8vance Matching Technologies heeft massaal en langdurig de AVG (en daarvoor de Wbp) overtreden door het op industriële wijze (laten) scrapen van persoonsgegevens afkomstig van publieke bronnen (eerst en vooral van LinkedIn), leidend tot een database met 85 miljoen profielen en ‘AI’-zoektechnologie (op basis van die 85 miljoen profielen).
Volgens de Autoriteit Persoonsgegevens (AP) is het scrapen van persoonsgegevens vrijwel zonder uitzondering verboden, en 8vance vormt geen uitzondering. Na 8vance onder de aandacht van de AP te hebben gebracht, heeft de AP op 9 juli 2024 een normbrief* aan 8vance gestuurd waarbij 8vance wordt aangegeven alle verwerkingen van persoonsgegevens te staken. Hierbij stelde de AP onder meer het volgende:
Volgens uw website maakt u gebruik van scraping. […]
Blijkt dat u geen grondslag heeft om persoonsgegevens te mogen verwerken met scraping? […] Dan zult u al deze verwerkingen moeten staken.
Gelet op de grote impact die scraping kan hebben op de privacy van een groot aantal betrokkenen als de verwerking niet goed is ingeregeld, vindt de AP het van belang om u actief te wijzen op deze handreiking [MD: handreiking scraping door particulieren en private organisaties]. Zij sluit ook niet uit dat zij in de toekomst bij u navraag zal doen naar de acties die u heeft ondernomen naar aanleiding van de hiervoor genoemde handreiking. Of om eventuele andere maatregelen te nemen als blijkt dat uw verwerking niet voldoet aan de AVG.
Voor zover uit publieke bronnen valt af te leiden, was 8vance (althans, voor de bühne) niet onder de indruk van deze brief, misschien wel het duidelijkst onder woorden gebracht in dit LinkedIn (sic) bericht van Laurens Waling (Chief evangelist, 8vance) onder de veelzeggende titel De rem op AI: Hoe strikte privacywetgeving Europa’s innovatie vertragen (20 september 2024):
De vraag rijst dan ook of toezichthouders – zoals de Nederlandse AP – in staat zijn om alle belangen objectief af te wegen. Het is belangrijk dat zij een balans vinden tussen het beschermen van privacy en het mogelijk maken van innovatie. Er is binnen de wetgeving ruimte voor een afweging van gerechtvaardigde belangen, zeker wanneer de potentiële voordelen voor de samenleving groot zijn.
Zover ik weet is de AP er niet om alle belangen objectief af te wegen, maar om (onder meer) de AVG te handhaven, maar de boodschap van 8vance is helder: AI is de toekomst, privacy be damned.
Deze grote woorden krijgen echter geen vervolg. Dit kan te maken hebben met de brief van de AP, maar minstens zo belangrijk is de ingreep van LinkedIn in april 2024 om scraping van persoonsprofielen onmogelijk te maken. Voor scrapers van persoonsgegevens zoals 8vance viel ineens het fundament onder hun dienstverlening weg. En dat verklaart ongetwijfeld de U-bocht die 8vance maakt, verwoord door Waling op LinkedIn op 9 oktober 2025:
The rules aren’t here to stop you — they help you trust AI
The GDPR [MD: AVG] and the EU AI Act aren’t designed to block innovation. They exist to create clarity and confidence. Together, they define how AI can be used responsibly in recruitment, selection, and talent development
Waar ruim een jaar eerder de AP niet in staat werd geacht alle belangen objectief af te wegen is er nu clarity & confidence. En Waling gaat nog een stapje verder:
That’s why leading HR tech companies, like 8vance, work exclusively with anonymised and synthetic data — patterns, not persons. It allows us to train our models on skills, not identities, and build fair matches without tracking or profiling anyone.
Het leven is mooi als je grote woorden kan gebruiken zonder deze te hoeven onderbouwen. Misschien informatief leuk om in dit verband ook een blogje over synthetische data en 8vance te lezen.
De saaie werkelijkheid
In de echte wereld vinden andere ontwikkelingen plaats; via het Ministerie van SZW leer ik op 10 april 2024 dat een externe partij op korte termijn een audit gaat uitvoeren waarbij (onder meer) zal worden getoetst of 8vance aan de AVG voldoet. Deze audit zou rond de zomer van 2024 worden afgerond. En nog sterker, dat 8vance de opdrachtgever van deze audit is. SZW noch UWV zijn genegen om de resultaten van deze audit te delen en dat heeft geleid tot een Woo-verzoek (2025041) op 23 december 2024. Vanzelfsprekend heeft UWV afwijzend besloten op zowel het Woo-verzoek als het bezwaar (2025041.bezwaar) en daarom ligt er ondertussen een beroep bij de rechter (sinds 17 oktober 2025).
Loopt het spoor hier dood? Niet helemaal, want in de communicatie over een ander Woo-verzoek (over de al dan niet door UWV vastgestelde AVG-compliance van 8vance) kwam een bijzonder interessante snippet naar boven. Op 23 maart 2026 wijst UWV mijn Woo-verzoek af op de grond dat er sprake is van een herhaald verzoek. Ik bestrijd dit via een bezwaarschrift en er lijkt, op basis van de recent gehouden hoorzitting, alsnog informatie opgeleverd te gaan worden door UWV. In de afwijzing door UWV (23-3-2026) is echter sprake van een nog niet eerder vermelde nieuwe bron: The Data Lawyers. Zover ik heb kunnen nagaan is door UWV nog niet eerder in haar communicatie met mij sprake geweest van document(en) van The Data Lawyers en alleen daarom is er al sprake van nieuwe feiten. En dat niet alleen:The Data Lawyers claimt het volgende: Law firm specialised in Privacy, AI and IT law. En dat maakt de vermelding ineens fascinerend. Niet gehinderd door enige innerlijke remming kom ik vrij associerend (denk VTS) op de niet-verwaarloosbare kans dat The Data Lawyers en de door 8vance uitgevoerde review wel eens heel veel met elkaar te maken kunnen hebben. En zou de informatie van The Data Lawyers er (uiteindelijk) toe hebben geleid dat 8vance een u-bocht heeft gemaakt?
Wordt ongetwijfeld vervolgd.
*Normbrief (met dank aan Gemini)
De Autoriteit Persoonsgegevens (AP) gebruikt een normbrief (ook wel normerende brief genoemd) als een specifiek handhavings- en toezichtsinstrument. Het is een formele waarschuwing of dwingende aanwijzing die wordt ingezet bij (vermoedelijke) overtredingen van de privacywetgeving, zoals de AVG.
In plaats van direct een zware sanctie zoals een boete op te leggen, gebruikt de AP de normbrief om een organisatie op haar wettelijke verplichtingen te wijzen en aan te sporen tot directe actie.
Kernkenmerken van een normbrief
Een normbrief is een instrument dat zich bevindt tussen zachte handhaving (voorlichting) en harde handhaving (boetes of dwangsommen). De AP zet dit briefstype in om snel en effectief naleving van de wet af te dwingen zonder direct een langdurig en kostbaar handhavingstraject te starten.
Normstellend en verduidelijkend: De brief legt de juridische norm (de wet) uit en projecteert deze specifiek op de situatie of de sector van de ontvanger.
Signaleringsfunctie: De AP geeft hiermee aan dat zij op de hoogte is van een mogelijke overtreding of een structureel risico binnen een organisatie of sector.
Herstelgericht: Het primaire doel is niet het bestraffen van het verleden, maar het corrigeren van de toekomst. De organisatie krijgt de kans om de overtreding zelfstandig te beëindigen.
Wat gebeurt er als een normbrief wordt genegeerd?
Een normbrief is niet vrijblijvend. Het negeren ervan heeft escalaties tot gevolg. De AP gebruikt de normbrief namelijk als ‘dossieropbouw’.
Als een organisatie de hersteltermijn laat verlopen zonder de nodige aanpassingen te doen, schakelt de AP over naar actieve handhaving. Bij de bepaling van de hoogte van een eventuele daaropvolgende boete weegt het zwaar mee dat de organisatie opzettelijk of verwijtbaar heeft gehandeld, omdat zij via de normbrief immers al expliciet was gewaarschuwd.
De AP weegt de ernst, de omvang en de mate van verwijtbaarheid af. Een normbrief wordt vaak ingezet als:
De overtreding niet direct heeft geleid tot grove, onherstelbare schade voor betrokkenen.
De organisatie niet eerder voor ditzelfde feit is gewaarschuwd (eerstovertreders).
De AP met een brief sneller resultaat kan boeken voor de getroffenen dan met een langdurig boeteonderzoek.