Op 1 mei publiceerde de Autoriteit Persoonsgegevens (AP) haar ondertussen welbekende Handreiking scraping door particulieren en private organisaties met een persbericht onder de aansprekende titel Scraping bijna altijd illegaal. En lezing van deze handreiking toont aan dat de titel van het persbericht geen clickbait was. AP maakt ondubbelzinnig duidelijk dat slechts in zeer bijzondere situaties scraping van persoonsgegevens is toegestaan:

En daarmee is het game-over voor scrapers van persoonsgegevens. Het betekent natuurlijk niet dat diezelfde scrapers per direct het droeve hoofd in de schoot leggen. Zoals blijkt uit onderstaande verhandeling van Laurens Waling (Chief Evangelist 8vance) van het bedrijf dat grootschalig persoonsprofielen van LinkedIn scrapet:

Hoewel de titel misschien misleidend is, zijn we bij 8vance blij met de gisteren verschenen handreiking van de AP. We scrapen openbare profielen om onze AI te trainen op combinaties van opleiding, werkervaring en vaardigheden. Hierbij verwijderen we persoonsgegevens, zodat de data niet meer te herleiden zijn. Wie snel leest, zou kunnen denken dat scrapen verboden wordt en dat onze service zou moeten stoppen. Maar dat is natuurlijk onzin, want elke zoekmachine scrapet en indexeert informatie op het internet. De meeste AI wordt getraind met openbare bronnen. Waar het om gaat, is dat het scrapen van privacygevoelige informatie, die je niet gebruikt wilt hebben om bijvoorbeeld uitkeringen te weigeren of duurdere verzekeringen aan te bieden, wordt beperkt. En dat is maar goed ook.
Wat wij doen, is AI inzetten om vraag en aanbod op de arbeidsmarkt beter op elkaar af te stemmen. We gebruiken gegevens die openbaar gedeeld zijn en loggen niet in op sociale media. We minimaliseren de data die we nodig hebben en anonimiseren deze. Het verwijderen van meegescrapte persoonsgegevens is een vorm van gegevensverwerking, maar juist hiervoor biedt de handreiking hulp om een gerechtvaardigd belang vast te stellen. Het individu ondervindt hier geen hinder van, terwijl het maatschappelijk belang duidelijk is.
Ook voor een extra service die we onze klanten bieden, een op vaardigheden gebaseerde zoekmachine voor publieke profielen, helpt de handreiking ons een sterk gerechtvaardigd belang te formuleren. Het is voor het individu alleen maar gunstig als hij op basis van vaardigheden gevonden wordt voor een mooie nieuwe baan of opdracht. We verbreden perspectieven met nieuwe carrièrekansen en verminderen de hoeveelheid ongerichte spam.
Kortom, bedankt AP voor deze helderheid. Kies volgende keer een minder aanstootgevende titel om te voorkomen dat ‘algoritme-angst’ toeneemt. Kijk ook waar de inzet van AI juist gestimuleerd moet worden, zoals op de arbeidsmarkt. Vraagstukken rondom krapte en discriminatie vragen om algoritmes die verder kijken dan het oog van de gemiddelde recruiter en hiring-manager.

De strategie van 8vance is duidelijk: een aanval is de beste verdediging. Laten we bovenstaande aanval eens forensisch uitpluizen.

Hoewel de titel misschien misleidend is, zijn we bij 8vance blij met de gisteren verschenen handreiking van de AP.

Hiermee geeft Waling aan dat voor de aanval wordt gekozen. Natuurlijk is 8vance er niet blij mee, maar dat kunnen ze niet zeggen.

Vervolgens komt er een lange alinea waarin Waling de scraping van LinkedIn door 8vance probeert te greenwashen:

We scrapen openbare profielen om onze AI te trainen op combinaties van opleiding, werkervaring en vaardigheden. Hierbij verwijderen we persoonsgegevens, zodat de data niet meer te herleiden zijn. Wie snel leest, zou kunnen denken dat scrapen verboden wordt en dat onze service zou moeten stoppen. Maar dat is natuurlijk onzin, want elke zoekmachine scrapet en indexeert informatie op het internet. De meeste AI wordt getraind met openbare bronnen. Waar het om gaat, is dat het scrapen van privacygevoelige informatie, die je niet gebruikt wilt hebben om bijvoorbeeld uitkeringen te weigeren of duurdere verzekeringen aan te bieden, wordt beperkt. En dat is maar goed ook.

Ik zet tegenover deze woordenbrei maar even de korte, duidelijke en ondubbelzinnige uitspraak van AP-voorzitter Aleid Wolfsen:

‘Maar dat informatie over jou openbaar is, betekent niet automatisch dat jij ook toestemming geeft voor scraping. Ook wanneer jij zelf op je socialemedia-account zet dat je laatst de loterij hebt gewonnen of een operatie hebt gehad, geef je daarmee geen toestemming om die gegevens te scrapen. Toestemming voor het verzamelen van persoonsgegevens geef je alleen als het jou van tevoren netjes is gevraagd. Dat is bij scraping meestal niet te doen.’

Het lijkt me dat hiermee ten aanzien van de rechtmatigheid van scrapen van persoonsgegevens voldoende is gezegd.

Waling vervolgt met twee alinea’s irrelevante marketing babble om de eigen diensten onder de aandacht te brengen, om vervolgens een hooghartige sneer naar AP uit te delen:

Kortom, bedankt AP voor deze helderheid. Kies volgende keer een minder aanstootgevende titel om te voorkomen dat ‘algoritme-angst’ toeneemt. Kijk ook waar de inzet van AI juist gestimuleerd moet worden, zoals op de arbeidsmarkt.

De arrogantie druipt er werkelijk vanaf.

Als afsluiting is er ook nog een een trap in de nieren van de gemiddelde recruiter en hiring manager:

Vraagstukken rondom krapte en discriminatie vragen om algoritmes die verder kijken dan het oog van de gemiddelde recruiter en hiring-manager.

Einde forenisch pluiswerk. Gaan we nu verder. Want Waling is nog niet klaar. Een paar dagen geleden recycled hij een video van Digitaal-Werven waarin Inge Brattinga (VRF advocaten) met betrekking tot scrapen het volgende zegt (geen woordelijke weergave):

Voor trainingsdata is het noodzakelijk om zoveel mogelijk profielen van het Internet te scrapen, van openbare profielen die publiek toegankelijk zijn. Daar zijn discussies over of dat nou wel of niet mag. LinkedIn vindt van niet (hun voorwaarden verbieden dat), maar als ik niet bij LinkedIn inlog dan is dat geen probleem en is er geen inbreuk op het profiel dat ik “open” heb staan. Brattinga verwijst hierbij ook nog naar het Hof in de VS (MD: wrsch. de HiQ zaak).

Bovenstaande positie is (op zijn zachtst gezegd) opmerkelijk te noemen, om tenminste de volgende redenen:

1. Brattinga stelt dat “open” profielen een vrijbrief zijn voor AI leveranciers om dat profiel te scrapen. Zij doelt hierbij waarschijnlijk op de aanname (van 8vance) dat een LinkedIn gebruiker zijn/haar/x profiel actief en/of bewust op “open” zet en daarmee scrapers feitelijk uitnodigt om zijn/haar/x profiel te scrapen. Maar in de echte wereld is het LinkedIn die profielen van LinkedIn gebruikers op “open” zet, zonder LinkedIn gebruikers hiervan op de hoogte te stellen. LinkedIn gebruikers hebben hier dus geen weet van.
2. Brattinga verwijst naar een uitspraak van het Amerikaanse Hooggerechtshof waarbij het bedrijf HiQ haar scraping van LinkedIn data mocht voortzetten. Het Amerikaans recht rondom privacy is niet compatibel met de GDPR, het lijkt me daarom zeer riskant om een Amerikaanse uitspraak geldigheidswaarde te geven voor de Europese situatie.
3. Tegen de achtergrond van het grondrecht op privacy vind ik het bijzonder dat een privacy-jurist juist scraping propageert, omdat AI nou eenmaal veel data nodig heeft.
4. Wat Brattinga beweert staat op gespannen voet met de inhoud van de door de Autoriteit Persoonsgegevens (AP) uitgegeven Handreiking Scraping door particulieren en private organisaties. In het vervolg van deze blog posting ga ik hier dieper op in.

En dat was de informatie die mij bekend is over de aanval van 8vance. Een volgende keer ga ik in detail in op relevante passages van de Handreiking scraping door particulieren en private organisaties. Want tenslotte is dat het document waar het allemaal om draait. En die ook alle duidelijkheid geeft die naar mijn mening noodzakelijk is. Het enige wat nu echt gaat tellen is handhaving. Door de AP.