantie en gegevensminimalisatie.

Rechtmatigheid van verwerking

De AVG vereist dat elke verwerking van persoonsgegevens gebaseerd is op een geldige rechtsgrond. Toestemming is hierbij slechts één van de mogelijke rechtsgronden. Andere opties zijn onder meer legitiem belang, zoals in de zaak Kaspr werd aangevoerd. Echter, zoals de CNIL benadrukte, moet bij legitiem belang altijd een strikte belangenafweging plaatsvinden.

Transparantie en gegevensminimalisatie

Bedrijven die persoonsgegevens verwerken, moeten transparant zijn over de wijze en het doel van deze verwerking. Gegevensminimalisatie vereist dat alleen gegevens worden verzameld die noodzakelijk zijn voor het beoogde doel. Dit betekent dat scraping alleen gerechtvaardigd kan zijn als het doel helder gedefinieerd is en de verzamelde gegevens daarbij strikt noodzakelijk zijn.

Mogelijke gevolgen van non-compliance

Het niet naleven van deze verplichtingen kan leiden tot forse boetes, zoals de zaak Kaspr illustreert. Bovendien riskeren bedrijven reputatieschade en juridische conflicten met betrokkenen, wat hun commerciële succes ernstig kan schaden.

Hoe kunnen ondernemers zich beschermen?

Kritisch omgaan met solution providers

Ondernemers moeten waakzaam zijn bij het kiezen van marketingtools of data providers. Vraag altijd naar de herkomst van gegevens en de maatregelen die worden genomen om AVG-compliance te waarborgen. Daarnaast is het essentieel om waterdichte contractuele garanties te verkrijgen van solution providers. Deze garanties zorgen ervoor dat eventuele financiële gevolgen van non-compliance kunnen worden opgevangen, wat het risico voor jouw onderneming beperkt.

Transparantie naar klanten

Als je zelf persoonsgegevens verzamelt, zorg er dan voor dat je volledig transparant bent over hoe en waarom je deze gegevens verwerkt. Bij directe verzameling kan dit eenvoudig worden geregeld door een duidelijke privacyverklaring die op het moment van verzameling beschikbaar wordt gesteld. Maar wat als de gegevens niet rechtstreeks worden verzameld? In dat geval moet je de betrokkenen alsnog informeren zodra je hun gegevens gebruikt, bijvoorbeeld via een gepersonaliseerde e-mail waarin je uitlegt hoe je hun gegevens hebt verkregen en wat je ermee doet. Dit versterkt niet alleen de naleving van de GDPR, maar ook het vertrouwen van je klanten.

Advies inwinnen

Het juridische speelveld rond privacy en gegevensverwerking is complex en voortdurend in beweging. Een juridisch adviseur kan helpen om risico’s te identificeren en een strategie te ontwikkelen die zowel effectief als compliant is.

Conclusie

De CNIL-beslissing over data scraping brengt geen grote ommekeer teweeg, maar bevestigt wat privacy-experts zoals bij consey(.legal) al langer weten. Wat deze zaak bijzonder maakt, is dat een toezichthouder zich expliciet heeft uitgesproken tegen deze praktijken en daarbij een aanzienlijke boete heeft opgelegd. Dit is een steun in de rug voor iedereen die zich stoort aan de ongebreidelde marketingpraktijken die nog steeds voorkomen. Tegelijkertijd is het een duidelijk signaal aan bedrijven die denken winst te kunnen halen uit persoonsgegevens zonder rekening te houden met de rechten van de betrokkenen.

Het is essentieel dat ondernemers niet alleen de AVG naleven, maar ook strategische keuzes maken om risico’s te beperken en klantvertrouwen te behouden. Transparantie, het kiezen van de juiste partners, en het implementeren van robuuste processen zijn daarbij cruciaal.

Bij consey.legal begrijpen we deze uitdagingen en bieden we praktische oplossingen om jouw bedrijf AVG-compliant te maken zonder in te boeten op efficiëntie of innovatie. Wil je weten hoe we jouw privacybeleid kunnen versterken en tegelijkertijd waardevolle klantrelaties kunnen opbouwen? Neem contact op via hallo@consey.legal of bezoek onze website voor meer informatie.

Geschreven door Kris Seyen, Founder & Managing Partner consey.legal

Kris Seyen
Vorige

De westerse blik op China's AI: tijd om te vervellen?
Volgende

Social media: jouw rol, hun regels