Terug naar blog
Een flyer met persoonsgegevens en een AVG-slotje of schild een visuele reminder dat openbare data nog steeds beschermd is.

Alleen omdat het online staat, betekent niet dat je het zomaar mag gebruiken: AVG en openbare data

AVG

Laten we een veelvoorkomende mythe doorprikken

Alleen omdat informatie online staat, betekent dat nog niet dat je er zomaar mee mag doen wat je wilt. Het internet is een schatkist vol gegevens, maar hier komt de adder onder het gras: als die gegevens persoonsgegevens bevatten, dan is de AVG van toepassing. Ja, zelfs als het publiek beschikbaar is.

In deze blog leggen we uit wat openbare data precies is, waarom je die niet zomaar mag gebruiken, en hoe de AVG ervoor zorgt dat persoonsgegevens beschermd blijven ongeacht waar je ze vindt.

Wat is openbare data eigenlijk?

Openbare data is alle informatie die vrij toegankelijk is op het internet denk aan social media-profielen, openbare fora of zelfs de contactpagina van een bedrijf. Maar alleen omdat het daar in het wild te vinden is, wil dat nog niet zeggen dat je het als een gratis buffet kunt behandelen.

Als die openbare data persoonsgegevens bevat, zoals namen, adressen, e-mailadressen of zelfs foto's van mensen, dan grijpt de AVG in. De wet maakt geen onderscheid tussen gegevens die achter een login zitten of gewoon openlijk beschikbaar zijn. Persoonsgegevens zijn en blijven beschermd.

Wat valt er onder persoonsgegevens (PII)?

Volgens de AVG zijn persoonsgegevens (of PII: personally identifiable information) alle gegevens waarmee je iemand direct of indirect kunt identificeren. Dit kan bijvoorbeeld zijn:

  • Namen
  • E-mailadressen
  • Gebruikersnamen op social media
  • Foto's van personen
  • Telefoonnummers
  • IP-adressen
  • Zelfs functietitels, als die aan een specifieke persoon gekoppeld zijn

Als je deze gegevens kunt herleiden tot een levend individu, dan heb je persoonsgegevens te pakken. En daarmee komt verantwoordelijkheid.

Juridische grondslag: Het gaat niet om toegang, maar om toestemming

Hier gaat het vaak mis: de AVG maakt zich niet druk over waar je de gegevens vond, maar waarom en hoe je ze gebruikt.

Als je openbare data met persoonsgegevens wilt verwerken, heb je een wettelijke grondslag nodig. De AVG kent zes rechtsgronden voor verwerking:

  1. Toestemming – De persoon heeft uitdrukkelijk toestemming gegeven.
  2. Noodzakelijk voor een overeenkomst – Je hebt de gegevens nodig voor een contract.
  3. Wettelijke verplichting – Je moet de gegevens verwerken om te voldoen aan de wet.
  4. Vitale belangen – De verwerking is nodig om iemands leven te beschermen.
  5. Taak van algemeen belang – De verwerking is nodig voor een officiële taak.
  6. Gerechtvaardigd belang – De verwerking is noodzakelijk voor jouw legitieme belang, maar mag de rechten van de betrokkene niet schaden.

Heb je geen van deze grondslagen? Dan mag je die data niet zomaar gebruiken. Zo simpel is het.

Voorbeeld: Data scrapen van social media

Stel, je runt een marketingbureau en je overweegt om LinkedIn-profielen te scrapen voor potentiële klanten. Klinkt onschuldig, toch? Ze hebben die profielen zelf online gezet. Maar wacht even als je namen, functietitels en contactgegevens verzamelt, dan verwerk je persoonsgegevens. En volgens de AVG heb je daarvoor een geldige grondslag nodig.

Zonder toestemming of een andere rechtsgeldige reden, kun je met deze aanpak flink in de problemen komen bij de privacytoezichthouder.

De risico’s van denken dat openbare data “vrij spel” is

De AVG negeren omdat je denkt dat openbare data vrij te gebruiken is, is een riskante strategie. Alleen omdat je er makkelijk bij kunt, betekent niet dat je het ook zomaar mag verwerken. Misbruik van persoonsgegevens kan leiden tot torenhoge boetes, reputatieschade en veel hoofdpijn.

Onthoud: AVG-boetes kunnen oplopen tot €20 miljoen of 4% van je wereldwijde omzet wat maar hoger is. Dus het loont echt om je verwerkingspraktijken goed op orde te hebben.

Praktijkvoorbeeld: Het scraping-schandaal

Een van de bekendste gevallen van misbruik van openbare data speelde zich af bij Facebook, waar derde partijen data van gebruikers scrapeten. Dat die gegevens zichtbaar waren op social media, betekende niet dat ze zomaar voor alles gebruikt mochten worden. Facebook kreeg te maken met forse reputatieschade én toezicht van autoriteiten.

En zelfs als jouw bedrijf lang niet zo groot is als Facebook, geldt de AVG gewoon ook voor jou.

Tot slot: Altijd controleren of je een geldige grondslag hebt

Voordat je openbare data verwerkt die persoonsgegevens bevat, moet je controleren of je daar een geldige grondslag voor hebt onder de AVG. Alleen omdat iets publiekelijk beschikbaar is, betekent niet dat je ermee mag doen wat je wilt.

Openbare data mag dan makkelijk toegankelijk zijn de regels rond privacy en toestemming blijven gelden. Ga er niet zomaar van uit dat het oké is, want dat kan je duur komen te staan.